JPH04314138A - プロセス制御装置のフェイルオーバ方法 - Google Patents

プロセス制御装置のフェイルオーバ方法

Info

Publication number
JPH04314138A
JPH04314138A JP3273615A JP27361591A JPH04314138A JP H04314138 A JPH04314138 A JP H04314138A JP 3273615 A JP3273615 A JP 3273615A JP 27361591 A JP27361591 A JP 27361591A JP H04314138 A JPH04314138 A JP H04314138A
Authority
JP
Japan
Prior art keywords
iop
slave
controller
output
database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP3273615A
Other languages
English (en)
Inventor
Paul F Mclaughlin
ポール・エフ・マクロウリン
Robert W Bristow
ロバート・ダヴリュ・ブリストウ
Karl T Kummer
カール・ティ・クーマー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell Inc
Original Assignee
Honeywell Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell Inc filed Critical Honeywell Inc
Publication of JPH04314138A publication Critical patent/JPH04314138A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2017Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where memory access, memory control or I/O control functionality is redundant
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1679Temporal synchronisation or re-synchronisation of redundant processing components at clock signal level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、冗長プロセッサ対の主
の役割と第2の役割を交換する方法に関するものであり
、更に詳しくいえば、主の役割と第2の役割を行う冗長
プロセッサ対の第2のプロセッサが、主のプロセッサが
故障した時に、主の役割と第2の役割を行う冗長プロセ
ッサ対の第2のプロセッサがそれを検出できて、フェイ
ルオーバ(すなわち、交換)を行うことができるように
する方法に関するものである。
【0002】
【従来の技術】米国特許第4,133,027号および
第4,141,066号明細書に記載されているような
バックアッププロセス制御装置を有するプロセス制御装
置は専用ランダムアクセスメモリ(RAM)および専用
読出専用メモリ(ROM)を含む。バックアップ制御装
置はほとんど遊んでいるか、ある種のバックアップタス
クを行うことができるが、プロセス制御機能に直接関連
ないタスクは行わない。主なプロセス制御装置の1つに
おける障害が検出されると、その主制御器の動作を行う
ために、故障した制御装置のRAMに記憶されているデ
ータをバックアップ制御装置のRAMへ転送せねばなら
ない。それらの装置は1:Nの冗長装置である。
【0003】1989年1月23日に出願され、本願出
願人へ譲渡された米国特許出願No.07/299,8
59に記載されているような既存の装置は、1:1の冗
長装置を提供する。その冗長装置は、更新過程が主機能
に明かとなり、CPUすなわちプロセッサの動作を一時
的に停止させる(または不利にする)ことがなく、最短
時間を使用するよう第2の装置(すなわち、第2の制御
装置すなわち、バックアップ制御装置)のデータベース
が定期的に更新される。フェイルオーバ状態が起こると
、主制御器と装置の残りの部分との間で通信を行うこと
ができない(すなわち、動作停止)時間が存在する。 更に、主制御器と第2の制御器は所定の場所にあり、こ
の冗長特徴を実現するために利用されるソフトウエア(
すなわち、冗長ソフトウエア)は冗長ソフトウエアの上
位に位置する他のソフトウエア層には明かでない。たと
えば、プラント制御ネットワークの汎用ステーションが
プロセス制御装置のプロセス制御器の制御器(第2の制
御器は質問できないから、主制御器)に対して質問した
とすると、故障中にその制御器は応答できず、かつ、汎
用ステーション表示器に疑問符を出力して、オペレータ
に指示する。
【0004】本発明は、冗長プロセッサ対の主のプロセ
ッサと第2のプロセッサが、主のプロセッサから第2の
プロセッサへのデータベースの再同期(すなわち、再コ
ピー)を行うことなしに役割を交換でき、第2のプロセ
ッサが主のプロセッサの制御機能を遅れ(初期設定、デ
ータベースの更新等のための)なしに直ちに行うことを
許す方法を提供するものである。本発明を見出すことが
できる装置の好適な実施例においては、主のプロセッサ
と第2のプロセッサは通信ネットワークを介して互いに
通信を開始することはできない。本発明においては、プ
ロセッサの間の状態情報を指示するためにプロセッサは
共通出力回路への制御線を利用する。更に、プロセッサ
のフェイルオーバは、主制御器と通信する主のプロセッ
サと第2のプロセッサが含まれている外部ノードを含め
た主ノードの全てのデータユーザーにデータアクセスを
知ることができるようにする。
【0005】
【発明が解決しようとする課題】したがって、本発明の
目的は、フェイルオーバを行わせる方法を得ることであ
る。本発明の別の目的は、冗長プロセッサ対の主のプロ
セッサと第2のプロセッサのフェイルオーバを行わせる
方法を得ることである。本発明の更に別の目的は、主の
役割と第2の役割で動作する冗長プロセッサ対の第2の
プロセッサが、主のプロセッサが故障した時にそれを検
出して、フェイルオーバを行うことができるようにする
フェイルオーバを行う方法を得ることである。
【0006】
【課題を解決するための手段】したがって、冗長プロセ
ッサ対の主の役割と第2の役割を交換する方法が本発明
により提供される。プロセス制御装置においては、主制
御器は通信リンクへ作動的に接続され、少なくともスレ
イブ入力/出力プロセッサ(IOP)が通信リンクへお
のおの作動的に接続される。プロセッサ対の第1のIO
Pが主のスレイブIOPであり、プロセッサ対の第2の
IOPが第2のスレイブIOPである。第1のIOPと
第2のIOPが第1と第2のデータベースをそれぞれ有
し、第1のIOPと第2のIOPが第1のクロッキング
装置と第2のクロッキング装置をそれぞれ利用して同じ
タスクを実行する。主制御器による通信は、第1のデー
タベースを修正する通信を含めて、第1のIOPに対し
てのみ行われる。第1のIOPと第2のIOPは互いに
通信できず、出力スイッチング装置の制御が第1のIO
Pと第2のIOPとで行えるように、第1のIOPと第
2のIOPが出力スイッチング装置へ接続される。第1
のIOPと第2のIOPは他方のIOPから出力スイッ
チング装置への出力制御信号の状態を検出できる。フェ
イルオーバを行う方法は次の過程を含む。主のスレイブ
IOPは、誤りを検出した時に第2のスレイブIOPの
利用可能性を確認し、バックアップが求められているこ
とを示すために出力制御信号をセットする。さらに主の
スレイブIOPは主のスレイブIOPであることを止め
る。(主のスレイブIOPに動作を停止させる条件は、
ハードウエアはバックアップ要求をアサートすることで
ある。)第2のスレイブIOPは、一対のIOPの他の
IOPから主のスレイブIOPが障害を検出したことを
示す出力制御信号のセットを検出して、主のスレイブI
OPの役割を引き受ける。主制御器は、主のスレイブI
OPの故障の後で主のスレイブIOPへの第1のメッセ
ージによる主のスレイブIOPの誤りを検出し、状態入
力について主のスレイブIOPと第2のスレイブIOP
に問い合わせる。主制御器は主のスレイブIOPと第2
のスレイブIOPの間で主の役割を果たすべきIOPを
決定する。最後に、主制御器は、より動作可能なIOP
へ主のスレイブIOPの役割を与えることによりフェイ
ルオーバオペレーションを完了する。
【0007】
【実施例】本発明の方法について説明する前に、本発明
を利用できるシステム環境を理解することが助けとなる
。本発明の装置を利用しているプロセス制御装置10の
ブロック図が示されている図1を参照する。プロセス制
御装置10はプラント制御ネットワーク11を含む。 このプラント制御ネットワーク11のネットワークイン
ターフェイスモジュール(NIM)602へプロセス制
御器20が汎用制御ネットワーク(UCN)14を介し
て作動的に接続される。プロセス制御装置10の好適な
実施例においては、付加プロセス制御器20を対応する
UCN14と対応するNIM602を介してプラント制
御ネットワーク11へ作動的に接続できる。弁、圧力ス
イッチ、圧力計、熱電対を含む現場装置(図示せず)か
らのアナログ入力信号(A/I)と、アナログ出力信号
(A/O)と、デジタル入力信号(D/I)と、デジタ
ル出力信号(D/O)とをプロセス制御器20はプロセ
ス制御装置10へインターフェイスする。
【0008】プラント制御ネットワーク11はプラント
オペレータの操作と併せて被制御プロセスを全体的に管
理し、管理機能を行うために必要な全ての情報を得、オ
ペレータとのインターフェイスを含む。プラント制御ネ
ットワーク11は複数の物理的モジュールを含む。それ
らの物理的モジュールには汎用オペレータ部(US)1
22と、アプリケーションモジュール(AM)124と
、ヒストリーモジュール(HM)126と、コンピュー
タモジュール(CM)128と、被制御プロセスの求め
られている制御/管理機能を実行するために必要な、そ
れらのモジュールと同一の各種のモジュール(および追
加の種類のモジュール(図示せず)も)を含む。それら
の各物理的モジュールは必要に応じて互いに通信させる
ローカル制御ネットワーク(LCN)120へ作動的に
接続される。NIM602はLCN120とUCN14
の間のインターフェイスを行う。プラント制御ネットワ
ーク11と物理的モジュールのより完全な説明について
は米国特許第4,607,256号明細書を参照された
い。
【0009】次に、プロセス制御器20のブロック図が
示されている図2を参照する。プロセス制御装置10の
好適な実施例のプロセス制御装置20は制御器A30と
制御器B  40を含む。それらの制御器は一次制御器
および二次制御器として有効に動作する。制御器A  
30とB  40はUCN14へ接続され、UCN14
は、好適な実施例においては、通信を冗長にする目的で
UCN(A)14AとUCN(B)14Bを有する。入
力/出力プロセッサ(IOP)(ここでは時には入力/
出力(I/O)モジュールと呼ぶ)21が現場装置に対
してインターフェイスする。現場装置は各種の弁、各種
のスイッチ、各種の圧力計、各種の熱電対等である。そ
れら各種の現場装置はアナログ入力(A/I)、アナロ
グ出力(A/O)、デジタル入力(D/I)、デジタル
出力(D/O)とすることができる。制御器A  30
はバスA  22を介してI/Oモジュール21とのイ
ンターフェイスし、制御器A  30はバスA  22
を介してI/Oモジュール21とインターフェイスする
。また、同様に通信の冗長性を得るために、制御器A 
 30はバスB  23へも接続され、制御器B  4
0はバスA  22へ接続される。
【0010】制御器A  30とA  40およびB 
 30とB  40はUCN14と、制御器の間のリン
ク13と、バスA  22とB  23、A  22と
B  23を介して互いに通信する。好適な実施例にお
いてはバスAとBは直列I/Oリンクである。1つの制
御器(制御器A  30またはB  40)は主制御器
として動作し、他の制御器が第2の制御器として動作す
る。制御器A  30の障害が起きたとすると、制御器
Bが始動時間すなわち初期化時間がほとんどかからずに
制御機能を引き継ぐことができるという点ではバックア
ップというより、予約モードの意味合いが強い。所定の
時間基準で主制御器と名づけられている制御器によりポ
イント処理が行われ、I/Oモジュールと通信する。ま
た、主制御器として動作する制御器はプラント制御ネッ
トワーク11と通信して、状態および履歴を知らせ、プ
ラント制御ネットワークから汎用ステーション122を
介して、オペレータからの指令のような入力を受ける。 更に、主制御器に保持されているデータベースがリンク
13を介して第2の制御器と通信する。上記のように、
1つの制御器が第2の制御器として動作する。しかし、
プロセス制御器20には第2の制御器は不要であること
が当業者はわかるであろう。
【0011】制御器30、40のブロック図が示されて
いる図3を参照する。モデム50がUCN14へ接続さ
れる。このモデムは2つの入力端子を有する。1つの入
力端子はUCN14Aへ接続され、他の入力端子はUC
N14Bへ接続される。モデム50は通信ユニット(C
OMM)60とインターフェイスする。その通信ユニッ
トは大域メモリ70と、I/Oインターフェイス80と
  、制御ユニット90とに対して大域バス72を介し
てインターフェイスする。通信ユニット60は通信制御
ユニット、好適な実施例においてはトークンバス制御器
(TBC)61を含む。このトークンバス制御器はモト
ローラ68824型であって、ローカルバス62へ接続
される。プロセッサA  63(これは通信機能をほぼ
実行する)がローカルバス62とローカルメモリA  
64へ接続される。そのローカルメモリはローカルバス
62へも接続される。プロセッサA  63はモデム5
0とTBC61を介してプラント制御ネットワーク11
と通信する。ローカルメモリA  64は、プロセッサ
A  63とTBC61により使用するためプラント制
御ネットワーク11からダウンロードされてくるパーソ
ナリティイメージを含む情報を記憶する。プロセッサA
  63とB  91に共通である情報を大域メモリ7
0が記憶する。 大域メモリ70はバスA  22とB  23から受け
た全てのデータも記憶する。大域メモリ70はプロセッ
サA  63とB  91の間のプロセッサ間通信媒体
としても機能する。制御ユニット90はプロセッサB 
 91とローカルメモリB  92を含む。プロセッサ
B  91とローカルメモリB92はローカルバス93
へ接続される。 プロセッサB  91は現場装置に関連する制御機能(
すなわち、制御処理)を行う。これは本質的にはポイン
ト処理と、ローカルメモリB  92と大域メモリ70
を更新することを含む。制御ユニット90のローカルバ
ス93へは、プロセス制御器20の他の制御器30、4
0へのリンク13を介してのデータベースの転送を実現
するために利用されるトラックユニット(図示せず)も
結合される。トラックユニットのより詳しい説明につい
ては下記の米国特許出願を参照されたい。
【0012】(a)米国特許出願No.07/299,
857、1989年1月23日、ピー・ガーハート(P
.Gerhart)出願、名称「二次データベースを更
新するために所定のデータをトラッキングする装置(A
PPARATUSFORTRACKING  PRED
ETERMIND  DATA  FOR  UPDA
TING  A  SECONDARY  DATA 
 BASE)」。 (b)米国特許出願No.07/299,859、19
89年1月23日、ピー・マクローリン(P.McLa
ughlin)出願、名称「プロセス制御装置において
冗長プロセッサのデータベース更新を制御する方法(M
ETHOD  FOR  CONTROL  DATA
  BASE  UPDATING  OF  ARE
DUNDANT  PROCESSOR  IN  A
  PROCESS  CONTROL  SYSTE
M)」。 それら2つの米国特許出願は本願出願人へ譲渡されてい
る。IOPインターフェイスユニット80は受信器−送
信器装置を含む。この装置はUART(汎用非同期受信
器/送信器)81である。
【0013】プロセッサB  91は各種の現場装置か
ら大域メモリ70を介してデータを受け、必要なポイン
ト処理と制御機能を行い、それからローカルメモリB 
 92と大域メモリ70を要求に応じて更新する。通信
ユニット60は、制御ユニット90から大域メモリ70
を介して送られた指令に応じて、I/Oモジュール21
と大域メモリ70の間の(I/Oインターフェイスユニ
ット80を介する)データの入力と出力を行うことによ
り、制御ユニット90をI/Oモジュール管理の負担か
ら解散する。このようにして、所定の取り付けられてい
る現場装置に対してプロセス制御器20内の制御ユニッ
ト90により制御処理が行われ、通信(すなわち、I/
O制御)が通信ユニット60によりUART81を介し
て行われる。
【0014】I/Oモジュールのブロック図が示されて
いる図4を参照する。トランシーバ(防ジャバー(an
ti  jabber)回路)201がバスA  22
およびB23とインターフェイスする。トランシーバ2
01はマイクロ制御器202とインターフェイスする。 このマイクロ制御器は、好適な実施例においては、イン
テル(Intel)80C31形である。マイクロ制御
器はローカルバス203へ結合され、同様にEPROM
204とRAM205がローカルバスに接続される。そ
れらのRAM205はI/Oモジュール21のためのデ
ータベースを形成する情報を含む。EPROM204は
マイクロ制御器202により利用されるプログラム情報
を含む。ローカルバス203へは  、I/Oリンク(
バスA  22、バスB  23)からのI/Oリンク
アドレス情報を受ける入力バッファも結合される。ロー
カルバス203へは出力バッファ(BUFFER  O
UT)208も結合される。アプリケーション専用回路
209もローカルバス203へ接続され、そのローカル
バスを介して入力バッファ206と、出力バッファ20
8と、マイクロ制御器203とにインターフェイスする
。アプリケーション専用回路209は、I/Oモジュー
ルを結合すべき現場装置に応じてI/Oモジュールごと
に異なる。現場装置がデジタル入力を必要とする種類の
ものであるとすると、アプリケーション専用回路209
は、そのデジタル入力をI/Oモジュールの残りとイン
ターフェイスする所定のフォーマットに整えるための論
理を含む。同様に、現場装置がアナログ入力を必要とす
る種類のものとすると、アナログ入力信号を所定のフォ
ーマットに一致するフォーマットへ(A/D変換器を介
して)変換する論理を含む。このため、I/Oモジュー
ルは専用I/Oモジュール形と呼ばれる。マイクロ制御
器202はアプリケーション専用回路209に関するI
/O処理(または前処理)を行う。その処理は、前処理
の種類(すなわち、A/I、A/O...)に応じて変
化するが、アプリケーション専用回路からの信号を制御
器30、40の適合するフォーマットへ翻訳すること、
および制御器30、40からの信号をI/Oモジュール
21と適合するフォーマットにすることで構成される。 実行される前処理中には零ドリフトと、直線化(熱電対
を直線化する)と、ハードウエアの修正と、補償(利得
補償および零補償)と、基準ジャンクション補償と、較
正修正と、変換と、警報(リミット)の点検と...所
定の尺度(すなわち、工業単位、正規化単位、尺度の百
分率...)を有する所定のフォーマットで信号を発生
することを含む。好適な実施例においては、7種類のア
プリケーション専用回路が設けられる。それらのアプリ
ケーション専用回路は高レベルアナログ入力と、低レベ
ルアナログ入力と、アナログ出力と、デジタル入力と、
デジタル出力と、スマート送信器インターフェイスと、
パルス入力カウンタとを含む。
【0015】次に、プロセス制御器20内のI/Oモジ
ュール21の冗長案を実現するために利用される現場端
末アセンブリ(FTA)のブロック図が示されている図
5を参照する。上記のように、プロセス制御器20はI
/OリンクであるバスA  22及びバスB  23へ
接続されている制御器A  30とB  40を含む。 バス22、23へはI/Oモジュール21(ここでは入
力/出力プロセッサIOPとも呼ぶ)も接続される。プ
ロセス制御器20の好適な実施例において利用されるI
OPの冗長案においては、図5にAO(A)21−Aお
よびAO(B)21−Bとして示されているように、ア
ナログ出力形I/Oモジュール21は二重に設けられる
。他のI/Oモジュールも上記のようにI/Oリンク2
2、23へ接続されるが、簡単にするためにここでは示
していない。各IOPは上記のようにプロセッサ202
−Aと202−Bを含む。IOP  AO(A)とIO
PAO(B)は現場端末アセンブリ(FTA)251を
介して弁、熱電対などの現場装置(D)250へ接続さ
れる。 IOP、AO(A)21−AとAO(B)21−Bは同
じタスクを実行し、同じ情報(いずれのIOPにも誤り
がないと仮定する)をETA251へ出力する。しかし
、ただ1つのIOPから出力が次に説明するように実際
に現場装置250へ結合される。
【0016】一方のIOPは主IOPまたは第1のIO
Pに指定され、他のIOPはバックアップIOPまたは
冗長IOPに指定される。ここでは、IOP(A)21
−Aは現場装置250とインターフェイスする主IOP
であり、IOP  AO(B)21−Bは冗長IOPで
ある。両方のIOPは対応する電流源211−Aと21
1−Bからの同じ情報を出力する。出力情報は対応する
ダイオード212−Aと212−Bを介して共通点25
2へ結合される(その共通点は顧客ねじと時に呼ばれる
端子である)。電流源211−AとAO(A)21−A
のダイオード212−Aの間の接続点はリレー253の
第1の接点256へ接続され、電流源212−BとAO
(B)21−Bのダイオード212−Bの間の接続点は
リレー253の第2の接点257へ結合される。リレー
253のアーム258は接地されている。AO(B)2
1−Bの第2の電流源211−Bの出力端子が接地され
るように、通常(すなわち、コイル254に電流が流れ
ていない時)は、リレー253の第2の接点へ切り換え
られている。このようにしてAO(A)21−Aからの
出力情報だけが現場装置250へ結合される。AO(A
)21−Aが故障した場合に、AO(A)21−Aから
の出力が接地され、冗長IOP,AO(B)21−Bか
らの出力がただちに顧客ねじ252へ直結され、したが
って現場装置250へ結合されるように、リレー253
は切り換えられる。リレー253のスイッチングはリレ
ー253のコイルを励磁することにより開始される。
【0017】リレーコイル254の1つの端子がAO(
A)21−Aへ接続され、他の端子がAO(B)21−
Bへ接続される。通常は、IOP(A)が現場装置25
0と通信し、IOP(B)がバックアップモード(すな
わち、IOP(B)出力端子がリレー253により短絡
される)になるようにリレーが切り換えられている(電
流がコイル254を流れない)。制御器30により誤り
が検出されると、制御器A  30(または、第1の制
御器として機能するのであれば、制御器B  40)が
リレー253を切り換えさせるためにIOPへの指令を
開始する。IOP(A)とIOP(B)という2つのI
OPは誤りを検出した場合切り換えに影響を及ぼすこと
もできる。これについては後で説明する。
【0018】次にIOP冗長について説明する。例示の
ためだけに、冗長性を省き、IOPとバックアップIO
Pを有する図2のプロセス制御器20の簡略化したブロ
ック図が示されている図6を参照する。好適な実施例に
おいては、40個までのIOPを含むことができ、冗長
構成または非冗長構成に任意の種類のIOPを混ぜて含
ませることができる。上の説明から、制御器30は主制
御器として機能し、IOPモジュール21−Aは第1の
スレイブプロセッサとして機能し、IOPモジュール2
1−Bはバックアップ(または第2のあるいは冗長)ス
レイブプロセッサとしてモジュール機能する。
【0019】例示のためだけに、プロセス制御器20は
、第1の制御器として動作する制御器30とプロセス制
御装置の構成規則に従ってモジュール1として構成され
たIOPモジュール21−A(アナログ出力モジュール
)を有するものとする。IOP(A)21−Aは常に存
在し(A/O  IOPに対する要求を仮定して)、I
OP(B)21−Bは用いるかどうかは随意である(最
初はそれは構成されないと仮定する。したがって、IO
P(B)が図6には破線で示されている。)例示のため
に、IOP(A)がファイルアドレス3とカードアドレ
ス8に位置しているものと仮定する。この装置の好適な
実施例においては、キャビネットはファイル(行)とカ
ードスロットに分割される。したがって、この例におい
ては、IOP21−Aとして示されているA/O  I
OPの「プリント回路カード」は行3、カードスロット
8に差し込まれることになる。IOP(A)に1つの論
理アドレスが与えられ、この例においてはそのIOP(
A)は論理アドレス1が割当てれると仮定する。制御器
30のデータベースは、バスA  22に接続するIO
Pに関する論理アドレス1、ファイル3、カード8のI
OP(A)の物理的アドレスのデータを含み、最初は非
冗長性である。(表1の状態1を参照されたい。)制御
器30は構成されている論理アドレスを介して第1のス
レイブIOPと通信する。プロセス制御装置10へ電力
が供給され、制御器30とIOP(A)21−Aを含ん
でいるプロセス制御器20とともに初期化され、正常に
動作する。IOP(A)21−AはFTA251の「A
」点へ接続される。
【0020】
【0021】いくらか後の時刻において、装置10が動
作中にバックアップスレイブIOP21−Bを付加でき
る。IOP(A)21−Aは正常に動作を続け、IOP
(B)21−Bはファイル(キャビネット,行...)
内の任意の予備の場所に構成される。IOP(B)はF
TA251の「B」端子へ接続され、装置の構成規則に
従って、場所情報と、IOP(B)がモジュール1(す
なわち、論理アドレス1を有するモジュール)に対して
バックアップするという事実を含めて、IOP(B)に
関連する情報が(プラント制御ネットワーク11の汎用
ステーションUS  122から)出力される。その情
報は装置10が正常に動作している間に制御器30へ送
られ、制御器のデータベースが更新される(表1の基準
状態2、IOP(B)21−Bがファイル4、カードス
ロット10内に配置されていると仮定する)。そのよう
な情報をオペレータ入力端子から手動入力するために多
くの技術を利用できることが当業者はわかるであろう。 この装置の冗長性を理解するためにはそれらの技術につ
いての説明は不要であるから、それらの技術についての
説明は省略する。次に本発明を説明する。本発明の方法
はIOP(B)21−Bを同期させるために制御器30
が動作する。同期というのは、IOP(A)21−Aと
IOP(B)21−Bとに同一のデータベースを持たせ
るようにするプロセスのことである。制御器30がIO
P(A)のデータベースの情報を要求するとIOP(B
)21−BはIOP(A)21−Aから制御器30への
データの送信を傍受し、それのデータベースメモリに情
報を格納することにより、IOP(B)21−Bのデー
タベースを同じにする。その後IOP(B)が実行を開
始することを指令される。IOP(B)はIOP(A)
と同じ動作を行い、同じ情報をほぼ同じ時刻に(しかし
、各IOPはそれ自身のクロックを用いて動作する)F
TA251へ出力する。IOP(B)21−Bは専用バ
ックアップであることがわかるであろう。しかし、FT
A251の動作によりIOP(A)かIOP(B)のい
ずれかだけが上記のように現場装置250に達すること
を許される。IOP(B)がひとたび同期されると、制
御器のデータベースは表1の状態3に示すように更新さ
れる。
【0022】図に、リレースイッチ回路を制御する(お
よびテスト)するために用いられる回路のブロック図が
示されている図7を参照する。(テストオペレーション
についての完全な説明については、前記米国特許出願「
リレードライブ回路における障害検出(Fault  
Detection  in  Relay  Dri
veCircuits)」を参照できる。リレーコイル
254−1はドライバ301、302と第2のリレーコ
イル254−2とへ接続される。図5のリレー回路25
3は多数の接点と、所定数の接点を制御するいくつかの
リレーコイルとを有することができることを当業者は理
解されるであろう。リレー253の好適な実施例は全部
で8組の接点を利用する。第1の組の4個の接点は第1
のリレーコイル254−1により制御され、第2の組の
4個の接点は第2のリレーコイル254−2により制御
される。第1のリレーコイル254−1のためのドライ
バ301と、第2のリレーコイル254−2のためのド
ライバ401とはIOP(A)の出力端子A1へ接続さ
れる。第1のリレーコイル254−1のためのドライバ
302と第2のリレーコイル254−2のためのドライ
バ402はIOP(B)の出力端子B1へ接続される。 IOP(A)からの出力端子A1は信号CONTAをそ
れぞれのドライバへ供給し、IOP(B)からの出力端
子B1は信号CONTBをそれぞれのドライバへ供給す
る。それらの信号はリレースイッチ回路を制御するため
(および上記関連する米国特許に記載されているように
テストのために)用いられる。各IOPは現在の状態の
指示をそれらの制御線を介して他のIOPへ供給する。 リレーコイルは受信器回路へも接続され、リレーコイル
254−1は受信器回路311、312へ接続され、リ
レーコイル254−2は受信器回路411、412へ接
続される。第1のリレーコイルからの受信器回路311
の出力端子と、第2のリレーコイルからの受信器回路4
11の出力端子とは第1の判定回路(V)261−1へ
結合され、第1のリレーコイルからの受信器回路312
の出力端子と、第2のリレーコイルからの受信器412
の出力端子は第2の判定回路(V)261−2へ結合さ
れる。第1の判定回路の出力端子はIOP(B)の入力
端子B2へ結合され、第2の判定回路(V)261−2
の出力端子はIOP(A)の端子A2へ結合される。
【0023】制御モードにおいては、信号CONTAと
CONTBは「バックアップ要求」信号である。通常は
、出力信号は低くて、IOPが正常に動作していること
を示す。故障がIOPにより検出されると、対応する信
号が高く(または真に)なって、バックアップに対する
要求、またはバックアップのためにIOPを利用できな
いことを示す。冗長IOPの状態を判定するために、I
OPは入力A2またはB2を定期的に検査する。判定回
路261は、両方の入力が切り換えられるまで出力が同
じままであるように、回路に固有のある程度の記憶また
は履歴が存在するようなものである。
【0024】次に、制御器と、第1のIOPおよび第2
のIOPとの間の通信方式への流れ図が示されている図
8を参照する。正常な動作においては、制御器30から
IOP(A)21−Aへの全ての転送(すなわち、書込
み)はIOP(B)によっても受けられる。IOP(A
)とIOP(B)とはこの例では共に論理アドレス1を
有し、制御器30はその論理アドレスにより第1のIO
Pと通信するから、IOP(B)は通信を傍受できる。 制御器はそれの主処理を実行し、第1のIOPはそれの
主処理を実行し、第2のIOPはそれの主処理を実行す
る。第2のIOPの主処理は第1のIOPの主処理と同
じであるが、各IOPはそれ自身のクロックで動作して
いるから、先または後に動作する(これは、第2のIO
Pの初期設定が終わって、同期させられていると仮定し
ている)。ある時点において、制御器は論理アドレス1
を有するIOPへメッセージを送ることを許す。第1の
IOP21−Aと第2のIOP21−Bは共にそのメッ
セージを受ける。その後制御器はそれの主処理を続ける
。これに対して、第1のIOPはそれの主処理を停止し
て受信されるメッセージを受ける(ブロック900)。 論理アドレス1へ宛らられたメッセージを受け(ブロッ
ク901),そのメッセージを復号する(ブロック90
2)。検出したのが読取りメッセージであると第1のデ
ータベースで要求されたデータを次に読み出して、制御
器へ送るために、メッセージを読出しバッファに格納す
る。書込みメッセージが復号されると、そのメッセージ
は書込みバッファに格納され(ブロック904)、メッ
セージ番号が割当られる(ブロック905)。次に、確
認応答メッセージが、割り当てられたメッセージ番号と
ともに、第1のIOPにより制御器へ送られる(ブロッ
ク906)。確認応答メッセージは、メッセージが受け
られたこと並びに特定のメッセージ要求の状態について
制御器により行われる問い合わせをメッセージ番号によ
り行うことができるように割り当てられたメッセージ番
号を制御器へ知らせたことを示す。(この説明において
は、制御器からの書込み要求はデータベースについての
何らかの変化も意味する。)この後,特定のメッセージ
番号を有するメッセージの状態について制御器が問い合
わせを完了すると、メッセージ番号とともに進行中の状
態が戻されてくる。求められている動作が終わると、状
態は完了状態へ更新される(これは、第1のIOPの主
処理中に起こるのが普通である)。すなわち状態要求が
制御器により行われた時に完了状態を指示できる。この
実施例においては、完了状態は、良好、警報、故障を含
む3つの独特の種類を含む。この特定の状況においては
、故障というのはある誤り(たとえば、その点が活動的
でない、等)のために動作が行われないことを意味し、
警報は、動作は行われたが、データが変更されている(
たとえば、弁を102%開くという要求が、弁を100
%だけ開くように第1のIOPにより変更された)こと
を意味する。
【0025】第2のIOPは同様に論理アドレス1を有
する送られたメッセージを受ける。というのは、第2の
IOPが第1のIOPの論理アドレスを知っているから
である。メッセージを受けるために第2のIOPはそれ
の主処理を停止する(ブロック907)。受けたメッセ
ージを復号(ブロック908)、検出されたメッセージ
が読出しメッセージであると、処理は終わって第2のI
OPの主処理へ戻る。書込みメッセージが検出されると
、そのメッセージを書込みバッファに格納し(ブロック
909)、第1のIOPが応答した後で、確認応答メッ
セージ中の第1のIOPから第2のIOPへ送られたメ
ッセージ番号が調べられる(ブロック910)。第1の
IOPが応答に失敗したとすると、第2のIOPはその
メッセージを無視して、終了する。メッセージ番号は順
次割当られるから、第1のIOPにより割当られる次の
メッセージ番号を第2のIOPは知っている(ブロック
910)。また、最初の同期中に、第1のIOPの現在
のメッセージ番号を第2のIOPへ知らされる。メッセ
ージ番号の検査が問題なしとなると(ブロック911)
、第2のIOPのメッセージ処理ルーチンは終了し、第
2のIOPはその主処理へ戻る(ブロック911)。メ
ッセージ番号が予測したメッセージ番号でないとすると
、誤り、すなわち、不正確なメッセージ番号、が検出さ
れたこと、および第2のIOPが第1のIOPに同期さ
れていないことを制御器へ知らせるために、誤りフラッ
グを出す。主処理を行っている第2のIOPは第1のI
OPと同じデータに対して作用する(メッセージ番号検
査に合格したとして)が異なる時刻に、同じ順序で行う
。第2のIOPは、それ自身のクロックで動作するから
、第1のIOPの主処理より先または後に処理すること
がある。
【0026】次に、図9と図10および図11に示され
ている本発明の方法のフェイルオーバ動作の流れ図を参
照する。
【0027】上記のように、第1のIOP21−Aと第
2のIOP21−BはバスA−22を介して互いに通信
できない。通常は、第2のIOPは動作して、同期させ
られているから、第1のIOPと第2のIOPからFT
A251へそれぞれ出力される信号CONTAとCON
TBは低く(すなわち、偽)、第1のIOPは正常な状
態を指示し、第2のIOPはバックアップのために使用
できることを示す。第1のIOPが誤りを検出すると(
ある動作点検のある障害により診断を行っている結果と
して)(ブロック800),第1のIOPは第2のIO
P21−Bの状態を調べるために判定回路261からの
A2入力を調べる(ブロック801)。第2のIOPが
同期されていることを第1のIOPは確認し(ブロック
802)、それから第1のIOPはバックアップ要求信
号CONTAのレベルを高くすることによりフェイルオ
ーバを開始し(ブロック803)、それのデータベース
中の論理アドレスをクリヤする(ブロック804)。 IOP−Aは第2のIOPとして動作を続ける。第1の
IOPは故障する(すなわち、動作を停止する)ことが
ある。その場合には、ハードウエアはバックアップ要求
をアサートし、それは第2のIOPにより検出される。 この場合には、第1のIOPは第2のIOPにはならな
い。
【0028】第2のIOP21−Bは、第1のIOPの
状態を決定するために判定回路261からのB2入力を
定期的に調べる。第1のIOP−Aからのバックアップ
要求信号が真である(第1のIOP−Aがバックアップ
されることを望んでいることを示す)ことを検出すると
、第2のIOP−Bは、フェイルオーバプロセスにおお
いて、それのデータベース中の第1のフラッグをセット
することによりそれの役を果たし、それにより第1のI
OPの役を受けて第1のIOPとして動作する(ブロッ
ク806)。
【0029】制御器30は、第1のIOPへの次の送信
(読出しまたは書込み)において、(ブロック810)
、第1のIOP(IOP−A)からの応答を調べる(ブ
ロック811)。通信は前記方法に従って行われ、制御
器30は論理アドレスにより第1のIOPへアドレスす
る。第1のIOPがフェイルオーバプロセスによって論
理アドレスをクリヤするか(ブロック804),第1の
IOPが故障して応答できないとすると、IOP−Aは
通信に応答しない。第2のIOPとして動作しているI
OP−Bへは論理アドレスが割当られない(もっとも、
それは論理アドレスが何かを知っているから、傍受機能
を行うことはできる)から、通信には応答しない。 確認応答および求められた再試行がないまま所定時間経
過すると、制御器30は物理アドレスでIOP−AとI
OP−Bを各IOPの状態を判定するために問い合わせ
る(ブロック812)。それに対する応答の結果として
、第1のIOPとして動作させるIOPを決定するため
に制御器はIOP−AとIOP−Bの間で調整する(ブ
ロック813)。制御器30は状態応答を基にして調整
する。たとえば、IOP−AとIOP−Bが共に何らか
の障害を示すとしても、一方のIOPが他方のIOPよ
りも良好である。IOP−Aの8つの入力のうちの1つ
に誤りが生ずることがあり、IOP−Bは2つ以上の出
力に影響を及ぼすような誤りを生ずることがある。 この特定の例は二重障害型であって、冗長は二重障害を
取り扱うものではないが、二重障害をできるだけ優雅に
取り扱うという試みが行われる。IOP−Bに障害がな
い場合は、第2のIOPは第1のIOPの役割を引き受
け、IOP−Aは状態応答で示されたある誤り(CON
TAが高い)を有する。制御器30は、調整後に論理ア
ドレスを、この場合にはIOP−Bへ、与える(ブロッ
ク814)。制御器30により論理アドレスが与えられ
て,IOP−Bは第1のIOPにされて、制御器からの
通信へ応答できるようになる。IOP−A(たとえば部
分的に故障している)は第2のIOPとして動作し、上
記のように通信を傍受する。フェイルオーバの結果IO
P−Aは同期していないので、制御器は新しい第2のI
OP−Aを同期させるために必要なステップを行う。制
御器30により論理アドレスを与えることによってフェ
イルオーバは終わる。フェイルオーバの前は、IOP−
Bは、IOP−Aと並行に、第2のIOPとして動作と
していたから、現場装置250への出力通信が失われる
ことなしに、フェイルオーバは非常に効率良く行われる
ことが容易にわかるであろう。IOP−Aが動作しなく
なったとすると、故障修理のために手動操作が行われる
まではIOP−Bはバックアップなしに第1のIOPと
して動作する。
【0030】以上、本発明を好適な実施例について説明
したが、本発明の要旨および範囲を逸脱することなしに
その実施例を種々変更できることがわかるであろう。し
たがって、添付の請求の範囲において本発明の真の範囲
に入るそのような変更の全てを包含することを意図する
ものである。
【図面の簡単な説明】
【図1】本発明を利用できるプロセス制御装置のブロッ
ク図である。
【図2】本発明を利用できる、I/Oモジュールを含む
、プロセス制御のブロック図を示す。
【図3】図2のプロセス制御器に含まれている制御器の
ブロック図を示す。
【図4】図2のプロセス制御器に含まれているI/Oモ
ジュールのブロック図を示す。
【図5】図2のプロセス制御器内のI/Oモジュールの
冗長スキームのブロック図を示す。
【図6】図2のプロセス制御器の簡単にしたブロック図
を示す。
【図7】リレースイッチ回路を制御するために利用され
る回路のブロック図を示す。
【図8】制御器と、第1のIOPおよび第2のIOPと
の間の通信スキームの流れ図を示す。
【図9】本発明の方法のフェイルオーバオペレーション
の流れ図を示す。
【図10】図9に組み合わされる、本発明の方法のフェ
イルオーバオペレーションの流れ図を示す。
【図11】図9と図10に組み合わされる、本発明の方
法のフェイルオーバオペレーションの流れ図を示す。
【符号の説明】
10  プロセス制御装置 14  汎用制御ネットワーク 20  プロセス制御器 21  入力/出力モジュール 30  制御器A 40  制御器B 120  ローカル制御ネットワーク 122  汎用オペレータ部 124  応用モジュール 126  ヒストリーモジュール 128  コンピュータモジュール 202  マイクロ制御器 204  EPROM 205  RAM 206、208  バッファ 209  アプリケーション専用回路

Claims (1)

    【特許請求の範囲】
  1. 【請求項1】  通信リンクへ作動的に接続された主制
    御器と、少なくとも第1,第2の一対のスレイブ入力/
    出力プロセッサ(IOP)を有するプロセス制御装置で
    あって、各IOPが通信リンクへ作動的に接続され、一
    対のIOPのうち第1のIOPは主スレイブIOPであ
    り、第2のIOPは第2のスレイブIOPであり、第1
    のIOPと第2のIOPは第1のデータベースと第2の
    データベースをそれぞれ有し、第1のIOPと第2のI
    OPは第1のクロッキング装置と第2のクロッキング装
    置をそれぞれ利用して同じタスクを実行し、第1のIO
    Pと第2のIOPとのデータベースは同期させられ、主
    制御器による第1のデータベースを修正する通信を含む
    通信が第1のIOPに対してのみ行われ、第1のIOP
    と第2のIOPは互いに通信できず、出力スイッチの制
    御が第1のIOPと第2のIOPで共に行えるように、
    第1のIOPと第2のIOPが出力スイッチング装置へ
    おのおの作動的に接続され、第1のIOPと第2のIO
    Pは他方のIOPからの出力スイッチング装置への出力
    制御信号の状態を検出できる、プロセス制御装置におい
    て、主スレイブIOPは、 a)誤りを検出した時に第2のスレイブIOPの利用可
    能性を確認する過程と、 b)バックアップが求められていることを示すために出
    力制御信号をセットする過程と、 c)主スレイブIOPであることから自身を抜け出させ
    る過程と、を行い、第2のスレイブIOPは、d)一対
    のIOPの他のIOPからの主スレイブIOPが障害を
    検出したことを示す出力制御信号を検出する過程と、 e)主スレイブIOPの役割を引き受ける過程と、を行
    い、主制御器は、 f)主スレイブIOPの誤りを検出する過程と、g)状
    態入力に対して主スレイブIOPと第2のスレイブIO
    Pとに問い合わせする過程と、 h)第1のIOPと第2のIOPとを間で主の役割を果
    たすべきIOPを決定する過程と、 i)より正常に動作するIOPへ主スレイブIOPの役
    割を与えることによりフェイルオーバ動作を完了する過
    程と、を行う、主制御器と少なくとも一対のスレイブ入
    力/出力プロセッサを有するプロセス制御装置のフェイ
    ルオーバ方法。
JP3273615A 1990-09-26 1991-09-26 プロセス制御装置のフェイルオーバ方法 Pending JPH04314138A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US07/588,385 US5136498A (en) 1990-09-26 1990-09-26 Method for enacting failover of a 1:1 redundant pair of slave processors
US588,385 1990-09-26

Publications (1)

Publication Number Publication Date
JPH04314138A true JPH04314138A (ja) 1992-11-05

Family

ID=24353624

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3273615A Pending JPH04314138A (ja) 1990-09-26 1991-09-26 プロセス制御装置のフェイルオーバ方法

Country Status (5)

Country Link
US (1) US5136498A (ja)
EP (1) EP0478291B1 (ja)
JP (1) JPH04314138A (ja)
CA (1) CA2051888C (ja)
DE (1) DE69125330T2 (ja)

Families Citing this family (85)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5255388A (en) * 1990-09-26 1993-10-19 Honeywell Inc. Synchronizing slave processors through eavesdrop by one on a write request message directed to another followed by comparison of individual status request replies
US5202822A (en) * 1990-09-26 1993-04-13 Honeywell Inc. Universal scheme of input/output redundancy in a process control system
US5270699A (en) * 1991-08-13 1993-12-14 Rockwell International Corporation Fault tolerant signaling
JP3524936B2 (ja) * 1992-01-15 2004-05-10 キャタピラー インコーポレイテッド 油圧駆動車両用の冗長制御装置
JPH06214969A (ja) * 1992-09-30 1994-08-05 Internatl Business Mach Corp <Ibm> 情報通信方法および装置
US5426774A (en) * 1993-04-06 1995-06-20 Honeywell Inc. Method for maintaining a sequence of events function during failover in a redundant multiple layer system
US5408649A (en) * 1993-04-30 1995-04-18 Quotron Systems, Inc. Distributed data access system including a plurality of database access processors with one-for-N redundancy
US6181929B1 (en) * 1996-05-20 2001-01-30 Motorola, Inc. Method for switching cell site controllers
KR100195065B1 (ko) * 1996-06-20 1999-06-15 유기범 데이타 통신망 정합장치
KR100195064B1 (ko) * 1996-06-20 1999-06-15 유기범 데이타 통신망 정합장치
US6012150A (en) * 1997-03-27 2000-01-04 International Business Machines Corporation Apparatus for synchronizing operator initiated commands with a failover process in a distributed processing system
US5966301A (en) * 1997-06-13 1999-10-12 Allen-Bradley Company, Llc Redundant processor controller providing upgrade recovery
US6070251A (en) * 1997-06-26 2000-05-30 Sun Microsystems, Inc. Method and apparatus for high availability and caching data storage devices
US6006342A (en) * 1997-12-11 1999-12-21 International Business Machines Corporation Failover and failback system for a direct access storage device
US6112311A (en) * 1998-02-20 2000-08-29 International Business Machines Corporation Bridge failover system
US6061750A (en) * 1998-02-20 2000-05-09 International Business Machines Corporation Failover system for a DASD storage controller reconfiguring a first processor, a bridge, a second host adaptor, and a second device adaptor upon a second processor failure
US6272386B1 (en) * 1998-03-27 2001-08-07 Honeywell International Inc Systems and methods for minimizing peer-to-peer control disruption during fail-over in a system of redundant controllers
US6067633A (en) * 1998-03-31 2000-05-23 International Business Machines Corp Design and methodology for manufacturing data processing systems having multiple processors
CN1092864C (zh) * 1998-08-25 2002-10-16 华为技术有限公司 主备份倒换装置
US6393485B1 (en) 1998-10-27 2002-05-21 International Business Machines Corporation Method and apparatus for managing clustered computer systems
US6460146B1 (en) * 1998-12-04 2002-10-01 Cisco Technology, Inc. System and method for establishing processor redundancy
JP3777562B2 (ja) * 1999-02-18 2006-05-24 富士通株式会社 伝送装置
US6457138B1 (en) * 1999-04-19 2002-09-24 Cisco Technology, Inc. System and method for crash handling on redundant systems
JP2001106331A (ja) * 1999-10-08 2001-04-17 Kyowa Seisakusho:Kk 搬送制御システム
US6701198B1 (en) * 1999-12-22 2004-03-02 Rockwell Automation Technologies, Inc. Safety network for industrial controller allowing initialization on standard networks
US6738826B1 (en) 2000-02-24 2004-05-18 Cisco Technology, Inc. Router software upgrade employing redundant processors
US6820213B1 (en) 2000-04-13 2004-11-16 Stratus Technologies Bermuda, Ltd. Fault-tolerant computer system with voter delay buffer
US6687851B1 (en) * 2000-04-13 2004-02-03 Stratus Technologies Bermuda Ltd. Method and system for upgrading fault-tolerant systems
US7280529B1 (en) * 2000-05-20 2007-10-09 Ciena Corporation Providing network management access through user profiles
US6990606B2 (en) * 2000-07-28 2006-01-24 International Business Machines Corporation Cascading failover of a data management application for shared disk file systems in loosely coupled node clusters
JP3877519B2 (ja) * 2000-12-15 2007-02-07 株式会社日立製作所 システム回復方法およびその実施計算機システム並びにその処理プログラムを記録した記録媒体
US6845467B1 (en) 2001-02-13 2005-01-18 Cisco Systems Canada Co. System and method of operation of dual redundant controllers
US6715098B2 (en) 2001-02-23 2004-03-30 Falconstor, Inc. System and method for fibrechannel fail-over through port spoofing
US7058170B2 (en) * 2001-05-30 2006-06-06 Siemens Communications, Inc. Method for operating and apparatus for a back-plane supporting redundant circuit cards
US7370239B2 (en) * 2001-05-31 2008-05-06 Fisher-Rosemount Systems, Inc. Input/output device with configuration, fault isolation and redundant fault assist functionality
US7017074B2 (en) * 2002-03-12 2006-03-21 Sun Microsystems, Inc. System architecture providing redundant components to improve die yields and system reliability
US7197664B2 (en) * 2002-10-28 2007-03-27 Intel Corporation Stateless redundancy in a network device
US7149923B1 (en) * 2003-01-17 2006-12-12 Unisys Corporation Software control using the controller as a component to achieve resiliency in a computer system utilizing separate servers for redundancy
US7512830B2 (en) * 2004-05-14 2009-03-31 International Business Machines Corporation Management module failover across multiple blade center chassis
CH697274B1 (de) * 2004-09-09 2008-07-31 Alstom Technology Ltd Regelungsvorrichtung zur redundant abgesicherten Überwachung und Regelung einer Anlage.
JP4600158B2 (ja) * 2005-06-01 2010-12-15 トヨタ自動車株式会社 車両の電子制御装置
US8713551B2 (en) * 2006-01-03 2014-04-29 International Business Machines Corporation Apparatus, system, and method for non-interruptively updating firmware on a redundant hardware controller
JP4802207B2 (ja) * 2008-04-23 2011-10-26 株式会社日立製作所 情報処理システムの制御方法、情報処理システム、およびプログラム
DE102010025515A1 (de) * 2010-06-29 2011-12-29 Phoenix Contact Gmbh & Co. Kg Kommunikationssystem zum Verbinden von Feldgeräten mit einer überlagerten Steuereinrichtung
US20130282238A1 (en) * 2011-11-16 2013-10-24 Flextronics Ap, Llc Monitoring state-of-health of processing modules in vehicles
US9081653B2 (en) 2011-11-16 2015-07-14 Flextronics Ap, Llc Duplicated processing in vehicles
US8971173B1 (en) * 2012-09-28 2015-03-03 Juniper Networks, Inc. Methods and apparatus for scalable resilient networks
US9916213B1 (en) * 2013-03-15 2018-03-13 Bitmicro Networks, Inc. Bus arbitration with routing and failover mechanism
US9798688B1 (en) 2013-03-15 2017-10-24 Bitmicro Networks, Inc. Bus arbitration with routing and failover mechanism
US10430303B1 (en) * 2013-03-15 2019-10-01 Bitmicro Networks, Inc. Bus arbitration with routing and failover mechanism
JP5954338B2 (ja) * 2014-01-14 2016-07-20 横河電機株式会社 計装システム及びその保守方法
US9604585B2 (en) 2014-07-11 2017-03-28 Ford Global Technologies, Llc Failure management in a vehicle
JP6299640B2 (ja) * 2015-03-23 2018-03-28 横河電機株式会社 通信装置
US10002091B2 (en) * 2015-03-26 2018-06-19 Honeywell International Inc. Master/slave management for redundant process controller modules
US10692126B2 (en) 2015-11-17 2020-06-23 Nio Usa, Inc. Network-based system for selling and servicing cars
US20180012196A1 (en) 2016-07-07 2018-01-11 NextEv USA, Inc. Vehicle maintenance manager
US9928734B2 (en) 2016-08-02 2018-03-27 Nio Usa, Inc. Vehicle-to-pedestrian communication systems
US10031523B2 (en) 2016-11-07 2018-07-24 Nio Usa, Inc. Method and system for behavioral sharing in autonomous vehicles
US10694357B2 (en) 2016-11-11 2020-06-23 Nio Usa, Inc. Using vehicle sensor data to monitor pedestrian health
US10410064B2 (en) 2016-11-11 2019-09-10 Nio Usa, Inc. System for tracking and identifying vehicles and pedestrians
US10708547B2 (en) 2016-11-11 2020-07-07 Nio Usa, Inc. Using vehicle sensor data to monitor environmental and geologic conditions
US10699305B2 (en) 2016-11-21 2020-06-30 Nio Usa, Inc. Smart refill assistant for electric vehicles
US10249104B2 (en) 2016-12-06 2019-04-02 Nio Usa, Inc. Lease observation and event recording
US10074223B2 (en) 2017-01-13 2018-09-11 Nio Usa, Inc. Secured vehicle for user use only
US9984572B1 (en) 2017-01-16 2018-05-29 Nio Usa, Inc. Method and system for sharing parking space availability among autonomous vehicles
US10031521B1 (en) 2017-01-16 2018-07-24 Nio Usa, Inc. Method and system for using weather information in operation of autonomous vehicles
US10471829B2 (en) 2017-01-16 2019-11-12 Nio Usa, Inc. Self-destruct zone and autonomous vehicle navigation
US10286915B2 (en) 2017-01-17 2019-05-14 Nio Usa, Inc. Machine learning for personalized driving
US10464530B2 (en) 2017-01-17 2019-11-05 Nio Usa, Inc. Voice biometric pre-purchase enrollment for autonomous vehicles
US10897469B2 (en) 2017-02-02 2021-01-19 Nio Usa, Inc. System and method for firewalls between vehicle networks
US10503617B2 (en) 2017-02-16 2019-12-10 Honeywell International Inc. Method for synchronizing redundant controllers without hardware support
US9990286B1 (en) * 2017-05-05 2018-06-05 Honeywell International, Inc. Memory tracking using copy-back cache for 1:1 device redundancy
US10234302B2 (en) 2017-06-27 2019-03-19 Nio Usa, Inc. Adaptive route and motion planning based on learned external and internal vehicle environment
US10369974B2 (en) 2017-07-14 2019-08-06 Nio Usa, Inc. Control and coordination of driverless fuel replenishment for autonomous vehicles
US10710633B2 (en) 2017-07-14 2020-07-14 Nio Usa, Inc. Control of complex parking maneuvers and autonomous fuel replenishment of driverless vehicles
US10837790B2 (en) 2017-08-01 2020-11-17 Nio Usa, Inc. Productive and accident-free driving modes for a vehicle
US10635109B2 (en) 2017-10-17 2020-04-28 Nio Usa, Inc. Vehicle path-planner monitor and controller
US10606274B2 (en) 2017-10-30 2020-03-31 Nio Usa, Inc. Visual place recognition based self-localization for autonomous vehicles
US10935978B2 (en) 2017-10-30 2021-03-02 Nio Usa, Inc. Vehicle self-localization using particle filters and visual odometry
US10717412B2 (en) 2017-11-13 2020-07-21 Nio Usa, Inc. System and method for controlling a vehicle using secondary access methods
CN108363291B (zh) * 2018-03-06 2024-06-14 杭州电子科技大学 一种主从双备份式冰下湖可回收型探测器测控系统和方法
US10369966B1 (en) 2018-05-23 2019-08-06 Nio Usa, Inc. Controlling access to a vehicle using wireless access devices
US11449403B2 (en) * 2019-10-09 2022-09-20 Honeywell International Inc. Apparatus and method for diagnosing faults in a fieldbus interface module
US11215378B2 (en) * 2020-05-06 2022-01-04 Trane International Inc. Systems and methods for controlling a climate control system
EP4063974A1 (en) * 2021-03-23 2022-09-28 ABB Schweiz AG Controlling an industrial process using virtualized instances of control software

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61169036A (ja) * 1985-01-22 1986-07-30 Nec Corp システム監視装置
JPH02118738A (ja) * 1988-10-27 1990-05-07 Fuji Electric Co Ltd 二重化制御システムの異常レベルによる切換方式

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS56110163A (en) * 1980-02-06 1981-09-01 Hitachi Ltd Logout system
US4933833A (en) * 1980-09-23 1990-06-12 Ads Services, Inc. Measurement and control system
US4872106A (en) * 1983-04-06 1989-10-03 New Forney Corp. Industrial process control system with back-up data processors to take over from failed primary data processors
JPS6182201A (ja) * 1984-09-29 1986-04-25 Nec Home Electronics Ltd フエイルセ−フ制御回路
US4959768A (en) * 1989-01-23 1990-09-25 Honeywell Inc. Apparatus for tracking predetermined data for updating a secondary data base
US4958270A (en) * 1989-01-23 1990-09-18 Honeywell Inc. Method for control data base updating of a redundant processor in a process control system
US5008805A (en) * 1989-08-03 1991-04-16 International Business Machines Corporation Real time, fail safe process control system and method
US5088021A (en) * 1989-09-07 1992-02-11 Honeywell, Inc. Apparatus and method for guaranteed data store in redundant controllers of a process control system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61169036A (ja) * 1985-01-22 1986-07-30 Nec Corp システム監視装置
JPH02118738A (ja) * 1988-10-27 1990-05-07 Fuji Electric Co Ltd 二重化制御システムの異常レベルによる切換方式

Also Published As

Publication number Publication date
EP0478291A3 (en) 1993-06-30
CA2051888A1 (en) 1992-03-27
DE69125330T2 (de) 1997-09-18
CA2051888C (en) 1998-07-07
EP0478291A2 (en) 1992-04-01
EP0478291B1 (en) 1997-03-26
DE69125330D1 (de) 1997-04-30
US5136498A (en) 1992-08-04

Similar Documents

Publication Publication Date Title
JPH04314138A (ja) プロセス制御装置のフェイルオーバ方法
US5202822A (en) Universal scheme of input/output redundancy in a process control system
US5261092A (en) Synchronizing slave processors through eavesdrop by one on periodic sync-verify messages directed to another followed by comparison of individual status
EP0478290B1 (en) Method of maintaining synchronization of a free-running secondary processor
EP0974912B1 (en) Fault resilient/fault tolerant computing
US5255388A (en) Synchronizing slave processors through eavesdrop by one on a write request message directed to another followed by comparison of individual status request replies
JP2683970B2 (ja) リレー装置の動作能力を確認する方法
JP4182948B2 (ja) フォールト・トレラント・コンピュータシステムと、そのための割り込み制御方法
JP3015537B2 (ja) 電子計算機の二重化方式
JPS5890202A (ja) プロセス制御装置
JPH04241643A (ja) コンピュータシステムの故障診断装置
JPH09146853A (ja) 二重化計算機及びその障害系復旧方法
JPH08137709A (ja) 情報処理システム
JPH04195646A (ja) 多重化システム
JPS60245031A (ja) フアイル二重化方式
JPH04137144A (ja) データ処理装置

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 19960305