CN105209982B - 用于控制自动化系统中的物理单元的方法和设备 - Google Patents
用于控制自动化系统中的物理单元的方法和设备 Download PDFInfo
- Publication number
- CN105209982B CN105209982B CN201480024998.7A CN201480024998A CN105209982B CN 105209982 B CN105209982 B CN 105209982B CN 201480024998 A CN201480024998 A CN 201480024998A CN 105209982 B CN105209982 B CN 105209982B
- Authority
- CN
- China
- Prior art keywords
- control
- output
- control unit
- control output
- physical location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/183—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24024—Safety, surveillance
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
本发明涉及一种用于控制物理单元(2)的方法,包括以下步骤:‑循环地生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;‑将所述控制输出中的选择的一个控制输出施加至所述物理单元(2);‑检验至少所选择的控制输出是否是正确的;以及‑选择所述控制单元中的、其控制输出被检验为正确的一个控制单元,以便在后续周期中将其控制输出施加至物理单元(2),其特征在于:将所述控制输出中的选择的一个控制输出施加至所述物理单元(2)的步骤是在检验步骤之前或者期间执行的。
Description
技术领域
本发明涉及包括冗余自动化控制器以便允许高可用性和快速的响应时间的自动化系统。
背景技术
控制技术系统的关键部分的自动化单元需要高可用性,因此必须提供冗余解决方案。在一个或多个自动化单元失败的情况下,它们的冗余对等物将取代它们从而确保所述技术系统持续和安全的操作。
通常的冗余解决方案提供诸如N中取M个(M-out-of-N)冗余或者备用冗余的冗余方案,其允许在非常短的时间甚至是零时间段内从失败部分切换到冗余对等部分。
然而,许多技术系统能够容忍非常短的、控制单元的输出可能由于故障而损坏或者没有被更新的时间段。此外,安全至上的系统可能在致动器中提供额外的错误纠正逻辑,以使得在短时间内,发送到致动器的自动化单元的输出允许由于故障所导致的损坏或者未被更新。例如,列车中控制断路器模块的控制器单元能够在多个控制周期中不故障或者不传送损坏的输出结果,因为如果不这样的话,损坏可能发生。因此,在一些系统中控制单元的响应比失败模式输出至将被控制的技术系统的各个部分更加关键。这样的模式通过控制所有的输出和执行表决(voting)将额外的延迟引入到控制过程中。现有的机制引入延迟至过程本身。然而,上述解决方案被设计用于在正确的输出被转送给技术系统的各个部分之前,首先证明冗余单元的输出结果的正确性,
文档WO2009/030363一般涉及冗余控制器和应用。
文档WO2007/140122公开了一种包括设备,其包括一电路,用于比较对应于至少两个冗余存取的数据与输入/输入设备以便确定与至少两个冗余存取中的其中一个相关的错误已经发生。
Armoush,A.等人的“Recovery Block with Backup Voting:A New Pattern withExtended Representation for Safety Critical Embedded Systems”,Journal ofSoftware Engineering and Applications,Volume 2,No.1,pp.232-237,December 2008(“带有备份表决的恢复模块:一种带有扩展解释的用于安全至上嵌入系统的新模式”,软件工程和应用杂志,第2卷,1号,页码232-237,2008年12月),也在副本(replica)执行之后应用表决。然而在那种模式中,所有的副本继副本执行后执行验收测试。如果验收测试失败,则接下来的副本和它的验收测试一起执行。只有当所有的副本和验收测试失败,表决才被运用到所有的未通过验收测试的缓冲的结果上。
在A.Avizienis的文献“The N-version Approach to Fault-TolerantSoftware”,IEEE Transactions on Software Engineering,Vol.11,No.12,pp.1491-1501,Dec.1985(“对容错软件的N版本方法”,软件工程的IEEE学报,第11卷,第12号,页码第1491-1501,1985年12月),公开了一种基于软件的冗余方案。所述方案基于N个副本,其被并行地执行,被不同的团队独立开发,以便确保软件的异质性。此外,表决器接着执行错误检测并决定正确的输出。然后,所述输出被发送给致动器或者接下来的控制部分。所述方案也能够容易地以硬件方式被执行,然后被称作N模冗余,最突出的例子是三模冗余(TMR)。利用N模块冗余,N个控制器能够在每次执行副本的过程中被使用。接下来的表决可以基于软件或者硬件而被执行。
类似的冗余方案经常被提及,例如在Armoush,A的“Design Patterns forSafety-Critical Embedded Systems”,RWTH Achen University,2010(“安全至上的嵌入式系统的设计模式”,亚琛工业大学,2010年)中。
文档US 2006/080678描述了目的是获得对攻击容忍的应用的冗余和多数表决。
文档US 2004/199817涉及在多个计算机上运行多个程序并且应用表决进程。
目前,本发明的一个目的是提供一种用于控制由于冗余而具备高可用性和允许非常短的响应时间的技术系统的改善的方法和设备。这是一种说法,另外一种说法是没有额外的延迟被引入到进程的关键部分中并且保持高可用性。
发明内容
上述目的可以通过如权利要求1所述的控制物理单元的方法所实现,和通过根据进一步的独立权利要求所述的设备、自动化系统,计算机和计算机程序产品所实现。
本发明进一步的实施例在从属权利要求中被揭示。
根据第一个方面,提供一种控制物理单元的方法,其包括下述步骤:
-循环生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;
-将所述控制输出中的选择的一个控制输出施加到所述物理单元;
-检验至少所选择的控制输出是否是正确的,和
-将控制单元中的其输出已被检验为正确的一个控制单元选择为在后续循环中将其控制输出施加到所述物理单元的控制单元,
其中将所述控制输出中的选择的一个控制输出施加到所述物理单元的步骤是在检验步骤之前或者在检验步骤期间执行的。
典型地,提供高可用性的冗余方案将延迟引入至控制应用中。例如,高可用性以及错误检测能力的获得,不是通过直接施加被所述物理单元所使用的控制单元的输出。相反,控制单元的所有输出被送至表决器单元(voter unit)。然后,所述表决器单元应用一特定表决算法,例如,多数、大多数或者似然表决,并且在所有输出中选择正确的输出。因此,传送了错误输出的控制单元能够被检测出来,并且错误恢复可以从那些部分被发起。并且,所述控制应用不传送损坏的输出,甚至在控制单元失败的情况下也不传送。
这种冗余方案的缺点是收集控制单元的输出并且执行表决算法将额外的延迟引入到进程控制中,即,相较于非冗余系统,输出被延迟。在所有原因当中,所述延迟的引起主要是由于冗余控制单元之间的时间同步、收集控制单元的所有输出的通信延迟以及用于执行实际表决的执行时间。
前述方法的一个基本想法是提供一种控制方案,其中从多个控制单元中选择的控制单元的输出在正确性检测执行前被转送给将要被控制的物理单元。假如所述选择的控制单元生成一个无效的输出,那么所述控制单元将被另一个控制单元所取代,例如,在下一个控制循环开始前。冗余是由多个实质上相同的控制单元来实现的,以便确保整个自动化系统的高可用性。
转送一个控制单元的输出到所述物理单元而不事先检验各个输出的正确性,使得控制单元的输出到物理单元之间的传输时延被最小化,以便可以建立快速响应自动化系统。
所述方案可以被称作下游表决(downstream voting),并且可以在性能是一个重要的方面和冗余将不会将额外的延迟引入到通常的控制进程中时被应用。这种冗余系统的主要特点是它将最小的延迟引入到控制应用中,但是仍然提供错误检测以及高可用性给所述应用。
下游表决的好处是提供一种明确定义的切换进程,即,甚至在主要控制单元完全失败的情形下也能保证一个可操作的控制单元接管接下来的执行周期。而且,在主要控制单元失败的情况下在当前的控制周期中没有必要执行复杂的切换。
这样的方法提供一种新的冗余方案,其非常适合那些几乎不能容忍损坏的输出的应用。此外,所提出的控制方案显示了在失败情形下仅有低的复杂性。因此,失败情形下采取的动作也容易被理解和预知。这极大地简化了调试故障以及维护。在安全至关重要的环境下,前面的控制方案能够提供高可用性,而不会将额外的延迟引入到控制进程中,并且由此避免了安全关闭(safety shutdown)。
进一步地,检验步骤可以通过多数、大多数或者似然表决执行。
可以提供如下方案:在检验步骤中检验哪个控制输出是正确的。
进一步地,所述选择步骤可以使用以下方案被执行:
-优先级方案
-随机方案;或者
-所选择的控制输出的变化量被最小化的方案。
如果控制输出相继生成,则在前面的周期中被检验为正确的并且在一个周期内被首先生成的控制输出可以被选择。
可以提供如下方案:如果预定的缺省值在一个或者多个控制输出中被识别出,则相应的控制输出被检测为错误的。
根据进一步的方面,提供一种从多个控制单元中选择一个控制单元以用于控制物理系统的设备,其中多个冗余的控制单元循环地提供控制输出,包括:
表决单元,其被配置为:
-允许先前被选择的控制单元将它的控制输出施加到物理系统;
-检验至少先前选择的控制单元是否是正确的;
-选择被检验为正确的控制输出中的一个;
-提供所选择的控制单元,以便在后续周期中将其输出施加到物理单元,
其中所述表决单元进一步被配置为,在检验先前选择的控制输出是否正确之前或者期间,允许先前选择的控制输出被施加到物理系统。
根据进一步的方面,将提供一种自动化系统,包括:
-用于生成冗余控制输出的多个控制单元;
-前述设备;以及
-一种物理系统。
进一步地,提供一种多路复用器,其用于选择控制单元的控制输出中的将被施加到物理系统的一个控制输出。
根据进一步的方面,将提供一种通用数字计算机,其被编程为执行前述方法的步骤。根据进一步的方面,将提供一种计算机程序产品,当其在计算机上执行的时候,执行前述方法的步骤。
附图说明
本发明的实施例将结合所附附图被更加详细地描述,其中:
图1显示具有多个冗余控制单元和监控系统的自动化系统,其提供高可用性和非常短的响应时间;以及
图2显示一流程图,其示出一种控制技术单元由此提供冗余和短的响应时间的方法。
具体实施方式
在图1的系统中和图2的流程图中,控制自动化系统1中的物理单元2的方法将被详细地描述。
图1显示了具有被控制的物理单元2的自动化系统1的方框图。所述物理单元2可以是一个致动器,任何技术系统或者类似物,需要接收由多个控制单元3中的一个所产生的控制信号和/或者控制数据。控制单元3将被提供多个相同的拷贝,以便提供一种冗余控制方案,以及可以包含任何类型的控制电路。
多个控制单元3的输出被发送给一多路复用器4,其提供一个输出控制信号和/或一个控制单元3的控制数据(控制输出)至物理单元2。
进一步地,提供一受保护的存储器5。多个控制单元3的所有的输出控制信号和/或者控制数据被缓冲于受保护的存储器5中。输出信息,例如控制信号或者控制数据(控制输出),可以简单地被直接从控制单元3的输出中汲取,并且存储于受保护的存储器5中,或者可以提供如下方案:控制单元3首先通过多路复用器4发送输出控制信号或者控制数据到物理单元2中,紧接着发送到受保护的存储器5中。这就保证了实际的控制进程不被与将输出信息存储到受保护的存储器5中相关的进程所影响。
提供一表决单元6,其与受保护的存储器5相连接。所述表决单元6被配置为,基于缓冲于受保护的存储器5中的信息而执行一表决进程。表决算法的结果是选择控制单元3中的被检测为是完全可操作的一个控制单元,以便提供其输出到所述物理单元2中。相应的切换信息S通过表决单元6被提供至多路复用器4。
实际应用的表决算法可以使用现有技术中已知的多数、大多数或者似然表决。表决单元6根据切换方案选择其输出通过多路复用器4被转送给物理单元2的一个控制单元3。所述切换方案2可以指出,例如,只要相应的控制单元3传送正确的输出,那么所选择的控制单元3就与先前的控制单元3相同。
所述表决算法被循环地执行,尤其是,在控制单元3中时间至关重要的进程已被执行和完成以及相应的输出信息被提供之后,并且在后续周期中的下一个时间至关重要的进程开始前。
这种用于选择将被使用的一个控制单元3的循环判断的好处是,其存在一个清晰定义的切换进程,即,甚至在被使用的控制单元3完全失败的情形下,也保证一个完全可操作的控制单元3可以在下一个控制周期中接管所述物理单元2的控制。
既然这将确保物理单元2能够容忍一个或者几个损坏的输出,这是可以被接受的。
进一步地,控制单元3可以被提供一些预定义的缺省值或者缺省信号,以避免控制单元3失败。所述失败可以是完全的或者物理性的失败,例如没有任何信号可以被再发送,和逻辑性的失败,例如控制逻辑失败,并且因此缺省失败值被发送。然后,在失败的情形下,缺省值或者信号被发送至物理单元2。在下一个执行周期中,当识别出缺省值的时候,表决单元6可以检测出失败并且接下来可以选择另一个可操作的控制单元3,以便前面使用的控制单元3的失败仅仅被允许影响单个周期的控制进程。此外,如果所选择的控制单元3完全失败,则所述表决单元6可以检测出失败,因为在预定的时间周期内没有检测到值,表决单元6能够接下来选择另一个可操作单元3,以便前面使用的控制单元3的完全失败仅仅被允许影响多个周期的控制进程。
除了控制单元3的正确输出的判断以及将被使用的控制单元3的选择以外,表决单元6进一步地可以通过比较控制单元的所有输出来执行错误检测。由此,错误的控制单元3可以被检测出并且被标记为错误的。基于控制单元3所使用于的自动化系统1,可以触发一警报,通知操作员关于所发现的错误的控制单元3的错误状态。
在下一个周期中要使用的控制单元3的选择可以基于以下方案被执行:
-控制单元3可以根据优先级方案被选择,例如每个控制单元3有一个反映控制单元3的优先级的单元ID。为了选择,具有最高或者最低ID的控制单元3可以根据所述优先方案而被选择。
-进一步地,要被选择的控制单元3可以被随机选择。
-进一步提供的是,最经常被选择为使用的控制单元3的控制单元3能够被选择。这就要求表决单元6能够保持追踪控制单元3的使用以及它们先前的选择,例如通过分配一计数器给控制单元3。当控制单元3在下一个执行周期中被选择作为首要的时候,所述计数器被累加。所述计数器可以在受保护的存储器5中被执行。
如果自动化系统不允许以并行的方式操作控制单元3,而是例如,以时间同步的方式,则首先被调度的可操作的控制单元3将被选择作为首要的,以便不要引入额外的延迟到控制进程中。
图2解释了一流程图,其示出了按照用于控制物理单元的所述方法所执行的方法步骤。
在步骤S1中,多个控制输出以冗余的方式在控制单元3中被生成。所述生成能够根据前馈控制和反馈控制而被执行。
