DE102013103379A1 - Control and data transmission system for redundant process control and firmware update process - Google Patents

Control and data transmission system for redundant process control and firmware update process Download PDF

Info

Publication number
DE102013103379A1
DE102013103379A1 DE102013103379.2A DE102013103379A DE102013103379A1 DE 102013103379 A1 DE102013103379 A1 DE 102013103379A1 DE 102013103379 A DE102013103379 A DE 102013103379A DE 102013103379 A1 DE102013103379 A1 DE 102013103379A1
Authority
DE
Germany
Prior art keywords
control
control device
firmware
update
system memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102013103379.2A
Other languages
German (de)
Inventor
Henning Heutger
Thorsten Uhde
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE102013103379.2A priority Critical patent/DE102013103379A1/en
Priority to PCT/EP2014/056823 priority patent/WO2014161986A1/en
Publication of DE102013103379A1 publication Critical patent/DE102013103379A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Stored Programmes (AREA)

Abstract

Zur Vereinfachung und/oder Verbesserung einer redundanten Prozesssteuerung sieht die Erfindung eine Steuer- und Datenübertragungsanlage mit wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung (100, 200) vor, wobei zwischen der ersten und zweiten Steuereinrichtung (100, 200) eine Kommunikationsverbindung besteht, die erste und die zweite Steuereinrichtung (100, 200) jeweils einen Systemspeicher (120, 220) mit einer darin gespeicherten Firmware umfasst, jede der Steuereinrichtungen (100, 200) dazu ausgebildet ist, die im Systemspeicher (120, 220) gespeicherte Firmware unter Verwendung einer in einem Parametrierungsspeicher (130, 230) der jeweiligen Steuereinrichtung (100, 200) gespeicherten Firmware-Datei zu aktualisieren, und die erste und/oder die zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, eine Firmware-Datei zu der jeweils anderen Steuereinrichtung (100, 200) zu übertragen und eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren.
Die Erfindung sieht ferner ein entsprechendes Verfahren zur Firmware-Aktualisierung vor. To simplify and / or improve a redundant process control, the invention provides a control and data transmission system with at least a first and a second, the first redundant control device (100, 200), wherein between the first and second control device (100, 200) has a communication connection each of the first and second controllers (100, 200) comprises a system memory (120, 220) having firmware stored therein, each of the controllers (100, 200) configured to store the firmware stored in the system memory (120, 220) using a firmware file stored in a parameterization memory (130, 230) of the respective control device (100, 200), and the first and / or the second control device (100, 200) is adapted to add a firmware file to the each other control device (100, 200) to transmit and updating the in the system memory (120, 220) of the jew initiate firmware stored on another controller (100, 200) using the transmitted firmware file.
The invention further provides a corresponding method for firmware update.

Figure DE102013103379A1_0001
Figure DE102013103379A1_0001

Description

Die Erfindung betrifft allgemein die Automatisierungstechnik, und insbesondere eine Steuer- und Datenübertragungsanlage mit wenigstens einer Steuereinrichtung, welche über ein Kommunikationsnetzwerk mit wenigstens einer als Ein- und/oder Ausgabegerät ausgebildeten Prozesseinrichtung verbunden ist, sowie ein Verfahren zur redundanten Prozesssteuerung. The invention relates generally to automation technology, and more particularly to a control and data transmission system having at least one control device which is connected via a communication network with at least one processing device embodied as an input and / or output device, as well as a method for redundant process control.

In der Automatisierungstechnik werden bei Applikationen, die hochverfügbar ausgelegt sind, wie zum Beispiel eine Tunnelüberwachung, sogenannte Redundanzsteuerungen verwendet. Dabei steuert eine Steuereinrichtung, üblicherweise auch als Steuerung oder Controller bezeichnet, den Prozess und die andere Steuereinrichtung läuft im Standby-Betrieb, um beim Eintreten bestimmter Ereignisse die Prozesskontrolle übernehmen zu können. Der Programmablauf wird dabei zwischen den Steuereinrichtungen über eine Synchronisationsverbindung abgeglichen, damit der Prozess nach einer Umschaltung in gleicher Weise weiter gesteuert werden kann. Neben dieser Synchronisation des Anwenderprogramms werden auch weitere Informationen zwischen den Steuereinrichtungen ausgetauscht, um den konsistenten Betrieb sicher zu stellen. Jede der Steuereinrichtungen muss über den Zustand und Funktion der anderen informiert sein, um den eigenen Ablauf darauf abzustimmen. In automation technology, so-called redundancy controls are used in applications that are designed for high availability, such as tunnel monitoring. In this case, a control device, usually also referred to as controller or controller controls the process and the other control device runs in standby mode to take over the occurrence of certain events, the process control can. The program sequence is adjusted between the control devices via a synchronization connection, so that the process can be further controlled in the same way after switching. In addition to this synchronization of the user program, additional information is exchanged between the controllers to ensure consistent operation. Each of the controllers must be aware of the condition and function of the other to tune their own flow.

Ein entsprechendes Redundanzsteuerungssystem umfasst im allgemeinen zwei Steuereinrichtungen, die untereinander synchronisiert sind, sowie unterlagerte Eingabe-/ Ausgabe-Stationen, die über ein entsprechendes Kommunikationsnetzwerk an beide Steuerungen angebunden sind. A corresponding redundancy control system generally comprises two control devices, which are synchronized with one another, as well as subordinate input / output stations, which are connected to both controllers via a corresponding communication network.

Aus DE 100 30 329 C1 ist beispielsweise ein redundantes Steuerungssystem mit Steuerrechnern und einer Peripherieeinheit bekannt, bei welchem die Steuerrechner zyklisch wechselnde Lebenszeichen ausgeben, wobei die Peripherieeinheit bei Ausbleiben eines Lebenszeichenwechsels auf den jeweils anderen Steuerrechner umschaltet. Out DE 100 30 329 C1 For example, a redundant control system with control computers and a peripheral unit is known, in which the control computers output cyclically changing signs of life, wherein the peripheral unit switches over to the respective other control computer in the absence of a sign of life change.

In DE 10 2006 047 026 B4 wird ferner eine Steuer- und Datenübertragungsanlage mit wenigstens zwei Steuereinrichtungen und wenigstens einer Slaveeinrichtung, welche über ein Kommunikationsnetzwerk miteinander verbunden sind, beschrieben, wobei die Slaveeinrichtung mehrere adressierbare Ausgangsschnittstellen zum Empfang von Ausgangs- und Statusdaten enthält und jede Steuereinrichtung eine Einrichtung zum Erzeugen und Übertragen von Status- und Ausgangsdaten zu einer separaten Ausgangsschnittstelle der Slaveeinrichtung aufweist, und wobei die Slaveeinrichtung eine Auswerteeinrichtung aufweist, die unter Ansprechen auf die von den Steuereinrichtungen empfangenen Statussignale die Weiterleitung von empfangenen Ausgangsdaten zur weiteren Verwendung steuert. In DE 10 2006 047 026 B4 Furthermore, a control and data transmission system with at least two control devices and at least one slave device, which are interconnected via a communication network, described, wherein the slave device includes a plurality of addressable output interfaces for receiving output and status data and each control means comprises means for generating and transmitting Status and output data to a separate output interface of the slave device, and wherein the slave device comprises an evaluation device which controls the forwarding of received output data for further use in response to the status signals received from the control means.

Problematisch ist bei solchen hochverfügbaren Systemen, dass zur Fehlerbehebung oder Funktionserweiterung eine Aktualisierung der Firmware in Form eines Updates erforderlich sein kann, ohne dass der Betrieb dazu unterbrochen werden darf, wobei während des Aktualisierungs-Vorgangs die jeweilige Steuerung nicht zum Betrieb zur Verfügung steht. Eine solche Aktualisierung kann daher nur sequentiell durchgeführt werden, damit immer eine der Steuereinrichtungen in der Lage ist, den Prozess zu steuern. Hat der Anwender bei einer Steuereinrichtung die Aktualisierung bereits durchgeführt, muss der Redundanzbetrieb mit unterschiedlichen Firmware-Versionen aufgenommen werden, damit die bereits aktualisierte Steuerung synchronisiert werden kann, um die Prozessteuerung übernehmen zu können. Erst dann kann der Anwender auch die Firmware der anderen Steuereinrichtung aktualisieren, wobei eine Aktualisierung der Firmware auf jeder der Steuereinrichtungen sowie alle entsprechenden Schritte zur Aufrechterhaltung des Betriebs vom Anwender manuell durchgeführt werden. Darüber hinaus gibt es den Anwendungsfall, dass beim Tausch einer defekten Steuereinrichtung ein anderes Gerät mit einem unterschiedlichen Firmwarestand in dem Redundanzsystem installiert wird und das Redundanzsystem aufsynchronisiert, um den Normalbetriebszustand einzunehmen. The problem with such fault-tolerant systems is that for troubleshooting or functional expansion, an update of the firmware in the form of an update may be required without the operation being interrupted, whereby the respective controller is not available for operation during the update process. Such an update can therefore only be performed sequentially, so that one of the control devices is always able to control the process. If the user has already performed the update on a control device, the redundancy mode must be recorded with different firmware versions, so that the already updated control can be synchronized in order to be able to take over the process control. Only then can the user also update the firmware of the other control device, wherein an update of the firmware on each of the control devices as well as all corresponding steps for maintaining the operation are performed manually by the user. In addition, there is the use case that when replacing a defective controller another device with a different firmware version is installed in the redundancy system and the redundancy system is synchronized to assume the normal operating state.

In beiden Szenarien erfolgt während eines bestimmten Zeitraums eine Synchronisation der beiden Redundanzsteuerungen trotz unterschiedlicher Firmwarestände. In diesem Zeitraum können in nachteiliger Weise Kompatibilitätsprobleme durch Funktionsunterschiede oder abweichende Funktionslaufzeiten auftreten. In both scenarios, the two redundancy controllers are synchronized during a certain period despite different firmware versions. Compatibility problems due to differences in function or deviating service run times can disadvantageously occur during this period.

Der Erfindung liegt die Aufgabe zugrunde, einen Weg aufzuzeigen, wie ein Verfahren und eine Steuer- und Datenübertragungsanlage zur redundanten Prozessteuerung vereinfacht und/oder verbessert werden kann, und wie insbesondere Nachteile der aus dem Stand der Technik bekannten Lösungen vermieden oder reduziert werden können. The invention has for its object to provide a way as a method and a control and data transmission system for redundant process control can be simplified and / or improved, and in particular disadvantages of the known from the prior art solutions can be avoided or reduced.

Ein Kerngedanke der Erfindung besteht darin, die Steuereinrichtungen eines Redundanzsystems mit einem Mechanismus auszustatten, welcher einen automatischen Firmware-Abgleich zwischen den redundanten Steuereinrichtungen ermöglicht, wobei zu diesem Zweck die Steuereinrichtungen jeweils dazu ausgebildet sind, automatisch eine Firmware-Aktualisierung der jeweils anderen Steuereinrichtung zu bewirken. A central idea of the invention is to provide the control devices of a redundancy system with a mechanism which enables automatic firmware synchronization between the redundant control devices, for which purpose the control devices are each designed to automatically effect a firmware update of the respective other control device ,

Das oben genannte technische Problem wird zum einen durch die Merkmale des Anspruchs 1 gelöst. The above technical problem is solved on the one hand by the features of claim 1.

Danach ist eine Steuer- und Datenübertragungsanlage zur redundanten Prozesssteuerung mit wenigstens einer ersten Steuereinrichtung und einer zweiten, zur ersten redundanten Steuereinrichtung und wenigstens einer als Ein- und/oder Ausgabegerät ausgebildeten Prozesseinrichtung vorgesehen, welche im Normalbetrieb über ein Kommunikationsnetzwerk miteinander verbunden sind. Angemerkt sei an dieser Stelle, dass es sich bei der Steuer- und Datenübertragungsanlage um eine Automatisierungsanlage und bei der Prozesseinrichtung um ein Feldgerät handeln kann. Zwischen der ersten und zweiten Steuereinrichtung besteht eine Kommunikationsverbindung, wobei diese über das Kommunikationsnetzwerk oder über eine separate Punkt-zu-Punkt-Verbindung aufgebaut werden kann. Es können auch beide Kommunikationsverbindungen redundant eingesetzt werden. Thereafter, a control and data transmission system for redundant process control with at least a first control device and a second, the first redundant control device and at least one designed as input and / or output device processing device is provided, which are connected to each other in normal operation via a communication network. It should be noted at this point that the control and data transmission system can be an automation system and the process device can be a field device. There is a communication link between the first and second control means, which can be established via the communication network or via a separate point-to-point connection. Both communication links can also be used redundantly.

Über die Kommunikationsverbindung tauschen die erste und zweite Steuereinrichtung insbesondere Daten zur Synchronisierung der auf den Steuereinrichtungen jeweils ablaufenden Steuerprogramme aus, sowie Statusdaten, welche zum Aushandeln des Betriebszustandes der jeweiligen Steuereinrichtung dienen, wobei jeweils eine der ersten und zweiten Steuereinrichtung den Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung aufweist. The first and second control means exchange data in particular via the communication connection for synchronization of the control programs running on the control devices, as well as status data which serve to negotiate the operating state of the respective control device, wherein one of the first and second control means respectively control the operating state of a primary control and the respective another control device has the operating state of a backup control.

Es sei angemerkt, dass die Steuereinrichtungen nur im Betriebszustand einer Primärsteuerung die wenigstens eine Prozesseinrichtung ansteuern, wobei zu diesem Zweck beispielsweise nur die Steuereinrichtung im Betriebszustand einer Primärsteuerung Ausgangsdaten an die Prozesseinrichtung überträgt. Alternativ ist auch denkbar, dass beide Steuereinrichtungen Ausgangsdaten an die Prozesseinrichtung zusammen mit Statusdaten übertragen und die Prozesseinrichtung in Abhängigkeit der empfangenen Statusdaten die Weiterleitung von empfangenen Ausgangsdaten zur weiteren Verwendung steuert. It should be noted that the control devices actuate the at least one process device only in the operating state of a primary control, for which purpose, for example, only the control device transmits output data to the process device in the operating state of a primary control. Alternatively, it is also conceivable that both control devices transmit output data to the process device together with status data and the process device controls the forwarding of received output data for further use as a function of the received status data.

Die erste und die zweite Steuereinrichtung umfassen jeweils einen Systemspeicher mit einer darin gespeicherten Firmware, wobei die Firmware vorzugsweise als Container-Datei gespeichert ist, welche bei Systemstart der jeweiligen Steuereinrichtung entpackt und ausgeführt wird. The first and the second control device each comprise a system memory with a firmware stored therein, wherein the firmware is preferably stored as a container file which is unpacked and executed at system start of the respective control device.

Eine Aktualisierung der Firmware kann durch Überschreiben der im Systemspeicher gespeicherten Container-Datei erfolgen, wobei zum Übernehmen der Aktualisierung ein Systemneustart der Steuereinrichtung durchgeführt werden muss. Der Systemspeicher ist daher als überschreibbarer Speicher, beispielsweise als Flash-Speicher oder als EEPROM ausgebildet. An update of the firmware can be done by overwriting the container file stored in the system memory, whereby a system restart of the controller must be performed to apply the update. The system memory is therefore designed as a rewritable memory, for example as a flash memory or EEPROM.

Zum Zweck der Firmware-Aktualisierung ist jede der Steuereinrichtungen dazu ausgebildet, die im Systemspeicher gespeicherte Firmware unter Verwendung einer in einem Parametrierungsspeicher der jeweiligen Steuereinrichtung gespeicherten Firmware-Datei zu aktualisieren. Ferner ist die erste und/oder die zweite Steuereinrichtung, vorzugsweise beide Steuereinrichtungen, dazu ausgebildet, eine Firmware-Datei zu der jeweils anderen Steuereinrichtung zu übertragen und eine Aktualisierung der im Systemspeicher der jeweils anderen Steuereinrichtung gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren. For the purpose of firmware update, each of the controllers is configured to update the firmware stored in the system memory using a firmware file stored in a parameterization memory of the respective controller. Furthermore, the first and / or the second control device, preferably both control devices, is adapted to transmit a firmware file to the respective other control device and to initiate an update of the firmware stored in the system memory of the respective other control device using the transmitted firmware file ,

Vorteilhaft handeln die Steuereinrichtungen ihren jeweiligen Betriebszustand über die zwischen ihnen bestehende Kommunikationsverbindung automatisch aus, wobei die erste und/oder zweite Steuereinrichtung, vorzugsweise beide Steuereinrichtungen, dazu ausgebildet sind, vor Durchführen einer Aktualisierung der im Systemspeicher gespeicherten Firmware vom Betriebszustand einer Primärsteuerung zu dem einer Reservesteuerung zu wechseln. Advantageously, the control devices automatically negotiate their respective operating state via the communication connection existing between them, the first and / or second control device, preferably both control devices, being designed to perform an update of the firmware stored in the system memory from the operating state of a primary control to that of a backup control switch.

Besonders vorteilhaft sind die erste und/oder die zweite Steuereinrichtung dazu ausgebildet, unter Ansprechen auf ein empfangenes Aufforderungssignal eine Aktualisierung der im eigenen Systemspeicher gespeicherten Firmware auszuführen und/oder eine Aktualisierung der im Systemspeicher der jeweils anderen Steuereinrichtung gespeicherten Firmware zu initiieren. Ein solches Aufforderungssignal kann insbesondere von einer Leitstelle unter Ansprechen auf eine entsprechende Benutzereingabe erzeugt und an eine Steuereinrichtung übertragen werden, vorzugsweise nachdem von der Leitstelle eine aktualisierte Firmware-Datei zu der Steuereinrichtung übertragen und im Parametrierungsspeicher der Steuereinrichtung gespeichert wurde. Particularly advantageously, the first and / or the second control means are adapted to execute in response to a received request signal an update of the firmware stored in the own system memory and / or to initiate an update of the firmware stored in the system memory of the respective other control means. Such a request signal can in particular be generated by a control center in response to a corresponding user input and transmitted to a control device, preferably after an updated firmware file has been transmitted from the control center to the control device and stored in the parameterization memory of the control device.

Die oben beschriebenen Ausführungsformen einer Steuer- und Datenübertragungsanlage können mit Vorteil in beliebiger Weise kombiniert werden. The embodiments of a control and data transmission system described above can advantageously be combined in any desired manner.

Das oben genannte technische Problem wird auch durch die Verfahrensschritte des Anspruchs 5 gelöst. The above technical problem is also solved by the method steps of claim 5.

Danach ist ein Verfahren zur Firmware-Aktualisierung in einer Steuer- und Datenübertragungsanlage zur redundanten Prozesssteuerung vorgesehen, wobei wenigstens eine als Ein- und/oder Ausgabegerät ausgebildete Prozesseinrichtung von wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung angesteuert wird, welche mit der Prozesseinrichtung über ein Kommunikationsnetzwerk verbunden sind. Thereafter, a method for firmware update in a control and data transmission system for redundant process control is provided, wherein at least one trained as input and / or output device process device is driven by at least a first and a second, the first redundant control device, which are connected to the process device via a communication network.

Das Verfahren sieht vor, dass die erste Steuereinrichtung eine Firmware-Aktualisierung der zweiten Steuereinrichtung bewirkt, indem die erste Steuereinrichtung eine Firmware-Datei zur zweiten Steuereinrichtung überträgt, die empfangene Firmware-Datei in einem Parametrierungsspeicher der zweiten Steuereinrichtung gespeichert wird, die erste Steuereinrichtung ein Aufforderungssignal zur Firmware-Aktualisierung zur zweiten Steuereinrichtung überträgt, und die zweite Steuereinrichtung unter Ansprechen auf das empfangene Aufforderungssignal eine in einem Systemspeicher gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher der zweiten Steuereinrichtung gespeicherten Firmware-Datei aktualisiert. The method provides that the first control device effects a firmware update of the second control device by the first control device transmitting a firmware file to the second control device, the received firmware file being stored in a parameterization memory of the second control device, the first control device a request signal for firmware update to the second controller, and the second controller updates a firmware stored in a system memory using the firmware file stored in the parameterization memory of the second controller in response to the received request signal.

In einem typischen Anwendungsfall steht eine neue Firmware-Datei an zentraler Stelle, beispielsweise in einer zentralen Kontrolleinrichtung, zur Verfügung, mittels der eine Aktualisierung der jeweils im Systemspeicher der ersten und zweiten Steuereinrichtung gespeicherten Firmware durchgeführt werden soll. In a typical application, a new firmware file is available at a central location, for example in a central control device, by means of which an update of the respective firmware stored in the system memory of the first and second control device is to be performed.

Zu diesem Zweck sieht das Verfahren besonders bevorzugt vor, dass zunächst von einer überlagerten Kontrolleinrichtung eine Firmware-Datei zur ersten Steuereinrichtung übertragen und in einem Parametrierungsspeicher der ersten Steuereinrichtung gespeichert wird. Nach erfolgreicher Übertragung der Firmware-Datei zu der ersten Steuereinrichtung sendet die Kontrolleinrichtung ein Aufforderungssignal zur Firmware-Aktualisierung zu der ersten Steuereinrichtung. Unter Ansprechen auf das empfangene Aufforderungssignal aktualisiert die erste Steuereinrichtung eine in einem Systemspeicher der ersten Steuereinrichtung gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher gespeicherten Firmware-Datei, und bewirkt auch eine Firmware-Aktualisierung der zweiten Steuereinrichtung unter Verwendung der empfangenen Firmware-Datei auf die oben beschriebene Weise, indem die erste Steuereinrichtung zunächst die Firmware-Datei und danach ein Aufforderungssignal zur Firmware-Aktualisierung zur zweiten Steuereinrichtung überträgt. For this purpose, the method particularly preferably provides that initially a firmware file is transferred from a higher-level control device to the first control device and stored in a parameterization memory of the first control device. Upon successful transmission of the firmware file to the first controller, the controller sends a firmware update request signal to the first controller. In response to the received request signal, the first controller updates a firmware stored in a system memory of the first controller using the firmware file stored in the parameterization memory, and also effects a firmware update of the second controller using the received firmware file on the above described manner in that the first control device first transmits the firmware file and then a firmware update request signal to the second control device.

Wie bereits oben beschrieben, weist vorzugsweise jeweils eine der ersten und zweiten Steuereinrichtung den Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung auf. Da das Durchführen einer Aktualisierung der im Systemspeicher gespeicherten Firmware in der Regel einen Systemneustart des jeweiligen Steuereinrichtung erfordert, wechselt die erste und/oder zweite Steuereinrichtung vor Durchführen einer Aktualisierung der im Systemspeicher gespeicherten Firmware vorteilhaft vom Betriebszustand einer Primärsteuerung zum Betriebszustand einer Reservesteuerung. As already described above, one of the first and second control devices preferably has the operating state of a primary control and the respective other control device has the operating state of a backup control. Since performing an update of the firmware stored in the system memory typically requires a system restart of the respective controller, the first and / or second controller advantageously changes from the operating state of a primary controller to the operating state of a backup controller prior to performing an update of the firmware stored in the system memory.

Ein weiterer typischer Anwendungsfall besteht darin, dass eine von zwei redundanten Steuereinrichtungen, beispielsweise aufgrund eines Defekts, ausgetauscht wird. In diesem Fall ist vorzugsweise vorgesehen, dass nach erfolgter Synchronisierung der beiden Steuereinrichtungen nach dem Austausch über die Synchronisationsverbindung auch eine Prüfung erfolgt, ob die Steuereinrichtungen unterschiedliche Firmware-Versionen aufweisen. Ist dies der Fall, wird automatisch ein Firmware-Abgleich zwischen den Steuereinrichtungen initiiert. Another typical application is that one of two redundant controllers, for example due to a defect, is replaced. In this case, it is preferably provided that, after the synchronization of the two control devices after the exchange via the synchronization connection, a check is also made as to whether the control devices have different firmware versions. If so, a firmware match between the controllers is automatically initiated.

Die Erfindung wird nachfolgend beispielhaft anhand bevorzugter Ausführungsformen und unter Bezugnahme auf die beigefügten Zeichnungen genauer beschrieben. Dabei bezeichnen gleiche Bezugszeichen in den Zeichnungen gleiche oder ähnliche Teile. Es zeigen: The invention will now be described in more detail by way of example with reference to preferred embodiments and with reference to the accompanying drawings. The same reference numerals in the drawings designate the same or similar parts. Show it:

1 eine schematische Darstellung einer bevorzugten Ausführungsform eines Steuer- und Datenübertragungsanlage, und 1 a schematic representation of a preferred embodiment of a control and data transmission system, and

2 ein schematisches Ablaufdiagramm einer automatischen Firmware-Aktualisierung. 2 a schematic flow diagram of an automatic firmware update.

In 1 ist eine beispielhafte Steuer- und Datenübertragungsanlage 10 dargestellt, die beispielsweise in der Automatisierungstechnik oder der Tunnelüberwachung zum Einsatz kommt. Im dargestellten Ausführungsbeispiel umfasst die Steuer- und Datenübertragungsanlage 10 zwei redundante Steuereinrichtungen 100 und 200, die über ein Kommunikationsnetzwerk 500 mit Prozesseinrichtungen 300 und 400 verbunden sind. Das Kommunikationsnetzwerk 500 kann weitere Komponenten wie beispielsweise den dargestellten Switch 510 umfassen, und ist im dargestellten Ausführungsbeispiel als PROFINET-Kommunikationsnetz ausgebildet. PROFINET (Process Field Network) ist ein im Bereich der Automatisierung eingesetzter offener Industrial Ethernet-Standard. Es kann aber auch jedes andere geeignete Kommunikationsnetzwerk, wie zum Beispiel ein Feldbus, eingesetzt werden. In 1 is an exemplary control and data transmission system 10 represented, for example, in automation technology or tunnel monitoring used. In the illustrated embodiment includes the control and data transmission system 10 two redundant controllers 100 and 200 that have a communication network 500 with process equipment 300 and 400 are connected. The communication network 500 may include other components such as the illustrated switch 510 include, and is formed in the illustrated embodiment as a PROFINET communication network. PROFINET (Process Field Network) is an open Industrial Ethernet standard used in automation. However, any other suitable communication network, such as a fieldbus, may also be used.

Die Steuereinrichtungen 100 und 200 umfassen jeweils einen Parametrierungsspeicher 130 bzw. 230, in welchem jeweils ein Steuerprogramm gespeichert ist, welches jeweils mittels eines Prozessors 110 bzw. 210 ausführbar ist. Um das Steuerprogramm ausführen zu können, wird von dem jeweiligen Prozessor 110 bzw. 210 eine in einem Systemspeicher 120 bzw. 220 gespeicherte Firmware ausgeführt, wobei die Firmware vorzugsweise als Container-Datei gespeichert ist, welche bei Systemstart der jeweiligen Steuereinrichtung entpackt und ausgeführt wird. The control devices 100 and 200 each include a parameterization memory 130 respectively. 230 , in each of which a control program is stored, each by means of a processor 110 respectively. 210 is executable. To run the control program is by the respective processor 110 respectively. 210 one in a system store 120 respectively. 220 stored firmware, the firmware is preferably stored as a container file, which at system startup the respective control device is unpacked and executed.

Eine Aktualisierung der Firmware kann durch Überschreiben der im Systemspeicher gespeicherten Container-Datei erfolgen, wobei zum Übernehmen der Aktualisierung ein Systemneustart der Steuereinrichtung durchgeführt werden muss. Der Systemspeicher 120 bzw. 220 ist daher als überschreibbarer Speicher, beispielsweise als Flash-Speicher oder als EEPROM ausgebildet. An update of the firmware can be done by overwriting the container file stored in the system memory, whereby a system restart of the controller must be performed to apply the update. The system memory 120 respectively. 220 is therefore designed as a rewritable memory, for example as a flash memory or EEPROM.

Die Steuereinrichtungen 100 und 200 sind jeweils über eine Ethernet-Schnittstelle 141 bzw. 241 an das PROFINET-Netzwerk 500 angeschlossen. Da die Steuereinrichtungen 100 und 200 im dargestellten Ausführungsbeispiel als speicherprogrammierbare Steuerungen (SPS) ausgeführt sind, werden diese im Folgenden auch als Steuerung oder als Redundanzsteuerung bezeichnet. The control devices 100 and 200 are each via an Ethernet interface 141 respectively. 241 to the PROFINET network 500 connected. Because the control devices 100 and 200 in the illustrated embodiment are designed as programmable logic controllers (PLC), these are hereinafter also referred to as a controller or redundancy control.

Zur Synchronisation der beiden Steuerungen 100 und 200 wird vorzugsweise eine Ethernet-basierte Kommunikation eingesetzt, die typischerweise als Punk-zu-Punkt Verbindung 510 zwischen den Synchronisationsschnittstellen 142 und 242 ausgeführt ist und beispielsweise mittels eines Lichtwellenleiters bereitgestellt wird. Die beiden Redundanzsteuerungen 100 und 200 sind so konfiguriert, dass eine vom Typ FIRST und eine vom Typ SECOND ist, die Steuerungen also als erste (FIRST) und als zweite (SECOND) Steuerung identifizierbar sind. Diese Einstellung bleibt über die Laufzeit konstant, während die Rollen der Steuerungen als Primärsteuerung und als Reservesteuerung wechseln können. Es kann eine Vorzugsauswahl vorgesehen sein, dergestalt, dass im Normalbetrieb die Steuerung vom Typ FIRST die Rolle der Primärsteuerung übernimmt und die Steuerung vom Typ SECOND die Rolle der Reservesteuerung. To synchronize the two controllers 100 and 200 For example, Ethernet-based communication is typically used, typically as a punk-to-point connection 510 between the synchronization interfaces 142 and 242 is executed and provided for example by means of an optical waveguide. The two redundancy controllers 100 and 200 are configured so that one is of type FIRST and one of type SECOND, so the controls are identifiable as first (FIRST) and second (SECOND) controls. This setting remains constant over the runtime, while the roles of the controls can change as primary control and as backup control. There may be a preference selection such that in normal operation the FIRST type controller assumes the role of primary controller and the SECOND type controller assumes the role of backup controller.

Besteht eine Synchronisationsverbindung, kann zwischen den Steuerungen 100 und 200 die jeweilige Rolle direkt ausgehandelt werden. Die Kommunikation zu den unterlagerten E/A-Stationen 300 und 400 erfolgt über das Ethernetbasierte PROFINET Protokoll. Dabei hat jede der beiden Steuerungen 100 und 200 im normalen Betrieb eine Kommunikationsverbindung zu jeder der projektierten E/A-Stationen 300 und 400 aufgebaut. In diesem System 10 ist es möglich, ein manuelles Firmware-Update mit den entsprechenden Zwischenschritten durchzuführen. Is there a synchronization connection, can between the controllers 100 and 200 the respective roles are negotiated directly. Communication to the subordinate I / O stations 300 and 400 takes place via the Ethernet-based PROFINET protocol. Each of the two controllers has 100 and 200 In normal operation, a communication connection to each of the configured I / O stations 300 and 400 built up. In this system 10 It is possible to perform a manual firmware update with the appropriate intermediate steps.

Die Erfindung schlägt jedoch eine Modifikation der Steuerungen vor, welche diesen ermöglicht, einen eigenständigen automatischen Firmware-Abgleich durchzuführen, um auf diese Weise die kritischen Phasen zu minimieren bzw. selbstständig wieder einen Normalbetrieb zu etablieren. However, the invention proposes a modification of the controls, which makes it possible to perform a standalone automatic firmware adjustment, in order to minimize the critical phases in this way or to independently establish normal operation again.

Die Steuerungen 100 und 200 umfassen jeweils einen an die eigentliche CPU 110 bzw. 210 angeschlossenen, internen Systemspeicher 120 bzw. 220, auf den von extern jedoch nicht zugegriffen werden kann. Hier ist die gesamte Firmware in Form einer zusammengesetzten Datei, einer sogenannten Container-Datei, abgelegt, die beim Systemstart entpackt und in Betrieb genommen wird. Desweiteren ist in jeder der Steuerungen 100 und 200 ein Parametrierungsspeicher 130 bzw. 230 vorgesehen, der die Konfiguration der Steuerung, das Anwendungsprogramm und gegebenenfalls weitere anwendungsspezifische Daten enthält. Ein Firmware-Update ist möglich, indem über die Kommunikations-Schnittstellen 143 bzw. 243 der Steuerungen 100 bzw. 200 ein neuer Firmwarecontainer auf den Parametrierungsspeicher abgelegt wird und dann ein Kommando an die Steuerung 100 bzw. 200 eine Prozedur startet, welche die neue Firmware mit diesem Container in Betrieb nimmt. Dies kann beispielsweise von einer Kontrolleinrichtung 600 erfolgen, wobei die Schnittstellen 143 und 243 beispielsweise als USB-Schnittstellen oder als Ethernet-Schnittstellen ausgebildet sind, wobei beispielsweise das FTP-Protokoll eingesetzt werden kann. The controls 100 and 200 each include one to the actual CPU 110 respectively. 210 connected, internal system memory 120 respectively. 220 which can not be accessed externally. Here, the entire firmware in the form of a composite file, a so-called container file, stored, which is unpacked and put into operation at system startup. Furthermore, in each of the controllers 100 and 200 a parameterization memory 130 respectively. 230 which contains the configuration of the controller, the application program and possibly further application-specific data. A firmware update is possible by using the communication interfaces 143 respectively. 243 of the controls 100 respectively. 200 a new firmware container is stored on the parameterization memory and then a command to the controller 100 respectively. 200 starts a procedure which puts the new firmware into operation with this container. This can be done, for example, by a control device 600 done, the interfaces 143 and 243 for example, as USB interfaces or as Ethernet interfaces are formed, for example, the FTP protocol can be used.

Ein Firmware-Update erfordert einen System-Neustart der jeweiligen Steuerung 100 bzw. 200. Soll eine Aktualisierung des Redundanzsystems mit seinen beiden Steuerungen 100 und 200 erfolgen, so wird zunächst eine Steuerung aktualisiert, wobei in dieser Zeit die andere Steuerung als Primärsteuerung den angeschlossenen Prozess steuert. Nach dem Wiederanlauf wird der normale Synchronisationsbetrieb wieder aufgenommen und die Steuerung mit der neuen Firmware-Version nimmt die Rolle der Reservesteuerung ein. Zu diesem Zeitpunkt arbeitet das System mit unterschiedlichen Firmware-Ständen, was dem Anwender angezeigt werden kann, vom Anwender aber nicht verhindert werden kann, da zum Update der aktuellen Primärsteuerung ein Umschalten der Rolle zwischen den beiden Redundanzsteuerungen erforderlich ist. Danach erfolgt die Aktualisierung der aktuellen Reservesteuerung, welche noch den älteren Firmware-Stand aufweist. Nach dem Wiederanlauf dieser Steuerung erfolgt die Aufsynchronisation zum Redundanzbetrieb wieder mit gleichen Firmware-Ständen. A firmware update requires a system restart of the respective controller 100 respectively. 200 , Should an update of the redundancy system with its two controllers 100 and 200 take place, so first a control is updated, in which time the other control as primary control controls the connected process. After the restart, the normal synchronization mode is resumed and the controller with the new firmware version assumes the role of backup control. At this time, the system operates with different firmware levels, which can be displayed to the user, but can not be prevented by the user, since to update the current primary control, a switch of the role between the two redundancy controls is required. Thereafter, the update of the current backup control, which still has the older firmware version. After the restart of this control, the synchronization for redundant operation is again with the same firmware versions.

Vorteilhaft wird dieses Verfahren durch eine Erweiterung eines Protokolls zur automatischen Synchronisation (AutoSync Technology) automatisiert, wodurch zahlreiche Fehlerquellen ausgeschlossen werden. Advantageously, this method is automated by extending an automatic synchronization protocol (AutoSync Technology), which eliminates many sources of error.

Der Ablauf ist nochmals im Detail in 2 dargestellt. Die jeweils anwenderseitig in der Kontrolleinrichtung 600, in der ersten Steuerung 100 und in der zweiten Steuerung 200 ablaufenden Schritte sind in jeweils unterschiedlichen Spalten der 2 angegeben. The procedure is again in detail in 2 shown. The user side in the control device 600 in the first control 100 and in the second controller 200 are ongoing steps in each case different columns of 2 specified.

Das in 2 dargestellte Ausführungsbeispiel geht davon aus, dass zu Beginn des Ablaufdiagramms die erste Steuerung die Rolle der Primärsteuerung und die zweite Steuerung die Rolle der Reservesteuerung ausführt. This in 2 illustrated embodiment assumes that at the beginning of the flowchart, the first controller performs the role of the primary controller and the second controller performs the role of the backup control.

Der neue Firmware-Container wird über einen der oben beschriebenen Wege auf dem Parametrierungsspeicher 130 der Steuerung 100 abgelegt. Zu diesem Zweck gibt der Anwender in Schritt 600 den Befehl, den neuen Firmware-Container zu senden, woraufhin dieser in Schritt 700 zur Steuerung 100 übertragen wird und in Schritt 605 im Parametrierungsspeicher 130 der Steuerung 100 gespeichert wird. Bei erfolgreicher Speicherung sendet die Steuerung in Schritt 705 eine Bestätigungsnachricht zu der Kontrolleinrichtung 600 zurück. The new firmware container is accessed via one of the ways described above on the parameterization memory 130 the controller 100 stored. For this purpose, the user gives in step 600 the command to send the new firmware container, whereupon this in step 700 for controlling 100 is transferred and in step 605 in the parameterization memory 130 the controller 100 is stored. If saving is successful, the controller sends in step 705 an acknowledgment message to the controller 600 back.

In Schritt 610 wird die Update-Prozedur, beispielsweise über einen Dienst eines auf der Kontrolleinrichtung 600 ausgeführten Engineering Systems, wie zum Beispiel PCWorx, gestartet und in Schritt 710 ein entsprechendes Aufforderungssignal zur Firmware-Aktualisierung zu der Steuerung 100 übertragen. Alternativ könnte die Update-Prozedur auch direkt über eine lokale Benutzerschnittstelle der Steuerung 100 vom Anwender gestartet werden. Weitere Anwenderaktionen sind nicht mehr erforderlich. In step 610 This is the update procedure, for example, through a service on the controller 600 Running Engineering Systems, such as PCWorx, started and in step 710 a corresponding firmware update request signal to the controller 100 transfer. Alternatively, the update procedure could also directly via a local user interface of the controller 100 be started by the user. Further user actions are no longer required.

Die Steuerung 100 hat mit seinem Anwendungsprogramm die Prozesskontrolle und kann jetzt zusätzlich den automatisierten Ablauf des Firmware Updates kontrollieren. The control 100 has process control with its application program and can now additionally control the automated process of the firmware update.

Dazu wird in Schritt 715 der neue Firmware-Container von der aktuellen Primärsteuerung 100 zunächst über die Synchronisationsverbindung 510 auf die aktuelle Reservesteuerung 200 übertragen, wobei das Übertragen in Schritt 615 von der Steuerung 100 unter Ansprechen auf das empfangene Aufforderungssignal initiiert wird. In Schritt 620 wird der empfangene Firmware-Container im Parametrierungsspeicher 230 der Steuerung 200 gespeichert und bei erfolgreicher Speicherung in Schritt 720 eine Bestätigungsnachricht von der zweiten Steuerung 200 zu der ersten Steuerung 100 gesendet. This will be done in step 715 the new firmware container from the current primary controller 100 first via the synchronization connection 510 on the current reserve control 200 transfer, wherein the transfer in step 615 from the controller 100 is initiated in response to the received request signal. In step 620 the received firmware container is stored in the parameterization memory 230 the controller 200 saved and successfully saved in step 720 an acknowledgment message from the second controller 200 to the first controller 100 Posted.

Daraufhin wird in Schritt 625 von der Steuerung 100 ein Aufforderungssignal zur Firmware-Aktualisierung erzeugt und in Schritt 725 zu der zweiten Steuerung 200 übertragen, welche daraufhin in Schritt 630 autark das Firmware-Update ausführt, indem, wie oben beschrieben, die im Systemspeicher 220 gespeicherte Container-Datei mit der im Parametrierungsspeicher 230 gespeicherten Firmware-Datei überschrieben wird und ein Systemneustart der Steuereinrichtung 200 durchgeführt wird. Then in step 625 from the controller 100 generates a firmware update request signal and in step 725 to the second controller 200 then transfer in step 630 self-sufficient executes the firmware update by, as described above, in the system memory 220 saved container file with the in the parameterization memory 230 stored firmware file is overwritten and a system restart of the controller 200 is carried out.

Nach dem Wiederanlauf der Steuerung 200 erfolgt automatisch eine Synchronisation der Steuerungen 100 und 200. Dazu wird in Schritt 730 automatisch das Protokoll zur automatischen Synchronisation ausgeführt und dadurch in Schritt 635 der Wiederanlauf der Steuerung 200 erkannt und eine Synchronisation ausgeführt. Über das AutoSync Technology Protokoll wird sowohl der erreichte Redundanzbetrieb als auch die nun unterschiedlichen Firmware-Stände erkannt. After the restart of the controller 200 the controllers are automatically synchronized 100 and 200 , This will be done in step 730 automatically run the log for automatic synchronization and thereby in step 635 the restart of the controller 200 detected and executed a synchronization. The AutoSync Technology protocol recognizes both the achieved redundancy mode and the different firmware versions.

Nun erfolgt das lokale Update. Dazu wird in Schritt 640 ein Switch-Over kommandiert, damit die aktuelle Reservesteuerung 200 die Prozesssteuerung übernimmt. Now the local update takes place. This will be done in step 640 a switch-over commanded to allow the current backup control 200 the process control takes over.

Sobald die zweite Steuerung 200 die Rolle der Primärsteuerung und die erste Steuerung 100 die Rolle der Reservesteuerung übernommen haben, wird in Schritt 650 das lokale Update durchgeführt, indem die im Systemspeicher 120 gespeicherte Container-Datei mit der im Parametrierungsspeicher 130 gespeicherten Firmware-Datei überschrieben wird und ein Systemneustart der Steuereinrichtung 100 durchgeführt wird. Once the second control 200 the role of primary control and the first controller 100 will take over the role of reserve control, in step 650 The local update is done by checking the system memory 120 saved container file with the in the parameterization memory 130 stored firmware file is overwritten and a system restart of the controller 100 is carried out.

Nach Wiederanlauf wird der normale Redundanzbetrieb mit der neuen Firmware-Version wieder aufgenommen. Dazu wird in Schritt 740 automatisch das Protokoll zur automatischen Synchronisation ausgeführt und dadurch in Schritt 655 der Wiederanlauf der Steuerung 100 erkannt und eine Synchronisation ausgeführt. After restart, the normal redundancy mode is resumed with the new firmware version. This will be done in step 740 automatically run the log for automatic synchronization and thereby in step 655 the restart of the controller 100 detected and executed a synchronization.

Sollte eine Vorzugsauswahl vorgesehen sein, gemäß der im Normalbetrieb die erste Steuerung 100 die Rolle der Primärsteuerung übernimmt, so kann vorteilhaft ein weiterer, in 2 nicht dargestellter Switch-Over durchgeführt werden. Should a preferred selection be provided according to the first control in normal operation 100 the role of the primary control takes over, so can another beneficial, in 2 unrepresented switch-over.

Ein weiterer Vorteil des Verfahrens wird bei Betrachtung eines Gerätetausch-Szenarios offensichtlich. Dieser Fall tritt ein, wenn eine der beiden Steuerungen 100 oder 200 ausfällt und ausgetauscht werden muss. Die verbleibende Steuerung stellt die Prozesssteuerung als Primärsteuerung sicher. Die ausgetauschte Steuerung wird nun mit dem vorhandenen Parametrierungsspeicher, der eine gültige Konfiguration beinhaltet, installiert und in Betrieb genommen. Durch das Synchronisationsprotokoll wird die Konfiguration geprüft und in Betrieb genommen, um den Redundanzbetrieb wieder aufzunehmen. Wird allerdings festgestellt, dass die neue Steuerung einen anderen Firmware-Stand hat als die Prozessführende, kann dieser Zustand dem Anwender signalisiert und nach Zustimmung automatisch aufgelöst werden. Dazu wird nun der eigene aktuelle Firmware-Container, d.h. der Firmware-Container, der im Systemspeicher bzw. im Parametrierungsspeicher der als Primärsteuerung wirkenden Steuerung abgelegt ist, über die Synchronisationsschnittstelle auf die neue Steuerung gesendet, um dann mit dem oben beschriebenen Verfahren einen automatischen Abgleich der Firmware-Stände durchzuführen. Zusätzliche Kenntnisse oder ein zusätzliches Eingreifen des Wartungspersonals ist nicht erforderlich, und es werden für dieses Verfahren keine Engineering-Werkzeuge oder Firmware-Dateien benötigt. Another advantage of the method becomes apparent when considering a device replacement scenario. This case occurs when one of the two controllers 100 or 200 fails and needs to be replaced. The remaining control ensures process control as primary control. The replaced controller will now be installed and put into operation with the existing parameterization memory containing a valid configuration. The synchronization protocol checks and commits the configuration to resume redundant operation. However, if it is determined that the new controller has a different firmware version than the process leader, this condition can be signaled to the user and automatically resolved after approval. This is now your own current firmware container, ie the firmware container that is stored in the system memory or in the parameterization memory of acting as a primary controller control sent via the synchronization interface to the new controller, and then perform an automatic adjustment of the firmware versions with the above-described method , No additional knowledge or intervention on the part of maintenance personnel is required, and no engineering tools or firmware files are needed for this procedure.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 10030329 C1 [0004] DE 10030329 C1 [0004]
  • DE 102006047026 B4 [0005] DE 102006047026 B4 [0005]

Claims (8)

Steuer- und Datenübertragungsanlage (10) zur redundanten Prozesssteuerung, mit wenigstens einer ersten Steuereinrichtung (100) und einer zweiten, zur ersten redundanten Steuereinrichtung (200), welche über ein Kommunikationsnetzwerk (500) mit wenigstens einer als Ein- und/oder Ausgabegerät ausgebildeten Prozesseinrichtung (300, 400) verbunden sind, wobei – zwischen der ersten und zweiten Steuereinrichtung (100, 200) eine Kommunikationsverbindung besteht, – die erste und die zweite Steuereinrichtung (100, 200) jeweils einen Systemspeicher (120, 220) mit einer darin gespeicherten Firmware umfasst, – jede der Steuereinrichtungen (100, 200) dazu ausgebildet ist, die im Systemspeicher (120, 220) gespeicherte Firmware unter Verwendung einer in einem Parametrierungsspeicher (130, 230) der jeweiligen Steuereinrichtung (100, 200) gespeicherten Firmware-Datei zu aktualisieren, und – die erste und/oder die zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, eine Firmware-Datei zu der jeweils anderen Steuereinrichtung (100, 200) zu übertragen und eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren. Control and data transmission system ( 10 ) for redundant process control, with at least one first control device ( 100 ) and a second, to the first redundant control device ( 200 ), which via a communication network ( 500 ) with at least one processing device designed as an input and / or output device ( 300 . 400 ), wherein - between the first and second control means ( 100 . 200 ) is a communication link, - the first and the second control device ( 100 . 200 ) each have a system memory ( 120 . 220 ) with firmware stored therein, - each of the control devices ( 100 . 200 ) is designed to be in the system memory ( 120 . 220 stored firmware using a parameterization memory ( 130 . 230 ) of the respective control device ( 100 . 200 ), and - the first and / or the second control device ( 100 . 200 ) is adapted to transfer a firmware file to the respective other control device ( 100 . 200 ) and an update of the system memory ( 120 . 220 ) of the other control device ( 100 . 200 ) initiate firmware using the transmitted firmware file. Steuer- und Datenübertragungsanlage nach Anspruch 1, wobei – jeweils eine der ersten und zweiten Steuereinrichtung (100, 200) den Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung aufweist, – die Steuereinrichtungen (100, 200) nur im Betriebszustand einer Primärsteuerung die wenigstens eine Prozesseinrichtung (300, 400) ansteuern, – die Steuereinrichtungen (100, 200) dazu ausgebildet sind, ihren jeweiligen Betriebszustand über die zwischen ihnen bestehende Kommunikationsverbindung automatisch auszuhandeln, und – die erste und/oder zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, vor Durchführen einer Aktualisierung der im Systemspeicher (120, 220) gespeicherten Firmware vom Betriebszustand einer Primärsteuerung zu dem einer Reservesteuerung zu wechseln. Control and data transmission system according to claim 1, wherein - each one of the first and second control means ( 100 . 200 ) the operating state of a primary control and the respective other control device has the operating state of a backup control, - the control devices ( 100 . 200 ) only in the operating state of a primary control, the at least one process device ( 300 . 400 ), - the control equipment ( 100 . 200 ) are designed to automatically negotiate their respective operating state via the communication link existing between them, and - the first and / or second control device ( 100 . 200 ) is adapted, prior to performing an update in the system memory ( 120 . 220 ) to change from the operating state of a primary control to that of a backup control. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 oder 2, wobei die Firmware im Systemspeicher (120, 220) der jeweiligen Steuereinrichtung (100, 200) als Container-Datei gespeichert ist, welche bei Systemstart der jeweiligen Steuereinrichtung (100, 200) entpackt und ausgeführt wird. Control and data transmission system according to one of claims 1 or 2, wherein the firmware in the system memory ( 120 . 220 ) of the respective control device ( 100 . 200 ) is stored as a container file which at startup of the respective control device ( 100 . 200 ) is unpacked and executed. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 3, wobei die erste und/oder zweite Steuereinrichtung dazu ausgebildet ist, unter Ansprechen auf ein empfangenes Aufforderungssignal eine Aktualisierung der im eigenen Systemspeicher (120, 220) gespeicherten Firmware auszuführen und/oder eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware zu initiieren. Control and data transmission system according to one of claims 1 to 3, wherein the first and / or second control means is adapted, in response to a received request signal, an update of the in-house system memory ( 120 . 220 ) and / or update the system memory ( 120 . 220 ) of the other control device ( 100 . 200 ) initiated firmware. Verfahren zur Firmware-Aktualisierung in einer Steuer- und Datenübertragungsanlage (10) zur redundanten Prozesssteuerung, wobei wenigstens eine als Ein- und/oder Ausgabegerät ausgebildete Prozesseinrichtung (300, 400) von wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung (100, 200) angesteuert wird, welche mit der Prozesseinrichtung (300, 400) über ein Kommunikationsnetzwerk (500) verbunden sind, und wobei die erste Steuereinrichtung eine Firmware-Aktualisierung der zweiten Steuereinrichtung bewirkt, indem – die erste Steuereinrichtung (100) eine Firmware-Datei zur zweiten Steuereinrichtung (200) überträgt, – die empfangene Firmware-Datei in einem Parametrierungsspeicher (230) der zweiten Steuereinrichtung (200) gespeichert wird, – die erste Steuereinrichtung (100) ein Aufforderungssignal zur Firmware-Aktualisierung zur zweiten Steuereinrichtung (200) überträgt, und – die zweite Steuereinrichtung (200) unter Ansprechen auf das empfangene Aufforderungssignal eine in einem Systemspeicher (220) gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher (230) der zweiten Steuereinrichtung (200) gespeicherten Firmware-Datei aktualisiert. Method for firmware update in a control and data transmission system ( 10 ) for redundant process control, wherein at least one processing device designed as input and / or output device ( 300 . 400 ) of at least a first and a second, to the first redundant control device ( 100 . 200 ) which is connected to the process device ( 300 . 400 ) via a communication network ( 500 ), and wherein the first control device effects a firmware update of the second control device, by - the first control device ( 100 ) a firmware file to the second controller ( 200 ) transmits, - the received firmware file in a parameterization memory ( 230 ) of the second control device ( 200 ), - the first control device ( 100 ) a firmware update request signal to the second controller ( 200 ), and - the second control device ( 200 ) in response to the received request signal in a system memory ( 220 ) stored firmware using the in the parameterization memory ( 230 ) of the second control device ( 200 ) updated firmware file. Verfahren nach Anspruch 5, wobei – von einer überlagerten Kontrolleinrichtung eine Firmware-Datei zur ersten Steuereinrichtung (100) übertragen und in einem Parametrierungsspeicher (130) der ersten Steuereinrichtung (100) gespeichert wird, – die erste Steuereinrichtung (100) von der überlagerten Kontrolleinrichtung ein Aufforderungssignal zur Firmware-Aktualisierung empfängt und unter Ansprechen auf das empfangene Aufforderungssignal – eine in einem Systemspeicher (120) gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher (130) der ersten Steuereinrichtung (100) gespeicherten Firmware-Datei aktualisiert, und – unter Verwendung der empfangenen Firmware-Datei eine Firmware-Aktualisierung der zweiten Steuereinrichtung (200) bewirkt. Method according to claim 5, wherein - from a higher-level control device a firmware file is sent to the first control device ( 100 ) and stored in a parameterization memory ( 130 ) of the first control device ( 100 ), - the first control device ( 100 ) receives from the higher-level controller a firmware update request signal and in response to the received request signal - one in a system memory ( 120 ) stored firmware using the in the parameterization memory ( 130 ) of the first control device ( 100 updated firmware file, and - using the received firmware file, a firmware update of the second control device ( 200 ) causes. Verfahren nach einem der Ansprüche 5 oder 6, wobei das Aktualisieren der im Systemspeicher (120, 220) gespeicherten Firmware der ersten und/oder zweiten Steuereinrichtung (100, 200) das Ausführen eines Systemneustarts der jeweiligen Steuereinrichtung (100, 200) umfasst. Method according to one of claims 5 or 6, wherein the updating in the system memory ( 120 . 220 ) stored firmware of the first and / or second control device ( 100 . 200 ) performing a system restart of the respective control device ( 100 . 200 ). Verfahren nach einem der Ansprüche 5 bis 7, wobei jeweils eine der ersten und zweiten Steuereinrichtung (100, 200) den Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung aufweist, und wobei die erste und/oder zweite Steuereinrichtung (100, 200) vor Durchführen einer Aktualisierung der im Systemspeicher (120, 220) gespeicherten Firmware vom Betriebszustand einer Primärsteuerung zu dem einer Reservesteuerung wechselt. Method according to one of claims 5 to 7, wherein each one of the first and second control means ( 100 . 200 ) the operating state of a primary control and the respective other control device has the operating state of a backup control, and wherein the first and / or second control device ( 100 . 200 ) before performing an update in the system memory ( 120 . 220 ) changes firmware from the operating state of a primary control to that of a backup control.
DE102013103379.2A 2013-04-04 2013-04-04 Control and data transmission system for redundant process control and firmware update process Ceased DE102013103379A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102013103379.2A DE102013103379A1 (en) 2013-04-04 2013-04-04 Control and data transmission system for redundant process control and firmware update process
PCT/EP2014/056823 WO2014161986A1 (en) 2013-04-04 2014-04-04 Control and data transfer system for redundant process control and method for firmware updating

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013103379.2A DE102013103379A1 (en) 2013-04-04 2013-04-04 Control and data transmission system for redundant process control and firmware update process

Publications (1)

Publication Number Publication Date
DE102013103379A1 true DE102013103379A1 (en) 2014-10-09

Family

ID=50434210

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013103379.2A Ceased DE102013103379A1 (en) 2013-04-04 2013-04-04 Control and data transmission system for redundant process control and firmware update process

Country Status (2)

Country Link
DE (1) DE102013103379A1 (en)
WO (1) WO2014161986A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9385920B1 (en) 2015-04-16 2016-07-05 Aic Inc. Rack having multiple rack management modules and firmware updating method for the same
CN106775588A (en) * 2016-11-30 2017-05-31 合肥科迈捷智能传感技术有限公司 A kind of firmware upgrade method based on principal and subordinate processor framework
EP3764221A1 (en) * 2019-07-11 2021-01-13 Siemens Aktiengesellschaft Method for updating software for an automation system, control device for an automation system, and automation system comprising a control device
CN112445127B (en) * 2019-08-27 2022-03-18 北京东土科技股份有限公司 Redundancy control method of master controller

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10030329C1 (en) 2000-06-27 2002-01-24 Siemens Ag Redundant control system as well as control computer and peripheral unit for such a control system
US6675258B1 (en) * 2000-06-30 2004-01-06 Lsi Logic Corporation Methods and apparatus for seamless firmware update and propagation in a dual raid controller system
US20070174601A1 (en) * 2006-01-03 2007-07-26 Douglas Darren C Apparatus, system, and method for firmware update of redundant controllers
DE102006047026B4 (en) 2006-10-02 2011-02-24 Phoenix Contact Gmbh & Co. Kg Method and system for redundantly controlling a slave device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4134207C1 (en) * 1991-10-16 1993-04-01 Ant Nachrichtentechnik Gmbh, 7150 Backnang, De Loading double-computer standby system - preparing passive computer for loading and taking new software from data source for entering into memory of active computer
US20060085564A1 (en) * 2004-10-14 2006-04-20 Bomhoff Matthew D Flash mirroring
US8713551B2 (en) * 2006-01-03 2014-04-29 International Business Machines Corporation Apparatus, system, and method for non-interruptively updating firmware on a redundant hardware controller
US8108853B2 (en) * 2006-05-05 2012-01-31 Honeywell International Inc. Apparatus and method for allowing a fail-back to a prior software release in a process control system
GB0623933D0 (en) * 2006-11-29 2007-01-10 Ibm Apparatus and method for synchronizing controller firmware download

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10030329C1 (en) 2000-06-27 2002-01-24 Siemens Ag Redundant control system as well as control computer and peripheral unit for such a control system
US6675258B1 (en) * 2000-06-30 2004-01-06 Lsi Logic Corporation Methods and apparatus for seamless firmware update and propagation in a dual raid controller system
US20070174601A1 (en) * 2006-01-03 2007-07-26 Douglas Darren C Apparatus, system, and method for firmware update of redundant controllers
DE102006047026B4 (en) 2006-10-02 2011-02-24 Phoenix Contact Gmbh & Co. Kg Method and system for redundantly controlling a slave device

Also Published As

Publication number Publication date
WO2014161986A1 (en) 2014-10-09

Similar Documents

Publication Publication Date Title
EP3017371B1 (en) Method for error monitoring, control and data transmission installation and control device
EP2817682B1 (en) Method for the failsafe operation of a process control system with redundant control devices
EP3246771B1 (en) Method for operating a redundant automation system
EP2667269B1 (en) Method for operating a redundant automation system
EP2981868B1 (en) Control and data transmission system, process device and method for redundant process control with decentralized redundancy
DE19810814A1 (en) Software processing device with software actualization function
EP1685451A1 (en) Redundant automation system for controlling a technical device, and method for operating one such automation system
DE19744071B4 (en) Control system using a programmable logic controller
DE102013103379A1 (en) Control and data transmission system for redundant process control and firmware update process
EP2732347B1 (en) Method and system for the dynamic distribution of program functions in distributed control systems
EP1119810A1 (en) Programmable controller which operates by means of data management using network computers and method for operating a programmable controller
WO2018091741A1 (en) Control system for an industrial automation facility and method for programming and operating such a control system
EP1982243B1 (en) Method for storing a data block containing data for controlling a technical process, and control apparatus
DE112013003240B4 (en) Method for controlling a motor vehicle transmission
EP3082001B1 (en) Method for expanding an automation device using a virtual field device and automation device
DE19906695A1 (en) Automatic decentralization of programs in control devices and distribution of intelligence involves replacing existing computer system with decentrally organized computer system
DE102015207900B4 (en) Procedure for performing an operating system update
EP2090948A1 (en) Automation system and method for operating such an automation system
EP2811352A1 (en) Method for processing an automation project by a plurality of processing stations
AT12998U1 (en) REDUNDANT CONTROL SYSTEM AND CONTROLLER AND PERIPHERAL UNIT
EP3285162A1 (en) Method for projecting a project and arrangement for carrying out said method
EP4068014B1 (en) High availability cloud-based automation solution with optimized transmission times
EP1967920A1 (en) Softwareupdate method for FPGA-based automation systems
EP3144756A1 (en) Control system, and method for operating a control system with a real and a virtual controller for reducing failure times
EP3118694A1 (en) Method for operating a redundant automation system and redundant automation system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final