Défaillances détectées sur le rack, l'UC, le coprocesseur et le module de communication des E/S distantes

Timeouts de communication

A chaque cycle, le transfert de données entre les UC primaire et redondante permet de synchroniser ces dernières. Les temporisateurs de cette communication constituent le premier niveau de détection des erreurs :

L'UC primaire attend l'acquittement de l'UC redondante. Un timeout dans ce cas est dû à une défaillance :
- du coprocesseur primaire ;
- de l'UC redondante.
L'UC redondante attend l'acquittement de l'UC primaire. Un timeout dans ce cas est dû à une défaillance :
- du coprocesseur redondant ;
- de l'UC primaire.
Le coprocesseur primaire attend l'acquittement de l'UC redondante. Dans ce cas, un timeout est dû à une défaillance de l'automate redondant.

Interruption de la liaison de synchronisation des UC

On distingue trois cas de figure :

Interruption de la liaison entre coprocesseurs

Cet état est détecté par les deux coprocesseurs. L'automate redondant détecte l'interruption et passe en mode Local. L'automate primaire détecte que l'automate redondant a disparu, consigne l'information dans l'historique et continue à scruter les E/S en tant qu'automate autonome.
Coprocesseur primaire défaillant

Cet état n'est pas détecté. L'UC primaire continue à scruter les E/S, mais en tant qu'automate autonome. L'automate redondant passe en mode Local.
Coprocesseur redondant défaillant

Cet état est détecté par les deux coprocesseurs. L'automate redondant passe en mode Local. L'automate primaire détecte que l'automate redondant a disparu, consigne l'information dans l'historique et continue à scruter les E/S en tant qu'automate autonome.

NOTE : l'UC primaire maintient une activité permanente sur la liaison, ce qui permet à l'UC redondante de détecter une interruption de communication le plus tôt possible.

Rack défaillant

On distingue deux cas de figure :

Rack primaire défaillant

L'automate redondant détecte que l'automate primaire a disparu, et prend le contrôle du système. Il scrute les E/S en tant qu'automate autonome.
Rack redondant défaillant

L'automate primaire détecte que l'automate redondant a disparu, consigne l'information dans l'historique et continue à scruter les E/S en tant qu'automate autonome.

Coprocesseur défaillant

La liaison de synchronisation à haut débit des UC connecte les coprocesseurs primaire et redondant. L'UC primaire communique avec l'UC redondante toutes les 10 ms avec :

soit un message de données,
soit un message sur l'état de fonctionnement

Le coprocesseur primaire attend l'acquittement du coprocesseur redondant.

Détection des erreurs de coprocesseur :

Si...	Alors...
Le coprocesseur primaire signale une erreur à l'UC primaire	Le contrôleur de l'UC primaire : acquitte l'erreur détectée tente de transférer le contrôle à l'autre contrôleur en envoyant une commande take control à l'UC redondante via la liaison d'E/S distantes
Le coprocesseur primaire ne répond pas dans les 5 ms à l'UC primaire	Le contrôleur de l'UC primaire : détecte et acquitte l'erreur tente de transférer le contrôle à l'autre contrôleur en envoyant une commande take control à l'UC redondante via la liaison d'E/S distantes
Le coprocesseur d'UC primaire envoie une commande take control au coprocesseur redondant	Le coprocesseur de l'UC primaire : abandonne le contrôle et devient l'UC redondante n'attend pas de réponse
Le coprocesseur redondant signale une erreur à l'UC redondante	Le contrôleur de l'UC redondante : signale l'erreur en envoyant un message indiquant l'absence d'UC redondante. passe en mode Local

Module de communication des E/S distantes CRP S908 défaillant

Deux cas de CRP S908 défaillants peuvent se présenter :

CRP primaire défaillant

Cet état est détecté par les automates primaire et redondant. L'automate redondant prend le contrôle du système. Le coprocesseur primaire passe en mode Local.
CRP redondant défaillant

Cet état est détecté par l'automate redondant qui signale le problème à l'automate primaire avant de passer en mode Local.

Module de communication d'E/S distantes CRP Ethernet défaillant

Deux cas de CRP Ethernet défaillants peuvent se présenter :

CRP primaire défaillant

Cet état est détecté par les automates primaire et redondant. L'automate redondant prend le contrôle du système et scrute les E/S, mais en tant qu'automate autonome. L'automate primaire passe en mode Local.
CRP redondant défaillant

Cet état est détecté par l'automate redondant et le coprocesseur primaire, qui signale le problème à l'automate primaire. L'automate redondant passe en mode Local. L'automate primaire continue à scruter les E/S, mais en tant qu'automate autonome.

Opérations de la liaison d'E/S distantes

Le module de communication CRP d'E/S distantes dans le contrôleur primaire envoie un message sur l'état de fonctionnement de ses liaisons, au module de communication CRP 140 d'E/S distantes, toutes les 5 ms.

Liaison d'E/S distantes S908 défaillante

Trois cas de liaison d'E/S distantes S908 défaillante peuvent se présenter :

Interruption de la liaison à partir du module de communication CRP primaire

Cet état est détecté par le module de communication CRP redondant. Le coprocesseur primaire passe en mode Local. L'automate redondant prend le contrôle du système et scrute les E/S en tant qu'automate autonome.
Interruption de la liaison à partir du module de communication CRP redondant

Cet état est détecté par le module de communication CRP redondant, et l'automate redondant passe en mode Local. L'automate primaire continue à scruter les E/S, mais en tant qu'automate autonome.
Interruption au niveau de la station d'E/S distantes CRA

Cet état n'est pas détecté par le système de redondance d'UC Quantum.

Liaison d'E/S distantes Ethernet Quantum défaillante

Cet état est détecté par les CRP primaire et redondant.

Si le CRP redondant détecte un réseau d'E/S distantes Ethernet Quantum défaillant (communication avec l'UC primaire impossible), l'UC redondante demande à l'UC primaire de vérifier le réseau d'E/S distantes par l'intermédiaire de son coprocesseur.

Si l'UC primaire est opérationnelle, elle vérifie la connexion des E/S distantes :
- si la connexion est opérationnelle, l'UC primaire continue de contrôler le système et l'UC redondante passe en mode RUN local ;
- si la connexion est défaillante, un basculement est effectué. L'UC redondante prend le contrôle du système et l'UC primaire passe en mode RUN Local.
Si l'UC primaire est défaillante, l'UC redondante prend le contrôle du système.

Si l'application ne met pas en œuvre le bloc fonction nécessaire de redondance de liaison, un réseau d'E/S distantes défaillant est détecté par les CRP E/S Quantum Ethernet primaire et redondant. L'automate redondant passe en mode Local pendant que le réseau s'autorépare. Une fois le réseau de nouveau opérationnel, cet automate repasse en mode Connecté, en tant qu'automate redondant.