CN103377083B - 用于运行冗余的自动化系统的方法 - Google Patents

用于运行冗余的自动化系统的方法 Download PDF

Info

Publication number
CN103377083B
CN103377083B CN201310125142.6A CN201310125142A CN103377083B CN 103377083 B CN103377083 B CN 103377083B CN 201310125142 A CN201310125142 A CN 201310125142A CN 103377083 B CN103377083 B CN 103377083B
Authority
CN
China
Prior art keywords
slave
main frame
information
control program
processing section
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310125142.6A
Other languages
English (en)
Other versions
CN103377083A (zh
Inventor
托马斯·格罗施
于尔根·拉福斯
阿尔伯特·伦施勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN103377083A publication Critical patent/CN103377083A/zh
Application granted granted Critical
Publication of CN103377083B publication Critical patent/CN103377083B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24183If error, spare unit takes over, message to master, confirm new configuration
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24187Redundant processors run identical programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24189Redundant processors monitor same point, common parameters
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/34Director, elements to supervisory
    • G05B2219/34398Channel stops and waits for marker until other channel puts that marker
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50222Stop machines, actuators until others reach common synchronization point
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Programmable Controllers (AREA)

Abstract

本发明涉及一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法,这两个子系统在控制技术过程期间分别处理控制程序(P1,P2),其中,这些子系统中的一个子系统作为主机(M)并且另一个子系统作为从机(S)工作,并且其中,对于主机(M)发生故障的这种情况而言,由从机(S)承担主机(M)的功能。本发明还提出了一些措施,通过这些措施能够在这两个子系统上的程序处理的同步化方面放弃使用参与者之间的在时间上同步的通信,由此减轻了通信负荷。

Description

用于运行冗余的自动化系统的方法
技术领域
本发明涉及一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法,第一和第二子系统在控制技术过程期间分别冗余地处理控制程序,其中,两个子系统中的其中一个子系统作为主机并且另一个子系统作为从机工作,并且其中,对于主机发生故障的这种情况而言,由从机承担主机的功能。此外,本发明还涉及一种适合用于实施该方法的冗余的自动化系统。
背景技术
在自动化领域内对可高度使用的解决方案(H-系统)的要求不断增长,这些解决方案适合于将设备可能出现的停滞时长降低至最小值。该类可高度使用的解决方案的开发成本非常高昂,其中,通常应用在自动化系统中的H-系统的特点在于,自动化设备或计算机系统形式的两个或多个子系统通过同步连接装置彼此连接。这两个子系统原则上能够读和/或写地访问连接在该H-系统上的外围单元。两个子系统中的其中一个子系统在关于连接在系统上的外围设备的方面是主导性的。这意味着,向外围单元的输出或用于这些外围单元的输出信息仅由这两个子系统中的其中一个子系统实施,该子系统作为主机工作并且承担主导功能。为了使两个子系统能够同步地运行,通过同步连接以均匀的间隔使它们同步。在同步的频繁程度以及其范围的方面,不同的设计方案可以各不相同(温备用(warm-Standby),热备用(Hot Standby))。
如果子系统中的一个子系统发生故障并且必须切换至另一个子系统,则通常要求H-系统进行无障碍的“故障转移(Failover)”。这意味着,虽然进行了这种从一个子系统到另一个子系统的计划外的切换、或者说是计划外的转变,但这种切换、或者说这种转变不对待控制的技术过程起到干扰的作用。其中允许的是,在所连接的外围设备的输出端上允许出现(短暂的)停机时间,输出端在该停机时间期间保持它们的最后有效的过程输出值。然而,在这些输出端上的值基于切换而发生的跳跃(碰撞(Stoβ))是不符合预期的并且因此应当避免。因此,也能够将无障碍(stoβfrei)理解为过程输出值的曲线走向的稳定性。
为实现这一点,这两个子系统必须在发生故障的时间点具有相同的系统状态。这通过合适的同步方法得到保证。如果两个子系统都处理过程的输入信息(输入(Eingaben)),那么当两个系统-在过程输入数据或过程输入信息均相同时-以相同的方式改变它们相应的“线程全局(thread-global)”数据(程序的、特别是不同优先级的程序的公共数据)时,它们便处于相同的系统状态中。为实现这一点,同步方法保证了这两个子系统的单个的线程(Thread)以相同的方式和方法中断或终止。由此形成相同的“线程堆(Threadgebirge)”。
由2011年版西门子-产品目录第6章70节中已知了一种冗余的、由两个子系统构成的自动化系统,该自动化系统设计用于提高待控制的设备的可使用性。自动化系统为此配备有一些工具,这些工具基于事件首先决定必须启动哪一程序,以便恰当地对该事件作出反应。对于这种情况而言,即例如在实施程序的期间,事件以待控制的技术过程的有待处理的警报形式施加在自动化系统的通信入口上,则通常使运行中的程序停在等待点上,并且启动设置用于分析警报并实施排除造成警报原因的措施的程序。该自动化系统定期地进行同步并且保证了这些子系统中的其中一个子系统的故障不对待控制的过程起到干扰的作用,这是因为另一个子系统能够继续实施或处理其相应的控制程序的相应部分,或实施或者处理该控制程序的相应部分。
对于这种情况而言,即例如在第一子系统上出现的事件与包括两个子系统的自动化系统的第二子系统不同步,并且在通过该第一子系统处理该事件后,该子系统发生故障,则待控制的技术过程的流程可能受到干扰;这是因为第二子系统-对事件没有认识地-运行的是另外的程序路径,其代表着程序的实施-顺序并且不同于第二子系统在对事件有认识的情况下所运行的程序路径,并且为了不干扰待控制的技术过程的所述流程,该另外的程序路径也将是必要的。
在此指出,程序既被理解为该种程序,也被理解为子程序、程序的一部分、任务(Task)、线程(Thread)、组织模块、功能模块或者其它合适用于实现自动化功能的程序编码,其中,自动化系统的程序通常被划分成不同的优先等级,并且根据它们所分配的优先级来处理或实施。
由专利文献EP 0 907 912 B1中已知了一种用于由两个子系统构成的自动化系统的同步方法。该同步方法以这两个子系统在时间上同步的连接为基础,其中,两个子系统在合适的程序位置上、即在其设置进行补偿的程序位置上等待相应的另一参与者的回复,并且随后才分别时间同步地继续进行它们的程序处理。对于时间同步而言所必需的、直至获得回复的漫长的等待时间是不利的。
