DE102004001031B4 - Redundante Anwendungsendgeräte für Prozesssteuerungssysteme - Google Patents

Redundante Anwendungsendgeräte für Prozesssteuerungssysteme Download PDF

Info

Publication number
DE102004001031B4
DE102004001031B4 DE102004001031.5A DE102004001031A DE102004001031B4 DE 102004001031 B4 DE102004001031 B4 DE 102004001031B4 DE 102004001031 A DE102004001031 A DE 102004001031A DE 102004001031 B4 DE102004001031 B4 DE 102004001031B4
Authority
DE
Germany
Prior art keywords
application terminal
redundancy
application
terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE102004001031.5A
Other languages
English (en)
Other versions
DE102004001031A1 (de
Inventor
Mark J. Nixon
Ken Beoughter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fisher Rosemount Systems Inc
Original Assignee
Fisher Rosemount Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fisher Rosemount Systems Inc filed Critical Fisher Rosemount Systems Inc
Publication of DE102004001031A1 publication Critical patent/DE102004001031A1/de
Application granted granted Critical
Publication of DE102004001031B4 publication Critical patent/DE102004001031B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2025Failover techniques using centralised failover control functionality
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources

Abstract

Anwendungsendgerät (18) für die Verwendung als Reserve-Endgerät in einem Prozesssteuerungssystem, wobei das Anwendungsendgerät umfasst:einen Redundanzmanager (62) mit einer Anwendungs-Programmierschnittstelle (104); undein Redundanzlinksubsystem (72), das mit dem Redundanzmanager verbunden und ausgeführt ist, um über eine Redundanzstrecke (46) mit einem zweiten, aktiven Anwendungsendgerät (16) zu kommunizieren,wobei der Redundanzmanager (62) ausgebildet ist, einen Redundanzkontext mit dem zweiten Anwendungsendgerät (16) aufzubauen,dadurch gekennzeichnet, dassdas Anwendungsendgerät (18) ausgebildet ist, das zweite Anwendungsendgerät (16) abzufragen, um festzustellen, ob das zweite Anwendungsendgerät (16) mit einem dritten Anwendungsendgerät einen Redundanzkontext aufgebaut hat; und,wenn festgestellt ist, dass das zweite Anwendungsendgerät (16) einen Redundanzkontext mit dem dritten Anwendungsendgerät aufgebaut hat, ist das Anwendungsendgerät (18) ausgelegt, keinen Redundanzkontext mittels des Redundanzmanagers (62) mit dem zweiten Anwendungsendgerät (16) aufzubauen.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich allgemein auf Prozesssteuerungssysteme und insbesondere auf redundante Anwendungsendgeräte für Prozesssteuerungssysteme.
  • ERFINDUNGSHINTERGRUND
  • Prozesssteuerungssysteme, wie sie z.B. in der chemischen Industrie, der Petrochemie und für andere Prozesse eingesetzt werden, umfassen typischerweise einen oder mehrere zentrale Prozesssteuerungen, die mit wenigstens einem Host bzw. Hauptcomputer oder einer Bediener-Workstation bzw. Arbeitsplatzsystem und mit einer oder mehreren Feldvorrichtungen über analoge, digitale oder kombinierte analog/digitale Datenstrecken kommunikativ verbunden sind. Die Feldvorrichtungen, bei denen es sich z.B. um Ventile, Ventilsteller, Schalter und Messwertgeber (z.B. für Temperatur-, Druck- und Durchflusssensoren) handelt, führen Funktionen innerhalb des Prozesses aus, z.B. Öffnen und Schließen von Ventilen und Erfassen von Prozessparametern. Die Prozesssteuerung erhält Signale, die Prozessdatenmessungen anzeigen, die von Feldeinrichtungen gemacht wurden und/oder anderen Informationen, die die Feldvorrichtungen betreffen, und nutzt diese Informationen zur Implementierung einer Steuerungsroutine, um Steuersignale zu generieren, die über die Datenstrecken oder andere Kommunikationsleitungen an die Feldvorrichtungen übermittelt werden, um die Arbeitsweise des Prozesses zu steuern. Informationen von den Feldvorrichtungen und den Steuerungen können einer oder mehreren Anwendungen zur Verfügung gestellt werden, die von der Bediener-Workstation bzw. dem Arbeitsplatzsystem ausgeführt werden, um einem Bediener zu ermöglichen, die jeweils gewünschten Funktionen bezüglich des Prozesses zu veranlassen, etwa Abfragen des aktuellen Prozesszustandes, Modifikationen des Prozessablaufs, etc.
  • Viele Prozesssteuerungssysteme umfassen außerdem ein oder mehrere Anwendungsendgeräte. Typischerweise sind die Anwendungsendgeräte durch PCs, Arbeitsplatzsysteme o.dgl. realisiert, die dabei über ein lokales Netzwerk (LAN) mit den Steuerungen, Bediener-Workstations bzw. Arbeitsplatzsystemen und anderen Systemen innerhalb des Prozesssteuerungssystems kommunikativ verbunden sind. Jedes Anwendungsendgerät kann eine oder mehrere Programmanwendungen ausführen, die Verwaltungsfunktionen, Wartungsmaßnahmen, virtuelle Steuerungsfunktionen, Diagnosefunktionen, Echtzeitüberwachungsfunktionen etc. innerhalb des Prozesssteuerungssystems veranlassen.
  • Ein Ausfall eines Anwendungsendgerätes aufgrund z.B. eines Programmfehlers oder eines Gerätefehlers (z.B. Ausfall der Netzwerkverbindung, Stromausfall, etc.) innerhalb des Anwendungsendgerätes und/oder an anderen Stellen des Prozesssteuerungssystems führt typischerweise zum Abbruch der Funktionen und Anwendungen, die von dem fehlerhaften bzw. ausgefallenen Anwendungsendgerät ausgeführt werden. Einige Prozesssteuerungssysteme oder Anwendungsendgeräte sind konfiguriert, um eine begrenzte Fähigkeit zur Wiederherstellung der Funktion des Anwendungsendgerätes zu gewährleisten. Beispielsweise speichern einige bekannte Anwendungsendgeräte Konfigurationsinformationen, Steuerparameter und -werte, Stammdaten etc., die den von ihnen ausgeführten Funktionen und/oder Anwendung(en) zugehörig sind. Diese gespeicherten historischen Informationen oder Stammdaten können vom Prozesssteuerungssystem nach einem Restart (z.B. Neuladen des Systems) eines Anwendungsendgerätes genutzt werden, um eine aufgrund eines Geräte- und/oder Programmfehlers oder -versagens beendete, angehaltene oder in anderer Weise inoperativ gewordene Anwendung wiederherzustellen.
  • Leider bestehen die bekannten Verfahren zur Wiederherstellung der Funktion eines Anwendungsendgerätes im Wesentlichen aus kaltem Wiederanfahren oder Neustarten des Anwendungsendgerätes, gefolgt von einer zeitintensiven Datenrestaurierung und einer nicht-synchronisierten Re-Instantiierung der Programmanwendung(en) des Anwendungsendgerätes, die von dem Anwendungsendgerät durchgeführt wird.
  • Obwohl diese bekannten Verfahren zur Wiederherstellung der Funktion eines Anwendungsendgerätes für verschiedene Prozesssteuerungsanwendungen hinreichend sein können, sind sie nicht für alle Prozesssteuerungsanwendungen geeignet und können in manchen Fällen gefahren- und/oder kostenträchtige Auswirkungen haben. Insbesondere stellen die bekannten Verfahren zur Wiederherstellung der Funktion eines Anwendungsendgerätes keinen nahtlosen oder „stoßfreien“ Ablauf sicher, da sie typischerweise eine erhebliche Zeitverzögerung zwischen dem Ausfall des Anwendungsendgerätes und der Wiederherstellung von deren Funktion mit sich bringen. Die vor einem Ausfall gespeicherten Parameterwerte sind somit aufgrund von Veränderungen in der Anlage oder bei anderen Prozessbedingungen, die während der relativ langen Dauer der Wiederherstellung aufgetreten sind, möglicherweise nicht mehr zutreffend. In manchen Fällen kann die Verwendung solcher Stammdaten sehr teuer und/oder gefährlich sein. Beispielsweise kann im Fall von virtuellen Steuerungen und von Verwaltungsanwendungen die Verwendung fehlerhafter Parameterwerte den Verlust von Stapeln bzw. Batches, Personen- und/oder Sachschäden etc. nach sich ziehen. Außerdem wird im Fall des Ausfalls eines Anwendungsendgerätes aufgrund eines nicht aufhebbaren Gerätefehlers die Anwendung beendet, bis das Geräte bzw. Computerteil ausgetauscht oder repariert ist, was ebenfalls einen nicht hinnehmbar langen Zeitraum in Anspruch nehmen kann.
  • Die DE 698 15 392 T2 offenbart eine Prozessanlage mit einem Prozesssteuergerät als Prozesssteuersystem, welches ein primäres Steuerprozessmodul als Anwendungsendgerät beinhaltet, welches wiederum einen Prozessor und einen Tracker umfasst, und wobei eine Netzwerkschnittstelle des Systems als Redudanzlinksubsystem funktioniert, indem sie je einen Anschluss zum Prozessor und zum Tracker zur Verfügung stellt.
  • Als weiteren Stand der Technik wird hingewiesen auf EP 0 518 630 A2 , US 6 243 825 B1 , US 6 477 663 B1 und US 2002/0023 117 A1 .
  • ZUSAMMENFASSUNG
  • Die vorliegende Erfindung ist definiert durch ein Anwendungsendgerät für die Verwendung als Reserve-Endgeräte in einem Prozesssteuerungssystem gemäß Anspruch 1, durch ein Verfahren zum Aufbau eines Redundanzkontextes innerhalb eines Prozesssteuerungssystems gemäß Anspruch 15 und durch ein entsprechendes System gemäß Anspruch 21 und schließlich ein maschinenlesbares Medium gemäß Anspruch 25. Zweckmäßige Fortbildungen des Erfindungsgedankens sind Gegenstand der jeweiligen abhängigen Ansprüche.
  • Gemäß einem Ausführungsbeispiel umfasst ein Anwendungsendgerät zur Verwendung in einem Prozesssteuerungssystem einen Redundanzmanager und ein Redundanzlinksubsystem, das mit dem Redundanzmanager verbunden und geeignet ist, um über eine Redundanzkommunikationsstrecke mit einem zweiten Anwendungsendgerät zu kommunizieren. Der Redundanzmanager kann einen Redundanzkontext mit dem zweiten Anwendungsendgerät aufbauen und mittels des Redundanzkontextes die Operationen des zweiten Anwendungsendgerätes verfolgen. Zusätzlich kann der Redundanzmanager so angepasst sein, um über die Redundanzstrecke und das Redundanzlinksubsystem Information von dem zweiten Anwendungsendgerät zu empfangen und in Reaktion auf die Information die Operationen des zweiten Anwendungsendgerätes auf das Anwendungsendgerät umzuschalten.
  • Gemäß noch einem weiteren Ausführungsbeispiel wird durch ein System bzw. ein Verfahren zum Aufbau eines Redundanzkontextes innerhalb eines Prozesssteuerungssystems mit erstem und zweitem Anwendungsendgerät eine dem ersten Anwendungsendgerät zugeordnete Konfiguration in das zweite Anwendungsendgerät geladen und festgestellt, ob das erste Anwendungsendgerät eine ausreichende Funktionsgüte aufweist, und Informationen bezüglich einer Gruppe von Ressourcen, die von dem ersten Anwendungsendgerät genutzt wird, an das zweite Anwendungsendgerät übermittelt. Außerdem kann das System bzw. das Verfahren feststellen, ob das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat, und es kann in Reaktion auf die Feststellung, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat, den Redundanzkontext innerhalb des Prozesssteuerungssystems aufbauen.
  • Figurenliste
    • 1 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystem, das die hierin beschriebenen Einrichtungen und Verfahren eines redundanten Anwendungsendgerätes nutzt;
    • 2 ist ein detaillierteres Blockdiagramm einer beispielhaften Art und Weise, in der das redundante Anwendungsendgerät der 1 implementiert werden kann;
    • 3 ist ein detaillierteres Blockdiagramm einer beispielhaften Art und Weise, in der die Redundanzmanager der 2 implementiert werden können.
  • DETAILLIERTE BESCHREIBUNG
