DE112013007469T5 - Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm - Google Patents

Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm Download PDF

Info

Publication number
DE112013007469T5
DE112013007469T5 DE112013007469.9T DE112013007469T DE112013007469T5 DE 112013007469 T5 DE112013007469 T5 DE 112013007469T5 DE 112013007469 T DE112013007469 T DE 112013007469T DE 112013007469 T5 DE112013007469 T5 DE 112013007469T5
Authority
DE
Germany
Prior art keywords
sequence group
communication
control
preparation
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112013007469.9T
Other languages
English (en)
Other versions
DE112013007469B4 (de
Inventor
Ryohei Kuba
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112013007469T5 publication Critical patent/DE112013007469T5/de
Application granted granted Critical
Publication of DE112013007469B4 publication Critical patent/DE112013007469B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/382Information transfer, e.g. on bus using universal interface adapter
    • G06F13/385Information transfer, e.g. on bus using universal interface adapter for adaptation of a particular data processing system to different peripheral devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Ausfallzeit beim Umschalten von Systemen wird reduziert in einem Kommunikationssystem, welches eine funktional sichere Kommunikation implementiert. Bereitgestellt wird eine erste Vorbereitungs-Komponente 1222, welche, wenn eine Initialisierungssequenz für eine funktional sichere Kommunikation zwischen einem Slave und einem Steuerungssystem-Master gestartet wird, zusammen mit dem Slave eine erste Sequenzgruppe ausführt, welche aus einigen Sequenzen der Initialisierungssequenz für die funktional sichere Kommunikation besteht; eine zweite Vorbereitungs-Komponente 1223 zur Ausführung einer zweiten Sequenzgruppe zusammen mit dem Slave, welche aus einer oder mehreren Sequenzen der Initialisierungssequenz für die funktional sichere Kommunikation besteht, welche unterschiedlich sind zu deren der ersten Sequenzgruppe, wobei die zweite Sequenzgruppe ausgeführt wird, wenn eine Störung des Steuerungssystem-Master detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe durch die erste Vorbereitungs-Komponente beendet ist; und eine Steuerungskomponente zur Steuerungskommunikation 110, welche die Steuerungskommunikation mit dem Slave startet, nachdem die Ausführung der zweite Sequenzgruppe beendet ist.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf einen Kommunikationssystem, eine Standby-Vorrichtung, ein Kommunikationsverfahren, und ein Standby-Programm, und bezieht sich in insbesondere auf ein Kommunikationssystem, eine Standby-Vorrichtung, ein Kommunikationsverfahren sowie ein Standby-Programm, welche ein System-Umschaltverfahren anwenden.
  • Hintergrund
  • Es gibt Netzwerk-Systeme, welche ein Master-Slave-Verfahren auf die Geräteausstattung anwenden. Die 1 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration eines Netzwerk-Systems, welches das Master-Slave-Verfahren anwendet (System mit Systemumschaltung 500).
  • Das Netzwerk-System, welches in der 1 dargestellt ist, besteht aus zwei Master 100 (Master des Steuerungs-Systems 100a, Master des Standby-Systems 100b) und einer Vielzahl von Slaves 200 (Slave 1 (2001)... Slave n (200n)), um die Verfügbarkeit aufrechtzuerhalten. Die Aufrechterhaltung der Verfügbarkeit bedeutet, die Zeit, während welcher das System stillsteht, so weit wie möglich zu reduzieren.
  • Durch Bereitstellen des doppelten Master 100, wie oben beschrieben, kann der Master des Standbysystems 100b genau dann die Funktion übernehmen, wenn eine Störung im Master des Steuerungssystems 100a auftritt. Dadurch kann die Verfügbarkeit aufrechterhalten werden.
  • Zur Aufrechterhaltung der Verfügbarkeit ist es nicht nur notwendig, den doppelten Master 100 bereitzustellen, sondern auch diejenige Ausfallzeit zu reduzieren, welche auftritt, wenn der Master des Steuerungssystems 100a und der Master des Standby-Systems 100b ihre Funktionen umschalten.
  • Die Ausfallzeit ist die Zeit, während welcher ein System oder ein Dienst angehalten ist, und bezieht sich hier auf den Zeitraum beginnend von dem Auftritt der Funktionsstörung in dem Master des Steuerungssystems 100a bis zur Aufnahme der Kommunikation zwischen dem Master des Standbysystems 100b und dem Slave 200.
  • Als Beispiel eines Verfahrens zur Verringerung der Ausfallzeit wird die Patentliteratur 1 zitiert. Gemäß Patentliteratur 1 wird beim Auftreten eines Ausfalls in einer Execution-Computervorrichtung die Inbetriebnahmezeit eines Exectution-Online-Systems einer Standby-Computervorrichtung reduziert. Das System der Patentliteratur 1 besteht aus einer Execution-Computervorrichtung und aus einer Standby-Computervorrichtung. Ein Execution-Online-System ist in der Execution-Computervorrichtung implementiert. Ein Dummy-Online-System ist in der Standby-Computervorrichtung implementiert. Ein Programm zur Überwachung des Umschaltens ist in der Execution-Computervorrictung, sowohl als auch in der Standby-Computervorrichtung implementiert.
  • Der Betrieb des Systems der Patentliteratur 1 ist so, wie nachfolgend beschrieben. Als erstes ist die Execution-Computervorrichtung im normalen Betrieb. Zu diesem Zeitpunkt wird das Dummy-Online-System, welches identisch zum Online-System der Execution-Computervorrichtung ist, in einem Speicher der Standby-Computervorrichtung in Betrieb genommen. Danach wird das Dummy-Online-System auf der Standby-Computervorrichtung ausgeführt, bis ein Umschalten der Systeme auftritt.
  • Wenn eine Störung in der Execution-Computervorrichtung auftritt, wird ein Umschalten der Systeme durchgeführt und die Verarbeitung durch die Execution-Computervorrichtung wird durch die Standby-Computervorrichtung übernommen. In der Standby-Computervorrichtung wurde das identische Dummy-Online-System bereits gestartet, sodass die Verarbeitung fortgeführt werden kann, ohne eine Initialisierung des Speichers. Dadurch wird die Ausfallzeit reduziert.
  • Zitierungsliste
  • Patentliteratur
    • Patentliteratur 1: JP 08-221287 A
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • In letzter Zeit wurde für das Netzwerk-System, welches in der 1 dargestellt ist, das Erfordernis aufgestellt, dass eine funktional sichere Kommunikation basierend auf einer verbindungsbasierten Kommunikation auf einem Teil des Netzwerks des Systems angewandt wird, um die Sicherheit des Systems zu erhöhen. Die funktional sichere Kommunikation bezieht sich auf eine Kommunikation, welche die folgenden Bedingungen (a) bis (d) erfüllt, um einen Befehl zuverlässig ohne Fehler zu übermitteln.
    • (a) Maßnahmen sind getroffen gegen Kommunikationsfehler, wie unbeabsichtigte Wiederholungen, inkorrekte Reihenfolge, Verlust, inakzeptable Verzögerung, Maskerade, Adressierung, usw.
    • (b) CRC (Cyclic Redundancy Check) wird einem Steuerungs-Kommunikationspaket hinzugefügt, so dass Datenkorruption während der Übermittlung erkannt werden kann.
    • (c) Eine Verarbeitungs-Komponente, welche für die funktional sichere Kommunikation speziell vorgesehen ist (Sicherheit-Kommunikationsschicht).
    • (d) Bevor die Kommunikation gestartet wird, wird für jede Verbindung eine Initialisierungssequenz für die funktional sichere Kommunikation ausgeführt, wie unten beschrieben wird, um die funktional sichere Kommunikation zu implementieren.
  • <Initialisierungssequenz für die funktional sichere Kommunikation>
    • [1] Eine Anfrage und eine Antwort zum Aufbau einer sicheren Verbindung.
    • [2] Eine Anfrage und eine Antwort zur Netzwerkparameter-Überprüfung, und eine Speicherung eines Parameters.
    • [3] Eine Anfrage und eine Antwort zur Sicherheitsstations-Parameterverifikation, und eine Parametervaliditäts-Überprüfung.
    • [4] Wenn eine optionale Funktion erforderlich ist, wird ein Datenframe ausgetauscht, welcher sich auf die optionale Funktion bezieht.
    • [5] Eine Anfrage und eine Antwort zur Aktualisierungs-Vorbereitung und zur Offset-Messung.
    • [6] Basierend auf Informationen zur Offset-Messung in [5] werden eine Anfrage und eine Antwort zur Sicherheits-Aktualisierung und zur Offset-Erzeugung ausgeführt.
  • Wenn die funktional sichere Kommunikation in dem Netzwerk-System ausgeführt wird, welches in der 1 dargestellt ist, ergibt sich das Problem, dass das Umschalten der Systeme Zeit benötigt, da es notwendig ist, die oben beschriebene Initialisierungssequenz der funktional sicheren Kommunikation durchzuführen, bevor die Kommunikation gestartet wird.
  • Das Verfahren zur Reduzierung der Ausfallzeit, welches in der Patentliteratur 1 offenbart ist, deckt nicht den Fall ab, in welchem die funktional sichere Kommunikation basierend auf einer verbindungsbasierten Kommunikation ausgeführt wird, welche es erforderlich macht, dass die Kommunikation initialisiert wird.
  • Die 2 ist ein Kommunikations-Ablaufdiagramm, welche den Fall darstellt, in welchem die funktional sichere Kommunikation auf das Netzwerk-System der 1 angewandt wird. In der 2 zeigt ein Pfeil den Austausch von Daten an.
  • Wie in der 2 dargestellt ist, wird bei der Inbetriebnahme des Netzwerk-Systems die Initialisierungssequenz [1] bis [6] für die funktional sichere Kommunikation zwischen dem Steuerungssystem-Master 100a und dem Slave 200 ausgeführt, sowie zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b.
  • Wenn eine Störung in dem Steuerungssystem-Master 100a auftritt und ein Umschalten der Systeme erfolgt, wird die Initialisierungssequenz [1] bis [6] für die funktional sichere Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 ausgeführt, bevor die reguläre Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 gestartet wird. Aus diesem Grund ergibt sich das Problem einer verlängerten Ausfallzeit, beginnend vom Zeitpunkt, wenn eine Funktionsstörung in dem Steuerungssystem-Master 100a auftritt und ein Umschalten der Systeme erfolgt bis zum Zeitpunkt, in welchem die Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 wieder aufgenommen wird.
  • Es ist ein Ziel der vorliegenden Erfindung, die Ausfallzeit in einem Netzwerk-System, welches die funktional sichere Kommunikation anwendet, zu verringern, wenn die funktional sichere Kommunikation beim Umschalten der Systeme angewandt wird.
  • Lösung des Problems
  • Ein Kommunikationssystem entsprechend der vorliegenden Erfindung umfasst eine Computer-Vorrichtung, eine Steuer-Vorrichtung zur Steuerung der Computer-Vorrichtung, und eine Standby-Vorrichtung zum Ersetzen der Steuer-Vorrichtung, wenn eine Störung in der Steuer-Vorrichtung auftritt. Die Steuerungs-Vorrichtung weist eine steuerungsseitige Vorbereitungs-Komponente auf zur Ausführung einer Vorbereitungs-Sequenzgruppe zusammen mit der Computer-Vorrichtung, wobei die Vorbereitungs-Sequenzgruppe eine Vielzahl von Sequenzen aufweist; und eine steuerungsseitige Kommunikations-Komponente zum Starten einer Steuerungskommunikation mit der Computer-Vorrichtung zur Steuerung der Computer-Vorrichtung, nachdem die Ausführung der Vorbereitung-Sequenzgruppe durch die steuerungsseitige Vorbereitungs-Komponente beendet ist. Die Standby-Vorrichtung weist eine erste Vorbereitungs-Komponente auf zur Ausführung einer ersten Sequenzgruppe zusammen mit der Computer-Vorrichtung, wenn die Vorbereitungs-Sequenzgruppe durch die steuerungsseitige Vorbereitungs-Komponente zwischen der Steuerungs-Vorrichtung und der Computer-Vorrichtung gestartet ist, wobei die erste Sequenzgruppe eine oder mehrere der Vielzahl von Sequenzen aufweist, welche in der Vorbereitungs-Sequenzgruppe enthalten sind; eine zweite Vorbereitungs-Komponente zur Ausführung einer zweiten Sequenzgruppe zusammen mit der Computer-Vorrichtung, wenn die Störung der Steuerungs-Vorrichtung detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe durch die erste Vorbereitungs-Komponente beendet ist, wobei die zweite Sequenzgruppe aus einer oder mehreren Sequenzen der Vorbereitungs-Sequenzgruppe besteht, welche unterschiedlich sind zu der ersten Sequenzgruppe, und eine standbyseitige Kommunikations-Komponente zum Starten der Steuerungskommunikation mit der Computer-Vorrichtung, nachdem die Ausführung der zweiten Sequenzgruppe durch die zweite Vorbereitungs-Komponente beendet ist.
  • Vorteilhafte Effekte der Erfindung
  • Entsprechend dem Kommunikationssystem gemäß der vorliegenden Erfindung weist eine Standby-Vorrichtung eine erste Vorbereitungs-Komponente auf, um, zusammen mit der Computer-Vorrichtung eine erste Sequenzgruppe auszuführen, welche aus einigen der Sequenzen der Vorbereitungs-Sequenzgruppe besteht, wenn eine Vorbereitungs-Sequenzgruppe zwischen einer Computer-Vorrichtung und einer Steuerungs-Vorrichtung gestartet wird; eine zweite Vorbereitungs-Komponente um zusammen mit der Computer-Vorrichtung eine zweiten Sequenzgruppe auszuführen, wenn eine Störung der Steuerung-Vorrichtung detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe beendet ist, wobei die zweite Sequenzgruppe eine oder mehrere Sequenzen der Vorbereitungs-Sequenzgruppe aufweist, welche unterschiedlich sind zu den Sequenzen der ersten Sequenzgruppe; und eine standbyseitige Kommunikations-Komponente zum Starten der Steuerungskommunikation mit der Computer-Vorrichtung, nachdem die Ausführung der zweiten Sequenzgruppe beendet ist. Daher kann eine Vorbereitungs-Sequenzgruppe, welche zwischen der Standby-Vorrichtung und der Computer-Vorrichtung beim Umschalten der Systeme ausgeführt wird, verkürzt werden und dadurch die Ausfallzeit verringert werden.
  • Kurzbeschreibung der Figuren
  • Die 1 ist eine Darstellung zur Illustration eines Beispiels der Konfiguration eines Netzwerk-Systems, welches ein Master-Slave-Verfahren anwendet (System mit Systemumschaltung 500);
  • Die 2 ist ein Kommunikations-Ablaufdiagramm in einem Fall, in welchem die funktional sichere Kommunikation im Netzwerk-System der 1 angewandt wird;
  • die 3 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration eines Masters 100 (Steuerungssystem-Master 100a) entsprechend einer ersten Ausführungsform;
  • die 4 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration eines Masters 100 (Standbysystem-Master 100b) entsprechend der ersten Ausführungsform;
  • die 5 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration eines Slave 200 entsprechend der ersten Ausführungsform;
  • die 6 ist eine Darstellung zur Illustration eines Beispiels einer Hardware-Konfiguration des Masters 100 und des Slave 200 entsprechend der ersten Ausführungsform;
  • die 7 ist eine Darstellung zur Illustration eines Beispiels einer Systemkonfiguration des Systems mit Systemumschaltung 500 entsprechend der ersten Ausführungsform;
  • die 8 ist eine Darstellung zur Illustration einer Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Slave 200 entsprechend der ersten Ausführungsform;
  • die 9 ist eine Darstellung zur Illustration einer Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b entsprechend der ersten Ausführungsform;
  • die 10 ist eine Darstellung zur Illustration einer Kommunikationssequenz zwischen dem Standbysystem-Master 100b und den Slave 200 entsprechend der ersten Ausführungsform;
  • die 11 ist ein Flussdiagramm zur Illustration eines Verfahrens zur Bestimmung von Initialisierungsaufgaben durch eine Komponente zur Initialisierungsverarbeitung 112b des Standbysystem-Master 100b entsprechend der ersten Ausführungsform;
  • die 12 ist eine Darstellung zur Illustration eines Beispiels der Block-Konfiguration des Standbysystem-Master 100b entsprechend einer zweiten Ausführungsform;
  • die 13 ist ein Diagramm zur Illustration eines Beispiels einer Konfiguration eines Existenzinformations-Datenframes 131 entsprechend der zweiten Ausführungsform;
  • die 14 ist eine Darstellung zur Beschreibung des Betriebs des Systems mit Systemumschaltung 500 entsprechend der zweiten Ausführungsform;
  • die 15 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration des Slave 200 entsprechend einer dritten Ausführungsform;
  • die 16 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration eines Sicherheits-Datenframes 250 der funktional sicheren Kommunikation entsprechend der dritten Ausführungsform; und
  • die 17 ist ein Flussdiagramm zur Illustration des Ablaufs eines Verfahrens zur Bestimmung einer Kennzeichnung in dem System mit Systemumschaltung 500 entsprechend der dritten Ausführungsform.
  • Beschreibung der Ausführungsformen
  • Erste Ausführungsform
  • Die 1 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration eines Netzwerk-Systems, welches ein Master-Slave-Verfahren (System mit Systemumschaltung 500) anwendet. Diese Ausführungsform beschreibt ein Verfahren, durch welches die Ausfallzeit beim Umschalten der Systeme dann reduziert werden kann, wenn eine funktional sichere Kommunikation in dem in der 1 dargestellten System mit Systemumschaltung 500 (ein Beispiel eines Kommunikationssystems) verwendet wird.
  • Ein Steuerungssystem-Master 100a und eine Standbysystem-Master 100b sind durch eine speziell bereitgestellte Leitung verbunden. Eine Vielzahl von Slaves 200 (Slave 1 (2001) bis Slave n (200n)) sind mit dem Steuerungssystem-Master 100a und mit dem Standbysystem-Master 100b über eine Übertragungsleitung verbunden.
  • Der Steuerungssystem-Master 100a (Steuerungs-Vorrichtung) führt die Steuerungskommunikation mit dem Slave 200 (Computer-Vorrichtung) aus und steuert dadurch den Slave 200. Der Standbysystem-Master 100b (Standby-Vorrichtung) ersetzt den Steuerungssystem-Master 100a wenn eine Störung im Steuerungssystem-Master 100a auftritt. Es ist wünschenswert, dass der Steuerungssystem-Master 100a und der Standbysystem-Master 100b die gleiche Konfiguration aufweisen.
  • Die 3 seine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration des Masters 100 (Steuerungssystem-Master 100a) entsprechend dieser Ausführungsform. Die 4 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration des Masters 100 (Standbysystem-Master 100b) entsprechend dieser Ausführungsform.
  • Mit Bezug auf die 3 und 4 wird die Block-Konfiguration des Steuerungssystem-Master 100a und die Block-Konfiguration des Standbysystem-Master 100b beschrieben.
  • Wie in den 3 und 4 dargestellt ist, haben der Steuerungssystem-Master 100a und der Standbysystem-Master 100b die gleiche Konfiguration. Daher wird hier deren Konfiguration anhand der Konfiguration des Masters 100 beschrieben.
  • Wenn in der folgenden Beschreibung einer der Suffixe m1 bis m5 und s1 bis sn an eine Komponente angehängt ist, ist diese Komponente ein Bestandteil einer Steuerungskomponente zur Sicherheitskommunikation 120, welche das gleiche Suffix hat. Wenn eine der Suffixe a und b an einer Komponente angehängt ist, ist diese Komponente ein Bestandteil eines Masters 100 (Steuerungssystem-Master 100a oder Standbysystem-Master 100b), welcher den gleichen Suffix hat.
  • Der Master 100 weist eine Steuerungskomponente zur Steuerungskommunikation 110 und eine Steuerungskomponente zur Sicherheitskommunikation 120 auf.
  • Die Steuerungskomponente zur Steuerungskommunikation 110 steuert die Übermittlung und den Empfang eines Datenframes, welcher für die Steuerungskommunikation erforderlich ist. Die Steuerungskommunikation ist eine Kommunikation, welche zwischen dem Master 100 und dem Slave 200 zur Übermittlung eines Befehls zum Slave 200 ausgeführt wird, um diesen zum Betrieb zu veranlassen.
  • Die Steuerungskomponente zur Steuerungskommunikation 100a des Steuerungssystem-Masters 100a ist ein Beispiel einer steuerungsseitigen Kommunikationskomponente, welche die Steuerungskommunikation mit dem Slave 200 startet, nachdem eine Kommunikation-Initialisierungssequenz zur funktional sicheren Kommunikation beendet wurde. Die Steuerungskomponente zur Steuerungskommunikation 100b des Standbysystem-Masters 100b ist ein Beispiel einer standbyseitigen Kommunikationskomponente, welche die Steuerungskommunikation mit dem Slave 200 startet, nachdem eine zweite Sequenzgruppe (vgl. 10) außerhalb der Initialisierungssequenz zur funktional sicheren Kommunikation beendet wurde.
  • Die Steuerungskomponente zur Sicherheitskommunikation 120 steuert die Übermittlung und den Empfang eines Datenframes, welcher für die funktional sichere Kommunikation erforderlich ist (auch bezeichnet als ein Sicherheits-Datenframe). Die Steuerungskomponente zur Sicherheitskommunikation 120 übt die Funktionalität einer Schicht zur Sicherheitskommunikation aus, welche eine Kommunikations-Fehlerprüfung ausführt zur Implementierung der funktional sicheren Kommunikation mit dem anderen Master 100 und der Vielzahl an Slaves 200, welche mit dem eigenen Master 100 verbunden sind.
  • Die Steuerungskomponente zur Sicherheitskommunikation 120 ist jeweils bereitgestellt für den anderen Master 100 sowie für die Vielzahl der Slaves 200. Die Steuerungskomponente zur Sicherheitskommunikation 120 zur Implementierung der funktional sicheren Kommunikation mit dem anderen Master 100 wird als Steuerungskomponente zur Sicherheitskommunikation 120m1 beschrieben. Die Steuerungskomponenten zur Sicherheitskommunikation 120 zur Implementierung der funktional sicheren Kommunikation mit dem Slave 1 bis zum Slave n werden, je nach Slave, als Steuerungskomponenten zur Sicherheitskommunikation 120s1 bis 120sn (n bezeichnet die Anzahl der Slaves) beschrieben.
  • Die Steuerungskomponente zur Sicherheitskommunikation 120 weist eine Empfangsquellen-Bestimmungskomponente 124 auf, eine Einstellungskomponente für Übermittlungsziele 121, eine Verarbeitungskomponente zur Initialisierung 122 und eine Verarbeitungskomponente für Sicherheitsdaten 123.
  • Die Empfangsquellen-Bestimmungskomponente 124 erhält einen Sicherheits-Datenframe, welcher zur Steuerungskomponente zur Sicherheitskommunikation 120 übermittelt wurde, und bestimmt eine Empfangsquelle des Sicherheits-Datenframes. Der Sicherheits-Datenframe ist ein Datenframe, in welchem Informationen gespeichert werden, welche von der Steuerungskomponente zur Sicherheitskommunikation 120 zur Durchführung einer Kommunikations-Fehlerprüfung benötigt werden.
  • Die Einstellungskomponente für Übermittlungsziele 121 setzt ein Übermittlungsziel in dem Sicherheits-Datenframe.
  • Die Verarbeitungskomponente zur Initialisierung 122 führt die Initialisierungssequenz für die funktional sichere Kommunikation aus.
  • Die Initialisierungssequenz für die funktional sichere Kommunikation ist ein Beispiel einer Vorbereitungs-Sequenzgruppe, welche ausgeführt wird, bevor die Steuerungskommunikation gestartet wird. Die Initialisierungssequenz für die funktional sichere Kommunikation (Vorbereitungs-Sequenzgruppe) weist eine Vielzahl von Sequenzen [1] bis [6] auf.
  • Die Verarbeitungskomponente zur Initialisierung 122 empfängt einen Parameter, welcher im Sicherheits-Datenframe enthalten ist, und welcher in der Initialisierungssequenz für die funktional sichere Kommunikation verwendet wird, und führt die Initialisierungssequenz für die funktional sichere Kommunikation aus.
  • Wie in der 3 dargestellt ist, ist in dem Fall, in welchem der Master 100 der Steuerungssystem-Master 100a ist, die Verarbeitungskomponente zur Initialisierung 122a ein Beispiel für eine steuerungsseitige Vorbereitungskomponente, welche die Initialisierungssequenz für die funktional sichere Kommunikation mit dem Slave 200 ausführt.
  • Wie in der 4 illustriert ist, weist in dem Fall, in welchem der Master 100 der Standbysystem-Master 100b ist, die Verarbeitungskomponente zur Initialisierung 122b eine Komponente zur Sequenzunterteilung 1221, eine erste Vorbereitungskomponente 1222, und eine zweite Vorbereitungskomponente 1223 auf.
  • Es ist anzumerken, dass jede Verarbeitungskomponente zur Initialisierung 122 die Komponente zur Sequenzunterteilung 1221, die erste Vorbereitungskomponente 1222 und die zweite Vorbereitungskomponente 1223 aufweisen kann, oder aber lediglich die Vorbereitungskomponente zur Initialisierung 122b des Standbysystem-Master 100b die Komponente zur Sequenzunterteilung 1221, die erste Vorbereitungskomponente 1222 und die zweite Vorbereitungskomponente 1223 aufweist. Jedoch ist es wünschenswert, dass der Steuerungssystem-Master 100a, und der Standbysystem-Master 100b die gleiche Konfiguration aufweisen, da dadurch jeder für den jeweils anderen eine Backup-Funktion bereitstellen kann.
  • Die Komponente zur Sequenzunterteilung 1221 unterteilt die Initialisierungssequenz für die funktional sichere Kommunikation in eine erste Sequenzgruppe und eine zweite Sequenzgruppe, basierend auf dem Inhalt jeder Sequenz, welche in der Initialisierungssequenz für die funktional sichere Kommunikation enthalten ist. Die Komponente zur Sequenzunterteilung 1221 unterteilt die Initialisierungssequenz für die Kommunikation zur funktionalen Sicherheit in die erste Sequenzgruppe und die zweite Sequenzgruppe bei der Inbetriebnahme des Systems mit Systemumschaltung 500.
  • Wenn die Initialisierungssequenz für die funktional sichere Kommunikation zwischen dem Steuerungssystem-Master 100a und dem Slave 200 gestartet ist, führt die erste Vorbereitungskomponente 1222 zusammen mit dem Slave 200 die erste Sequenzgruppe aus, welche aus einigen der Vielzahl an Sequenzen besteht, welche in der Initialisierungssequenz für die funktional sichere Kommunikation enthalten sind.
  • Wenn eine Störung des Steuerungssystem-Master 100a detektiert wird, und nachdem die Ausführung der ersten Sequenzgruppe beendet ist, führt die zweite Vorbereitungskomponente mit dem Slave 200 die zweite Sequenzgruppe aus, welche aus Sequenzen der Initialisierungssequenz für die funktional sichere Kommunikation besteht, welche unterschiedlich sind zur ersten Sequenzgruppe.
  • In dieser Ausführungsform unterteilt die Komponente zur Sequenzunterteilung 1221 die Initialisierungssequenz für die funktional sichere Kommunikation in eine erste Sequenzgruppe und eine zweite Sequenzgruppe, und dann führt die erste Vorbereitungskomponente 1222 die erste Sequenzgruppe aus. Jedoch ist dies nicht beschränkend. Die erste Sequenzgruppe und die zweite Sequenzgruppe können im Voraus durch einen Systemadministrator oder dergleichen unterteilt werden und in einer Speichervorrichtung, welche im Master 100 enthalten ist, gespeichert werden.
  • In dieser Ausführungsform sind die Komponente zur Sequenzunterteilung 1221, die erste Vorbereitungskomponente 1222, und die zweite Vorbereitungskomponente 1223 neu zur Steuerungskomponente zur Sicherheitskommunikation 120 hinzugefügt.
  • Die Verarbeitungskomponente für Sicherheitsdaten 123 führt die Verarbeitung von Sicherheitsdaten aus, welche für die Maßnahmen gegen Kommunikationsfehler in der funktional sicheren Kommunikation erforderlich ist.
  • Die 5 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration des Slaves 200 entsprechend dieser Ausführungsform.
  • Der Slave 200 weist eine Steuerungskomponente zur Steuerungskommunikation 210 und eine Steuerungskomponente zur Sicherheitskommunikation 220 auf.
  • Die Steuerungskomponente zur Steuerungskommunikation 210 steuert die Übermittlung und den Empfang eines Datenframes, welcher für die Steuerungskommunikation am Slave 200 benötigt wird.
  • Die Steuerungskomponente zur Sicherheitskommunikation 220 besteht aus einer Steuerungskomponente zur Sicherheitskommunikation 220m2 für die Kommunikation mit dem Steuerungssystem-Master 100a und aus einer Steuerungskomponente zur Sicherheitskommunikation 220m3 für die Kommunikation mit dem Standbysystem-Master 100b. Wenn vereinfachend von einer Steuerungskomponente zur Sicherheitskommunikation 220 beschrieben wird, bezieht sich dies auf beide oder auf eine der Steuerungskomponenten zur Sicherheitskommunikation 220m2 und 220m3.
  • Die Steuerungskomponente zur Sicherheitskommunikation 220 steuert die Übermittlung und den Empfang eines Sicherheits-Datenframes, welcher für die funktional sichere Kommunikation am Slave 200 benötigt wird. In dieser Ausführungsform ist die Steuerungskomponente zur Sicherheitskommunikation 220m3 für die Kommunikation mit dem Standbysystem-Master 100b neu zum Slave 200 hinzugefügt.
  • Die Steuerungskomponente zur Sicherheitskommunikation 220 weist eine Empfangsquellen-Bestimmungskomponente 224, eine Einstellungskomponente für Übermittlungsziele 221, eine Verarbeitungskomponente zur Initialisierung 222 und eine Verarbeitungskomponente für Sicherheitsdaten 223 auf.
  • Die Empfangsquellen-Bestimmungskomponente 224 erhält den Sicherheits-Datenframe, welcher zur Steuerungskomponente zur Sicherheitskommunikation 220 übermittelt wurde.
  • Die Einstellungskomponente für Übermittlungsziele 221 setzt ein Übermittlungsziel für den Sicherheits-Datenframe.
  • Die Verarbeitungskomponente zur Initialisierung 222 empfängt einen Parameter, welcher im Sicherheits-Datenframe enthalten ist, welcher vom Master 100 übermittelt wurde, und welcher in der Initialisierungssequenz für die funktional sichere Kommunikation verwendet wird, und führt die Initialisierungssequenz für die funktional sichere Kommunikation aus. Wenn die Initialisierungssequenz für die funktional sichere Kommunikation mit dem Standbysystem-Master 100b ausgeführt wird, wird die Initialisierungssequenz für die funktional sichere Kommunikation durch den Standbysystem-Master 100b unterteilt und wird dann ausgeführt.
  • In dieser Ausführungsform ist die Verarbeitungskomponente zur Initialisierung 222 neu zur Steuerungskomponente zur Sicherheitskommunikation 220 des Slaves 200 hinzugefügt.
  • Die Verarbeitungskomponente für Sicherheitsdaten 223 führt die Verarbeitung der Sicherheitsdaten aus, welche benötigt werden für Maßnahmen gegen Kommunikationsfehler in der funktional sicheren Kommunikation.
  • Die 6 ist ein Diagramm zur Illustration eines Beispiels für eine Hardwarekonfiguration des Steuerungssystem-Master 100a, des Standbysystem-Master 100b, und des Slaves 200 entsprechend dieser Ausführungsform.
  • Mit Bezug auf die 6 wird das Beispiel der Hardwarekonfiguration, des Steuerungssystem-Master 100a, des Standby-System-Master 100b und des Slaves 200 beschrieben.
  • Der Steuerungssystem-Master 100a, der Standbysystem-Master 100b und der Slave 200 sind jeweils ein Computer, und jedes Element des Steuerungssystem-Masters 100a, des Standbysystem-Masters 100b und des Slaves 200 kann durch ein Programm implementiert werden.
  • In der jeweiligen Hardwarekonfiguration des Steuerungssystem-Masters 100a, des Standbysystem-Masters 100b und des Slaves 200 sind eine arithmetische Vorrichtung 901, eine externe Speichervorrichtung 902, eine Hauptspeichervorrichtung 903, eine Kommunikationsvorrichtung 904 und eine Eingabe/Ausgabevorrichtung 905 durch einen Bus miteinander verbunden.
  • Die arithmetische Vorrichtung 901 ist eine CPU (Central Processing Unit), welche Programme ausführt.
  • Die externe Speichervorrichtung 902 ist beispielsweise ein ROM (Read Only Memory), ein Flash-Speicher oder eine Festplatte.
  • Die Hauptspeichervorrichtung 903 ist ein RAM (Random Access Memory).
  • Die Kommunikationsvorrichtung 904 ist beispielsweise eine Kommunikationskarte oder dergleichen und ist mit einem LAN (Local Area Network) oder dergleichen verbunden. Anstatt mit dem LAN kann die Kommunikationsvorrichtung 904 mit einem WAN (Wide Area Network) verbunden sein, wie ein IP-VPN (Internet Protocol Virtual Private Network), einem Wide-Area LAN, oder ein ATM(Asynchronous Transfer Mode)-Netzwerk, oder dem Internet. Das LAN, das WAN, und das Internet sind Beispiele für ein Netzwerk.
  • Die Eingabe/Ausgabevorrichtung 905 ist beispielsweise eine Maus, eine Tastatur, ein Anzeigegerät oder dergleichen. Anstatt der Maus können ein Touchpanel, einen Touchpad, ein Trackball, ein Pen-Tablet oder andere Typen eines Zeigegeräts verwendet werden. Das Anzeigegerät kann ein LCD (Liquid Crystal Display), ein CRT (Cathode Ray Tube) oder ein anderer Typ eines Anzeigegeräts sein.
  • Die Programme sind normalerweise in der externen Speichervorrichtung 902 gespeichert und werden in die Hauptspeichervorrichtung 903 geladen, um durch die arithmetische Vorrichtung 901 sequenziell ausgelesen und ausgeführt zu werden.
  • Die Programme implementieren jede Funktion, welche im Block-Konfigurationsdiagramm als ”Komponente” beschrieben ist.
  • Des Weiteren ist auch ein Betriebssystem (OS) in der externen Speichervorrichtung 902 gespeichert. Zumindest ein Teil des OS wird in die Hauptspeichervorrichtung 903 geladen, und, während das OS ausgeführt wird, führt die arithmetische Vorrichtung 901 die Programme aus, welche die Funktionen der „Komponenten” implementieren, welche in den Block-Konfigurationsdiagrammen dargestellt sind.
  • Applikationsprogramme sind ebenso in der externen Speichervorrichtung 902 gespeichert. Die Applikationsprogramme werden in die Hauptspeichervorrichtung 903 geladen und werden sequenziell durch die arithmetische Vorrichtung 901 ausgeführt.
  • Informationen, wie eine ”...tabelle” sind ebenso in der externen Speichervorrichtung 902 gespeichert.
  • Informationen, Daten, Signalwerte, und Variablenwerte, welche Resultate von Prozessen angeben, welche beschrieben sind als ”evaluieren”, ”bestimmen”, ”detektieren”, ”einstellen”, ”registrieren”, ”auswählen”, ”erzeugen”, ”eingeben”, ”ausgeben”, und so weiter, sind als Dateien in der Hauptspeichervorrichtung 903 gespeichert.
  • Daten, welche durch den Steuerungssystem-Master 100a, den Standbysystem-Master 100b, und den Slave 200 empfangen werden, werden ebenso in der Hauptspeichervorrichtung 903 gespeichert.
  • Ein Verschlüsselungs-Schlüssel, ein Entschlüsselungs-Schlüssel, den Wert einer Zufallszahl, und ein Parameter können ebenso als Dateien in der Hauptspeichervorrichtung 903 gespeichert sein.
  • Die Konfiguration der 6 gibt ein Beispiel einer Hardwarekonfiguration des Steuerungssystem-Masters 100a, des Standbysystems-Masters 100b und des Slaves 200 an. Die Hardwarekonfiguration des Steuerungssystem-Masters 100a, des Standbysystem-Masters 100b und des Slaves 200 ist nicht beschränkt, und kann unterschiedlich sein zur Konfiguration, wie sie in der 6 dargestellt ist.
  • Die 7 ist eine Darstellung zur Illustration eines Beispiels einer Systemkonfiguration des Systems mit Systemumschaltung 500 entsprechend dieser Ausführungsform. Zur Erleichterung der Beschreibung wird hierbei angenommen, dass nur ein einzelner Slave 200 vorhanden ist. Jedoch können, wie oben beschrieben, eine Vielzahl von Slaves 200 vorhanden sein.
  • In der folgenden Beschreibung des Betriebs wird der Betrieb von Komponenten in Bezug auf die funktional sichere Kommunikation dadurch beschrieben, dass dieser zwischen einem Steuerungssystem-Master 100a, und einem Slave 200, aufgeteilt wird und zwischen einem Steuerungssystem-Master 100a und einem Standby-System-Master 100b aufgeteilt wird, und zwischen dem Standbysystem-Master 100b und dem Slave 200 aufgeteilt wird.
  • Die 8 ist eine Darstellung zur Illustration einer Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Slave 200 entsprechend dieser Ausführungsform.
  • Mit Bezug auf die 8 wird die Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Slave 200 beschrieben.