在接下来的步骤S2中,控制输出中的先前已被选择的一个控制输出被施加到物理单元2。在一个初始周期中,预定义的第一个控制单元3可以被选择。
在接下来的步骤S3中,表决单元6至少检验所选择的控制输出是否是正确的。也提供,为所有的控制输出执行关于正确性的检验。
在接下来的步骤S4中,表决单元6选择之前检验为正确的可操作的控制单元3或者其控制输出,并且施加相应的选择信息至多路复用器4以便在接下来的周期中施加所选择的控制单元的控制输出至所述物理单元2。
在步骤S4之后,所述进程从步骤S1开始重复。
参考表
1.自动化系统
2.物理单元,技术系统
3.控制单元
4.多路复用器
5.受保护的存储器
6.表决单元
Claims (11)
1.用于控制物理单元(2)的方法,包括以下步骤:
-循环地生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;
-将所述控制输出中的选择的一个控制输出施加至所述物理单元(2);
-检验至少所选择的控制输出是否是正确的;以及
-选择所述控制单元中的、其控制输出被检验为正确的一个控制单元,以便在后续周期中将其控制输出施加至物理单元(2),
其特征在于:
将所述控制输出中的选择的一个控制输出施加至所述物理单元(2)的步骤是在检验步骤之前执行的,并且在所选择的控制单元已经生成无效的输出的情况下,在下一个控制周期前所述控制单元被另一个控制单元取代。
2.如权利要求1所述的方法,其中检验步骤被执行为多数、大多数或者似然表决。
3.如权利要求1或2所述的方法,其中在检验步骤中检验所有控制输出中的哪些控制输出是正确的。
4.如权利要求3所述的方法,其中选择步骤能够使用以下方案被执行:
-优先级方案;
-随机方案;或者
-所选择的控制输出的变化量被最小化的方案。
5.如权利要求1至2中任一项所述的方法,其中如果控制输出被相继生成,则所述控制输出中的被检验为正确的并且在一个周期中被首先生成的一个控制输出被选择。
6.如权利要求1至2中任一项所述的方法,其中如果预定义的缺省值在所述控制输出中的一个或者多个中被识别出,则相应的控制输出被检验为错误的。
7.用于从多个控制单元(3)中选择要用于控制物理系统的一个控制单元(3)的设备,其中所述多个控制单元(3)冗余地提供控制输出,该设备包括:
表决单元(6),其被配置为:
-允许先前选择的控制单元将它的控制输出施加至物理系统;
-检验至少先前选择的控制输出是否是正确的;
-选择所述控制输出中的被检验为正确的一个控制输出;以及
-提供所述控制单元(3)中的所选择的一个控制单元(3)的控制输出以便在后续周期中施加至物理单元(2),
其特征在于
所述表决单元(6)进一步被配置为在下一个控制周期之前并且在检验所述先前选择的控制输出是否是正确的之前,允许先前选择的控制输出被施加至所述物理系统。
8.自动化系统(1),包括:
-多个控制单元(3),用于生成冗余的控制输出;
-如权利要求7所述的设备;以及
-物理系统。
9.如权利要求8所述的自动化系统(1),其中多路复用器(4)被提供用于从所述控制单元(3)的控制输出中选择一个控制输出以施加到物理系统。
10.一种通用数字计算机,被编程用于执行如权利要求1至5中任一项所述的方法的步骤。
11.计算机程序产品,当其在计算机上运行的时候,执行如权利要求1至5中任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13001712.2A EP2787401B1 (en) | 2013-04-04 | 2013-04-04 | Method and apparatus for controlling a physical unit in an automation system |
| EP13001712.2 | 2013-04-04 | ||
| PCT/EP2014/000877 WO2014161660A1 (en) | 2013-04-04 | 2014-04-02 | Method and apparatus for controlling a physical unit in an automation system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105209982A CN105209982A (zh) | 2015-12-30 |
| CN105209982B true CN105209982B (zh) | 2018-03-30 |
Family
ID=48095493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480024998.7A Active CN105209982B (zh) | 2013-04-04 | 2014-04-02 | 用于控制自动化系统中的物理单元的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10114356B2 (zh) |
| EP (1) | EP2787401B1 (zh) |
| CN (1) | CN105209982B (zh) |
| WO (1) | WO2014161660A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102010010890B4 (de) * | 2010-03-10 | 2012-03-22 | Siemens Aktiengesellschaft | Verfahren zum Ersetzen einer bestehenden Leiteinrichtung in einem Automatisierungssystem durch eine neue Leiteinrichtung und dazu ausgebildetes Automatisierungssystem |
| KR101764680B1 (ko) * | 2014-12-29 | 2017-08-03 | 주식회사 효성 | 이중화 제어 시스템 |
| ES2800321T3 (es) | 2016-01-05 | 2020-12-29 | Univ Carnegie Mellon | Arquitectura de seguridad para vehículos autónomos |
| DE102016213554A1 (de) * | 2016-07-25 | 2018-01-25 | Siemens Aktiengesellschaft | Datenübertragung zwischen signaltechnisch sicheren Recheneinheiten |
| CN108661823B (zh) * | 2018-04-28 | 2020-06-09 | 西安航天动力研究所 | 液体火箭发动机推力及混合比调节多余度机电伺服系统 |
| DE102018120347A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| CN114115055A (zh) * | 2021-11-30 | 2022-03-01 | 重庆川仪自动化股份有限公司 | 用于符合电动执行机构功能安全的冗余控制系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19814096A1 (de) * | 1998-03-30 | 1999-10-07 | Hartmann & Braun Gmbh & Co Kg | Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen |
| EP2157487A2 (de) * | 2008-08-18 | 2010-02-24 | EAE Ewert Ahrensburg Electronic GmbH | Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren |
| CN103186129A (zh) * | 2012-01-03 | 2013-07-03 | 通用电气公司 | 控制系统冗余的方法及系统 |
| CN103399546A (zh) * | 2013-07-26 | 2013-11-20 | 杭州和利时自动化有限公司 | 三冗余控制方法及系统 |
| CN103699003A (zh) * | 2013-11-27 | 2014-04-02 | 北京机械设备研究所 | 一种面向双余度电机的分布式冗余通用控制器 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3593307A (en) * | 1968-09-20 | 1971-07-13 | Adaptronics Inc | Redundant, self-checking, self-organizing control system |
| US3805235A (en) * | 1972-12-26 | 1974-04-16 | Collins Radio Co | Equalization means for multi-channel redundant control system |
| US3895223A (en) * | 1973-01-03 | 1975-07-15 | Westinghouse Electric Corp | Circuit arrangement for enhancing the reliability of common bus outputs of plural redundant systems |
| US4517639A (en) * | 1982-05-13 | 1985-05-14 | The Boeing Company | Fault scoring and selection circuit and method for redundant system |
| DE19514096A1 (de) | 1995-04-13 | 1996-10-17 | Sp Reifenwerke Gmbh | Gummierte Lage |
| DE10030329C1 (de) * | 2000-06-27 | 2002-01-24 | Siemens Ag | Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem |
| US6850807B2 (en) * | 2001-09-10 | 2005-02-01 | Kabushiki Kaisha Toshiba | Triple redundant control device and method |
| US7987391B2 (en) | 2003-03-20 | 2011-07-26 | Oracle America, Inc. | Fault tolerance using digests |
| US7134104B2 (en) * | 2003-12-05 | 2006-11-07 | International Business Machines Corporation | Method of selectively building redundant logic structures to improve fault tolerance |
| DE102004039698B4 (de) * | 2004-08-16 | 2007-04-19 | Siemens Ag | Peripherieeinheit für ein Automatisierungsgerät und redundantes Steuersystem mit solchen Peripherieeinheiten |
| US20060080678A1 (en) | 2004-09-07 | 2006-04-13 | Bailey Mark W | Task distribution method for protecting servers and tasks in a distributed system |
| WO2007084679A2 (en) * | 2006-01-17 | 2007-07-26 | Gulfstream Aerospace Corporation | Apparatus and method for backup control in a distributed flight control system |
| US7587663B2 (en) | 2006-05-22 | 2009-09-08 | Intel Corporation | Fault detection using redundant virtual machines |
| DE102007041651A1 (de) | 2007-09-03 | 2009-03-05 | Abb Research Ltd. | Mit Redundanz ausgestattetes verteiltes Computersystem mit Serverfunktionalitäten |
| DE102010013349B4 (de) * | 2010-03-30 | 2013-06-13 | Eads Deutschland Gmbh | Computersystem und Verfahren zum Vergleichen von Ausgangssignalen |
| DE112011105021B4 (de) * | 2011-03-10 | 2020-01-30 | Mitsubishi Electric Corporation | Redundanzeinrichtung |
-
2013
- 2013-04-04 EP EP13001712.2A patent/EP2787401B1/en active Active
-
2014
- 2014-04-02 CN CN201480024998.7A patent/CN105209982B/zh active Active
- 2014-04-02 WO PCT/EP2014/000877 patent/WO2014161660A1/en active Application Filing
-
2015
- 2015-10-02 US US14/873,215 patent/US10114356B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19814096A1 (de) * | 1998-03-30 | 1999-10-07 | Hartmann & Braun Gmbh & Co Kg | Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen |
| EP2157487A2 (de) * | 2008-08-18 | 2010-02-24 | EAE Ewert Ahrensburg Electronic GmbH | Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren |
| CN103186129A (zh) * | 2012-01-03 | 2013-07-03 | 通用电气公司 | 控制系统冗余的方法及系统 |
| CN103399546A (zh) * | 2013-07-26 | 2013-11-20 | 杭州和利时自动化有限公司 | 三冗余控制方法及系统 |