  • 1 ist ein Blockdiagramm eines beispielhaften Prozesssteuerungssystems 10, das die Einrichtungen und Verfahren des hier beschriebenen Anwendungsendgerätes nutzt. Wie in 1 gezeigt, umfasst das Prozesssteuerungssystem 10 eine Steuerung 12, eine Bedienerstation 14, ein aktives Anwendungsendgerät 16 und ein Reserve-Anwendungsendgerät 18, die alle über eine Datenstrecke oder über ein lokales Netzwerk (LAN) 20 kommunikativ verbunden sein können, wobei letzteres allgemein als Application Control Network (ACN, Anwendungssteuerungsnetz) bezeichnet wird. Die Bedienerstation 14 und die Anwendungsendgeräte 16 und 18 können durch eine oder mehrere Arbeitsplatzsysteme oder beliebige andere geeignete Computersysteme oder Verarbeitungseinheiten realisiert werden. Beispielsweise können die Anwendungsendgeräte 16 und 18 unter Verwendung einzelner Personalcomputer, Einzel- oder Multiprozessor-Workstations etc. realisiert werden. Außerdem kann das LAN 20 mit Hilfe eines jeden gewünschten Kommunikationsmediums und -protokolls aufgebaut werden. Beispielsweise kann das LAN 20 auf einer der festverdrahteten oder drahtlosen Ethernet-Kommunikationslösungen basieren, die bekannt sind und deshalb hier nicht detaillierter beschrieben werden. Dem Fachmann ist jedoch unmittelbar klar, dass jedes andere geeignete Kommunikationsmedium und -protokoll Verwendung finden kann. Des Weiteren ist es möglich, obwohl nur ein einziges LAN dargestellt ist, mehr als ein LAN einschließlich der zugehörigen Kommunikationshardware in den Anwendungsendgeräten 16 und 18 einzusetzen, um redundante Kommunikationsstrecken zwischen den Anwendungsendgeräten 16 und 18 bereitzustellen.
  • Die Steuerung 12 kann über einen digitalen Datenbus 28 und eine Eingabe/- Ausgabeeinheit (I/O) 30 mit einer Vielzahl eigenintelligenter Feldvorrichtungen 22, 24 und 26 verbunden werden. Bei den eigenintelligenten Feldvorrichtungen 22-26 kann es sich um zum Fieldbus kompatible Ventile, Stellelemente, Sensoren etc. handeln, wobei in diesem Fall die eigenintelligenten Feldvorrichtungen 22-26 über den digitalen Datenbus 28 auf Grundlage des bekannten „Fieldbus-Protokolls“ kommunizieren. Es versteht sich von selbst, dass anstelle dessen andere Typen eigenintelligenter Feldvorrichtungen und andere Kommunikationsprotokolle Verwendung finden können. Beispielsweise können die eigenintelligenten Feldvorrichtungen 22-26 statt dessen aus Profibus- oder HART-kompatiblen Vorrichtungen bestehen, die mittels der bekannten Profibus- oder HART-Kommunikationsprotokolle über den Datenbus 28 miteinander kommunizieren.
  • Zusätzliche I/O-Einheiten (ähnlich oder identisch der I/O-Einheit 30) können mit der Steuerung 12 verbunden werden, damit weitere Gruppen eigenintelligenter Feldvorrichtungen, bei denen es sich um Fieldbus- oder HART-Komponenten etc. handeln kann, mit der Steuerung 12 kommunizieren können.
  • Zusätzlich zu den eigenintelligenten Feldvorrichtungen 22-26 können eine oder mehrere nicht eigenintelligente Feldvorrichtungen 32 und 34 kommunikativ mit der Steuerung 12 verbunden werden. Bei den nicht-eigenintelligenten Feldvorrichtungen 32 und 34 kann es sich beispielsweise um herkömmliche Geräte für 4-20 Milliampere (mA) oder 0-10 Volt Gleichspannung (VDC) handeln, die über festverdrahtete Verbindungen 36 und 38 mit der Steuerung 12 kommunizieren.
  • Bei der Steuerung 12 kann es sich beispielsweise um eine Steuerung des Typs DeltaV™ der Fisher-Rosemount Systems, Inc. handeln. Statt dessen kann aber auch jede andere Steuerung eingesetzt werden. Des Weiteren wäre es möglich, obwohl 1 nur eine Steuerung zeigt, auch weitere Steuerungen jedes beliebigen Typs oder Kombinationen solcher Steuerungen mit dem LAN 20 zu verbinden. In jedem Fall kann die Steuerung 12 eine oder mehrere Prozesssteuerungsroutinen ausführen, die dem Prozesssteuerungssystem 10 zugehörig sind, und die von einem Systemingenieur oder durch andere Systembediener über die Bedienerstation 14 generiert und anschließend in die Steuerung 12 geladen und initialisiert wurden.
  • Wie 1 zeigt, kann das Prozesssteuerungssystem 10 außerdem eine entfernte Bedienerstation 40 umfassen, die über eine Kommunikationsstrecke 42 und ein LAN 44 mit den Anwendungsendgeräten 16 und 18 kommunikativ verbunden ist. Die entfernte Bedienerstation 40 kann geographisch gesehen weit entfernt sein, wobei es sich in diesem Fall bei der Kommunikationsstrecke 42 vorzugsweise, nicht aber zwingend, um eine drahtlos aufgebaute Verbindung, eine Verbindung auf Internetbasis oder um ein anderweitig auf Datenpaketübermittlung basierendes Kommunikationsnetz, um Telefonleitungen (z.B. digitale Teilnehmerleitungen) oder um eine beliebige Kombination dieser Möglichkeiten handelt.
  • Wie im Beispiel der 1 gezeigt, ist das aktive Anwendungsendgerät 16 und das Reserve-Anwendungsendgerät 18 über das LAN 20 und eine Redundanzstrecke 46 kommunikativ miteinander verbunden. Bei der Redundanzstrecke 46 kann es sich um eine separate, zweckgebundene (d.h. nicht durch andere genutzte) Kommunikationsstrecke zwischen dem aktiven Anwendungsendgerät 16 und dem Reserve-Anwendungsendgerät 18 handeln. Die Redundanzstrecke 46 kann beispielsweise mittels eines zweckgebundenen Ethernet-Link (d.h. jeweils zweckgebundene Ethernet-Karten in den miteinander verbundenen Anwendungsendgeräten 16 und 18) realisiert werden. In anderen beispielhaften Ausführungen könnte die Redundanzstrecke 46 jedoch auch durch das LAN 20 oder ein redundantes LAN (nicht dargestellt) realisiert werden, das mit den Anwendungsendgeräten 16 und 18 kommunikativ verbunden ist, wobei keine der Verbindungen zwingend zweckgebunden sein muss.
  • Generell gesagt, tauschen die Anwendungsendgeräte 16 und 18 kontinuierlich, nur in bestimmten Fällen oder periodisch Informationen über die Redundanzstrecke 46 aus (z.B. in Reaktion auf Änderungen von Parameterwerten, Konfigurationsänderungen der Anwendungsendgeräte, etc.), um einen Redundanzkontext aufzubauen und zu unterhalten. Der Redundanzkontext ermöglicht eine unterbrechungsfreie oder nahtlose Übergabe oder Umschaltung der Steuerung zwischen dem aktiven Anwendungsendgerät 16 und dem Reserve-Anwendungsendgerät 18. Beispielsweise ermöglicht der Redundanzkontext eine Übergabe oder Umschaltung von dem aktiven Anwendungsendgerät 16 an das Reserve-Anwendungsendgerät 18 in Reaktion auf Geräte- oder Programmausfälle in dem aktiven Anwendungsendgerät 16 oder in Reaktion auf eine Anweisung durch einen Systemnutzer oder Systembediener oder seitens einer Klienten-Anwendung des Prozesssteuerungssystems 10.
  • Bei jedem Ereignis können die Anwendungsendgeräte 16 und 18 als ein einzelner Knoten innerhalb des LAN 20 auftreten, der sich als redundantes Paar verhält. Insbesondere arbeitet das Reserve-Anwendungsendgerät 18 als betriebsbereites Reserve-Anwendungsendgerät, das bei einem Ausfall des aktiven Anwendungsendgerätes 16 oder dann, wenn eine Umschaltanweisung von einem Benutzer eintrifft, rasch und unterbrechungsfrei die Kontrolle der Anwendungen oder Funktionen übernimmt, die von dem aktiven Anwendungsendgerät 16 ausgeführt werden, ohne dass dabei eine zeitintensive Initialisierung oder andere Benutzereingriffe erforderlich sind. Um ein solches betriebsbereites Reserve-Anwendungsendgerät zu realisieren, nutzt das momentan aktive Anwendungs- , endgerät (beispielsweise das aktive Anwendungsendgerät 16) den Redundanzkontext für den Austausch von Information, beispielsweise Informationen zur Konfiguration, zu den Steuerparametern etc., über die Redundanzstrecke 46 mit dem redundanten PartnerAnwendungsendgerät (beispielsweise das Reserve-Anwendungsendgerät 18). Auf diese Weise kann eine nahtlose oder unterbrechungsfreie Übergabe der Kontrolle bzw. eine Umschaltung von dem momentan aktiven Anwendungsendgerät (beispielsweise des aktiven Anwendungsendgerätes 16) zum redundanten Partner- oder Reserve-Anwendungsendgerät (beispielsweise des Reserve-Anwendungsendgerätes 18) so lange erfolgen, wie das Reserve-Anwendungsendgerät 18 bereit ist und die Kontrolle übernehmen kann.
  • Um sicherzustellen, dass das Anwendungsendgerät 18 bereit und in der Lage ist, die Kontrolle der Anwendungen, virtuellen Steuerungsfunktionen, Kommunikationsfunktionen, etc. zu übernehmen, die momentan von dem aktiven Anwendungsendgerät 16 ausgeführt werden, stellt der Redundanzkontext fest, ob das Reserve-Anwendungsendgerät 18 Zugriff auf die physikalischen Ressourcen hat (beispielsweise auf das LAN 20, andere externe Datenquellen, etc.), ob ihr die erforderlichen Programmierungsinformationen zur Verfügung stehen (beispielsweise Konfigurations- und Verbindungsinformationen), und ob die erforderliche Funktionsgüte (beispielsweise Prozessorgeschwindigkeit, Speicheranforderungen, etc.) gegeben ist. Der Redundanzkontext wird außerdem aufrechterhalten, um sicherzustellen, dass das Reserve-Anwendungsendgerät 18 zu jedem Zeitpunkt zur Übernahme der Kontrolle bereit ist. Die Aufrechterhaltung des Redundanzkontextes geschieht durch den Austausch von Statusinformationen, Konfigurationsinformationen oder jeder anderen Information, die benötigt wird, um die Synchronisation der Betriebsabläufe zwischen den redundanten Anwendungsendgeräten 16 und 18 zu gewährleisten.
  • In einigen beispielhaften Ausführungen können die Anwendungsendgeräte 16 und 18 so konfiguriert sein, dass bei einem Ausfall des aktiven Anwendungsendgerätes 16 mit anschließender Wiederherstellung der fehlerfreien Funktion oder nach einer Reparatur oder einem Austausch (mit geeigneter Konfigurierung) das aktive Anwendungsendgerät 16 die Kontrolle von dem Reserve-Anwendungsendgerät 18 zurückerhält, und das Reserve-Anwendungsendgerät 18 wieder in den Status als Hot-Standby-Station wechselt. Wenn es jedoch wünschenswert ist, kann das Reserve-Anwendungsendgerät 18 so konfiguriert werden, dass ein in seiner Funktion wiederhergestelltes Anwendungsendgerät die Kontrolle nur nach Bestätigung durch den Systembenutzer oder durch einen anderen Benutzereingriff zurückerhält.
  • Das aktive Anwendungsendgerät 16 ist normalerweise für die Ausführung (d.h. die Abwicklung) von virtuellen Steuerungsfunktionen, Anwendungen für Verwaltungsfunktionen, wartungsbezogenen Anwendungen, Diagnoseanwendungen und/oder allen sonstigen gewünschten Funktionen oder Anwendungen zuständig, die dem Management und/oder der Überwachung von Aktivitäten zur Prozesssteuerung, Unternehmensoptimierung etc. zuzurechnen sind, und die im Rahmen des Prozesssteuerungssystems 10 benötigt werden. Das Reserve-Anwendungsendgerät 18 ist in identischer Weise konfiguriert wie das aktive Anwendungsendgerät 16 und enthält daher eine Kopie einer jeden Funktion und Anwendung, die für die Ausführung der Aufgaben des aktiven Anwendungsendgerätes 16 erforderlich ist. Außerdem besitzt das Reserve-Anwendungsendgerät 18 die Geräte und/oder verfügt über den Zugriff auf identische oder mindestens funktional äquivalente Ressourcen, wie sie dem aktiven Anwendungsendgerät 16 zur Verfügung stehen. Darüber hinaus verfolgt das Reserve-Anwendungsendgerät 18 über die Redundanzstrecke 46 den Betrieb des aktiven Anwendungsendgerätes 16 (beispielsweise die aktuellen Parameterwerte, die von den in dem aktiven Anwendungsendgerät 16 ausgeführten Anwendungen verwendet werden).
  • 2 ist ein detaillierteres Blockdiagramm einer beispielhaften Art und Weise, in der die redundanten Anwendungsendgeräte 16 und 18 der 1 realisiert werden können. Wie im Beispiel der 2 dargestellt, umfasst das aktive Anwendungsendgerät 16 einen Redundanzmanager 50, der kommunikativ mit einer oder mehreren redundanten Anwendungen 52, einem virtuellen Steuerblock 54, einem Kommunikationssubsystem 56, einem Betriebssystem 58 und einem Redundanzlinksubsystem 60 verbunden ist. In entsprechender Weise umfasst das Reserve-Anwendungsendgerät 18 einen Redundanzmanager 62, eine oder mehrere redundante Anwendungen 64, einen virtuellen Steuerblock 66, ein Kommunikationssubsystem 68, ein Betriebssystem 70 und ein Redundanzlinksubsystem 72. Obwohl die Funktionsblöcke 62-72 des dargestellten Reserve-Anwendungsendgerätes 18 eine Funktionalität bereitstellen, die identisch oder wenigstens nahezu identisch der Funktionalität der jeweils entsprechenden Funktionsblöcke 50-60 des aktiven Anwendungsendgerätes 16 ist, wurden abweichende Bezugszeichen für einander entsprechende Funktionsblöcke (beispielsweise die Blöcke 50 und 62) verwendet, um die Klarheit der Funktionsbeschreibungen der Anwendungsendgeräte 16 und 18 zu gewährleisten. Insbesondere werden die einander entsprechenden Funktionsblöcke des aktiven Anwendungsendgerätes 16 und des Reserve-Anwendungsendgerätes 18, obwohl sie identische (oder im Wesentlichen identische) Funktionalitäten bereitstellen können, in den jeweiligen Anwendungsendgeräten 16 bzw. 18 unabhängig voneinander initialisiert, so dass sie nicht notwendigerweise zu gleichen Zeitpunkten genau gleiche Betriebszustände aufweisen.
  • Generell wirken die Funktionsblöcke 50-60 und 62-72 mit den jeweils zugeordneten Redundanzmanagern 50 und 62 zusammen, um einen Redundanzkontext aufzubauen und aufrechtzuerhalten. Der Redundanzkontext versetzt das Reserve-Anwendungsendgerät 18 in die Lage, den Betrieb des aktiven Anwendungsendgerätes 16 zu verfolgen bzw. zu überwachen. Genauer gesagt, die Anwendungsendgeräte 16 und 18 tauschen Informationen über die jeweiligen Redundanzlinksubsysteme 60 und 72 und die Redundanzstrecke 46 aus, so dass jedes der Anwendungsendgeräte 16 und 18 die einwandfreie Funktion (d.h. den Funktionszustand) des anderen Anwendungsendgerätes feststellen kann. Zusätzlich können Werte von Betriebsparametern und andere Informationen über die Redundanzstrecke 46 zwischen dem aktiven Anwendungsendgerät 16 und dem Reserve-Anwendungsendgerät 18 ausgetauscht werden. Der Redundanzmanager 62 des Reserve-Anwendungsendgerätes 18 kann Parameterinformationen oder -werte, die er von dem aktiven Anwendungsendgerät 16 erhält, an eine oder mehrere der redundanten Anwendungen 64, den virtuellen Steuerblock 66, das Kommunikationssubsystem 68 und/oder an das Betriebssystem 70 etc. übermitteln, soweit dies für die Aufrechterhaltung eines Betriebszustandes in dem Reserve-Anwendungsendgerät 18 erforderlich ist, das im Wesentlichen mit dem aktiven Anwendungsendgerät 16 synchron ist und dieses nachbildet.
  • Für ein besseres Verständnis des Zusammenwirkens bzw. der Kooperation zwischen den Redundanzmanagern 50 und 62 und ihren jeweiligen lokalen Subsystemen oder den Funktionsblöcken 52-60 und 64-70 wird nachstehend eine detaillierte Erläuterung der Arbeitsweise der Funktionsblöcke 52-60 und 64-70 gegeben. Die redundanten Anwendungen 52 und 64 umfassen eine oder mehrere Programmanwendungen wie beispielsweise Anwendungen für Verwaltungsanwendungen, Wartung, Echtzeitüberwachung, Diagnosen etc. Die redundanten Anwendungen 52 und 64 sind typischerweise, jedoch nicht notwendigerweise, geschichtete Programmanwendungen (d.h. Programmanwendungen, die anderen Programmanwendungen überlagert sind). Beispielsweise ist eine Verwaltungsanwendung typischerweise von einer oder mehreren Stapel- bzw. Batch-Management-Anwendungen überlagert.
  • Die redundanten Anwendungen 52 und 64 sind mit ihren jeweiligen Redundanzmanagern 50 und 62 registriert und somit vollständig in den Redundanzkontext integriert, der von den Redundanzmanagern 50 und 62 aufgebaut und aufrechterhalten wird. Anders gesagt, die redundanten Anwendungen 52 und 64 können als jeweils redundante Anwendungspaare fungieren, so dass dann, wenn beispielsweise eine der redundanten Anwendungen 52 ausfällt, die entsprechende identische Partneranwendung aus den redundanten Anwendungen 64 nach einer Umschaltung von dem aktiven Anwendungsendgerät 16 auf das Reserve-Anwendungsendgerät 18 die Ausführung an dem Punkt übernehmen kann, an dem die ausgefallene Anwendung geendet hat.
  • Um die redundanten Anwendungen 52 und 64 in die Lage zu versetzen, am Redundanzkontext teilzunehmen, muss jeweils entsprechende zu den Anwendungen 52 und 64 gehörende Statusinformationen und andere Informationen ausgetauscht werden, die den momentanen Zustand des aktiven Anwendungsendgerätes 16, des Reserve-Anwendungsendgerätes 18 sowie den momentanen Zustand der Anwendungen 52 und 64 betreffen. Im Fall der Veranlassung einer Umschaltung (beispielsweise Übernahme der Kontrolle durch das Reserve-Anwendungsendgerät 18 von dem aktiven Anwendungsendgerät 16 in Reaktion auf einen Ausfall des aktiven Anwendungsendgerätes 16 oder in Reaktion auf eine Anweisung durch einen Systemnutzer) kann der Redundanzmanager 62 den redundanten Anwendungen 64 melden, dass eine solche Umschaltung eingeleitet ist. Das Reserve-Anwendungsendgerät 18 kann seinerseits einen oder mehrere Systemalarme oder -ereignisse generieren, die beispielsweise an eine oder an beide der Bedienerstationen 14 und 40 weitergeleitet und über diese an einen Systemnutzer gemeldet werden können. Außerdem erhalten beispielsweise im Fall der Detektierung eines Ausfalls des Reserve-Anwendungsendgerätes 18 durch das aktive Anwendungsendgerät 16 die redundanten Anwendungen 52 eine Meldung dieser Situation, und wenn dies gewünscht ist, kann das aktive Anwendungsendgerät 16 einen oder mehrere entsprechende Alarme oder Ereignisse generieren und an die Bedienerstationen 14 und 40 und/oder an andere mit dem Prozesssteuerungssystem 10 verbundene Systeme übermitteln. In jedem Fall ist jede der Anwendungen innerhalb der redundanten Anwendungen 52 und 64 konfiguriert, um auf die Meldung einer eingeleiteten Umschaltung, auf die Meldung eines Ausfalls des Reserve-Anwendungsendgerätes 18, etc. in einer für die jeweilige Anwendung angepassten Weise zu reagieren.
  • Die virtuellen Steuerblöcke 54 und 66 stellen Informationen zu den physikalischen Ressourcen für die jeweiligen Redundanzmanager 50 und 62 bereit, beispielsweise die Speichergröße, Prozessorgeschwindigkeit, Ein/Ausgaben, etc., die zur Ausführung der virtuellen Steuerungsfunktionen erforderlich sind. Zum Beispiel kann der Redundanzmanager 62 die Information zu den physikalischen Ressourcen verwenden, um festzustellen, ob das Reserve-Anwendungsendgerät 18 über die Kapazität (d.h. die geeigneten physikalischen Ressourcen) verfügt, um im Falle einer notwendigen Umschaltung die Kontrolle anstelle des aktiven Anwendungsendgerätes 16 zu übernehmen bzw. zu erhalten. Die virtuellen Steuerblöcke 54 und 66 übermitteln außerdem ein Signal an ihre jeweiligen Redundanzmanager 50 und 62, wenn die von ihnen genutzte Information, beispielsweise Betriebsdaten, Abstimmdaten etc., in ihren jeweiligen Anwendungsendgeräten 16 und 18 aktualisiert werden muss. Auf diese Weise werden die Ausführungsfunktionsblöcke, die Ablaufsteuerung, die Stapel- bzw. Batch-Operationen, etc. vollständig synchronisiert. Im Fall, dass die virtuellen Steuerblöcke 54 und 66 den Systemnutzern, Bedienern, Dritten, etc. die Möglichkeit einräumen, anwenderspezifische Funktionsblöcke zu generieren, werden diese anwenderspezifischen Funktionsblöcke ebenfalls durch die Redundanzmanager 50 und 62 synchronisiert. Somit kann der virtuelle Steuerblock 66 der Funktion des virtuellen Steuerblocks 54 folgen (d.h. mit diesem in Synchronisation sein), so dass im Fall einer Umschaltung von dem aktiven Anwendungsendgerät 16 auf das Reserve-Anwendungsendgerät 18 der virtuelle Steuerblock 66 die virtuellen Steuerungsaufgaben des virtuellen Steuerblocks 54 nahtlos und unterbrechungsfrei weiterführen (d.h. übernehmen) kann. Vorzugsweise beginnt dabei der virtuelle Steuerblock 66 die Ausführung seiner Module, Verfahren, etc. mit Parameterwerten, die den zum Zeitpunkt der Umschaltung gültigen Werten der entsprechenden Parameter im virtuellen Steuerblock 54 identisch sind.
  • Des Weiteren können die virtuellen Steuerblöcke 54 und 66 konfiguriert sein, um ein Signal dafür zu liefern, dass in einem oder beiden der virtuellen Steuerblöcke 54 und 66 eine Bedingung vorliegt, die eine Umschaltung ausschließt bzw. eine solche verhindert. Ein solches Signal kann beispielsweise in dem Fall bereitgestellt werden, wenn sich die Konfiguration des aktiven Anwendungsendgerätes 16 geändert hat und das Reserve-Anwendungsendgerät 18 nicht aktualisiert wurde, wo eine Anwendung (beispielsweise eine der redundanten Anwendungen 64) des Reserve-Anwendungsendgerätes 18 nicht funktioniert.
  • Die Kommunikationssubsysteme 56 und 68 stellen ihren jeweiligen Anwendungsendgeräten 16 und 18 und damit jedem der darin enthaltenen Funktionsblöcke über das LAN 20 die Möglichkeit der Kommunikation untereinander und mit anderen Systemen innerhalb des Prozesssteuerungssystems 10 zur Verfügung. Außerdem stellen die Kommunikationssubsysteme 56 und 68 Dienste und/oder Information für die jeweiligen Redundanzmanager 50 und 62 bereit, um die Kooperation der Anwendungsendgeräte 16 und 18 innerhalb des von den Redundanzmanagern 50 und 62 aufgebauten und unterhaltenen Redundanzkontextes zu ermöglichen und zu vereinfachen. Insbesondere können die von den Kommunikationssubsystemen 56 und 68 bereitgestellten Dienste beispielsweise einen Dienst umfassen, der die Sperrung der Kommunikationssubsysteme 56 und 68 ermöglicht, einen Dienst, der verifiziert, dass das aktive Anwendungsendgerät 16 mit dem gleichen LAN (d.h. dem LAN 20) verbunden ist wie das Reserve-Anwendungsendgerät 18, einen Dienst, der ein Signal liefert, dass ein Kommunikationssubsystem ausgefallen ist, und einen Dienst, der bei einer Umschaltung das neu aktivierte Anwendungsendgerät (beispielsweise das Reserve-Anwendungsendgerät 18) für die Übernahme der Kommunikationsaufgaben des nunmehr inaktiven Anwendungsendgerätes (beispielsweise des aktiven Anwendungsendgerätes 16) auf dem LAN 20 freigibt. Beispielsweise kann das neu aktivierte Anwendungsendgerät die Kommunikationsverbindungen des zuvor aktiven Anwendungsendgerätes mit den anderen Systemen, Vorrichtungen etc. über das LAN 20 wiederherstellen.
  • Jedes der Kommunikationssubsysteme 56 und 68 kann außerdem ein Signal dafür bereitstellen, dass sich die von ihm verwalteten Daten (beispielsweise Verbindungsinformation, Leitweglenkungsinformation, etc.) geändert haben und folglich in dem redundanten Partner-Anwendungsendgerät aktualisiert werden müssen. Beispielsweise kann das Kommunikationssubsystem 56 des aktiven Anwendungsendgerätes 16 an das Reserve-Anwendungsendgerät 18 melden, dass eine neue Verbindung zum aktiven Anwendungsendgerät 16 eingerichtet wurde. Die Information betreffend die neue Verbindung kann durch den Redundanzmanager 50 über das Redundanzlinksubsystem 60, die Redundanzstrecke 46 und das Redundanzlinksubsystem 72 an den Redundanzmanager 62 übermittelt werden. Der Redundanzmanager 62 kann anschließend mit dem Kommunikationssubsystem 68 kommunizieren, um die neue Verbindung zur Aufrechterhaltung des Redundanzkontextes einrichten. Auf diese Weise stellt der Redundanzmanager 62 einen Zustand des Reserve-Anwendungsendgerätes 18 sicher, in dem dieses in der Lage ist, die Kommunikationsaufgaben des aktiven Anwendungsendgerätes 16 im Fall einer Umschaltung wahrzunehmen.
  • Jedes der Redundanzlinksubsysteme 60 und 72 stellt einen Dienst bereit, durch den seine jeweiligen Anwendungsendgeräte 16 bzw. 18 in die Lage versetzt werden, einen Kommunikationskanal bzw. eine Kommunikationsverbindung über die Redundanzstrecke 46 einzurichten. Außerdem stellen die Redundanzlinksubsysteme 60 und 72 bei einem Ausfall des Kommunikationskanals bzw. der Kommunikationsverbindung zwischen den Anwendungsendgeräten 16 und 18 ein diesbezügliches Signal für ihre jeweiligen Redundanzmanager 50 und 62 bereit. Des Weiteren stellen die Redundanzlinksubsysteme 60 und 72 Dienste bereit, durch die Betriebsdaten betreffend die redundanten Anwendungen 52 und 64, die virtuellen Steuerblöcke 54 und 66, die Kommunikationssubsysteme 56 und 68, die Betriebssysteme 58 und 70, etc. zwischen den Anwendungsendgeräten 16 und 18 ausgetauscht werden können.
  • Wie nachstehend detaillierter beschrieben, nutzen die Redundanzmanager 50 und 62 die Informationsübertragungskapazität ihrer Redundanzlinksubsysteme 60 und 72 und die Redundanzstrecke 46, um Statusinformationen betreffend der überwachten Ressourcen zu übermitteln. Diese Statusinformationen können in Reaktion auf Änderungen der Parameterwerte und/oder der Konfiguration etc. beispielsweise von dem aktiven Anwendungsendgerät 16 zum Reserve-Anwendungsendgerät 18 übermittelt werden, um ein „Heartbeat“- bzw. Synchronisationssignal bzw. eine Information hinsichtlich der einwandfreien Funktion und/oder des Betriebszustands des aktiven Anwendungsendgerätes 16 zu liefern. Im Ergebnis kann dann, wenn das Heartbeat- bzw. Synchronisationssignal anzeigt, dass die einwandfreie Funktion des aktiven Anwendungsendgerätes 16 in schwerwiegender Weise beeinträchtigt ist und/oder das Heartbeat- bzw. Synchronisationssignal vollständig ausgefallen ist, das Reserve-Anwendungsendgerät 18 eine Umschaltung bewirken und die Aufgaben des ausgefallenen oder des ausfallenden aktiven Anwendungsendgerätes 16 übernehmen.
  • Bei den Betriebssystemen 58 und 70 kann es sich um jedes gewünschte Betriebssystem handeln, wie z.B. Windows®, Linux® etc., das die Laufzeit-Umgebung der Anwendungsendgeräte 16 und 18 als Host bzw. als Hauptcomputer unterstützen kann. Für das in 1 gezeigte beispielhafte Prozesssteuerungssystem 10 kann als Laufzeit-Umgebung die DeltaV™-Laufzeit-Umgebung eingesetzt werden. Die Betriebssysteme 58 und 70 können Information für die Redundanzmanager 50 und 62 bereitstellen, beispielsweise Information zu Status, einwandfreier Funktion, Kapazität etc. der den Anwendungsendgeräten 16 und 18 zugeordneten Geräteplattform. Selbstverständlich kann die Information entsprechend der zur Bestückung der Anwendungsendgeräte 16 und 18 eingesetzten Computerteile variieren. Beispielsweise kann im Fall einer Realisierung der Anwendungsendgeräte 16 und 18 mittels Multiprozessor-Workstations bzw. Arbeitsplatzsystemen eine bestimmte Art von Information bereitgestellt werden, während im Fall einer Realisierung der Anwendungsendgeräte 16 und 18 mittels Einzelprozessor-PCs eine andere Art oder ein anderer Umfang von Information bereitgestellt werden kann.
  • Die Redundanzmanager 50 und 62 kommunizieren in kooperativer Weise mit ihren jeweiligen redundanten Anwendungen 52 und 64, den virtuellen Steuerblöcken 54 und 66, den Kommunikationssubsystemen 56 und 68, den Betriebssystemen 58 und 70 und den Redundanzlinksubsystemen 60 und 72, um einen Redundanzkontext aufzubauen und aufrechtzuerhalten. Außerdem verwalten die Redundanzmanager 50 und 62 die Umschaltung zwischen den Anwendungsendgeräten 16 und 18 entweder automatisch im Moment des Auftretens eines Ausfalls des momentan aktiven Anwendungsendgerätes oder in Reaktion auf eine Benutzeranweisung. Des Weiteren verwalten die Redundanzmanager 50 und 62 Diagnoseinformation bezüglich des Redundanzkontextes selbst. Beispielsweise kann Statusinformation, Datenlatenzinformation etc. geführt werden und, wenn gewünscht, durch beispielsweise eine Optimierungsanwendung und/oder eine Diagnoseanwendung abgefragt und genutzt werden, die zu den redundanten Anwendungen 52 und 64 gehört, oder bei der es sich um eine Klienten-Anwendung handeln kann, die mit den Redundanzmanagern 50 und 62 in einer Weise kommuniziert, die nachstehend in Verbindung mit 3 detaillierter beschrieben wird.
  • 3 ist ein detaillierteres Blockdiagramm einer beispielhaften Art und Weise der Realisierung der Redundanzmanager 50 und 62 der 2. Der Klarheit halber wird das in 3 gezeigte Beispiel anhand des Redundanzmanagers 62 des Reserve-Anwendungsendgerätes 18 detailliert beschrieben. Das detaillierte Blockdiagramm der 3 und die folgende Beschreibung desselben sind jedoch gleichermaßen für den Redundanzmanager 50 des aktiven Anwendungsendgerätes 16 zutreffend. Wie 3 zeigt, umfasst der Redundanzmanager 62 in jedem Fall einen Heartbeat- bzw. Synchronisationsmanager 100, einen Ressourcenmonitor 102, eine Schnittstelle 104 (API) zur Anwendungsprogrammierung des Redundanzmanagers und eine Verwaltung 106 für die redundanten Klienten.
  • Das API 104 des Redundanzmanagers, im Folgenden Redundanzmanager-API, ermöglicht einer oder mehreren der redundanten Anwendungen oder Klienten 108, die die in 2 gezeigten redundanten Anwendungen 64 sowie andere Anwendungen oder Klienten (nicht in 2 dargestellt) umfassen können, am Redundanzkontext teilzunehmen. Anders gesagt, das Redundanzmanager-API 104 enthält Funktionen, die eine oder mehrere Anwendungen oder Klienten 108 in die Lage versetzen, Verbindung zum Redundanzmanager 62 aufzunehmen (d.h. mit diesem zu kommunizieren), um Änderungen des Status oder der Information (beispielsweise Umschaltstatus eines bestimmten Anwendungsendgerätes, Änderungen der Parameterwerte oder der Konfiguration etc.) zu erhalten. Die Änderung von Statusinformation oder von Information, die vom Redundanzmanager 62 an die redundanten Anwendungen/ Klienten 108 übermittelt wird, kann aus Information abgeleitet werden oder auf solcher basieren, die der Heartbeat- bzw. Synchronisationsmanager 100 vom Redundanzlinksubsystem 72 erhält, und/oder von Information, die der Ressourcenmonitor 102 von einer oder mehreren Ressourcen erhält, beispielsweise vom Kommunikationssubsystem 68 und vom Betriebssystem 70.
  • Das Redundanzmanager-API 104 implementiert eine Anwendungsregistrierungsfunktion, die es einer Anwendung oder einem Klienten der redundanten Anwendungen/- Klienten 108 ermöglicht, mit dem Redundanzmanager 62 zu kommunizieren. Die Anwendungsregistrierungsfunktion kann eine eindeutige Identifizierung für jede zu registrierende Anwendung generieren, um es dem Redundanzmanager zu ermöglichen, die Anwendung bei Bedarf in dem Reserve-Anwendungsendgerät 18 zu lokalisieren. Außerdem kann die Anwendungsregistrierungsfunktion eine Callback- bzw. Rückfragefunktion beinhalten (die mittels eines Helper-Thread bzw. Hilfsthread implementiert werden kann), die es dem Redundanzmanager 62 ermöglicht, redundanzrelevante Ereignisse (beispielsweise eine Umschaltung, eine Konfigurationsänderung etc.) an die registrierte Anwendung zu übermitteln.
  • Das Redundanzmanager-API 104 realisiert außerdem eine Funktion für das Löschen der Registrierung einer Anwendung, die eine selektierte Anwendung aus der Liste der registrierten Anwendungen entfernt. Der Redundanzmanager 62 kann die Funktion für das Löschen der Registrierung einer Anwendung von einer fehlerhaften Anwendung unterscheiden und stellt somit die Möglichkeit bereit, Anwendungen zu entfernen oder deren Registrierung zu löschen, ohne dabei eine nicht erforderliche Umschaltung zu veranlassen. Beispielsweise wird im Fall der Löschung der Registrierung einer in dem aktiven Anwendungsendgerät 16 registrierten Anwendung, im Gegensatz zu einer Fehlersituation, von dem Reserve-Anwendungsendgerät 18 nicht automatisch eine Umschaltung angefordert, wenn deren Heartbeat- bzw. Synchronisationsmanager 100 feststellt, dass die Registrierung der Anwendung zweckgerichtet gelöscht wurde und die letztere nicht länger verfügbar ist.
  • Das Redundanzmanager-API 104 stellt außerdem eine Funktion zur unbedingten Umschaltung bereit, die bei Aufruf durch eine Anwendung oder einen Klienten aus der Gruppe der redundanten Anwendungen/Klienten 108 das aktive Anwendungsendgerät 16 veranlasst, auf das Reserve-Anwendungsendgerät 18 umzuschalten. Darüber hinaus stellt das Redundanzmanager-API 104 eine Funktion bereit, die die momentane Redundanzfunktion des Redundanzmanagers 62 und damit auch die Redundanzfunktion des Anwendungsendgerätes zurückgibt, in der der Redundanzmanager 62 selbst gespeichert ist, im Beispiel der 3 also das Reserve-Anwendungsendgerät 18. Somit liefert das Redundanzmanager-API 104 auf Anfrage durch eine oder mehrere der redundanten Anwendungen/Klienten 108 mittels der Funktion zur Rückmeldung der Redundanzfunktion Information zurück, die besagt, dass der Redundanzmanager 62 und das Anwendungsendgerät 18 in Reserve sind. Wenn eine entsprechende Anfrage an ein Redundanzmanager-API in dem aktiven Anwendungsendgerät 16 gerichtet wird, liefert das betreffende Redundanzmanager-API Information zurück, die einen aktiven Zustand anzeigt. Selbstverständlich kann auch jede andere gewünschte Funktion durch das Redundanzmanager-API 104 bereitgestellt werden.
  • Im Betrieb bauen die Redundanzmanager 50 und 62 vor der Freigabe einer Umschaltung einen Redundanzkontext auf. Zunächst werden die Anwendungsendgeräte 16 und 18 in identischer (oder wenigstens im Wesentlichen identischer) Weise konfiguriert. Vorzugsweise, nicht aber notwendigerweise, wird hierfür die Konfiguration des aktiven Anwendungsendgerätes 16 über das LAN 20 in z.B. das Reserve-Anwendungsendgerät 18 geladen. In dem Reserve-Anwendungsendgerät 18 kann ein Identitätssignal oder ein anderer Indikator gesetzt oder eingestellt werden, um die betreffende Station als in Reserve befindlich zu kennzeichnen. Nachdem die Konfiguration des aktiven Anwendungsendgerätes 16 in das Reserve-Anwendungsendgerät 18 geladen wurde, initiiert das Reserve-Anwendungsendgerät 18 die Kommunikation mit dem aktiven Anwendungsendgerät 16 über die Redundanzstrecke 46.
  • Das Reserve-Anwendungsendgerät 18 kommuniziert mit dem aktiven Anwendungsendgerät 16 über die Redundanzstrecke 46, um dem aktiven Anwendungsendgerät 16 Information hinsichtlich der Funktionsgüte zu übermitteln, die erforderlich ist, um den Redundanzkontext aufzubauen. Die Information hinsichtlich der Funktionsgüte kann beispielsweise einen Parameter bezüglich der maximal zulässigen Datenlatenz, einen maximal zulässigen Zeitraum für den Ausfall der Steuerung oder einen beliebigen anderen Parameter oder Wert enthalten, der sich auf Leistung, Sicherheit, Kosten etc. des Prozesssteuerungssystem 10 auswirken kann. Wenn das aktive Anwendungsendgerät 16 nicht in der Lage ist, die erforderliche Funktionsgüte bereitzustellen, wird der Redundanzkontext nicht aufgebaut.
  • Das Reserve-Anwendungsendgerät 18 kann außerdem das aktive Anwendungsendgerät 16 abfragen, um festzustellen, ob das aktive Anwendungsendgerät 16 bereits an einem Redundanzkontext mit einer anderen Anwendungsendgerät teilnimmt. Wenn das aktive Anwendungsendgerät 16 bereits Bestandteil eines Paars redundanter Anwendungsendgeräte bildet, wird der Redundanzkontext nicht aufgebaut.
  • Wenn das aktive Anwendungsendgerät 16 noch nicht als redundanter Partner mit einem anderen Anwendungsendgerät partizipiert (d.h. bereits Teil eines anderen Redundanzkontextes bildet) und die zur Aufrechterhaltung des aufgebauten Redundanzkontexts erforderliche Funktionsgüte bereitstellen kann, übermittelt das aktive Anwendungsendgerät 16 Information bezüglich der zur Ausführung der Operationen des aktiven Anwendungsendgerätes 16 verwendeten Ressourcen. Beispielsweise enthält die zwischen dem Reserve-Anwendungsendgerät 18 und dem aktiven Anwendungsendgerät 16 ausgetauschte ressourcenbezogene Information die Speicheranforderungen und die für die Abwicklung der Aufgaben des aktiven Anwendungsendgerätes 16 erforderliche Prozessorklasse, von dem aktiven Anwendungsendgerät 16 unterstützte Proxy- bzw. bevollmächtigende Information (z.B. Klient und Server bzw. Zusteller), Information zum Kommunikationssubsystem (z.B. Basis-Information, Leitweglenkungs-Information zum Internet-Protokoll, etc.).
  • Nach Empfang der Ressourceninformation bestimmt das Reserve-Anwendungsendgerät 18, ob es Zugriff auf die erforderlichen Ressourcen hat, wobei das Reserve-Anwendungsendgerät 18 in dem Fall, dass es nicht über den Zugriff auf die erforderlichen Ressourcen verfügt, eine geeignete Fehlermeldung an das aktive Anwendungsendgerät 16 absetzt und der Aufbau des Redundanzkontextes unterbleibt. Wenn andererseits das Reserve-Anwendungsendgerät 18 Zugriff auf die erforderlichen Ressourcen hat, baut das Reserve-Anwendungsendgerät 18 die Kommunikation mit dem aktiven Anwendungsendgerät 16, dem Kommunikationssubsystem 68 und allen anderen Subsystemen oder Vorrichtungen auf, um Informationen von den Ressourcen zu erhalten, die für die Abwicklung der Aufgaben des aktiven Anwendungsendgerätes 16 notwendig sind. Sobald das Reserve-Anwendungsendgerät 18 die für den Erhalt der benötigten Ressourceninformation erforderliche Kommunikation aufgebaut hat, kann ein Identitätssignal oder ein anderer Indikator gesetzt werden, um anzuzeigen, dass der Redundanzkontext aufgebaut ist.
  • Wenn der Redundanzkontext zwischen dem aktiven Anwendungsendgerät 16 und dem Reserve-Anwendungsendgerät 18 aufgebaut ist, wird der Kontext fortgeführt, wobei alle Änderungen der Konfiguration, der Betriebsparameter, der Kommunikationssubsysteme, bedienerseitige Änderungen, Ablaufsteuerungs-Information, Stapel- bzw. Batch-Phasen, Alarmmeldungen, Ereignismeldungen, Belegtmeldungen einzelner Ressourcen (beispielsweise beim Zugriff auf eine mehrfach genutzte Einrichtung wie etwa einen Vorlauf oder einen Reaktor) etc., die das aktive Anwendungsendgerät 16 betreffen, an das Reserve-Anwendungsendgerät 18 übermittelt werden. Wenn beispielsweise ein Systemnutzer oder ein Bediener die Konfiguration des aktiven Anwendungsendgerätes 16 verändert, werden diese Änderungen durch den Redundanzmanager 50 über die Redundanzlinksubsysteme 60 und 72 und die Redundanzstrecke 46 an den Redundanzmanager 62 übermittelt. Der Redundanzmanager 62 aktualisiert anschließend die Konfiguration des Reserve-Anwendungsendgerätes 18, so dass diese mit dem des aktiven Anwendungsendgerätes 16 übereinstimmt. In entsprechender Weise werden dann, wenn sich Parameterwerte wie beispielsweise Abstimmdaten und dem virtuellen Steuerblock 54 zugeordnete Regelkreisparameter etc. in einer Weise verändern, die die Fähigkeit des Reserve-Anwendungsendgerätes 18 zur Übernahme der Steuerungsaufgaben von dem aktiven Anwendungsendgerät 16 beeinflusst, werden diese Parameterwerte an das Reserve-Anwendungsendgerät 18 übermittelt und dort entsprechend aktualisiert. Folglich werden betriebliche Änderungen in dem aktiven Anwendungsendgerät 16 an das Reserve-Anwendungsendgerät weitergegeben, so dass das Reserve-Anwendungsendgerät 18 im Wesentlichen synchronisiert zur Funktion des aktiven Anwendungsendgerätes 16 ist.
  • Wenn eine Konfigurationsänderung an dem aktiven Anwendungsendgerät 16 vorgenommen und die Änderung an das Reserve-Anwendungsendgerät 18 weitergegeben wird, sperren die Redundanzmanager 50 und 62 die automatische Umschaltung (d.h. eine Umschaltung infolge eines Fehlers in dem aktiven Anwendungsendgerät 16). Während die automatische Umschaltung gesperrt ist, wird die Information betreffend die Konfigurationsänderungen über die Redundanzlinksubsysteme 60 und 72 und die Redundanzstrecke 46 an das Reserve-Anwendungsendgerät 18 übertragen. Wenn die Konfigurationsinformation erfolgreich übermittelt und in dem Reserve-Anwendungsendgerät 18 aktualisiert ist, wird die automatische Umschaltung wieder freigegeben. Andererseits kann bei einem Fehlschlagen der Übertragung und/oder der Aktualisierung der Konfigurationsinformation der Redundanzkontext unterbrochen oder beendet werden, wobei in diesem Fall die Anwendungsendgeräte 16 und 18 nicht weiter als redundantes Paar zusammenwirken.
  • Wie weiter oben erwähnt, kann eine Umschaltung durch manuellen Eingriff eines Systemnutzers oder eines Bedieners veranlasst werden, oder automatisch in Reaktion auf die Erkennung einer Bedingung oder eines anderen Ereignisses erfolgen, die/das es erfordert, dass das Reserve-Anwendungsendgerät 18 die Aufgaben des aktiven Anwendungsendgerätes 16 übernimmt. Eine manuelle Umschaltung kann durch einen hierfür berechtigten Benutzer veranlasst werden, indem ein entsprechender Funktionsaufruf an ein Redundanzmanager-API im Redundanzmanager 50 des aktiven Anwendungsendgerätes 16 abgesetzt wird, welches ähnlich oder identisch dem Redundanzmanager-API 104 sein kann.
  • Die automatische Umschaltung wird durch das Reserve-Anwendungsendgerät 18 veranlasst, und zwar in Reaktion auf eine Feststellung des Heartbeat- bzw. Synchronisationsmanagers 100 dahin gehend, dass das aktive Anwendungsendgerät 16 keine weiteren Synchronisationssignale (d.h. Statusinformation hinsichtlich der überwachten Ressourcen, die auf die ordnungsgemäße Funktion des aktiven Anwendungsendgerätes 16 hinweist) über die Redundanzstrecke 46 übermittelt. Die Redundanzlinksubsysteme 60 und 72 sind so konfiguriert, um ihre jeweiligen Redundanzmanager 50 und 62 in dem Fall zu informieren, dass die Kommunikation mit einem Partner innerhalb des Redundanzkontextes (beispielsweise dem Reserve-Anwendungsendgerät 18 als Partner im Redundanzkontext mit dem aktiven Anwendungsendgerät 16) ausbleibt. Zusätzlich sind die Kommunikationssubsysteme 56 und 68 konfiguriert, um ihre jeweiligen Redundanzmanager 50 und 62 im Fall einer Unterbrechung der LAN-Kommunikation mit ihren jeweiligen Anwendungsendgeräten 16 und 18 entsprechend zu informieren. Wenn beispielsweise das aktive Anwendungsendgerät 16 einen Ausfall der Kommunikation über das LAN 20 erleidet, meldet das Kommunikationssubsystem 56 den Ausfall an den Redundanzmanager 50. Der Redundanzmanager 50 meldet den Kommunikationsausfall mittels seines Redundanzlinksubsystem 60 (über die Redundanzstrecke 46) an den Redundanzmanager 62 in dem Reserve-Anwendungsendgerät 18.
  • Wie weiter oben erwähnt, kann eine Umschaltung in Reaktion auf einen Benutzereingriff veranlasst werden. Insbesondere kann ein Systemnutzer oder ein Bediener mit einer oder mehreren der redundanten Anwendungen/Klienten 108 (3) über das Redundanzmanager-API 104 in Verbindung treten, um eine Funktion aufzurufen, die eine Umschaltung bewirkt. Vorzugsweise, nicht aber notwendigerweise, wird die Anforderung zur Umschaltung an den Redundanzmanager 50 in dem aktiven Anwendungsendgerät 16 gerichtet. Wenn der Redundanzmanager 50 die Anforderung zur Umschaltung erhält, informiert der Redundanzmanager 50 den virtuellen Steuerblock 54, damit dieser die Umschaltung veranlasst, und alle das aktive Anwendungsendgerät 16 benötigten Bevollmächtigungen gesperrt werden. Zusätzlich werden alle für die Funktion des aktiven Anwendungsendgerätes 16 unterstützenden Ressourcen informiert, dass eine Umschaltung eingeleitet wurde. Beispielsweise wird das Kommunikationssubsystem 56 informiert, dass eine Umschaltung angefordert wurde. In Reaktion auf die Meldung bezüglich der Umschaltung stellt das Kommunikationssubsystem 56 sicher, dass seitens des aktiven Anwendungsendgerätes 16 nichts gegen eine Aktivierung des Reserve-Anwendungsendgerätes 18 (d.h. gegen eine Übernahme der Steuerung) steht. Darüber hinaus stellt das Kommunikationssubsystem 56 sicher, dass alle von dem Anwendungsendgerät abgesetzten Meldungen (d.h. Anforderungen eines Wechsels der Betriebsweise, Anforderungen zur Abstimmung etc.) an das aktive Anwendungsendgerät 16 übermittelt werden.
  • Nach Meldung der Umschaltung an die Ressourcen kommuniziert der Redundanzmanager 50 über die Redundanzlinksubsysteme 60 und 72 und die Redundanzstrecke 46, um eine Umschaltanweisung oder -anforderung an den Redundanzmanager 62 in dem Reserve-Anwendungsendgerät 18 zu übermitteln. Das Reserve-Anwendungsendgerät 18 reagiert auf die Anweisung oder die Anforderung zur Umschaltung, indem es den virtuellen Steuerblock 66 informiert, die Umschaltung zu bewirken, und durch Freigabe aller Bevollmächtigungen (die zuvor in dem aktiven Anwendungsendgerät 16 gesperrt wurden), die für die Funktion des virtuellen Steuerblocks 66 erforderlich sind. Anschließend werden die den virtuellen Steuerblock 66 unterstützenden Ressourcen von der Umschaltung informiert. Beispielsweise wird das Kommunikationssubsystem 68 im Gange der Umschaltung informiert und kann in Reaktion hierauf die Aktualisierung der Information zum Internetprotokollrouting, den erneuten Aufbau der TCP-Verbindungen etc. veranlassen. Im Gegensatz hierzu kann eine Umschaltung selbstverständlich auch automatisch in Reaktion auf einen Ausfall des aktiven Anwendungsendgerätes 16 initiiert werden.
  • Die redundanten Anwendungsendgeräte 16 und 18 können genutzt werden, um eine Online-Konfigurationsänderung, auch bekannt als „Hot“-Konfigurationsänderung, der aktiven Anwendung 16 vorzunehmen. Beispielsweise kann nach dem Aufbau eines Redundanzkontextes zwischen dem aktiven Anwendungsendgerät 16 und dem Reserve-Anwendungsendgerät 18 eine Umschaltoperation vorgenommen werden, um die Funktionen des aktiven Anwendungsendgerätes 16 an das Reserve-Anwendungsendgerät 18 umzuschalten. Die Umschaltoperation oder -funktion ist dann vorübergehend gesperrt, so dass die Konfiguration des aktiven Anwendungsendgerätes 16 in jeder gewünschten Weise geändert werden kann. Die Konfigurationsänderung kann ein Upgrade oder eine Änderung einer oder mehrerer der redundanten Anwendungen 52, eine Änderung des virtuellen Steuerblocks 54 oder jede andere gewünschte Änderung umfassen. Danach wird die Umschaltoperation oder -funktion wieder freigegeben, und eine Umschaltoperation zum Umschalten der Funktionen des Reserve-Anwendungsendgerätes 18 an das aktive Anwendungsendgerät 16 wird ausgeführt.
  • Die in den beispielhaften Anwendungsendgeräten 16 und 18 dargestellten Funktionsblöcke können unter Verwendung jeder beliebigen Kombination aus Programmen, Software in Festwertspeichern und Computergeräten, implementiert werden. Beispielsweise können ein oder mehrere Mikroprozessoren, Mikrosteuerungen, anwendungsspezifische Integrierte Schaltungen (ASICs - Application Specific Integrated Circuits) etc. auf Befehle oder Daten zugreifen, die auf maschinen- oder prozessorlesbaren Speichermedien gehalten werden, um die hierin beschriebenen Verfahren und Vorrichtungen umzusetzen bzw. zu realisieren. Die Speichermedien können jede beliebige Kombination aus Einrichtungen und/oder Medien wie beispielsweise Halbleiterspeichern einschließlich Speichern mit wahlfreiem Zugriff (RAM), Festspeichern (ROM), elektrisch löschbaren/- programmierbaren Festwertspeichern (EEPROM) etc., optischen und magnetischen Speichermedien etc. umfassen. Außerdem können Programme, die zur Implementierung der Funktionsblöcke genutzt werden, zusätzlich oder alternativ zu dem Prozessor oder einer anderen Einrichtung bzw. anderer Einrichtungen zur Abarbeitung der Programme, über das Internet, Telefonleitungen, Satellitenkommunikation etc. geliefert und zugegriffen werden.
  • Während die vorliegende Erfindung unter Bezugnahme auf spezifische Ausführungsbeispiele beschrieben worden ist, die die Erfindung nur verdeutlichen und nicht einschränken sollen, wird es für den Fachmann offensichtlich sein, dass Änderungen, Hinzufügungen oder Weglassungen an den offenbarten Ausführungsformen vorgenommen werden können, ohne vom Geist und Geltungsbereich der Erfindung abzuweichen.

Claims (28)

  1. Anwendungsendgerät (18) für die Verwendung als Reserve-Endgerät in einem Prozesssteuerungssystem, wobei das Anwendungsendgerät umfasst: einen Redundanzmanager (62) mit einer Anwendungs-Programmierschnittstelle (104); und ein Redundanzlinksubsystem (72), das mit dem Redundanzmanager verbunden und ausgeführt ist, um über eine Redundanzstrecke (46) mit einem zweiten, aktiven Anwendungsendgerät (16) zu kommunizieren, wobei der Redundanzmanager (62) ausgebildet ist, einen Redundanzkontext mit dem zweiten Anwendungsendgerät (16) aufzubauen, dadurch gekennzeichnet, dass das Anwendungsendgerät (18) ausgebildet ist, das zweite Anwendungsendgerät (16) abzufragen, um festzustellen, ob das zweite Anwendungsendgerät (16) mit einem dritten Anwendungsendgerät einen Redundanzkontext aufgebaut hat; und, wenn festgestellt ist, dass das zweite Anwendungsendgerät (16) einen Redundanzkontext mit dem dritten Anwendungsendgerät aufgebaut hat, ist das Anwendungsendgerät (18) ausgelegt, keinen Redundanzkontext mittels des Redundanzmanagers (62) mit dem zweiten Anwendungsendgerät (16) aufzubauen.
  2. Anwendungsendgerät (18) nach Anspruch 1, bei dem der Redundanzmanager (62) den Redundanzkontext aufrechterhält, so dass die Operationen des Anwendungsendgerätes den Operationen des zweiten Anwendungsendgerätes folgen.
  3. Anwendungsendgerät (18) nach Anspruch 1, bei dem der Redundanzmanager (62) ausgeführt ist, um über die Redundanzstrecke (46) und das Redundanzlinksubsystem (72) Information von dem zweiten Anwendungs- endgerät zu empfangen, und um in Reaktion auf die Information Operationen von dem zweiten Anwendungsendgerät auf das Anwendungsendgerät umzuschalten.
  4. Anwendungsendgerät (18) nach Anspruch 3, bei dem die von dem zweiten Anwendungsendgerät empfangene Information den Status der überwachten Ressourcen umfasst.
  5. Anwendungsendgerät (18) nach Anspruch 3, bei dem die empfangene Information von dem zweiten Anwendungsendgerät Information hinsichtlich der einwandfreien Funktion des zweiten Anwendungsendgerätes umfasst.
  6. Anwendungsendgerät (18) nach Anspruch 3, bei dem die von dem zweiten Anwendungsendgerät empfangene Information eine Fehlerinformation und eine Information zu einer Benutzeranweisung zur Ausführung einer Umschaltung umfasst.
  7. Anwendungsendgerät (18) nach Anspruch 3, bei dem die Operationen des zweiten Anwendungsendgerätes virtuelle Steuerungsoperationen umfassen.
  8. Anwendungsendgerät (18) nach Anspruch 3, bei dem die Operationen des zweiten Anwendungsendgerätes redundante Anwendungsoperationen umfassen.
  9. Anwendungsendgerät (18) nach Anspruch 3, bei dem die Operationen des zweiten Anwendungsendgerätes Operationen zur Netzwerkkommunikation umfassen.
  10. Anwendungsendgerät (18) nach Anspruch 1, des Weiteren umfassend eine redundante Anwendung, die kommunikativ mit dem Redundanzmanager verbunden ist.
  11. Anwendungsendgerät (18) nach Anspruch 10, bei dem die redundante Anwendung eine geschichtete Anwendung ist.
  12. Anwendungsendgerät (18) nach Anspruch 1, des Weiteren umfassend einen virtuellen Steuerblock, der kommunikativ mit dem Redundanzmanager (62) verbunden ist.
  13. Anwendungsendgerät (18) nach Anspruch 1, des Weiteren umfassend ein Kommunikationssubsystem, das kommunikativ mit dem Redundanzmanager (62) verbunden ist.
  14. Anwendungsendgerät (18) nach Anspruch 1, bei dem das Redundanzlinksubsystem ausgeführt ist, um mittels eines Ethernet-Kommunikationsschemas über die Redundanzstrecke (46) zu kommunizieren.
  15. Verfahren zum Aufbau eines Redundanzkontextes innerhalb eines Prozesssteuerungssystems mit ersten und zweiten Anwendungsendgeräten (18, 16), umfassend: Laden einer zum ersten Anwendungsendgerät (18) gehörigen Konfiguration in das zweite Anwendungsendgerät (16); Feststellen, ob das erste Anwendungsendgerät eine ausreichende Funktionsgüte gewährleistet; und Übermittlung von Information bezüglich einer von dem ersten Anwendungsendgerät genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät; Feststellen, ob das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat; und Abfragen des zweiten Anwendungsendgeräts durch das erste Anwendungsendgerät, um festzustellen, ob das zweite Anwendungsendgerät mit einem dritten Anwendungsendgerät einen Redundanzkontext aufgebaut hat; Aufbau des Redundanzkontextes innerhalb des Prozesssteuerungssystems in Reaktion auf die Feststellung, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat und, wenn festgestellt ist, dass das zweite Anwendungsendgerät keinen Redundanzkontext mit dem dritten Anwendungsendgerät aufgebaut hat.
  16. Verfahren nach Anspruch 15, bei dem das Laden der zum ersten Anwendungsendgerät (18) gehörigen Konfiguration in das zweite Anwendungsendgerät (16) den Transport der Information über ein Prozesssteuerungsnetzwerk umfasst.
  17. Verfahren nach Anspruch 15, bei dem die Feststellung, dass das erste Anwendungsendgerät (18) eine ausreichende Funktionsgüte gewährleistet, die Feststellung umfasst, dass das erste Anwendungsendgerät wenigstens die Funktionsgüte des zweiten Anwendungsendgerätes (16) gewährleistet.
  18. Verfahren nach Anspruch 17, bei dem die Feststellung, dass das erste Anwendungsendgerät (18) wenigstens die Funktionsgüte des zweiten Anwendungsendgerätes (16) gewährleistet, die Evaluierung eines Parameters bezüglich der maximal zulässigen Datenlatenz und eines Parameters bezüglich des maximal zulässigen Zeitraums für den Ausfall der Steuerung umfasst.
  19. Verfahren nach Anspruch 15, bei dem die Feststellung, dass das erste Anwendungsendgerät (18) eine ausreichende Funktionsgüte gewährleistet, die Feststellung einer Prozessorklasse und eines verfügbaren Speicherumfangs umfasst.
  20. Verfahren nach Anspruch 15, bei dem die Übermittlung einer Information bezüglich der von dem ersten Anwendungsendgerät (18) genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät (16) die Übermittlung von Steuerungsinformation und von Kommunikationsinformation umfasst.
  21. System zum Aufbau eines Redundanzkontextes innerhalb eines Prozesssteuerungssystems, umfassend: ein erstes Anwendungsendgerät; und ein zweites Anwendungsendgerät, das mit dem ersten Anwendungsendgerät kommunikativ verbunden ist, wobei das erste Anwendungsendgerät programmiert ist, um: eine Konfiguration in das zweite Anwendungsendgerät zu laden; festzustellen, dass das erste Anwendungsendgerät eine ausreichende Funktionsgüte gewährleistet; und Information bezüglich einer von dem ersten Anwendungsendgerät genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät zu übermitteln, und wobei das zweite Anwendungsendgerät programmiert ist, um: festzustellen, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat; und um in Reaktion auf die Feststellung, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat, den Redundanzkontext innerhalb des Prozesssteuerungssystems aufzubauen, wobei das zweite Anwendungsendgerät ausgebildet ist, das erste Anwendungsendgerät abzufragen, um festzustellen, ob das erste Anwendungsendgerät mit einem dritten Anwendungsendgerät einen Redundanzkontext aufgebaut hat; und, wenn festgestellt ist, dass das erste Anwendungsendgerät (18) einen Redundanzkontext mit dem dritten Anwendungsendgerät aufgebaut hat, ist das zweite Anwendungsendgerät ausgelegt, keinen Redundanzkontext mit dem ersten Anwendungsendgerät aufzubauen.
  22. System nach Anspruch 21, bei dem das erste Anwendungsendgerät (18) programmiert ist, um die Konfiguration in das zweite Anwendungsendgerät (16) zu laden, indem die Information über ein Prozesssteuerungsnetzwerk transportiert wird.
  23. System nach Anspruch 21, bei dem das erste Anwendungsendgerät (18) programmiert ist, um festzustellen, dass das erste Anwendungsendgerät eine ausreichende Funktionsgüte gewährleistet, indem es feststellt, dass das erste Anwendungsendgerät wenigstens die Funktionsgüte gewährleistet, die von dem zweiten Anwendungsendgerät (16) bereitgestellt wird.
  24. System nach Anspruch 21, bei dem das erste Anwendungsendgerät (18) programmiert ist, um Information bezüglich der von dem ersten Anwendungsendgerät genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät (16) zu übermitteln, indem Steuerungsinformation und Kommunikationsinformation übertragen wird.
  25. Maschinenlesbares Medium, auf dem Daten gespeichert sind, die bei der Ausführung die Anlage veranlassen: eine einem ersten Anwendungsendgerät (18) zugehörige Konfiguration in ein zweites Anwendungsendgerät (16) zu laden; festzustellen, dass das erste Anwendungsendgerät eine ausreichende Funktionsgüte gewährleistet; Information bezüglich einer von dem ersten Anwendungsendgerät genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät zu übermitteln; festzustellen, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat; und Abfragen des zweiten Anwendungsendgeräts durch das erste Anwendungsendgerät, um festzustellen, ob das zweite Anwendungsendgerät mit einem dritten Anwendungsendgerät einen Redundanzkontext aufgebaut hat; und in Reaktion auf die Feststellung, dass das zweite Anwendungsendgerät Zugriff auf die von dem ersten Anwendungsendgerät genutzte Gruppe von Ressourcen hat und dass das zweite Anwendungsendgerät keinen Redundanzkontext mit dem dritten Anwendungsendgerät aufgebaut hat, einen Redundanzkontext innerhalb des Prozesssteuerungssystems aufzubauen.
  26. Maschinenlesbares Medium nach Anspruch 25, auf dem Daten gespeichert sind, die bei der Ausführung die Anlage veranlassen, die dem ersten Anwendungsendgerät (18) zugehörige Konfiguration in das zweite Anwendungsendgerät (16) zu laden, indem die Information über ein Prozesssteuerungsnetzwerk transportiert wird.
  27. Maschinenlesbares Medium nach Anspruch 25, auf dem Daten gespeichert sind, die bei der Ausführung die Anlage veranlassen festzustellen, dass das erste Anwendungsendgerät (18) eine ausreichende Funktionsgüte gewährleistet, indem es feststellt, dass das erste Anwendungsendgerät wenigstens die Funktionsgüte gewährleistet, die von dem zweiten Anwendungsendgerät bereitgestellt wird.
  28. Maschinenlesbares Medium nach Anspruch 25, auf dem Daten gespeichert sind, die bei der Ausführung die Anlage veranlassen, die Information bezüglich der von dem ersten Anwendungsendgerät (18) genutzten Gruppe von Ressourcen an das zweite Anwendungsendgerät (16) zu übermitteln, indem Steuerungsinformation und Kommunikationsinformation übertragen wird.
DE102004001031.5A 2003-01-02 2004-01-02 Redundante Anwendungsendgeräte für Prozesssteuerungssysteme Expired - Lifetime DE102004001031B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/335,289 US20040153700A1 (en) 2003-01-02 2003-01-02 Redundant application stations for process control systems
US10/335289 2003-01-02

Publications (2)

Publication Number Publication Date
DE102004001031A1 DE102004001031A1 (de) 2004-09-16
DE102004001031B4 true DE102004001031B4 (de) 2022-11-17

Family

ID=31715532

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004001031.5A Expired - Lifetime DE102004001031B4 (de) 2003-01-02 2004-01-02 Redundante Anwendungsendgeräte für Prozesssteuerungssysteme

Country Status (6)

Country Link
US (1) US20040153700A1 (de)
JP (4) JP2004227566A (de)
CN (2) CN102426415B (de)
DE (1) DE102004001031B4 (de)
GB (1) GB2397661B (de)
HK (3) HK1067721A1 (de)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7325154B2 (en) * 2004-05-04 2008-01-29 Sun Microsystems, Inc. Service redundancy
US20060023627A1 (en) * 2004-08-02 2006-02-02 Anil Villait Computing system redundancy and fault tolerance
WO2006026402A2 (en) 2004-08-26 2006-03-09 Availigent, Inc. Method and system for providing high availability to computer applications
KR100701105B1 (ko) * 2004-12-22 2007-03-28 한국전자통신연구원 Ip 기반 네트워크에서 제어채널 구성 및 보호 방법과상태 천이 방법
JP2006285448A (ja) * 2005-03-31 2006-10-19 Oki Electric Ind Co Ltd 冗長システム
US8752049B1 (en) 2008-12-15 2014-06-10 Open Invention Network, Llc Method and computer readable medium for providing checkpointing to windows application groups
US8082468B1 (en) * 2008-12-15 2011-12-20 Open Invention Networks, Llc Method and system for providing coordinated checkpointing to a group of independent computer applications
JP4787614B2 (ja) * 2005-12-22 2011-10-05 株式会社リコー 画像形成装置及びアプリケーション管理プログラム
US8359112B2 (en) * 2006-01-13 2013-01-22 Emerson Process Management Power & Water Solutions, Inc. Method for redundant controller synchronization for bump-less failover during normal and program mismatch conditions
JP2007226400A (ja) * 2006-02-22 2007-09-06 Hitachi Ltd 計算機管理方法、計算機管理プログラム、実行サーバの構成を管理する待機サーバ及び計算機システム
US9648147B2 (en) * 2006-12-29 2017-05-09 Futurewei Technologies, Inc. System and method for TCP high availability
US8051326B2 (en) * 2006-12-29 2011-11-01 Futurewei Technologies, Inc. System and method for completeness of TCP data in TCP HA
US9516580B2 (en) * 2007-03-19 2016-12-06 Texas Instruments Incorporated Enabling down link reception of system and control information from intra-frequency neighbors without gaps in the serving cell in evolved-UTRA systems
JP2009016905A (ja) * 2007-06-29 2009-01-22 Fujitsu Ltd パケットネットワークシステム
CN101226397A (zh) * 2008-02-04 2008-07-23 南京理工大学 高可靠性分布式以太网测控系统
US7971099B2 (en) * 2008-04-02 2011-06-28 International Business Machines Corporation Method for enabling faster recovery of client applications in the event of server failure
JP5074274B2 (ja) * 2008-04-16 2012-11-14 株式会社日立製作所 計算機システム及び通信経路の監視方法
US8700760B2 (en) * 2008-08-18 2014-04-15 Ge Fanuc Intelligent Platforms, Inc. Method and systems for redundant server automatic failover
DE102008045316B4 (de) 2008-09-02 2018-05-24 Trumpf Werkzeugmaschinen Gmbh + Co. Kg System und Verfahren zur Fernkommunikation zwischen einem zentralen Computer, einer Maschinensteuerung und einem Servicecomputer
US8590033B2 (en) * 2008-09-25 2013-11-19 Fisher-Rosemount Systems, Inc. One button security lockdown of a process control network
US8782670B2 (en) 2009-04-10 2014-07-15 Open Invention Network, Llc System and method for application isolation
US8341631B2 (en) 2009-04-10 2012-12-25 Open Invention Network Llc System and method for application isolation
US8539488B1 (en) 2009-04-10 2013-09-17 Open Invention Network, Llc System and method for application isolation with live migration
US8464256B1 (en) 2009-04-10 2013-06-11 Open Invention Network, Llc System and method for hierarchical interception with isolated environments
US8752048B1 (en) 2008-12-15 2014-06-10 Open Invention Network, Llc Method and system for providing checkpointing to windows application groups
US8904004B2 (en) * 2009-04-10 2014-12-02 Open Invention Network, Llc System and method for maintaining mappings between application resources inside and outside isolated environments
US8880473B1 (en) 2008-12-15 2014-11-04 Open Invention Network, Llc Method and system for providing storage checkpointing to a group of independent computer applications
US8281317B1 (en) 2008-12-15 2012-10-02 Open Invention Network Llc Method and computer readable medium for providing checkpointing to windows application groups
US9577893B1 (en) 2009-04-10 2017-02-21 Open Invention Network Llc System and method for cached streaming application isolation
US8555360B1 (en) 2009-04-10 2013-10-08 Open Invention Network Llc System and method for on-line and off-line streaming application isolation
US8418236B1 (en) 2009-04-10 2013-04-09 Open Invention Network Llc System and method for streaming application isolation
US10419504B1 (en) 2009-04-10 2019-09-17 Open Invention Network Llc System and method for streaming application isolation
US11538078B1 (en) 2009-04-10 2022-12-27 International Business Machines Corporation System and method for usage billing of hosted applications
US9058599B1 (en) 2009-04-10 2015-06-16 Open Invention Network, Llc System and method for usage billing of hosted applications
DE102010003539A1 (de) 2010-03-31 2011-10-06 Robert Bosch Gmbh Verfahren und Schaltungsanordnung zur Bestimmung von Position-Minus-Zeit
DE112011103241T5 (de) * 2010-09-27 2013-08-14 Fisher-Rosemount Systems, Inc. Verfahren und Vorrichtung zum Virtualisieren eines Prozesssteuerungssystems
CN102193543B (zh) * 2011-03-25 2013-05-15 上海磁浮交通发展有限公司 基于现场总线冗余网络拓扑结构的控制系统及其切换方法
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8788579B2 (en) * 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
JP5661659B2 (ja) * 2012-02-03 2015-01-28 株式会社日立製作所 プラント監視制御装置及びプラント監視制御方法
DE102012003242A1 (de) * 2012-02-20 2013-08-22 Phoenix Contact Gmbh & Co. Kg Verfahren zum ausfallsicheren Betreiben eines Prozesssteuersystems mit redundanten Steuereinrichtungen
US9483352B2 (en) * 2013-09-27 2016-11-01 Fisher-Rosemont Systems, Inc. Process control systems and methods
FR3025626B1 (fr) * 2014-09-05 2017-11-03 Sagem Defense Securite Architecture bi-voies avec liaisons ccdl redondantes
US10176012B2 (en) 2014-12-12 2019-01-08 Nxp Usa, Inc. Method and apparatus for implementing deterministic response frame transmission
US10505757B2 (en) 2014-12-12 2019-12-10 Nxp Usa, Inc. Network interface module and a method of changing network configuration parameters within a network device
JP6299640B2 (ja) * 2015-03-23 2018-03-28 横河電機株式会社 通信装置
JP6265158B2 (ja) * 2015-03-27 2018-01-24 横河電機株式会社 電子機器
JP6409812B2 (ja) * 2016-04-01 2018-10-24 横河電機株式会社 冗長化装置、冗長化システム、及び冗長化方法
US10628352B2 (en) 2016-07-19 2020-04-21 Nxp Usa, Inc. Heterogeneous multi-processor device and method of enabling coherent data access within a heterogeneous multi-processor device
CN107219831B (zh) * 2017-06-13 2023-08-11 蚌埠凯盛工程技术有限公司 一种特种玻璃生产线dcs与dlp液晶大屏幕接口控制系统
CN108563150B (zh) * 2018-04-18 2020-06-16 东莞理工学院 一种末端反馈设备
CN112639640A (zh) * 2018-09-05 2021-04-09 西门子股份公司 冗余热备控制系统、控制设备、冗余热备方法及计算机可读存储介质
US10872039B2 (en) * 2018-12-03 2020-12-22 Micron Technology, Inc. Managing redundancy contexts in storage devices using eviction and restoration
CN110707824B (zh) * 2019-11-12 2021-08-20 上海思源弘瑞自动化有限公司 一种测控装置的冗余配置方法、装置、设备和存储介质
US11061785B2 (en) 2019-11-25 2021-07-13 Sailpoint Technologies, Israel Ltd. System and method for on-demand warm standby disaster recovery
RU2745946C1 (ru) * 2019-12-10 2021-04-05 ООО "Технократ" Резервированная система управления на основе программируемых контроллеров
CN112639631B (zh) * 2020-05-19 2022-01-11 华为技术有限公司 控制方法和装置
CN112468212B (zh) * 2020-11-04 2022-10-04 北京遥测技术研究所 一种全天候无人值守测控站的高可用伺服系统
CN113495484A (zh) * 2021-06-21 2021-10-12 宝信软件(武汉)有限公司 一种工业水处理循环控制的多切换系统
CN116841185B (zh) * 2023-09-01 2023-11-21 浙江大学 一种可高实时多层次动态重构的工业控制系统架构

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518630A2 (de) 1991-06-12 1992-12-16 Aeci Limited Redundante Prozessregelung
US6243825B1 (en) 1998-04-17 2001-06-05 Microsoft Corporation Method and system for transparently failing over a computer name in a server cluster
US20020023117A1 (en) 2000-05-31 2002-02-21 James Bernardin Redundancy-based methods, apparatus and articles-of-manufacture for providing improved quality-of-service in an always-live distributed computing environment
US6477663B1 (en) 1998-04-09 2002-11-05 Compaq Computer Corporation Method and apparatus for providing process pair protection for complex applications
DE69815392T2 (de) 1997-12-19 2004-05-13 Honeywell, Inc., Minneapolis Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4141066A (en) * 1977-09-13 1979-02-20 Honeywell Inc. Process control system with backup process controller
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
JPS6140643A (ja) * 1984-07-31 1986-02-26 Hitachi Ltd システムの資源割当て制御方式
JPS6272248A (ja) * 1985-09-25 1987-04-02 Hitachi Ltd デ−タ伝送システムの現用予備切替方法
EP0380211B1 (de) * 1989-01-17 1996-07-17 Landmark Graphics Corporation Verfahren zur Übertragung von Daten zwischen gleichzeitig ablaufenden Rechnerprogrammen
US4958270A (en) * 1989-01-23 1990-09-18 Honeywell Inc. Method for control data base updating of a redundant processor in a process control system
US5088021A (en) * 1989-09-07 1992-02-11 Honeywell, Inc. Apparatus and method for guaranteed data store in redundant controllers of a process control system
AU6894491A (en) * 1989-11-27 1991-06-26 Olin Corporation Method and apparatus for providing backup process control
JP2560510B2 (ja) * 1990-03-06 1996-12-04 日本電気株式会社 ネットワーク管理マネージャ切り替え方式
US5758052A (en) * 1991-10-02 1998-05-26 International Business Machines Corporation Network management method using redundant distributed control processors
US5551047A (en) * 1993-01-28 1996-08-27 The Regents Of The Univeristy Of California Method for distributed redundant execution of program modules
JPH06348523A (ja) * 1993-06-07 1994-12-22 Toshiba Corp 二重化監視制御システム
JPH0736720A (ja) * 1993-07-20 1995-02-07 Yokogawa Electric Corp 二重化コンピュータ装置
JPH07141216A (ja) * 1993-11-15 1995-06-02 Hitachi Ltd システム構成変更処理方式
US5537583A (en) * 1994-10-11 1996-07-16 The Boeing Company Method and apparatus for a fault tolerant clock with dynamic reconfiguration
JPH08202570A (ja) * 1995-01-24 1996-08-09 Fuji Facom Corp 二重化プロセス制御装置
US5655081A (en) * 1995-03-08 1997-08-05 Bmc Software, Inc. System for monitoring and managing computer resources and applications across a distributed computing environment using an intelligent autonomous agent architecture
US5974562A (en) * 1995-12-05 1999-10-26 Ncr Corporation Network management system extension
US6049838A (en) * 1996-07-01 2000-04-11 Sun Microsystems, Inc. Persistent distributed capabilities
US6826590B1 (en) * 1996-08-23 2004-11-30 Fieldbus Foundation Block-oriented control system on high speed ethernet
US6070250A (en) * 1996-12-13 2000-05-30 Westinghouse Process Control, Inc. Workstation-based distributed process control system
JPH10240557A (ja) * 1997-02-27 1998-09-11 Mitsubishi Electric Corp 待機冗長化システム
JP3913324B2 (ja) * 1997-08-15 2007-05-09 富士フイルム株式会社 画像情報記録媒体およびそれを使用するフォトフィニッシングシステム並びにそれを生成するプログラムを記録した記録媒体
JPH1165867A (ja) * 1997-08-27 1999-03-09 Hitachi Ltd 負荷分散形システムにおけるシステム二重化方法
US6148410A (en) * 1997-09-15 2000-11-14 International Business Machines Corporation Fault tolerant recoverable TCP/IP connection router
US6275953B1 (en) * 1997-09-26 2001-08-14 Emc Corporation Recovery from failure of a data processor in a network server
CA2217277A1 (en) * 1997-10-03 1999-04-03 Newbridge Networks Corporation Automatic link establishment for distributed servers in atm networks
JP3651742B2 (ja) * 1998-01-21 2005-05-25 株式会社東芝 プラント監視システム
US6330689B1 (en) * 1998-04-23 2001-12-11 Microsoft Corporation Server architecture with detection and recovery of failed out-of-process application
JP3248485B2 (ja) * 1998-05-29 2002-01-21 日本電気株式会社 クラスタシステム、クラスタシステムにおける監視方式およびその方法
JP3360719B2 (ja) * 1998-06-19 2002-12-24 日本電気株式会社 ディスクアレイクラスタリング通報方法およびシステム
US6266781B1 (en) * 1998-07-20 2001-07-24 Academia Sinica Method and apparatus for providing failure detection and recovery with predetermined replication style for distributed applications in a network
US6247142B1 (en) * 1998-08-21 2001-06-12 Aspect Communications Apparatus and method for providing redundancy in a transaction processing system
US6286047B1 (en) * 1998-09-10 2001-09-04 Hewlett-Packard Company Method and system for automatic discovery of network services
US6470450B1 (en) * 1998-12-23 2002-10-22 Entrust Technologies Limited Method and apparatus for controlling application access to limited access based data
JP2000222233A (ja) * 1999-01-28 2000-08-11 Nec Eng Ltd デュプレックスシステムおよび現用系・待機系切り換え方法
JP2001005684A (ja) * 1999-06-17 2001-01-12 Mitsubishi Electric Corp 制御装置およびそれを用いた制御システム
JP2001022709A (ja) * 1999-07-13 2001-01-26 Toshiba Corp クラスタシステム及びプログラムを記憶したコンピュータ読み取り可能な記憶媒体
US6397385B1 (en) * 1999-07-16 2002-05-28 Excel Switching Corporation Method and apparatus for in service software upgrade for expandable telecommunications system
US7140025B1 (en) * 1999-11-16 2006-11-21 Mci, Llc Method and apparatus for providing a real-time message routing communications manager
US6594786B1 (en) * 2000-01-31 2003-07-15 Hewlett-Packard Development Company, Lp Fault tolerant high availability meter
US6898727B1 (en) * 2000-03-22 2005-05-24 Emc Corporation Method and apparatus for providing host resources for an electronic commerce site
US6643795B1 (en) * 2000-03-30 2003-11-04 Hewlett-Packard Development Company, L.P. Controller-based bi-directional remote copy system with storage site failover capability
JP4054509B2 (ja) * 2000-04-19 2008-02-27 株式会社東芝 フィールド機器制御システムおよびコンピュータが読取り可能な記憶媒体
JP3576922B2 (ja) * 2000-04-28 2004-10-13 エヌイーシーネクサソリューションズ株式会社 アプリケーションプログラムの監視方法、及びアプリケーション・サービスを提供する方法
US7225244B2 (en) * 2000-05-20 2007-05-29 Ciena Corporation Common command interface
DE10030329C1 (de) * 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
US7693976B2 (en) * 2000-07-11 2010-04-06 Ciena Corporation Granular management of network resources
JP2002041305A (ja) * 2000-07-26 2002-02-08 Hitachi Ltd 仮想計算機システムにおける計算機資源の割当て方法および仮想計算機システム
JP2002116920A (ja) * 2000-10-05 2002-04-19 Toshiba Corp クラスタシステム、クラスタシステムにおける監視方法およびコンピュータプログラム
WO2002035312A2 (en) * 2000-10-16 2002-05-02 Goahead Software Inc. Techniques for maintaining high availability of networked systems
US7058629B1 (en) * 2001-02-28 2006-06-06 Oracle International Corporation System and method for detecting termination of an application instance using locks
US7263597B2 (en) * 2001-04-19 2007-08-28 Ciena Corporation Network device including dedicated resources control plane
US20030037284A1 (en) * 2001-08-15 2003-02-20 Anand Srinivasan Self-monitoring mechanism in fault-tolerant distributed dynamic network systems
US6934880B2 (en) * 2001-11-21 2005-08-23 Exanet, Inc. Functional fail-over apparatus and method of operation thereof
US7382724B1 (en) * 2001-11-21 2008-06-03 Juniper Networks, Inc. Automatic switchover mechanism in a network device
US7111084B2 (en) * 2001-12-28 2006-09-19 Hewlett-Packard Development Company, L.P. Data storage network with host transparent failover controlled by host bus adapter
US8856345B2 (en) * 2002-03-11 2014-10-07 Metso Automation Oy Redundancy in process control system
US7085956B2 (en) * 2002-04-29 2006-08-01 International Business Machines Corporation System and method for concurrent logical device swapping
US6868067B2 (en) * 2002-06-28 2005-03-15 Harris Corporation Hybrid agent-oriented object model to provide software fault tolerance between distributed processor nodes
US7197664B2 (en) * 2002-10-28 2007-03-27 Intel Corporation Stateless redundancy in a network device
US7246261B2 (en) * 2003-07-24 2007-07-17 International Business Machines Corporation Join protocol for a primary-backup group with backup resources in clustered computer system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518630A2 (de) 1991-06-12 1992-12-16 Aeci Limited Redundante Prozessregelung
DE69815392T2 (de) 1997-12-19 2004-05-13 Honeywell, Inc., Minneapolis Systeme und verfahren zur synchronisierung von redundanten steuerungen mit minimaler steuerungsstörung
US6477663B1 (en) 1998-04-09 2002-11-05 Compaq Computer Corporation Method and apparatus for providing process pair protection for complex applications
US6243825B1 (en) 1998-04-17 2001-06-05 Microsoft Corporation Method and system for transparently failing over a computer name in a server cluster
US20020023117A1 (en) 2000-05-31 2002-02-21 James Bernardin Redundancy-based methods, apparatus and articles-of-manufacture for providing improved quality-of-service in an always-live distributed computing environment

Also Published As

Publication number Publication date
JP2010044782A (ja) 2010-02-25
HK1075502A1 (en) 2005-12-16
HK1075503A1 (en) 2005-12-16
GB0330204D0 (en) 2004-02-04
JP5243384B2 (ja) 2013-07-24
CN102426415B (zh) 2016-03-16
GB2397661B (en) 2005-08-24
JP5592931B2 (ja) 2014-09-17
CN1527169B (zh) 2012-04-25
CN1527169A (zh) 2004-09-08
JP2010044781A (ja) 2010-02-25
US20040153700A1 (en) 2004-08-05
GB2397661A (en) 2004-07-28
JP2004227566A (ja) 2004-08-12
HK1067721A1 (en) 2005-04-15
CN102426415A (zh) 2012-04-25
DE102004001031A1 (de) 2004-09-16
JP2013101650A (ja) 2013-05-23

Similar Documents

Publication Publication Date Title
DE102004001031B4 (de) Redundante Anwendungsendgeräte für Prozesssteuerungssysteme
DE10159697B4 (de) Redundante Einrichtungen in einem Prozesssteuersystem
DE19939567B4 (de) Vorrichtung zum Steuern von sicherheitskritischen Prozessen
EP2817682B1 (de) Verfahren zum ausfallsicheren betreiben eines prozesssteuersystems mit redundanten steuereinrichtungen
EP3547618B1 (de) Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit
EP1205052A1 (de) Verfahren zur einstellung einer datenübertragungsrate in einem feldbussystem
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP2626789A2 (de) Alternative Synchronisationsverbindungen zwischen redundanten Steuerungseinrichtungen
DE10324380B4 (de) Programmierbare Steuerung mit CPU und Kommunikationseinheiten sowie Verfahren zur Steuerung derselben
DE10236392A1 (de) Verfahren und Vorrichtung zum Steuern von Handhabungsgeräten
EP1206868B1 (de) Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
WO2011048145A1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP2266002B1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
DE60309012T2 (de) Verfahren und system zur sicherstellung eines busses und eines steuerservers
DE102004050350B4 (de) Verfahren und Vorrichtung zur Redundanzkontrolle von elektrischen Einrichtungen
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
EP1136896A2 (de) Hochverfügbares Rechnersystem und Verfahren zur Umschaltung von Bearbeitungsprogrammen eines hochverfügbaren Rechnersystems
EP1619849B1 (de) Verfahren zum Synchronisieren eines verteilten Systems
EP3457232B1 (de) Verfahren zum betrieb eines hochverfügbaren automatisierungssystems
EP1692816B1 (de) Verfahren zum ersatzschalten von räumlich getrennten vermittlungssystemen
WO2012003862A1 (de) Einrichtung zur synchronisierung von zwei prozessen eines redundanten steuerungssystems einer industriellen automatisierungsanordnung
DE102021210453A1 (de) Steuergerät, system und verfahren zum konfigurieren von geräten eines feldbusnetzwerks
WO2024028207A1 (de) Automatisierungssystem

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R071 Expiry of right