US 2002/0095221 A1说明了一种设有第一和第二控制装置的冗余的自动化系统。它提出了能够实现准时实施周期性任务的适当措施。
发明内容
本发明的目的因此在于,说明一种开头所述类型的方法,借助于该方法能够在两个子系统上的程序处理同步方面放弃使用在两个参与者之间的时间同步的通信装置。此外还能够提出一种适合于实施该方法的冗余的自动化系统。
该目的在方法方面通过以下的方法来实现,即一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法,子系统在控制技术过程期间分别处理控制程序,其中,两个子系统中的一个子系统作为主机并且另一个子系统作为从机工作,并且其中,对于主机发生故障的这种情况而言,由从机承担主机的功能,其中,
-处理有待借助于主机处理的控制程序的处理段,
-分别在预设的时间间隔结束后或者在事件出现后通过主机向从机传输开通信息,和
-基于开通信息处理有待借助于从机处理的控制程序的处理段,处理段与有待借助于主机处理的控制程序的、直至开通信息已经处理过的处理段相符。
在关于自动化系统方面通过以下的措施来实现,即一种冗余的、设有第一和第二子系统的自动化系统,子系统在控制技术过程期间分别处理控制程序,其中,两个子系统中的一个子系统作为主机并且另一个子系统作为从机工作,并且其中,对于主机发生故障的这种情况而言,由从机承担主机的功能,其特征在于,
-主机设计用于,处理有待借助于主机处理的控制程序的处理段,并且分别在预设的时间间隔结束后或事件出现后向从机传输开通信息,和
-从机设计用于,基于开通信息处理有待借助于从机处理的控制程序的处理段,处理段与有待通过主机处理的控制程序的、直至开通信息已经处理过的处理段相符。
有利的是,主机不必(主动地)等待从机的回复,以便能够继续进行它的程序处理;在时间上不同步地实现将所有具有重要意义的信息的从主机传输给从机。由此使主机的处理效率与提供用于事件同步的通信带宽分离,这特别是在一方面提升处理器的处理效率和另一方面提升通信效率之间不断增加的不平衡性的方面具有重要意义;这是因为通信效率通常不能够与不断上升的处理效率保持同步。
两个子系统在事件出现后的同步这样同步地进行,即不仅主机、而且从机基于该事件通过相同的程序路径,其中,该进程在时间上不同步地进行。这意味着,在程序的处理或加工方面,主机在时间上领先于从机,或者说从机在时间上落后于主机。在此将“落后(Nachlauf)”以及“领先(Vorauslauf)”理解为开始通过主机处理处理段的时间和开始通过从机处理处理段的时间(这相应于出现开通信息信号的时间点)之间的时间差。
基于主机和从机之间在时间上不同步的通信而可能的情况是,将慢速的通信连接也用于构造可高度使用的自动化系统。这意味着,也能够设有本身在传输带宽或回复时长方面较差的通信连接也或者其他的通信连接,其也被其它的通信参与者使用并且由此并不排除为了同步目的而提供用于这两个参与者。因此可以放弃使用单独的同步连接。此外在不至于通过漫长的信号运行时间或漫长的等待时间而过渡降低系统效率的情况下,也能够克服两个参与者之间距离较大的问题。
在本发明的一个设计方案中提出,在传输当前的开通信息的时间点,借助于主机也向从机传输过程输入值。对于从机而言具有重要意义的信息首先被概括或收集并且最后传输至从机。与已知的时间上的、在其范畴内必须将重要信息同样也发送至从机的同步方法相比,不仅对于主机、而且对于从机或者说备用机而言,这都意味着“管理消耗”将明显降低。
在本发明的另一个设计方案中提出,在完成相应的处理段的处理后,通过从机向主机确认相应的开通信息。未得到确认的开通信息的数量向主机表明从机的当前的落后时间,主机由此能够采取适当的措施,以使时间上的落后不至于变得太久。
本发明其它的有利设计方案由以下方面得出:在相应的处理段开始和结束时设有中断位置,
-作为紧随相应的时间间隔的时间间隔的开始而设有
a)紧随相应的时间间隔的中断位置出现的时间点或
b)紧随事件的中断位置出现的时间点,和
-在a)或b)中提到的时间点向从机传输开通信息。
附图说明
随后通过在其中说明了本发明的实施例的附图详细地说明本发明、其设计方案以及优点。
图中示出:
图1至3示出了两个子系统的时间不同步的连接的过程和
图4示出了冗余的自动化系统。
图1至4中相同的部分具有相同的参考编号。
具体实施方式
首先参考图4,在该图中示出了本身已知的、冗余的、包括两个子系统的自动化系统。第一子系统Ta和第二子系统Tb通过现场总线Fb与外围单元Pe连接。其中,现场总线Fb是符合例如过程现场总线-分散外围设备-规范(Profibus-DP-Spezifikation)的。
原则上,其它的总线系统,例如以太网(Ethernet)、现场总线(Fieldbus)、Modbus或者并行的总线系统也是合适的。外围单元Pe通过输入线Es从用于检测过程状态的测量变换器或测量值传感器中获得信号,并且通过输出线As向通过其影响过程的执行机构输出信号。为了明晰起见,该过程以及测量变换器、测量值传感器和执行机构未在图中示出。两个子系统Ta,Tb周期性地并且同步地将同一控制程序运行完毕。为了实现它们的同步而设有同步连接Sv,其中,冗余-和监控功能通过该同步连接Sv实现。
为了阐明对控制程序进行的事件同步的处理,在后面参考图1至3,在这些图中示出了两个子系统的在时间上不同步的连接的过程。“事件同步的处理”在此意味着,不仅主机、而且从机也基于事件通过相应的控制程序的相同程序路径,其中,其进程在时间上不同步地进行。
假定一个子系统作为主机M并且一个子系统作为从机S或者说作为备用机运行。主机M因而在控制技术过程方面是主导性的并且承担过程控制的功能,其中,主机从外围单元Pe(图4)中读取过程输入信息或过程输入值,并且时间不同步地将其提供给从机S。如果主机M基于干扰而发生故障,那么从机S便并仅承担主机的功能并接替这一主导地位。
主机M处理用于控制技术过程的程序P1,在该过程中,从机S也处理与控制程序P1相应的程序P2。两个控制程序P1,P2具有多个不同时长的处理段(Va),其中,控制程序P1,P2能够在每一处理段Va相应开始时和相应结束时中断。每一个通常包括多个程序编码的处理段Va的开始和结束因此代表可中断的程序-或者说中断位置0,1,2…y。在这些位置0,1,2,…y上能够根据需要并借助于主机M和从机S中断相应的控制程序P1,P2,以便在出现事件以及过程警报后能够做出合适的反应。此外,为了使主机M和从机S能够通过现场总线Fb或通过同步连接Sv(图4)交换开通信息、确认或其它信息,能够在这些中断位置0,1,2,…y上中断相应的控制程序P1,P2。在可预设的以及预设好的相应时间间隔Zi,i=1,2,…结束后,并且在相应时间间隔Zi结束后紧随的中断位置-优选地为紧随相应时间间隔Zi的第一个中断位置-出现的相应时间点,主机M向从机S传输开通信息或开通信息信号,该开通信息信号向从机S表明,允许从机S将控制程序P2处理至哪一个处理段Va。控制程序P2的这些处理段Va与主机M在处理控制程序P1期间已经处理过的处理段相符。在当前的实施例中假定,在时间间隔Z1结束后主机M在时间点t1和在第一个中断位置P1_6(中断位置6)紧接时间间隔Z1的时间点t2向从机S传输开通信息F1。该开通信息F1包括用于从机S的信息,即允许从机S将其待处理的控制程序P2处理至中断位置P2_6(中断位置6),其中,控制程序P2的中断位置P2_6与控制程序P1的中断位置P1_6相符。这意味着,从机S能够基于开通信息而处理控制程序P2的、直至产生开通信息或开通信息信号的时间点均与控制程序P1的处理段Va相符的处理段Va,其中,在实例中,为了简单起见而假定,产生开通信息的时间点与将开通信息传输至从机S的时间点相符。借助于从机S对这些处理步骤Va的处理因此在时间上是与借助于主机M对相应的处理段Va的处理不同步地进行,其中,只有当主机M向从机S传输另一开通信息时,才在通过从机S处理控制程序P2的处理段Va后通过从机S进行对其它处理段Va的处理。该中断位置P1_6,P2_6(中断位置6)出现的时间点代表紧随时间间隔Z1的时间间隔Z2的开始。
以所说明的方式和方法进行对控制程序P1,P2的另一次时间不同步的处理。在时间间隔Z2结束后的第一个中断位置P1_A出现的时间点t3,主机M向从机S传输另一开通信息F2,该开通信息向从机S表明,该从机能够处理直至中断位置P2_A的其它的处理段Va。这些处理段Va再次与主机M从时间点t2直至时间点t3、即直至中断位置P1_A已处理的处理段Va相符。这意味着,从机S处理的是从前一开通信息F1的时间点t2直至当前的认可F2的时间点的处理段Va。在时间间隔Z2结束后出现第一个中断位置P1_A的时间点t3是紧随时间间隔Z2的时间间隔Z3的开始。
现在可能出现的情况是,在时间间隔期间出现事件、例如过程警报形式的事件。在实施例中用E表示该类事件,在时间间隔Z3期间,主机M必须在时间点t4按照控制程序P1对该事件作出合适的反应。在这种情况下,主机M不是在时间间隔Z3后紧随时间间隔Z3出现中断位置的时间点、而是在出现事件E后紧随出现中断位置P1_C(中断位置C)的时间点t5向从机传输开通信息F3。这意味着,时间间隔Z3基于时间E而被缩短,其中,时间点t5是紧随的时间间隔t4的开始。基于向从机S传输的开通信息F3,该从机S处理控制程序P2的处理段Va,这些处理段Va与主机M在时间点t3和t5之间已经处理过的P1的处理段Va相符。
基于事件E,主机M在时间间隔Z4期间处理的是具有较高优先级的处理段Va,例如主机M在时间点t5完成线程更换,并且在时间间隔Z4在时间点t6结束后,在紧随时间间隔Z4后的第一个中断位置P1_12出现的时间点t7上再次传输开通信息F4。基于该开通信息,从机S处理的同样是控制程序P2的直至中断位置P2_12(中断位置12)的处理段Va,其中,这些处理段Va与控制程序P1的在时间点t5和t7之间的处理段Va相符,并且其中,从机S同样完成线程更换。
正如已阐明的,主机M的开通信息使从机S处于这种状态,即它与主机M通过相同的“线程堆”,这意味着,从机S在控制程序P2中的某一位置上进行“线程更换”,该位置是与控制程序P1中的位置相符的。只有当主机M通过开通信息对此向从机S进行要求时,从机S才会继续其处理过程。在对处理段进行处理的方面,主机M像是在独立(Stand-Alone)运行或像是在非冗余运行中那样实时地处理这些处理段,并且以均匀的时间间隔以及在事件出现后给出开通信息用于通过从机S处理相应的处理段,其中,主机M进一步处理它的控制程序P1并且并不主动地等待从机S的回复。在处理相应的处理段的方面,从机S落后于主机M并且基于所给出的主机-开通信息而处理这些处理段。
后面参考图2,在该图中示出了主导地位从主机M向从机S的过渡。
主机M以所说明的方式和方法向从机S传输开通信息F5,F6,F7,其中,假定主机M在时间点t8发生故障。
基于开通信息F5至F7,从机S处理控制程序P4的直至中断位置P4_B(中断位置B)的处理段Va,其中,这些处理段与控制程序P3的、借助于主机M直至中断位置P3_B(中断位置B)已经处理过的处理段相符。
在时间点te1,te2,主机M在处理控制程序P3的范畴内只读取地访问外围单元Pe,这意味着,主机M读取过程输入值Ew1,Ew2、按照控制程序P3处理这些过程输入值并且产生过程输出值Aw1,Aw2,主机M在时间点ta1,ta2上向外围单元Pe传输这些过程输出值。主机M向从机S传输过程输入值Ew1,Ew2,这在附图中通过弧线L1,L2表示。为了不提高在处理直至这些开通信息F5,F7的处理段Va的期间的主机M和从机S之间的通信负荷,传输与开通信息F5,F7一起进行。从机S同样地根据控制程序P4处理这些过程输入值Ew1,Ew2并且同样地产生过程输出值Aw1,Aw2,从机S向外围单元Pe传输这些过程输出值Aw1,Aw2。其中由此出发,即外围单元Pe是一种具有初级连接和次级连接的“接通了的”外围单元。初级连接设计用于接收主机M的过程输出值并且次级连接装置设计用于接收从机S的过程输出值,其中,当从机S识别出主机M发生故障时,从机S使外围单元从初级连接切换至次级连接。
正如已阐明的,假定在时间点t8主机M发生故障。从机S例如这样识别出该故障,即主机M在预设的时长内没有通过同步连接Sv或现场总线Fb(图4)向从机S传输消息。在从机S例如在时间点t9识别出故障后,从机S并没有立即接替主机的主导地位;这是因为在时间点t9,从机S的系统状态还有别于主机M的系统状态,并且无障碍的更换以及过渡因而是不可能的。在该时间点t9,从机S才处理了直至中断位置P4_6(中断位置6)的处理段Va,主机M的直至中断位置P3_6(中断位置6)的相应的处理段Va由此“成为”了历史。只有在完成了过渡之后,即在从机S在时间点t10处理了借助于开通信息F7所开通的、直至中断位置P4_B的处理段Va之后,从机S才接替主机的主导地位并由此接管对技术过程的控制,其中,在时间点t10,从机S使外围单元从初级连接切换至次级连接。也就是说,在该过渡期间,(至此为止的)从机S还是路径同步地通过与主机M相同的线程堆,并且处理与(至此为止的)主机M在其发生故障前所处理的过程输入值相同的过程输入值,其中,(至此为止的)从机S基于这些输入值计算出与(至此为止的)主机M相同的过程输出值。当上一个开通信息的目的-在当前的实例中为处理直至中断位置P4_B的处理段Va-实现时,则结束过渡。
过渡的持续时间基本与在“故障转移”的时间点的落后时长相符。为了将该落后时长保持在可接受的范围内,如果从机S结束了相应的处理,则通过从机S不同步地借助于相应的确认信息Q8至Q12确认主机M的开通信息F8至F12中每个开通信息(图3)。主机M评估未被确认的开通信息的数量并且从中计算出从机S的当前的落后时长。当落后时长过大或者说过久时,这例如可能导致冗余损失,对于这种情况而言,则由主机M采取适当的措施,以便缩小该落后时长或者说不让该落后时长变得过大。
作为对于落后过大的反应,例如主机M能够中断或延迟对优先级较低的线程的处理,其中,对优先级较高的线程的处理明显需要小于100%的计算时间。主机M因此只须通过较少的处理段并且产生较少的开通信息,从机S或者说备用机因此便能够“迎头赶上”。

Claims (12)

1.一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法,所述子系统在控制技术过程期间分别处理控制程序(P1,P2),其中,所述两个子系统中的一个子系统作为主机(M)并且另一个子系统作为从机(S)工作,并且其中,对于所述主机(M)发生故障的这种情况而言,由所述从机(S)承担所述主机(M)的功能,其特征在于,
-处理有待借助于所述主机(M)处理的所述控制程序(P1)的处理段(Va),
-分别在预设的时间间隔(Zi,i=1,2,……)结束后或者在事件(E)出现后通过所述主机(M)向所述从机(S)传输开通信息(F1,F2,……),和
-基于所述开通信息(F1,F2,F3,F4)处理有待借助于所述从机(S)在时间上不同步地处理的所述控制程序(P2)的所述处理段(Va),所述处理段与有待借助于所述主机(M)处理的所述控制程序(P1)的、直至所述开通信息(F1,F2,F3,F4)已经处理过的处理段(Va)相符。
2.根据权利要求1所述的方法,其特征在于,在处理了相应的所述处理段(Va)后,通过所述从机(S)向所述主机(M)确认相应的所述开通信息(F1,F2,F3,F4)。
3.根据权利要求1或2所述的方法,其特征在于,
-在相应的所述处理段(Va)开始和结束时设有中断位置(P1_6,P1_A,P1_C,P1_12),
-作为紧随相应的所述时间间隔(Zi,i=1,2,…)的时间间隔(Zi,i=1,2,…)的开始而设有
a)紧随相应的所述时间间隔(Zi,i=1,2,…)的所述中断位置(P1_6,P1_A,P1_12)出现的时间点(t2,t3,t6)或
b)紧随所述事件(E)的所述中断位置(P1_C)出现的时间点(t5),和
-在a)或b)中提到的时间点(t2,t3,t6;t5)向所述从机(S)传输所述开通信息(F1,F2,F4;F3)。
4.根据权利要求1或2所述的方法,其特征在于,在传输所述开通信息(F1,F2,F4;F3)的时间点(t2,t3,t6;t5),借助于所述主机(M)也向所述从机(S)传输过程输入值(Ew1,Ew2)。
5.根据权利要求3所述的方法,其特征在于,在传输所述开通信息(F1,F2,F4;F3)的时间点(t2,t3,t6;t5),借助于所述主机(M)也向所述从机(S)传输过程输入值(Ew1,Ew2)。
6.一种冗余的、设有第一和第二子系统的自动化系统,所述子系统在控制技术过程期间分别处理控制程序(P1,P2),其中,所述两个子系统中的一个子系统作为主机(M)并且另一个子系统作为从机(S)工作,并且其中,对于所述主机(M)发生故障的这种情况而言,由所述从机(S)承担所述主机(M)的功能,其特征在于,
-所述主机(M)设计用于,处理有待借助于所述主机(M)处理的所述控制程序(P1)的处理段(Va),并且分别在预设的时间间隔(Zi,i=1,2,…)结束后或事件(E)出现后向所述从机(S)传输开通信息(F1,F2,F3,F4),和
-所述从机(S)设计用于,基于所述开通信息(F1,F2,F3,F4)处理有待借助于所述从机(S)在时间上不同步地处理的所述控制程序(P2)的所述处理段(Va),所述处理段与有待通过所述主机(M)处理的控制程序(P1)的、直至所述开通信息(F1,F2,F3,F4)已经处理过的所述处理段(Va)相符。
7.根据权利要求6所述的冗余的自动化系统,其特征在于,所述从机(S)设计用于在处理完相应的所述处理段(Va)后向所述主机(M)确认相应的开通信息(F1,F2,F3,F4)。
8.根据权利要求6或7所述的冗余的自动化系统,其特征在于,
-所述自动化系统设计用于,在有待借助于所述主机(M)和借助于所述从机(S)处理的所述控制程序(P1,P2)中分别在相应的所述处理段(Va)开始和结束时设置中断位置(P1_6,P1_A,P1_C,P1_12,P2_6,P2_A,P2_12),
-所述主机(M)设计用于,作为紧随相应的所述时间间隔(Zi,i=1,2,…)的时间间隔(Zi,i=1,2,…)的开始而设置
a)紧随相应的时间间隔(Zi,i=1,2,…)的所述中断位置(P1_6,P1_A,P1_12)出现的时间点(t2,t3,t6),或
b)紧随所述事件(E)的所述中断位置(P1_C)出现的时间点(t5),和
-所述主机(M)此外还设计用于,在a)或b)中提到的时间点(t2,t3,t6;t5)向所述从机(S)传输所述开通信息(F1,F2,F4;F3)。
9.根据权利要求6或7所述的冗余的自动化系统,其特征在于,所述主机(M)设计用于,在传输所述开通信息(F1,F2,F4;F3)的时间点(t2,t3,t6;t5)也向所述从机(S)传输过程输入值(Ew1,Ew2)。
10.根据权利要求8所述的冗余的自动化系统,其特征在于,所述主机(M)设计用于,在传输所述开通信息(F1,F2,F4;F3)的时间点(t2,t3,t6;t5)也向所述从机(S)传输过程输入值(Ew1,Ew2)。
11.一种用于冗余的、具有主机(M)和从机(S)的自动化系统的从机(S),其中,所述主机(M)和所述从机(S)在控制技术过程期间分别处理控制程序(P1,P2),并且其中,对于所述主机(M)发生故障的这种情况而言,由所述从机(S)承担所述主机(M)的功能,其特征在于,
-所述从机(S)设计用于,基于由所述主机(M)传输的开通信息(F1,F2,F3,F4)中的某个开通信息处理有待借助于所述从机(S)处理的所述控制程序(P2)的处理段(Va),所述处理段与有待通过所述主机(M)处理的控制程序(P1)的、直至所述开通信息(F1,F2,F3,F4)已经处理过的所述处理段(Va)相符,和
-所述从机(S)此外还设计用于,在完成所述处理后,只有当所述主机(M)向所述从机(S)传输了另一个开通信息时,才会在时间上不同步地处理所述从机的所述控制程序(P2)的其它处理段(Va)。
12.一种用于冗余的、具有从机(S)和主机(M)的自动化系统的主机(M),其中,所述主机(M)和所述从机(S)在控制技术过程期间分别处理控制程序(P1,P2),并且其中,对于所述主机(M)发生故障的这种情况而言,由所述从机(S)承担所述主机(M)的功能,其特征在于,
所述主机(M)设计用于,处理有待借助于所述主机(M)处理的控制程序(P1)的处理段(Va),并且分别在预设的时间间隔(Zi,i=1,2,…)结束后或事件(E)出现后向所述从机(S)传输开通信息(F1,F2,F3,F4),其中,所述开通信息(F1,F2,F3,F4)向所述从机(S)表明,处理有待借助于所述从机(S)在时间上不同步地处理的所述控制程序(P2)的所述处理段(Va),所述处理段(Va)与有待通过所述主机(M)处理的控制程序(P1)的、直至所述开通信息(F1,F2,F3,F4)已经处理过的所述处理段(Va)相符。
CN201310125142.6A 2012-04-27 2013-04-11 用于运行冗余的自动化系统的方法 Active CN103377083B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP121660062 2012-04-27
EP12166006.2A EP2657797B1 (de) 2012-04-27 2012-04-27 Verfahren zum Betreiben eines redundanten Automatisierungssystems
EP12166006.2 2012-04-27

Publications (2)

Publication Number Publication Date
CN103377083A CN103377083A (zh) 2013-10-30
CN103377083B true CN103377083B (zh) 2017-10-31

Family

ID=46087464

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310125142.6A Active CN103377083B (zh) 2012-04-27 2013-04-11 用于运行冗余的自动化系统的方法

Country Status (3)

Country Link
US (1) US9389971B2 (zh)
EP (1) EP2657797B1 (zh)
CN (1) CN103377083B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2857913B1 (de) * 2013-10-01 2019-04-24 Siemens Aktiengesellschaft Redundantes Automatisierungssystem
CN106537268B (zh) * 2014-07-30 2019-10-11 西门子公司 用于分派控制权限给计算机的方法和系统
JP5902778B1 (ja) * 2014-09-03 2016-04-13 ファナック株式会社 周辺機器を安全に制御する機能を有する工作機械
CN104333474B (zh) * 2014-11-21 2017-07-18 湖南先步信息股份有限公司 Profibus‑dp网关产品参数智能化配置方法
EP3118694A1 (de) 2015-07-13 2017-01-18 Siemens Aktiengesellschaft Verfahren zum betreiben eines redundanten automatisierungssystems und redundantes automatisierungssystem
EP3229141A1 (de) 2016-04-07 2017-10-11 Siemens Aktiengesellschaft Verfahren zur erhöhung der verfügbarkeit eines redundanten automatisierungssystems sowie redundantes automatisierungssystem
CN107957692B (zh) * 2016-10-14 2020-06-09 中国石油天然气集团公司 控制器冗余方法、装置及系统
EP3428748B1 (de) * 2017-07-13 2020-08-26 Siemens Aktiengesellschaft Verfahren und anordnung zum betrieb von zwei redundanten systemen
EP3457232B1 (de) * 2017-09-13 2020-03-11 Siemens Aktiengesellschaft Verfahren zum betrieb eines hochverfügbaren automatisierungssystems
JP6969455B2 (ja) * 2018-03-13 2021-11-24 オムロン株式会社 制御装置、制御システム、制御方法、および、制御プログラム
EP3547618B1 (de) 2018-03-29 2023-03-01 Siemens Aktiengesellschaft Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit
CN109343474B (zh) * 2018-07-31 2020-08-07 全球能源互联网研究院有限公司 一种控保系统的同步控制方法及装置
EP3654121B1 (de) 2018-11-14 2021-06-09 Siemens Aktiengesellschaft Redundantes automatisierungssystem mit mehreren prozessoreinheiten je hardwareeinheit
EP3751363B1 (de) 2019-06-11 2022-11-23 Siemens Aktiengesellschaft Verfahren zum betreiben eines redundanten automatisierungssystems und entsprechendes system
EP3800517A1 (de) 2019-10-04 2021-04-07 Siemens Aktiengesellschaft Redundantes automatisierungssystem, verfahren zur erstellung eines solchen automatisierungssystems, computerprogramm und computerlesbares medium
EP3872582A1 (de) 2020-02-26 2021-09-01 Siemens Aktiengesellschaft Redundant ausgelegtes automatisierungssystem
EP3872583B1 (de) 2020-02-26 2023-07-19 Siemens Aktiengesellschaft Redundant ausgelegtes automatisierungssystem
EP3936949A1 (de) 2020-07-09 2022-01-12 Siemens Aktiengesellschaft Verfahren zum betreiben eines redundanten automatisierungssystems und redundantes automatisierungssystem
EP3971662B1 (de) * 2020-09-22 2024-04-17 Siemens Aktiengesellschaft Verfahren zum betreiben eines redundanten automatisierungssystems
EP4068014B1 (de) 2021-03-30 2023-11-08 Siemens Aktiengesellschaft Hochverfügbare cloud-basierte automatisierungslösung mit optimierten übertragungszeiten

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1303497A (zh) * 1998-05-26 2001-07-11 陶氏化学公司 采用实时调度逻辑和时间确定结构的分布式计算环境
CN1993679A (zh) * 2004-08-04 2007-07-04 罗伯特·博世有限公司 执行计算机程序的方法、操作系统和计算设备

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4589066A (en) * 1984-05-31 1986-05-13 General Electric Company Fault tolerant, frame synchronization for multiple processor systems
DE3633953A1 (de) * 1986-10-06 1988-04-07 Siemens Ag Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets
AU616213B2 (en) * 1987-11-09 1991-10-24 Tandem Computers Incorporated Method and apparatus for synchronizing a plurality of processors
DE19625195A1 (de) 1996-06-24 1998-01-02 Siemens Ag Synchronisationsverfahren
DE10014390C2 (de) * 2000-03-23 2002-02-21 Siemens Ag Hochverfügbares Rechnersystem und Verfahren zur Umschaltung von Bearbeitungsprogrammen eines hochverfügbaren Rechnersystems
US6760634B2 (en) * 2001-01-17 2004-07-06 Rockwell Automation Technologies, Inc. System and method for periodic task resumption following redundant control system switchover
US7007106B1 (en) * 2001-05-22 2006-02-28 Rockwell Automation Technologies, Inc. Protocol and method for multi-chassis configurable time synchronization
US7370239B2 (en) * 2001-05-31 2008-05-06 Fisher-Rosemount Systems, Inc. Input/output device with configuration, fault isolation and redundant fault assist functionality
DE10235943A1 (de) * 2002-08-06 2004-02-19 Kuka Roboter Gmbh Verfahren und Vorrichtung zum synchronen Steuern von Handhabungsgeräten
US7363431B1 (en) * 2003-09-19 2008-04-22 Emc Corporation Message-based distributed synchronization in a storage system
US20060056285A1 (en) * 2004-09-16 2006-03-16 Krajewski John J Iii Configuring redundancy in a supervisory process control system
JP5458938B2 (ja) * 2010-02-17 2014-04-02 富士通株式会社 情報処理装置、情報処理プログラムおよび情報処理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1303497A (zh) * 1998-05-26 2001-07-11 陶氏化学公司 采用实时调度逻辑和时间确定结构的分布式计算环境
CN1993679A (zh) * 2004-08-04 2007-07-04 罗伯特·博世有限公司 执行计算机程序的方法、操作系统和计算设备

Also Published As

Publication number Publication date
US20130290776A1 (en) 2013-10-31
EP2657797B1 (de) 2017-01-18
US9389971B2 (en) 2016-07-12
EP2657797A1 (de) 2013-10-30
CN103377083A (zh) 2013-10-30

Similar Documents

Publication Publication Date Title
CN103377083B (zh) 用于运行冗余的自动化系统的方法
JP5494255B2 (ja) 安全制御システム
CN101783759B (zh) 一种总线错误恢复处理方法
US7549072B2 (en) Method and device for synchronizing the global time of a plurality of buses and a corresponding bus system
US8775681B2 (en) Cross-network synchronization of application S/W execution using flexray global time
CN102687123A (zh) 高级通信控制器单元和用于记录协议事件的方法
EP3026515B1 (en) Programmable controller system
CN111030909B (zh) 一种应用于can总线多主设备通讯间时间同步的方法
JP5680048B2 (ja) 自動制御システム、接点情報収集分配装置および自動制御システムの子局
CN103155492A (zh) 通信系统及通信装置
EP2891581B1 (en) Vehicle control system, and vehicular electronic control unit
CN102830647A (zh) 一种故障安全的二乘二取二装置
CN109743242B (zh) Can总线报文控制系统及其控制方法
CN106411443B (zh) 报文传输的方法、车载网络系统及车辆
CN104516306A (zh) 冗余的自动化系统
WO2021253596A1 (zh) 一种基于双通道安全plc的同步控制及数据表决方法
US20050278457A1 (en) Voting mechanism for transmission schedule enforcement
US20130253706A1 (en) Safety signal processing system
JP2000196700A (ja) 調歩同期式データ伝送方法
JP2020195035A (ja) 通信システム、および通信制御方法
US9112738B2 (en) Control device having a digital interface
US9910754B2 (en) Duplexed control system and control method thereof
JPWO2014013826A1 (ja) 故障診断システム、故障診断装置及び故障診断方法
CN100479295C (zh) 并联不间断电源同步切换控制方法及装置
JP6410914B1 (ja) シリアル通信システム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant