DD277546A1 - Systemueberwachung bei verteilten steuerungssystemen - Google Patents

Systemueberwachung bei verteilten steuerungssystemen Download PDF

Info

Publication number
DD277546A1
DD277546A1 DD32236988A DD32236988A DD277546A1 DD 277546 A1 DD277546 A1 DD 277546A1 DD 32236988 A DD32236988 A DD 32236988A DD 32236988 A DD32236988 A DD 32236988A DD 277546 A1 DD277546 A1 DD 277546A1
Authority
DD
German Democratic Republic
Prior art keywords
distributed control
function
module
monitoring
modules
Prior art date
Application number
DD32236988A
Other languages
English (en)
Inventor
Eckhard Schoebel
Juergen Lorenz
Rainer Strauss
Udo Luecke
Roland Schoene
Original Assignee
Hochvakuum Dresden Veb
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hochvakuum Dresden Veb filed Critical Hochvakuum Dresden Veb
Priority to DD32236988A priority Critical patent/DD277546A1/de
Publication of DD277546A1 publication Critical patent/DD277546A1/de

Links

Landscapes

  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft eine Systemueberwachung bei verteilten Steuerungssystemen, die mit einer Vielzahl von Rechner-Modulen in einem Datenverarbeitungssystem mittels Kommunikationselementen zusammenwirken. Der Erfindung liegt die Aufgabe zugrunde, eine Systemueberwachung bei verteilten Steuerungssystemen mit minimalem zusaetzlichen Hardwareaufwand zu schaffen, die mittels zyklischer Diagnose die Funktionsfaehigkeit der einzelnen Funktionsmodule ueberprueft. Erfindungsgemaess wird die Aufgabe dadurch geloest, dass alle fuer die Funktion des verteilten Steuerungssystems wesentlichen Funktionsmodule ein eigenes Diagnoseelement aufweisen, welches nur die von dem jeweiligen Funktionsmodul benoetigten Ressourcen der eigenen Rechner-Komponente zyklisch ueberprueft und das Ergebnis ueber den im System vorhandenen einheitlichen Uebertragungsmechanismus an ein globales Ueberwachungsmodul sendet. Der Ueberwachungsmodul selbst sendet, solange das gesamte verteilte Steuerungssystem arbeitsfaehig ist, zyklisch Informationen an eine Pruefschaltung. Bei Ausbleiben dieser zyklischen Pruefinformation wird das System gefahrlos abgeschaltet bzw. in eine Ruhestellung gebracht. Figur

Description

Hierzu 1 Seite Zeichnung
Anwendungsgebiet der Erfindung
Die Erfindung betrifft eine Systemüberwachung bei verteilten Steuerungssystemen. Derartige Systemüberwachungen werden insbesondere für relativ komplexe verteilte Steuerungssysteme erforderlich., die mit einer Vielzahl von Rechner-Modulen in einem Datenverarbeitungssystem mittels Kommunikationselementen zusammenwirken. Innerhalb derartiger Systeme steigt die Gefahr, daß einzelne Module ausfallen bzw. falsche Signale abgeben. Deshalb ist es erforderlich, die Funktionsfähigkeit mindestens der wichtigsten Funktionselemente permanent zu überprüfen und Ausfälle dem Bediener anzuzeigen. Die Erfindung ist in allen Gebieten der Technik anwendbar, in denen zur Prozeßsteuerung, zur Automatisierung, zur Rationalisierung u.a. Zielen mehrere Rechner im Nahbereich kommunizierend miteinander verbunden sind.
Charakteristik des bekannten Standes der Technik
Verteilte Steuerungssysteme werden vielfältig in der Technik eingesetzt. Fü: diese Steuerungssysteme ist neben der stabilen Arbeitsweise ein rechtzeitiges Erkennen und ggf. Behandeln von Fehlern notwendig. Die für die Fehlererkennung und -behandlung eines Steuerungssystems erforderlichen Maßnahmen beziehen sich grundsätzlich auf alle Rechnerkomponenten der Einzelrechner und den diese Komponenten verbindenden Übertragungsmechanismus. Die Ergebnisse aus der Fehlererkennung werden einer Prüfschaltung zugeführt, welche im Fehlerfall die erforderlichen Maßnahmen, z. B. Abschalte" des Steuerungssystems, durchführt.
Die Aufwendungen für die Diagnose der Rechnerkomponenten sind davon abhängig, welche Hardwarekomponenten diagnostiziert werden. Eine solche Diagnose sollte in jedem Fall neben der Diagnose der Hardware auch die Diagnose der sich in Abarbeitung befindlichen Software umfassen.
In der DE-OS 3239434 wird eine derartige Diagnose beschrieben. Hier werden in einem redundanten System die Ausgangswerte des aktiven Einzelprozessors mit denen eines parallel dazu arbeitenden identischen 2. Rechners verglichen und ausgewertet. Der Nachteil dieser Lösung besteht darin, daß der Anteil der Rechnerkomponenten sich praktisch verdoppelt und zu dem ein zusätzlicher Hardwareaufwarid zur Behandlung der Fehlermaßnahmen bei jeder Rechnerkomponente anfällt. Ein weiterer Aufwand ergibt sich für die Diagnose des Übertragungsmechanismus.
In der DE-OS 3612730 wird ein Verfahren zur Behandlung von Fehlern in RAM-Speichern beschrieben. Dabei wird davon ausgegangen, daß nut bestimmte benutzte Teilbereiche des RAM-Speichers diagnostiziert werden. Bei Fehlern werden diese RAM-Teilbereiche für die weitere Verwendung gesperrt und durch andere redundante RAM-Bereiche ersetzt. Nachteilig an cliosor Lösung ist dio Beschränkung des Verfahrens auf den RAM-Speicher.
Für die Diagnose dos gesamten verteilten Steucirungssystems ist auch die Erkennung von Fehlern des Übortragungsmechanismus notwendig, da sonst die Funktionsfähigkeit des Steuerungssystems nicht gewährleistet ist. In dor DE-OS 3529056 wird ein Vorfahren zur Diagnose dos Datenaustausches zwischen mehreren Einzelprozessoren boschriobon. Oaboi worden zeitzyklisch Datonbiöcke bekannter Länge mit zusätzlichen Prüfinformationen versehen und zwischen den Prozossoron ausgetauscht. Die jeweils erhaltenen Informationen werden von den Prozessoren nach den oben genannten Kritorion ausgewertet. Solange dio Informationen als richtig erkannt werden, gilt der Datenaustausch als funktionsfähig. Der Nachteil diesor Verfahrensweise liegt in dem zusätzlichen Aufwand. Für jeden Prozessor sind zusätzlich die Diagnoseroutinen und ein separater Mechanismus zur Übertragung der Fehlerinformation erforderlich. Dieser Aufwand steigt mit der Anzahl dor oingosotzton Prozessoren erheblich an.
Ziel der Erfindung
Die Erfindung verfolgt das Ziel, die Funktionsfähigkeit und Einsatzbereitschaft von verteilten Steuerungssystemen /u erhöhen und Produkftonsstörungen bzw. Fehlchargen zu vermeiden.
Darlegung des Wesens der Erfindung
Der Erfindung liegt die Aufgabe zugrunde, eine Systemüberwachung bei verteilten Steuerungssystemen mit minimalem zusätzlichem Hardwareaufwand zu schaffen, die mittels zyklischer Diagnose die Funktionsfähigkeit der einzelnen Funktionsmodule überprüft.
Erfindungsgemäß wird die Aufgabe dadurch gelöst, daß alle für die Funktion des verteilten Steuerungssystems wesentlichen Funktionsmodule ein eigenes Diagnoseelement aufweisen, welches nur die von dem jeweiligen Funktionsmodul benötigten Ressourcen der eigenen Rechner-Komponente zyklisch überprüft und das Ergebnis über den im System vorhandenen einheitlichen Übertragungsmechanismus an ein globales Überwachungsmodul sendot. Die Aktivierung der zyklischen Diagnose der einzelnen für den Funktionsmodul erforderlichen Ressourcen erfolgt unmittelbar durch das Diagnoseelement. Der globale Überwachungsmodul kann somit alle Funktionsmodule des verteilten Steuerungssystems überwachen und gegebenenfalls spezifische Fehlerreaktionen auslösen. Gleichzeitig wird durch das zyklische Eintreffen von Diagnoseinformationen der Funktionsmodule der Übertragungsmechanismus vom zentralen Überwachungsmodul ähnlich einer Watch-Dog-Schaltung überwacht.
Der Überwachungsmodul selbst sendet, solange das gesamte verteilte Steuerungssystem arbeitsfähig ist, zyklisch Informationen an eine Prüfschaltung. Bei Ausbleiben dieser zyklischen Prüf information wird das System gefahrlos abgeschaltet bzw. in eine Ruhestellung gebracht.
Dio Diagnoseelemente für die einzelnen Funktionsmodule können einheitlich gestaltet werden und sind damit universell oinsetzbar. Die Beschränkung der Diagnose auf die erforderlichen Ressourcen vermeidet den Nachteil, daß ein System als nicht verfügbar betrachtet wird, obwohl alle für das Gesamtsystem, d. h. für alle Funktionsmodule, bestimmten Ressourcen fehlerfrei sind und damit problemlos abgearbeitet werden könnten.
Ein besonderer Vorteil dieser Erfindung besteht darin, daß jeder Funktionsmodul sich selbst überwacht und bei Auftreten von Fehlem unmittelbar eine lokale Fehlerbehandlung aktivieren kann. Nur bei irreparablen Fehlern wird die Fehlermeldung an den Überwachungsmodul gemeldet. Die spezifische Fehlerreaktionen des Überwachungsmoduls können je nach Art und Ort des Fehlers sehr unterschiedlich vorprogrammiert sein. Gegebenenfalls kann auf redundante Hardware (z. B. Speicher, redundante Funktionsmodule) oder auf vollständig redundante Rechnerkomponenten umgeschaltet werden. Anderenfalls kann bei einer bestimmten Zeitlago der Fehlererkennung der Prozeß ungefährdet weiter abgearbeitet werden. Nur bei Fehlermeldungen, die den ordnungsgemäßen Prozeßablauf gefährden, führt das Signal über die Prüfschaltung unmittelbar zum Abschalten des Systems bzw. zur Ruhestellung.
Welche Funktionsmodule des verteilten Steuerungssystems in die Überwachung einbezogen werden, wird von der Aufgabenstellung entschieden. In vielen Fällen werden einheitlich alle Funktionsmodule in die erfindungsgemäße Überwachung einbezogen. Die weitergehenden Vorteile der Erfindung bestehen darin, daß bei einem minimalen Soft- und Hardwareaufwand das gesamte verteilte Steuerungssystem einschließlich des Übertragungsmechanismus überwacht wird und durch lokale und globale Fehlerreaktionen der Verfahrensprozeß weitgehend ungestört abgeschlossen wird. Der Aufwand an redundanten Funktionsmodulen kann, basierend auf Erfahrungswerten, auf ein Minimum reduziert werden.
Ausführungsbeispiul
Nachstehend soll die Erfindung an einem Ausfuhrungsbeispiel näher erläutert werden.
Eine Vakuumanlage weist ein Standard-Steuerungssystem mit verteilten Rechnern und einer Vielzahl von Funktionsmodulen auf. Die zugehörige Zeichnung zeigt das stark vereinfachte verteilte Steuerungssystem. Das Standard-Steuerungssystem weist drei Rechnerkomponenten auf.
1 ist der Bedienrechner, 2 der Steuerrechner und 3 der Meßgeräterechner für die Meßdatenverarbeitung. Weiterhin ist eine Prüfschaltung 4 vorhanden, die eine geregelte Abschaltung des Steuerungssystems im Fehlerfall vornimmt. Jede der Rechnerkomponenten verfügt über einen Echtzeitbetriebssystemkern 40 und einen Übertragungsmechanismus 10, der den Datenaustausch zwischen den Rechnerkomponenten nach einer einheitlichen Form realisiert.
Jeder Rechnerkompononte ist mindestens ein Funktionsmodul zugeordnet, die wie folgt auf die Basissysteme verteilt sind. Dem Bedienrechner 1 ist ein Bildmodul 11, eine Bedienmodul 12 zugeordnet. Dem Steuerrechner 2 ist ein Prozeß-Steuermodul 21 und ein zweiter Prozeß-Steuermodul 22 und der zentrale Überwachungsmodul 23 zugeordnet. Die Prozeß-Steuermodule 21 und 22 sind funktional völlig identisch. Von cbn vorhandenen zwei Prozeß-Steuermodulen 21 und 22 genügt einer für die Aufrechterhaltung der Funktion, während der zweite als Reserve redundant angeordnet ist. Dem Meßgeräterechner 3 ist ein Meßmoduls 31 zugeordnet.
Nachfolgend soll das System in Funktion beschrieben werden. Dabei wird davon ausgegangen, daß außer dem Prozeß-Steuermodul 22 nlle anderen Funktionsmodulo aktiv sind. Damit sind auch die jeweiligen Diagnoseelemente 20 dieser Funktionsmodulo aktiviert, und es erfolgt eine zeitzyklische Diagnose der jeweiligen Ressourcen. Nach Beendigung der jowoilifjon Diagnosen werden dio entsprechenden Diagnoseinformationen an den Überwachungsmodul 23 gesendet. Der globalo Übortragungsmodul 23 wertut dioso Information aus. Er sendet ebenfalls zyklisch ein Steuersignal zur Prüfschaltung 4, dio ihrorsoits daraufhin definierte Anfangszustände für den erneuten Ablauf eines Zyklus herstellt. Wird im Diagnoselement 20 des Moßmodul 31 ein Fehler ormittelt, dann prüft dieses Diagnoseelement 20, ob der aktuelle Zeitpunkt noch in der relevanten Moßwortorfassung liegt oder nicht. Wenn die Moßwerterfassung noch relevant ist, wird an den globalen Überwachungsmodul 23 ein Signal „Ausfall" gegebon, welches zur Signalauslösung an die Prüfschaltung 4 führt, mit der Aussöge „wegon Fehler abschalten". Wenn die Meßwerterfassung zeitlich nicht mehr relevant ist, dann wird an den
Überwachungsmodul 23 lediglich ein Signal „Fehler vorhanden - Steuerung fortsetzen" gegeben, das in der Prüfschaltung 4 lediglich zur Anzeige für den Bediener kommt. Dieser Mangel muß dann vom Bediener vor der nächsten Verfahrenseinleitung abgestellt werden.
In einem anderen Fehlerfali stellt das Diagnoseelement 20 des Prozeß-Steuermoduls 21 einen Fehler fest. In diesem Fall findet der Prozeß-Steuermodul 21 vor Auslösung einer Fehlermeldung an den globalen Überwachungsmodul 23 loka! die Möglichkeit, den redundanten Prozeß-Steuermodul 22 zu aktivieren, so daß dieser die weitere Steuerung übernimmt. Als Fehlermeldung wird lediglich eine Meldung „Prozeß-Steuermodul 21 ausgefallen - Prozeß-Steuermodul 22 hat weitere Steuerung übernommen" an die Prüfschaltung 4 weitergeleitet. In diesem Fall bleibt die Steuerung weiter voll funktionsfähig und hat nur keine Reserven mehr. Hier muß der Bediener entscheiden, ob er den ausgefallenen Prozeß-Steuermodul 21 erneuert oder ob er vorerst mit dem Prozeß-Steuermodul 22 weiterarbeitet.
Werden von dem globalen Überwochungsmodul 23 innerhalb einer vorgegebenen Zeit von einem Funktionsmodul keine Diagnoseinformation empfangen, so ist in diesem Fall der Übertragungsmechanismus 10 nicht mehr arbeitsfähig, und das Steuerungssystem wird durch die Prüfschaltung 4 abgeschaltet.
Bei der beispielhaften Darstellung des Ausfalls des Prozeß-Steuermoduls 21 ist es auch möglich, lediglich auf freie zusätzliche Speicherkapazitäten im gleichen Funktionsmodul umzuschalten.
Die einzelnen Möglichkeiten sind sehr vielseitig. Der Aufwand ist jedoch wesentlich geringer als bei bekannten, insgesamt redundanten Steuerungssystemen, bei denen vollständige Rechnerkomponenten zusätzlich bereitzustellen sind.

Claims (4)

1. Systemüberwachung bei verteilten Steuerungssystemen, gekennzeichnet dadurch, daß mindestens alle für die Funktion des verteilten Steuerungssystems wesentlichen Funktionsmodule ein eigenes Diagnoseelement (20) aufweisen, welches die vom Funktionsmodul benötigten Resourcen der eigenen Komponente zyklisch überprüft, und das Ergebnis über den im System vorhandenen einheitlichen Übertragungsmechanismus (10) an ein globales Überwachungsmodul (23) sendet, das die Signale aller im System vorhandenen aktiven Funktionsmodule mit eigenem Diagnoseelement (20) sammelt, auswertet und seinerseits ein entsprechendes Signal an eine Prüfschaltung 4 übergibt, die die für die relevanten Fehler vorgesehene Fehlerreaktionen auslöst.
2. Systemüberwachung nach Anspruch 1, gekennzeichnet dadurch, daß das Diagnoselement (20) vor einer Fehlermeldung redundante Ressourcen im eigenen Funktionsbaustein aktiviert.
3. Systemüberwachung nach Anspruch 1, gekennzeichnet dadurch, daß für die als fehlerhaft ermittelten Funktionsmodule vom zentralen Überwachungsmodul (23) zusätzliche redundante Funktionsmodule aktiviert werden.
4. Systemüberwachung nach Anspruch !,gekennzeichnetdadurch,daß der Überwachungsmodul (23) selbst zyklisch Prüfinformationen an eine Prüfschaltung (4) sendet, die beim Ausbleiben der Informationen oder bei fehlerhaften Informationen das gesamte Steuerungssystem gefahrlos abschaltet bzw. in eine Ruhestellung bringt.
DD32236988A 1988-11-30 1988-11-30 Systemueberwachung bei verteilten steuerungssystemen DD277546A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DD32236988A DD277546A1 (de) 1988-11-30 1988-11-30 Systemueberwachung bei verteilten steuerungssystemen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DD32236988A DD277546A1 (de) 1988-11-30 1988-11-30 Systemueberwachung bei verteilten steuerungssystemen

Publications (1)

Publication Number Publication Date
DD277546A1 true DD277546A1 (de) 1990-04-04

Family

ID=5604388

Family Applications (1)

Application Number Title Priority Date Filing Date
DD32236988A DD277546A1 (de) 1988-11-30 1988-11-30 Systemueberwachung bei verteilten steuerungssystemen

Country Status (1)

Country Link
DD (1) DD277546A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014116261A1 (de) * 2014-11-07 2016-05-12 Schneider Electric Automation Gmbh Alarm-Management-Verfahren sowie Alarm-Management-Modul zur Durchführung des Verfahrens

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014116261A1 (de) * 2014-11-07 2016-05-12 Schneider Electric Automation Gmbh Alarm-Management-Verfahren sowie Alarm-Management-Modul zur Durchführung des Verfahrens

Similar Documents

Publication Publication Date Title
DE3700986C2 (de) Einrichtung zur Überwachung eines Rechnersystems mit zwei Prozessoren in einem Kraftfahrzeug
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
EP0236803B1 (de) Verfahren zum Betrieb einer fehlergesicherten hochverfügbaren Multiprozessor-Zentralsteuereinheit eines Vermittlungssystemes
DE1524239B2 (de) Schaltungsanordnung zur aufrechterhaltung eines fehler freien betriebes bei einer rechenanlage mit mindestens zwei parallel arbeitenden rechengeraeten
EP0026377A2 (de) Rechnerarchitektur auf der Basis einer Multi-Mikrocomputerstruktur als fehlertolerantes System
WO2011117155A1 (de) Redundante zwei-prozessor-steuerung und steuerungsverfahren
DE102008004205A1 (de) Schaltungsanordnung und Verfahren zur Fehlerbehandlung in Echtzeitsystemen
EP2648100B1 (de) Automatisierungsgerät mit Vorrichtungen zur Prozessorüberwachung
EP3073333A1 (de) Sicherheitsarchitektur für fehlersichere Systeme
EP0436818B1 (de) Diagnosesystem für eine digitale Steuereinrichtung
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE102008003440A1 (de) Verfahren zur Fehlererkennung in einem Steuerungssystem eines medizinischen Behandlungs- und/oder Diagnosegeräts
DD277546A1 (de) Systemueberwachung bei verteilten steuerungssystemen
EP0625751A1 (de) Sicheres Informationsübertragungsverfahren für einen Bus
DE3138989A1 (de) Zusaetzliche funktionseinheit in einem mikroprozessor, mikroprozessorsystem und verfahren zu seinem betrieb
DE3726489A1 (de) Einrichtung zur ueberwachung eines rechnersystems mit zwei prozessoren in einem kraftfahrzeug
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
WO1995007508A1 (de) Verfahren zum überwachen einer programmgesteuerten schaltung
EP0694451B1 (de) Fahrzeugsicherungsanordnung
EP0961973B1 (de) Redundant aufgebautes elektronisches geraet mit zertifizierten und nicht zertifizierten kanaelen und verfahren dafür
EP0425897B1 (de) Verfahren zum Betrieb eines Steuerungssystems
EP0148995A2 (de) Schaltungsanordnung zum Prüfen des ordnungsgerechten Anlaufens eines zweikanaligen Fail-Safe-Mikrocomputerschaltwerkes, insbesondere für Eisenbahnsicherungsanlagen
DE3441103A1 (de) Schaltungsanordnung zur erfassung eines defekten impulsgebers der rotationsfrequenz einer asynchronmaschine
DE3930075A1 (de) Verfahren und anordnung eines fehlertoleranten mehrrechnersystems

Legal Events

Date Code Title Description
RPV Change in the person, the name or the address of the representative (searches according to art. 11 and 12 extension act)
ENJ Ceased due to non-payment of renewal fee