JPS5918740B2 - multiple computer system - Google Patents
multiple computer systemInfo
- Publication number
- JPS5918740B2 JPS5918740B2 JP51048038A JP4803876A JPS5918740B2 JP S5918740 B2 JPS5918740 B2 JP S5918740B2 JP 51048038 A JP51048038 A JP 51048038A JP 4803876 A JP4803876 A JP 4803876A JP S5918740 B2 JPS5918740 B2 JP S5918740B2
- Authority
- JP
- Japan
- Prior art keywords
- control
- arithmetic
- control device
- failure
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
Landscapes
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
- Feedback Control In General (AREA)
Description
【発明の詳細な説明】
本発明は演算制御装置、補助記憶装置、周辺機器制御装
置から構成される計算機を複数台相互に連結した複数計
算機システムに関する。DETAILED DESCRIPTION OF THE INVENTION The present invention relates to a multi-computer system in which a plurality of computers each including an arithmetic control device, an auxiliary storage device, and a peripheral device control device are interconnected.
最近、発電プラントや石油プラント等のプロセス量の監
視や制御を行なうのにプロセス用ディジタル計算機が採
用されている。Recently, process digital computers have been employed to monitor and control process quantities in power plants, petroleum plants, and the like.
この場合、1台の計算機でプロセス量の制御を行なわせ
ると、その故障時に全ての機能が停止してしまうためプ
ロセス側に重大な影響を及ぼすことがある。そこで、こ
のことを救うために複数台の計算機による計算機システ
ムが考えられ、その方式としては(1)予備待機機によ
るもの、(2)デュアル構成とするものとがある。In this case, if one computer is used to control the process amount, all functions will stop in the event of a failure, which may have a serious impact on the process side. Therefore, in order to solve this problem, a computer system using a plurality of computers has been considered, and these systems include (1) a system using a backup standby computer, and (2) a system using a dual configuration.
ここで、(1)の方式は、さらに(イ)オンライでの自
動切替、(■オフラインでの手動切替によるものに分け
られる。Here, the method (1) can be further divided into (i) online automatic switching and (ii) offline manual switching.
オフラインでの手動切替方式は待機機に切替えるのにケ
ーブルの継ぎかえとか、手動によるスイッチ切替とかが
あるので、時間的に余裕のある場合に採用される。一方
、オンラインでの自動切替方式は、待機機がオンライン
に入れられるように常時待機しておき、オンライン運転
中の計算機の故障を検出して、自動的にバツクアツプヘ
移行させるようにしたものである。また(2)の方式は
最低2台の計算機が常時同一計算を実施し、データの一
致を確認する機能をもつている。The offline manual switching method requires cable connections and manual switching to switch to a standby machine, so it is used when there is plenty of time. On the other hand, in the online automatic switching method, a standby machine is always on standby so that it can be brought online, and a failure of the computer during online operation is detected and the computer is automatically transferred to backup. In addition, the method (2) has a function in which at least two computers always perform the same calculation and check whether the data match.
しかし、上記(1)の方式によるものでは、予備機を必
要とするため、高価となり、また(2)の方式によるも
のではデータの信頼度は上るが、処理量が減少してしま
うという欠点を有している。However, method (1) above requires a spare machine and is therefore expensive, and method (2) improves data reliability but has the disadvantage of reducing the amount of processing. have.
本発明の目的は予備機によるものではなく複数台の類似
機能を有するオンライン計算機での相互バツクアツプを
行なわせることにより、情報処理の向上を図ることがで
きる複数計算機システムを提供しようとするものである
。The purpose of the present invention is to provide a multiple computer system that can improve information processing by having multiple online computers with similar functions perform mutual backups, rather than using spare machines. .
以下、図面を参照して本発明の一実施例を説明する。Hereinafter, one embodiment of the present invention will be described with reference to the drawings.
第1図は、演算制御装置、補助記憶装置、周辺機器制御
装置からなる計算機を2台用意した複数計算機システム
を示したプロツク図である。すなわち、A側システムは
演算制御装置C1、補助記憶装置D1、周辺機器制御装
置P1により構成され、またB側システムは演算制御装
置C2、補助記憶装置D2、周辺機器制御装置P2によ
り構成されている。A側システムおよびB側システムの
双方が正常であるときは、信号ライン11D,11Pお
よび22D,22Pが活かされ、A側システムはA側の
プロセス11Aを、B側システムはB側のプロセス11
Bをそれぞれ独立に制御する。FIG. 1 is a block diagram showing a multi-computer system including two computers each consisting of an arithmetic control device, an auxiliary storage device, and a peripheral device control device. That is, the A-side system is composed of an arithmetic and control unit C1, an auxiliary storage device D1, and a peripheral device control device P1, and the B-side system is composed of an arithmetic and control device C2, an auxiliary storage device D2, and a peripheral device control device P2. . When both the A-side system and the B-side system are normal, the signal lines 11D, 11P and 22D, 22P are activated, the A-side system connects the A-side process 11A, and the B-side system connects the B-side process 11.
B are controlled independently.
また信号ライン12D,21Dおよび12P,21Pは
主として故障時に活かさる。一方、信号ライン12Cが
設けられ、A側システムおよびB側システムの相互バツ
クアツプのために、そのバツクアツプ時に必要なデータ
を、正常時において相互に授受できるようにしている。Further, the signal lines 12D, 21D and 12P, 21P are mainly utilized in the event of a failure. On the other hand, a signal line 12C is provided so that data necessary for mutual backup between the A-side system and the B-side system can be exchanged during normal operation.
また、故障検出装置12CXは演算制御彼置Cl,C2
の故障を検出するものである。この故障検出装置12C
Xは、演算制御装置Cl,C2のいずれかの故障を検出
したときは、健全側の演算制御装置に割込信号を送りそ
の故障を知らせるとともに、故障側の周辺機器制御装置
の出力を阻止するためにインターロツク回路にその旨を
伝える。第2図はインターロツク回路の回路図であり、
第2図aにはA側システムのインターロツク回路1LA
を示し、第2図bにはB側システムのインターロツク回
路1LBを示す。インターロツク回路1LAは演算制御
装置C1が故障したときに周辺機器制御装置P1の出力
を阻止し誤出力を防止するもので信号ライン21Pが活
かされ演算制御装置C2によるバツクアツプ動作が開始
されると、その阻止を解除するものである。そして、こ
の演算制御装置C2によるバツクアツプ動作中にさらに
周辺機器制御装置P1が故障したときは、その出力を阻
止するようになつている。インターロツク回路ILBも
同様に演算制御装置C2が故障したときに、周辺機器制
御装置P2から誤出力をしないように動作するものであ
る。すなわち、第2図aにおいてXllは信号ライン1
1Pが活きている場合゛1゛となる信号、30C11は
演算制御装置C1が正常な場合“1”となる信号である
。Further, the failure detection device 12CX has arithmetic control units Cl and C2.
This is to detect a failure in the system. This failure detection device 12C
When X detects a failure in either of the arithmetic and control units Cl or C2, it sends an interrupt signal to the healthy arithmetic and control unit to notify it of the failure, and also blocks the output of the failure side peripheral device control unit. In order to do so, the interlock circuit is notified. Figure 2 is a circuit diagram of the interlock circuit.
Figure 2a shows the interlock circuit 1LA of the A side system.
FIG. 2b shows the interlock circuit 1LB of the B-side system. The interlock circuit 1LA prevents the output of the peripheral device control device P1 and prevents erroneous output when the arithmetic and control device C1 fails. When the signal line 21P is activated and the backup operation by the arithmetic and control device C2 is started, This is to lift that block. If the peripheral device control device P1 fails during the backup operation by the arithmetic and control device C2, its output is blocked. Similarly, the interlock circuit ILB operates to prevent erroneous output from the peripheral device control device P2 when the arithmetic and control device C2 fails. That is, in FIG. 2a, Xll is the signal line 1
The signal 30C11 becomes "1" when 1P is active, and the signal 30C11 becomes "1" when the arithmetic and control unit C1 is normal.
これら両信号はアンド回路AND−A1に加えられる。
またX2lは信号ライン12Pが活きている場合0F゛
となる信号で、信号ライン12Pは、演算制御装置C2
が故障した場合に演算制御装置C1により活かされる。
MO2は周辺機器制御装置P1が正常時の周辺機器制御
装置P2からの出力信号である。これは、演算制御装置
C1が故障して演算制御装置C2によりライン21Pが
活かされ、演算制御装置C2によるバツクアツプ動作中
に周辺機器制御装置P1が故障したときに「0」となる
信号である。信号X2lはノツト回路NOT−Aを介し
てオア回路0R−A1に加えられ、また出力信号MO2
もオア回路0R−A1に加えられこのオア回路0R−A
1の出力がアンド回路AND−A1に加えられる。次に
、Xl2は信号ライン21Pが活きている場合”1゛と
なる信号、30C12は演算制御装置C2が正常な場合
゛1″となる信号である。Both these signals are applied to an AND circuit AND-A1.
Further, X2l is a signal that becomes 0F'' when the signal line 12P is active, and the signal line 12P is a signal that becomes 0F'' when the signal line 12P is active.
It is utilized by the arithmetic and control unit C1 in the event of a failure.
MO2 is an output signal from the peripheral device control device P2 when the peripheral device control device P1 is normal. This is a signal that becomes "0" when the arithmetic and control unit C1 fails and the line 21P is activated by the arithmetic and control unit C2, and when the peripheral device control unit P1 fails during a backup operation by the arithmetic and control unit C2. The signal X2l is applied to the OR circuit 0R-A1 via the NOT-A, and the output signal MO2
is also added to OR circuit 0R-A1 and this OR circuit 0R-A
The output of 1 is applied to the AND circuit AND-A1. Next, Xl2 is a signal that becomes "1" when the signal line 21P is active, and 30C12 is a signal that becomes "1" when the arithmetic and control unit C2 is normal.
これら両信号Xl2,3OCl2を出力信号MO2と共
にアンド回路AND−A2に加える。そしてアンド回路
AND−Al,AND−A2の出力をオア回路0R−A
2に加え、その出力をインタロツク信号1Laとして取
り出せるようにしてある。つまり、演算制御装置Cl,
C2の双方が正常であるときは、Xll,3OCll,
3OCl2は″1゛であり、X2l,Xl2は″0′゛
である。また正常時にはバツクアツプ動作はなされてい
ないのでMO2も″O”である。したがつて、AND−
A1の出力は611となり、AND−A2の出力は1『
゜となる。このことから、0R−A2の出力が″1″と
なつて、インターロツク回路ILlの出力は″1″とな
る。次に、演算制御装置C1が故障したとすると、30
C11が10′”となるので、AND−A1の出力は“
0”となる。Both signals Xl2 and 3OCl2 are applied to the AND circuit AND-A2 together with the output signal MO2. Then, the outputs of the AND circuits AND-Al and AND-A2 are connected to the OR circuit 0R-A.
2, its output can be taken out as an interlock signal 1La. In other words, the arithmetic and control unit Cl,
When both C2 are normal, Xll, 3OCll,
3OCl2 is "1", and X2l, Xl2 are "0". Furthermore, since no backup operation is performed during normal operation, MO2 is also "O". Therefore, AND-
The output of A1 is 611, and the output of AND-A2 is 1'
It becomes ゜. From this, the output of 0R-A2 becomes "1", and the output of interlock circuit IL1 becomes "1". Next, if the arithmetic and control unit C1 fails, 30
Since C11 becomes 10', the output of AND-A1 becomes "
0”.
一方、故障直後においては信号ライン21Pもまだ活か
されていないので、AND−A2の出力も”0″である
。よつて、0R−A2の出力ば0゛となり、周辺機器制
御装置P1の出力を阻止する。演算制御装置C2による
バツクアツプ動作が開始され、信号ライン21Pが活か
されると、Xl2が゛1゛となり、また周辺機器制御装
置P1が正常である限りはMO2も゛1゛となる。On the other hand, immediately after the failure, the signal line 21P is not yet activated, so the output of AND-A2 is also "0". Therefore, the output of 0R-A2 becomes 0', and the output of the peripheral device control device P1 is blocked. When the backup operation by the arithmetic and control device C2 is started and the signal line 21P is activated, Xl2 becomes "1", and as long as the peripheral device control device P1 is normal, MO2 also becomes "1".
このことから、AND−A2の出力は“1”となつて、
0R−A2の出力も゛1″となり、インターロツクは解
除される。一方、第2図bのインターロツク回路1LB
についても同様である。From this, the output of AND-A2 becomes "1",
The output of 0R-A2 also becomes ``1'', and the interlock is released.On the other hand, the interlock circuit 1LB of Fig. 2b
The same applies to
すなわち、第2図bにおいて、X22は信号ライン22
Pが活きている場合1F”となる信号、30C12は演
算制御装置C2が正常な場合゛1゛となる信号で、これ
ら両信号X22,3OCl2をアンド回路.AND−B
1に加える。また、Xl2は信号ライン21Pが活きて
いる場合゛1゛となる信号、MOlは周辺機器制御装置
P2が正常時の周辺機器制御装置P1からの出力信号で
、信号Xl2をノツト回路NOT−Bを介してオア回路
0R−B1に加え、また出力信号MOlをオア回路0R
−B1の出力をアンド回路AND−B1に加える。さら
にX2lは信号ライン12Pが活きている場合″F”と
なる信号、30C11は演算制御装置C1が正常な場合
”1″となる信号で、これら両信号X2l,3OCll
を出力信号MOlと共にアンド回路AND−B2に加え
る。そしてアンド回路AND−Bl,AND−B2の出
力をオア回路0R−B2に加え、その出力をインタロツ
ク信号1Lbとして取り出せるようにしてある。第3図
は、インターロツク回路1LAからのインターロツク信
号1Laにより、周辺機器制御装置P1からの制御出力
を阻止する出力阻止回路の回路図である。That is, in FIG. 2b, X22 is the signal line 22
30C12 is a signal that becomes "1F" when P is active, and 30C12 is a signal that becomes "1" when arithmetic and control unit C2 is normal. These two signals X22 and 3OCl2 are connected to an AND circuit.
Add to 1. In addition, Xl2 is a signal that becomes "1" when the signal line 21P is active, and MOl is an output signal from the peripheral device control device P1 when the peripheral device control device P2 is normal. In addition, the output signal MOl is added to the OR circuit 0R-B1 through the OR circuit 0R-B1.
-The output of B1 is added to the AND circuit AND-B1. Furthermore, X2l is a signal that becomes "F" when the signal line 12P is active, and 30C11 is a signal that becomes "1" when the arithmetic and control unit C1 is normal.
is applied to the AND circuit AND-B2 together with the output signal MOl. The outputs of the AND circuits AND-Bl and AND-B2 are added to the OR circuit 0R-B2 so that the output can be taken out as an interlock signal 1Lb. FIG. 3 is a circuit diagram of an output blocking circuit that blocks control output from peripheral device control device P1 by interlock signal 1La from interlock circuit 1LA.
この出力阻止回路はプロセス11Aがプラントプロセス
である場合は、プラント機器の駆動機構部に組み込まれ
る。いま、プラント機器が制御弁CVであるとすると、
周辺機器制御装置P1からは制御弁Cの上げ下げ信号が
制御出力として出される。この場合、第3図に示すよう
に、上げ信号とインター丁ンク信号1Laとをアンド回
路AND−A3に加え、また下げ信号とインタロツク信
号1Laとをアンド回路AND−A4に加え、これら両
アンド回路AND−A3,AND−A4の出力を周辺制
御弁CVに与えるようにしてある。従つて、もし演算制
御装置C1または周辺機器制御装置P1の故障によりイ
ンタロツク回路ILAから得られるインタロツク信号1
Laが゛0゛になると、アンド回路AND−A3,AN
D−A4の出力が゛O゛となるので、制御弁Cへの制御
出力はしや断される。If the process 11A is a plant process, this output blocking circuit is incorporated into the drive mechanism of the plant equipment. Now, assuming that the plant equipment is a control valve CV,
A signal for raising and lowering the control valve C is output from the peripheral equipment control device P1 as a control output. In this case, as shown in FIG. 3, the up signal and the interlock signal 1La are added to the AND circuit AND-A3, and the down signal and the interlock signal 1La are added to the AND circuit AND-A4. The outputs of AND-A3 and AND-A4 are applied to the peripheral control valve CV. Therefore, if the arithmetic control unit C1 or the peripheral device control unit P1 fails, the interlock signal 1 obtained from the interlock circuit ILA
When La becomes 0, the AND circuit AND-A3, AN
Since the output of D-A4 becomes "O", the control output to the control valve C is immediately cut off.
これによつて、演算制御装置C1や周辺機器制御装置P
1の故障により生ずる誤出力を防止できる。第4図は演
算制御装置C1が故障した場合の故障検出装置12CX
およびインターロツク回路ILAの動作を示すタイムチ
ヤートである。With this, the arithmetic control device C1 and the peripheral device control device P
It is possible to prevent erroneous outputs caused by a failure in item 1. Figure 4 shows the failure detection device 12CX when the arithmetic and control unit C1 fails.
and a time chart showing the operation of interlock circuit ILA.
すなわち、時刻t1で演算制御装置C1が故障すると故
障検出装置12XCがこれを検出し、インターロツク回
路1LAに知らせる。インターロツク回路1LAでは演
算制御装置C1が故障すると、信号30C11が60″
となるので、インターロツク回路1LAの出力Laば0
”となる。これによつて、周辺機器制御装置P1からの
出力は阻止される。一方、故障検出装置12CXからは
健全側の演算制御装置C2へ割込み信号が送られる。That is, when the arithmetic and control unit C1 fails at time t1, the failure detection device 12XC detects this and notifies the interlock circuit 1LA. In the interlock circuit 1LA, when the arithmetic and control unit C1 fails, the signal 30C11 becomes 60''.
Therefore, the output La0 of interlock circuit 1LA
”. As a result, the output from the peripheral device control device P1 is blocked. On the other hand, an interrupt signal is sent from the failure detection device 12CX to the healthy arithmetic and control device C2.
演算制御装置C2はこの割込み信号を受けとると、A側
システムの演算制御装置C1に故障が発生したことを知
り、それを確認完了した時点T2で信号ライン21Pを
活すために切替信号を出し、周辺機器制御装置P1の切
替えを行う。これによりインタロツク信号1Laは6F
゛となり、再び活きる。この場合制御信号すなわち周辺
機器制御装置P1からの出力は時刻t1〜T3の間中断
される。次に演算制御装置Cl,C2の機能について説
明する。本発明の補助記憶装置Dl,D2には、後述す
る第9図に示すような制御操作表が記憶されている。そ
して、プロセス11A,11Bの制御にあたつては、演
算制御装置Cl,C2はプロセス11A,11Bの状態
を監視しながら、その状態で最も適切な制御操作表を選
択し、その制御操作表の内容に従つて制御が行われるよ
うになつている。そして、その制御の実行開始にあたつ
てはオペレータの許可を条件とするものと、オペレータ
の許可を条件としないものとがある。いま、プロセス1
1Aが火力発電プラントであるとすると、その運転手順
は大まかにとらえると、ボイラ点火準備、ボイラ点火、
ボイラ昇温昇圧、タービン通気準備、タービン通気、タ
ービン昇速、系統併入という各段階を経て一般に制御は
行われる。When the arithmetic and control unit C2 receives this interrupt signal, it learns that a failure has occurred in the arithmetic and control unit C1 of the A-side system, and after confirming this, it issues a switching signal to activate the signal line 21P at the time T2. The peripheral device control device P1 is switched. As a result, the interlock signal 1La becomes 6F.
It becomes ゛ and becomes alive again. In this case, the control signal, ie, the output from the peripheral device control device P1, is interrupted between times t1 and T3. Next, the functions of the arithmetic and control units Cl and C2 will be explained. A control operation table as shown in FIG. 9, which will be described later, is stored in the auxiliary storage devices Dl and D2 of the present invention. In controlling the processes 11A and 11B, the arithmetic and control units Cl and C2 monitor the states of the processes 11A and 11B, select the most appropriate control operation table for that state, and Control is now performed according to the content. When starting the execution of the control, there are those that require operator permission as a condition and those that do not require operator permission as a condition. Now process 1
Assuming that 1A is a thermal power plant, its operating procedures can be roughly summarized as boiler ignition preparation, boiler ignition,
Control is generally performed through the following stages: boiler temperature and pressure increase, turbine ventilation preparation, turbine ventilation, turbine speed increase, and system integration.
ここで、この運転手順の各段階内にはそれぞれ複数の制
御操作項目があり、たとえばタービン通気準備の段階で
は、ターピンリセツト、加減弁ウオーミング、ガバナ上
限、ロートリミッタ上限、ドレン弁全開等の項目がある
。この各段階内での各種制御操作を実行開始するにあた
つては、オペレータの許可は条件としないのが通例であ
り、一方ある段階から次の段階へ移行する場合の制御操
作を行うには、オペレータの許可が必要であるとするの
が通例である。すなわち、演算制御装置Cl,C2の制
御の動作は、オペレータの許可を条件とするものについ
てはオペレータの指示により実行開始され、またオペレ
ータの許可を条件としないものについてはプロセス11
A,11Bの状態により実行開始される。Each stage of this operating procedure has multiple control operation items. For example, in the turbine ventilation preparation stage, there are items such as turpin reset, control valve warming, governor upper limit, low limiter upper limit, and drain valve fully open. be. In order to start executing various control operations within each stage, operator permission is usually not a condition.On the other hand, when performing control operations when moving from one stage to the next, , it is customary to require permission from the operator. That is, the control operations of the arithmetic and control units Cl and C2 are started in response to an operator's instruction if the operator's permission is required, and the process 11 is executed if the operator's permission is not a condition.
Execution is started depending on the states of A and 11B.
この動作の実行開始条件はシステム構成上予め決められ
ている。いま、オペレータが動作開始を指示する場合を
考える。The conditions for starting execution of this operation are determined in advance based on the system configuration. Now, let us consider a case where the operator instructs to start an operation.
第5図はA側システムの演算制御装置C1が制御動作を
行う場合のタイムチヤートである。上述のようにプロセ
ス11Aの状態が、ある制御操作を行うべき状態となつ
たとする。たとえば、ボイラからの蒸気が所定の温度圧
力になつており、タービンメタル温度が所定のミスマツ
チ温度を満たしており、かつ末だタービンへの通気がな
されていないという状態になつたとする。この状態は、
次にタービン通気を行うべき状態であり、演算制御装置
C1はその制御操作表を選択するが、このタービン通気
はオペレータの許可を条件とするもので、演算制御装置
C1はオペレータからの指示がないかぎりはその動作開
始を行わない。そこで、オペレータからの指示(イ)が
あると、演算制御装置C1はその制御操作を実行するわ
けであるが、それに先立つて、B側システムにその制御
操作の開始指令(口)を伝送する(時刻Ta)この伝送
は信号ライン12Cにより行なわれる。そして開始指令
(口)を伝送後にその制御操作表の名称を示すデータ(
ハ)も信号ライン12Cにより伝送する(時刻Tb)。
データの量が多数の場合には信号ライン12Dを使用す
る。以上の指令伝送と同時にプロセスの制御を開始する
(時刻Tc)。そして、制御操作表の内容が実行終了す
ると、オペレータの指ボイ)が切れ、制御(ニ)が終了
する。A側システムはこの終了一指示(ホ)をB側シス
テムに信号ライン12Cから伝送する。B側システムで
は開始指令(Vj)、データ(ハ)の内容を記憶し、終
了指令((1)を授受してからこの記憶を解除する。こ
のように演算制御装置Cl,C2の正常時における基本
動作は、(a)制御開始とその制御操作表の名称とを相
手側に送る。FIG. 5 is a time chart when the arithmetic and control unit C1 of the A-side system performs control operations. Assume that the state of the process 11A becomes such that a certain control operation should be performed as described above. For example, assume that the steam from the boiler is at a predetermined temperature and pressure, the turbine metal temperature satisfies a predetermined mismatch temperature, and there is no ventilation to the remaining turbine. This state is
Next, turbine ventilation is to be performed, and the arithmetic and control unit C1 selects the control operation table, but this turbine ventilation is conditional on the operator's permission, and the arithmetic and control unit C1 does not receive any instructions from the operator. The operation will not start until then. Therefore, when there is an instruction (a) from the operator, the arithmetic and control unit C1 executes the control operation, but prior to that, it transmits a command to start the control operation to the B-side system ( Time Ta) This transmission takes place via the signal line 12C. After transmitting the start command (input), data indicating the name of the control operation table (
C) is also transmitted via the signal line 12C (time Tb).
If the amount of data is large, signal line 12D is used. Simultaneously with the above command transmission, process control is started (time Tc). When the contents of the control operation table are completed, the operator's finger () is cut off, and the control (d) ends. The A-side system transmits this termination instruction (e) to the B-side system via the signal line 12C. The B-side system stores the contents of the start command (Vj) and data (c), and releases this memory after sending and receiving the end command ((1). In this way, when the arithmetic and control units Cl and C2 are normal, The basic operation is (a) Send control start and the name of the control operation table to the other party.
(b)その制御操作表の内容に従つて制御を行う。(b) Perform control according to the contents of the control operation table.
(c)制御操作表の内容が実行完了し制御終了した場合
、それを相手側に知せる。である。(c) When the contents of the control operation table have been executed and the control has ended, notify the other party of this. It is.
第6図は、A側システムが制御実行中に故障し、B側シ
ステムがそのバツクアツプ引継制御動作に入り、そのバ
ツクアツプ引継制御動作中にA側システムの故障が回復
した場合のタイムチヤートを示すものである。FIG. 6 shows a time chart when the A-side system fails during control execution, the B-side system enters its backup handover control operation, and the A-side system recovers from the failure during the backup handover control operation. It is.
いま、オペレータの指示(イ)によりA側システムが時
刻Taで制御開始となると、動作開始指令(口)および
制御操作表の名称がB側システムに送られる(ハ)。Now, when the A-side system starts controlling at time Ta according to the operator's instruction (a), the operation start command (x) and the name of the control operation table are sent to the B-side system (c).
そして、A側システムでのその制御操作表の処理実行中
の時刻Taで、A側システムの演算制御装置C1に故障
が発生したとする(ハ)。そうすると、インターロツク
回路LAは周辺機器制御装置P1の出力を阻止する(卜
)。その後、時刻Teにおいて、健全側の演算制御装置
C2により、周辺機器制御装置P1が演算制御装置C2
に接続され、A側システムで処理の中断された制御操作
表のバツクアツプ引継制御動作が開始される(ト)。と
ころで、上述のように本発明の計算機は制御操作表の選
択にあたつては、プロセスの状態を判定してその状態で
処理すべき制御操作表を選ぶようにしている。ところが
、このバツクアツプ引継制御動作にあたつては、演算制
御装置C2はプカセス状態の判定を行うことなく、予め
A側から送られてきている制御操作表の名称のものを選
び、その制御操作表の処理を行う。これによつて、プロ
セス11Aの状態判定を行うことを省略できる。しかし
て周辺機器制御装置P1からの出力は再び出されるよう
になり、B側システムによるA側システムのバツクアツ
プが行われるわけである。ここで、このバツクアツプ引
継制御中の時刻Tfで、A側システムの演算制御装置C
1が故障回復した場合には、第7図aレこ示すようにA
側システムはそのバツクアツプ引継制御が終了するまで
待機する。そして、バツクアツプ引継制御が終了したこ
とをB側システムから受けとると(時刻Tg)、第7図
bに示すように計算機システムを復旧させる。もし、A
側システムが故障回復しない場合には、B側システムは
処理の中断した制御操作表の処理を単に引継ぐのではな
く、それ以降の制御も引継ぐことになる。この場合には
A側システムのプロセス11Aの状態を判定しながら、
それ以降のバツクアツプ制御を行う。以上の説明では、
バツクアツプ動作に移行する場合に一時瞬断する場合(
第4図のT,とT3間、第6図のTdとTe間)につい
て述べたが、この瞬断をなくするには、第8図に示すよ
うに配分器Sを設ける。It is assumed that a failure occurs in the arithmetic and control unit C1 of the A-side system at time Ta while the A-side system is executing the processing of the control operation table (c). Then, the interlock circuit LA blocks the output of the peripheral device control device P1 (Figure 1). Thereafter, at time Te, the healthy arithmetic and control device C2 causes the peripheral device control device P1 to switch to the arithmetic and control device C2.
, and the backup handover control operation of the control operation table whose processing was interrupted is started in the A-side system (T). By the way, as described above, when selecting a control operation table, the computer of the present invention determines the state of the process and selects the control operation table to be processed in that state. However, in performing this backup handover control operation, the arithmetic and control unit C2 selects the name of the control operation table sent from side A in advance, without determining the status of the backup, and uses that control operation table. Process. This makes it possible to omit determining the state of the process 11A. Thus, the output from the peripheral device control device P1 is again output, and the B-side system backs up the A-side system. Here, at time Tf during this backup handover control, the arithmetic and control unit C of the A-side system
1 is recovered from the failure, A as shown in Figure 7a.
The side system waits until the backup handover control is completed. When it receives from the B-side system that the backup handover control has been completed (time Tg), the computer system is restored as shown in FIG. 7b. If A
If the system on the side does not recover from the failure, the system on the B side does not simply take over the processing of the control operation table whose processing was interrupted, but also takes over the subsequent control. In this case, while determining the state of process 11A of the A-side system,
Performs backup control after that. In the above explanation,
If there is a momentary interruption when transitioning to backup operation (
4 (between T and T3 in FIG. 4, and between Td and Te in FIG. 6), in order to eliminate this instantaneous interruption, a distributor S is provided as shown in FIG. 8.
すなわち、プロセス11A,11Bからのプロセス信号
をまず配分器Sに入れ、その信号を周辺機器制御装置P
1とP2との双方に同時に送信することにより実現する
。この配分器はプロセス11A,11Bの種々のセンサ
から得られた各種プロセス信号を周辺機器制御装置Pl
,P2の双方に同時に出力するものである。この場合に
は、演算制御装置C1が故障しても、演算制御装置C2
は配分器Sを介してプロセス11Aのプロセス信号を取
込むことができるので、信号ライン21Pを活さずとも
信号ライン22Pから制御を続行することが可能となる
。That is, the process signals from the processes 11A and 11B are first input to the distributor S, and the signals are sent to the peripheral device controller P.
This is achieved by transmitting to both P1 and P2 at the same time. This distributor sends various process signals obtained from various sensors of the processes 11A and 11B to the peripheral equipment control device Pl.
, P2 simultaneously. In this case, even if the arithmetic and control device C1 fails, the arithmetic and control device C2
can take in the process signal of the process 11A via the distributor S, so it is possible to continue control from the signal line 22P without activating the signal line 21P.
そして制御の実行にあたつては、第9図に示す−ように
演算制御装置C2は、配分器Sを介して得られたプロセ
ス11Aからのプロセス信号を基にプロセス11Aの状
態を判定し、バツクアツプすべき制御操作表を特定する
。一方、この制御操作表の取出しはピツクアツプ信号の
成立を条件に補助記憶装置D1より抽出して演算制御装
置C2に入力する。このピツクアツプ信号は開始指令、
終了指令の反転信号および故障信号のアンド条件が満た
されると出力されるものである。なお、動作開始指令を
オペレータの設定としている場合は、この開始指令を配
分器Sを介して演算制御装置C2に入力するようにして
おけば、オペレータ指示から制御開始までの間にA側シ
ステムが故障しても直ちにバツクアツプに入り得る。In executing the control, the arithmetic and control unit C2 determines the state of the process 11A based on the process signal from the process 11A obtained via the distributor S, as shown in FIG. Identify control operation tables to be backed up. On the other hand, this control operation table is extracted from the auxiliary storage device D1 and inputted to the arithmetic and control unit C2 on the condition that the pickup signal is established. This pick-up signal is a start command,
It is output when the AND condition of the inverted signal of the termination command and the failure signal is satisfied. In addition, when the operation start command is set by the operator, if this start command is input to the arithmetic and control unit C2 via the distributor S, the A-side system can be Even if it breaks down, it can immediately go into backup.
次に第10図はA側システムが制御実行中に故障し、B
側システムがこのA側の故障に対し特定のバツクアツプ
引継制御を行い、その後にA側の制御をバツクアツプす
る場合のタイムチヤートである。この場合は、以下に述
べるように、データ伝送(制御操作表の名称の伝送)が
不要となる。すなわち、時刻TdでA側システムが故障
すると、前述の場合と同様に健全側の演算制御装置C2
は周辺機器制御装置P1を演算制御装置C2側に接続し
、時刻Teでこれが、完了すると、演算制御装置C2は
A側システムの故障に対して特定のバツクアツプ引継制
御を行う(図。この特定のバツクアツプ引継制御とは、
たとえば匍脚対象がタービンである場合には、タービン
の回転数を故障時の値にホールドしたり、安全領域の値
になるまで制御することをいう。ここで、安全領域の値
になるまで制御を行うのはタービン回転数の場合には危
険速度領域とよばれる領域があり、タービ7昇速中にそ
の領域内でホールドすることは好ましくないからである
。このような特定のバツクアツプ引継制御を行つた後に
、健全側の演算制御装置C2はプロセス11Aの状態の
判定を行い、以降の制御をバツクアツプするQL))。Next, in Fig. 10, the A side system fails during control execution, and the B side system fails.
This is a time chart when the system on the A side performs specific backup handover control in response to a failure on the A side, and then backs up the control on the A side. In this case, as described below, data transmission (transmission of the name of the control operation table) becomes unnecessary. In other words, when the A-side system fails at time Td, the normal arithmetic and control unit C2
connects the peripheral device control device P1 to the arithmetic and control device C2 side, and when this is completed at time Te, the arithmetic and control device C2 performs specific backup handover control in response to a failure in the A-side system (Fig. What is backup handover control?
For example, when the target object is a turbine, this refers to holding the rotational speed of the turbine at the value at the time of failure or controlling it until it reaches a value within the safe range. Here, the reason why control is performed until the value in the safe area is reached is because there is a region called a critical speed region in the case of turbine rotation speed, and it is not desirable to hold it within that region while the turbine speed is increasing. be. After performing such specific backup handover control, the healthy arithmetic and control unit C2 determines the state of the process 11A, and performs backup control (QL)).
したがつて、この実施例の場合は、A側システムで処理
の中断した制御操作表の処理を引継ぐわけでないから、
A側システムからの制御データ(制御操作表の名称)は
不要となる。また、以上の実施例では、A側のシステム
が故障したときその故障に対する特定のバツクアツプ引
継制御をした後に、A側システムの制御をバツクアツプ
するものであるが、制御対象の制御サンプリング周期が
プロセス状態判定に要する時間より長い場合には、特定
のバツクアツプ引継制御を省略し、いきなり、A側シス
テムの制御をバツクアツプするようにしてもよい。この
場合、健全側の演算制御装置C2が故障側の周辺機器制
御装置P1を演算制御装置C2に接続した後に、A側の
プロセス11Aの状態を判定し、その状態に合致した制
御操作表を選択してバツクアツプを行うことになる。こ
の場合も制御データの伝送は不要となる。一方、第10
図の実施例では、A側システムに故障が発生しB側シス
テムでバツクアツプするまでに、瞬断する場合について
説明したが、第8図に示す構成とすればその瞬断を防ぐ
ことができることはいうまでもない。Therefore, in this embodiment, the A-side system does not take over the processing of the control operation table whose processing was interrupted.
Control data (name of control operation table) from the A-side system becomes unnecessary. Furthermore, in the above embodiment, when the system on the A side fails, the control of the system on the A side is backed up after performing specific backup handover control for the failure, but the control sampling period of the controlled object is determined by the process state. If the time is longer than the time required for the determination, the specific backup handover control may be omitted and the control of the A-side system may be suddenly backed up. In this case, after the arithmetic and control device C2 on the healthy side connects the peripheral device control device P1 on the failure side to the arithmetic and control device C2, it determines the state of the process 11A on the A side and selects a control operation table that matches the state. Then, a backup will be performed. In this case as well, transmission of control data is not necessary. On the other hand, the 10th
In the example shown in the figure, a case has been described in which a failure occurs in the A-side system and there is a momentary power outage before backup is performed in the B-side system, but the configuration shown in FIG. 8 can prevent such a momentary outage. Needless to say.
以上述べたように本発明によれば、演算制御装置、補助
記憶装置、周辺機器装置から構成される計算機を複数台
相互に連結して相互に相手側の故障を発見する手段を備
えると共に各装置の動作を切替えられるようにしたので
、本来1台ずつで構成される複数のシステムが相互にバ
ツクアツプし、”その追加機能が少なくてすむ。As described above, according to the present invention, a plurality of computers each including an arithmetic control device, an auxiliary storage device, and a peripheral device are connected to each other, and each device is provided with a means for mutually discovering a malfunction in the other side. By making it possible to switch the operation of the system, multiple systems, which would normally consist of one system at a time, can back up each other, reducing the need for additional functions.
予備機によるものではなく複数台の類似機能を有するオ
ンライン計算機での相互バツクアツプを行なわせるよう
にしたので、安価にして情報処理の向上を図ることがで
きる。また故障側からのプロセス制御の信号をしや断す
るので、異常信号による誤動作を除去することができる
。一方、本発明の計算機は、プロセスの状態変化に応じ
てその状態に適した制御操作表を選択して制御を実行す
るものであるから、プロセスに状態変化がない限りは計
算機は制御を実行する必要はない。Since mutual backup is performed by a plurality of online computers having similar functions instead of using a standby machine, it is possible to improve information processing at low cost. Furthermore, since the process control signal from the faulty side is interrupted, malfunctions caused by abnormal signals can be eliminated. On the other hand, the computer of the present invention executes control by selecting a control operation table suitable for the state according to a change in the state of the process, so the computer executes control as long as there is no change in the state of the process. There's no need.
したがつて、一方の計算機が故障して他方の計算機がこ
れをバツクアツプした場合であつても、プロセスの状態
変化があつたときのみバツクアツプによる制御を実行す
ればよいので、バツクアツプによる計算機負荷は最小限
におさえることができる。また、故障直前に実行されて
いる制御を他の健全な計算機で実行し、その制御の目標
に合致するように引継制御がなされ、また引継制御中に
故障した計算機が再試行し、故障状態が発見されないと
きはそれ以降の制御が元の計算機に戻されるので、計算
により行なわれる制御のサンプリング周期が故障時の再
試行時間より短くなくてはならないような重要な制御の
場合、制御の安全を確保することが可能となる。Therefore, even if one computer fails and the other computer backs up the data, backup control only needs to be executed when the process status changes, so the computer load caused by backup is kept to a minimum. It can be kept to a minimum. In addition, the control that was being executed immediately before the failure is executed on another healthy computer, and the handover control is performed to match the control goal. Also, during the handover control, the failed computer retries, and the failure state is resolved. If it is not discovered, subsequent control is returned to the original computer, so in the case of important control where the sampling period of control performed by calculation must be shorter than the retry time in the event of a failure, it is important to ensure control safety. It becomes possible to secure it.
第1図は本発明の一実施例を示すプロツク構成図、第2
図A,bはA側システム、B側システムに対応するイン
タロツク回路の回路図、第3図はインタロツク回路の出
力により周辺機器制御装置からの制御出力を阻止するた
めの出力阻止回路の回路図、第4図はA側システムの故
障時の動作例を説明するためのタイムチヤート、第5図
はA側システムが正常に制御する場合の動作を示すタイ
ムチヤート、第6図はA側システムの制御中にA側シス
テムが故障した場合の動作を示すタイムチヤート、第7
図A,bはB側システムによるバツクアツプ状態からA
側システム復旧の場合のプロツク構成図、第8図は本発
明の他の実施例を示すプロツク構成図、第9図は同実施
例において制御を実行する場合の制御操作表の抽出の仕
方を説明するための説明図、第10図は本発明のさらに
異なる他の実施例における各信号のタイムチヤートであ
る。
Cl,C2・・・・・・演算制御装置、Dl,D2・・
・・・・補助記憶装置、Pl,P2・・・・・・周辺機
器制御装置。FIG. 1 is a block diagram showing one embodiment of the present invention, and FIG.
Figures A and b are circuit diagrams of interlock circuits corresponding to the A-side system and B-side system, and Figure 3 is a circuit diagram of an output blocking circuit for blocking control output from the peripheral device control device by the output of the interlock circuit. Fig. 4 is a time chart for explaining an example of the operation when the A-side system malfunctions, Fig. 5 is a time chart showing the operation when the A-side system is controlling normally, and Fig. 6 is the control of the A-side system. Time chart showing the operation when the A side system fails during the operation, No. 7
Figures A and b are from the backup state of the B-side system to A.
FIG. 8 is a block diagram showing another embodiment of the present invention, and FIG. 9 explains how to extract a control operation table when executing control in the same embodiment. FIG. 10 is a time chart of each signal in yet another embodiment of the present invention. Cl, C2... Arithmetic control unit, Dl, D2...
... Auxiliary storage device, Pl, P2 ... Peripheral device control device.
Claims (1)
れた表を記憶する補助記憶装置と、前記プロセスの状態
を判定しその状態で制御操作すべき内容に対応する前記
表を選択して処理する演算制御装置と、この演算制御装
置での演算結果を制御出力として前記プロセスに出力す
るための周辺機器制御装置とからなる計算機を複数台相
互に連結し、前記演算制御装置のいずれかが故障したと
きそれを検出し健全な演算制御装置にその故障を知らせ
る故障検出装置と、前記故障検出装置が動作したときそ
の故障した計算機の前記周辺機器制御装置からの制御出
力を阻止するためのインターロック回路と、前記演算制
御装置内に設けられ前記故障検出装置からの故障検出を
受けとるとその故障した計算機の前記周辺機器制御装置
を健全な演算制御装置に接続し前記制御出力の阻止を解
除する手段と、前記演算制御装置内に設けられ前記故障
した計算機が行つていた制御操作の引継制御を行いその
故障が回復しないときは前記故障した計算機が制御を担
当していたプロセスの状態を判定しその状態に応じてバ
ックアップを行う手段と、前記故障が回復した場合には
前記健全な演算制御装置での引継制御が終了したときに
制御を回復した演算制御装置へ戻す手段とを備えたこと
を特徴とする複数計算機システム。1. An auxiliary storage device that stores a table that describes the contents of control operations for a process to be controlled, and determines the state of the process and selects and processes the table corresponding to the contents to be controlled in that state. A plurality of computers each consisting of an arithmetic and control device and a peripheral device control device for outputting the arithmetic results of the arithmetic and control device to the process as a control output are interconnected, and one of the arithmetic and control devices breaks down. a failure detection device that detects the failure and notifies a healthy arithmetic control unit of the failure; and an interlock circuit that blocks control output from the peripheral equipment control device of the failed computer when the failure detection device operates. and means provided in the arithmetic and control device for connecting the peripheral device control device of the failed computer to a healthy arithmetic and control device upon receiving a failure detection from the failure detection device and releasing the blocking of the control output. , installed in the arithmetic and control unit, performs handover control of the control operation that was being performed by the failed computer, and if the failure is not recovered, determines the state of the process that the failed computer was in charge of controlling; It is characterized by comprising means for backing up according to the state, and means for returning control to the recovered arithmetic and control device when the handover control in the healthy arithmetic and control device is completed when the failure is recovered. Multi-computer system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP51048038A JPS5918740B2 (en) | 1976-04-27 | 1976-04-27 | multiple computer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP51048038A JPS5918740B2 (en) | 1976-04-27 | 1976-04-27 | multiple computer system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS52130543A JPS52130543A (en) | 1977-11-01 |
| JPS5918740B2 true JPS5918740B2 (en) | 1984-04-28 |
Family
ID=12792135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP51048038A Expired JPS5918740B2 (en) | 1976-04-27 | 1976-04-27 | multiple computer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS5918740B2 (en) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5537641A (en) * | 1978-09-08 | 1980-03-15 | Fujitsu Ltd | Synchronization system for doubled processor |
| JPS5587262A (en) * | 1978-12-25 | 1980-07-01 | Fujitsu Ltd | Asynchronous doubled operation system |
| JPS5640901A (en) * | 1979-09-11 | 1981-04-17 | Toshiba Corp | Backup method of process control |
| JPS57152050A (en) * | 1981-03-13 | 1982-09-20 | Fujitsu Ltd | Switching system of duplex information line |
| JPS5864502A (en) * | 1981-10-15 | 1983-04-16 | Hitachi Ltd | Plant decentralized control method |
| JPS5936801A (en) * | 1982-08-26 | 1984-02-29 | Yamatake Honeywell Co Ltd | Backup method in duplex controlling system |
| JPS59178578A (en) * | 1983-03-30 | 1984-10-09 | Fujitsu Ltd | Data processing system |
| JPH0614331B2 (en) * | 1986-12-23 | 1994-02-23 | 日本電気株式会社 | Online processing system switching method for multiple computer systems |
| JP6026142B2 (en) * | 2012-06-04 | 2016-11-16 | 株式会社日立製作所 | Control system in which multiple computers operate independently |
-
1976
- 1976-04-27 JP JP51048038A patent/JPS5918740B2/en not_active Expired
Also Published As
| Publication number | Publication date |
|---|---|
| JPS52130543A (en) | 1977-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US3377623A (en) | Process backup system | |
| JPS5918740B2 (en) | multiple computer system | |
| JP2000181501A (en) | Redundant controller | |
| JP5620730B2 (en) | Dual system arithmetic processing apparatus and dual system arithmetic processing method | |
| JPH0778039A (en) | Clock selection control method | |
| JPS6321929B2 (en) | ||
| JPS6027041B2 (en) | How to switch lower control devices in Hiaraki control system | |
| JPH07121395A (en) | Standby device priority selection method | |
| JPH10283015A (en) | Plant monitoring and control system | |
| JPS6246027B2 (en) | ||
| JPS5929890B2 (en) | Preliminary switching control method | |
| JPH0736721A (en) | Control method for multiplex computer system | |
| JPS5917467B2 (en) | Control computer backup method | |
| JPH06175868A (en) | Redundant computer failure monitoring method | |
| JPH0254640A (en) | Line switching controller | |
| JPS60251443A (en) | Backup device of programmable controller | |
| JP4431262B2 (en) | Control device | |
| JP2991547B2 (en) | Mutual abnormality diagnosis processing method of multiplex system controller and multiplex system controller | |
| JPH0540649A (en) | Redundant switching system | |
| JPS6011901A (en) | Back-up device of decentralized controller | |
| JPH06222944A (en) | Switching control method for duplexed electronic computer system | |
| JPH0696380A (en) | Automated control and monitoring operation device | |
| JPH0281203A (en) | Robot control system | |
| JPS597982B2 (en) | Restart method in case of system failure of computer system | |
| CN119527329A (en) | A redundant automatic driving wire-controlled steering system, control method and vehicle |