DE3633953C2 - - Google Patents

Info

Publication number
DE3633953C2
DE3633953C2 DE19863633953 DE3633953A DE3633953C2 DE 3633953 C2 DE3633953 C2 DE 3633953C2 DE 19863633953 DE19863633953 DE 19863633953 DE 3633953 A DE3633953 A DE 3633953A DE 3633953 C2 DE3633953 C2 DE 3633953C2
Authority
DE
Germany
Prior art keywords
program
operating system
test
synchronization
self
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19863633953
Other languages
English (en)
Other versions
DE3633953A1 (de
Inventor
Horst Dr.-Ing. 8520 Erlangen De Daar
Reinhard Dipl.-Ing. 8459 Hirschberg De Mark
Hartmut Dipl.-Ing. 8551 Heroldsbach De Schuetz
Martin Dipl.-Phys. 8520 Erlangen De Wenzinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19863633953 priority Critical patent/DE3633953A1/de
Publication of DE3633953A1 publication Critical patent/DE3633953A1/de
Application granted granted Critical
Publication of DE3633953C2 publication Critical patent/DE3633953C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Betrieb eines programmgesteuerten Automatisierungsgeräts.
Nach der DE-Zeitschrift "Siemens Energie & Automation" 8 (1986) Heft 1, Seiten 2 bis 4, ist ein Automatisierungssystem bekannt, welches in einer Master- und in einer Reserveeinheit zwei unab­ hängige Prozessoren enthält, welche ein und dasselbe Anwender­ programm unter einem Betriebssystem synchron abarbeiten. Die Synchronisation erfolgt dabei taktsynchron in einem starren, sehr engen Zeitraster, wobei ein Hardware-Vergleicher zur Feh­ lererkennung eingesetzt ist. Durch zusätzliche Prüf-Software ist es möglich, mit sogenannten Selbsttestverfahren Fehler im System aufzudecken. Master- und Reserveeinheit können, abhängig vom jeweiligen Systemzustand, über eine Umschaltrichtung an die Eingabe- und Ausgabeebene angekoppelt werden. Die Reserveein­ heit arbeitet simultan mit, ohne auf den Prozeß zu wirken und kann so jederzeit stoßfrei die Aufgabe des Masters bei dessem fehlerhaften Arbeiten übernehmen.
Nach der DE-Zeitschrift "Siemens- Energietechnik" 5 (1983), Heft 2, Seiten 73 bis 76, ist ebenfalls ein aus zwei takt- und befehlssynchron arbeitenden Zentraleinheiten bestehendes Auto­ matisierungssystem bekannt, wobei die eine Einheit als Master- und die andere Einheit als Reservesystem arbeitet und zur Funk­ tionsüberwachung dieser Baugruppen eine zyklische Master-Um­ schaltung vorgesehen ist. Für die Inbetriebnahmephase oder nach Reparatur eines defekten Teilsystems wird auch eine automati­ sche Synchronisierung der beiden Teilsysteme vorgesehen.
Aufgabe der Erfindung ist es, ein Verfahren zum Betrieb eines programmgesteuerten Automatisierungsgerätes anzugeben, mit dem in wenig aufwendiger Weise, von der Anwenderseite her gesehen, ein flexibeler Betrieb mit großer Verfügbarkeit des Systems er­ möglicht wird.
Diese Aufgabe wird erfindungsgemäß durch die im Kennzeichen des Hauptanspruchs 1 angegebenen Merkmale gelöst.
Weitere Ausgestaltungen der Erfindung, welche nachfolgend an­ hand der Figuren näher erläutert werden, sind Gegenstände der Unteransprüche.
Fig. 1 zeigt ein zweikanalig redundant aufgebautes sicherheits­ gerichtetes Automatisierungsgerät AG, mit seinen Teilsystemen A und B, welches einen technischen Prozeß P, beispielsweise eine Ölbrenneranlage mit Ausgangssignalen Aa und Ab steuert. Geber G liefern Eingangssignale Ea und Eb für das Automa­ tisierungsgerät AG. Die Teilsysteme A und B arbeiten stets mit identischen Programmen und synchronisieren sich über eine Rechnerkopplung, welche mit K angedeutet ist.
Redundante Automatisierungsgeräte erfordern eine Synchronisa­ tion der Teilgeräte. Bisher bekannte Geräte synchronisieren sich nach einem starren Zeitraster, z. B. taktsynchron, befehls­ synchron oder per Software, in größeren Zeitabständen. Bei der Erfindung hingegen wird ein flexibler Mittelweg gewählt, derart, daß das Synchronisationsraster an jeden Anwendungsfall anpaßbar ist, indem vom Betriebssystem ein minimales Synchroni­ sationsraster vorgegeben wird (Fig. 2), das der Anwender durch Aufruf von Betriebssystemfunktionen beliebig verfeinern kann. Dadurch kann beispielsweise die maximale Alarmreaktionszeit begrenzt werden. Der Vorteil dieses Verfahrens liegt darin, daß einerseits unnötige Synchronisationen, die eine zeitliche Be­ lastung des Prozessors bedeuten können, vermieden werden und andererseits keine Spezialkomponenten (Vergleicher) benötigt werden.
Oft wird für zweikanalige, sicherheitsgerichtete Automatisie­ rungsgeräte ein Selbsttest des Geräts im laufenden Betrieb ge­ fordert, um durch Offenbarung von Fehlfunktionen Schaden für Personen und Umwelt zu verhindern. Die Laufzeit der Selbsttest­ routinen liegt im Minutenbereich. Die Testzykluszeit, d. h. die Zeit, innerhalb der ein Selbsttest vollständig durchlaufen sein muß, ist abhängig vom Anwendungsfall, z. B. Bergseilbahnen, Brennersteuerungen. In herkömmlicher Weise wird hierzu das gesamte Selbsttestprogramm in Scheiben unterteilt und diese in einer starren Folge bearbeitet. Dies führt zu einem unnötig häufigen Selbsttest, da die Größe der Testscheibe nach der un­ günstigsten Prozessorbelastung ausgelegt werden muß.
Mit der Erfindung wird dagegen die Testscheibenmenge selbst­ tätig optimiert. In Abhängigkeit von der momentanen Prozessor­ belastung bestimmt der Selbsttestmanager eines Betriebssystems BS - siehe Fig. 2 - die Anzahl der zu aktivierenden Testscheiben. Der Vorteil dieses Verfahrens besteht in der Minimierung der Prozessorbelastung durch Selbsttest und damit Erhöhung der Nutzleistung des Geräts.
Ziel einer Prozeßsignalredundierung ist es, Peripheriefehler mittels Signalvergleich zu erkennen. Einbau- oder Bauteiltole­ ranzen führen in der Regel dazu, daß redundante Eingangssignale sich nicht zeitgleich verändern (Beispiel: Zwei getrennte End­ schalter). Die Berücksichtigung derartiger Signallaufzeitunter­ schiede oblag bisher dem Anwender. Das Sicherheitsrisiko, be­ dingt durch Programmierfehler, wird dadurch erhöht.
Mit dem erfindungsgemäßen Verfahren erfolgt dagegen die Unter­ scheidung zwischen zulässigen zeitlichen Signaldiskrepanzen und echten Peripheriefehlern durch das Betriebssystem. Statt Pro­ grammierung wird die maximal zulässige Diskrepanzzeit jedes Eingangssignals dem Betriebssystem per Projektierung mitgeteilt (Parametrierung) und auf Plausibilität geprüft. Die Wahrschein­ lichkeit eines Anwenderfehlers wird dadurch deutlich erniedrigt und der Programmieraufwand vermindert.
Aus sicherheitstechnischen Gründen sind die Eingriffmöglich­ keiten in laufende Geräte stark eingeschränkt. So ist das Än­ dern von Daten und Befehlen beim Sicherheitsbetrieb unzulässig. Derartige Hilfsmittel sind aber zur Inbetriebsetzung und zu Testzwecken unerläßlich.
Die Erfindung sieht vor, das Betriebssystem zur selbsttätigen Unterscheidung zwischen Test- und Sicherheitsbetrieb zu ertüch­ tigen. Der Vorteil ist eine kürzere Inbetriebsetzungsdauer.
Es wird hierzu der Typ des im Gerät gesteckten Anwenderprogramm­ speichers ausgenutzt: Sicherheitsbetrieb liegt immer dann vor, wenn das Anwenderprogramm in einem nicht flüchtigen Speicher (EPROM) geladen ist. Das Betriebssystem wird nun erfindungsge­ mäß dazu eingerichtet, daß es den Speichertyp der Quelle des Anwenderprogramms erkennt und somit das den Sicherheitsbetrieb steuernde Anwenderprogramm von den für Testzwecke bestimmten Programmen, welche in flüchtige Speicher (RAM) geladen werden, unterscheiden kann.

Claims (4)

1. Verfahren zum Betrieb eines programmgesteuerten, redundant mit zwei Teilsystemen mit jeweils identischen synchronen Pro­ grammabläufen aufgebauten Automatisierungsgeräts mit durchführbarem Selbsttest für einen tech­ nischen Prozeß, insbesondere für eine Brenneranlage, wobei die identischen Programmabläufe der beiden Teilsysteme derart mit­ einander synchronisiert werden, daß das Betriebssystem nur zu Be­ ginn weniger, bestimmter Programmabschnitte eine gegenseitige Synchronisation der beiden Programmabläufe vornimmt und daß zusätzlich vom Anwenderprogramm an beliebigen Programmpunkten eine weitere Synchronisation durchführbar ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Selbst­ test in Abhängigkeit von der momentanen Prozessorbelastung vom Betriebssystem in den Programmablauf eingefügt werden kann.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß bei nicht vorhandener Synchronisierung infolge von Ungleichheit redundan­ ter Eingangssignale vom Betriebssystem eine Unterscheidung zwi­ schen laufzeitbedingten Signaldiskrepanzen und echten Fehlern durchgeführt wird, wobei die Diskrepanzzeiten vom Anwenderpro­ gramm parametrierbar sind.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß das Anwen­ derprogramm für den Normalbetrieb in einen nicht flüchtigen Speicher und das Testprogramm in einen flüchtigen Speicher geladen werden und das Betriebssystem zur Unterscheidung dieser Speichermedien eingerichtet ist.
DE19863633953 1986-10-06 1986-10-06 Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets Granted DE3633953A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19863633953 DE3633953A1 (de) 1986-10-06 1986-10-06 Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19863633953 DE3633953A1 (de) 1986-10-06 1986-10-06 Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets

Publications (2)

Publication Number Publication Date
DE3633953A1 DE3633953A1 (de) 1988-04-07
DE3633953C2 true DE3633953C2 (de) 1991-11-28

Family

ID=6311133

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19863633953 Granted DE3633953A1 (de) 1986-10-06 1986-10-06 Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets

Country Status (1)

Country Link
DE (1) DE3633953A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4401467A1 (de) * 1993-03-25 1994-09-29 Siemens Ag Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT393896B (de) * 1989-02-13 1991-12-27 Vaillant Gmbh Brennstoffbeheiztes geraet, z.b. wasserheizer
EP0394514B1 (de) * 1989-04-25 1994-07-13 Siemens Aktiengesellschaft Verfahren zur Synchronisation von Datenverarbeitungsanlagen
EP0404992B1 (de) * 1989-06-30 1994-08-24 Siemens Aktiengesellschaft Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
EP0497147A3 (en) * 1991-01-28 1993-05-05 Siemens Aktiengesellschaft Redundant automation system
EP0615180B1 (de) * 1993-03-08 1997-06-11 Landis & Gyr Technology Innovation AG Elektrische Überwachungsanordnung
ATE195817T1 (de) * 1995-05-11 2000-09-15 Siemens Ag Verfahren und einrichtung zum sicheren betrieb einer numerischen steuerung auf werkzeugmaschinen oder robotern
DE10147763A1 (de) * 2001-09-27 2003-04-17 Siemens Ag Synchronisationsverfahren für ein hochverfügbares Automatisierungssystem
US7213168B2 (en) * 2003-09-16 2007-05-01 Rockwell Automation Technologies, Inc. Safety controller providing for execution of standard and safety control programs
EP2657797B1 (de) 2012-04-27 2017-01-18 Siemens Aktiengesellschaft Verfahren zum Betreiben eines redundanten Automatisierungssystems

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4401467A1 (de) * 1993-03-25 1994-09-29 Siemens Ag Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen

Also Published As

Publication number Publication date
DE3633953A1 (de) 1988-04-07

Similar Documents

Publication Publication Date Title
DE3633953C2 (de)
EP1743225B1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
EP0744676A2 (de) Verfahren und Einrichtung zum sicheren Betrieb einer numerischen Steuerung auf Werkzeugmaschinen oder Robotern
DE2612100A1 (de) Digitale datenverarbeitungsanordnung, insbesondere fuer die eisenbahnsicherungstechnik
DE2258917B2 (de) Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
EP1860564A1 (de) Verfahren und Vorrichtung zum Austausch von Daten auf Basis des OPC-Kommunikationsprotokolls zwischen redundanten Prozessautomatisierungskomponenten
DE3024370C2 (de) Redundantes Steuersystem
EP1238318A1 (de) Automatisierungsgerät und aufdat-verfahren
EP0543825B1 (de) Einrichtung zur interruptverteilung in einem mehrrechnersystem
DE19847986C2 (de) Einzelprozessorsystem
DE19842593A1 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
DE3502387C2 (de)
EP2228723B1 (de) Verfahren zur Fehlerbehandlung eines Rechnersystems
EP2860598A1 (de) Verfahren zum Betreiben eines redundanten Automatisierungssystems, wobei der Slave Diagnosefunktionen durchführt
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE10242667A1 (de) Echtzeitfähiges Steuerungssystem mit einer SPS-Applikation unter einem nicht echtzeitfähigen Betriebssystem
EP0090162B1 (de) Zweikanaliges Fail-Safe-Mikrocomputerschaltwerk, insbesondere für Eisenbahnsicherungsanlagen
DE2913371A1 (de) Verfahren und system zur ablaufsteuerung
EP1526420A1 (de) Synchronisationsverfahren für ein hochverfügbares Automatisierungssystem
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
CH654260A5 (en) Computer-controlled signal box
EP1079289A2 (de) Projektierungseinheit für korrespondierende Diagnosedatensätze eines Systems mit Steuerungseinheit und Bedien- und/oder Beobachtungseinheit, und System mit Mitteln zum Versionsvergleich von zugeordneten Diagnosedatensätzen
EP1426862B1 (de) Synchronisation der Datenverarbeitung in redundanten Datenverarbeitungseinheiten eines Datenverarbeitungssystems
DE2153830C3 (de) Schaltungsanordnung mit verdreifachten Systemeinheiten
DE2048473C3 (de) Mit einem Hauptdatenrechner verbundener Fehlerdatenrechner geringerer Leistungsfähigkeit

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8363 Opposition against the patent
8365 Fully valid after opposition proceedings
8339 Ceased/non-payment of the annual fee