JPS5917467B2 - Control computer backup method - Google Patents
Control computer backup methodInfo
- Publication number
- JPS5917467B2 JPS5917467B2 JP51018307A JP1830776A JPS5917467B2 JP S5917467 B2 JPS5917467 B2 JP S5917467B2 JP 51018307 A JP51018307 A JP 51018307A JP 1830776 A JP1830776 A JP 1830776A JP S5917467 B2 JPS5917467 B2 JP S5917467B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- backup
- management device
- computers
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 238000000034 method Methods 0.000 title claims description 18
- 230000005856 abnormality Effects 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 31
- 230000005540 biological transmission Effects 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000009977 dual effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Hardware Redundancy (AREA)
- Multi Processors (AREA)
- Feedback Control In General (AREA)
- Safety Devices In Control Systems (AREA)
Description
【発明の詳細な説明】
本発明は、複数の制御用計算機を共用の予備計算機によ
り合理的にバックアップするためのバックアップ方式に
関するものである。DETAILED DESCRIPTION OF THE INVENTION The present invention relates to a backup method for rationally backing up a plurality of control computers using a shared standby computer.
最近における制御用計算機の動向は、初期の比較的小規
模なプラントに対して計算機1台、又は冗長性システム
1セットを対応づけて一制御システムを構成する形式か
ら脱脚し、巨大プラントを機能別に分離してその一機能
に一計算機を対応させるとともに各計算機がプラント全
体の写像的意味をもつデータベースを共有するマルチコ
ンピュータシステムを構成することにより巨大プラント
に対処する形式へと移行しつつある。Recent trends in control computers are moving away from the earlier format in which one computer or one set of redundant systems was associated with a relatively small-scale plant to form a single control system, and large-scale plants are now functioning. We are moving towards a system that can handle huge plants by configuring a multi-computer system in which each computer is separated and corresponds to one function, and each computer shares a database that has a mapping meaning for the entire plant.
換言すれば、従来はープラントに対して複数の計算機に
よる冗長性システムを構成していたのに対し、最近にお
いては一計算機の信頼度が・・ −ドウエア技術の進歩
により飛躍的に向上したため、複数の計算機を用いて複
数のプラントに、又は複数の機能を合成した巨大プラン
トに対処する方向に移行しつつあるわけである。ところ
で、一計算機の信頼度が向上したといつても、それが無
限に高いということはないから、上述のようなマルチコ
ンピユータシステムの動向に対処するために適切な形で
バツクアツプ方式が考えられなければならない。In other words, whereas in the past a redundancy system was configured using multiple computers for a plant, recently the reliability of a single computer has improved dramatically due to advancements in hardware technology. There is a shift towards using computers to deal with multiple plants or large plants that combine multiple functions. By the way, even if the reliability of a single computer has improved, it does not mean that it is infinitely high, so an appropriate backup method must be devised to cope with the trends in multi-computer systems mentioned above. Must be.
従来、計算機を用いる制御系の信頼性を高めるやり方と
して、デユアル(Dual)システム、及びデユプレツ
クス(Duplex)システムの考え方が提案されてい
る。Conventionally, the concepts of dual systems and duplex systems have been proposed as ways to improve the reliability of control systems using computers.
複数の計算機がそれぞれ分離した機能をもつ前述したよ
うな今後のマルチコンピユーコシステムに対しては、デ
ユアルシステムではなくむしろデユプレツクスシステム
の考え方を拡張して、共用の予備計算機をもつバツクア
ツプ方式を採用するのが、コストパーフオーマンスを考
慮すると有効適切であると考えられる。すなわち、M台
の制御用計算機を含むマルチコンピユータシステムを、
それより少数のN台(N−1のこともありうる)予備の
制御用計算機でバツクアツプして、生じうる計算機の異
常や故障に対処し、システムの信頼性の向士をさせるの
である。本発明は、上述した従来技術の動向に十分対処
することができ、しかもわずかのハードウエアをもつて
効果的なバツクアツプをなしうる新規なM:Nバツクア
ツプ方式を提供することを目的とするものである〇本発
明によれば、複数台の制御用計算機をそれより少数の共
用の予備計算機でバツクアツプさせるにあたり、各制御
用計算機には制御対象コード送信用の送信装置が設けら
れる。For future multi-computer systems such as those mentioned above, in which multiple computers each have separate functions, we will expand the idea of a duplex system rather than a dual system, and use a backup system with a shared standby computer. Adopting this method is considered to be effective and appropriate considering cost performance. In other words, a multi-computer system including M control computers,
Backup is performed using a smaller number of N (possibly N-1) spare control computers to deal with possible abnormalities or failures of the computers and to improve the reliability of the system. SUMMARY OF THE INVENTION It is an object of the present invention to provide a new M:N backup method that can fully address the above-mentioned trends in the prior art and can perform effective backups with a small amount of hardware. According to the present invention, when backing up a plurality of control computers with a smaller number of shared standby computers, each control computer is provided with a transmitter for transmitting a control object code.
これらの送信装置は、対応する計算機に異常が発生した
とき、それを検知し、その計算機の制御対象のコードを
送信する0特定の予備計算機にその制御対象コードが読
込まれることにより予備計算機によるバツクアツプが開
始される。複数台の予備計算機が用いられる場合に生じ
うるバツクアツプの競合を防止するため、どの予備計算
機に、送信された制御対象コードを読込ませるべきか決
定するための管理装置が設けられる。These transmitting devices detect when an abnormality occurs in the corresponding computer, and transmit the code to be controlled by that computer.The control target code is read into a specific backup computer, and the backup computer is activated. Backup is started. In order to prevent backup conflicts that may occur when a plurality of backup computers are used, a management device is provided to determine which backup computer should read the transmitted control object code.
この管理装置には、送信された制御対象コードや予備計
算機のコードを登録する手段と、それらの登録内容を判
断してどの予備機にバツクアツプ指令を出すか決定する
バツクアツプ指令手段などが含まれる。この管理装置を
設ける考え方は、先に本件出願人が提出した特願昭49
−25187号にも開示されているが、この先に提案さ
れている考え方は、デユアルシステムを対象としたもの
で、本願発明が、デユプレツクスシステムを対象として
いるのと本質的に異なる。各計算機毎に設けられる各送
信装置には、計算機が異常から正常へ復帰したことを管
理装置へ報告する手段を設け、それによつて正常に復帰
した計算機を予備機として管理装置に登録させうるよう
にするのが好ましい。This management device includes means for registering the transmitted control object code and the code of the standby computer, and a backup command means for judging the registered contents and determining which standby machine to issue a backup command to. The idea of providing this management device was originally filed in the patent application filed in 1973 by the applicant.
Although it is also disclosed in No. 25187, the idea proposed earlier is aimed at a dual system, which is essentially different from the present invention, which is aimed at a dual system. Each transmitting device provided for each computer is equipped with a means to report to the management device that the computer has returned to normal from an abnormality, so that the computer that has returned to normal can be registered in the management device as a backup device. It is preferable to
本発明におけるハードウエアの主要なものは、上述の如
く送信装置と管理装置とである。The main hardware in the present invention is the transmitting device and the management device as described above.
管理装置が正常に動作するためには少なくとも次の2つ
の条件が満足される必要がある。(1)異常が発生した
計算機に}いて、その異常を正確に検出できること。In order for the management device to operate normally, at least the following two conditions must be satisfied. (1) It is possible to accurately detect an abnormality by visiting the computer where the abnormality has occurred.
(2)異常計算機の影響を受けないこと。(2) Not be affected by abnormal computers.
上記(1)の条件は、各制御対象に対して計算機は原則
として1台のみ割当てられるという前提から異常計算機
からの異常の報告が正常になされねばならないという一
見矛盾した要素を含んでいる。Condition (1) above includes the seemingly contradictory element that an abnormality report from an abnormal computer must be made normally, based on the premise that in principle only one computer is assigned to each controlled object.
なぜならば、デユアルシステムの場合は、ある計算機の
異常を生き残つた正常な計算機が検出して報告できるが
、本発明の対象としているようなデユプレツクスシステ
ムの場合には、生き残つた正常な計算機はないからであ
る0そこで、管理装置が常に異常の有無を診断しながら
システム運転を行う方式も考えられる。しかし、この方
式によると、管理装置のハードウエアが多量に必要とな
り、複雑になる上、それらのハードウエアはシステムの
正常なときは全く無駄な負荷となるので好ましくない。
本発明の一実施例によれば、対応する制御用計算機より
給電されてその計算機の停電検出レベルより低い電圧で
独立に動作可能な異常時送信装置を各制御用計算機毎に
設けることにより上記(1)の条件を満足させるべく意
図される。This is because in the case of a dual system, a normal computer that survives the abnormality of a certain computer can detect and report it, but in the case of a dual system, such as the one that is the subject of this invention, a normal computer that survives is Therefore, a system may be considered in which the management device operates the system while constantly diagnosing the presence or absence of an abnormality. However, this method is not preferable because it requires a large amount of hardware for the management device, making it complicated, and the hardware becomes a completely unnecessary load when the system is normal.
According to one embodiment of the present invention, the above ( It is intended to satisfy the condition 1).
また、上記(2)の条件を満足させるため、本発明の一
実施例によれば、特に管理装置の電源に工夫がなされる
。管理装置に独立の電源を設けると、その電源に異常が
生じたときは、バツクアツブ動作が不能になり、システ
ム全体の信頼度がその電源の信頼度により左右されてし
まう。そこで、実施例によると、各制御用計算機の電源
の出力を受取つて0R条件で給電する0R給電回路によ
り管理装置の電源が構成される0このようにすれば、管
理装置が動作不能になるのは、すべての制御用計算機の
電源が故障した場合のみである。この場合は、もはや管
理装置の存在理由がないのであるから、上述の給電方式
は極めて合理的といえる。本発明で用いられる異常時送
信装置及び管理装置は、その機能が非常に単純であるた
め、コンパクトに構成でき、制御用計算機に比べて非常
に高い信頼性を有し、しかも安価である利点をもつてい
る。Further, in order to satisfy the condition (2) above, according to an embodiment of the present invention, special efforts are made to the power supply of the management device. If an independent power source is provided for the management device, if an abnormality occurs in that power source, backup operations will become impossible, and the reliability of the entire system will depend on the reliability of that power source. Therefore, according to the embodiment, the power supply of the management device is configured by an 0R power supply circuit that receives the output of the power supply of each control computer and supplies power under the 0R condition. If this is done, the management device will not become inoperable. This only occurs when the power supplies of all control computers fail. In this case, since there is no longer any reason for the existence of the management device, the above-mentioned power supply method can be said to be extremely rational. The abnormality transmission device and management device used in the present invention have the advantage of being compact in structure because of their very simple functions, having extremely high reliability compared to a control computer, and being inexpensive. I have it too.
以下、添付図面に示す実施例について本発明を詳述する
。The invention will now be described in detail with reference to embodiments shown in the accompanying drawings.
第1a及び第1b図は、本発明の一実施例による3:2
(M=3、N=2)バツクアツプシステムをそれぞれ初
期状態時及び異常時について示すものである。Figures 1a and 1b are 3:2 according to one embodiment of the present invention.
(M=3, N=2) The backup system is shown in an initial state and in an abnormal state, respectively.
第1a図を参照するに、初期状態時に訃いては、制御対
象10を制御するための制御用計算機C1〜C5のうち
C1〜C3が稼動機群14aを構成し、C4及びC5が
予備機群14bを構成している。Referring to FIG. 1a, in the initial state, among the control computers C1 to C5 for controlling the controlled object 10, C1 to C3 constitute the operating machine group 14a, and C4 and C5 constitute the backup machine group. 14b.
最近のシステム構成手法で主流をなしているバスライン
が制御対象10と制御用計算機C1〜C5の間の連絡手
段として用いられ、バスとバスとの結合は、制御用計算
機の指令で切替可能なマトリクス型スイツチ装置12に
よりな?れる。図示の例では、スイツチ要素12a〜1
2cが閉じられて}り、稼動機群14aの計算機C1〜
C3がそれぞれ制御対象01〜03につながれこれらを
制御するようになつている。管理装置16には、各計算
機C1〜C5が双方向性の信号伝送路18を介して結合
され、管理装置16の電源としては、各計算機C1〜C
5の電源出力が0R条件で用いられるようになつて}り
、その電力は電力伝送路20により供給される。初期状
態においては、上記のようにして、計算機C1〜C3が
それぞれ制御対象0,〜03を制御しているわけである
。ところが、例えば計算機C1に異常(例えば停電)が
発生した場合には、本発明によれば、第1b図に示すよ
うに以前に予備機群にあつた計算機C4がスイツチ要素
12dの切替によりC1に代つて制御対象01を制御し
、システムの正常動作をバツクアツプする。そして、計
算機C1は異常状態から正常状態に復帰したとき、予備
機群14bに編入?れる。このような動作を可能にする
のは、第1a図及び第1b図には示されていないが、異
常時送信装置及び管理装置である。第2図は、上述のバ
ツクアツプシステムに}ける管理系統を詳細に示すもの
である0第1a図及び第1b図について説明したような
動作を実行するため各計算機毎に異常時送信装置22が
設けられ、異常を検出してその制御対象コードを管理装
置16に送信するようになつている○簡単にするため、
第2図においては計算機C1及びC4に設けた異常時送
信装置22のみが示されているが、他の計算機C2,C
3,C5にも同様な送信装置が設置される。各送信装置
22は、対応する計算機から給電されて動作するが、そ
の動作が対応計算機の停電検出レベルより低い電圧レベ
ルでもなされるように構成されるのが好ましい。各送信
装置22は、対応する計算機における例えば停電の如き
異常を検出するとともに、対応する異常計算機がそれま
で制御していた制御対象のコードを管理装置16に送信
することを主な機能とするもので、このような機能は計
算機のハードウエアを利用するか(すなわちプログラム
を工夫する)、又はわずかの公知のハードウエアを組合
せることにより容易に達成される〇管理装置16は、送
信装置22から送信される制御対象コードを受信する入
力装置24と、受信された制御対象コードを登録する登
録装置26と、予め予備機群の計算機を、各予備機を特
定する計算機コードで登録して卦く登録装置30と、入
力装置24の受信時すなわち異常発生時に登録装置26
,30の内容を読出してどの予備機に制御対象の制御を
肩代りさせるか決定し、その決定結果を特定の予備機に
実行させるべく指令するバツクアツプ指令装置28とを
含む0なお、第2図において符号A。A bus line, which is the mainstream in recent system configuration methods, is used as a means of communication between the controlled object 10 and the control computers C1 to C5, and the connections between the buses can be switched by commands from the control computer. By the matrix type switch device 12? It will be done. In the illustrated example, switch elements 12a-1
2c is closed, and the computers C1~ of the operating machine group 14a
C3 is connected to each of the control objects 01 to 03 to control them. The computers C1 to C5 are connected to the management device 16 via a bidirectional signal transmission path 18, and each of the computers C1 to C5 serves as a power source for the management device 16.
The power output of 5 is now used under the 0R condition, and the power is supplied by the power transmission line 20. In the initial state, the computers C1 to C3 control the control objects 0 and 03, respectively, as described above. However, for example, when an abnormality (for example, a power outage) occurs in the computer C1, according to the present invention, the computer C4, which was previously in the standby group, is changed to C1 by switching the switch element 12d, as shown in FIG. 1b. Instead, it controls the controlled object 01 and backs up the normal operation of the system. Then, when the computer C1 returns to the normal state from the abnormal state, it is transferred to the spare machine group 14b? It will be done. Although not shown in FIGS. 1a and 1b, what makes such an operation possible is an abnormality transmission device and a management device. FIG. 2 shows in detail the management system in the above-mentioned backup system. In order to execute the operations described in FIGS. 1a and 1b, an abnormality transmission device 22 is installed for each computer. It is designed to detect an abnormality and send the control target code to the management device 16.
In FIG. 2, only the abnormality transmission device 22 provided in the computers C1 and C4 is shown, but the other computers C2 and C
3. A similar transmitter is also installed at C5. Each transmitting device 22 operates by being supplied with power from a corresponding computer, but is preferably configured to operate at a voltage level lower than the power failure detection level of the corresponding computer. The main function of each transmitting device 22 is to detect an abnormality, such as a power outage, in the corresponding computer, and to transmit the code of the control object that the corresponding abnormal computer has been controlling up to that point to the management device 16. Such a function can be easily achieved by using computer hardware (that is, devising a program) or by combining a small amount of known hardware. An input device 24 that receives the transmitted control object code, a registration device 26 that registers the received control object code, and computers in the backup machine group are registered in advance with a computer code that specifies each backup machine. The registration device 30 and the registration device 26 when receiving the input device 24, that is, when an abnormality occurs.
. In the code A.
.A−Hは、次に第3a及び第3b図を参照して行う第
2図のシステムの動作の説明をわかりやすくするため第
3b図のタイムチヤートの各ステツプに対応するように
付したものである。異常時送信装置の動作は、プログラ
ム又はハードウエア論理によりダウンの要因となるべき
異常が検出された時点で開始するが、ここでは最も厳し
い条件、すなわち停電時に卦けるバツクアツプ(第1a
図から第1b図への移行)について制御の流れを説明す
る。第3a及び第3b図を参照するに、TOの時点の前
は計算機C1が正常に制御対象0,を制御している。と
ころが、TOの時点でその計算機の電源に停電が生じた
ものとすると、その電源電圧は第3a図に示すように徐
々に降下する0このように電源電圧が徐々に低下するの
は、一般に計算機に}いてはコンデンサ等の働きを利用
して瞬間的な停電に対処しうるようになつているからで
ある。計算機C1は、時点t1に}いて停電検出レベル
L1に達した電源電圧を検知し、それに応じて停電割込
みが行われる。従つて、計算機C1は、プログラムの働
きで可能な限りデータの保存処理などを行うことになる
。この実施例においては、かかる停電割込みと同時にt
1の時点で第3b図に示すように計算機C1の送信装置
が動作を開始する0この動作は、当該装置の動作可能な
最低レベルL2に一致する電源電圧の低下が生ずる時点
T2まで継続?れる。すなわち、送信装置は、時間t1
〜T2の間に管理装置16を起動し、対応する計算機C
1が受持つていた制御対象01のコードを管理装置へ報
告する(ステツプA)。なお、計算機C1の電源が故障
しても、管理装置16の電源は0R給電されているので
、その故障の影響を受けない。管理装置16内の入力装
置24は、制御対象コード信号を受信すると直ちに制御
対象登録装置26に対象01のコードを登録させ(ステ
ツプB)、同時に、バツクアツプ指令装置28を起動す
る(ステツプC)。.. A to H are added to correspond to each step of the time chart in Figure 3b in order to make it easier to understand the operation of the system in Figure 2, which will be explained next with reference to Figures 3a and 3b. be. The operation of the abnormality transmission device starts when the program or hardware logic detects an abnormality that should cause the system to go down.
The flow of control will be explained regarding the transition from FIG. to FIG. 1b). Referring to FIGS. 3a and 3b, before the time of TO, the computer C1 normally controls the controlled object 0. However, if a power outage occurs in the computer's power supply at the time of TO, the power supply voltage will gradually drop as shown in Figure 3a. This is because it has become possible to cope with momentary power outages by using the functions of capacitors, etc. The computer C1 detects the power supply voltage that has reached the power outage detection level L1 at time t1, and a power outage interrupt is performed accordingly. Therefore, the computer C1 performs data storage processing as much as possible by the program. In this embodiment, at the same time as the power failure interrupt, t
At time 1, the transmitting device of computer C1 starts operating as shown in FIG. 3b. 0 This operation continues until time T2, when the power supply voltage drops to match the lowest level L2 at which the device can operate. It will be done. That is, the transmitter transmits the signal at time t1.
~ T2, the management device 16 is started and the corresponding computer C
1 reports the code of controlled object 01 that it was in charge of to the management device (step A). Note that even if the power supply of the computer C1 fails, since the power supply of the management device 16 is supplied with 0R power, it will not be affected by the failure. Immediately upon receiving the controlled object code signal, the input device 24 in the management device 16 causes the controlled object registration device 26 to register the code of object 01 (step B), and at the same time activates the backup command device 28 (step C).
予備機登録装置30には、計算機C4,C5がバツクア
ツプ可能になつた時点でそのコードを予め登録してある
(ステツプA。)。バツクアツプ指令装置28が起動づ
れると、第4図に示すプログラムP1により指令装置2
8の動作がなされる。第2図に示すように、制御対象コ
ードとして01が、また、予備計算機としてC4、C5
がそれぞれ登録されているから、第4図A,b,c,d
,e,fの順に処理が進行するとき、バツクアツプ指令
装置28は各登録装置26,30からそれぞれ01及び
C4を読込んで(ステツプD,E)、計算機C4に制御
対象0,をバツクアツプさせるべく指令する(ステツプ
F)o一方、計算機C4は、第4図に示すプログラムP
2にしたがつてG,h,i,jの順に処理を進め、わず
かなオーバーヘツドタイムの経過後には、計算機C1に
代つて制御対象01を制御する0な執第4図に卦いては
、バツクアツプ計算機用プログラムP2の処理gでバツ
クアツプ計算機が制御対象コードを読込み(ステツプG
)、処理hで制御対象コードをりセツト、更新するよう
になつているが、このとき同時にバツクアツプ指令装置
28が起動される(ステツプH、第4図の破線)。しか
しながら、バツクアツプ指令装置用プログラムP1に卦
いては、今度は制御対象コード01がりセツトされてい
るので、a及びbの処理のみで動作終了となる。本実施
例による送信装置は、異常状態から正常状態への復帰(
例えば停電が元の給電状態に戻つたこと)を検知して管
理装置に送信しうるように構成されているので、計算機
C1は、復電された後バツクアツプ準備がなされて、予
備計算機として管理装置16内の予備計登録装置30に
登録される。The codes of the computers C4 and C5 are registered in advance in the standby machine registration device 30 at the time when the computers C4 and C5 become capable of being backed up (Step A). When the backup command device 28 starts up, the program P1 shown in FIG.
8 operations are performed. As shown in Figure 2, 01 is the control target code, and C4 and C5 are the backup computers.
are registered respectively, so A, b, c, d in Figure 4
. (Step F) o Meanwhile, the computer C4 runs the program P shown in FIG.
2, the processing proceeds in the order of G, h, i, and j, and after a slight overhead time has elapsed, the controller 0 that controls the control object 01 in place of the computer C1, as shown in FIG. In process g of the backup computer program P2, the backup computer reads the control object code (step G).
), the control object code is reset and updated in process h, and at the same time, the backup command device 28 is activated (step H, broken line in FIG. 4). However, since the control object code 01 has now been reset in the backup command device program P1, the operation is completed by only processing a and b. The transmitting device according to this embodiment is capable of returning from an abnormal state to a normal state (
For example, computer C1 is configured to be able to detect a power outage and return to the original power supply state and send it to the management device, so that after the power is restored, computer C1 is prepared for backup and is used as a backup computer by the management device. It is registered in the reserve meter registration device 30 in 16.
このようにして、一制御対象に対し複数の計算機が順次
肩代りすることができるので、制御の中断はほとんど回
避虹れ、高信頼なバックアップが可能になる。士述の説
明では、計算機と制御対象どの連絡をバス及びマトリク
ススイツチにより行う例を述べたが、一層単純な構成と
して第5図及び第6図に例示するようにデータフリーウ
エイ32を用いることもできる0第6図の例では、管理
装置16と各計算機C1〜C5との間の連絡もデータフ
リーウエイ32を介して行うようになつている〇な}、
別の変形例としては、第4図の動作論理に}いて、予備
計算機にはバツクアツプ指令と同時に制御対象コードを
送ることも考えられる0第4図のプログラムに卦いて、
g及びhの処理は、予備計算機の応答も兼ねさせる意図
で計算機側で行うようになつているが、上記のようにバ
ツクアツプ指令と制御対象コードを同時に送る場合には
、管理装置側の処理としてもよい〇また、上述の実施例
では、あえてソフトウエアの連続性を考慮していない。In this way, a plurality of computers can sequentially take over one control target, so interruptions in control are almost avoided, and highly reliable backup is possible. In the above description, an example was given in which the computer and the controlled object are communicated using a bus and a matrix switch, but a data freeway 32 may also be used as an example of a simpler configuration as shown in FIGS. 5 and 6. In the example shown in FIG. 6, communication between the management device 16 and each of the computers C1 to C5 is also performed via the data freeway 32.
As another modification, it is possible to send the control object code to the backup computer at the same time as the backup command based on the operation logic shown in Fig. 4. Regarding the program shown in Fig. 4,
The processing of g and h is performed on the computer side with the intention of also serving as a response from the backup computer, but when sending the backup command and the control target code at the same time as described above, the processing on the management device side is Also, in the above-mentioned embodiment, continuity of software is not taken into consideration.
本システムの利用法によりその対策はいろいろ考えられ
るからである。例えば、一手段としては、各計算機がア
クセスしうる共用の補助記憶装置をバスライン上に設け
、バツクアツプ時には、肩代り制御づれる制御対象に対
応するソフトウエアをオペレーシヨンシステム(0S)
により判断して選択し、それをロードせしめる方式が考
えられる。以上に詳述したように、本発明のバツクアツ
プ方式によれば、マルチコンピユータシステムをわずか
のハードウエアにより高い信頼性をもつて効果的にバツ
クアツプすることができるなど優れた作用効果が得られ
る。This is because various countermeasures can be considered depending on how this system is used. For example, one method is to provide a shared auxiliary storage device on the bus line that can be accessed by each computer, and at the time of backup, the operating system (OS) can install software corresponding to the control target that will take over control.
A possible method is to make a selection based on the judgment and load it. As described in detail above, the backup method of the present invention provides excellent effects such as being able to effectively back up a multi-computer system with high reliability using only a small amount of hardware.
第1a及び第1b図は、本発明の一実施例による3:2
バツクアツプシステムをそれぞれ初期状態時及び異常時
に関して示すプロツク図、第2図は、第1図のシステム
に訃ける管理系統を詳細に示すプロツク図、第3a及び
第3b図は、本発明によるシステムの動作を説明するた
めのタイムチヤート、第4図は、バツクアツプ動作を行
わせるためのシーケンスを示すフローチヤート、第5及
び第6図は、データフリーウエイを用いる本発明の変形
例を示すプロツク図である〇符号の説明、10・・・・
・・制御対象、12・・・・・・マトリクス型スイツチ
装置、14a・・・・・・稼動中の制御用計算機、14
b・・・・・・予備の制御用計算機、16・・・・・・
管理装置、18・・・・・・信号伝送路、20・・・・
・・電力伝送路、22・・・・・・異常時送信装置、2
4・・・・・・入力装置、26・・・・・・制御対象登
録装置、28・・・・・・バツクアツプ指令装置、30
・・・・・・予備機登録装置、32・・・・・・データ
フリーウエィ。Figures 1a and 1b are 3:2 according to one embodiment of the present invention.
2 is a block diagram showing the backup system in an initial state and an abnormal state, respectively. FIG. 2 is a block diagram showing in detail the management system for the system of FIG. 1. FIGS. 4 is a flowchart showing a sequence for performing a backup operation, and FIGS. 5 and 6 are block diagrams showing a modification of the present invention using a data freeway. 〇Explanation of the symbol, 10...
... Controlled object, 12 ... Matrix type switch device, 14a ... Control computer in operation, 14
b...Spare control computer, 16...
Management device, 18... Signal transmission path, 20...
...Power transmission line, 22... Abnormality transmission device, 2
4...Input device, 26...Controlled object registration device, 28...Backup command device, 30
......Spare machine registration device, 32...Data Freeway.
Claims (1)
れより少数台の共用の予備計算機によつてバックアップ
するためのバックアップ方式において、前記各制御用計
算機毎にその異常発生を検知してその制御対象を示す対
象コードを送信する送信装置を設けるとともに、前記予
備計算機のうちのどの計算機に前記対象コードを読込ま
せるべきかを決定する管理装置を設け、この管理装置は
、送信されてくる前記対象コードを登録する第1の登録
手段と、前記予備計算機をそれを特定する計算機コード
により登録する第2の登録手段と、前記対象コードの送
信がある度毎に前記第1及び第2の登録手段の登録内容
を読出して特定の対象コードを読込ませるべき特定の予
備計算機を決定するとともにその決定結果の実行を指令
するバックアップ指令手段とをそなえ、前記各送信装置
には対応する計算機が正常状態に復帰したことを前記管
理装置に送信する手段を設け、前記管理装置が前記復帰
計算機を予備機として登録しうるようにしたことを特徴
とするバックアップ方式。 2 特許請求の範囲第1項によるバックアップ方式にお
いて、前記管理装置の電源は、前記制御用計算機及び予
備計算機の各々の電源の出力を受取つてOR条件で給電
するOR給電回路により構成されていることを特徴とす
るバックアップ方式。 3 特許請求の範囲第1項または第2項によるバックア
ップ方式において、前記各送信装置は、対応する計算機
から給電され且つその停電検出レベルより低い電圧レベ
ルで作動するように構成されることを特徴とするバック
アップ方式。[Claims] 1. In a backup method for backing up a plurality of control computers each controlling a controlled object using a smaller number of shared standby computers, an abnormality occurs in each of the control computers. A transmitting device is provided for detecting the object code and transmitting an object code indicating the object to be controlled, and a management device is provided for determining which computer among the backup computers should read the object code, the management device comprising: a first registration means for registering the transmitted target code; a second registration means for registering the backup computer by a computer code that identifies it; and a backup command means for reading out the registered contents of the second registration means, determining a specific backup computer to read a specific target code, and instructing execution of the determined result, and corresponding to each of the above-mentioned transmitting devices. 1. A backup method, comprising means for transmitting to said management device that a computer returned to a normal state has been returned to a normal state, so that said management device can register said computer as a standby computer. 2. In the backup method according to claim 1, the power supply of the management device is configured by an OR power supply circuit that receives the output of the power supply of each of the control computer and the standby computer and supplies power under an OR condition. A backup method featuring: 3. In the backup system according to claim 1 or 2, each of the transmitting devices is configured to be powered by a corresponding computer and to operate at a voltage level lower than its power outage detection level. backup method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP51018307A JPS5917467B2 (en) | 1976-02-21 | 1976-02-21 | Control computer backup method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP51018307A JPS5917467B2 (en) | 1976-02-21 | 1976-02-21 | Control computer backup method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPS52101947A JPS52101947A (en) | 1977-08-26 |
| JPS5917467B2 true JPS5917467B2 (en) | 1984-04-21 |
Family
ID=11967946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP51018307A Expired JPS5917467B2 (en) | 1976-02-21 | 1976-02-21 | Control computer backup method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPS5917467B2 (en) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS5836379B2 (en) * | 1980-11-21 | 1983-08-09 | 沖電気工業株式会社 | Multiprocessor control method |
| JPH0827735B2 (en) * | 1987-03-26 | 1996-03-21 | 株式会社日立製作所 | Back-up method in distributed system |
| JPH01103701A (en) * | 1987-10-16 | 1989-04-20 | Kontetsuku:Kk | Backup device |
| JPH01209541A (en) * | 1988-02-18 | 1989-08-23 | Oki Electric Ind Co Ltd | Redundant constitution system for information processor |
| JP2016095770A (en) * | 2014-11-17 | 2016-05-26 | 富士電機株式会社 | Controller and redundancy control system using the same |
-
1976
- 1976-02-21 JP JP51018307A patent/JPS5917467B2/en not_active Expired
Also Published As
| Publication number | Publication date |
|---|---|
| JPS52101947A (en) | 1977-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5548743A (en) | Data processing system with duplex common memory having physical and logical path disconnection upon failure | |
| US4075693A (en) | Configuration and control unit for a heterogeneous multi-system | |
| EP0747822B1 (en) | External storage system with redundant storage controllers | |
| US4775976A (en) | Method and apparatus for backing up data transmission system | |
| US7870423B2 (en) | Data processing system and copy processing method thereof | |
| JP2505928B2 (en) | Checkpoint mechanism for fault tolerant systems | |
| US20070276983A1 (en) | System method and circuit for differential mirroring of data | |
| JP5392594B2 (en) | Virtual machine redundancy system, computer system, virtual machine redundancy method, and program | |
| US7127638B1 (en) | Method and apparatus for preserving data in a high-availability system preserving device characteristic data | |
| JP3595033B2 (en) | Highly reliable computer system | |
| JP2000181887A (en) | Failure processing method and storage control device in information processing device | |
| US5742851A (en) | Information processing system having function to detect fault in external bus | |
| JPS5917467B2 (en) | Control computer backup method | |
| JPS6321929B2 (en) | ||
| JP3447347B2 (en) | Failure detection method | |
| JPS6027041B2 (en) | How to switch lower control devices in Hiaraki control system | |
| JPS6119061B2 (en) | ||
| JP2005122763A (en) | Storage device | |
| JPH07121395A (en) | Method for preferentially selecting auxiliary device | |
| EP0265366B1 (en) | An independent backup mode transfer method and mechanism for digital control computers | |
| JP3266956B2 (en) | System storage | |
| JPS6113626B2 (en) | ||
| JPS6112580B2 (en) | ||
| JP2732668B2 (en) | Redundant controller | |
| US5548716A (en) | Recording medium dualizing system |