CN109254525A - 用于运行两个冗余的系统的方法和设施 - Google Patents
用于运行两个冗余的系统的方法和设施 Download PDFInfo
- Publication number
- CN109254525A CN109254525A CN201810763229.9A CN201810763229A CN109254525A CN 109254525 A CN109254525 A CN 109254525A CN 201810763229 A CN201810763229 A CN 201810763229A CN 109254525 A CN109254525 A CN 109254525A
- Authority
- CN
- China
- Prior art keywords
- parameter
- operating parameter
- result
- systems
- deviation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0221—Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24195—Compare data in channels at timed intervals, for equality
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Hardware Redundancy (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Safety Devices In Control Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种方法和具有两个冗余的系统的设施,其中,两个系统(S1、S2)分别以周期式运行并行地工作,其中,系统定期地相互检查相应另一个系统的任务的至少一个结果,并且其中,在所确定的错误情况下为生产式运行选择或确认系统中的一个。在此,在多个或全部周期中为每个系统分别检测与运行参数有关的至少一个特征变量并且特征变量分别用于更新至少一个统计参数,其中,至少在确定两个系统的结果存在偏差的情况下为每个系统将当前的运行参数与所属的统计参数相关联,并且其中,相应的当前的运行参数与所属的统计参数偏差较小的系统识别为正常运转的系统并且用于生产式运行。通过该方法能够提高错误掩盖率并且因此提高整体系统的可用性。
Description
技术领域
本发明涉及一种用于运行具有两个冗余的系统的设施的方法,和一种具有两个冗余的系统的设施。
背景技术
在工业自动化技术又或者其它技术领域中,存在需要更高可用性(“HighAvailability”)的使用情况。与通常概括为上位概念“安全性”的防篡改相比,“高可用性”中首要的是掌控子系统或组件的意外故障。在此,尤其应当识别并且捕捉子系统、特别是控制系统(例如可编程逻辑控制器、控制计算器等)的故障,并且作为错误情况也应当识别和捕捉以下干扰,其不被立即确定为系统的整体故障而是例如能够确定为功能干扰。
为了该目的已知有高度可用的控制系统,其具有所谓的双重结构冗余。在该设施中,两个系统或控制系统在正常运行中同时工作并且定期地相互检查所计算的结果。如果结果不一致,那么就尝试通过应用附加的诊断措施关断有错的控制系统并且该控制系统在修复之后才再次加入到运行中。在大多数情况下,系统中的一个以生产式运行工作,这意味着,应用要控制的过程的结果、特别是对于执行元件的驱控,而“冗余地”并行运行的系统实施相同的计算,然而其结果要用于检查相应另一个系统的结果。如果处于生产式运行的系统发生故障或确定出错误,那么就能够几乎无干扰地切换到冗余系统上,即截止目前在“影子式运行”中进行的系统。如果在冗余系统(影子系统)中确定出干扰,那么之前的生产系统(“主机”)保持其角色不变并且有错的系统被关断并例如重启或修复。
这种冗余式并行运行中的挑战在于,识别哪个系统或控制系统有错。识别的质量对整体系统的最终能达到的两次故障之间的平均时间(MTBF-meantime between failure平均故障间隔)有很大的影响,并且因此直接影响归因于故障和/或干扰的成本。
图2相关于错误覆盖率(diagnostic coverage–DC诊断覆盖率)示出了冗余系统(MTBF系统)与单一系统(MTBF单独)的两次故障之间的平均时间(MTBF)的比值。在低错误覆盖率(DC<60%)的情况下,该比值大约为一,这意味着,冗余的整体系统在统计学上没有优于单一的非冗余系统。冗余的整体系统的MTBF随着错误覆盖率(DC)超线性地增长,由此其显然在改进整体系统时有着重要意义。在此,图2中的示图基于以下模型,其描述具有三个状态的马尔可夫链,MTTF(meantime to failure,平均无故障时间)=1000h,MTTR(meantime torepair,平均修复时间)=4h。
因此,如果仅确定出在生产系统与影子系统之间存在偏差而没有其他信息,由两个并行运行的系统构成的布局相对于单系统解决方案没有显著优点,因为在一半情况下会随机地继续运行损坏的系统。
为了改善前述情况而已知有以下复杂的可行性方案,即应用三个系统来替代两个系统,并且使用多数逻辑(“Triple Modular Redundancy,三模块冗余”)。然而,这样的多数解决方案由于可理解的原因是非常复杂的并且因此应当在许多情况下被避免。
此外,许多错误能够通过具有已知结果的并行测试程序来揭露。在此,除了实际的应用程序或自动化程序之外,在每个系统上还实现了其他任务,例如算数任务、计算或类似任务,其中,这些计算的结果是事先已知的。如果相应的计算结果与事先已知的额定结果有偏差,那么就能够推断出在相应的控制逻辑或相应的系统中的错误。然而,该方法不适于识别瞬时的“单次错误”、即特别是不涉及相应系统中的所有运行和计算的错误。
在一些情况中也能够应用专门的传感器、特别是温度传感器以用于揭露各个系统中的错误。
如果上述机制失败,那么在已知的错误情况中仅还保留任意选择(例如“随机”或“主机继续工作,关断备用机”)。然而,如上所述,在此必然有50%的概率关断功能仍正常的节点或功能仍正常的系统。
发明内容
因此,本发明的目的在于,在双重的冗余系统的情况下改进对有错系统的识别。
该目的的根据本发明的解决方案以如下为基础,测量相应系统的系统程序或应用程序的各个部分的运行参数、特别是所谓的“性能(Performance)”的测量。对于每个系统都在统计学上检测一个或多个运行参数。如果在两个系统(主机和备用机或者生产系统和影子系统)之间存在偏差,那么就能够检查到,在系统之一中最后检测的一个或多个运行参数是否相对于之前所执行的周期有更大偏差。当前的一个或多个运行参数相对于统计记录、例如相应考虑的参数的平均值有更大偏差的系统被识别为可能受到干扰的系统。
在此,为了实现该目的而提出一种用于运行具有两个冗余的系统、特别是两个工业自动化组件的设施的方法,其中,两个系统分别以周期性运行并行地工作,其中,系统中的相应一个以生产式运行工作并且另一个系统执行相同的任务以用于监控,其中,系统定期地检查相应另一个系统的至少一个结果,特别是分别将两个系统中的另一个系统的结果与各自的结果相比较,并且其中,在识别到结果彼此有偏差时识别出错误,其中,在错误情况下为生产式运行选择或确认系统中的一个。在此,在多个或全部的周期中,对于每个系统分别检测与运行参数有关的至少一个特征变量,并且特征变量分别用于更新至少一个统计参数,其中,至少在确定了两个系统的结果有偏差的情况下,为每个系统都将当前的运行参数与相同系统的所属的统计参数相关联,并且其中,将相应的当前的运行参数与所属的统计参数偏差较小的系统识别为正常运转的系统并且用于后续的生产式运行。通过该方法能够提高错误覆盖率(DC=Diagnostic Coverage)并且因此提高整体系统的可用性。
此外,该目的通过具有两个冗余的系统、特别是两个工业自动化组件的设施来实现,其中提出,两个系统以周期式运行并行地工作,其中,系统中的相应一个以生产式运行连接并且另一个系统设置用于执行相同的任务以用于监控,其中提出,系统一次或定期地相互检查相应另一个系统的结果、特别是通过分别将两个系统的相应另一个系统的结果与各自的结果比较,并且其中提出,在识别到结果彼此有偏差时识别出错误,其中提出,在错误情况下为后续的生产式运行选择或为生产式运行确认系统中的一个。在此,在多个或全部的周期中,对于每个系统都检测与运行参数有关的相应至少一个特征变量,并且特征变量分别用于更新至少一个统计参数,其中,至少在确定出两个系统的结果存在偏差的情况下,为每个系统都将当前的运行参数与相同系统的所属的统计参数相关联,并且其中,将相应的当前的运行参数与所属的统计参数偏差较小的系统识别为正常运转的系统并且用于生产式运行。利用这样的设施能够实现根据按照本发明的方法已经讨论的优点。
相互控制发生至少一次,但优选是定期地发生、特别是在面向周期的程序(例如自动化应用)的每个周期之后。在有利的设计方案中,使用者能够管理数据比较的类型和频率,特别是以时间控制方式、周期控制方式或事件控制方式。
有利地,作为运行参数能够使用程序运行时间、特别是用于执行一个完整周期的运行时间或执行以下程序部分(例如功能模块)的运行时间,该程序部分有利地在每个周期中被强制完成。这样的程序运行时间或者周期持续时间易于检测并且不对系统性能有过多影响,其中假设,在运行时间或实施持续时间明显偏离于统计平均时存在干扰。在此,实施持续时间中的、例如能够由于常规的复杂计算或由于通过有条件的分支而被改变的流程结构或类似的正常出现的正常偏差不会被曲解,因为恰好使两个系统上的统计偏差彼此比较,从而在正常的运行时间改变的情况下,其在两个系统中以相同的程度导致现在的当前程序运行时间相对于统计平均的偏差并且因此在功能正常时不会错误地报告错误。这也适用于其它的运行参数中的偏差。
有利地,作为运行参数能够使用所谓的“性能计数器(Performance-)”,其中这种性能计数器用于已经可提供的多种运行系统和架构(见:http://www.intel.com/software/pcm)。根据本发明,在此有利地利用以下认知,系统的被改变的性能能够以软件或硬件中的干扰为基础,从而能够比较在两个系统中的这些性能计数器中的临时偏差,并且在此,能够提供有关系统中的哪个受到干扰并且哪个正常工作的通知。根据本发明由此出发,即在性能特征因数上相对于统计平均具有较大改变的系统可能是受干扰的系统。
有利地,作为运行参数不仅观察单个运行参数、例如运行时间详情或性能特征因数,也检测多个特征变量,其中,这些多个特征变量或者能够概括为一个统计参数组、特别是参数向量或参数矩阵,或者概括为唯一的总统计参数。利用多个所处理的特征变量、性能特征因数、运行时间详情等,增加了可以识别异常的概率。在此,概括为各个统计参数或参数向量确保了在一个周期结束时能够一方面尽可能简单和快速地比较当前的运行参数与本地的统计参数以及另一方面尽可能简单和快速地比较生产系统的偏差与在影子系统中测定的偏差。
为了检测短时的瞬时干扰,有利的是,在许多程序块中检测运行参数并且因此进行统计比较。然而在此有利地,优选地考虑尽可能在每个周期中执行的程序部分,由此使由于偶尔执行很少使用的分支和程序部分而产生的偏差很少进入到结果中。
为了生成或检测运行参数,为应用程序的程序代码和有利地也为运行系统的程序代码或固件的程序代码配设指令(即程序指令),以用于生成或检测运行参数。替代地,该生成也能够通过运行系统实现。
附图说明
接下来根据实施例阐述根据本发明的方法;该实施例同时用于阐述根据本发明的设施。
在此示出:
图1示出经由网络与两个生产机构联接的两个冗余的系统的示意图,并且
图2相关于错误覆盖率示出由两个系统组成的设施与单个系统相比的可用性的相关性。
具体实施方式
图1中示出了两个系统S1、S2(也被称为“节点”),它们以冗余式运行并行地工作。系统S1、S2经由网络NW(例如自动化网络)与生产单元P1、P2连接以及还为了数据交换DA而彼此连接,其中,生产单元P1、P2由系统S1、S2所控制。假设,系统S1、S2之一以生产式运行(主机)工作,即实际上控制了生产单元P1、P2,而系统S1、S2中的另一个以影子式运行(从机)在应用相同的输入数据(例如过程参数、测量值)的情况下执行相同的软件(运行系统、应用程序、自动化程序),然而该结果仅用于对相应另一个系统S1、S2进行监控。如果系统S1、S2之一发生故障或者被识别为有错的,那么相应另一个系统S1、S2就接管生产式运行或者使其继续,而有错的系统S1、S2则被修复,例如通过重启来修复。
图2中相关于错误覆盖率(diagnostic coverage-DC)示出了冗余的系统(MTBF系统)与单一系统(MTBF单独)的两次故障之间的平均时间(MTBF)的比值。如前文所述,对于提高整体系统的运行安全或可用性来说,错误覆盖率(DC)进而对彼此偏离的系统S1、S2中的哪个有错进行诊断的可靠性是重要的。
根据本发明的方法以对运行系统或固件(系统程序)和/或应用程序的各个部分的性能的测量为基础。因为应用程序通常是最易出错的软件组件并且此外最易于配设诊断命令,所以在此所考虑的研究的焦点主要在于应用程序。在此检测运行参数。对此能够测量运行时间,和/或测定相应的(各个)系统S1、S2的所谓的性能计数器,这是现代CPU通常提供的。
实施例的前提是将可编程逻辑控制器作为所考虑的系统S1、S2,其中,系统以周期的方式来执行自动化任务(例如生产控制或过程自动化)。每个周期为运行参数测定这些测量值中的大约10-1000个,并且在正常情况下,在周期结束时,在两个节点中的每个上计算由此推导出的参量,即所谓的统计参数。在简单的情况下是平均值和运行参数的每个测量值的方差。
在错误情况下,即两个系统S1、S2或者节点的相互比较失败或表现出不一致时,两个系统S1、S2中的每个或者节点中的每个都使用事先计算的所推导的参量,即统计参数,以便测定运行参数的当前测量值是否允许推断出异常、即错误。在此,运行参数的当前测量值与其被持续更新的统计参数的偏差是所谓的“异常值”。如果系统S1、S2或节点之一计算出比另一个高出许多的异常值,那么要关断该系统或将其从生产式运行中去除,并且允许另一个系统以生产式运行继续运转或者从影子式运行过渡到生产式运行。为了该比较,能够在系统S1、S2(如果系统S1、S2相互监控)之间或在每个系统S1、S2与评估实体(图中未示出)之间设置数据交换DA。
将异常值比较用作为选择标准能够基于以下理由,即许多错误、特别是硬件错误会对一个或多个程序部分的性能有影响。为此,在这里提出几个实例:
存储器访问单元(MMU)中的错误导致访问错误地址。它们有很大的概率不在缓存中。由此,缓存错误率上升以及因而程序运行时间上升。
由于运算器中的错误使得运算操作提前结束,这导致运行时间表现发生改变。
由于控制单元中的错误或循环计数器的失真而无法实施正确的循环次数,这导致运行时间表现发生改变。
由于过程值的失真而实施“很少执行的”程序部分,这导致了非正常的运行时间表现。
程序的失真也通常导致运行时间的改变。
结合两个系统S1、S2/节点中的至少一个必然有错的确定性,在运行时间表现中的高异常是存在错误表现的强力证据。在此,比较两个系统S1、S2的当前异常值,以便在错误情况下确定以下系统,其有更高的概率是有错或受干扰的系统。因此,运行参数的正常波动不影响判断,因为其在无干扰运行中在两个系统S1、S2中以相同的程度出现。
通过所提出的措施能够使得错误节点的关断概率从当前的50%明显下降。注意,降到仅30%已经导致MTBF的明显上升(以及操作者的由故障决定的成本的下降)(参见图2)。
具体的实施例由以下出发,即周期性实施的程序在最上层能够分解为数量适当的(大约10-100)依次实施的块。这意味着,循环和情况区分仅在这些块中进行。这些块能够包括系统功能(例如调用驱动器)或由使用者编程的功能(例如读取和处理传感器数据,数据的相互比较和与恒定的额定值相比较,比较结果的布尔组合,控制值的计算等)。
每个程序块都通过生成链(例如工程系统、特别是编译器)如下配置,即对于该块来说在每个周期中生成一个或多个测量值(运行时间、高速缓存命中数…)。在一个周期中,总共为所有块生成N个测量值(x_1至x_N)。
此外,为每个测量值x_i提供两个变量M_i和S_i,它们存储平均值和该值的方差。这些值(对于1…N之间的所有i)在第一周期之后如下初始化:
从第二周期起如下更新(“update”函数)这些值,其中,变量k是全局周期计数器:
该更新是用于平均值和方差的递推方程,参见D.Knuth:计算机编程艺术,第三版,第4.2.2章,第232页。注意,S_i在此永远不能为负。
如果出现错误(即主机和备用机的输出或生产系统和影子系统的输出不一致),那么这两个节点中的每个都能够计算最后测量的值的“异常值”。随后,替代函数“update”,调用函数“calcAnomalyValue”(再次对于1…N之间的所有i):
当前值x_i与平均值M_i的偏差越大,其异常越大,其中,具有高方差S_i的值加权较小。
通过添加值aValue_i,两个节点中的每个能够自己计算总异常值。在有疑问的情况下关断具有更高值的节点,对此能够通过数据交换DA将各自的异常值传输到相邻节点,并且反之亦然。在有利的变体中,节点自己(只要其仍是可运行的)决定其是否必须被关断/修复或者能够继续运行。在另一个变体中,该决定根据所确定的异常值由中央实体来承担,例如中央运行控制系统、“看门狗(Watchdog)”装置等等。
在该实施例中能够进一步细化对运行参数的统计评估,例如通过考虑各个x_i的分布函数或考虑属于相同程序部段的x_i之间的相关性。此外,能够考虑不同程序部段的x_i之间的相关性。还能够跟随一个x_i的历史进程,其中也能够考虑当前过程输入值和历史过程输入值的相关性。
Claims (12)
1.一种用于运行具有两个冗余的系统(S1、S2)、特别是两个工业自动化组件的设施的方法,其中,两个所述系统(S1、S2)分别以周期式运行并行地工作,其中,所述系统(S1、S2)中的相应一个以生产式运行工作,并且所述系统(S1、S2)中的另一个执行相同的任务以用于监控,其中,所述系统(S1、S2)定期地相互检查相应另一个系统的任务的至少一个结果、特别是分别将两个所述系统(S1、S2)中的另一个系统的任务的结果与各自的结果相比较,并且其中,在识别到错误时或者特别是在识别到结果彼此有偏差时确定错误情况,其中,在所确定的错误情况下为生产式运行选择或确认所述系统(S1、S2)中的一个,其特征在于,
在多个或全部周期中,对于每个所述系统(S1、S2)分别检测与运行参数有关的至少一个特征变量,并且所述特征变量分别用于更新至少一个统计参数,
至少在确定两个所述系统(S1、S2)的结果存在偏差的情况下,对于每个所述系统(S1、S2)将当前的运行参数与所属的统计参数相关联,并且
将相应的当前的运行参数与所属的统计参数的偏差较小的系统(S1、S2)识别为正常运转的系统(S1、S2)并且用于生产式运行。
2.根据权利要求1所述的方法,其特征在于,将程序运行时间、特别是用于执行一个完整周期的运行时间或在一个周期中相应执行的程序部分的运行时间用作为所述运行参数。
3.根据前述权利要求中任一项所述的方法,其特征在于,将用于表明相应系统(S1、S2)的性能特征因数的至少一个性能计数器用作为所述运行参数。
4.根据前述权利要求中任一项所述的方法,其特征在于,检测多个特征变量作为所述运行参数,并且多个特征变量概括为一个统计参数组或唯一的总统计参数。
5.根据前述权利要求中任一项所述的方法,其特征在于,在所述系统(S1、S2)的、于每个周期中都执行的应用程序中插入用于检测一个或多个所述运行参数的指令。
6.根据权利要求5所述的方法,其特征在于,将所述指令插入多个在每个周期中独立于分支或条件被执行的程序块中。
7.一种具有两个冗余的系统(S1、S2)、特别是两个工业自动化组件的设施,其中提出,两个所述系统(S1、S2)以周期式运行并行地工作,其中,所述系统(S1、S2)中的相应一个以生产式运行连接,并且另一个系统(S1、S2)设置用于执行相同的任务以用于监控,其中提出,所述系统(S1、S2)定期地相互检查相应另一个系统(S1、S2)的结果、特别是通过分别将两个所述系统(S1、S2)中的相应另一个系统的任务结果与各自的任务结果比较,并且其中提出,在识别到错误时或者特别是在识别到结果彼此有偏差时确定错误情况,其中提出,在错误情况下为生产式运行选择或为生产式运行确认所述系统(S1、S2)中的一个,其特征在于,
还提出,在多个或全部的周期中,对于每个所述系统(S1、S2)都检测与运行参数有关的相应至少一个特征变量,并且所述特征变量分别用于更新至少一个统计参数,
至少在确定出两个所述系统(S1、S2)的结果存在偏差的情况下,对于每个所述系统(S1、S2)都将当前的运行参数与所属的统计参数相关联,并且
将相应的当前的运行参数与所属的统计参数偏差较小的系统(S1、S2)识别为正常运转的系统(S1、S2)并且用于生产式运行。
8.根据权利要求7所述的设施,其特征在于,提出,将程序运行时间、特别是用于执行一个完整周期的运行时间或在一个周期中相应执行的程序部分的运行时间用作为所述运行参数。
9.根据权利要求7或8所述的设施,其特征在于,提出,将用于表明相应系统(S1、S2)的性能特征因数的至少一个性能计数器用作为所述运行参数。
10.根据权利要求7至9中任一项所述的设施,其特征在于,提出,检测多个特征变量作为所述运行参数,并且多个特征变量概括为一个统计参数组或唯一的总统计参数。
11.根据权利要求7至10中任一项所述的设施,其特征在于,提出,在所述系统(S1、S2)的、于每个周期中都执行的应用程序中插入用于检测一个或多个所述运行参数的指令。
12.根据权利要求11所述的设施,其特征在于,提出,将所述指令插入多个在每个周期中独立于分支或条件被执行的程序块中。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17181169.8 | 2017-07-13 | ||
| EP17181169.8A EP3428748B1 (de) | 2017-07-13 | 2017-07-13 | Verfahren und anordnung zum betrieb von zwei redundanten systemen |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109254525A true CN109254525A (zh) | 2019-01-22 |
| CN109254525B CN109254525B (zh) | 2021-02-12 |
Family
ID=59362944
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810763229.9A Active CN109254525B (zh) | 2017-07-13 | 2018-07-12 | 用于运行两个冗余的系统的方法和设施 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10564636B2 (zh) |
| EP (1) | EP3428748B1 (zh) |
| CN (1) | CN109254525B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109884879A (zh) * | 2019-03-28 | 2019-06-14 | 潍柴重机股份有限公司 | 一种主从ecu对多传感器协同管理的方法 |
| CN114454956A (zh) * | 2022-03-15 | 2022-05-10 | 一汽解放汽车有限公司 | 一种车辆的转向动力系统的控制方法及车辆 |
| CN114643882A (zh) * | 2022-05-23 | 2022-06-21 | 合肥有感科技有限责任公司 | 无线充电匹配方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3940467A1 (de) * | 2020-07-13 | 2022-01-19 | Siemens Aktiengesellschaft | Steuerungssystem zur steuerung einer vorrichtung oder anlage |
| DE102020127496A1 (de) * | 2020-10-19 | 2022-04-21 | Vega Grieshaber Kg | Messgerät, Anordnung und Verfahren zur zyklischen Messwertübertragung |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1228173A (zh) * | 1996-06-24 | 1999-09-08 | 西门子公司 | 同步方法 |
| CN101546187A (zh) * | 2008-03-25 | 2009-09-30 | 上海宝信软件股份有限公司 | 冗余plc系统 |
| CN102103532A (zh) * | 2011-01-26 | 2011-06-22 | 中国铁道科学研究院通信信号研究所 | 列控车载设备的安全冗余计算机系统 |
| CN103197978A (zh) * | 2013-04-03 | 2013-07-10 | 浙江中控技术股份有限公司 | 控制器、多重冗余控制系统及其同步控制方法 |
| CN104238435A (zh) * | 2014-05-27 | 2014-12-24 | 北京航天自动控制研究所 | 一种三冗余控制计算机及容错控制系统 |
| CN104316099A (zh) * | 2014-10-27 | 2015-01-28 | 苏州热工研究院有限公司 | 一种基于冗余数据的模拟量传感器监测方法及系统 |
| CN104412247A (zh) * | 2012-07-24 | 2015-03-11 | 通用电气公司 | 用于改进控制系统可靠性的系统和方法 |
| EP3048497A1 (de) * | 2015-01-21 | 2016-07-27 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines redundanten Automatisierungssystems und redundantes Automatisierungssystem |
| CN105929765A (zh) * | 2016-07-01 | 2016-09-07 | 沈阳远大电力电子科技有限公司 | 一种冗余控制系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6279119B1 (en) * | 1997-11-14 | 2001-08-21 | Marathon Technologies Corporation | Fault resilient/fault tolerant computing |
| US6820213B1 (en) * | 2000-04-13 | 2004-11-16 | Stratus Technologies Bermuda, Ltd. | Fault-tolerant computer system with voter delay buffer |
| US6898554B2 (en) * | 2000-06-12 | 2005-05-24 | Scientific Monitoring, Inc. | Fault detection in a physical system |
| KR100408291B1 (ko) * | 2001-08-08 | 2003-12-01 | 삼성전자주식회사 | 고장 및 잡음 허용 시스템과 그 방법 |
| CN1879068A (zh) * | 2003-11-17 | 2006-12-13 | 西门子公司 | 控制工艺设备的冗余自动化系统及运行该自动化系统的方法 |
| EP1672505A3 (en) * | 2004-12-20 | 2012-07-04 | BWI Company Limited S.A. | Fail-silent node architecture |
| US7467327B2 (en) * | 2005-01-25 | 2008-12-16 | Hewlett-Packard Development Company, L.P. | Method and system of aligning execution point of duplicate copies of a user program by exchanging information about instructions executed |
| US20060212677A1 (en) * | 2005-03-15 | 2006-09-21 | Intel Corporation | Multicore processor having active and inactive execution cores |
| US7802075B2 (en) * | 2005-07-05 | 2010-09-21 | Viasat, Inc. | Synchronized high-assurance circuits |
| DE602005008602D1 (de) * | 2005-09-16 | 2008-09-11 | Siemens Transportation Systems | Redundanzkontrollverfahren und Vorrichtung für sichere Rechnereinheiten |
| WO2007099181A1 (es) * | 2006-02-28 | 2007-09-07 | Intel Corporation | Mejora de la fiabilidad de un procesador de muchos nucleos |
| DE102010039607B3 (de) * | 2010-08-20 | 2011-11-10 | Siemens Aktiengesellschaft | Verfahren zum redundanten Steuern von Prozessen eines Automatisierungssystems |
| EP2657797B1 (de) * | 2012-04-27 | 2017-01-18 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines redundanten Automatisierungssystems |
| DE202012013193U1 (de) * | 2012-06-26 | 2015-05-06 | INTER CONTROL Hermann Köhler Elektrik GmbH & Co KG | Vorrichtung für eine sicherheitskritische Anwendung |
| JP5700009B2 (ja) * | 2012-09-18 | 2015-04-15 | 横河電機株式会社 | フォールトトレラントシステム |
| FR3025617B1 (fr) * | 2014-09-05 | 2016-12-16 | Sagem Defense Securite | Architecture bi-voies |
| WO2019021064A1 (en) * | 2017-07-25 | 2019-01-31 | Aurora Labs Ltd | CONSTRUCTION OF SOFTWARE DELTA UPDATES FOR VEHICLE ECU SOFTWARE AND TOOL-BASED ANOMALY DETECTION |
-
2017
- 2017-07-13 EP EP17181169.8A patent/EP3428748B1/de active Active
-
2018
- 2018-07-11 US US16/032,433 patent/US10564636B2/en active Active
- 2018-07-12 CN CN201810763229.9A patent/CN109254525B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1228173A (zh) * | 1996-06-24 | 1999-09-08 | 西门子公司 | 同步方法 |
| CN101546187A (zh) * | 2008-03-25 | 2009-09-30 | 上海宝信软件股份有限公司 | 冗余plc系统 |
| CN102103532A (zh) * | 2011-01-26 | 2011-06-22 | 中国铁道科学研究院通信信号研究所 | 列控车载设备的安全冗余计算机系统 |
| CN104412247A (zh) * | 2012-07-24 | 2015-03-11 | 通用电气公司 | 用于改进控制系统可靠性的系统和方法 |
| CN103197978A (zh) * | 2013-04-03 | 2013-07-10 | 浙江中控技术股份有限公司 | 控制器、多重冗余控制系统及其同步控制方法 |
| CN104238435A (zh) * | 2014-05-27 | 2014-12-24 | 北京航天自动控制研究所 | 一种三冗余控制计算机及容错控制系统 |
| CN104316099A (zh) * | 2014-10-27 | 2015-01-28 | 苏州热工研究院有限公司 | 一种基于冗余数据的模拟量传感器监测方法及系统 |
| EP3048497A1 (de) * | 2015-01-21 | 2016-07-27 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines redundanten Automatisierungssystems und redundantes Automatisierungssystem |
| CN105929765A (zh) * | 2016-07-01 | 2016-09-07 | 沈阳远大电力电子科技有限公司 | 一种冗余控制系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109884879A (zh) * | 2019-03-28 | 2019-06-14 | 潍柴重机股份有限公司 | 一种主从ecu对多传感器协同管理的方法 |
| CN109884879B (zh) * | 2019-03-28 | 2021-11-16 | 潍柴重机股份有限公司 | 一种主从ecu对多传感器协同管理的方法 |
| CN114454956A (zh) * | 2022-03-15 | 2022-05-10 | 一汽解放汽车有限公司 | 一种车辆的转向动力系统的控制方法及车辆 |
| CN114643882A (zh) * | 2022-05-23 | 2022-06-21 | 合肥有感科技有限责任公司 | 无线充电匹配方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109254525B (zh) | 2021-02-12 |
| US10564636B2 (en) | 2020-02-18 |
| US20190018401A1 (en) | 2019-01-17 |
| EP3428748A1 (de) | 2019-01-16 |
| EP3428748B1 (de) | 2020-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109254525A (zh) | 用于运行两个冗余的系统的方法和设施 | |
| JP2003280707A (ja) | 工作機械の異常診断装置、異常診断方法及び異常診断プログラム | |
| US11163623B2 (en) | Serializing machine check exceptions for predictive failure analysis | |
| US20060212753A1 (en) | Control method for information processing apparatus, information processing apparatus, control program for information processing system and redundant comprisal control apparatus | |
| JP6647824B2 (ja) | 異常診断システム及び異常診断方法 | |
| US10861610B2 (en) | Abnormality diagnosis system | |
| CN117193164B (zh) | 一种数控机床的故障监测方法及系统 | |
| EP2787401B1 (en) | Method and apparatus for controlling a physical unit in an automation system | |
| WO2009143031A2 (en) | Software application to analyze event log and chart tool fail rate as function of chamber and recipe | |
| US20180129195A1 (en) | Kpi calculation rule builder for advance plant monitoring and diagnostics | |
| US20120150334A1 (en) | Integrated Fault Detection And Analysis Tool | |
| CN111061581B (zh) | 一种故障检测方法、装置及设备 | |
| CN110825561B (zh) | 控制系统以及控制装置 | |
| JP5464128B2 (ja) | Ram故障診断装置、そのプログラム | |
| JP5056396B2 (ja) | ソフトウェア動作監視装置、プログラム | |
| JP5505966B2 (ja) | 障害管理システム及び方法 | |
| CN1329839C (zh) | 一种计算机cpu抗干扰的设计方法 | |
| US20120185858A1 (en) | Processor operation monitoring system and monitoring method thereof | |
| Vitucci et al. | A reliability-oriented faults taxonomy and a recovery-oriented methodological approach for systems resilience | |
| CN110134000B (zh) | 控制系统、诊断装置、诊断方法、以及存储有诊断程序的计算机可读介质 | |
| JP4232589B2 (ja) | 二重化コントローラ、その等値化モード決定方法 | |
| CN114624989A (zh) | 预防性控制器切换 | |
| WO2020109252A1 (en) | Test system and method for data analytics | |
| JPH11345003A (ja) | プラント制御システム | |
| JPH04245309A (ja) | 制御用ディジタルコントローラ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |