JP4782406B2 - Duplex system - Google Patents

Duplex system Download PDF

Info

Publication number
JP4782406B2
JP4782406B2 JP2004331812A JP2004331812A JP4782406B2 JP 4782406 B2 JP4782406 B2 JP 4782406B2 JP 2004331812 A JP2004331812 A JP 2004331812A JP 2004331812 A JP2004331812 A JP 2004331812A JP 4782406 B2 JP4782406 B2 JP 4782406B2
Authority
JP
Japan
Prior art keywords
data
error detection
check code
detection circuit
subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004331812A
Other languages
Japanese (ja)
Other versions
JP2006146320A (en
Inventor
義徳 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2004331812A priority Critical patent/JP4782406B2/en
Publication of JP2006146320A publication Critical patent/JP2006146320A/en
Application granted granted Critical
Publication of JP4782406B2 publication Critical patent/JP4782406B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Detection And Correction Of Errors (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Hardware Redundancy (AREA)

Description

本発明は、ペア・アンド・スペア構成の2重化システムにおいて、制御側システムと待機側システムのメモリのデータを同一にしておくための通信装置の誤り検出機構の高信頼化に関するものである。   The present invention relates to high reliability of an error detection mechanism of a communication device for keeping the data in a memory of a control side system and a standby side system the same in a dual system having a pair-and-spare configuration.

図3にペア・アンド・スペア構成の2重化システムを示す。図3において、制御側システム5はサブシステム51,このサブシステム51と同じ構成のサブシステム52,比較器95,通信コントローラ96および誤り検出回路97で構成されている。待機側システム6も同じ構成であり、サブシステム61と同じ構成のサブシステム62,比較器95,通信コントローラ96および誤り検出回路97で構成される。制御側システム5に故障が発生すると、待機側システム6に切り替えられる。   FIG. 3 shows a duplex system having a pair-and-spare configuration. In FIG. 3, the control-side system 5 includes a subsystem 51, a subsystem 52 having the same configuration as the subsystem 51, a comparator 95, a communication controller 96, and an error detection circuit 97. The standby system 6 has the same configuration, and includes a subsystem 62, a comparator 95, a communication controller 96, and an error detection circuit 97 having the same configuration as the subsystem 61. When a failure occurs in the control side system 5, the system is switched to the standby side system 6.

サブシステム51,52,61,62はMPU(Micro Processing Unit)91,このMPU91のインターフェイスであるMPUインターフェイスコントローラ92,メモリ装置94,このメモリ装置94のインターフェイスであるメモリインターフェイスコントローラ93で構成されている。サブシステム51と52,サブシステム61と62は同じ動作を実行する。   The subsystems 51, 52, 61, and 62 are configured by an MPU (Micro Processing Unit) 91, an MPU interface controller 92 that is an interface of the MPU 91, a memory device 94, and a memory interface controller 93 that is an interface of the memory device 94. . The subsystems 51 and 52 and the subsystems 61 and 62 perform the same operation.

比較器95は、サブシステム51と52(待機側システム6ではサブシステム61と62)内のMPUインターフェイスコントローラ92からの信号からタイミング信号を作成し、両サブシステムのMPUインターフェイスコントローラ92とメモリインターフェイスコントローラ93を接続するバス上のデータを比較して、一致しないと、システム停止などの安全処理を行う。   The comparator 95 creates a timing signal from signals from the MPU interface controller 92 in the subsystems 51 and 52 (subsystems 61 and 62 in the standby system 6), and the MPU interface controller 92 and the memory interface controller of both subsystems. If the data on the bus connecting the terminal 93 does not match, safety processing such as system stop is performed.

このバスに流れるデータには、MPU91から出力されるアドレスデータ、読み出し、書き込み等のアクセスコマンド、書き込みデータ、メモリ装置94から出力される読み出しデータ等がある。比較器95は、全てのバスサイクルでこれらのデータを比較する。比較器95は、MPUインターフェイスコントローラ92や通信コントローラ96からのアクセス情報に従って、データを比較する。   The data flowing through the bus includes address data output from the MPU 91, access commands such as read and write, write data, read data output from the memory device 94, and the like. The comparator 95 compares these data in every bus cycle. The comparator 95 compares data according to access information from the MPU interface controller 92 and the communication controller 96.

このように、サブシステムを2重化し、データを照合して信頼性を高める構成をペア構成、制御側システム5と待機側システム6で冗長化して稼働率を高める構成をスペア構成と言う。また、ペア構成とスペア構成の両方があるシステムをペア・アンド・スペア構成と言う。   In this way, a configuration in which the subsystems are duplicated and data is collated to increase reliability is referred to as a pair configuration, and a configuration in which the control side system 5 and the standby side system 6 are redundant to increase the operating rate is referred to as a spare configuration. A system having both a pair configuration and a spare configuration is called a pair-and-spare configuration.

スペア構成において、待機側システム6は制御側システム5の故障に備えていつでも制御可能な状態に保たなければならない。そのためには、制御側システム5と待機側システム6内のメモリのデータが常に同一になるように制御する。これをデータの等値化と言う。   In the spare configuration, the standby system 6 must be kept controllable in case of a failure of the control system 5. For this purpose, control is performed so that the memory data in the control system 5 and the standby system 6 are always the same. This is called data equalization.

そのために、制御側システム5,待機側システム6は通信コントローラ96を内蔵し、これらの通信コントローラ96間を通信路101で接続して、制御側システム5と待機側システム6間でデータを転送する。高速でデータを転送するために、通信コントローラ96はDMA(Direct Memory Access)機能を内蔵しており、MPU91を介さないで直接メモリ装置94からデータを読み出し、また書き込むことができる。メモリインターフェイスコントローラ93は、通信コントローラ96からのアクセスとMPUインターフェイスコントローラ92からのアクセスを調停する機能を有する。   For this purpose, the control-side system 5 and the standby-side system 6 have a built-in communication controller 96, and the communication controllers 96 are connected by the communication path 101 to transfer data between the control-side system 5 and the standby-side system 6. . In order to transfer data at high speed, the communication controller 96 has a built-in DMA (Direct Memory Access) function, and can read and write data directly from the memory device 94 without going through the MPU 91. The memory interface controller 93 has a function of arbitrating access from the communication controller 96 and access from the MPU interface controller 92.

待機側システム6内のメモリ装置94にデータを書き込むときは、2つのサブシステム61,62内のメモリ装置94に同時に書き込むことができる。しかし、制御側システム5内のメモリ装置94からデータを読み出すときは、同時に読み出すことはできない。そのため、経路102によってサブシステム51内のメモリ装置94からデータを読み出す。   When data is written to the memory device 94 in the standby system 6, it can be simultaneously written to the memory devices 94 in the two subsystems 61 and 62. However, when data is read from the memory device 94 in the control-side system 5, it cannot be read simultaneously. Therefore, data is read from the memory device 94 in the subsystem 51 through the path 102.

また、この通信の信頼性を高めるために、通信コントローラ96のそれぞれに誤り検出回路97が接続される。通信コントローラ96が相手側システムにデータを送信するときは、この送信データからチェックコードを生成し、このチェックコードをデータと共に送信する。データを受信した誤り検出回路97は、データから同じ手順で生成したチェックコードと送られてきたチェックコードを比較し、一致しているときのみDMAでメモリ装置94にデータを書き込む。   In order to improve the reliability of this communication, an error detection circuit 97 is connected to each of the communication controllers 96. When the communication controller 96 transmits data to the counterpart system, a check code is generated from the transmission data, and this check code is transmitted together with the data. The error detection circuit 97 that has received the data compares the check code generated from the data in the same procedure with the sent check code, and writes the data to the memory device 94 by DMA only if they match.

なお、MPUインターフェイスコントローラ92はメモリインターフェイスコントローラ93と通信コントローラ96へのアクセス機能を有している。そのため、MPU91は相手側システムのメモリ装置94のデータをリード・ライトすることができる。制御側システム5内のMPU91が待機側システム6にデータを転送するときは、経路102を介して通信コントローラ96にデータが送られる。サブシステム61,62は送られてきたデータを受け付けるだけであり、通信コントローラ96の動作には関与しない。   The MPU interface controller 92 has a function of accessing the memory interface controller 93 and the communication controller 96. Therefore, the MPU 91 can read / write data in the memory device 94 of the counterpart system. When the MPU 91 in the control side system 5 transfers data to the standby side system 6, the data is sent to the communication controller 96 via the path 102. The subsystems 61 and 62 only accept the sent data and are not involved in the operation of the communication controller 96.

また、「データ等値化モード」に設定しておくと、MPU91が自身のサブシステム内のメモリ装置94にデータを書き込んだ際に、通信コントローラ96を介して自動的にスペア構成の相手側システムのメモリ装置94に同じデータが書き込まれる。これをミラードライトという。   In addition, when the “data equalization mode” is set, when the MPU 91 writes data to the memory device 94 in its own subsystem, the partner system of the spare configuration is automatically set via the communication controller 96. The same data is written in the memory device 94. This is called a mirrored light.

図3の実施例は、通信コントローラ96と誤り検出回路97を1系統しか備えていない。そのため、これらが故障するとデータ誤りを検出することができない場合がある。図4にこの課題を解決する実施例を示す。なお、図3と同じ要素には同一符号を付し、説明を省略する。   The embodiment shown in FIG. 3 has only one communication controller 96 and error detection circuit 97. For this reason, if these fail, data errors may not be detected. FIG. 4 shows an embodiment for solving this problem. In addition, the same code | symbol is attached | subjected to the same element as FIG. 3, and description is abbreviate | omitted.

図4において、961、962は96と同じ通信コントローラ、971,972は97と同じ誤り検出回路である。2つのスペア構成の通信コントローラ961は通信路1011で、通信コントローラ962は通信路1012で接続されている。この実施例では通信コントローラ961,962、誤り検出回路971,972,通信路1011,1012が共にサブシステム別に2重化されているので、どちらかの経路にて故障やデータ誤りにより不正書込みが発生しても、後でその不正データが読み出されている際、ペアのサブシステム間照合により検出される。   4, 961 and 962 are the same communication controllers as 96, and 971 and 972 are the same error detection circuits as 97. The two spare communication controllers 961 are connected by a communication path 1011, and the communication controller 962 is connected by a communication path 1012. In this embodiment, the communication controllers 961 and 962, the error detection circuits 971 and 972, and the communication paths 1011 and 1012 are duplicated for each subsystem, so that illegal writing occurs due to a failure or data error in either path. Even when the illegal data is read out later, it is detected by the inter-subsystem verification of the pair.

なお、図3、図4には制御側システムと待機側システム間の通信のみ示されており、制御機器とのインターフェイスは省略してある。   3 and 4 show only the communication between the control side system and the standby side system, and the interface with the control device is omitted.

特許文献1には、二重化バスに同じ内容の通信フレームを同時に送出し、受信側で受信内容が一致しているかどうかによって通信の正否を判断する通信制御装置が記載されている。   Patent Document 1 describes a communication control device that simultaneously transmits communication frames having the same content to a duplex bus and determines whether communication is correct or not based on whether or not the received content matches.

特開平11−239197号公報JP 11-239197 A

しかし、このような2重化システムには、次のような課題があった。図3の2重化システムは、通信コントローラ96,誤り検出回路97が2重化されていないので、これらに故障が発生すると、間違ったデータをメモリ装置94に書き込んでしまうという課題があった。また、これらが正常でも、経路102で誤りが発生すると誤り検出回路97で検出することができず、同様にメモリ装置94に誤ったデータを書き込んでしまうという課題もあった。   However, such a duplex system has the following problems. In the duplex system shown in FIG. 3, the communication controller 96 and the error detection circuit 97 are not duplexed. Therefore, when a failure occurs in these systems, there is a problem that wrong data is written in the memory device 94. Even if these are normal, if an error occurs in the path 102, the error detection circuit 97 cannot detect it, and similarly, there is a problem that erroneous data is written in the memory device 94.

図4の2重化システムは、経路1021,1022、通信コントローラ961,962、誤り検出回路971,972,経路1011,1012共にサブシステム別に2重化されており、故障やデータ誤りに対して強くなる。しかし、2重化するためにコスト、実装スペース共に増大するという課題があった。   In the duplex system of FIG. 4, the paths 1021 and 1022, the communication controllers 961 and 962, the error detection circuits 971 and 972, and the paths 1011 and 1012 are duplexed for each subsystem, and are strong against failures and data errors. Become. However, there has been a problem that both the cost and the mounting space increase due to the duplication.

また、二重化システムにおいて、ソフトウエアによって転送データ単位にチェックコードを計算してデータに添付し、受信側で受信データからチェックコードを計算して送られてきたチェックコードと照合すると、全ての通信路の途中で発生するデータ誤りを検出できるが、チェックコード計算のためにソフトウエアの負担が著しく増大するという課題があった。   Also, in a duplex system, a check code is calculated for each transfer data by software and attached to the data. When the check code is calculated from the received data on the receiving side and collated with the check code sent, all communication paths However, there is a problem that a software load is remarkably increased due to check code calculation.

さらに、高速なデータ等値化のためには、図3で説明したミラードライト機能を搭載してハードウェアによって自動的にデータを等値化する事が必要であり、ソフトウェアで等値化することが不可能な場合もある。
本発明の目的は、ソフトウェアが介在せずにハードウェアのみにより、1つの故障に対して誤り検出機能を維持し、通信装置の故障に対する信頼性を向上させることができる2重化システムを提供することにある。 Furthermore, for high-speed data equalization, the mirrored write function described in FIG. 3 must be installed and data must be automatically equalized by hardware. May not be possible.
An object of the present invention is to provide a duplex system capable of maintaining an error detection function for one failure and improving the reliability against a failure of a communication device by using only hardware without software. There is.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
それぞれ2重化されてデータを照合しながら並列動作する第1のサブシステムおよび第2のサブシステムよりなる同一構成の第1のシステムと第2のシステムで構成され、これら第1のシステムと第2のシステムは内部メモリのデータが常に同一になるように制御されていて、一方のシステムが故障したときには他方のシステムに切り替えられるペア・アンド・スペア構成とされ、
前記第1のシステムと前記第2のシステムにそれぞれ1系統設けられ、前記第1のシステムと前記第2のシステム間の通信を制御する通信コントローラと、
前記第1のシステムと第2のシステムにおいて前記通信コントローラが受信したアドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードが入力され、前記受信したデータからチェックコードを計算し、この計算値と入力されたチェックコードを比較して、一致したときのみ前記第1のサブシステム内のメモリ装置へのデータ書き込みを許可する第1の誤り検出回路と、
前記第1のシステムと第2のシステムにおいて前記通信コントローラが受信したアドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードが入力され、前記受信したデータからチェックコードを計算し、この計算値と入力されたチェックコードを比較して、一致したときのみ前記第2のサブシステム内のメモリ装置へのデータ書き込みを許可する第2の誤り検出回路とを具備し、
前記第1の誤り検出回路には前記第1のサブシステムのデータが入力されて前記第2の誤り検出回路には前記第2のサブシステムのデータが入力され、前記第1のシステムが前記第2のシステム内のメモリ装置をアクセスするときに、前記第1または第2の誤り検出回路のうち、一方の誤り検出回路で計算したチェックコードと他方の誤り検出回路のデータを組み合わせて前記第2のシステムに送信するようにした2重化システムにおいて、
前記第1のシステムと第2のシステムのうち、制御側となるシステムから前記アドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードを待機側となるシステムに送ることを特徴とするものである。構成を簡単にすることができるとともに、サブシステムの間のデータの不一致を検出できるIn order to achieve such a problem, the invention according to claim 1 of the present invention is:
Each of the first and second systems is composed of a first subsystem and a second subsystem that are duplicated and operate in parallel while collating data. The two systems are controlled so that the data in the internal memory is always the same, and when one system fails, the system is switched to the other system in a pair-and-spare configuration .
One system is provided for each of the first system and the second system, and a communication controller that controls communication between the first system and the second system;
The address, command, write data received by the communication controller in the first system and the second system, and a check code for checking these data are input, and a check code is calculated from the received data. A first error detection circuit that compares the calculated value and the input check code and permits data writing to the memory device in the first subsystem only when they match,
The address, command, write data received by the communication controller in the first system and the second system, and a check code for checking these data are input, and a check code is calculated from the received data. A second error detection circuit that compares the calculated value with the input check code and permits data writing to the memory device in the second subsystem only when they match .
Data of the first subsystem is input to the first error detection circuit, data of the second subsystem is input to the second error detection circuit, and the first system is connected to the first error detection circuit. When the memory device in the second system is accessed, the second code is obtained by combining the check code calculated by one of the first or second error detection circuits and the data of the other error detection circuit. In a duplex system that transmits to the system of
Of the first system and the second system, the address system, the command, the write data, and the check code for checking these data are sent from the control system to the standby system. Is. The configuration can be simplified and data inconsistencies between subsystems can be detected .

請求項2記載の発明は、請求項1記載の発明において、
前記第1のシステムと第2のシステムは、それぞれ前記第1の誤り検出回路が前記第1のサブシステムのデータに基づいて計算したチェックコードと、前記第2の誤り検出回路が前記第2のサブシステムのデータに基づいて計算したチェックコードが入力され、これらのチェックコードを比較して、一致、不一致を前記通信コントローラに出力する比較器を有し、
前記第1のシステムと第2のシステムのうち、制御側となるシステムが待機側となるシステム内のメモリ装置をアクセスするときに、前記通信コントローラは、前記比較器の比較結果が一致であるときのみ、前記待機側となるシステムにデータを送信するようにしたものである。信頼性を高めることができる。 The invention according to claim 2 is the invention according to claim 1,
The first system and the second system are respectively a check code calculated by the first error detection circuit based on data of the first subsystem, and the second error detection circuit is the second error detection circuit. A check code calculated based on the subsystem data is input, the check code is compared, and a comparator that outputs a match / mismatch to the communication controller is provided.
Of the first system and the second system, when the control system accesses the memory device in the standby system, the communication controller matches the comparison result of the comparator Only data is transmitted to the standby system . Reliability can be increased.

請求項3記載の発明は、請求項1または請求項2記載の発明において、
前記チェックコードに、シーケンス番号を付加するようにしたものである。データの欠落を検出できる。 The invention according to claim 3 is the invention according to claim 1 or 2 ,
A sequence number is added to the check code. Can detect missing data.

以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1,2,3および4の発明によれば、ペア・アンド・スペア構成の2重化システムにおいて、2つのサブシステムのそれぞれに付属する2つの誤り検出回路を具備し、受信したデータからこの誤り検出回路でチェックコードを計算し、この計算値と受信したチェックコードが一致したときのみ、各々のサブシステム内のメモリ装置にデータを書き込むようにした。 As is apparent from the above description, the present invention has the following effects.
According to the first, second, third, and fourth aspects of the present invention, in the duplex system of the pair-and-spare configuration, the two error detection circuits attached to the two subsystems are provided, and the received data is A check code is calculated by this error detection circuit, and data is written to the memory device in each subsystem only when the calculated value matches the received check code.

誤り検出回路を2重化するだけで、あらゆる故障に起因するデータ誤りを検出することができるという効果がある。そのため、2つのシステムを接続する通信路や通信コントローラを2重化しなくてもよくなるので、コスト、実装スペースを大幅に低減することができるという効果もある。   There is an effect that a data error caused by any failure can be detected only by duplicating the error detection circuit. For this reason, there is no need to duplicate communication paths and communication controllers that connect the two systems, and there is an effect that the cost and mounting space can be significantly reduced.

また、ASIC(Application Specific Integrated Circuit)を用いることにより、通信コントローラ、誤り検出回路、サブシステム内のMPUインターフェイスコントローラ、メモリインターフェイスコントローラ、比較器を1つのICに内蔵することができるため、本発明によるコストアップは小さい。従って、通信経路を2重化する場合に比べて、大幅なコストダウンを達成することが出来るという効果がある。   Further, by using an application specific integrated circuit (ASIC), a communication controller, an error detection circuit, an MPU interface controller in a subsystem, a memory interface controller, and a comparator can be built in one IC. Cost increase is small. Therefore, there is an effect that significant cost reduction can be achieved as compared with the case where the communication path is duplicated.

また、一方の誤り検出回路が計算したチェックコードと他方のデータを組み合わせ、あるいは2つの誤り検出回路が計算したチェックコードが一致したときのみ相手側システムに送信することにより、途中経路の故障に起因する誤りを検出でき、高い信頼性を確保することができるという効果もある。   In addition, the check code calculated by one error detection circuit is combined with the other data, or the check code calculated by the two error detection circuits is sent to the partner system only when it matches, resulting in a route failure. It is possible to detect errors that occur and to ensure high reliability.

さらに、チェックコードにシーケンス番号を付加して送信することにより、データの欠落を検出することができるという効果もある。   Furthermore, there is an effect that data loss can be detected by adding a sequence number to the check code and transmitting it.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係る2重化システムの一実施例を示す構成図である。なお、図3と同じ要素には同一符号を付し、説明を省略する。図1において、1は制御側システムであり、サブシステム11,サブシステム12,比較器95,誤り検出回路13,14および通信コントローラ15で構成される。2は待機側システムであり、サブシステム21,22,比較器95,誤り検出回路23,24および通信コントローラ25で構成される。制御側システム1と待機側システム2は通信路101で接続される。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing an embodiment of a duplex system according to the present invention. In addition, the same code | symbol is attached | subjected to the same element as FIG. 3, and description is abbreviate | omitted. In FIG. 1, reference numeral 1 denotes a control side system, which includes a subsystem 11, a subsystem 12, a comparator 95, error detection circuits 13 and 14, and a communication controller 15. Reference numeral 2 denotes a standby system, which includes subsystems 21 and 22, a comparator 95, error detection circuits 23 and 24, and a communication controller 25. The control system 1 and the standby system 2 are connected by a communication path 101.

サブシステム11、12,21,22はサブシステム51と同じ構成である。すなわち、MPU91,MPUインターフェイスコントローラ92,メモリインターフェイスコントローラ93,メモリ装置94で構成される。図3従来例と同様に、サブシステム11と12,21と22は同じ動作を実行する。比較器95は、サブシステム11と12、あるいは21と22内の対応するデータを比較し、一致していなければ安全処理を行う。   The subsystems 11, 12, 21, and 22 have the same configuration as the subsystem 51. That is, it comprises an MPU 91, an MPU interface controller 92, a memory interface controller 93, and a memory device 94. As in the conventional example of FIG. 3, the subsystems 11 and 12, 21 and 22 execute the same operation. The comparator 95 compares the corresponding data in the subsystems 11 and 12, or 21 and 22, and performs safety processing if they do not match.

待機側システム2内のメモリ装置94のデータを制御側システム1のそれに等しくするために、制御側システム1から通信路101を介して送られてきたデータとチェックコードは通信コントローラ25で受信され、経路26を介して誤り検出回路23および24に出力される。誤り検出回路23はこのデータからチェックコードを計算して、この計算値と送られてきたチェックコードと比較する。   In order to make the data of the memory device 94 in the standby side system 2 equal to that of the control side system 1, the data and check code sent from the control side system 1 via the communication path 101 are received by the communication controller 25, It is output to the error detection circuits 23 and 24 via the path 26. The error detection circuit 23 calculates a check code from this data, and compares this calculated value with the transmitted check code.

比較結果が一致していれば、サブシステム21内のメモリインターフェイスコントローラ93に送られてきたデータを出力して書き込み処理を許可し、一致していなければ書き込み処理を許可せずエラー処理を行う。誤り検出回路24も同じ処理を行い、チェックコードが一致していればサブシステム22内のメモリインターフェイスコントローラ93の書き込み処理を許可し、一致していなければエラー処理を行う。   If the comparison results match, the data sent to the memory interface controller 93 in the subsystem 21 is output to allow write processing, and if they do not match, write processing is not permitted and error processing is performed. The error detection circuit 24 performs the same processing. If the check codes match, the write processing of the memory interface controller 93 in the subsystem 22 is permitted, and if they do not match, error processing is performed.

誤り検出回路23、24は送られてきたチェックコードと計算値が一致したときのみメモリ装置94にデータを書き込むので、誤ったデータがメモリ装置94に書き込まれることがなくなる。誤り検出回路は2重化されているので、冗長化されていない通信路101や通信コントローラ25、あるいは一方の誤り検出回路の故障を検出することができる。   Since the error detection circuits 23 and 24 write data to the memory device 94 only when the sent check code matches the calculated value, erroneous data is not written to the memory device 94. Since the error detection circuit is duplicated, it is possible to detect a failure of the communication path 101 and the communication controller 25 that are not redundant or one of the error detection circuits.

また、誤り検出回路23,24の一方が故障して誤ったデータをメモリ装置94に書き込んだとしても、サブシステム21と22は比較器95でその内部データが常時比較されているので、この誤ったデータを読み出すときに安全処理が行われる。   Even if one of the error detection circuits 23 and 24 breaks down and writes erroneous data to the memory device 94, the subsystems 21 and 22 always compare the internal data by the comparator 95. Safety processing is performed when reading the data.

図3従来例で述べたように、制御側システム1のMPU91は、待機側システム2のメモリ装置94にアクセスすることができる。この場合、誤り検出回路13は経路171を介してアドレス、コマンド、書き込みデータを受け取り、経路181を介してこのデータを通信コントローラ15に出力する。同時に、誤り検出回路14は経路172を介してアドレス、コマンド、書き込みデータを受け取り、これらのデータからチェックコードを計算し、経路182を介して通信コントローラ15に出力する。   As described in the conventional example of FIG. 3, the MPU 91 of the control side system 1 can access the memory device 94 of the standby side system 2. In this case, the error detection circuit 13 receives the address, command, and write data via the path 171 and outputs this data to the communication controller 15 via the path 181. At the same time, the error detection circuit 14 receives the address, command, and write data via the path 172, calculates a check code from these data, and outputs the check code to the communication controller 15 via the path 182.

通信コントローラ15は通信路101を介してこれらのデータを通信コントローラ25に送信する。通信コントローラ25は、受信したデータを誤り検出回路23,24に出力する。誤り検出回路23,24は、前述した手順によりチェックコードの計算値と受信したチェックコードと一致しているときのみ、メモリインターフェイスコントローラ93に処理を許可し、メモリ装置94にアクセスする。   The communication controller 15 transmits these data to the communication controller 25 via the communication path 101. The communication controller 25 outputs the received data to the error detection circuits 23 and 24. The error detection circuits 23 and 24 allow the memory interface controller 93 to perform processing and access the memory device 94 only when the calculated check code value matches the received check code according to the above-described procedure.

この実施例では、誤り検出回路13ではチェックコードを計算せず、誤り検出回路14でのみチェックコードを計算するようにする。すなわち、誤り検出回路13からのデータと誤り検出回路14からのチェックコードを組み合わせる。このようにすることにより、経路171上で発生する誤り等、通信指令データのサブシステム11,12間の不一致を検出することができる。   In this embodiment, the error detection circuit 13 does not calculate the check code, but only the error detection circuit 14 calculates the check code. That is, the data from the error detection circuit 13 and the check code from the error detection circuit 14 are combined. By doing so, it is possible to detect a mismatch between the subsystems 11 and 12 of the communication command data, such as an error occurring on the path 171.

また、通信コントローラ15は誤り検出回路13からはチェックコードを受け取らない。これは、チェックコードの計算機能の故障は待機側システム2の誤り検出回路23,24で検出可能であるため、通信コントローラ15で2つの誤り検出回路が計算したチェックコードを比較する必要がないためである。   Further, the communication controller 15 does not receive a check code from the error detection circuit 13. This is because a failure of the check code calculation function can be detected by the error detection circuits 23 and 24 of the standby system 2, so that the communication controller 15 does not need to compare the check codes calculated by the two error detection circuits. It is.

なお、チェックコードとしては、例えばCRC(Cyclic Redundancy Check )を用いることができる。また、データ処理が欠落してしまうなどの故障に備えて、シーケンス番号のコードも付加するようにする。また、制御側システムと待機側システムは役割を交代することがあるので、制御側システム1も待機側システム2と同じ構成になっている。   For example, CRC (Cyclic Redundancy Check) can be used as the check code. In addition, a sequence number code is also added in preparation for a failure such as missing data processing. Further, since the control side system and the standby side system may change roles, the control side system 1 has the same configuration as the standby side system 2.

図2に本発明の他の実施例を示す。なお、図1と同じ要素には同一符号を付し、説明を省略する。図2において、3は制御側システムであり、サブシステム31,32,比較器95、36,誤り検出回路33,34および通信コントローラ35で構成されている。4は待機側システムであり、サブシステム41,42,比較器95、46,誤り検出回路43,44および通信コントローラ45で構成されている。サブシステム31,32,41,42は、図1実施例のサブシステム11と同じ構成である。   FIG. 2 shows another embodiment of the present invention. In addition, the same code | symbol is attached | subjected to the same element as FIG. 1, and description is abbreviate | omitted. In FIG. 2, reference numeral 3 denotes a control side system, which includes subsystems 31 and 32, comparators 95 and 36, error detection circuits 33 and 34, and a communication controller 35. Reference numeral 4 denotes a standby system, which includes subsystems 41 and 42, comparators 95 and 46, error detection circuits 43 and 44, and a communication controller 45. The subsystems 31, 32, 41, and 42 have the same configuration as the subsystem 11 of the embodiment in FIG.

制御側システム3と待機側システム4内のデータを一致させるために、制御側システム3から送られてきたデータを待機側システム4に書き込む時の動作は図1実施例と同じであるので、説明を省略する。   The operation when the data sent from the control side system 3 is written to the standby side system 4 in order to match the data in the control side system 3 and the standby side system 4 is the same as that in the embodiment of FIG. Is omitted.

制御側システム3内のMPU91が待機側システム4内のメモリ装置94をアクセスするときは、誤り検出回路33はサブシステム31内のMPUインターフェイスコントローラ92からアドレス、コマンド、書き込みデータを受け取る。誤り検出回路33は、これらのデータからチェックコードを計算して比較器36に出力すると共に、データとチェックコードを通信コントローラ35に出力する。   When the MPU 91 in the control side system 3 accesses the memory device 94 in the standby side system 4, the error detection circuit 33 receives an address, a command, and write data from the MPU interface controller 92 in the subsystem 31. The error detection circuit 33 calculates a check code from these data and outputs the check code to the comparator 36 and also outputs the data and the check code to the communication controller 35.

誤り検出回路34も同様にサブシステム32内のMPUインターフェイスコントローラ92からアドレス、コマンド、書き込みデータを受け取り、これらのデータからチェックコードを計算して比較器36に出力する。比較器36は、これら2つのチェックコードを比較してその結果を通信コントローラ35に出力する。通信コントローラ35は、比較結果が一致のときのみ、待機側システム4に書き込みデータを送信する。   Similarly, the error detection circuit 34 receives an address, a command, and write data from the MPU interface controller 92 in the subsystem 32, calculates a check code from these data, and outputs it to the comparator 36. The comparator 36 compares these two check codes and outputs the result to the communication controller 35. The communication controller 35 transmits the write data to the standby side system 4 only when the comparison results match.

なお、待機側システム4が自身のメモリ装置94にデータを書き込む構成は、図1実施例と同じである。また、この実施例でも制御側システム3と待機側システム4は、その役割を入れ替えることができるように同じ構成になっている。   The configuration in which the standby system 4 writes data into its own memory device 94 is the same as that in the embodiment of FIG. Also in this embodiment, the control system 3 and the standby system 4 have the same configuration so that their roles can be interchanged.

本発明の一実施例を示す構成図である。It is a block diagram which shows one Example of this invention. 本発明の他の実施例を示す構成図である。It is a block diagram which shows the other Example of this invention. 従来の2重化システムの構成図である。It is a block diagram of the conventional duplex system. 従来の2重化システムの構成図である。It is a block diagram of the conventional duplex system.

符号の説明Explanation of symbols

1、3 制御側システム
2,4 待機側システム
11,12,21,22,31,32,41,42 サブシステム
13,14,23,24,33,34,43,44 誤り検出回路
15,25,35,45 通信コントローラ
171,172,181,182、271,272,281,282 経路
36,46,95 比較器
1, 3 Control side system 2, 4 Standby side system 11, 12, 21, 22, 31, 32, 41, 42 Subsystem 13, 14, 23, 24, 33, 34, 43, 44 Error detection circuit 15, 25 , 35, 45 Communication controller 171, 172, 181, 182, 271, 272, 281, 282 Route 36, 46, 95 Comparator

Claims (3)

それぞれ2重化されてデータを照合しながら並列動作する第1のサブシステムおよび第2のサブシステムよりなる同一構成の第1のシステムと第2のシステムで構成され、これら第1のシステムと第2のシステムは内部メモリのデータが常に同一になるように制御されていて、一方のシステムが故障したときには他方のシステムに切り替えられるペア・アンド・スペア構成とされ、
前記第1のシステムと前記第2のシステムにそれぞれ1系統設けられ、前記第1のシステムと前記第2のシステム間の通信を制御する通信コントローラと、
前記第1のシステムと第2のシステムにおいて前記通信コントローラが受信したアドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードが入力され、前記受信したデータからチェックコードを計算し、この計算値と入力されたチェックコードを比較して、一致したときのみ前記第1のサブシステム内のメモリ装置へのデータ書き込みを許可する第1の誤り検出回路と、
前記第1のシステムと第2のシステムにおいて前記通信コントローラが受信したアドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードが入力され、前記受信したデータからチェックコードを計算し、この計算値と入力されたチェックコードを比較して、一致したときのみ前記第2のサブシステム内のメモリ装置へのデータ書き込みを許可する第2の誤り検出回路とを具備し、
前記第1の誤り検出回路には前記第1のサブシステムのデータが入力されて前記第2の誤り検出回路には前記第2のサブシステムのデータが入力され、前記第1のシステムが前記第2のシステム内のメモリ装置をアクセスするときに、前記第1または第2の誤り検出回路のうち、一方の誤り検出回路で計算したチェックコードと他方の誤り検出回路のデータを組み合わせて前記第2のシステムに送信するようにした2重化システムにおいて、
前記第1のシステムと第2のシステムのうち、制御側となるシステムから前記アドレス、コマンド、書き込みデータおよびこれらのデータをチェックするためのチェックコードを待機側となるシステムに送ることを特徴とする2重化システム。 Each of the first and second systems is composed of a first subsystem and a second subsystem that are duplicated and operate in parallel while collating data. The two systems are controlled so that the data in the internal memory is always the same, and when one system fails, the system is switched to the other system in a pair-and-spare configuration .
One system is provided for each of the first system and the second system, and a communication controller that controls communication between the first system and the second system;
The address, command, write data received by the communication controller in the first system and the second system, and a check code for checking these data are input, and a check code is calculated from the received data. A first error detection circuit that compares the calculated value and the input check code and permits data writing to the memory device in the first subsystem only when they match,
The address, command, write data received by the communication controller in the first system and the second system, and a check code for checking these data are input, and a check code is calculated from the received data. A second error detection circuit that compares the calculated value with the input check code and permits data writing to the memory device in the second subsystem only when they match .
Data of the first subsystem is input to the first error detection circuit, data of the second subsystem is input to the second error detection circuit, and the first system is connected to the first error detection circuit. When the memory device in the second system is accessed, the second code is obtained by combining the check code calculated by one of the first or second error detection circuits and the data of the other error detection circuit. In a duplex system that transmits to the system of
Of the first system and the second system, the address system, the command, the write data, and the check code for checking these data are sent from the control system to the standby system. Duplex system. 前記第1のシステムと第2のシステムは、それぞれ前記第1の誤り検出回路が前記第1のサブシステムのデータに基づいて計算したチェックコードと、前記第2の誤り検出回路が前記第2のサブシステムのデータに基づいて計算したチェックコードが入力され、これらのチェックコードを比較して、一致、不一致を前記通信コントローラに出力する比較器を有し、
前記第1のシステムと第2のシステムのうち、制御側となるシステムが待機側となるシステム内のメモリ装置をアクセスするときに、前記通信コントローラは、前記比較器の比較結果が一致であるときのみ、前記待機側となるシステムにデータを送信するようにしたことを特徴とする請求項1記載の2重化システム。 The first system and the second system are respectively a check code calculated by the first error detection circuit based on data of the first subsystem, and the second error detection circuit is the second error detection circuit. A check code calculated based on the subsystem data is input, the check code is compared, and a comparator that outputs a match / mismatch to the communication controller is provided.
Of the first system and the second system, when the control system accesses the memory device in the standby system, the communication controller matches the comparison result of the comparator The duplex system according to claim 1 , wherein data is transmitted only to the standby system. 前記チェックコードに、シーケンス番号を付加するようにしたことを特徴とする請求項1または請求項2に記載の2重化システム。 The duplex system according to claim 1 or 2 , wherein a sequence number is added to the check code .
JP2004331812A 2004-11-16 2004-11-16 Duplex system Active JP4782406B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004331812A JP4782406B2 (en) 2004-11-16 2004-11-16 Duplex system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004331812A JP4782406B2 (en) 2004-11-16 2004-11-16 Duplex system

Publications (2)

Publication Number Publication Date
JP2006146320A JP2006146320A (en) 2006-06-08
JP4782406B2 true JP4782406B2 (en) 2011-09-28

Family

ID=36625960

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004331812A Active JP4782406B2 (en) 2004-11-16 2004-11-16 Duplex system

Country Status (1)

Country Link
JP (1) JP4782406B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008102686A (en) * 2006-10-18 2008-05-01 Yokogawa Electric Corp Field controller
JP5522445B2 (en) 2009-02-04 2014-06-18 横河電機株式会社 Parameter copying method and parameter copying apparatus
JP5116744B2 (en) * 2009-09-14 2013-01-09 株式会社京三製作所 Program writing device
JP5684514B2 (en) * 2010-08-19 2015-03-11 株式会社東芝 Redundant control system and calculation data transmission method thereof
JP5975753B2 (en) * 2012-06-27 2016-08-23 株式会社日立製作所 Information processing system, output control device, and data generation device

Also Published As

Publication number Publication date
JP2006146320A (en) 2006-06-08

Similar Documents

Publication Publication Date Title
US7444540B2 (en) Memory mirroring apparatus and method
KR100640037B1 (en) File control system and file control device
JP5348248B2 (en) Memory system and memory system control method
US10606713B2 (en) Using dual channel memory as single channel memory with command address recovery
KR101558687B1 (en) Serial communication test device, system including the same and method thereof
JPH01188953A (en) Data protection apparatus and method with allowable range of disturbance
JPH0430619B2 (en)
CN110147343B (en) Full-comparison Lockstep processor architecture
JP4782406B2 (en) Duplex system
US6938188B1 (en) Method for verifying functional integrity of computer hardware, particularly data storage devices
EP0709782B1 (en) Error detection system and method for mirrored memory between dual disk storage controllers
JPH05166304A (en) Data checking method for array disk device
JP3069585B2 (en) Targeted reset method in data processing equipment
JPS6235144B2 (en)
WO2014118985A1 (en) Bus module and bus system
JP4399792B2 (en) Dual processor system
GB2457147A (en) Reading back data on an I2C bus to detect transmission errors
JP2006011576A (en) High-reliability controller
JP2008192108A (en) Duplex information processing system
JP2007323190A (en) Calculation control system for performing data communication and its communication method
US20090210610A1 (en) Computer system, data relay device and control method for computer system
JPH05282218A (en) Data transmitting method
JP2825464B2 (en) Communication device
JP4247157B2 (en) Process control device
JPH09152995A (en) Computer system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090515

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090610

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090811

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090917

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20091023

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110707

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140715

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4782406

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150