| CN103699003A (zh) * | 2013-11-27 | 2014-04-02 | 北京机械设备研究所 | 一种面向双余度电机的分布式冗余通用控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014161660A1 (en) | 2014-10-09 |
| EP2787401A1 (en) | 2014-10-08 |
| US20160026166A1 (en) | 2016-01-28 |
| EP2787401B1 (en) | 2016-11-09 |
| CN105209982A (zh) | 2015-12-30 |
| US10114356B2 (en) | 2018-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105209982B (zh) | 用于控制自动化系统中的物理单元的方法和设备 | |
| US7877627B1 (en) | Multiple redundant computer system combining fault diagnostics and majority voting with dissimilar redundancy technology | |
| Malik et al. | Adaptive fault tolerance in real time cloud computing | |
| JP4330547B2 (ja) | 情報処理システムの制御方法、情報処理システム、情報処理システムの制御プログラム、冗長構成制御装置 | |
| US9722859B2 (en) | Evaluation of field replaceable unit dependencies and connections | |
| CN107957692B (zh) | 控制器冗余方法、装置及系统 | |
| US9367375B2 (en) | Direct connect algorithm | |
| KR101560497B1 (ko) | 락스텝으로 이중화된 프로세서 코어들의 리셋 제어 방법 및 이를 이용하는 락스텝 시스템 | |
| JP2006209593A (ja) | 情報処理装置および情報処理方法 | |
| JP2022088346A (ja) | コア同期のためのデバッグトレースストリーム | |
| Oriol et al. | Fault-tolerant fault tolerance for component-based automation systems | |
| CN109491842B (zh) | 用于故障安全计算系统的模块扩展的信号配对 | |
| JP2011034219A (ja) | 故障検出方法及び監視装置 | |
| JP2018014102A (ja) | コンピュータ化されたシステムおよび冗長システム | |
| US20130177119A1 (en) | Control device and nuclear power plant control system | |
| CN110399258B (zh) | 一种服务器系统的稳定性测试方法、系统及装置 | |
| US9311212B2 (en) | Task based voting for fault-tolerant fail safe computer systems | |
| JP6710142B2 (ja) | 制御システム | |
| EP3296874B1 (en) | Apparatus and associated method | |
| JP5983486B2 (ja) | 電子装置 | |
| US11372981B2 (en) | Profile-based monitoring for dual redundant systems | |
| US11221378B2 (en) | Systems, methods, and program products for testing electrical loops included in control circuits of electrical power systems | |
| US8112690B2 (en) | Method, system, and computer program product for connection state recovery after fault | |
| US10621031B2 (en) | Daisy-chain of safety systems | |
| JP5757276B2 (ja) | 無停止演算処理装置、無停止演算処理システム、無停止演算処理方法、及び、無停止演算処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180523 Address after: Baden, Switzerland Patentee after: ABB TECHNOLOGY LTD. Address before: Zurich Patentee before: ABB Transmit OY |