WO2024062671A1

WO2024062671A1 - 産業用コントローラの制御プログラムの管理システム

Info

Publication number: WO2024062671A1
Application number: PCT/JP2023/017787
Authority: WO
Inventors: 淳一川本
Original assignee: 株式会社東芝; 東芝インフラシステムズ株式会社
Priority date: 2022-09-21
Filing date: 2023-05-11
Publication date: 2024-03-28
Also published as: JP2024044823A

Abstract

管理システムは、第１のサーバ装置と、第２のサーバ装置とを備えている。通常動作時において、第１のサーバ装置はマスタ状態であり、第２のサーバ装置はバックアップ状態である。第２のサーバ装置は、第１のサーバ装置から送信されるデータを受信する第１のグループに加入している。第１のサーバ装置は、第１のヘルシー信号を一定周期で第１のグループ宛に送信する。第２のサーバ装置は、第１のサーバ装置から第１のグループ宛に送信される第１のヘルシー信号に基づいて、バックアップ状態からマスタ状態に切り替わる。

Description

産業用コントローラの制御プログラムの管理システム

　本実施の形態は、産業用コントローラの制御プログラムの管理システムに関する。

　産業プラントの制御システムは、産業用コントローラの制御プログラムを管理する管理システムを含んでいる。管理システムは、サーバ装置と複数のクライアント装置とから構成されている。大規模な産業プラントでは、クライアント装置の数は数十台から数百台にもなる。

特開２０２０－１３５１５７号公報

　上記のような管理システムにおいて、サーバ装置を冗長化する要求が存在する。しかしながら、一般的な冗長化の技術では、例えばサーバ装置を２台にすると、その２台のサーバ装置を制御するための別の１台のサーバ装置が必要となり、合計３台のサーバ装置が必要となる。

　本実施の形態は、上記のような課題を解決するためのものであり、２台のサーバ装置によって冗長化を実現することができる、産業用コントローラの制御プログラムの管理システムを提供することを目的とする。

　上記の課題を解決するために、本実施の形態に係る産業用コントローラの制御プログラムの管理システムは、第１の処理部および制御プログラムが登録される第１のデータベースを含む第１のサーバ装置と、第２の処理部およびプログラムが登録される第２のデータベースを含む第２のサーバ装置とを備える。通常動作時において、第１のサーバ装置の第１の処理部はマスタ状態であり、第２のサーバ装置の第２の処理部はバックアップ状態であり、第２のサーバ装置は、第１のサーバ装置から送信されるデータを受信する第１のグループに加入している。第１のサーバ装置の第１の処理部は、第１のヘルシー信号を一定周期で第１のグループ宛に送信し、第２のサーバ装置の第２の処理部は、第１のサーバ装置から第１のグループ宛に送信される第１のヘルシー信号に基づいて、バックアップ状態からマスタ状態に切り替わる。

実施の形態１に係る産業プラントの制御システムの構成を示す図。第１のサーバ装置の構成を示す図。第２のサーバ装置の構成を示す図。クライアント装置の構成を示す図。管理システムの正常時の動作を説明する図。第１のサーバ装置の異常発生時の動作を説明する図。第１のサーバ装置の異常発生時の動作を説明する図。第１のサーバ装置の異常発生時の動作を説明する図。第１のサーバ装置の異常発生時の動作を説明する図。第１のサーバ装置の通信障害時の動作を説明する図。第１のサーバ装置の通信障害時の動作を説明する図。第１のサーバ装置の通信障害時の動作を説明する図。第１のサーバ装置の通信障害時の動作を説明する図。第２のサーバ装置の通信障害時の動作を説明する図。第２のサーバ装置の通信障害時の動作を説明する図。２つのサーバ装置がともにマスタ状態となる場合の動作を説明する図。２つのサーバ装置がともにマスタ状態となる場合の動作を説明する図。２つのサーバ装置がともにマスタ状態となる場合の動作を説明する図。２つのサーバ装置がともにマスタ状態となる場合の動作を説明する図。

　以下では、図面を参照しながら、本実施の形態について説明する。なお、以降の説明では、本実施の形態に係る制御システムを産業プラントの制御に使用する例に基づいて説明する。ただし、本実施の形態に係る制御システムの適用可能な範囲は、産業プラントの制御に限定されるものではない。また、図面において同一または対応する要素には同じ参照符号を付して、詳細な説明は適宜省略する。

　（実施の形態１）
　図１は、実施の形態１に係る産業プラントの制御システム１の構成を示す図である。制御システム１は、産業用コントローラの制御プログラムを管理する管理システム１００を含んでいる。管理システム１００は、第１のサーバ装置１０と、第２のサーバ装置２０と、１つまたは複数のクライアント装置３０とを備えている。管理システム１００は冗長化された構成を有しており、通常動作時には、第１のサーバ装置１０がマスタ状態、すなわち稼働状態であり、第２のサーバ装置２０がバックアップ状態、すなわち待機状態である。第１のサーバ装置１０、第２のサーバ装置２０、およびクライアント装置３０は、制御ネットワーク６１に接続されている。

　制御ネットワーク６１には、１つまたは複数の産業用コントローラ４０が接続されている。産業用コントローラ４０は、フィールドネットワーク６２に接続されている。フィールドネットワーク６２には、１つまたは複数のフィールド機器５０が接続されている。なお、制御ネットワーク６１およびフィールドネットワーク６２の具体的な実現方法は特に限定されるものではないが、一例として、制御ネットワーク６１およびフィールドネットワーク６２は、イーサネット（登録商標）である。また、制御ネットワーク６１は、二重化されていてもよい。

　図２は、第１のサーバ装置１０の構成を示す図である。第１のサーバ装置１０は、第１の処理部１１と、第１の記憶部１２と、第１のデータベース１３とを備えている。第１の処理部１１は、第１のサーバ装置１０の動作を制御する。第１の記憶部１２には、第１のヘルシーカウンタ１２ａの領域が確保されている。第１のデータベース１３には、産業用コントローラ４０の制御プログラムが登録される。

　第１のサーバ装置１０は、第２のサーバ装置２０および１つまたは複数のクライアント装置３０が加入することができる第１のグループを管理している。第１のサーバ装置１０は、第１のグループ宛にデータを送信することにより、第１のグループに加入している第２のサーバ装置２０および１つまたは複数のクライアント装置３０に同一のデータを一括送信することができる。このような仕組みは、例えば、ＵＤＰ（User Datagram Protocol）のマルチキャスト通信によって実現することができる。

　第１のヘルシーカウンタ１２ａは、第１のサーバ装置１０が正常に機能している間は、所定の周期、例えば１秒周期でカウントアップまたはカウントダウンされる。このような仕組みは、例えば、所定の周期で割り込みを発生させてカウンタ変数の値をインクリメントまたはデクリメントすることによって実現することができる。

　第１のサーバ装置１０の具体的な実現方法は特に限定されるものではないが、一例として、第１のサーバ装置１０は、パーソナルコンピュータである。この場合、第１の処理部１１はＣＰＵ（Central Processing Unit）であり、第１の記憶部１２はＲＡＭ（Random Access Memory）およびＲＯＭ（Read Only Memory）である。また、第１のデータベース１３は、ＣＰＵによって実行されるアプリケーションプログラムと、ＨＤＤ（Hard Disk Drive）等の補助記憶装置内に構築されるテーブルとによって実現される。

　図３は、第２のサーバ装置２０の構成を示す図である。第２のサーバ装置２０は、第２の処理部２１と、第２の記憶部２２と、第２のデータベース２３とを備えている。第２の処理部２１は、第２のサーバ装置２０の動作を制御する。第２の記憶部２２には、第２のヘルシーカウンタ２２ａの領域が確保されている。第２のデータベース２３には、産業用コントローラ４０の制御プログラムが登録される。

　第２のサーバ装置２０は、１つまたは複数のクライアント装置３０が加入することができる第２のグループを生成することができる。第２のサーバ装置２０は、第２のグループ宛にデータを送信することにより、第２のグループに加入している１つまたは複数のクライアント装置３０に同一のデータを一括送信することができる。このような仕組みは、例えば、ＵＤＰのマルチキャスト通信によって実現することができる。

　第２のサーバ装置２０の具体的な実現方法は特に限定されるものではないが、一例として、第２のサーバ装置２０は、パーソナルコンピュータである。この場合、第２の処理部２１はＣＰＵであり、第２の記憶部２２はＲＡＭおよびＲＡＭである。また、第２のデータベース２３は、ＣＰＵによって実行されるアプリケーションプログラムと、ＨＤＤ等の補助記憶装置内に構築されるテーブルとによって実現される。

　図４は、クライアント装置３０の構成を示す図である。クライアント装置３０は、第３の処理部３１と、第３の記憶部３２と、表示部３３と、入力部３４とを備えている。クライアント装置３０は、自身が加入しているグループを管理するサーバ装置のデータベースにアクセスすることができる。例えば、クライアント装置３０が第１のサーバ装置１０の管理する第１のグループに加入している場合には、当該クライアント装置３０は、第１のサーバ装置１０の第１のデータベース１３にアクセスすることができる。また、クライアント装置３０が第２のサーバ装置２０の管理する第２のグループに加入している場合には、当該クライアント装置３０は、第２のサーバ装置２０の第２のデータベース２３にアクセスすることができる。

　ユーザは、クライアント装置３０を経由して第１のサーバ装置１０または第２のサーバ装置２０が提供する機能を利用することができる。具体的には、ユーザは、クライアント装置３０を操作することにより、産業用コントローラ４０で実行される制御プログラムの作成、編集、追加、削除等を行うことができる。また、ユーザは、クライアント装置３０を操作することにより、作成した制御プログラムを第１のデータベース１３または第２のデータベース２３に登録することができる。また、ユーザは、クライアント装置３０を操作することにより、第１のデータベース１３または第２のデータベース２３に登録されている制御プログラムを産業用コントローラ４０に送信して実行させることができる。

　クライアント装置３０の具体的な実現方法は特に限定されるものではないが、一例として、クライアント装置３０は、パーソナルコンピュータである。この場合、第３の処理部３１はＣＰＵであり、第３の記憶部３２はＲＡＭおよびＲＯＭである。また、表示部３３は、例えば液晶ディスプレイであり、入力部３４は、例えばキーボードおよびマウス等である。

　図１に戻って、産業用コントローラ４０は、ＤＣＳ（Distributed Control System）またはＰＬＣ（Programable Logic Controller）等である。産業用コントローラ４０は、制御対象に取り付けられた図示しないセンサー等からフィールド機器５０およびフィールドネットワーク６２を介して受信される信号に基づいて、産業プラントの状態を収集する。

　産業用コントローラ４０は、収集されたプラントの状態に基づいて各種の演算を実行し、演算結果に基づいて、フィールドネットワーク６２およびフィールド機器５０を介して、制御対象に取り付けられた図示しないアクチュエータ等を動作させることにより、産業プラントを制御する。

　フィールド機器５０は、制御対象に取り付けられた各種装置との間で信号の入出力を行うための機器である。フィールド機器５０は、制御対象に取り付けられたセンサー等からの信号が入力されるＡＩ（Analog Input）機器またはＤＩ（Digital Input）機器等を含んでいる。また、フィールド機器５０は、制御対象に取り付けられたアクチュエータ等への信号を出力するＡＯ（Analog Output）機器またはＤＯ（Digital Output）機器等を含んでいる。

　次に、本実施の形態１に係る管理システム１００の動作について説明する。以降の説明では、２つのクライアント装置３０ａおよび３０ｂがあるものとして説明する。また、２つのクライアント装置３０ａおよび３０ｂを区別する必要のないときは、両者をまとめてクライアント装置３０と記載する。また、制御ネットワーク６１は、制御ネットワーク６１ａおよび６１ｂによって二重化されている。

　（正常時の動作）
　図５は、管理システム１００の正常時の動作を説明する図である。管理システム１００の正常動作時には、第１のサーバ装置１０がマスタ状態であり、第２のサーバ装置２０はバックアップ状態である。第２のサーバ装置２０は、マスタ状態である第１のサーバ装置１０が管理する第１のグループに加入しており、第１のサーバ装置１０から第１のグループ宛に送信されるデータを受信することができる。

　第１のサーバ装置１０の第１のデータベース１３と第２のサーバ装置２０の第２のデータベース２３とは、所定の周期、例えば３０秒周期で等値化される。等値化の方法は特に限定されるものではないが、一例として、第１のサーバ装置１０が第１のデータベース１３の更新時に第１の履歴情報を作成し、第２のサーバ装置２０は、第１の履歴情報に基づいて、第１のデータベース１３から第２のデータベース２３への等値化を行う。

　２つのクライアント装置３０ａおよび３０ｂは、マスタ状態である第１のサーバ装置１０が管理する第１のグループに加入しており、第１のサーバ装置１０から第１のグループ宛に送信されるデータを受信することができる。また、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０の第１のデータベース１３にアクセスすることができる。

　第１のサーバ装置１０は、第１のグループ宛に自身の第１のヘルシーカウンタ１２ａのカウント値（第１のヘルシー信号）を含むデータを一定周期、例えば３秒周期で送信する。また、このデータには、バックアップ状態である第２のサーバ装置２０のマシン名、ＩＰアドレス、ポート番号が含まれている。

　第２のサーバ装置２０は、第１のサーバ装置１０から第１のグループ宛に一定周期で送信されるデータを受信し、当該データに含まれる第１のヘルシー信号の値に基づいて、第１のサーバ装置１０が正常に動作しているか否かを判定する。詳細には、第２のサーバ装置２０は、第１のサーバ装置１０から受信される第１のヘルシー信号の値が所定の期間、例えば１０秒の間に変化する場合には、第１のサーバ装置１０は正常に動作していると判定する。

　クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０から第１のグループ宛に一定周期で受信されるデータを受信し、当該データに含まれる第１のヘルシー信号の値に基づいて、第１のサーバ装置１０が正常に動作しているか否かを判定する。詳細には、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０から受信される第１のヘルシー信号の値が所定の期間、例えば１０秒の間に変化する場合には、第１のサーバ装置１０は正常に動作していると判定する。

　（第１のサーバ装置の異常発生時）
　図６Ａ～図６Ｄは、第１のサーバ装置１０の異常発生時の動作を説明する図である。第１のサーバ装置１０の異常とは、具体的には、第１のサーバ装置１０のシャットダウン、第１のサーバ装置１０上で実行されるアプリケーションの機能停止、第１のデータベース１３の異常、第１のサーバ装置１０上で実行されるオペレーティングシステムの機能停止等である。

　図６Ａにおいて、第１のサーバ装置１０に異常が発生すると、第１のサーバ装置１０から第１のグループ宛に一定周期で送信されるデータに含まれる第１のヘルシー信号の値が変化しなくなる。これを検知した第２のサーバ装置２０は、第１のサーバ装置１０が正常に動作していないと判断し、バックアップ状態からマスタ状態に切り替わる。マスタ状態に切り替わった第２のサーバ装置２０は、第１のグループから離脱し、第２のグループを生成する。

　図６Ｂにおいて、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０から第１のグループ宛に一定周期で送信されるデータに含まれる第１のヘルシー信号の値が変化しなくなったことを検知すると、第１のサーバ装置１０が正常に動作していないと判断し、第１のサーバ装置１０が管理する第１のグループを離脱し、第２のサーバ装置２０が生成した第２のグループに加入する。これにより、クライアント装置３０ａおよび３０ｂは、第２のサーバ装置２０の第２のデータベース２３にアクセスできるようになる。

　図６Ｃにおいて、第２のサーバ装置２０は、第２のグループ宛に自身の第２のヘルシーカウンタ２２ａのカウント値（第２のヘルシー信号）を含むデータを一定周期、例えば３秒周期で送信する。この間、クライアント装置３０ａおよび３０ｂは、第２のサーバ装置２０の第２のデータベース２３にアクセスし続けることができる。

　図６Ｄにおいて、第１のサーバ装置１０が復旧すると、第１のサーバ装置１０はバックアップ状態となり、第２のグループに加入する。この際、第２のデータベース２３から第１のデータベース１３への等値化が行われる。クライアント装置３０ａおよび３０ｂは、第２のサーバ装置２０の第２のデータベース２３にアクセスし続けることができる。

　（第１のサーバ装置の通信障害時）
　図７Ａ～図７Ｄは、第１のサーバ装置１０の通信障害時の動作を説明する図である。第１のサーバ装置１０の通信障害とは、具体的には、第１のサーバ装置１０と二重化された制御ネットワーク６１ａおよび６１ｂとの間の通信障害である。

　図７Ａにおいて、第１のサーバ装置１０と制御ネットワーク６１ａおよび６１ｂとの間の通信障害が発生すると、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータが第２のサーバ装置２０に届かなくなる。これを検知した第２のサーバ装置２０は、第１のサーバ装置１０の通信障害が発生したと判断し、バックアップ状態からマスタ状態に切り替わる。マスタ状態に切り替わった第２のサーバ装置２０は、第１のグループから離脱し、第２のグループを生成する。

　図７Ｂにおいて、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータが届かなくなると、第１のサーバ装置１０の通信障害が発生したと判断し、第１のサーバ装置１０が管理する第１のグループを離脱し、第２のサーバ装置２０が生成した第２のグループに加入する。

　図７Ｃにおいて、第２のサーバ装置２０は、第２のグループ宛に自身の第２のヘルシーカウンタ２２ａのカウント値（第２のヘルシー信号）を含むデータを一定周期、例えば３秒周期で送信する。クライアント装置３０ａおよび３０ｂは、第２のサーバ装置２０から第２のグループ宛に送信される第２のヘルシー信号を含むデータの受信を確認すると、第２のサーバ装置２０の第２のデータベース２３にアクセスできるようになる。

　図７Ｄにおいて、第１のサーバ装置１０と制御ネットワーク６１ａおよび６１ｂとの間の通信障害が復旧すると、第１のサーバ装置１０はバックアップ状態となり、第２のグループに加入する。この際、第２のデータベース２３から第１のデータベース１３への等値化が行われる。クライアント装置３０ａおよび３０ｂは、第２のサーバ装置２０の第２のデータベース２３にアクセスし続けることができる。

　（第２のサーバ装置の通信障害時）
　図８Ａ～図８Ｂは、第２のサーバ装置２０の通信障害時の動作を説明する図である。第２のサーバ装置２０の通信障害とは、具体的には、第２のサーバ装置２０と二重化された制御ネットワーク６１ａおよび６１ｂとの間の通信障害である。

　図８Ａにおいて、第２のサーバ装置２０と制御ネットワーク６１ａおよび６１ｂとの間の通信障害が発生すると、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータが第２のサーバ装置２０に届かなくなる。これを検知した第２のサーバ装置２０は、第１のサーバ装置１０の通信障害が発生したと誤って判断し、バックアップ状態からマスタ状態に切り替わってしまう。マスタ状態に切り替わった第２のサーバ装置２０は、第１のグループから離脱し、第２のグループを生成する。

　しかしながら、実際には第１のサーバ装置１０の通信障害は発生していないので、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータを受信することができる。したがって、クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０の第１のデータベース１３にアクセスし続けることができる。

　図８Ｂにおいて、第２のサーバ装置２０と制御ネットワーク６１ａおよび６１ｂとの間の通信障害が復旧すると、第２のサーバ装置２０は再びバックアップ状態となり、第１のグループに加入する。この際、第１のデータベース１３から第２のデータベース２３への等値化が行われる。クライアント装置３０ａおよび３０ｂは、第１のサーバ装置１０の第１のデータベース１３にアクセスし続けることができる。

　（２つのサーバ装置がともにマスタ状態となる場合）
　図９Ａ～図９Ｂは、第１のサーバ装置１０および第２のサーバ装置２０がともにマスタ状態となる場合の動作を説明する図である。このような状態は、第１のサーバ装置１０と制御ネットワーク６１ｂとの間に通信障害が発生するとともに、第２のサーバ装置２０と制御ネットワーク６１ａとの間に通信障害が発生することにより起こりえる。

　図９Ａにおいて、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータが第２のサーバ装置２０に届かなくなる。これを検知した第２のサーバ装置２０は、バックアップ状態からマスタ状態に切り替わる。マスタ状態に切り替わった第２のサーバ装置２０は、第１のグループから離脱し、第２のグループを生成する。

　図９Ｂにおいて、クライアント装置３０ｂは、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータが届かなくなると、第１のサーバ装置１０が管理する第１のグループを離脱し、第２のサーバ装置２０が生成した第２のグループに加入する。これにより、クライアント装置３０ｂは、第２のサーバ装置２０の第２のデータベース２３にアクセスするようになる。

　一方、クライアント装置３０ａは、第１のサーバ装置１０から第１のグループ宛に一定周期で送信される第１のヘルシー信号を含むデータを受信することができるため、第１のサーバ装置１０が管理する第１のグループに留まる。したがって、クライアント装置３０ａは、第１のサーバ装置１０の第１のデータベース１３にアクセスし続ける。このような状態が継続することにより、第１のデータベース１３の内容と第２のデータベース２３の内容とが乖離していく。

　図９Ｃにおいて、制御ネットワーク６１ａおよび６１ｂの通信障害がすべて復旧すると、第１のサーバ装置１０は、マスタ状態を維持し、第１のヘルシー信号を含むデータの送信を継続する。一方、第２のサーバ装置２０は、第１のサーバ装置１０から送信される第１のヘルシー信号を含むデータを受信すると、マスタ状態からバックアップ状態に切り替わり、第１のグループに再加入し、第２のヘルシー信号を含むデータの送信を停止する。

　図９Ｄにおいて、クライアント装置３０ａは、第１のグループに留まり、第１のサーバ装置１０の第１のデータベース１３にアクセスし続ける。一方、クライアント装置３０ｂは、第２のサーバ装置２０から送信される第２のヘルシー信号を含むデータが届かなくなると、第２のグループを離脱して、第１のグループに再加入する。これにより、クライアント装置３０ｂは、第１のサーバ装置１０の第１のデータベース１３に再びアクセスできるようになる。この際、第１のデータベース１３と第２のデータベース２３との等値化が行われる。

　以上説明したように、本実施の形態１に係る管理システム１００では、通常動作時において、第１のサーバ装置１０はマスタ状態であり、第２のサーバ装置２０はバックアップ状態である。また、第２のサーバ装置２０は、第１のサーバ装置１０から送信されるデータを受信する第１のグループに加入している。

　第１のサーバ装置１０は、第１のヘルシー信号を一定周期で第１のグループ宛に送信し、第２のサーバ装置２０は、第１のサーバ装置１０から第１のグループ宛に送信される第１のヘルシー信号に基づいて、バックアップ状態からマスタ状態に切り替わる。

　上記の特徴により、本実施の形態１に係る管理システム１００では、２台のサーバ装置によって冗長化を実現することができる。これにより、従来は３台必要であったサーバ装置が２台ですむため、大幅なコストダウンとなる。また、第２のサーバ装置２０のバックアップ状態からマスタ状態への切り替えが自動で行われるため、ユーザによる切り替えの手間を省くことができる。

　また、通常動作時において、クライアント装置３０は、第１のサーバ装置１０が管理する第１のグループに加入している。クライアント装置３０は、第１のサーバ装置１０から第１のグループ宛に送信される第１のヘルシー信号に基づいて、第１のグループから離脱して、第２のサーバ装置２０が生成した第２のグループに加入する。これにより、第２のサーバ装置２０がマスタ状態に切り替わった際に、クライアント装置３０は自動的に第２のサーバ装置２０に接続するようになる。したがって、ユーザによる切り替えの手間を省くことができる。

　また、クライアント装置３０は、第１のグループに加入している際は、第１のサーバ装置１０の第１のデータベース１３にアクセスし、第２のグループに加入している際は、第２のサーバ装置２０の第２のデータベース２３にアクセスする。これにより、クライアント装置３０は、常にマスタ状態のサーバ装置のデータベースにアクセスすることができる。

　第１のサーバ装置１０は、第１のデータベース１３の更新時に第１の更新履歴を作成し、第２のサーバ装置２０は、第１の更新履歴に基づいて、第１のデータベース１３から第２のデータベース２３への等値化を行う。第２のサーバ装置は、第２のデータベースの更新時に第２の更新履歴を作成し、第１のサーバ装置１０は、第２の更新履歴に基づいて、第２のデータベース２３から第１のデータベース１３への等値化を行う。これにより、第１のデータベース１３および第２のデータベース２３の内容を常に同一に保つことができる。

　幾つかの実施の形態を説明したが、これらの実施の形態は例として提示したものであり、実施の形態の範囲を限定することは意図していない、これらの実施の形態は、その他の様々な形態で実施されることが可能であり、実施の形態の要旨を逸脱しない範囲で、種々の省略、置き換え、変更、組み合わせを行うことができる。これら実施の形態やその変形は、実施の形態の範囲や要旨に含まれると同様に、特許請求の範囲とその均等の範囲に含まれるものである。

　なお、本実施の形態は、以下のような構成を取ることもできる。
［項目１］（第１のサーバ装置、第２のサーバ装置）
　産業用コントローラの制御プログラムの管理システムであって、
　第１の処理部および前記制御プログラムが登録される第１のデータベースを含む第１のサーバ装置と、
　第２の処理部および前記制御プログラムが登録される第２のデータベースを含む第２のサーバ装置と
を備え、
　通常動作時において、前記第１のサーバ装置の前記第１の処理部はマスタ状態であり、前記第２のサーバ装置の前記第２の処理部はバックアップ状態であり、前記第２のサーバ装置は、前記第１のサーバ装置から送信されるデータを受信する第１のグループに加入しており、
　前記第１のサーバ装置の前記第１の処理部は、第１のヘルシー信号を一定周期で前記第１のグループ宛に送信し、
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号に基づいて、前記バックアップ状態から前記マスタ状態に切り替わる、管理システム。
［項目２］（第１のサーバ装置、第２のサーバ装置）
　前記第２のサーバ装置の前記第２の処理部は、前記マスタ状態に切り替わると、前記第１のグループから離脱して、前記第２のサーバ装置から送信されるデータを受信する第２のグループを生成する、項目１に記載の管理システム。
［項目３］（第１のサーバ装置、第２のサーバ装置）
　前記第２のサーバ装置の前記第２の処理部は、第２のヘルシー信号を一定周期で前記第２のグループ宛に送信する、項目２に記載の管理システム。
［項目４］（第１のサーバ装置、第２のサーバ装置）
　前記第１のヘルシー信号は、所定の周期でカウントアップまたはカウントダウンされる信号であり、
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号の値が所定の期間にわたって変化しない場合に、前記バックアップ状態から前記マスタ状態に切り替わる、項目１～３のいずれかに記載の管理システム。
［項目５］（第１のサーバ装置、第２のサーバ装置）
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号が受信されない場合に、前記バックアップ状態から前記マスタ状態に切り替わる、項目１～４のいずれかに記載の管理システム。
［項目６］（クライアント装置）
　第３の処理部を含む１つまたは複数のクライアント装置をさらに備え、
　前記通常動作時において、前記クライアント装置は、前記第１のグループに加入しており、
　前記クライアント装置の前記第３の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号に基づいて、前記第１のグループから離脱して、前記第２のグループに加入する、項目２に記載の管理システム。
［項目７］（クライアント装置）
　前記クライアント装置の前記第３の処理部は、前記第１のグループに加入している際は、前記第１のサーバ装置の前記第１のデータベースにアクセスし、前記第２のグループに加入している際は、前記第２のサーバ装置の前記第２のデータベースにアクセスする、項目６に記載の管理システム。
［項目８］（データベースの等値化）
　前記第１のサーバ装置の前記第１の処理部は、前記第１のデータベースの更新時に第１の更新履歴を作成し、前記第２のサーバ装置の前記第２の処理部は、前記第１の更新履歴に基づいて、前記第１のデータベースから前記第２のデータベースへの等値化を行い、
　前記第２のサーバ装置の前記第２の処理部は、前記第２のデータベースの更新時に第２の更新履歴を作成し、前記第１のサーバ装置の前記第１の処理部は、前記第２の更新履歴に基づいて、前記第２のデータベースから前記第１のデータベースへの等値化を行う、項目１～７のいずれかに記載の管理システム。

１　制御システム
１０　第１のサーバ装置
１１　第１の処理部
１２　第１の記憶部
１２ａ　第１のヘルシーカウンタ
１３　第１のデータベース
２０　第２のサーバ装置
２１　第２の処理部
２２　第２の記憶部
２２ａ　第２のヘルシーカウンタ
２３　第２のデータベース
３０　クライアント装置
３０ａ　クライアント装置
３０ｂ　クライアント装置
３１　第３の処理部
３２　第３の記憶部
３３　表示部
３４　入力部
４０　産業用コントローラ
５０　フィールド機器
６１　制御ネットワーク
６１ａ　制御ネットワーク
６１ｂ　制御ネットワーク
６２　フィールドネットワーク
１００　管理システム

Claims

　産業用コントローラの制御プログラムの管理システムであって、
　第１の処理部および前記制御プログラムが登録される第１のデータベースを含む第１のサーバ装置と、
　第２の処理部および前記制御プログラムが登録される第２のデータベースを含む第２のサーバ装置と
を備え、
　通常動作時において、前記第１のサーバ装置の前記第１の処理部はマスタ状態であり、前記第２のサーバ装置の前記第２の処理部はバックアップ状態であり、前記第２のサーバ装置は、前記第１のサーバ装置から送信されるデータを受信する第１のグループに加入しており、
　前記第１のサーバ装置の前記第１の処理部は、第１のヘルシー信号を一定周期で前記第１のグループ宛に送信し、
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号に基づいて、前記バックアップ状態から前記マスタ状態に切り替わる、管理システム。
　前記第２のサーバ装置の前記第２の処理部は、前記マスタ状態に切り替わると、前記第１のグループから離脱して、前記第２のサーバ装置から送信されるデータを受信する第２のグループを生成する、請求項１に記載の管理システム。
　前記第２のサーバ装置の前記第２の処理部は、第２のヘルシー信号を一定周期で前記第２のグループ宛に送信する、請求項２に記載の管理システム。
　前記第１のヘルシー信号は、所定の周期でカウントアップまたはカウントダウンされる信号であり、
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号の値が所定の期間にわたって変化しない場合に、前記バックアップ状態から前記マスタ状態に切り替わる、請求項１に記載の管理システム。
　前記第２のサーバ装置の前記第２の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号が受信されない場合に、前記バックアップ状態から前記マスタ状態に切り替わる、請求項１に記載の管理システム。
　第３の処理部を含む１つまたは複数のクライアント装置をさらに備え、
　前記通常動作時において、前記クライアント装置は、前記第１のグループに加入しており、
　前記クライアント装置の前記第３の処理部は、前記第１のサーバ装置から前記第１のグループ宛に送信される前記第１のヘルシー信号に基づいて、前記第１のグループから離脱して、前記第２のグループに加入する、請求項２に記載の管理システム。
　前記クライアント装置の前記第３の処理部は、前記第１のグループに加入している際は、前記第１のサーバ装置の前記第１のデータベースにアクセスし、前記第２のグループに加入している際は、前記第２のサーバ装置の前記第２のデータベースにアクセスする、請求項６に記載の管理システム。
　前記第１のサーバ装置の前記第１の処理部は、前記第１のデータベースの更新時に第１の更新履歴を作成し、前記第２のサーバ装置の前記第２の処理部は、前記第１の更新履歴に基づいて、前記第１のデータベースから前記第２のデータベースへの等値化を行い、
　前記第２のサーバ装置の前記第２の処理部は、前記第２のデータベースの更新時に第２の更新履歴を作成し、前記第１のサーバ装置の前記第１の処理部は、前記第２の更新履歴に基づいて、前記第２のデータベースから前記第１のデータベースへの等値化を行う、請求項１に記載の管理システム。