JPH03152631A - 二重化制御ユニット - Google Patents

二重化制御ユニット

Info

Publication number
JPH03152631A
JPH03152631A JP1290810A JP29081089A JPH03152631A JP H03152631 A JPH03152631 A JP H03152631A JP 1290810 A JP1290810 A JP 1290810A JP 29081089 A JP29081089 A JP 29081089A JP H03152631 A JPH03152631 A JP H03152631A
Authority
JP
Japan
Prior art keywords
card
communication interface
couplers
ready
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1290810A
Other languages
English (en)
Other versions
JP2770494B2 (ja
Inventor
Sadatoshi Sogo
十河 定俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP1290810A priority Critical patent/JP2770494B2/ja
Publication of JPH03152631A publication Critical patent/JPH03152631A/ja
Application granted granted Critical
Publication of JP2770494B2 publication Critical patent/JP2770494B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Hardware Redundancy (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〈産業上の利用分野〉 本発明は、各種プロセスから信号を受けて制御演算を実
行する制御カードを二重化した二重化制御ユニットに関
し、特に、二重化した各制御カード内における自己診断
方式を改善するものである。
〈従来の技術〉 制御カードを二重化した二重化制御ユニットとして、本
出願人による特願平1−85615号「二重化制御演算
システム」等が挙げられ、第4図及び第5図を用いてそ
の概略構成、動作を説明する。
第4図は、各種プロセスを制御する制御ユニットUの外
観図であり、スロットs1. s2.・・・、 Snに
は、プロセス現場と信号を授受する入出力カード、電源
カード、他のユニットと通信動作を行う通信カード等が
装着され、更に制御演算を行うプロセッサを有する制御
カード1.2が装着される。そして、制御カード1.2
は、一方のカードがプロセスに対する実際の制御動作を
実行し、他方のカードが待機状態となっており、二重化
制御ユニットを構成する。
また、このような制御ユニットUは、二重化されたバス
81.82によりオペレータ・ステーション等の他ステ
ーション(rA示せず)と接続する。具体的には、この
制御ユニットIJには、バスB1と接続するカード構成
のカプラC1と、カプラC1と同一構成でバスB2と接
続するカプラC2とが装着され、カプラc1. C2は
この制御ユニットU内のバック・ボード・バス(図示せ
ず)により制御カード1゜2に結合する。尚、カプラc
1. C2は、バック・ボード・バスに装着した時点で
スイッチsw1. sw2をイネーブルとして稼動状態
とする。
次に、第5図に制御カード1.2の内部構成を示し、こ
のような二重化制御ユニットの動作を詳しく説明する。
第5図において、制御カード1.2はカプラc1゜C2
を介して二重化されたバスB1.82にそれぞれ接続す
る。
制御カード1は、その内部にメモリを有し制御演算等を
実行するプロセッサ11と、内部バスb1によりプロセ
ッサ11と接続し、カプラc1. C2により二重化バ
スB1. B2に接続する通信インターフェイス12と
を有する。同様に、制御カード2も同一構成であり、プ
ロセッサ21、内部バスb2、カプラc1゜C2により
二重化バスB1. B2に接続する通信インターフェイ
ス22を有する。
このような二重化制御ユニットは、通常、どちらか一方
の制御カードが制御側カードとして各種プロセスの動作
を制御し、他方の制御カードは待機側カードとして待ち
状態となっている。そして、制御側カードに故障が検出
されると、制御側カード及び待機側カードの両方に設定
されている二重化切り換え論理により、待機側カードが
制m111カードに代わって制御動作を開始し、制御側
カードが待ち状態となる。
即ち、制御側カード、待機側カードの双方のプロセッサ
は、内部のメモリ動作、バスとの通信機能等を常時自己
診断しており、異常を検出した場合は二重化切り換え論
理に従って待機側の制御ユニットに制御権を切り換える
具体的には、このときの各制御カードの自己診断は、第
5図内の矢印(1)、 +2) 、 (3) 、 (4
) 。
(5)に示す5つの動作を実行することにより、行われ
る。
尚、第5図のシステムでは、制御カード1を制御側カー
ドとし、制御カード2を待機側カードとする。
(1)制御側カード1にて、通信インターフェイス12
内のファームウェアが二重化バス81.82に送出され
ている他ステーション(オペレータ・ステーション等)
からのトークン(通信フレーム)を監視し、一定時間経
過してもこのトークンを受信できない場合、プロセッサ
11に通信インターフェイス12異常を適知する。この
動作は、常に制御側カードが実行する。
(2)制御側カード1のプロセッサ11から待機側カー
ド2のプロセッサ21内のメモリの特定アドレスに二重
化バスB1. B2を介してデータを書き込む動作を繰
り返し、このデータ更新動作が一定時間停止すると、待
機側カード2はアラームを発生する。
(3)制御側カードl、待機側カード2とも、自己内の
通信インターフェイス12.22に自己診断動作を指示
し、その結果、異常を検出した場合、プロセッサ11.
21はその動作を停止する。
(4)制御側カード1、待機側カード2とも、自己内の
プロセッサ11.21が通信インターフェイス12゜2
2内の特定アドレスにデータを書き込み、読み返して不
一致の場合、プロセッサ11.21はその動作を停止す
る。
(5)制御側カード1、待機flaカード2とも、自己
内の通信インターフェイス12.22がプロセッサ11
゜21内のRAMの特定アドレスにデータをDMA転送
し、読み返して不一致の場合にプロセッサ11゜21に
通知し、プロセッサ11.21はその動作を停止する。
尚、動作f1) 、 (5)は通信インターフェイス1
2゜22内のファームウェアがレディの時のみチエツク
する動作、動作+2) 、 [3)は通信インターフェ
イス12.22内のファームウェア内におけるプロセッ
サ11.21との間のインターフェイス[がレディの時
のみチエツクする動作、動作(4)は条件によらずチエ
ツクする動作である。
〈発明が解決しようとする課題〉 しかしながら、上述した従来の二重化制御ユニットの自
己診断動作には、次のような問題が発生していた。
即ち、通信インターフェイスに設定されるファームウェ
ア内のプロセッサとのインターフェイス機能がノット・
レディとなった場合、その原因がfa)通信インターフ
ェイス内ファームウェアは正常であるが、二重化バスに
接続するカプラがノット・レディ(スイッチがディスエ
ーブル等)である、または、 (b)ウォッチ・ドッグ・タイマからのアラーム等で検
出される通信インターフェイス内ファームウェア自身が
異常である、 のいずれかであるかを判断せずに、通信インターフェイ
ス内ファームウェアのインターフェイス機能をノット・
レディとみなして前述した自己診断動作(1)、 (2
) 、 (3) 、 (5)を停止していた。
このため、カプラがレディであるにもかかわらず、制御
カード自身がノット・レディ(通信インターフェイス内
ファームウェア異常)の時、自己診断異常による二重化
切り換え動作が行われず、この制御カードについて無駄
な異常原因確認作業等が発生していた。
本発明は、上述しな(1)〜(5)の自己診断動作の他
に、通信インターフェイス内のファームウェアにおける
インターフェイス機能がノット・レディとなった場合に
、その原因がカプラのノット・レディであるのかファー
ムウェア異常であるのかを判断できるようにすることを
課題とし、制御側カードが正当な理由の場合にのみ、自
己診断異常として切り換え動作を起動するように二重化
制御ユニットを構成することを目的とする。
〈課題を解決するための手段〉 以上の課題を解決した本発明は、カプラの装着状況と、
通信インターフェイス内ファームウェア異常とをプロセ
ッサ側のラフ1−ウェアで認識できるようにして両者の
状況より二重化切り換え動作を起動するものであり、そ
の具体的な構成は次の通りである。
即ち、二重化バスとカプラを介して接続する通信インタ
ーフェイス及び制御演算を実行するプロセッサからなり
各種プロセスを制御する制御側カードと、この制a11
1I!Iカードと同一構成で前記制御側カードが故障し
た際に代わって制御動作を開始する前記制御側カードと
同一構成の待機側カードとから構成される二重化制御ユ
ニットにおいて、前記制御側カード及び前記待機側カー
ドの双方に、前記通信インターフェイスのファームウェ
ア内に当該通信インターフェイスがレディまたはノット
・レディであるかを表わす通信スティタスを設定すると
ともに、前記プロセッサ内に2aの前記カプラのディス
エーブル状態を表わすバス・ステイタスを設定し、 ■前記バス・ステイタスにて両方のカプラがディスエー
ブルかつ前記通信スティタスがレディの状態が一定時間
以上続いた場合、 ■前記バス・ステイタスにて両方のカプラがディスエー
ブルの後一方または両方のカプラがイネーブルとなり、
かつ前記通信スティタスにて通信インターフェイスが一
定時間内にレディとならない場合、 ■前記バス・ステイタスにて両方のカプラがディスエー
ブルとなった履歴がなく前記通信スティタスのノット・
レディの状態が一定時間以上続いた場合 に当該制御カードを自己診断異常とすることを特徴とす
る二重化制御ユニットである。
く作用〉 本発明の二重化制御ユニットにおける各々の制御カード
は、プロセッサ内のバス・ステイタスに表わされるカプ
ラのディスエーブル状態、通信インターフェイス内のフ
ァームウェアの通信スティタスに表わされる通信インタ
ーフェイスのレディ状態を監視し、それぞれのスティタ
スの設定状態に従って、自己診断異常を判定する。
〈実施例〉 以下、図面を用いて本発明の二重化制御ユニットの実施
例を説明する。
本発明の二重化制御ユニットは、そのハードウェア構成
は第4図及び第5図に示した従来のものと全く同様であ
るが、プロセッサと通信インターフェイスの内部機能の
設定状況が異なる。
はじめに、第3図に、本発明の二重化制御ユニットにお
ける制御カードlを例として、その機能の概念を表わす
この制御カード1の通信インターフェイス12内のファ
ームウェアには、その内部レジスタ・アドレス$ C0
4006に、この通信インターフェイス12が通信可能
状態、即ち通信インターフェイス・レディの時に“1”
である通信スティタスST1を定義する。
また、プロセッサ11の内部レジスタ・アドレス$ 1
[9004に、バスB1がディスエーブルの時に“1″
を設定するとともにバスB2がディスエーブルである時
に“1″を設定するバス・ステイタスST2を定義する
このバス・ステイタスST2は、カプラc1. C2の
スイッチswl 、 sw2のオン(イネーブル)、オ
フ(ディスエーブル)状態がバック・ボード・バスを介
してプロセッサ11へ送られ、設定される。
尚、通信インターフェイス12のファームウェアは、カ
プラC1,C2がディスエーブルの時、ノー・リスポン
スとしてこの通信スティタスSTIをプロセッサ11の
ソフトウェアから読み出せないようにするとともに、初
期化処理を行う期間(約7秒)もノー・リスポンスとし
てプロセッサ11のソフトウェアから読み出せないよう
にする。
更に、第2図(a)、(b)、(c)、(d)は本発明
において設定される各種スティタス、フラグ、カウンタ
の詳細を表わす図である。
(a)通信インターフェイスのファームウェアに設定す
る通信スティタスST1の8ビツト目に、この通信イン
ターフェイスがレディの時に“1″ノツト・レディの時
に“0”を設定する。
(b)プロセッサ内に設定するバス・ステイタスST2
の1ビツト目にカプラC1ディスエーブルを表わす“1
”を設定し、2ビツト目に、カプラC2ディスエーブル
を表わす′1″を設定する。
(C)カプラ・ディスエーブル・フラグではプロセッサ
内に設定し、2個のカプラc1. C2の両方がディス
エーブルの時にオンとし、どちらか一方のカプラがイネ
ーブルかつ通信インターフェイス・レディの時にオフと
する。
(d)異常状態カウンタtはプロセッサ内に設定し、後
述する異常状態の検出時に1秒毎に“1”計時するカウ
ンタである。
さて、以上のように設定したスティタスSTI 。
ST2 、フラグf、カウンタtを用いた本発明の二重
化制御ユニットの動作の特徴を第1図のフローチャート
を用いて説明する。
この本発明における動作は、〈従来の技術〉で説明した
(1)〜(5)の自己診断動作の他に、1秒毎に実行す
る自己診断動作として設定する。
動作開始となると、(イ)通信スティタスSTI、(ロ
)バス・ステイタスST2を読み出す。手順(イ)で通
信スティタスSTIを読み出ずことができない場合は、
通信インターフェイス・ノット・レディとする。
手順(ハ)では、バス・ステイタスST2において、カ
プラc1. C2の両方がディスエーブル(スイッチs
w1 、 sw2の両方がディスエーブルでノット・レ
ディの状態)か否かを判定する。
力1うcl、 C2の両方がディスエーブルの場合「Y
」は、手順(ニ)でカプラ・ディスエーブル・フラグf
をオンとし、手順(ホ)で通信インターフェイスの動作
状態(レディまたはノット・レディ)を調べる。
通信インターフェイスがノット・レディの場合「N」は
、手順(へ)で異常状態カウンタtをクリアし、はじめ
の手順(イ)に戻る。
手順(ホ)で通信インターフェイスがレディの場合「Y
」は、通信インターフェイス内ファームウェア異常の可
能性が高く、手順(ト)で異常状態カウンタtを+1イ
ンクリメントする。
更に手順(チ)でこのカウント値が“4” (4秒)を
越えていると「Y」、■自己診断異常と判断する。カウ
ント値が“4”を越えなければ「N」、先頭の手順(イ
)に戻る。
ここで、異常状態カウンタtのカウント値“4パは、通
信インターフェイス・レディの状態で両刃プラcl、 
c2がディスエーブルからイネーブルとなる(当該制御
カードが異常状態から正常状態に遷移する)可能性を考
慮したものである。
以上の手順(ニ)、(ホ)、  (ト)、  (チ)は
、両カブラ・ディスエーブルにもかかわらず、通信イン
ターフェイス・レディの状態が4秒以上続いた場合に、
通信インターフェイス内ファームウェア異常の可能性が
高く、自己診断異常■とするものである。
一方、手順(ハ)にて、いずれか一方のカプラがディス
エーブルの場合「N」は、手順〈す)に進み、通信イン
ターフェイスの動作状態(レディまたはノット・レディ
)を調べる。
通信インターフェイスがレディの場合「Y」はこのユニ
ット全体は異常状態でなく、カプラ・ディスエーブル・
フラグfをクリアしく手順(ヌ))、異常状態カウンタ
tをクリアしく手順(ル))、先頭手順(イ)に戻る。
手順(す)で通信インターフェイスがノット・レディの
場合「N」は異常状態の可能性があり、手順(ヲ)で異
常状態カウンタtを+1インクリメントし、手順(ワ)
でカプラ・ディスエーブル・フラグfの設定状態をみる
手順(ワ)でカプラ・ディスエーブル・フラグfがオン
であれば「Y」、かつて両方のカプラがディスエーブル
でありその後一方または両方のカプラがイネーブルとな
った状態であり、手順(力)において、通信インターフ
ェイス内ファームウェア立ち上げのための十分な時間t
−16秒以上の時間が経過した場合、■自己診断異常と
する。カウンタ値t=16に達していなければ、先頭手
順(イ)に戻る。
以」−の手順(す)、(ヲ)、(ワ)、(力)は、両方
のカプラがディスエーブルの後、一方または両方のカプ
ラがイネーブルとなり、通信インターフェイス内ファー
ムウェアが設定時間(16秒)以内に立ち上がらない場
合、通信インターフェイス内ファームウェア異常の可能
性が高く、自己診断異常■とするものである。
手順(ワ)でカプラ・ディスエーブル・フラグfがオン
でなければ「N」、手順(ヨ)に進み、カウンタtの値
をみて“4”以上であれば「Y」、■自己診断異常とす
る。カウンタ値が“4”に達していなければ、先頭手順
(イ)に戻る。
以上の手順(す)、(ヲ)、(ワ)、(ヨ)は、両方の
カプラがディスエーブルとなった履歴がなく、通信イン
ターエイスが異常を続けている場合であり、通信インタ
ーフェイス内ファームウェア異常の可能性が高く、この
異常状態が4秒以上続いた場合に自己診断異常■とする
ものである。
以上のようにして、■両方のカプラがディスエーブルに
もかかわらず通信インターフェイス・レディが4秒以上
続いた場合、■両方のカプラかディスエーブルの後、一
方または両方のカプラがイネーブルとなり、通信インタ
ーフェイスが16秒以内に立ち上がらない場合、■両方
のカプラがディスエーブルとなった履歴がなく、通信イ
ンターフェイスが4秒以上異常状態を続けた場合、の3
つの場合に、通信インターフェイス内ファームウェア異
常と判定し、自己診断異常とする。
尚、本発明の自己診断動作は、制御側カード、待機側カ
ードの双方で1秒毎に実行しており、従来の自己診断動
作〈〈従来の技術〉で述べた自己診断動作(1)、(2
)、(3)、(4)、(5))の他に、制御側カードで
上記自己診断異常■。
■、■が検出された場合に、二重化切り換え論理が起動
する。
〈発明の効果〉 以上述べたように、本発明の二重化制御ユニットは、二
重化した制御カードにおいて、2個のカプラのディスエ
ーブル状態またはイネーブル状態と、通信インターフェ
イス内ファームウェアのレディ状態またはノット・レデ
ィ状態とを監視して正当な理由の場合にのみ自己診断異
常と判定して二重化切り換え論理を起動することができ
、当該二重化制御ユニットの信頼性を向上することがで
きる。
【図面の簡単な説明】
第1図は本発明を実施した二重化制御ユニットの動作を
表わすフローチャート、第2図(a)。 (b)、(c)、(d)は本発明の二重化制御ユニット
の内部に設定されるスティタスST1.スティタスST
2 、フラグf、カウンタtを表わす図、第3図は本発
明の二重化制御ユニット内に設定されるスティタスST
1 、 ST2の概念を表わす図、第4図は二重化制御
ユニットの外観を表わす図、第5図は二重化制御ユニッ
ト内の制御カード1.2の内部構成を表わす図である。 1.2・・・制御カード、11.21・・・プロセッサ
、12、22・・・通信インターフェイス、bl、 b
2・・・内部バス、B1. B2・・・バス、第 Z 図 とαノ (C) (d) を呵窄ン1(態、カフX7 第 図

Claims (1)

    【特許請求の範囲】
  1. (1)二重化バスとカプラを介して接続する通信インタ
    ーフェイス及び制御演算を実行するプロセッサからなり
    各種プロセスを制御する制御側カードと、この制御側カ
    ードと同一構成で前記制御側カードが故障した際に代わ
    って制御動作を開始する前記制御側カードと同一構成の
    待機側カードとから構成される二重化制御ユニットにお
    いて、前記制御側カード及び前記待機側カードの双方に
    、前記通信インターフェイスのファームウェア内に当該
    通信インターフェイスがレディまたはノット・レディで
    あるかを表わす通信ステイタスを設定するとともに、前
    記プロセッサ内に2個の前記カプラのディスエーブル状
    態を表わすバス・ステイタスを設定し、 [1]前記バス・ステイタスにて両方のカプラがディス
    エーブルかつ前記通信ステイタスがレディの状態が一定
    時間以上続いた場合、 [2]前記バス・ステイタスにて両方のカプラがディス
    エーブルの後一方または両方のカプラがイネーブルとな
    り、かつ前記通信ステイタスにて通信インターフェイス
    が一定時間内にレディとならない場合、 [3]前記バス・ステイタスにて両方のカプラがディス
    エーブルとなった履歴がなく前記通信ステイタスのノッ
    ト・レディの状態が一定時間以上続いた場合 に当該制御カードを自己診断異常とすることを特徴とす
    る二重化制御ユニット。
JP1290810A 1989-11-08 1989-11-08 二重化制御ユニット Expired - Fee Related JP2770494B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP1290810A JP2770494B2 (ja) 1989-11-08 1989-11-08 二重化制御ユニット

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP1290810A JP2770494B2 (ja) 1989-11-08 1989-11-08 二重化制御ユニット

Publications (2)

Publication Number Publication Date
JPH03152631A true JPH03152631A (ja) 1991-06-28
JP2770494B2 JP2770494B2 (ja) 1998-07-02

Family

ID=17760777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1290810A Expired - Fee Related JP2770494B2 (ja) 1989-11-08 1989-11-08 二重化制御ユニット

Country Status (1)

Country Link
JP (1) JP2770494B2 (ja)

Also Published As

Publication number Publication date
JP2770494B2 (ja) 1998-07-02

Similar Documents

Publication Publication Date Title
JPH03152631A (ja) 二重化制御ユニット
JP2993337B2 (ja) 2重系のバスコントロ−ル方法
JP2693627B2 (ja) プログラマブルコントローラの二重化システム
JP3332098B2 (ja) 二重化プロセッサ装置
JP3052595B2 (ja) 計算機冗長制御方式
JP2985188B2 (ja) 二重化計算機システム
JPS60134942A (ja) 異常状態におけるバツクアツプシステム
JP3363579B2 (ja) 監視装置及び監視システム
JPS6290068A (ja) 予備系監視方式
JPS634210B2 (ja)
JPS59146362A (ja) インタフエ−ス切換え制御方式
JPS59221702A (ja) デジタル式制御装置
JPS60140438A (ja) 情報処理系の系切替制御方式
JPH0418743B2 (ja)
JPS62151943A (ja) マイクロコンピユ−タのテスト方式
JPH0716218B2 (ja) 電子交換機二重化方式
JPH04305758A (ja) 情報処理装置
JPS60251443A (ja) プログラマブルコントロ−ラのバツクアツプ装置
JPH02109144A (ja) 伝送ライン切り換え装置
JPH0346855B2 (ja)
JPH01209564A (ja) 情報処理装置
JPH04160556A (ja) マルチプロセッサシステムのメモリ診断方式
JPH0512144A (ja) I/oモジユール診断方式
JPH02115967A (ja) マイコンのリセット方法
JPH05257725A (ja) Cpuユニットのエラー伝達装置

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees