JPH11134209A - Fault tolerant controler - Google Patents
Fault tolerant controlerInfo
- Publication number
- JPH11134209A JPH11134209A JP9297526A JP29752697A JPH11134209A JP H11134209 A JPH11134209 A JP H11134209A JP 9297526 A JP9297526 A JP 9297526A JP 29752697 A JP29752697 A JP 29752697A JP H11134209 A JPH11134209 A JP H11134209A
- Authority
- JP
- Japan
- Prior art keywords
- control
- counter
- slave
- control unit
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Hardware Redundancy (AREA)
- Feedback Control In General (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、人工衛星の姿勢
制御などにおいて、主系制御部の異常発生時に、この主
系制御部から従系制御部へ稼動を受け継がせるフォール
トトレラント制御装置に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a fault-tolerant control device that allows an operation of a main control unit to be passed to a sub-control unit when an abnormality occurs in a main control unit in attitude control of an artificial satellite.
【0002】[0002]
【従来の技術】従来の情報処理システムでは、システム
の一部に異常が発生した場合には、そのシステムによる
処理動作を停止させたり、システムが実行していた内容
を再度実行し、それでも異常状態が継続すれば、システ
ムを停止させたり、あるいはシステムにおける異常なブ
ロックを判定して、そのブロックによる処理を停止し、
システム全体がダウンするのを未然に回避したりしてい
る。2. Description of the Related Art In a conventional information processing system, when an abnormality occurs in a part of the system, the processing operation of the system is stopped or the contents executed by the system are executed again. Continue, or stop the system or determine the abnormal block in the system, stop the processing by the block,
It prevents the entire system from going down.
【0003】このような従来の情報処理システムでは、
少なくともシステムの一部の機能が停止するため、デー
タ処理において故障時の機能低下が許容される場合は、
そのままのシステム運用が可能であるものの、制御装置
のように一部の機能の停止も許されない用途には適用で
きない。従って、故障発生後の動作継続を実現するため
には、その動作の継続、システムによる処理動作の継続
を保証する必要がある。In such a conventional information processing system,
If at least some functions of the system are stopped, and if data processing can be reduced in the event of a failure,
Although it is possible to operate the system as it is, it cannot be applied to uses in which suspension of some functions is not allowed, such as a control device. Therefore, in order to realize the continuation of the operation after the occurrence of the failure, it is necessary to guarantee the continuation of the operation and the continuation of the processing operation by the system.
【0004】一方、これに対して、動作停止,処理動作
の停止が許されない制御装置を持った情報処理システム
では、多数の系統を同時に動作させる多重冗長性を付与
して、異常が検出された場合にも、異常な系統のシステ
ムに代えて正常な系統のシステムに動作を引き継がせる
フォールトトレラント制御が実用されるに及んでいる。[0004] On the other hand, in an information processing system having a control device in which operation stop and processing operation stop are not allowed, an abnormality is detected by providing multiple redundancy for operating many systems simultaneously. In this case, fault-tolerant control has been put to practical use in which the operation of the system of the normal system is taken over instead of the system of the abnormal system.
【0005】[0005]
【発明が解決しようとする課題】しかしながら、かかる
従来のフォールトトレラント制御システムでは、動作継
続のために複数の系統の制御部を共に、常に動作させて
おく必要があるため、電力や重量等に関して大掛りなリ
ソースが必要となり、特に、人工衛星の電子回路のよう
に、かかるリソースの面での制約が大きいシステムには
適用が難しいという課題があった。However, in such a conventional fault-tolerant control system, it is necessary to keep the control units of a plurality of systems operating at all times in order to continue the operation. It takes a lot of resources, and there is a problem that it is difficult to apply it to a system in which restrictions on such resources are large, such as an electronic circuit of an artificial satellite.
【0006】この発明は前記のような課題を解決するも
のであり、従来の本格的なシステムで行われているよう
な多重同時動作系ではなく、通常は動作状態にある主系
制御部と、通常は待機状態にあって、主系制御部の異常
時に処理を主系制御部から受け継ぐ系統の簡単な待機冗
長系を用いて、処理動作の継続性を確実に実現できるフ
ォールトトレラント制御装置を得ることを目的とする。[0006] The present invention solves the above-mentioned problems, and is not a multiple simultaneous operation system as performed in a conventional full-scale system, but a main system control unit which is normally operating. A fault-tolerant control device capable of reliably realizing the continuity of the processing operation is obtained by using a simple standby redundant system which is normally in a standby state and inherits processing from the main control unit when the main control unit is abnormal. The purpose is to:
【0007】[0007]
【課題を解決するための手段】前記目的達成のため、請
求項1の発明にかかるフォールトトレラント制御装置
は、予め定められたシーケンスに従って制御対象を制御
モードごとに順次制御する主系制御部と、該主系制御部
による制御に並行してクロックをカウントする主系カウ
ンタと、該主系カウンタのクロックに同期した独自のク
ロックをカウントする従系カウンタとを設けて、前記主
系制御部の異常発生時に起動される従系制御部に、この
起動時の前記従系カウンタのカウント値にもとづき、前
記主系制御部の制御モードを受け継がせて、制御対象の
制御を実行させるようにしたものである。In order to achieve the above object, a fault tolerant control apparatus according to the first aspect of the present invention includes: a main system control unit for sequentially controlling a control target in each control mode according to a predetermined sequence; A main system counter that counts a clock in parallel with the control of the main system control unit and a sub system counter that counts a unique clock synchronized with the clock of the main system counter are provided, and The slave control unit started at the time of occurrence causes the control mode of the master control unit to be inherited based on the count value of the slave counter at the time of the start, thereby executing the control of the control target. is there.
【0008】また、請求項2の発明にかかるフォールト
トレラント制御装置は、前記主系カウンタおよび従系カ
ウンタを動作させるクロックを、外部で生成されかつ前
記制御の状態が推定可能なタイミング信号としたもので
ある。Further, a fault tolerant control device according to a second aspect of the present invention, wherein a clock for operating the master counter and the slave counter is a timing signal generated externally and from which the control state can be estimated. It is.
【0009】また、請求項3の発明にかかるフォールト
トレラント制御装置は、前記主系カウンタおよび従系カ
ウンタに、各主系制御部による各制御モードの開始時点
ごとに独自にカウント値をカウントアップさせるように
したものである。The fault tolerant control device according to the third aspect of the present invention causes the master counter and the slave counter to independently count up a count value at each start time of each control mode by each master controller. It is like that.
【0010】[0010]
【発明の実施の形態】以下、この発明の実施の一形態を
図について説明する。図1はこの発明のフォールトトレ
ラント制御装置を示すブロック図であり、同図におい
て、11はフォールトトレラント制御装置であり、この
フォールトトレラント制御装置11内には、主系部12
および従系部13の2系統に分けて、予め定められたシ
ーケンスに従って制御対象を制御モードごとに順次制御
する主系制御部15と、この主系制御部15による制御
に並行してクロックをカウントする主系カウンタ14
と、この主系カウンタ14のクロックに同期した独自の
クロックをカウントする従系カウンタ16と、前記主系
制御部15の異常発生時に起動され、この起動時の前記
従系カウンタ16のカウント値にもとづき、前記主系制
御部15の制御モードを受け継いで制御対象の制御を実
行する従系制御部17とが設けられている。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS One embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing a fault-tolerant control apparatus according to the present invention. In FIG. 1, reference numeral 11 denotes a fault-tolerant control apparatus.
And a main system control unit 15 that divides the system into two systems of a sub system unit 13 and sequentially controls a control target for each control mode according to a predetermined sequence, and counts a clock in parallel with the control by the main system control unit 15. Main system counter 14
And a slave counter 16 that counts its own clock synchronized with the clock of the master counter 14, and is activated when an abnormality occurs in the master controller 15. Based on the above, there is provided a slave control unit 17 that executes control of a control target while inheriting the control mode of the master control unit 15.
【0011】また、これらの主系カウンタ14および従
系カウンタ16と、主系制御部15および従系制御部1
7とが、それぞれ同一要素によって構成されている。さ
らに、主系カウンタ14および従系カウンタ16はそれ
ぞれ独立したクロックにより動作し、従って、従系カウ
ンタ16は従系制御部17が待機状態にある場合におい
ても独自にカウント動作を行う。The master counter 14 and the slave counter 16, the master controller 15 and the slave controller 1
7 are constituted by the same elements. Further, the master counter 14 and the slave counter 16 operate with independent clocks. Therefore, the slave counter 16 independently performs a counting operation even when the slave controller 17 is in the standby state.
【0012】次に動作を、図2および図3を参照しなが
ら説明する。図2は主系制御部15および主系カウンタ
14と、従系制御部17および従系カウンタ16の各動
作タイミングを示すタイミングチャートであり、図3は
動作の流れを示すフローチャートである。まず、通常状
態においては、図2に示すように、主系制御部15が、
制御モード1,制御モード2,制御モード3,・・・ご
とに、予め定められたシーケンスに従って順次制御対象
の制御を実行していく(ステップS1)。具体的には、
制御対象の状態に応じて使用する制御論理,センサ,ア
クチュエータなどの制御対象を切り替えて、主系制御部
15に異常がない場合には(ステップS2)、最適な制
御を引き続き継続していく(ステップS3)。Next, the operation will be described with reference to FIGS. FIG. 2 is a timing chart showing operation timings of the main control unit 15 and the main counter 14, and the sub control unit 17 and the sub counter 16, and FIG. 3 is a flowchart showing the operation flow. First, in the normal state, as shown in FIG.
The control of the control object is sequentially performed in accordance with a predetermined sequence for each of the control mode 1, the control mode 2, the control mode 3, and so on (step S1). In particular,
The control target such as the control logic, the sensor, and the actuator to be used is switched according to the state of the control target, and if there is no abnormality in the main system control unit 15 (step S2), the optimal control is continuously continued (step S2). Step S3).
【0013】一方、この主系制御部15による制御と並
行して、主系カウンタ14および従系カウンタ16がそ
れぞれ独立したクロックにより動作し、そのカウンタ値
は、時間の経過に従って、各制御モードの開始時点で、
それぞれカウント値1,カウント値2,カウント値3,
・・・と変化していく。なお、従系カウンタ16は主系
カウンタ14に対し同期して動作する。On the other hand, in parallel with the control by the master controller 15, the master counter 14 and the slave counter 16 operate with independent clocks, and the counter value is changed in each control mode as time passes. At the start,
Count value 1, count value 2, count value 3, respectively
... and change. The slave counter 16 operates in synchronization with the master counter 14.
【0014】いま、かかる主系制御部15による制御動
作が制御モード3まで進んだ時点で異常が発生し、待機
系(従系)を起動する必要が生じた場合には(ステップ
S2)、従系制御部17は前記異常時にその起動を開始
するとともに(ステップS4)、従系カウンタ16のカ
ウント値を読み込む(ステップS5)。If an abnormality occurs when the control operation of the main controller 15 proceeds to the control mode 3 and it becomes necessary to start the standby system (slave system) (step S2), The system control unit 17 starts the activation at the time of the abnormality (step S4) and reads the count value of the slave system counter 16 (step S5).
【0015】この例では、図2に示すように、異常発生
時のカウント値は3であるため、従系制御部17は主系
制御部15が制御モード3まで進んでいたと判断して、
制御モードを再起動して制御モード3,制御モード4,
・・・のように制御動作を継続していくこととなる(ス
テップS6)。ここで、従系制御部17に異常があるか
否かを調べ(ステップS7)、異常がない場合にはその
従系制御部17によるモード制御を継続し(ステップS
8)、異常があった場合には、例えば従系制御部17を
停止するなどして(ステップS9)、制御を終了する。In this example, as shown in FIG. 2, since the count value at the time of occurrence of an abnormality is 3, the slave control unit 17 determines that the master control unit 15 has advanced to the control mode 3, and
Control mode is restarted and control mode 3, control mode 4,
..., the control operation is continued (step S6). Here, it is checked whether or not there is an abnormality in the slave control unit 17 (step S7). If there is no abnormality, the mode control by the slave control unit 17 is continued (step S7).
8) If there is an abnormality, the control is terminated by, for example, stopping the slave control unit 17 (step S9).
【0016】通常、人工衛星のように、制御対象や条件
を事前に十分知ることができるケースでは、その事前の
制御対象等の解析により、制御開始からの経過時間によ
って、起動すべき制御モードを推定することは十分可能
である。これにより、従系制御部17は動作していなか
ったにも関わらず、あたかも主系制御部15の状態をモ
ニタしていたかのごとく、適切なモードによって起動す
ることができる。Normally, in a case such as an artificial satellite in which the control target and the conditions can be sufficiently known in advance, the control mode to be started is determined based on the elapsed time from the start of the control by analyzing the control target and the like in advance. It is quite possible to estimate. Thus, the slave control unit 17 can be started in an appropriate mode as if the state of the master control unit 15 was monitored, even though the slave control unit 17 was not operating.
【0017】そして、その従系制御部17の起動の判断
基準は、主系カウンタ14とは独立に動作する従系カウ
ンタ16のカウント値であるところから、主系制御部1
5の異常の度合に関わらず、その従系カウンタ16のカ
ウント値は正常と考えられるものであり、動作の適切性
が保証されることとなる。The criterion for activating the slave control unit 17 is the count value of the slave counter 16 that operates independently of the master counter 14.
Regardless of the degree of the abnormality of 5, the count value of the slave counter 16 is considered to be normal, and the appropriateness of the operation is guaranteed.
【0018】なお、前記実施の形態では、主系カウンタ
14および従系カウンタ16はそれぞれ独立のクロック
を使用して動作する場合について述べたが、主系の動作
異常に影響されず、主系カウンタ14および従系カウン
タ16で独立に利用しながら、制御の状態を推定できる
のであれば、各制御部15,17の外部で生成され、各
部の動作を規定しているタイミング信号なども使用可能
である。この場合において、そのタイミング信号は必ず
しも一定間隔に出力されることを要求されず、従系カウ
ンタ16の動作によって、制御の動きが推定できる性能
のものであれば、いずれも使用可能である。In the above embodiment, the case where the master counter 14 and the slave counter 16 operate using independent clocks has been described. As long as the control state can be estimated while independently using the control unit 14 and the slave counter 16, a timing signal or the like generated outside each of the control units 15 and 17 and defining the operation of each unit can also be used. is there. In this case, the timing signal is not necessarily required to be output at regular intervals, and any signal can be used as long as the operation of the slave counter 16 can estimate the control operation.
【0019】[0019]
【発明の効果】以上のように、この発明によれば、主系
制御部の異常発生時に従系カウンタがカウント値を読み
込んで、待機していた従系制御部が主系制御部の制御状
態を推定できるような構成としたことで、この従系制御
部により主系制御部が実施していた制御動作を引き継い
で実行でき、これを本格的な多重系を利用することな
く、重量や電力あるいはコストに関して制約がある人工
衛星等の情報処理システムに広く利用できるという効果
が得られる。As described above, according to the present invention, when an abnormality occurs in the main control unit, the subordinate counter reads the count value, and the standby control unit, which has been on standby, sets the control state of the main control unit. The slave control unit can take over the control operation performed by the master control unit, and can execute it without using a full-scale multiplex system. Alternatively, it is possible to obtain an effect that it can be widely used in information processing systems such as artificial satellites having restrictions on costs.
【図1】 この発明の実施の一形態によるフォールトト
レラント制御装置を示すブロック図である。FIG. 1 is a block diagram showing a fault-tolerant control device according to an embodiment of the present invention.
【図2】 図1に示すフォールトトレラント制御装置の
動作タイミングを示すタイミングチャートである。FIG. 2 is a timing chart showing operation timings of the fault-tolerant control device shown in FIG.
【図3】 図1に示すフォールトトレラント制御装置の
動作の流れを示すフローチャートである。FIG. 3 is a flowchart showing a flow of operation of the fault tolerant control device shown in FIG. 1;
14 主系カウンタ 15 主系制御部 16 従系カウンタ 17 従系制御部 14 Main system counter 15 Main system control unit 16 Sub system counter 17 Sub system control unit
Claims (3)
対象を制御モードごとに順次制御する主系制御部と、 該主系制御部による制御に並行してクロックをカウント
する主系カウンタと、 該主系カウンタのクロックに同期した独自のクロックを
カウントする従系カウンタと、 前記主系制御部の異常発生時に起動され、この起動時の
前記従系カウンタのカウント値にもとづき、前記主系制
御部の制御モードを受け継いで制御対象の制御を実行す
る従系制御部とを備えたことを特徴とするフォールトト
レラント制御装置。A main control unit for sequentially controlling a control target in each control mode according to a predetermined sequence; a main system counter for counting clocks in parallel with control by the main control unit; A slave counter that counts its own clock synchronized with the clock of the counter; and a controller that is started when an abnormality occurs in the master controller, and controls the master controller based on the count value of the slave counter at the time of startup. A fault-tolerant control device comprising: a slave control unit that executes control of a control target while inheriting a mode.
動作させるクロックが、外部で生成されかつ前記制御の
状態が推定可能なタイミング信号であることを特徴とす
る請求項1に記載のフォールトトレラント制御装置。2. The fault tolerant control according to claim 1, wherein the clock for operating the master counter and the slave counter is a timing signal generated externally and from which the control state can be estimated. apparatus.
は、各主系制御部による各制御モードの開始時点ごとに
独自にカウント値をカウントアップしていくことを特徴
とする請求項1に記載のフォールトトレラント制御装
置。3. The system according to claim 1, wherein the master counter and the slave counter independently count up a count value at each start time of each control mode by each master controller. Fault-tolerant control device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9297526A JPH11134209A (en) | 1997-10-29 | 1997-10-29 | Fault tolerant controler |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9297526A JPH11134209A (en) | 1997-10-29 | 1997-10-29 | Fault tolerant controler |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11134209A true JPH11134209A (en) | 1999-05-21 |
Family
ID=17847678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9297526A Pending JPH11134209A (en) | 1997-10-29 | 1997-10-29 | Fault tolerant controler |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11134209A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007272720A (en) * | 2006-03-31 | 2007-10-18 | Fanuc Ltd | Motor control apparatus |
| US7778160B2 (en) | 2006-08-11 | 2010-08-17 | Fujitsu Limited | Device for synchronizing between an active unit and a standby unit |
| JP2012014549A (en) * | 2010-07-02 | 2012-01-19 | Nec Corp | Dual system, and data processing method and data processor thereof |
| CN107783464A (en) * | 2017-09-26 | 2018-03-09 | 中国航空工业集团公司西安飞行自动控制研究所 | A kind of multichannel electric steering engine control method |
-
1997
- 1997-10-29 JP JP9297526A patent/JPH11134209A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007272720A (en) * | 2006-03-31 | 2007-10-18 | Fanuc Ltd | Motor control apparatus |
| US7778160B2 (en) | 2006-08-11 | 2010-08-17 | Fujitsu Limited | Device for synchronizing between an active unit and a standby unit |
| JP2012014549A (en) * | 2010-07-02 | 2012-01-19 | Nec Corp | Dual system, and data processing method and data processor thereof |
| CN107783464A (en) * | 2017-09-26 | 2018-03-09 | 中国航空工业集团公司西安飞行自动控制研究所 | A kind of multichannel electric steering engine control method |
| CN107783464B (en) * | 2017-09-26 | 2020-04-07 | 中国航空工业集团公司西安飞行自动控制研究所 | Control method of multi-channel electric steering engine |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100566339B1 (en) | Fault-tolerant computer system, re-synchronization method thereof and computer-readable storage medium having re-synchronization program thereof | |
| KR20090067152A (en) | Cluster coupler unit and method for synchronizing a plurality of clusters in a time-triggered network | |
| JPH11272635A (en) | Multiprocessor control system, booting device and booting controller used for the same | |
| JPH11134209A (en) | Fault tolerant controler | |
| JP6277971B2 (en) | Information processing device | |
| US7418626B2 (en) | Information processing apparatus | |
| JPH0973436A (en) | Operation mode switching system of multiplied computers | |
| JP4467651B2 (en) | Method for operating a communication channel via a dynamic blocking and / or initiating operation in a mixed master / slave subscriber environment, and a system configured to implement such a method | |
| JP3536293B2 (en) | Redundant computer equipment | |
| CN106664212B (en) | Switch unit, Ethernet network and method for activating components in an Ethernet network | |
| JPH064301A (en) | Time division interruption control system | |
| JP2588290B2 (en) | Data input / output system | |
| Pimentel et al. | A fault management protocol for TTP/C | |
| JP2005148890A (en) | Processor monitoring device | |
| JPS60112103A (en) | Hybrid controller | |
| JP4117685B2 (en) | Fault-tolerant computer and its bus selection control method | |
| JP2002024049A (en) | Computer for controlling space machine | |
| JP2658683B2 (en) | System stall monitoring and control method for mutual standby system | |
| JPH0329033A (en) | Fault tolerant processor | |
| JPH08241286A (en) | Clock synchronizing system of multi-information processing system | |
| JPH11175363A (en) | Doubled control unit | |
| JP2010211250A (en) | Fault tolerant computer and timing adjusting method thereof | |
| JPH0588926A (en) | Automatic switching circuit for monitor and control system | |
| JPS63174101A (en) | Duplex system | |
| JPH10143393A (en) | Diagnosis and processing device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20010403 |