  • Die Kommunikationssequenz (A1) ist eine Kommunikationssequenz zum Aufbau einer Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120 (Sicherheits-Kommunikationsschicht) des Steuerungssystem-Master 100a und die Steuerungskomponente zur Sicherheitskommunikation 220 (Sicherheits-Kommunikationsschicht) des Slaves 200. Die Kommunikationssequenz (A1) ist eine Initialisierungssequenz für die funktional sichere Kommunikation, welche zwischen der Verarbeitungskompetente 122a zur Initialisierung des Steuerungssystem-Master 100a und der Verarbeitungskomponente zur Initialisierung 222 des Slaves 200 beim Inbetriebnehmen des Systems mit Systemumschaltung 500 ausgeführt wird. In der Initialisierungssequenz für die Kommunikation zur funktionalen Sicherheit werden die folgenden Punkte ausgeführt.
    • [1] Ein Anfrage-Datenframe für einen Sicherheitsverbindungs-Aufbau wird übermittelt und empfangen und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [2] Ein Anfrage-Datenframe für die Netzwerkparameter-Überprüfung wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und ein Parameter wird in einem Buffer geschrieben und gespeichert.
    • [3] Ein Anfrage-Datenframe zur Verifikation von Sicherheitsstations-Parametern wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und eine Parameter-Validitätsprüfung wird durch die Steuerungskomponente für die Sicherheitskommunikation durchgeführt.
    • [4] Wenn eine weitere optionale Funktion erforderlich ist, wird ein Datenframe übermittelt, empfangen und verarbeitet, welcher sich auf die optionale Funktion bezieht.
    • [5] Ein Anfrage-Datenframe zur Aktualisierungsvorbereitung und zur Offset-Messung wird übermittelt und empfangen und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [6] Basierend auf Offset-Messinformationen, wird ein Anfrage-Datenframe zur Sicherheitsaktualisierung und Offset-Erzeugung übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
  • Die Kommunikationssequenz (A2) ist eine Sequenz, in welcher die Steuerungskommunikation als funktional sichere Kommunikation zwischen dem Steuerungssystem-Master 100a und dem Slave 200 ausgeführt wird.
  • Wenn eine Funktionsstörung im Steuerungssystem-Master 100a während der funktional sicheren Kommunikation (A2) auftritt wird eine Kommunikationssequenz (A3) gestartet. In der Kommunikationssequenz (A3) wird ein Kommunikationsfehler durch die Steuerungskomponente zur Sicherheitskommunikation 120 des Steuerungssystem-Master 100a und der Steuerungskomponente zur Sicherheitskommunikation 220 des Slaves 200 detektiert. Wenn der Kommunikationsfehler detektiert wird, wird die Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120 des Steuerungssystem-Masters 100a und der Steuerungskomponente zur Sicherheitskommunikation 220 des Slaves 200 in der Kommunikationssequenz (A3) beendet.
  • Die 9 ist eine Darstellung zur Illustration einer Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b entsprechend dieser Ausführungsform.
  • Mit Bezug auf die 9 wird die Kommunikationssequenz zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b beschrieben.
  • Die Kommunikationssequenz (B1) ist eine Sequenz zum Aufbau einer Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120 (Sicherheits-Kommunikationsschicht) des Steuerungssystem-Master 100a und der Steuerungskomponente zur Sicherheitskommunikation 120 (Sicherheits-Kommunikationsschicht) des Standbysystem-Master 100b. Die Kommunikationssequenz (B1) ist eine Initialisierungssequenz für die funktional sichere Kommunikation, welche zwischen der Verarbeitungskomponente zur Initialisierung 122a des Steuerungssystem-Master 100a und der Verarbeitungskomponente zur Initialisierung 122b des Standbysystem-Master 100b beim Inbetriebnehmen des Systems mit Systemumschaltung 500 ausgeführt wird. In der Initialisierungssequenz für die funktional sichere Kommunikation werden die folgenden Punkte ausgeführt.
    • [1] Ein Anfrage-Datenframe zum Aufbau einer Sicherheitsverbindung wird übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [2] Ein Anfrage-Datenframe für die Netzwerkparameter-Überprüfung wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und ein Parameter wird in einem Buffer geschrieben und gespeichert.
    • [3] Ein Anfrage-Datenframe zur Verifikation von Sicherheitsstations-Parametern wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und eine Parameter-Validitätsprüfung wird durch die Steuerungskomponente für die Sicherheitskommunikation ausgeführt.
    • [4] Wenn eine weitere optionale Funktion erforderlich ist, wird ein Datenframe, welcher sich auf die optionale Funktion bezieht, übermittelt, empfangen und verarbeitet.
    • [5] Ein Anfrage-Datenframe zur Aktualisierungsvorbereitung und Offset-Messung wird übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [6] Basierend auf Offset-Messinformationen wird ein Anfrage-Datenframe zur Sicherheitsaktualisierung und Offset-Erzeugung übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
  • Die Kommunikationssequenz (B2) ist eine Sequenz, in welcher die funktional sichere Kommunikation zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b ausgeführt wird.
  • In der Kommunikationssequenz (B2) werden Daten übermittelt und empfangen, welche für das Umschalten der Systeme erforderlich sind.
  • Wenn eine Funktionsstörung in dem Steuerungssystem-Master 100a während der Kommunikationssequenz (B2) auftritt, wird eine Kommunikationssequenz (B3) gestartet. In der Kommunikationssequenz (B3) wird ein Kommunikationsfehler durch die Steuerungskomponente zur Sicherheitskommunikation 120 des Steuerungssystem-Master 100a und der Steuerungskomponente zur Sicherheitskommunikation 120 des Standbysystem-Master 100b detektiert. Wenn der Kommunikationsfehler detektiert ist, wird die Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120 des Steuerungssystem-Master 100a und der Steuerungskomponente zur Sicherheitskommunikation 120 des Standbysystem-Master 100b in der Kommunikationssequenz (B3) beendet.
  • Die 10 ist ein Diagramm zur Illustration einer Kommunikationssequenz zwischen dem Standbysystem-Master 100b und dem Slave 200 entsprechend dieser Ausführungsform. Mit Bezug auf die 10 wird die Kommunikationssequenz zwischen dem Standbysystem-Master 100b und dem Slave 200 beschrieben.
  • Eine Kommunikationssequenz (C1) ist Bestandteil einer Sequenz zum Aufbau einer Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120 (Sicherheits-Kommunikationsschicht) des Standbysystem-Master 100b und der Steuerungskomponente zur Sicherheitskommunikation 120 (Sicherheits-Kommunikationsschicht) des Slaves 200. Die Kommunikationssequenz (C1) ist die erste Sequenzgruppe der Initialisierungssequenz für die funktional sichere Kommunikation, welche zwischen der ersten Vorbereitungs-Komponente 1222b der Verarbeitungskomponente zur Initialisierung 122b des Standbysystem-Master 100b und der Verarbeitungskomponente zur Initialisierung 222 des Slaves 200 bei der Inbetriebnahme des Systems mit Systemumschaltung 500 ausgeführt wird. Bei der Inbetriebnahme des Systems mit Systemumschaltung 500 führt die erste Vorbereitungskomponente 1222b die folgenden Punkte der Initialisierungssequenz für die Kommunikation zur funktionalen Sicherheit [1] bis [6] als die erste Sequenzgruppe, wie oben beschrieben, durch (ein erster Vorbereitungsprozess, ein erster Vorbereitungsschritt).
    • [1] Ein Anfrage-Datenframe zum Aufbau einer Sicherheitsverbindung wird übermittelt und empfangen und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [2] Ein Anfrage-Datenframe zur Überprüfung von Netzwerkparametern wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und ein Parameter wird im Buffer geschrieben und gespeichert.
    • [3] Ein Anfrage-Datenframe zur Verifikation von Sicherheitsstations-Parametern wird übermittelt und empfangen, ein Antwort-Datenframe wird übermittelt und empfangen, und eine Parameter-Validitätsprüfung wird durch die Steuerungskomponente für die Sicherheitskommunikation ausgeführt.
    • [4] Wenn eine weitere optionale Funktion erforderlich ist, wird ein Datenframe, der sich auf die optimale Funktion bezieht, übermittelt, empfangen und verarbeitet.
  • Wenn die Kommunikationssequenz (C1) ([1] bis [4]) beendet ist, ist die Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 in einem Standby-Zustand bis ein Umschalten der Systeme auftritt.
  • Wenn eine Fehlfunktion in dem Steuerungssystem-Master 100a auftritt, wird eine Kommunikationssequenz (C2) gestartet. Die Kommunikationssequenz (C2) ist die zweite Sequenzgruppe, bestehend aus Sequenzen der Initialisierungssequenz für die funktional sichere Kommunikation, welche unterschiedlich sind zur ersten Sequenzgruppe, wobei die zweite Sequenzgruppe zwischen der zweiten Vorbereitungskomponente 1223b der Verarbeitungskomponente zur Initialisierung 122b des Standbysystem-Masters 100b und der Verarbeitungskomponente zur Initialisierung 222 des Slaves 200 ausgeführt wird, nachdem eine Störung des Steuerungssystem-Master 100a detektiert wurde.
  • In der Kommunikationssequenz (C2) führen der Standbysystem-Master 100b und der Slave 200 die zweite Sequenzgruppe aus und schließen den Aufbau der Sicherheitsverbindung zwischen der Steuerungskomponente zur Sicherheitskommunikation 120b des Standbysystem-Master 100b und der Steuerungskomponente zur Sicherheitskommunikation 220 des Slaves 200 ab.
  • Die zweite Sequenzgruppe der Initialisierungssequenz für die funktional sichere Kommunikation weist die folgenden Punkte auf. Die zweite Vorbereitungskomponente 1223b führt die zweite Sequenzgruppe aus (ein zweites Vorbereitungsverfahren, einen zweiten Vorbereitungsschritt).
    • [5] Ein Anfrage-Datenframe zur Aktualisierungsvorbereitung und Offset-Messung wird übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
    • [6] Basierend auf Offset-Messinformationen, wird ein Anfrage-Datenframe zur Sicherheitsaktualisierung und Offset-Erzeugung übermittelt und empfangen, und ein Antwort-Datenframe wird übermittelt und empfangen.
  • Eine Kommunikationssequenz (C3) ist eine Sequenz, in welcher die Steuerungskommunikation als funktional sichere Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 ausgeführt wird (ein standbyseitiger Kommunikationsprozess, ein standbyseitiger Kommunikationsschritt).
  • Wie oben beschrieben wurde, wird die Initialisierungssequenz für die funktional sichere Kommunikation zwischen dem Standbysystem-Master 100b und dem Slave 200 durch Unterteilen in die erste Sequenzgruppe und die zweite Sequenzgruppe ausgeführt.
  • Es wird nun ein Verfahren zur Unterteilung der Initialisierungssequenz für die funktional sichere Kommunikation (Bestimmungsverfahren für die Initialisierungsaufgaben) beschrieben.
  • Ein Prozess zur Unterteilung der Initialisierungssequenz für die funktional sichere Kommunikation (Bestimmungsprozess für die Initialisierungsaufgaben) wird durch eine Komponente zur Sequenzunterteilung 1221b der Verarbeitungskomponente zur Initialisierung 122b der Steuerungskomponente zur Sicherheitskommunikation 120b des Standbysystem-Masters 100b ausgeführt.
  • Die 11 ist ein Flussdiagramm zur Illustration des Bestimmungsprozesses für die Initialisierungsaufgaben, ausgeführt durch die Komponente zur Sequenzunterteilung 1221b, entsprechend dieser Ausführungsform.
  • Außerhalb der Initialisierungssequenz für die funktional sichere Kommunikation werden diejenigen Punkte nach dem Umschalten der Systeme ausgeführt, welche sich auf eine Clock-Messung beziehen, oder bei welchen eine Veränderung eines Time-Out-Wertes nicht zugelassen wird, da es notwendig ist, dass die funktional sichere Kommunikation sofort gestartet wird, nachdem die Initialisierungssequenz ausgeführt wurde. Andere Punkte, wie beispielsweise eine Sicherheits-Verbindungs-ID, für welche es nicht notwendig ist, dass die funktional sichere Kommunikation unmittelbar nach der Initialisierungssequenz gestartet wird, werden vor dem Umschalten der Systeme ausgeführt.
  • In S100 bestimmt die Komponente zur Sequenzunterteilung 1221b, unter Verwendung einer Verarbeitungsvorrichtung, das Timing für jede der Initialisierungssequenzen für die funktional sichere Kommunikation [1] bis [6]. Die Komponente zur Sequenzunterteilung 1221b führt den Bestimmungsprozess für die Initialisierungsaufgaben für jede der Initialisierungssequenzen für die funktional sichere Kommunikation [1] bis [6] aus. Eine Sequenz, welche außerhalb der Initialisierungssequenz für die funktional sichere Kommunikation ausgeführt werden soll, wird als Verarbeitungs-Target-Sequenz beschrieben.
  • In S110 bestimmt die Komponente zur Sequenzunterteilung 1221b, ob der Inhalt der Verarbeitungs-Target-Sequenz eine Übermittlung und ein Empfang eines Parameters ist. Wenn der Inhalt der Verarbeitungs-Target-Sequenz eine Übermittlung und ein Empfang eines Parameters ist (JA in S110), fährt die Verarbeitung fort bei S111. Wenn der Inhalt der Verarbeitungs-Target-Sequenz nicht eine Übermittlung und ein Empfang eines Parameters ist, (NEIN in S110), fährt die Verarbeitung fort bei S112.
  • In S111 bestimmt die Komponente zur Sequenzunterteilung 1221b, ob der Inhalt der Verarbeitungs-Tagrget-Sequenz es erlaubt, den Time-Out-Wert zu verändern.
  • Wenn der Inhalt der Verarbeitungs-Target-Sequenz es erlaubt, den Time-Out-Wert zu verändern (JA in S111), bestimmt die Komponente zur Sequenzunterteilung 1221b, dass die Verarbeitungs-Target-Sequenz ausführbar ist, bevor die Systeme umgeschaltet werden, und dass sie Teil der ersten Sequenzgruppe sein soll, welche in S200 ausgeführt wird.
  • Wenn der Inhalt der Verarbeitungs-Target-Sequenz es nicht erlaubt, den Time-Out-Wert zu verändern (NEIN in S111), bestimmt die Komponente zur Sequenzunterteilung 1221b, dass die Verarbeitungs-Target-Sequenz nach dem Umschalten der Systeme (S300) ausgeführt werden soll und in der zweiten Sequenzgruppe aufgenommen werden soll, welche in S400 ausgeführt wird.
  • In S112 bestimmt die Komponente zur Sequenzunterteilung 1221b, ob der Inhalt der Verarbeitungs-Target-Sequenz sich auf eine Clock-Messung bezieht.
  • Wenn der Inhalt der Verarbeitungs-Target-Sequenz sich nicht auf eine Clock-Messung bezieht (NEIN in S112), bestimmt die Komponente zur Sequenzunterteilung 1221b, dass die Verarbeitungs-Target-Sequenz vor dem Umschalten der Systeme ausführbar ist, und in der ersten Sequenzgruppe aufgenommen werden soll, welche in S200 ausgeführt wird.
  • Wenn der Inhalt der Verarbeitungs-Target-Sequenz sich auf eine Clock-Messung bezieht (JA in S112), bestimmt die Komponente zur Sequenzunterteilung 1221b, dass die Verarbeitungs-Target-Sequenz nach dem Umschalten der Systeme ausgeführt werden soll (S300) und in der zweiten Sequenzgruppe aufgenommen werden soll, welche in S400 ausgeführt wird.
  • Wie oben beschrieben wurde, werden in dem System mit Systemumschaltung 500 entsprechend dieser Ausführungsform, Punkte, welche es erfordern, dass die Kommunikation unmittelbar nach der Ausführung der Sequenz gestartet wird, nach dem Umschalten der Systeme ausgeführt, und andere Punkte werden vor dem Umschalten der Systeme ausgeführt, außerhalb der Initialisierungssequenz für die funktional sichere Kommunikation. Die 11 ist ein Flussdiagramm, welches Kriterien für die Unterteilung der Initialisierungssequenz für die funktional sichere Kommunikation illustriert. Eine Applikation zur Gruppierung der Initialisierungssequenz für die funktional sichere Kommunikation basierend auf diesem Flussdiagramm, kann erzeugt werden und in der Steuerungskomponente zur Sicherheitskommunikation 120b implementiert werden.
  • Bei dem System mit Systemumschaltung 500 gemäß dieser Ausführungsform wird die Initialisierungssequenz für die funktional sichere Kommunikation [1] bis [4] vor dem Umschalten der Systeme ausgeführt, und [5] und [6] werden nach dem erfolgten Umschalten der Systeme ausgeführt, wodurch die Initialisierungssequenz für die funktionale Sicherheit, welche nach dem erfolgten Umschalten der Systeme ausgeführt wird, reduziert wird. Dadurch kann die Ausfallzeit gerade in dem Fall reduziert werden, in welchem die funktional sichere Kommunikation basierend auf einer verbindungsbasierten Kommunikation in dem Netzwerk-System, welches in der 1 gezeigt ist, implementiert ist.
  • Zweite Ausführungsform
  • In dieser Ausführungsform werden hauptsächlich Unterschiede zur ersten Ausführungsform beschrieben.
  • Eine Komponente, welche im Wesentlichen die gleiche Funktion hat, wie eine Komponente welche mit Bezug zur ersten Ausführungsform beschrieben wurde, wird mit den gleichen Bezugszeichen versehen, und die Beschreibung hiervon wird ausgelassen.
  • In dem System mit Systemumschaltung 500, welches in der ersten Ausführungsform beschrieben wurde, kann in dem Fall, wenn eine Störung in dem Standbysystem-Master 100b auftritt während die Steuerungskommunikation zwischen dem Steuerungssystem-Master 100a und dem Slave 200 ausgeführt wird, die Störung in dem Standbysystem-Master 100b nicht detektiert werden bis das Umschalten der Systeme erfolgt und der Standby-System-Master 100b aktiviert wird.
  • Es benötigt daher Zeit, die Störung in dem Standbysystem-Master 100b zu detektieren. Aus diesem Grund besteht das Risiko, dass die Ausfallzeit durch eine Verzögerung im Ersetzen der Vorrichtung verlängert wird, und ferner dass der Betrieb des Systems angehalten wird, da die Vorrichtung nicht rechtzeitig ersetzt wird, usw.
  • Die 12 ist eine Darstellung zur Illustration eines Beispiels einer Block-Konfiguration des Standbysystem-Master 100b entsprechend dieser Ausführungsform.
  • Wie in der 12 illustriert ist, weist der Standbysystem-Master 100b eine Detektionskomponente für Existenzinformations-Datenframes 130 auf, zusätzlich zu der Konfiguration der 4, welche im Zusamenhang mit der ersten Ausführungsform beschrieben wurde.
  • Die Detektionskomponente für Existenzinformations-Datenframes 130 hat die Funktion, einen Existenzinformations-Datenframe 131 zu empfangen, welcher Existenzinformation aufweist, welche von dem Steuerungssystem-Master 100a übermittelt wird, und hat ferner die Funktion, den empfangenen Existenzinformations-Datenframe 131 an alle Slaves 200 weiterzuleiten.
  • Während der Ausführung der Steuerungskommunikation mit dem Slave 200, übermittelt der Steuerungssystem-Master 100a den Existenzinformations-Datenframe 131, einschließlich der Existenzinformation, welche angibt, dass eine Störung nicht auftrat, zu dem Standbysystem-Master 100b, jeweils nach einer vorbestimmten Zeit (Sende-Zeitintervall).
  • Die Detektionskomponente für Existenzinformations-Datenframes 130 ist ein Beispiel für eine Übermittlungskomponente für Existenzinformationen, welche, wenn der Existenzinformations-Datenframe 131 vom Steuerungssystem-Master 100a empfangen wurde, den empfangenen Existenzinformations-Datenframe 131 zum Slave 200 übermittelt.
  • Die 13 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration des Existenzinformations-Datenframes 131 entsprechend dieser Ausführungsform.
  • Wie in der 13 dargestellt ist, sind eine Ziel-Slave-Station 1311 und eine Übermittlungszeit 1312 in dem Existenzinformations-Datenframe 131 gesetzt. Mit der Übermittlungszeit 1312, wird der Zeitpunkt aufgezeichnet, zu welchem der Existenzinformations-Datenframe 131 vom Steuerungssystem-Master 100a gesendet wird.
  • Die 14 ist eine Darstellung zur Beschreibung des Betriebs des Systems mit Systemumschaltung 500 entsprechend dieser Ausführungsform.
  • Mit Bezug auf die 14 wird der Betrieb des Systems mit Systemumschaltung 500 beschrieben.
  • In S10 erzeugt der Steuerungssystem-Master 100a den Existenzinformations-Datenframe 131, welcher angibt, dass eine Störung nicht aufgetreten ist, durch Setzen der Ziel-Slave-Station 1311 im Existenzinformations-Datenframe 131 und ferner durch Setzen eines Übermittlungszeitpunkts in der Übermittlungszeit 1312 im Existenzinformations-Datenframe 131. Der Steuerungssystem-Master 100a übermittelt den erzeugten Existenzinformations-Datenframe 131 zum Standbysystem-Master 100b.
  • Der Steuerungssystem-Master 100a übermittelt den Existenzinformations-Datenframe 131 zum Standby-System-Master 100b jeweils nach einer vorbestimmten Zeit (Sende-Zeitintervall). Der Steuerungssystem-Master 100a übermittelt den Existenzinformations-Datenframe 131 zum Standbysystem-Master 100b während des Ausführens der funktional sicheren Kommunikation mit dem Standbysystem-Master 100b (Phase (B2) der 9).
  • In S20 empfängt die Detektionskomponente für Existenzinformations-Datenframes 130 des Standbysystem-Master 100b den Existenzinformations-Datenframe 131.
  • In S30 übermittelt die Detektionskomponente für Existenzinformations-Datenframes 130 den empfangenen Existenzinformations-Datenframe 131 zum Slave 200. Dadurch wird der Existenzinformations-Datenframe 131 von dem Steuerungssystem-Master 100a zum Slave 200 über den Standbysystem-Master 100b übermittelt.
  • In S40 empfängt der Slave 200 dem Existenzinformations-Datenframe 131, welcher die Detektionskomponente für Existenzinformation-Datenframes 130 übermittelt wird. Der Slave 200 erhält die Übermittlungszeit 1312, welche in dem empfangenen Existenzinformations-Datenframe 131 aufgezeichnet ist. Dann, unter Verwendung einer Verarbeitungsvorrichtung, misst der Slave 200 das Empfangs-Zeitintervall beginnend von der erhaltenen Übermittlungszeit 1312, bis zum Zeitpunkt, an welchem der nächste Existenzinformations-Datenframe 131 empfangen wird.
  • Wenn das gemessene Empfangs-Zeitintervall einen vorbestimmten Schwellenwert überschreitet, bestimmt der Slave 200, dass eine Störung in dem Standbysystem-Master 100b aufgetreten ist. Das heißt, wenn der Prozess zum Empfang des Existenzinformations-Datenframes 131 in einen Time-Out-Status übergeht, erkennt der Slave 200, dass eine Störung im Standbysystem-Master 100b aufgetreten ist.
  • Das Empfangs-Zeitintervall ist so gesetzt, dass es geringfügig länger ist als das Sende-Zeitintervall. Das Empfangs-Zeitintervall, sowohl als auch das Sende-Zeitintervall können durch den Systemadministrator je nach den Erfordernissen angepasst werden.
  • Wie oben beschrieben wurde, wird entsprechend dem System mit Systemumschaltung 500 dieser Ausführungsform, der Existenzinformations-Datenframe 131 von dem Steuerungssystem-Master 100a über den Standbysystem-Master 100b übermittelt. Daher kann in einem Fall, in welchem eine Störung gleichzeitig in beiden Mastern auftritt, und in einem Fall, in welchem eine Störung in dem Standbysystem-Master 100b zuerst auftritt, der Slave 200 die Störung sofort detektieren.
  • Entsprechend dem System mit Systemumschaltung 500 dieser Ausführungsform, kann eine Störung in dem Standbysystem-Master 100b durch ein Time-Out detektiert werden, während die funktional sichere Kommunikation zwischen dem Steuerungssystem-Master 100a und dem Slave 200 ausgeführt wird, verglichen mit einem Verfahren, durch welches gegenseitig die Existenz geprüft wird durch eine verbindungsbasierte Kommunikation lediglich zwischen dem Steuerungssystem-Master 100a und dem Slave 200, zwischen dem Steuerungssystem-Master 100a und dem Standbysystem-Master 100b, und zwischen dem Standbysystem-Master 100b dem Slave 200. Daher kann der Slave 200 eine Störung im Steuerungssystem-Master 100a, sowohl als auch in dem Standbysystem-Master 100b in der kürzesten Zeit detektieren. Eine Störung kann in der kürzesten Zeit in beiden Mastern detektiert werden, so dass die Vorrichtung sofort ersetzt werden kann. Es ist daher möglich, die Ausfallzeit zu reduzieren und einen System-Stillstand zu verhindern.
  • Dritte Ausführungsform
  • In der Beschreibung dieser Ausführungsform werden hauptsächlich Unterschiede zu der ersten und zu der zweiten Ausführungsform beschrieben.
  • Eine Komponente, welche im Wesentlichen die gleiche Funktion hat, wie eine Komponente welche in Bezug auf die erste und zweite Ausführungsform beschrieben wurde, wird mit dem gleichen Bezugszeichen versehen, und die Beschreibung davon wird ausgelassen.
  • In den Verfahren, welche mit Bezug auf die erste und die zweite Ausführungsform beschrieben wurden, gibt es das Risiko, dass beim Umschalten vom Steuerungssystem-Master 100a zum Standbysystem-Master 100b, Daten von der Zeit vor dem Umschalten der Systeme im Slave 200 verbleiben, und die Daten von der Zeit vor dem Umschalten der Systeme mit Daten nach dem Umschalten der Systeme vermischt werden, wodurch ein unkorrekter Betrieb im System verursacht werden kann.
  • Die 15 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration des Slaves 200 entsprechend dieser Ausführungsform.
  • Wie in der 15 dargestellt ist, weist der Slave 200 eine Steuerungskomponente zur Sicherheitskommunikation 2200 für jeden der Master auf. Die Steuerungskomponente zur Sicherheitskommunikation 220 für die Kommunikation mit dem Steuerungssystem-Master 100a wird als Steuerungskomponente zur Sicherheitskommunikation 220m4 beschrieben. Die Steuerungskomponente zur Sicherheitskommunikation 220 für die Kommunikation mit dem Standbysystem-Master 100b wird als Steuerungskomponente zur Sicherheitskommunikation 220m5 beschrieben.
  • Die Steuerungskomponente zur Sicherheitskommunikation 220 (220m4, 220m5) weist eine Bestimmungskomponente für Kennzeichnungen 225 (225m4, 225m5) auf, zusätzlich zu der Konfiguration des Slaves 200, wie in der 5 dargestellt. Die Steuerungskomponente zur Sicherheitskommunikation 220m4 weist die Bestimmungskomponente für Kennzeichnungen 225m4 auf, und die Steuerungskomponente zur Sicherheitskommunikation 220m5 weist die Bestimmungskomponente für Kennzeichnungen 225m5 auf.
  • Die Bestimmungskomponente für Kennzeichnungen 225 bestimmt eine Kennzeichnung, welche vom Standbysystem-Master 100b übermittelt wurde, und wenn Daten, von der Zeit vor dem Umschalten der Systeme im Buffer verbleiben, löscht die Bestimmungskomponente für Kennzeichnungen 225 diese Daten, bevor die Systeme umgeschaltet werden.
  • Die 16 ist eine Darstellung zur Illustration eines Beispiels einer Konfiguration eines Sicherheits-Datenframes 250, welcher vom Slave 200 empfangen wird, entsprechend dieser Ausführungsform.
  • Der Sicherheits-Datenframe 250 ist ein Datenframe, welcher übermittelt und empfangen wird zwischen dem Master und dem Slave in der funktional sicheren Kommunikation, und in welchem Information zur Durchführung einer Kommunikations-Fehlerprüfung (ein Beispiel einer Steuerungs-Sicherheitsinformation) gespeichert ist.
  • Der Sicherheits-Datenframe 250 wird normalerweise gebildet aus einer Ziel-Slave-Station 2511, Sicherheitsdaten 2512, und einem CRC 2514. Zusätzlich zu dieser Konfiguration wird im Sicherheits-Datenframe 250 entsprechend dieser Ausführungsform eine Kennzeichnung 2513 zur Identifikation des Masters, welcher den Sicherheits-Datenframe gesendet hat, gesetzt.
  • Der Slave 200 weist den Buffer auf und speichert in dem Buffer Steuerungskommunikations-Informationen, welche in der Steuerungskommunikation verwendet werden. Die Bestimmungskomponente für Kennzeichnungen 225 empfängt den Sicherheits-Datenframe 250 (Steuerungsdaten), welcher im Rahmen der funktional sicheren Kommunikation (Steuerungskommunikation) empfangen wurde, wobei der Sicherheits-Datenframe 250 die Kennzeichnung 2513 aufweist zur Identifikation, ob der Sicherheits-Datenframe 250 vom Steuerungssystem-Master 100a, oder vom Standby-System-Master 100b gesendet wurde. Die Bestimmungskomponente für Kennzeichnungen 225 ist ein Beispiel einer Komponente zur Aktualisierung von Informationen, welche die Steuerungskommunikations-Informationen aktualisiert basierend auf der Kennzeichnung 2513, welche in dem empfangenen Sicherheits-Datenframe 250 enthalten ist.
  • Die 17 ist ein Flussdiagramm zu Illustration des Ablaufs eines Prozesses zur Identifikation von Kennzeichnungen in dem System mit Systemumschaltung 500 entsprechend dieser Ausführungsform.
  • Die Bestimmungskomponente für Kennzeichnungen 225 wird aktiviert nach dem Aufbau der Sicherheitsverbindung zwischen dem Steuerungssystem-Master 100a und im Slave 200 und nachdem die funktional sichere Kommunikation gestartet wurde. Mit Bezug auf die 17 wird ein Schema des Betriebs der Bestimmungskomponente für Kennzeichnungen 225 beschrieben. Die Bestimmungskomponente für Kennzeichnungen 225 führt die folgende Operation wiederholend aus.
  • In S200 bestimmt die Bestimmungskomponente für Kennzeichnungen 225 unter Verwendung der Verarbeitungs-Vorrichtung, ob die Kennzeichnung 2513 im übermittelten Sicherheits-Datenframe 251 den Steuerungssystem-Master 100a oder den Standbysystem-Master 100b angibt.
  • Wenn in S200 ermittelt wird, dass die Kennzeichnung S513 den Steuerungssystem-Master 100a angibt, fährt die Verarbeitung mit dem Schritt S201 fort. Wenn im Schritt S200 ermittelt wird, dass die Kennzeichnung 2513 den Standbysystem-Master 100b angibt, fährt die Verarbeitung mit dem Schritt S203 fort.
  • <Wenn die Kennzeichnung 2513 den Steuerungssystem-Master 100a angibt>.
  • In S201 vergleicht die Bestimmungskomponente für Kennzeichnungen 225 eine vorhergehende Kennzeichnung, welche durch eine frühere Verlaufsüberprüfung aufgezeichnet wurde, mit der Kennzeichnung 2513 im übermittelten Sicherheits-Datenframe 251. Es ist angemerkt, dass der initiale Wert der vorhergehenden Kennzeichnung der Steuerungssystem-Master 100a ist.
  • Wenn die vorhergehende Kennzeichnung den Steuerungssystem-Master 100 angibt, bedeutet dies, dass verzögerte Daten vom Steuerungssystem-Master empfangen werden, obwohl das Umschalten der Systeme abgeschlossen ist. Daher löscht in S202 die Bestimmungskomponente für Kennzeichnungen 225 die Sicherheitsdaten 2512 des übermittelten Sicherheits-Datenframes 251.
  • Wenn die vorhergehende Kennzeichnung den Steuerungssystem-Master 100a angibt, werden in S205 Sicherheitsdaten 2512 des übermittelten Sicherheits-Datenframes 251 in den Buffer gespeichert, und die Verarbeitung fährt fort mit S206.
  • In S206 speichert die Bestimmungskomponente für Kennzeichnungen 225 die Kennzeichnung des Steuerungssystem-Master 100a, welche in der vorhergehenden Kennzeichnung gesetzt ist. Alternativ kann die Bestimmungskomponente für Kennzeichnungen 225 die vorhergehende Kennzeichnung mit der Kennzeichnung des Steuerungssystem-Master 100a überschreiben.
  • <Wenn die Kennzeichnung 2513 den Standby-System-Master 100b angibt>.
  • In S203 vergleicht die Bestimmungskomponente für Kennzeichnungen 225 unter Verwendung der Verarbeitungs-Vorrichtung eine vorhergehende Kennzeichnung, welche durch eine Verlaufsüberprüfung aufgezeichnet wurde, mit der Kennzeichnung 2513 in dem übermittelten Sicherheits-Datenframe 251.
  • Wenn die vorhergehende Kennzeichnung der Steuerungssystem-Master 100a ist, löscht in S204 die Bestimmungskomponente für Kennzeichnungen 225 die Daten im Buffer und speichert dann die Sicherheitsdaten 2512 des übermittelten Sicherheits-Datenframes 251 im Buffer (S205). Danach ändert die Bestimmungskomponente für Kennzeichnungen 225 die vorhergehende Kennzeichnung zur Kennzeichnung des Standbysystem-Master 100b ab (S206).
  • Wenn die vorhergehende Kennzeichnung den Standbysystem-Master 100b angibt, fährt die Verarbeitung in S105 fort, und die Sicherheitsdaten 2512 des übermittelten Sicherheits-Datenframes 251 werden im Buffer gespeichert. In S206 speichert die Bestimmungskomponente für Kennzeichnungen 225 die Kennzeichnung des Standbysystem-Masters 100b als vorhergehenden Kennzeichnung. Alternativ kann die Bestimmungskomponente für Kennzeichnungen 225 die vorhergehende Kennzeichnung mit der Kennzeichnung des Standbysystem-Masters 100b überschreiben.
  • Wie oben beschrieben wurde, wird in dem System mit Systemumschaltung 500 entsprechend dieser Ausführungsform die Kennzeichnung, welche durch den Master definiert, wird in den Sicherheits-Datenframe 250 aufgenommen. Wenn der Slave 200 die Kennzeichnung empfängt, welche vom Standby-System-Master 100b gesendet wurde, löscht der Slave 200 die in dem Buffer verbliebenen Daten vor dem Umschalten der Systeme und empfängt dann Daten. Es ist daher möglich, einen unkorrekten Betrieb zu verhindern, welcher auf Grundlage von Sicherheitsdaten 2512 erfolgt von einer Zeit vor dem Umschalten der Systeme, welche im Slave 200 verblieben sind.
  • In einem Verfahren, in welchem der Slave lediglich die Sicherheitsdaten empfängt, besteht das Risiko, dass in dem Fall, wenn Daten des Steuerungssystem-Masters im Slave verbleiben oder wenn verspätete Daten des Steuerungssystem-Masters empfangen werden, nachdem Daten des Standbysystem-Masters empfangen wurden, die Daten, welche von dem Steuerungssystem-Master empfangen wurden, ausgeführt werden, obwohl das Umschalten der Systeme abgeschlossen wurde.
  • Entsprechend dem System mit Systemumschaltung 500 gemäß dieser Ausführungsform wird eine Kennzeichnung zu den Sicherheitsdaten hinzugefügt, und wenn der Slave die Kennzeichnung des Standbysystem-Masters empfängt, nachdem eine Kennzeichnung des Steuersystem-Masters empfangen wurde, ist es möglich, die Daten in dem Slave vollständig zu löschen und anschließend die empfangenen Sicherheitsdaten auszuführen. Mit der Kennzeichnung und mit dem Betrieb des Slaves, wie dies oben beschrieben wurde, kann verhindert werden, dass Daten, von der Zeit vor dem Umschalten der Systeme, die vom Steuerungssystem-Master empfangen wurden, nach dem Umschalten der Systeme ausgeführt werden. Dadurch kann ein inkorrekter Betrieb des Systems verhindert werden.
  • Die Block-Konfiguration des Masters 100 und die Block-Konfiguration des Slaves 200, wie oben mit Bezug auf die erste bis zur dritten Ausführungsform beschrieben wurden, sind nicht beschränkt auf die Konfiguration der ersten bis zur dritten Ausführungsform. Diese funktionalen Blöcke können in irgendeiner Kombination verwendet werden, um den Master 100 und den Slave 200 zu konfigurieren.
  • Die Ausführungsformen der vorliegenden Erfindung wurden oben beschrieben. Zwei oder mehrere dieser Ausführungsform können in Kombination miteinander implementiert werden. Alternativ können zwei oder mehr dieser Ausführungsform teilweise in Kombination implementiert werden. Die vorliegende Erfindung ist nicht beschränkt auf diese Ausführungsformen, und unterschiedliche passende Modifikationen sind möglich.
  • Bezugszeichenliste
    • 100
    Master
    100a
    Steuerungssystem-Master,
    100b
    Standbysystem-Master,
    110
    Steuerungskomponente zur Steuerungskommunikation,
    120
    Steuerungskomponente zur Sicherheitskommunikation,
    121
    Einstellungskomponente für Übermittlungsziele,
    122
    Verarbeitungskomponente zur Initialisierung,
    123
    Verarbeitungskomponente für Sicherheitsdaten,
    124
    Empfangsquellen-Bestimmungskomponente,
    130
    Detektionskomponente für Existenzinformations-Datenframes,
    131
    Existenzinformations-Datenframe,
    200
    Slave,
    210
    Steuerungskomponente zur Steuerungskommunikation,
    220
    Steuerungskomponente zur Sicherheitskommunikation,
    221
    Einstellungskomponente für Übermittlungsziele,
    222
    Verarbeitungskomponente zur Initialisierung,
    223
    Verarbeitungskomponente für Sicherheitsdaten,
    224
    Empfangsquellen-Bestimmungskomponente,
    225
    Bestimmungskomponente für Kennzeichnungen,
    250
    Sicherheits-Datenframe,
    500
    System mit Systemumschaltung,
    901
    Arithmetische Vorrichtung,
    902
    Externe Speichervorrichtung,
    903
    Hauptspeichervorrichtung,
    904
    Kommunikationsvorrichtung,
    905
    Eingabe/Ausgabevorrichtung,
    1221
    Komponente zur Sequenzunterteilung,
    1222
    Erste Vorbereitungskomponente,
    1223
    Zweite Vorbereitungskomponente,
    1311
    Ziel-Slave-Station,
    1312
    Übermittlungszeit,
    2511
    Empfangs-Slave-Station,
    2512
    Sicherheitsdaten,
    2513
    Kennzeichnung,
    2514
    CRC

Claims (8)

  1. Ein Kommunikationssystem, umfassend eine Computer-Vorrichtung, eine Steuerungs-Vorrichtung zur Steuerung der Computer-Vorrichtung, und eine Standby-Vorrichtung zum Ersetzen der Steuer-Vorrichtung, wenn eine Störung in der Steuerungs-Vorrichtung auftritt, wobei die Steuerungs-Vorrichtung aufweist: eine steuerungsseitige Vorbereitungs-Komponente zur Ausführung einer Vorbereitungs-Sequenzgruppe zusammen mit der Computer-Vorrichtung, wobei die Vorbereitungs-Sequenzgruppe eine Vielzahl von Sequenzen aufweist; und eine steuerungsseitige Kommunikations-Komponente zum Starten einer Steuerungskommunikation mit der Computer-Vorrichtung zur Steuerung der Computer-Vorrichtung, nachdem die Ausführung der Vorbereitung-Sequenzgruppe durch die steuerungsseitige Vorbereitungs-Komponente beendet ist, wobei die Standby-Vorrichtung aufweist: eine erste Vorbereitungs-Komponente zur Ausführung einer ersten Sequenzgruppe zusammen mit der Computer-Vorrichtung, wenn die Vorbereitungs-Sequenzgruppe durch die steuerungsseitige Vorbereitungs-Komponente zwischen der Steuerungs-Vorrichtung und der Computer-Vorrichtung gestartet ist, wobei die erste Sequenzgruppe eine oder mehrere der Vielzahl von Sequenzen aufweist, welche in der Vorbereitungs-Sequenzgruppe enthalten sind; eine zweite Vorbereitungs-Komponente zur Ausführung einer zweiten Sequenzgruppe zusammen mit der Computer-Vorrichtung, wenn die Störung der Steuerungs-Vorrichtung detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe durch die erste Vorbereitungs-Komponente beendet ist, wobei die zweite Sequenzgruppe aus einer oder mehreren Sequenzen der Vorbereitungs-Sequenzgruppe besteht, welche unterschiedlich sind zu den Sequenzen der ersten Sequenzgruppe, und eine standbyseitige Kommunikations-Komponente zum Starten der Steuerungskommunikation mit der Computer-Vorrichtung, nachdem die Ausführung der zweite Sequenzgruppe durch die zweite Vorbereitungs-Komponente beendet ist.
  2. Das Kommunikationssystem gemäß Anspruch 1, wobei die Standby-Vorrichtung ferner aufweist: eine Komponente zur Sequenzunterteilung, um die Vorbereitungs-Sequenzgruppe in die erste Sequenzgruppe und die zweite Sequenzgruppe zu unterteilen, basierend auf einem Inhalt jeder der Sequenzen, welche in der Vorbereitungs-Sequenzgruppe enthalten sind.
  3. Das Kommunikationssystem gemäß Anspruch 1 oder 2, wobei die Steuerungs-Vorrichtung, während die Steuerungskommunikation mit der Computer-Vorrichtung ausgeführt wird, jeweils nach einer vorbestimmten Zeitdauer, eine Existenzinformation zur Standby-Vorrichtung übermittelt, welche angibt, dass eine Störung nicht aufgetreten ist, wobei die Standby-Vorrichtung eine Übermittlungskomponente für Existenzinformationen aufweist, um, wenn die Existenzinformation von der Steuerungs-Vorrichtung empfangen wird, die empfangene Existenzinformation zur Computer-Vorrichtung zu übermitteln, und wobei die Computer-Vorrichtung die Existenzinformation von der Übermittlungskomponente für Existenzinformationen empfängt, ein Empfangs-Zeitintervall misst, beginnend vom einem Empfang der Existenzinformation, bis zum Empfang der nächsten Existenzinformation, und, wenn das Empfangs-Zeitintervall einen vorherbestimmten Schwellenwert übersteigt, bestimmt, dass ein Störungsauftritt der Steuerungs-Vorrichtung oder der Standby-Vorrichtung stattgefunden hat.
  4. Das Kommunikationssystem gemäß einem der Ansprüche 1 bis 3, wobei die Computer-Vorrichtung einen Buffer aufweist, um in dem Buffer Steuerungskommunikations-Informationen zu speichern, die für die Steuerungskommunikation verwendet werden, und wobei die Computer-Vorrichtung eine Informations-Aktualisierungskomponente aufweist zum Empfang von Steuerungsdaten, welche durch die Steuerungskommunikation empfangen werden, wobei die Steuerungsdaten eine Kennzeichung aufweisen zur Identifikation, ob die Steuerungsdaten von der Steuerungs-Vorrichtung oder der Standby-Vorrichtung übermittelt wurden, und wobei die Informations-Aktualisierungskomponente ferner konfiguriert ist zum Aktualisieren der Steuerungskommunikations-Informationen basierend auf der Kennzeichnung, welche in den empfangenen Steuerungsdaten enthalten ist.
  5. Eine Standby-Vorrichtung zum Ersetzen einer Steuerungs-Vorrichtung, wenn eine Störung in der Steuerungs-Vorrichtung auftritt, wobei die Steuerungs-Vorrichtung zur Steuerung einer Computer-Vorrichtung ausgebildet ist, wobei die Standby-Vorrichtung aufweist: eine erste Vorbereitungs-Komponente, um eine erste Sequenzgruppe zusammen mit der Computer-Vorrichtung auszuführen, wenn eine Vorbereitungs-Sequenzgruppe zwischen der Computer-Vorrichtung und der Steuerungs-Vorrichtung gestartet wird, wobei die Vorbereitungs-Sequenzgruppe eine Vielzahl von Sequenzen aufweist, welche zur Ausführung vor dem Starten einer Steuerungskommunikation konfiguriert sind zur Steuerung der Computer-Vorrichtung, wobei die erste Sequenzgruppe aus einer oder mehreren der Vielzahl an Sequenzen besteht, welche in der Vorbereitungs-Sequenzgruppe enthalten sind; eine zweite Vorbereitungs-Komponente um zusammen mit der Computer-Vorrichtung eine zweiten Sequenzgruppe auszuführen, wenn eine Störung der Steuerung-Vorrichtung detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe durch die erste Vorbereitungskomponente beendet ist, wobei die zweite Sequenzgruppe eine oder mehrere Sequenzen der Vorbereitungs-Sequenzgruppe aufweist, welche unterschiedlich sind zu den Sequenzen der ersten Sequenzgruppe; und eine standbyseitige Kommunikations-Komponente zum Starten der Steuerungskommunikation mit der Computer-Vorrichtung, nachdem die Ausführung der zweiten Sequenzgruppe durch die zweite Vorbereitungs-Komponente beendet ist.
  6. Die Standby-Vorrichtung gemäß Anspruch 5, ferner umfassend: eine Komponente zur Sequenzunterteilung zum Unterteilen der Vorbereitungs-Sequenzgruppe in die erste Sequenzgruppe und die zweite Sequenzgruppe, basierend auf einem Inhalt einer jeder der Sequenzen, welche in der Vorbereitungs-Sequenzgruppe enthalten sind.
  7. Ein Kommunikationsverfahren für ein Kommunikationssystem, welches aufweist: eine Computer-Vorrichtung, eine Steuerungs-Vorrichtung zur Steuerung der Computer-Vorrichtung, und eine Standby-Vorrichtung zum Ersetzen der Steuerungs-Vorrichtung, wenn eine Sörung in der Steuerungs-Vorrichtung auftritt, wobei das Kommunikationsverfahren aufweist: Ausführen einer Vorbereitungs-Sequenzgruppe zwischen der Steuerungs-Vorrichtung und der Computer-Vorrichtung, wobei die Vorbereitungs-Sequenzgruppe eine Vielzahl von Sequenzen aufweist; Starten einer Steuerungskommunikation zwischen der Steuerungs-Vorrichtung und der Computer-Vorrichtung zur Steuerung der Computer-Vorrichtung, nachdem die Ausführung der Vorbereitungs-Sequenzgruppe beendet ist; Ausführen einer ersten Sequenzgruppe zwischen der Standby-Vorrichtung und der Computer-Vorrichtung, wenn die Vorbereitungs-Sequenzgruppe zwischen der Steuerungs-Vorrichtung und der Computer-Vorrichtung gestartet ist, wobei die erste Sequenzgruppe aus einer oder mehreren der Vielzahl an Sequenzen besteht, welche in der Vorbereitungs-Sequenzgruppe enthalten sind; Ausführen einer zweiten Sequenzgruppe zwischen der Standby-Vorrichtung und der Computer-Vorrichtung wenn eine Störung der Steuerungs-Vorrichtung detektiert ist und nachdem die Ausführung der ersten Sequenzgruppe beendet ist, wobei die zweite Sequenzgruppe aus einer oder mehreren der Sequenzen der Vorbereitungs-Sequenzgruppe besteht, welche unterschiedlich sind zu den Sequenzen der ersten Sequenzgruppe; und Starten der Steuerungskommunikation zwischen der Standby-Vorrichtung und der Computer-Vorrichtung, nachdem die Ausführung der zweiten Sequenzgruppe beendet ist.
  8. Ein Standby-Programm für eine Standby-Vorrichtung welche zum Ersetzen einer Steuerungs-Vorrichtung konfiguriert ist, wenn eine Störung in der Steuerungs-Vorrichtung auftritt, wobei die Steuerungs-Vorrichtung zur Steuerung einer Computer-Vorrichtung konfiguriert ist, wobei das Standby-Programm die Standby-Vorrichtung, welche ein Computer ist, veranlasst, auszuführen: einen ersten Vorbereitungsprozesses eines Ausführens einer erste Sequenzgruppe durch eine erste Vorbereitungs-Komponente zusammen mit der Computer-Vorrichtung, wenn eine Vorbereitungs-Sequenzgruppe zwischen der Computer-Vorrichtung und der Steuerungs-Vorrichtung gestartet wird, wobei die Vorbereitungs-Sequenzgruppe eine Vielzahl von Sequenzen aufweist, welche konfiguriert sind zur Ausführung vor einem Starten einer Steuerungskommunikation zur Steuerung der Computer-Vorrichtung, wobei die erste Sequenzgruppe aus einer oder mehreren der Vielzahl an Sequenzen besteht, welche in der Vorbereitungs-Sequenzgruppe enthalten sind; einen zweiten Vorbereitungsprozess eines Ausführens einer zweiten Sequenzgruppe durch eine zweite Vorbereitungs-Komponente zusammen mit der Computer-Vorrichtung, wenn eine Störung der Steuerungs-Vorrichtung detektiert ist und nachdem das Ausführen der ersten Sequenzgruppe durch den ersten Vorbereitungsprozess beendet ist, wobei die zweite Sequenzgruppe aus einer oder mehreren der Sequenzen der Vorbereitungs-Sequenzgruppe besteht, welche unterschiedlich sind zu den Sequenzen der ersten Sequenzgruppe; und einen standbyseitigen Kommunikationsprozess eines Startens der Steuerungskommunikation mit der Computer-Vorrichtung durch eine standbyseitige Kommunikations-Komponente, nachdem das Ausführen der zweiten Sequenzgruppe durch den zweiten Vorbereitungsprozess beendet ist.
DE112013007469.9T 2013-09-26 2013-09-26 Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm Expired - Fee Related DE112013007469B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/076072 WO2015045062A1 (ja) 2013-09-26 2013-09-26 通信システム、待機装置、通信方法及び待機プログラム

Publications (2)

Publication Number Publication Date
DE112013007469T5 true DE112013007469T5 (de) 2016-06-16
DE112013007469B4 DE112013007469B4 (de) 2018-10-04

Family

ID=52742266

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112013007469.9T Expired - Fee Related DE112013007469B4 (de) 2013-09-26 2013-09-26 Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm

Country Status (7)

Country Link
US (1) US9934114B2 (de)
JP (1) JP5921782B2 (de)
KR (1) KR101677882B1 (de)
CN (1) CN105579981B (de)
DE (1) DE112013007469B4 (de)
TW (1) TWI532350B (de)
WO (1) WO2015045062A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10394751B2 (en) 2013-11-06 2019-08-27 Solarflare Communications, Inc. Programmed input/output mode
WO2016151774A1 (ja) * 2015-03-24 2016-09-29 富士通株式会社 情報処理装置、情報処理システムおよび情報処理装置の制御プログラム
JP6312948B2 (ja) * 2016-02-03 2018-04-18 三菱電機株式会社 制御システム及び制御ユニット
US10277385B1 (en) * 2018-05-27 2019-04-30 Nxp B.V. Slave node for CAN bus network
LU101216B1 (de) * 2019-05-15 2020-11-16 Phoenix Contact Gmbh & Co Technik zur Korrektur eiines Zeitparameters
KR102580777B1 (ko) * 2019-11-14 2023-09-20 엘에스일렉트릭(주) 배전 시스템

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07219799A (ja) 1993-12-09 1995-08-18 Mitsubishi Electric Corp 待機冗長システムおよび状態遷移順序決定方法
JPH08221287A (ja) 1995-02-10 1996-08-30 Hitachi Ltd 系切り替え制御方法
JP4315016B2 (ja) 2004-02-24 2009-08-19 株式会社日立製作所 コンピュータシステムの系切替方法
JP2005250626A (ja) 2004-03-02 2005-09-15 Hitachi Ltd コンピュータシステム及びそのプログラム。
JP2006048122A (ja) * 2004-07-30 2006-02-16 Ntt Docomo Inc 通信システム
CN100452797C (zh) 2005-07-15 2009-01-14 清华大学 基于集群路由器结构的高可用分布式边界网关协议系统
JP5145910B2 (ja) 2007-12-07 2013-02-20 富士通株式会社 情報処理装置及び情報処理方法
JP2009205364A (ja) 2008-02-27 2009-09-10 Nec Corp 死活監視方法、被監視装置、監視装置、死活監視プログラム
JP5104417B2 (ja) * 2008-03-07 2012-12-19 沖電気工業株式会社 通信管理システム、通信管理方法及び通信装置
CN101262479B (zh) 2008-04-25 2012-03-21 成都市华为赛门铁克科技有限公司 一种网络文件共享的方法、服务器和网络文件共享的系统
JP2010009293A (ja) 2008-06-26 2010-01-14 Hitachi Ltd コンピュータシステム及び系切替方法
JP5418070B2 (ja) 2009-08-27 2014-02-19 富士通株式会社 業務操作支援方法及びコンピュータ装置
JP5682392B2 (ja) 2011-03-22 2015-03-11 富士通株式会社 情報処理装置、制御装置および異常ユニット判定方法
JP5706347B2 (ja) 2012-01-25 2015-04-22 株式会社東芝 二重化制御システム

Also Published As

Publication number Publication date
JP5921782B2 (ja) 2016-05-24
DE112013007469B4 (de) 2018-10-04
CN105579981B (zh) 2017-08-25
WO2015045062A1 (ja) 2015-04-02
JPWO2015045062A1 (ja) 2017-03-02
KR20160047534A (ko) 2016-05-02
TWI532350B (zh) 2016-05-01
CN105579981A (zh) 2016-05-11
US20160224443A1 (en) 2016-08-04
TW201513616A (zh) 2015-04-01
KR101677882B1 (ko) 2016-11-18
US9934114B2 (en) 2018-04-03

Similar Documents

Publication Publication Date Title
DE112013007469B4 (de) Kommunikationssystem, Standby-Vorrichtung, Kommunikationsverfahren, und Standby-Programm
WO2013072425A1 (de) Verfahren, computerprogramm, computerlesbares medium und recheneinheit zur bedienung von feldgeräten
EP2466466A1 (de) Verfahren zur Fehlererkennung bei der Ausführung eines Echtzeit-Betriebssystems
DE112010004140T5 (de) Dynamischer Austausch von Replikat-Datenträgern in einem Verbund
DE112015006067T5 (de) Intelligentes Funktionsmodul und speicherprogrammierbares Steuerungssystem
WO2005073852A1 (de) Verfahren zum betreiben einer anordnung mehrerer rechner bei einem rechnerausfall
EP1701266A1 (de) Testvorrichtung zur Überprüfung einer Stapelverarbeitung
DE112019007432B4 (de) Elektronische steuereinheit und programm
DE19780639C2 (de) Arbeitsübernahmesystem
DE202013012479U1 (de) System zur Commit Ausführung von Transaktionen auf entfernten Servern
DE112010005509T5 (de) Robotersystemsteuerverfahren und eine Vorrichtung davon
DE60309012T2 (de) Verfahren und system zur sicherstellung eines busses und eines steuerservers
DE102012217312B4 (de) Verfahren und System zur Aktualisierung von Code in Verarbeitungssystemen
DE112011105475B4 (de) Programmierbare Logiksteuerung
DE102019135079A1 (de) Installation von firmware-bundles abbrechen
DE102018219764A1 (de) Mehrprozessor-Fehlerdetektionssystem und Verfahren dafür
WO2015124320A1 (de) Dynamisches speicherprogrammierbares steuergerät zum emulieren eines steuergerätes
WO2022194417A1 (de) Computerimplementiertes verfahren und vorrichtung zur automatisierten aktualisierung einer kommunikationseinheit einer steuereinheit eines fahrzeugs
EP2090948A1 (de) Automatisierungssystem und Verfahren zum Betrieb eines solchen Automatisierungssystems
WO2018149695A1 (de) Erhalten von verpackungsanlagenzustandsdaten
EP2224340B1 (de) Verfahren und Managementsystem zum Konfigurieren eines dynamischen Informationssystems sowie Computerprogrammprodukt
DE602004012108T2 (de) Fernkonfigurationsmanagement eines Datanverarbeitungssystems
DE112011104975T5 (de) Kommunikationsvorrichtung
DE102004006767A1 (de) Verfahren und Vorrichtung zum Transport von Datenabschnitten mittels eines DMA-Controllers
DE102016213610A1 (de) Elektronische Fahrzeugsteuereinrichtung und Überschreibsystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee