DE4401467C2 - Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem - Google Patents

Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem

Info

Publication number
DE4401467C2
DE4401467C2 DE19944401467 DE4401467A DE4401467C2 DE 4401467 C2 DE4401467 C2 DE 4401467C2 DE 19944401467 DE19944401467 DE 19944401467 DE 4401467 A DE4401467 A DE 4401467A DE 4401467 C2 DE4401467 C2 DE 4401467C2
Authority
DE
Germany
Prior art keywords
subsystems
alarm
operating method
automation system
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19944401467
Other languages
English (en)
Other versions
DE4401467A1 (de
Inventor
Herbert Dipl Ing Barthel
Horst Dr Daar
Hartmut Dipl Ing Schuetz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of DE4401467A1 publication Critical patent/DE4401467A1/de
Application granted granted Critical
Publication of DE4401467C2 publication Critical patent/DE4401467C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Description

Die vorliegende Erfindung betrifft ein Betriebsverfahren für ein Automatisierungssystem gemäß dem Oberbegriff des Hauptanspruchs.
Ein derartiges Betriebsverfahren ist beispielsweise aus der EP-0 497 147 A2 bekannt. Bei dem Verfahren gemäß der EP-0 497 147 A2 werden, wie im Stand der Technik allgemein üblich, Alarme zwischen zwei Synchronisationspunkten in den Teilsystemen nur registriert. Ansonsten erfolgen keine Alarm­ reaktionen. Erst beim Erreichen des Synchronisationspunktes werden die gemeldeten Alarme und sonstige relevante Daten ausgetauscht und die Alarme abgearbeitet.
Aus der DE 41 34 396 A1 ist ein zumindest teilredundantes Automatisierungssystem bekannt, bei welchem die Teileinheiten sich selbst überwachen und bei Detektion eines internen Fehlers sofort ein Abschalten der geführten Anlage bewirken.
Wenn das Automatisierungssystem zur Steuerung eines schnellen Prozesses oder einer schnellen Anlage, z. B. einer Pressen­ steuerung, eingesetzt wird, kann die Zeit bis zum Errei­ chen des nächsten Synchronisationspunktes zu groß sein, um Sach- und/oder Personenschäden mit Sicherheit zu verhindern. Bei derartigen Anwendungsfällen mußten bisher aufwendige, taktsynchron arbeitende redundante Automatisierungssysteme verwendet werden.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein redundantes Automatisierungssystem zu schaffen, bei dem die Reaktionszeit auf Alarme aller Art kurz und reproduzierbar ist, obwohl sich die Teil­ systeme nur von Zeit zu Zeit synchronisieren. Bei diesen Alarmen kann es sich um Prozeß- oder Zeitalarme handeln.
Die Aufgabe wird durch die kennzeichnenden Merkmale des Hauptanspruchs gelöst.
Dadurch wird nämlich gewährleistet, daß beim Auftreten eines Sonderereignisses schnellstmöglich auf das Ereignis reagiert wird, wobei jedes der Teilsysteme zur Ermittlung und Ausführung der ereignisspezifischen Reaktion ausschließlich auf den ihm zugeordneten Reaktionsspeicherbereich zugreift. Damit wird beispielsweise der Schließvorgang einer Presse beim Registrieren eines entsprechenden Prozeßalarmes in einem der Teilsysteme unverzüglich durch dieses Teilsystem unterbrochen und nicht erst bei Erreichen des nächsten Synchronisationspunktes. Die Alarmreaktionszeit ist somit sehr gut reproduzierbar. Darüber hinaus können damit Verletzungen des Bedienungspersonals in Grenzsituationen mit Sicherheit vermieden werden.
Wenn jedem Teilsystem ein eigener Pufferspeicher zugeordnet ist, jedes der Teilsysteme Änderungen reaktionsrelevanter Daten, z. B. Merkerzustände, in den ihm zugeordneten Pufferspeicher einträgt und jedes Teilsystem seinen Speicherbereich bei einer Synchronisation aufgrund der Inhalte beider Pufferspeicher aktualisiert, so ist gewährleistet, daß beide Teilsysteme bei einem Sonderereignis gleich reagieren.
Nach der Ausführung der ereignisspezifischen Reaktion setzt das eine Teilsystem die Ausführung des Anwenderprogramms fort.
Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels in Verbindung mit den Zeichnungen. Dabei zeigt
Fig. 1 ein Blockschaltbild eines Automatisierungssystems und
Fig. 2 das Prinzip des Betriebsverfahrens.
Gemäß Fig. 1 besteht ein Automatisierungssystem 1 aus mindestens zwei Teilsystemen 2, 2′, die beide einen technischen Prozeß P steuern. Jedes der Teilsysteme 2, 2′ weist eine Zentralein­ heit 3, 3′ auf, die den Prozeß P gemäß einem Anwenderpro­ gramm AP steuert, das zusammen mit dem Betriebssystem und Prozeßdaten in Speichereinheiten 4, 4′ abgespeichert ist.
Die Zentraleinheit 3, 3′ sind über in Fig. 1 nicht darge­ stellte Peripherieeinheiten mit Signalgebern G, G′ und Stellgliedern (Relais) R, R′ verbunden. Die verwendete Peripherie kann dabei nach Wahl des Anwenders sowohl ein- als auch zweikanalig ausgebildet sein. Die Anbindung der Zentral­ einheiten 3, 3′ an den Prozeß P ist jedoch nicht Gegenstand der vorliegenden Erfindung. Auf die Anbindung der Zentral­ einheit 3, 3′ an den Prozeß P′ wird daher im folgenden nicht weiter eingegangen.
Der in Fig. 1 dargestellte technische Prozeß P ist bei­ spielsweise eine hydraulische Presse. Die Teilsysteme 2, 2′ steuern die Relais R, R′ an. Bei Ansteuerung beider Relais R, R′ wird ein Schaltrelais SR betätigt, so daß ein Ventil V der hydraulischen Presse einen Hydraulikkanal freigibt. In diesem Fall wird die Presse geschlossen.
Die Signalgeber G, G′ sind beispielsweise die Kontakte eines Nothalt-Schalters. Bei Betätigung des Nothalt-Schal­ ters muß die Presse unverzüglich gestoppt werden, um Per­ sonen- und/oder Sachschäden zu verhindern.
Die Stellen im Anwenderprogramm AP, an denen der Prozeß­ alarm "Nothalt-Anforderung" in den Teilsystemen 2, 2′ regi­ striert wird, ist in Fig. 2 mit den Pfeilen angedeutet. Wei­ terhin ist in Fig. 2 der vorhergehende Synchronisationspunkt SP und der nachfolgende Synchronisationspunkt SP′ durch die gestrichelten Linien gekennzeichnet.
Beim Stand der Technik würden beide Teilsysteme 2, 2′ den Prozeßalarm lediglich registrieren, sodann das Anwenderpro­ gramm bis zum nachfolgenden Synchronisationspunkt SP′ weiterbearbeiten und sodann sich miteinander synchronisieren. Erst danach würde der Prozeßalarm von den Teilsystemen 2, 2′ bearbeitet werden.
Bei der vorliegenden Erfindung dagegen wird der Prozeßalarm sofort nach dem Registrieren in den Teilsystemen 2, 2′ un­ abhängig voneinander mit einer alarmspezifischen Alarmreak­ tion behandelt. Im vorliegenden Fall würden beispielsweise die Relais R, R′ nicht mehr angesteuert werden, so daß das Schaltrelais SR abfällt und das Ventil V sperrt und so den Schließvorgang der hydraulischen Presse stoppt. Durch diese Vorgehensweise wird die Alarmreaktionszeit praktisch auf Null reduziert. Dennoch ist es nicht nötig, die beiden Teilsysteme 2, 2′ taktsynchron zu betreiben.
Bei der Ermittlung und Ausführung der alarmspezifischen Alarmreaktion, hier dem Stoppen der Pressenbewegung, greift die Zentraleinheit 3 des Teilsystems 2 nur auf Daten zu, die im Reaktionsspeicherbereich 41 abgespeichert sind. Ebenso greift die Zentraleinheit 3′ des Teilsystems 2′ nur auf Daten zu, die im Speicherbereich (Reaktionsspeicherbereich) 41 abgespeichert sind.
Nach der Ausführung der alarmspezifischen Alarmreaktion setzen die Teilsysteme 2, 2′ die Ausführung des Anwender­ programms AP fort. Sie synchronisieren sich erst bei Errei­ chen des nachfolgenden Synchronisationspunktes SP′ miteinander.
Welche Reaktion von einem Alarm ausgelöst wird, kann auch von den Daten abhängen, die in den Reaktionsspeicherbe­ reichen 41, 41′ gespeichert sind. Um zu gewährleisten, daß die Teilsysteme 2, 2′ auf einen Alarm in gleicher Weise reagieren, werden die Inhalte der Reaktionsspeicherbereiche 41, 41′ zwischen zwei Synchronisationspunkten daher nicht verändert. Jedem Teilsystem 2, 2′ ist aber ein eigener Pufferspei­ cher 42, 42′ zugeordnet. Änderungen alarmre­ aktionsrelevanter Daten, z. B. Merkerzustände, werden in die Pufferspeicher 42, 42′ eingetragen. Bei der jeweils nächsten Synchronisation tauschen die Teilsysteme 2, 2′ die Inhalte ihrer Pufferspeicher 42, 42′ aus, führen einen Da­ tenabgleich durch und aktualisieren dann ihre Reaktions­ speicherbereiche 41, 41′ aufgrund der Inhalte beider Puf­ ferspeicher 42, 42′. Die Synchronisation selbst erfolgt da­ bei in an sich bekannter Art und Weise, z. B. ereignis- oder zeitgesteuert (wie in der EP 0 497 147 A2 beschrie­ ben), über Kommunikationseinheiten 5, 5′ und eine Kommunikationsleitung 6.
Es ist selbstverständlich auch möglich, nur sicherheits­ relevante Alarme auf die obenstehende Art und Weise zu be­ handeln. Die Behandlung nicht sicherheitsrelevanter Alarme kann dann bei der nächsten Synchronisation erfolgen. In diesem Fall muß beim Auftreten eines Alarms aber zumindest überprüft werden, welcher Art der Alarm ist, damit ent­ schieden werden kann, ob eine sofortige Alarmreaktion er­ forderlich ist oder nicht.

Claims (2)

1. Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen (2, 2′) aufgebautes Automatisierungssystem (1), bei dem die mindestens zwei Teilsysteme (2, 2′) zur Steuerung eines Prozesses (P) bzw. einer Anlage identische Programme (AP) ausführen und sich von Zeit zu Zeit miteinander synchronisieren, da­ durch gekennzeichnet, daß beim Re­ gistrieren eines anlagen- bzw. prozeßbedingten Alarms jedes der mindestens zwei Teilsysteme (2, 2′) unabhängig vom jeweils anderen Teilsystem (2′, 2) unverzüglich eine alarmspezifische Reaktion ausführt, und daß jedem der mindestens zwei Teilsysteme (2, 2′) mindestens ein eigener Speicherbereich (41, 41′) zugeordnet ist und jedes der mindestens zwei Teilsysteme (2, 2′) zur Ausführung einer jeweils alarmspezifischen Reaktion ausschließlich auf den ihm zugeordneten Speicherbereich (41, 41′) zugreift.
2. Betriebsverfahren nach Anspruch 1, dadurch gekennzeichnet,
  • - daß jedem der mindestens zwei Teilsysteme (2, 2′) zusätzlich ein eigener Pufferspeicher (42, 42′) zugeordnet ist,
  • - daß jedes der mindestens zwei Teilsysteme (2, 2′) Änderungen reaktionsrele­ vanter Daten, insbesondere Merkerzustände, in den ihm zugeordneten Pufferspeicher (42, 42′) einträgt und
  • - daß jedes der Teilsysteme (2, 2′) seinen Speicherbereich (41, 41′) bei einer Synchronisation aufgrund der Inhalte beider Pufferspeicher (42, 42′) aktualisiert.
DE19944401467 1993-03-25 1994-01-19 Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem Expired - Fee Related DE4401467C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP93104949 1993-03-25

Publications (2)

Publication Number Publication Date
DE4401467A1 DE4401467A1 (de) 1994-09-29
DE4401467C2 true DE4401467C2 (de) 1996-12-12

Family

ID=8212737

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19944401467 Expired - Fee Related DE4401467C2 (de) 1993-03-25 1994-01-19 Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem

Country Status (1)

Country Link
DE (1) DE4401467C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19811864B4 (de) * 1997-03-19 2005-02-17 Hitachi, Ltd. Redundante Steuervorrichtung und Fehlerbehebungsverfahren dafür
DE19934513B4 (de) * 1999-07-22 2006-05-24 Siemens Ag Steuerungsverfahren für eine technische Anlage

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19625195A1 (de) 1996-06-24 1998-01-02 Siemens Ag Synchronisationsverfahren
ITPD20130186A1 (it) * 2013-07-02 2015-01-03 Sit La Precisa S P A Con Socio Uni Co Metodo di controllo del funzionamento di un bruciatore

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3633953A1 (de) * 1986-10-06 1988-04-07 Siemens Ag Verfahren zum betrieb eines programmgesteuerten automatisierungsgeraets
DE4134396C2 (de) * 1990-10-30 1996-08-14 Siemens Ag Sicheres Automatisierungssystem
EP0497147A3 (en) * 1991-01-28 1993-05-05 Siemens Aktiengesellschaft Redundant automation system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19811864B4 (de) * 1997-03-19 2005-02-17 Hitachi, Ltd. Redundante Steuervorrichtung und Fehlerbehebungsverfahren dafür
DE19934513B4 (de) * 1999-07-22 2006-05-24 Siemens Ag Steuerungsverfahren für eine technische Anlage

Also Published As

Publication number Publication date
DE4401467A1 (de) 1994-09-29

Similar Documents

Publication Publication Date Title
EP0636956B1 (de) Aufdatverfahren
DE1934220C3 (de) Vorrichtung zur Wartung und Prüfung von elektronischen Datenverarbeitungsanlagen
EP0655682B1 (de) Recheneinheit mit mehreren ausführbaren Tasks
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
DE2319753B2 (de) Anordnung zur Datenverarbeitung mittels in Mikroprogrammierung betriebener Prozessoren
EP0320583A1 (de) Auf den Stockwerken angeordnete Rufregistrier- und Anzeigeeinrichtungen für Aufzüge
DE4225834A1 (de) Speicherprogrammierbare digitale Steuerungseinrichtung
DE1927549A1 (de) Fehlerpruefeinrichtung in elektronischen Datenverarbeitungsanlagen
DE4401467C2 (de) Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
EP3557598B1 (de) Sicherheitsschalter
EP0524330A1 (de) Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage
EP1183827B1 (de) Schaltungsanordnung zur gesicherten datenübertragung, insbesondere in ringförmigen bussystemen
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
EP1128241B1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
EP3483033A1 (de) Verfahren und onboard-steuereinheit zum steuern und/oder überwachen von komponenten eines schienenfahrzeugs
DE1965314B2 (de) Verfahren zum Betrieb einer Datenverarbeitungsanordnung mit zwei Datenverarbeitungsanlagen
EP0428934A2 (de) Verfahren zum Betrieb eines mehrkanaligen failsafe-Rechnersystems und Einrichtung zur Durhführung des Verfahrens
DE3924854A1 (de) Monitoreinrichtung zur ungluecksverhinderung
DE2727983C2 (de) Schaltungsanordnung mit mindestens doppelt vorgesehenen zentralen Steuerungen, insbesondere für Fernsprechvermittlungsanlagen
DE2458224A1 (de) Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen
EP0172569A2 (de) Verfahren zur Synchronisation mehrerer parallelarbeitender Rechner
EP0991995B1 (de) Unterbrechungsverfahren in einem computersystem mit unterbrechungssteuerung
DE4407860C1 (de) Doppelrechnersystem
DE4104114A1 (de) Redundantes datenverarbeitungssystem
EP0821815B1 (de) Ausgabeverfahren und zugehörige ausgabeschaltung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8365 Fully valid after opposition proceedings
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130801