WO2014161986A1 - Steuer- und datenübertragungsanlage zur redundanten prozesssteuerung und verfahren zur firmware-aktualisierung - Google Patents

Steuer- und datenübertragungsanlage zur redundanten prozesssteuerung und verfahren zur firmware-aktualisierung Download PDF

Info

Publication number
WO2014161986A1
WO2014161986A1 PCT/EP2014/056823 EP2014056823W WO2014161986A1 WO 2014161986 A1 WO2014161986 A1 WO 2014161986A1 EP 2014056823 W EP2014056823 W EP 2014056823W WO 2014161986 A1 WO2014161986 A1 WO 2014161986A1
Authority
WO
WIPO (PCT)
Prior art keywords
firmware
control
control device
stored
update
Prior art date
Application number
PCT/EP2014/056823
Other languages
English (en)
French (fr)
Inventor
Henning Heutger
Thorsten Uhde
Original Assignee
Phoenix Contact Gmbh & Co.Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact Gmbh & Co.Kg filed Critical Phoenix Contact Gmbh & Co.Kg
Publication of WO2014161986A1 publication Critical patent/WO2014161986A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Definitions

  • the invention relates generally to the
  • Automation technology and in particular a control and data transmission system with at least one
  • Control device which via a communication network with at least one as an input and / or output device
  • redundancy controllers In automation technology, applications that are designed for high availability, such as tunnel monitoring, are known as redundancy controllers
  • controller usually also as a controller or controller
  • a corresponding redundancy control system generally comprises two control devices, which are synchronized with each other, as well as subordinate input / output stations, which have a corresponding
  • Communication network are connected to both controllers.
  • Control devices and at least one slave device which communicate with each other via a communication network
  • the slave device includes a plurality of addressable output interfaces for receiving output and status data and each
  • Control device a device for generating
  • the slave device is an evaluation device
  • Update process the respective controller is not available for operation. Such an update can therefore only be performed sequentially, so that one of the control devices is always able to control the process. If the user has already carried out the update on a control device, the
  • Control can be synchronized to the
  • Control device another device with a
  • the invention is based on the problem of finding a way
  • Data transmission system for redundant process control can be simplified and / or improved, and in particular disadvantages of the known from the prior art solutions can be avoided or reduced.
  • a core idea of the invention is that
  • control devices whereby for this purpose the control devices are each designed to
  • a control and data transmission system for redundant process control with at least a first control device and a second, the first redundant control device and at least one designed as input and / or output device processing device is provided, which are connected to each other in normal operation via a communication network.
  • the control and data transmission system can be an automation system and the process device can be a field device. Between the first and second control means there is a
  • the first and second control devices exchange data in particular via the communication connection
  • Primary control and the respective other control device has the operating state of a backup control.
  • Transfer process device together with status data and the process device controls the forwarding of received output data for further use as a function of the received status data.
  • Each of the first and second controllers includes a system memory having a memory stored therein
  • firmware is preferably stored as a container file, which at startup of the
  • An update of the firmware can be done by overwriting the container file stored in the system memory, whereby to accept the update
  • Controllers adapted to store the firmware stored in the system memory using a in a
  • Parametrianss Grande the respective control device stored firmware file to update. Furthermore, the first and / or the second control device,
  • both control devices adapted to a firmware file to the other
  • control devices act their
  • first and / or second control device preferably both control devices are designed to ago
  • the request signal can be generated by a control center in response to a corresponding user input and transmitted to a control device, preferably after an updated firmware file has been transmitted from the control center to the control device and stored in the parameterization memory of the control device.
  • the first and / or the second control device are designed to first in response to a received request signal, the firmware update at the other
  • the firmware update at the other control device is preferably carried out by overwriting the firmware file stored in the system memory with the updated firmware file stored in the parameterization memory and by the following
  • Control means automatically synchronization of the controls by automatically executing a protocol for automatic synchronization. Whether the firmware update at the other controller was successful, recognizes the
  • Control device which the request signal for
  • Control device which in the context of automatic
  • the control device which has received the firmware update request signal, for example, recognize that the other control device after a predetermined Waiting time has not reported automatically or has not communicated an updated firmware version.
  • the control device which has received the firmware update request signal preferably itself does not update the firmware, but preferably generates an error message which can be transmitted, for example, to the control center which has sent the firmware update request signal.
  • a method for firmware update in a control and data transmission system for redundant process control wherein at least one trained as input and / or output device process device is driven by at least a first and a second, the first redundant control device, which with the process device connected via a communication network.
  • the method provides that the first control device effects a firmware update of the second control device in that the first control device transmits a firmware file to the second control device, which
  • the first control device transmits a firmware update request signal to the second control device, and the second control device in response to the received request signal stored in a system memory firmware using the in the
  • a new firmware file is in a central place, for example in one
  • central control device by means of which an update of each stored in the system memory of the first and second control device firmware is to be performed.
  • the method particularly preferably provides that first of a superimposed Control device a firmware file for the first
  • Parameterization memory of the first control device is stored. After successful transfer of the
  • the control device sends a firmware update request signal to the first control device.
  • a firmware update request signal to the first control device.
  • the first controller updates a firmware stored in a system memory of the first controller using the in the
  • Parameterization memory stored firmware file, and also causes a firmware update of the second
  • the first control device first transmits the firmware file and then a firmware update request signal to the second control device.
  • the first control device which receives the firmware update request signal, first initiates a firmware update of the second control device and recognizes whether the firmware update of the second control device has been successful first controller updates the firmware stored in the system memory of the first controller using the firmware file stored in the parameterization memory only if the firmware update of the second controller was successful.
  • the first control device recognizes that the firmware update of the second control device, for example because of a faulty updated firmware file, was unsuccessful, because the second control device expires after a predetermined waiting time after the firmware update request signal of the was first transmitted to the second controller, not reported or communicated an updated firmware version.
  • the first control device preferably itself does not carry out a firmware update, but generates an error message and transmits it to the higher-level control device.
  • the update order in which the first control device initially initiates a firmware update of the second control device is therefore particularly advantageous if there is only a communication connection between the first control device and the higher-level control device, but not between the second control device and the higher-level control device. If the first controller in this case would first perform a firmware update itself and fail due to a faulty updated firmware file, the
  • one of the first and second control devices preferably has the respective one
  • Another typical use case is that one of two redundant controllers,
  • Fig. 1 is a schematic representation of a
  • Fig. 2 is a schematic flow diagram of a
  • Fig. 1 is an exemplary control
  • Data transmission system 10 is shown, which is used for example in automation technology or tunnel monitoring.
  • the control and data transmission system 10 comprises two redundant control devices 100 and 200, which are connected via a communication network 500 to process devices 300 and 400.
  • the communication network 500 may include other components, such as the illustrated switch 510, and is shown in FIG.
  • Embodiment designed as a PROFINET communication network is an open Industrial Ethernet standard used in automation. However, any other suitable communication network, such as a fieldbus, may also be used.
  • the control devices 100 and 200 each include a parameterization memory 130 or 230, in each of which a control program is stored, which in each case can be executed by means of a processor 110 or 210. To that
  • the respective processor 110 or 210 executes a firmware stored in a system memory 120 or 220, wherein the
  • Firmware is preferably stored as a container file, which is unpacked and executed at system startup of the respective control device.
  • An update of the firmware can be done by overwriting the container file stored in system memory
  • the system memory 120 or 220 is therefore as
  • overwritable memory designed for example as a flash memory or EEPROM.
  • control devices 100 and 200 are each connected to the PROFINET network 500 via an Ethernet interface 141 or 241. Since the control devices 100 and 200 in the illustrated embodiment as
  • PLC Programmable logic controllers
  • Optical waveguide is provided. The two
  • Redundancy controllers 100 and 200 are configured so that one is of the FIRST type and one of the SECOND type
  • Controls are therefore identifiable as first (FIRST) and second (SECOND) control. This setting remains constant over the runtime, while the roles of the FIRST and second (SECOND) control. This setting remains constant over the runtime, while the roles of the FIRST and second (SECOND) control. This setting remains constant over the runtime, while the roles of the FIRST and second (SECOND) control. This setting remains constant over the runtime, while the roles of the
  • Control can switch as a primary control and as a backup control. There may be a preference selection such that in normal operation the FIRST type controller assumes the role of primary controller and the SECOND type controller assumes the role of backup controller.
  • the respective role can be directly between the controllers 100 and 200 be negotiated.
  • the communication with the subordinate I / O stations 300 and 400 takes place via the Ethernet-based PROFINET protocol.
  • Each of the two controllers 100 and 200 has a normal operation
  • the controllers 100 and 200 each include an internal system memory 120 and 220 connected to the actual CPU 110 and 210, respectively, which can not be accessed externally.
  • an internal system memory 120 and 220 connected to the actual CPU 110 and 210, respectively, which can not be accessed externally.
  • Parameterization memory 130 or 230 which contains the configuration of the controller, the application program and optionally other application-specific data. A firmware update is possible by using the
  • Parameterization memory is stored and then a command to the controller 100 or 200 starts a procedure, which the new firmware with this container starts up. This can be done for example by a control device 600, wherein the interfaces 143 and 243
  • USB interfaces or as Ethernet interfaces are formed, for example, the FTP protocol can be used.
  • a firmware update requires a system restart of the respective controller 100 or 200. If an update of the redundancy system with its two controllers 100 and 200, so first a control is updated, in which time the other control than
  • the exemplary embodiment illustrated in FIG. 2 assumes that at the beginning of the flowchart the first control performs the role of the primary control and the second control the role of the backup control.
  • the new firmware container is stored on the parameterization memory 130 of the controller 100 in one of the ways described above.
  • step 600 the user is commanded to send the new firmware container, whereupon it is transferred to controller 100 in step 700, and in step 605 in step 605 in FIG.
  • Parameterization memory 130 of the controller 100 is stored. Upon successful storage, the controller sends a confirmation message to step 705
  • step 610 the update procedure is started, for example, via a service of an engineering system, such as PCWorx, executed on the controller 600, and a corresponding one is performed in step 710
  • step 715 the new firmware container from the current primary controller 100 first via the
  • step 615 is initiated by the controller 100 in response to the received request signal.
  • step 620 the received firmware container is stored in
  • Parameterization memory 230 of the controller 200 is stored and a successfully stored in step 720
  • a firmware update request signal is generated by the controller 100 and transmitted in step 725 to the second controller 200, which then autonomously executes the firmware update in step 630 by executing the firmware update in step 630
  • System memory 220 stored container file is overwritten with the firmware file stored in the parameterization memory 230 and a system restart the
  • Control device 200 is performed.
  • the controllers 100 and 200 are automatically synchronized.
  • the automatic synchronization protocol is automatically executed in step 730, thereby detecting the restart of the controller 200 in step 635 and a
  • the local update is performed in step 650 by the stored in the system memory 120 container file with the im
  • Parameterization memory 130 stored firmware file is overwritten and a system restart the
  • Control device 100 is performed.
  • the automatic synchronization protocol is automatically executed in step 740, thereby detecting the restart of the controller 100 in step 655 and a
  • step 635 the restart of the controller 200 is not detected after a predetermined waiting time or no changed firmware state of the controller 200 is detected, the firmware update of the controller 200 is advantageously recognized as unsuccessful and the
  • Steps 640, 735, 645, 650, 740 and 655 are not executed, but generated by the controller 100 an error message.
  • Firmware state has as the process leading, this state can be signaled to the user and automatically resolved after approval.
  • the own current firmware container i. the firmware container, which is stored in the system memory or in the parameterization memory of the controller acting as a primary controller, sent via the synchronization interface to the new controller, then using the method described above, an automatic adjustment of the firmware versions

Abstract

Zur Vereinfachung und/oder Verbesserung einer redundanten Prozesssteuerung sieht die Erfindung eine Steuer- und Datenübertragungsanlage mit wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung (100, 200) vor, wobei zwischen der ersten und zweiten Steuereinrichtung (100, 200) eine Kommunikationsverbindung besteht, die erste und die zweite Steuereinrichtung (100, 200) jeweils einen Systemspeicher (120, 220) mit einer darin gespeicherten Firmware umfasst, jede der Steuereinrichtungen (100, 200) dazu ausgebildet ist, die im Systemspeicher (120, 220) gespeicherte Firmware unter Verwendung einer in einem Parametrierungsspeicher (130, 230) der jeweiligen Steuereinrichtung (100, 200) gespeicherten Firmware-Datei zu aktualisieren, und die erste und/oder die zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, eine Firmware-Datei zu der jeweils anderen Steuereinrichtung (100, 200) zu übertragen und eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren. Die Erfindung sieht ferner ein entsprechendes Verfahren zur Firmware-Aktualisierung vor.

Description

Steuer- und Datenübertragungsanlage zur redundanten ProzessSteuerung und Verfahren zur Firmware-Aktualisierung
Beschreibung
Die Erfindung betrifft allgemein die
Automatisierungstechnik, und insbesondere eine Steuer- und Datenübertragungsanlage mit wenigstens einer
Steuereinrichtung, welche über ein Kommunikationsnetzwerk mit wenigstens einer als Ein- und/oder Ausgabegerät
ausgebildeten Prozesseinrichtung verbunden ist, sowie ein Verfahren zur redundanten Prozesssteuerung.
In der Automatisierungstechnik werden bei Applikationen, die hochverfügbar ausgelegt sind, wie zum Beispiel eine Tunnelüberwachung, sogenannte Redundanzsteuerungen
verwendet. Dabei steuert eine Steuereinrichtung,
üblicherweise auch als Steuerung oder Controller
bezeichnet, den Prozess und die andere Steuereinrichtung läuft im Standby-Betrieb, um beim Eintreten bestimmter Ereignisse die Prozesskontrolle übernehmen zu können. Der Programmablauf wird dabei zwischen den Steuereinrichtungen über eine Synchronisationsverbindung abgeglichen, damit der Prozess nach einer Umschaltung in gleicher Weise weiter gesteuert werden kann. Neben dieser Synchronisation des Anwenderprogramms werden auch weitere Informationen
zwischen den Steuereinrichtungen ausgetauscht, um den konsistenten Betrieb sicher zu stellen. Jede der
Steuereinrichtungen muss über den Zustand und Funktion der anderen informiert sein, um den eigenen Ablauf darauf abzustimmen . Ein entsprechendes Redundanzsteuerungssystem umfasst im allgemeinen zwei Steuereinrichtungen, die untereinander synchronisiert sind, sowie unterlagerte Eingabe-/Ausgabe- Stationen, die über ein entsprechendes
Kommunikationsnetzwerk an beide Steuerungen angebunden sind .
Aus DE 100 30 329 Cl ist beispielsweise ein redundantes Steuerungssystem mit Steuerrechnern und einer
Peripherieeinheit bekannt, bei welchem die Steuerrechner zyklisch wechselnde Lebenszeichen ausgeben, wobei die
Peripherieeinheit bei Ausbleiben eines
Lebenszeichenwechsels auf den jeweils anderen Steuerrechner umschaltet .
In DE 10 2006 047 026 B4 wird ferner eine Steuer- und
Datenübertragungsanlage mit wenigstens zwei
Steuereinrichtungen und wenigstens einer Slaveeinrichtung, welche über ein Kommunikationsnetzwerk miteinander
verbunden sind, beschrieben, wobei die Slaveeinrichtung mehrere adressierbare Ausgangsschnittstellen zum Empfang von Ausgangs- und Statusdaten enthält und jede
Steuereinrichtung eine Einrichtung zum Erzeugen und
Übertragen von Status- und Ausgangsdaten zu einer separaten Ausgangsschnittstelle der Slaveeinrichtung aufweist, und wobei die Slaveeinrichtung eine Auswerteeinrichtung
aufweist, die unter Ansprechen auf die von den
Steuereinrichtungen empfangenen Statussignale die
Weiterleitung von empfangenen Ausgangsdaten zur weiteren Verwendung steuert. Problematisch ist bei solchen hochverfügbaren Systemen, dass zur Fehlerbehebung oder Funktionserweiterung eine Aktualisierung der Firmware in Form eines Updates
erforderlich sein kann, ohne dass der Betrieb dazu
unterbrochen werden darf, wobei während des
Aktualisierungs-Vorgangs die jeweilige Steuerung nicht zum Betrieb zur Verfügung steht. Eine solche Aktualisierung kann daher nur sequentiell durchgeführt werden, damit immer eine der Steuereinrichtungen in der Lage ist, den Prozess zu steuern. Hat der Anwender bei einer Steuereinrichtung die Aktualisierung bereits durchgeführt, muss der
Redundanzbetrieb mit unterschiedlichen Firmware-Versionen aufgenommen werden, damit die bereits aktualisierte
Steuerung synchronisiert werden kann, um die
Prozessteuerung übernehmen zu können. Erst dann kann der Anwender auch die Firmware der anderen Steuereinrichtung aktualisieren, wobei eine Aktualisierung der Firmware auf jeder der Steuereinrichtungen sowie alle entsprechenden Schritte zur Aufrechterhaltung des Betriebs vom Anwender manuell durchgeführt werden. Darüber hinaus gibt es den Anwendungsfall, dass beim Tausch einer defekten
Steuereinrichtung ein anderes Gerät mit einem
unterschiedlichen Firmwarestand in dem Redundanzsystem installiert wird und das Redundanzsystem aufsynchronisiert , um den Normalbetriebszustand einzunehmen.
In beiden Szenarien erfolgt während eines bestimmten
Zeitraums eine Synchronisation der beiden
Redundanzsteuerungen trotz unterschiedlicher
Firmwarestände. In diesem Zeitraum können in nachteiliger Weise Kompatibilitätsprobleme durch Funktionsunterschiede oder abweichende Funktionslaufzeiten auftreten. Der Erfindung liegt die Aufgabe zugrunde, einen Weg
aufzuzeigen, wie ein Verfahren und eine Steuer- und
Datenübertragungsanlage zur redundanten Prozessteuerung vereinfacht und/oder verbessert werden kann, und wie insbesondere Nachteile der aus dem Stand der Technik bekannten Lösungen vermieden oder reduziert werden können.
Ein Kerngedanke der Erfindung besteht darin, die
Steuereinrichtungen eines Redundanzsystems mit einem
Mechanismus auszustatten, welcher einen automatischen
Firmware-Abgleich zwischen den redundanten
Steuereinrichtungen ermöglicht, wobei zu diesem Zweck die Steuereinrichtungen jeweils dazu ausgebildet sind,
automatisch eine Firmware-Aktualisierung der jeweils anderen Steuereinrichtung zu bewirken.
Das oben genannte technische Problem wird zum einen durch die Merkmale des Anspruchs 1 gelöst.
Danach ist eine Steuer- und Datenübertragungsanlage zur redundanten Prozesssteuerung mit wenigstens einer ersten Steuereinrichtung und einer zweiten, zur ersten redundanten Steuereinrichtung und wenigstens einer als Ein- und/oder Ausgabegerät ausgebildeten Prozesseinrichtung vorgesehen, welche im Normalbetrieb über ein Kommunikationsnetzwerk miteinander verbunden sind. Angemerkt sei an dieser Stelle, dass es sich bei der Steuer- und Datenübertragungsanlage um eine Automatisierungsanlage und bei der Prozesseinrichtung um ein Feldgerät handeln kann. Zwischen der ersten und zweiten Steuereinrichtung besteht eine
Kommunikationsverbindung, wobei diese über das Kommunikationsnetzwerk oder über eine separate Punkt-zuPunkt-Verbindung aufgebaut werden kann. Es können auch beide Kommunikationsverbindungen redundant eingesetzt werden .
Über die Kommunikationsverbindung tauschen die erste und zweite Steuereinrichtung insbesondere Daten zur
Synchronisierung der auf den Steuereinrichtungen jeweils ablaufenden Steuerprogramme aus, sowie Statusdaten, welche zum Aushandeln des Betriebszustandes der jeweiligen
Steuereinrichtung dienen, wobei jeweils eine der ersten und zweiten Steuereinrichtung den Betriebszustand einer
Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung aufweist.
Es sei angemerkt, dass die Steuereinrichtungen nur im
Betriebszustand einer Primärsteuerung die wenigstens eine Prozesseinrichtung ansteuern, wobei zu diesem Zweck
beispielsweise nur die Steuereinrichtung im Betriebszustand einer Primärsteuerung Ausgangsdaten an die
Prozesseinrichtung überträgt. Alternativ ist auch denkbar, dass beide Steuereinrichtungen Ausgangsdaten an die
Prozesseinrichtung zusammen mit Statusdaten übertragen und die Prozesseinrichtung in Abhängigkeit der empfangenen Statusdaten die Weiterleitung von empfangenen Ausgangsdaten zur weiteren Verwendung steuert.
Die erste und die zweite Steuereinrichtung umfassen jeweils einen Systemspeicher mit einer darin gespeicherten
Firmware, wobei die Firmware vorzugsweise als Container- Datei gespeichert ist, welche bei Systemstart der
jeweiligen Steuereinrichtung entpackt und ausgeführt wird. Eine Aktualisierung der Firmware kann durch Überschreiben der im Systemspeicher gespeicherten Container-Datei erfolgen, wobei zum Übernehmen der Aktualisierung ein
Systemneustart der Steuereinrichtung durchgeführt werden muss. Der Systemspeicher ist daher als überschreibbarer Speicher, beispielsweise als Flash-Speicher oder als EEPROM ausgebildet . Zum Zweck der Firmware-Aktualisierung ist jede der
Steuereinrichtungen dazu ausgebildet, die im Systemspeicher gespeicherte Firmware unter Verwendung einer in einem
Parametrierungsspeicher der jeweiligen Steuereinrichtung gespeicherten Firmware-Datei zu aktualisieren. Ferner ist die erste und/oder die zweite Steuereinrichtung,
vorzugsweise beide Steuereinrichtungen, dazu ausgebildet, eine Firmware-Datei zu der jeweils anderen
Steuereinrichtung zu übertragen und eine Aktualisierung der im Systemspeicher der jeweils anderen Steuereinrichtung gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren.
Vorteilhaft handeln die Steuereinrichtungen ihren
jeweiligen Betriebszustand über die zwischen ihnen
bestehende Kommunikationsverbindung automatisch aus, wobei die erste und/oder zweite Steuereinrichtung, vorzugsweise beide Steuereinrichtungen, dazu ausgebildet sind, vor
Durchführen einer Aktualisierung der im Systemspeicher gespeicherten Firmware vom Betriebszustand einer
Primärsteuerung zu dem einer Reservesteuerung zu wechseln. Besonders vorteilhaft sind die erste und/oder die zweite Steuereinrichtung dazu ausgebildet, unter Ansprechen auf ein empfangenes Aufforderungssignal eine Aktualisierung der im eigenen Systemspeicher gespeicherten Firmware
auszuführen und/oder eine Aktualisierung der im
Systemspeicher der jeweils anderen Steuereinrichtung gespeicherten Firmware zu initiieren. Ein solches
Aufforderungssignal kann insbesondere von einer Leitstelle unter Ansprechen auf eine entsprechende Benutzereingabe erzeugt und an eine Steuereinrichtung übertragen werden, vorzugsweise nachdem von der Leitstelle eine aktualisierte Firmware-Datei zu der Steuereinrichtung übertragen und im Parametrierungsspeicher der Steuereinrichtung gespeichert wurde .
In einer vorteilhaften Ausführungsform sind die erste und/oder die zweite Steuereinrichtung dazu ausgebildet, unter Ansprechen auf ein empfangenes Aufforderungssignal zunächst die Firmware-Aktualisierung bei der anderen
Steuereinrichtung zu initiieren und zu erkennen, ob diese erfolgreich war, bevor sie selbst die Firmware- Aktualisierung ausführt. Die Firmware-Aktualisierung bei der anderen Steuereinrichtung erfolgt vorzugsweise durch Überschreiben der im Systemspeicher gespeicherten Firmware- Datei mit der im Parametrierungsspeicher gespeicherten aktualisierten Firmware-Datei und durch nachfolgendes
Ausführen eines Systemneustarts der anderen Steuereinrichtung, wobei nach Wiederanlauf der anderen
Steuereinrichtung automatisch eine Synchronisation der Steuerungen durch automatisches Ausführen eines Protokolls zur automatischen Synchronisation erfolgt. Ob die Firmware-Aktualisierung bei der anderen Steuereinrichtung erfolgreich war, erkennt die
Steuereinrichtung, welche das Aufforderungssignal zur
Firmware-Aktualisierung empfangen hat, beispielsweise durch eine Mitteilung des Firmwarestandes der anderen
Steuereinrichtung, welche im Rahmen der automatischen
Synchronisation übertragen wird.
Dass die Firmware-Aktualisierung bei der anderen Steuer- einrichtung beispielsweise aufgrund einer fehlerhaften aktualisierten Firmware-Datei nicht erfolgreich war, kann die Steuereinrichtung, welche das Aufforderungssignal zur Firmware-Aktualisierung empfangen hat, beispielsweise dadurch erkennen, dass sich die andere Steuereinrichtung nach Ablauf einer vorgegebenen Wartezeit nicht automatisch gemeldet hat oder keinen aktualisierten Firmwarestand mitgeteilt hat. In diesem Fall führt die Steuereinrichtung, welche das Aufforderungssignal zur Firmware-Aktualisierung empfangen hat, vorzugsweise selbst keine Firmware- Aktualisierung durch, sondern erzeugt vorzugsweise eine Fehlermeldung, welche beispielsweise an die Leitstelle übertragen werden kann, welche das Aufforderungssignal zur Firmware-Aktualisierung gesendet hat. Die oben beschriebenen Ausführungsformen einer Steuer- und Datenübertragungsanlage können mit Vorteil in beliebiger Weise kombiniert werden.
Das oben genannte technische Problem wird auch durch die Verfahrensschritte des Anspruchs 6 gelöst. Danach ist ein Verfahren zur Firmware-Aktualisierung in einer Steuer- und Datenübertragungsanlage zur redundanten Prozesssteuerung vorgesehen, wobei wenigstens eine als Ein- und/oder Ausgabegerät ausgebildete Prozesseinrichtung von wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung angesteuert wird, welche mit der Prozesseinrichtung über ein Kommunikationsnetzwerk verbunden sind. Das Verfahren sieht vor, dass die erste Steuereinrichtung eine Firmware-Aktualisierung der zweiten Steuereinrichtung bewirkt, indem die erste Steuereinrichtung eine Firmware- Datei zur zweiten Steuereinrichtung überträgt, die
empfangene Firmware-Datei in einem Parametrierungsspeicher der zweiten Steuereinrichtung gespeichert wird, die erste Steuereinrichtung ein Aufforderungssignal zur Firmware- Aktualisierung zur zweiten Steuereinrichtung überträgt, und die zweite Steuereinrichtung unter Ansprechen auf das empfangene Aufforderungssignal eine in einem Systemspeicher gespeicherte Firmware unter Verwendung der in dem
Parametrierungsspeicher der zweiten Steuereinrichtung gespeicherten Firmware-Datei aktualisiert.
In einem typischen Anwendungsfall steht eine neue Firmware- Datei an zentraler Stelle, beispielsweise in einer
zentralen Kontrolleinrichtung, zur Verfügung, mittels der eine Aktualisierung der jeweils im Systemspeicher der ersten und zweiten Steuereinrichtung gespeicherten Firmware durchgeführt werden soll.
Zu diesem Zweck sieht das Verfahren besonders bevorzugt vor, dass zunächst von einer überlagerten Kontrolleinrichtung eine Firmware-Datei zur ersten
Steuereinrichtung übertragen und in einem
Parametrierungsspeicher der ersten Steuereinrichtung gespeichert wird. Nach erfolgreicher Übertragung der
Firmware-Datei zu der ersten Steuereinrichtung sendet die Kontrolleinrichtung ein Aufforderungssignal zur Firmware- Aktualisierung zu der ersten Steuereinrichtung. Unter Ansprechen auf das empfangene Aufforderungssignal
aktualisiert die erste Steuereinrichtung eine in einem Systemspeicher der ersten Steuereinrichtung gespeicherte Firmware unter Verwendung der in dem
Parametrierungsspeicher gespeicherten Firmware-Datei, und bewirkt auch eine Firmware-Aktualisierung der zweiten
Steuereinrichtung unter Verwendung der empfangenen
Firmware-Datei auf die oben beschriebene Weise, indem die erste Steuereinrichtung zunächst die Firmware-Datei und danach ein Aufforderungssignal zur Firmware-Aktualisierung zur zweiten Steuereinrichtung überträgt. In einer vorteilhaften Ausführungsform des Verfahrens kann ferner vorgesehen sein, dass die erste Steuereinrichtung, welche das Aufforderungssignal zur Firmware-Aktualisierung empfängt, zunächst eine Firmware-Aktualisierung der zweiten Steuereinrichtung initiiert und erkennt, ob die Firmware- Aktualisierung der zweiten Steuereinrichtung erfolgreich war, wobei die erste Steuereinrichtung die im Systemspeicher der ersten Steuereinrichtung gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher gespeicherten Firmware-Datei nur dann aktualisiert, wenn die Firmware-Aktualisierung der zweiten Steuereinrichtung erfolgreich war. Vorteilhaft erkennt die erste Steuereinrichtung, dass die Firmware-Aktualisierung der zweiten Steuereinrichtung, beispielsweise aufgrund einer fehlerhaften aktualisierten Firmware-Datei, nicht erfolgreich war, daran, dass sich die zweite Steuereinrichtung nach Ablauf einer vorgegebenen Wartezeit, nachdem das Aufforderungssignal zur Firmware- Aktualisierung von der ersten zur zweiten Steuereinrichtung übertragen wurde, nicht gemeldet oder keinen aktualisierten Firmwarestand mitgeteilt hat. In diesem Fall führt die erste Steuereinrichtung vorzugsweise selbst keine Firmware- Aktualisierung durch, sondern erzeugt eine Fehlermeldung und überträgt diese an die überlagerte Kontrolleinrichtung.
Eine Firmware-Aktualisierung mit einer fehlerhaften
aktualisierten Firmware-Datei kann zum Ausfall der
jeweiligen Steuereinrichtung führen. Die Aktualisierungsreihenfolge, in der die erste Steuereinrichtung zunächst eine Firmware-Aktualisierung der zweiten Steuereinrichtung initiiert, ist daher besonders vorteilhaft, wenn nur zwischen der ersten Steuereinrichtung und der überlagerten Kontrolleinrichtung eine Kommunikationsverbindung besteht, nicht aber zwischen der zweiten Steuereinrichtung und der überlagerten Kontrolleinrichtung. Würde die erste Steuereinrichtung in diesem Fall zunächst selbst eine Firmware- Aktualisierung durchführen und aufgrund einer fehlerhaften aktualisierten Firmware-Datei ausfallen, würde die
überlagerte Kontrolleinrichtung über diesen Fehler nicht informiert . Wie bereits oben beschrieben, weist vorzugsweise jeweils eine der ersten und zweiten Steuereinrichtung den
Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer
Reservesteuerung auf. Da das Durchführen einer
Aktualisierung der im Systemspeicher gespeicherten Firmware in der Regel einen Systemneustart des jeweiligen
Steuereinrichtung erfordert, wechselt die erste und/oder zweite Steuereinrichtung vor Durchführen einer
Aktualisierung der im Systemspeicher gespeicherten Firmware vorteilhaft vom Betriebszustand einer Primärsteuerung zum Betriebszustand einer Reservesteuerung.
Ein weiterer typischer Anwendungsfall besteht darin, dass eine von zwei redundanten Steuereinrichtungen,
beispielsweise aufgrund eines Defekts, ausgetauscht wird. In diesem Fall ist vorzugsweise vorgesehen, dass nach erfolgter Synchronisierung der beiden Steuereinrichtungen nach dem Austausch über die Synchronisationsverbindung auch eine Prüfung erfolgt, ob die Steuereinrichtungen
unterschiedliche Firmware-Versionen aufweisen. Ist dies der Fall, wird automatisch ein Firmware-Abgleich zwischen den Steuereinrichtungen initiiert.
Die Erfindung wird nachfolgend beispielhaft anhand
bevorzugter Ausführungsformen und unter Bezugnahme auf die beigefügten Zeichnungen genauer beschrieben. Dabei
bezeichnen gleiche Bezugszeichen in den Zeichnungen gleiche oder ähnliche Teile. Es zeigen:
Fig. 1 eine schematische Darstellung einer
bevorzugten Ausführungsform eines Steuer- und Datenübertragungsanlage, und
Fig. 2 ein schematisches Ablaufdiagramm einer
automatischen Firmware-Aktualisierung . In Fig. 1 ist eine beispielhafte Steuer- und
Datenübertragungsanlage 10 dargestellt, die beispielsweise in der Automatisierungstechnik oder der Tunnelüberwachung zum Einsatz kommt. Im dargestellten Ausführungsbeispiel umfasst die Steuer- und Datenübertragungsanlage 10 zwei redundante Steuereinrichtungen 100 und 200, die über ein Kommunikationsnetzwerk 500 mit Prozesseinrichtungen 300 und 400 verbunden sind. Das Kommunikationsnetzwerk 500 kann weitere Komponenten wie beispielsweise den dargestellten Switch 510 umfassen, und ist im dargestellten
Ausführungsbeispiel als PROFINET-Kommunikationsnetz ausgebildet. PROFINET (Process Field Network) ist ein im Bereich der Automatisierung eingesetzter offener Industrial Ethernet-Standard . Es kann aber auch jedes andere geeignete Kommunikationsnetzwerk, wie zum Beispiel ein Feldbus, eingesetzt werden.
Die Steuereinrichtungen 100 und 200 umfassen jeweils einen Parametrierungsspeicher 130 bzw. 230, in welchem jeweils ein Steuerprogramm gespeichert ist, welches jeweils mittels eines Prozessors 110 bzw. 210 ausführbar ist. Um das
Steuerprogramm ausführen zu können, wird von dem jeweiligen Prozessor 110 bzw. 210 eine in einem Systemspeicher 120 bzw. 220 gespeicherte Firmware ausgeführt, wobei die
Firmware vorzugsweise als Container-Datei gespeichert ist, welche bei Systemstart der jeweiligen Steuereinrichtung entpackt und ausgeführt wird.
Eine Aktualisierung der Firmware kann durch Überschreiben der im Systemspeicher gespeicherten Container-Datei
erfolgen, wobei zum Übernehmen der Aktualisierung ein Systemneustart der Steuereinrichtung durchgeführt werden muss. Der Systemspeicher 120 bzw. 220 ist daher als
überschreibbarer Speicher, beispielsweise als Flash- Speicher oder als EEPROM ausgebildet.
Die Steuereinrichtungen 100 und 200 sind jeweils über eine Ethernet-Schnittstelle 141 bzw. 241 an das PROFINET- Netzwerk 500 angeschlossen. Da die Steuereinrichtungen 100 und 200 im dargestellten Ausführungsbeispiel als
speicherprogrammierbare Steuerungen (SPS) ausgeführt sind, werden diese im Folgenden auch als Steuerung oder als
Redundanzsteuerung bezeichnet.
Zur Synchronisation der beiden Steuerungen 100 und 200 wird vorzugsweise eine Ethernet-basierte Kommunikation
eingesetzt, die typischerweise als Punk-zu-Punkt Verbindung 510 zwischen den Synchronisationsschnittstellen 142 und 242 ausgeführt ist und beispielsweise mittels eines
Lichtwellenleiters bereitgestellt wird. Die beiden
Redundanzsteuerungen 100 und 200 sind so konfiguriert, dass eine vom Typ FIRST und eine vom Typ SECOND ist, die
Steuerungen also als erste (FIRST) und als zweite (SECOND) Steuerung identifizierbar sind. Diese Einstellung bleibt über die Laufzeit konstant, während die Rollen der
Steuerungen als Primärsteuerung und als Reservesteuerung wechseln können. Es kann eine Vorzugsauswahl vorgesehen sein, dergestalt, dass im Normalbetrieb die Steuerung vom Typ FIRST die Rolle der Primärsteuerung übernimmt und die Steuerung vom Typ SECOND die Rolle der Reservesteuerung.
Besteht eine Synchronisationsverbindung, kann zwischen den Steuerungen 100 und 200 die jeweilige Rolle direkt ausgehandelt werden. Die Kommunikation zu den unterlagerten E/A-Stationen 300 und 400 erfolgt über das Ethernet- basierte PROFINET Protokoll. Dabei hat jede der beiden Steuerungen 100 und 200 im normalen Betrieb eine
Kommunikationsverbindung zu jeder der projektierten E/A- Stationen 300 und 400 aufgebaut. In diesem System 10 ist es möglich, ein manuelles Firmware-Update mit den
entsprechenden Zwischenschritten durchzuführen. Die Erfindung schlägt jedoch eine Modifikation der
Steuerungen vor, welche diesen ermöglicht, einen
eigenständigen automatischen Firmware-Abgleich
durchzuführen, um auf diese Weise die kritischen Phasen zu minimieren bzw. selbstständig wieder einen Normalbetrieb zu etablieren.
Die Steuerungen 100 und 200 umfassen jeweils einen an die eigentliche CPU 110 bzw. 210 angeschlossenen, internen Systemspeicher 120 bzw. 220, auf den von extern jedoch nicht zugegriffen werden kann. Hier ist die gesamte
Firmware in Form einer zusammengesetzten Datei, einer sogenannten Container-Datei, abgelegt, die beim Systemstart entpackt und in Betrieb genommen wird. Desweiteren ist in jeder der Steuerungen 100 und 200 ein
Parametrierungsspeicher 130 bzw. 230 vorgesehen, der die Konfiguration der Steuerung, das Anwendungsprogramm und gegebenenfalls weitere anwendungsspezifische Daten enthält. Ein Firmware-Update ist möglich, indem über die
Kommunikations-Schnittstellen 143 bzw. 243 der Steuerungen 100 bzw. 200 ein neuer Firmwarecontainer auf den
Parametrierungsspeicher abgelegt wird und dann ein Kommando an die Steuerung 100 bzw. 200 eine Prozedur startet, welche die neue Firmware mit diesem Container in Betrieb nimmt. Dies kann beispielsweise von einer Kontrolleinrichtung 600 erfolgen, wobei die Schnittstellen 143 und 243
beispielsweise als USB-Schnittstellen oder als Ethernet- Schnittstellen ausgebildet sind, wobei beispielsweise das FTP-Protokoll eingesetzt werden kann.
Ein Firmware-Update erfordert einen System-Neustart der jeweiligen Steuerung 100 bzw. 200. Soll eine Aktualisierung des Redundanzsystems mit seinen beiden Steuerungen 100 und 200 erfolgen, so wird zunächst eine Steuerung aktualisiert, wobei in dieser Zeit die andere Steuerung als
Primärsteuerung den angeschlossenen Prozess steuert. Nach dem Wiederanlauf wird der normale Synchronisationsbetrieb wieder aufgenommen und die Steuerung mit der neuen
Firmware-Version nimmt die Rolle der Reservesteuerung ein. Zu diesem Zeitpunkt arbeitet das System mit
unterschiedlichen Firmware-Ständen, was dem Anwender angezeigt werden kann, vom Anwender aber nicht verhindert werden kann, da zum Update der aktuellen Primärsteuerung ein Umschalten der Rolle zwischen den beiden
Redundanzsteuerungen erforderlich ist. Danach erfolgt die Aktualisierung der aktuellen Reservesteuerung, welche noch den älteren Firmware-Stand aufweist. Nach dem Wiederanlauf dieser Steuerung erfolgt die AufSynchronisation zum
Redundanzbetrieb wieder mit gleichen Firmware-Ständen.
Vorteilhaft wird dieses Verfahren durch eine Erweiterung eines Protokolls zur automatischen Synchronisation
(AutoSync Technology) automatisiert, wodurch zahlreiche Fehlerquellen ausgeschlossen werden. Der Ablauf ist nochmals im Detail in Fig. 2 dargestellt. Die jeweils anwenderseitig in der Kontrolleinrichtung 600, in der ersten Steuerung 100 und in der zweiten Steuerung 200 ablaufenden Schritte sind in jeweils unterschiedlichen Spalten der Fig. 2 angegeben.
Das in Fig. 2 dargestellte Ausführungsbeispiel geht davon aus, dass zu Beginn des Ablaufdiagramms die erste Steuerung die Rolle der Primärsteuerung und die zweite Steuerung die Rolle der Reservesteuerung ausführt.
Der neue Firmware-Container wird über einen der oben beschriebenen Wege auf dem Parametrierungsspeicher 130 der Steuerung 100 abgelegt. Zu diesem Zweck gibt der Anwender in Schritt 600 den Befehl, den neuen Firmware-Container zu senden, woraufhin dieser in Schritt 700 zur Steuerung 100 übertragen wird und in Schritt 605 im
Parametrierungsspeicher 130 der Steuerung 100 gespeichert wird. Bei erfolgreicher Speicherung sendet die Steuerung in Schritt 705 eine Bestätigungsnachricht zu der
Kontrolleinrichtung 600 zurück.
In Schritt 610 wird die Update-Prozedur, beispielsweise über einen Dienst eines auf der Kontrolleinrichtung 600 ausgeführten Engineering Systems, wie zum Beispiel PCWorx, gestartet und in Schritt 710 ein entsprechendes
Aufforderungssignal zur Firmware-Aktualisierung zu der Steuerung 100 übertragen. Alternativ könnte die Update- Prozedur auch direkt über eine lokale Benutzerschnittstelle der Steuerung 100 vom Anwender gestartet werden. Weitere Anwenderaktionen sind nicht mehr erforderlich. Die Steuerung 100 hat mit seinem Anwendungsprogramm die Prozesskontrolle und kann jetzt zusätzlich den
automatisierten Ablauf des Firmware Updates kontrollieren. Dazu wird in Schritt 715 der neue Firmware-Container von der aktuellen Primärsteuerung 100 zunächst über die
Synchronisationsverbindung 510 auf die aktuelle
Reservesteuerung 200 übertragen, wobei das Übertragen in Schritt 615 von der Steuerung 100 unter Ansprechen auf das empfangene Aufforderungssignal initiiert wird. In Schritt 620 wird der empfangene Firmware-Container im
Parametrierungsspeicher 230 der Steuerung 200 gespeichert und bei erfolgreicher Speicherung in Schritt 720 eine
Bestätigungsnachricht von der zweiten Steuerung 200 zu der ersten Steuerung 100 gesendet.
Daraufhin wird in Schritt 625 von der Steuerung 100 ein Aufforderungssignal zur Firmware-Aktualisierung erzeugt und in Schritt 725 zu der zweiten Steuerung 200 übertragen, welche daraufhin in Schritt 630 autark das Firmware-Update ausführt, indem, wie oben beschrieben, die im
Systemspeicher 220 gespeicherte Container-Datei mit der im Parametrierungsspeicher 230 gespeicherten Firmware-Datei überschrieben wird und ein Systemneustart der
Steuereinrichtung 200 durchgeführt wird.
Nach dem Wiederanlauf der Steuerung 200 erfolgt automatisch eine Synchronisation der Steuerungen 100 und 200. Dazu wird in Schritt 730 automatisch das Protokoll zur automatischen Synchronisation ausgeführt und dadurch in Schritt 635 der Wiederanlauf der Steuerung 200 erkannt und eine
Synchronisation ausgeführt. Über das AutoSync Technology Protokoll wird sowohl der erreichte Redundanzbetrieb als auch die nun unterschiedlichen Firmware-Stände erkannt.
Nun erfolgt das lokale Update. Dazu wird in Schritt 640 ein Switch-Over kommandiert und in Schritt 735 ein
entsprechender Befehl zur Steuerung 200 übertragen, damit die aktuelle Reservesteuerung 200 die Prozesssteuerung in Schritt 645 übernimmt. Sobald die zweite Steuerung 200 die Rolle der
Primärsteuerung und die erste Steuerung 100 die Rolle der Reservesteuerung übernommen haben, wird in Schritt 650 das lokale Update durchgeführt, indem die im Systemspeicher 120 gespeicherte Container-Datei mit der im
Parametrierungsspeicher 130 gespeicherten Firmware-Datei überschrieben wird und ein Systemneustart der
Steuereinrichtung 100 durchgeführt wird.
Nach Wiederanlauf wird der normale Redundanzbetrieb mit der neuen Firmware-Version wieder aufgenommen. Dazu wird in Schritt 740 automatisch das Protokoll zur automatischen Synchronisation ausgeführt und dadurch in Schritt 655 der Wiederanlauf der Steuerung 100 erkannt und eine
Synchronisation ausgeführt.
Sollte eine Vorzugsauswahl vorgesehen sein, gemäß der im Normalbetrieb die erste Steuerung 100 die Rolle der
Primärsteuerung übernimmt, so kann vorteilhaft ein
weiterer, in Fig. 2 nicht dargestellter Switch-Over
durchgeführt werden. Wird in Schritt 635 der Wiederanlauf der Steuerung 200 nicht nach einer vorgegebenen Wartezeit erkannt oder kein geänderter Firmware-Stand der Steuerung 200 erkannt, so wird vorteilhaft die Firmware-Aktualisierung der Steuerung 200 als nicht erfolgreich erkannt und es werden die
Schritte 640, 735, 645, 650, 740 und 655 nicht ausgeführt, sondern von der Steuerung 100 eine Fehlermeldung generiert.
Ein weiterer Vorteil des Verfahrens wird bei Betrachtung eines Gerätetausch-Szenarios offensichtlich. Dieser Fall tritt ein, wenn eine der beiden Steuerungen 100 oder 200 ausfällt und ausgetauscht werden muss. Die verbleibende Steuerung stellt die Prozesssteuerung als Primärsteuerung sicher. Die ausgetauschte Steuerung wird nun mit dem vorhandenen Parametrierungsspeicher, der eine gültige
Konfiguration beinhaltet, installiert und in Betrieb genommen. Durch das Synchronisationsprotokoll wird die Konfiguration geprüft und in Betrieb genommen, um den
Redundanzbetrieb wieder aufzunehmen. Wird allerdings festgestellt, dass die neue Steuerung einen anderen
Firmware-Stand hat als die Prozessführende, kann dieser Zustand dem Anwender signalisiert und nach Zustimmung automatisch aufgelöst werden. Dazu wird nun der eigene aktuelle Firmware-Container, d.h. der Firmware-Container, der im Systemspeicher bzw. im Parametrierungsspeicher der als Primärsteuerung wirkenden Steuerung abgelegt ist, über die Synchronisationsschnittstelle auf die neue Steuerung gesendet, um dann mit dem oben beschriebenen Verfahren einen automatischen Abgleich der Firmware-Stände
durchzuführen. Zusätzliche Kenntnisse oder ein zusätzliches Eingreifen des Wartungspersonals ist nicht erforderlich, und es werden für dieses Verfahren keine Engineering- Werkzeuge oder Firmware-Dateien benötigt.

Claims

Patentansprüche
1. Steuer- und Datenübertragungsanlage (10) zur
redundanten Prozesssteuerung, mit wenigstens einer ersten Steuereinrichtung (100) und einer zweiten, zur ersten redundanten Steuereinrichtung (200), welche über ein Kommunikationsnetzwerk (500) mit wenigstens einer als Ein- und/oder Ausgabegerät ausgebildeten Prozesseinrichtung (300, 400) verbunden sind, wobei
- zwischen der ersten und zweiten Steuereinrichtung (100, 200) eine Kommunikationsverbindung besteht,
- die erste und die zweite Steuereinrichtung (100, 200) jeweils einen Systemspeicher (120, 220) mit einer darin gespeicherten Firmware umfasst,
- jede der Steuereinrichtungen (100, 200) dazu
ausgebildet ist, die im Systemspeicher (120, 220) gespeicherte Firmware unter Verwendung einer in einem Parametrierungsspeicher (130, 230) der jeweiligen Steuereinrichtung (100, 200) gespeicherten Firmware- Datei zu aktualisieren, und
- die erste und/oder die zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, eine Firmware-Datei zu der jeweils anderen Steuereinrichtung (100, 200) zu übertragen und eine Aktualisierung der im
Systemspeicher (120, 220) der jeweils anderen
Steuereinrichtung (100, 200) gespeicherten Firmware unter Verwendung der übertragenen Firmware-Datei zu initiieren .
2. Steuer- und Datenübertragungsanlage nach Anspruch 1, wobei
- jeweils eine der ersten und zweiten Steuereinrichtung (100, 200) den Betriebszustand einer Primärsteuerung und die jeweils andere
Steuereinrichtung den Betriebszustand einer
Reservesteuerung aufweist,
- die Steuereinrichtungen (100, 200) nur im
Betriebszustand einer Primärsteuerung die wenigstens eine Prozesseinrichtung (300, 400) ansteuern,
- die Steuereinrichtungen (100, 200) dazu ausgebildet sind, ihren jeweiligen Betriebszustand über die zwischen ihnen bestehende Kommunikationsverbindung automatisch auszuhandeln, und
- die erste und/oder zweite Steuereinrichtung (100, 200) dazu ausgebildet ist, vor Durchführen einer
Aktualisierung der im Systemspeicher (120, 220) gespeicherten Firmware vom Betriebszustand einer
Primärsteuerung zu dem einer Reservesteuerung zu wechseln .
Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 oder 2, wobei die Firmware im
Systemspeicher (120, 220) der jeweiligen
Steuereinrichtung (100, 200) als Container-Datei gespeichert ist, welche bei Systemstart der jeweiligen Steuereinrichtung (100, 200) entpackt und ausgeführt wird .
Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 3, wobei die erste und/oder zweite Steuereinrichtung dazu ausgebildet ist, unter
Ansprechen auf ein empfangenes Aufforderungssignal eine Aktualisierung der im eigenen Systemspeicher (120, 220) gespeicherten Firmware auszuführen und/oder eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware zu initiieren.
5. Steuer- und Datenübertragungsanlage nach einem der
Ansprüche 1 bis 4, wobei die erste und/oder zweite Steuereinrichtung dazu ausgebildet ist, unter
Ansprechen auf ein empfangenes Aufforderungssignal zunächst eine Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware zu initiieren, und nur dann eine Aktualisierung der im eigenen Systemspeicher (120, 220) gespeicherten Firmware auszuführen, wenn die Aktualisierung der im Systemspeicher (120, 220) der jeweils anderen Steuereinrichtung (100, 200) gespeicherten Firmware erfolgreich durchgeführt wurde.
6. Verfahren zur Firmware-Aktualisierung in einer Steuer- und Datenübertragungsanlage (10) zur redundanten
Prozesssteuerung, wobei wenigstens eine als Ein- und/oder Ausgabegerät ausgebildete Prozesseinrichtung (300, 400) von wenigstens einer ersten und einer zweiten, zur ersten redundanten Steuereinrichtung (100, 200) angesteuert wird, welche mit der
Prozesseinrichtung (300, 400) über ein
Kommunikationsnetzwerk (500) verbunden sind, und wobei die erste Steuereinrichtung eine Firmware- Aktualisierung der zweiten Steuereinrichtung bewirkt, indem
- die erste Steuereinrichtung (100) eine Firmware- Datei zur zweiten Steuereinrichtung (200) überträgt,
- die empfangene Firmware-Datei in einem Parametrierungsspeicher (230) der zweiten Steuereinrichtung (200) gespeichert wird,
- die erste Steuereinrichtung (100) ein
Aufforderungssignal zur Firmware-Aktualisierung zur zweiten Steuereinrichtung (200) überträgt, und
- die zweite Steuereinrichtung (200) unter Ansprechen auf das empfangene Aufforderungssignal eine in einem Systemspeicher (220) gespeicherte Firmware unter Verwendung der in dem Parametrierungsspeicher (230) der zweiten Steuereinrichtung (200) gespeicherten Firmware-Datei aktualisiert.
7. Verfahren nach Anspruch 6, wobei
- von einer überlagerten Kontrolleinrichtung eine Firmware-Datei zur ersten Steuereinrichtung (100) übertragen und in einem Parametrierungsspeicher (130) der ersten Steuereinrichtung (100) gespeichert wird,
- die erste Steuereinrichtung (100) von der
überlagerten Kontrolleinrichtung ein
Aufforderungssignal zur Firmware-Aktualisierung empfängt und unter Ansprechen auf das empfangene
Aufforderungssignal
- eine in einem Systemspeicher (120) gespeicherte Firmware unter Verwendung der in dem
Parametrierungsspeicher (130) der ersten
Steuereinrichtung (100) gespeicherten Firmware-Datei aktualisiert, und
- unter Verwendung der empfangenen Firmware-Datei eine Firmware-Aktualisierung der zweiten Steuereinrichtung (200) bewirkt.
8. Verfahren nach einem der Ansprüche 6 oder 7, wobei
- von einer überlagerten Kontrolleinrichtung eine Firmware-Datei zur ersten Steuereinrichtung (100) übertragen und in einem Parametrierungsspeicher (130) der ersten Steuereinrichtung (100) gespeichert wird,
- die erste Steuereinrichtung (100) von der
überlagerten Kontrolleinrichtung ein
Aufforderungssignal zur Firmware-Aktualisierung empfängt und unter Ansprechen auf das empfangene
Aufforderungssignal
- unter Verwendung der empfangenen Firmware-Datei eine Firmware-Aktualisierung der zweiten Steuereinrichtung (200) initiiert, und
- eine in einem Systemspeicher (120) gespeicherte Firmware unter Verwendung der in dem
Parametrierungsspeicher (130) der ersten
Steuereinrichtung (100) gespeicherten Firmware-Datei aktualisiert, wenn die Firmware-Aktualisierung der zweiten Steuereinrichtung (200) erfolgreich
durchgeführt wurde.
9. Verfahren nach einem der Ansprüche 6 bis 8, wobei
das Aktualisieren der im Systemspeicher (120, 220) gespeicherten Firmware der ersten und/oder zweiten Steuereinrichtung (100, 200) das Ausführen eines
Systemneustarts der jeweiligen Steuereinrichtung (100, 200) umfasst.
10. Verfahren nach einem der Ansprüche 6 bis 9, wobei
jeweils eine der ersten und zweiten Steuereinrichtung (100, 200) den Betriebszustand einer Primärsteuerung und die jeweils andere Steuereinrichtung den Betriebszustand einer Reservesteuerung aufweist, und wobei die erste und/oder zweite Steuereinrichtung (100, 200) vor Durchführen einer Aktualisierung der i Systemspeicher (120, 220) gespeicherten Firmware vom Betriebszustand einer Primärsteuerung zu dem einer Reservesteuerung wechselt.
PCT/EP2014/056823 2013-04-04 2014-04-04 Steuer- und datenübertragungsanlage zur redundanten prozesssteuerung und verfahren zur firmware-aktualisierung WO2014161986A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013103379.2A DE102013103379A1 (de) 2013-04-04 2013-04-04 Steuer- und Datenübertragungsanlage zur redundanten Prozesssteuerung und Verfahren zur Firmware-Aktualisierung
DE102013103379.2 2013-04-04

Publications (1)

Publication Number Publication Date
WO2014161986A1 true WO2014161986A1 (de) 2014-10-09

Family

ID=50434210

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/056823 WO2014161986A1 (de) 2013-04-04 2014-04-04 Steuer- und datenübertragungsanlage zur redundanten prozesssteuerung und verfahren zur firmware-aktualisierung

Country Status (2)

Country Link
DE (1) DE102013103379A1 (de)
WO (1) WO2014161986A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9385920B1 (en) 2015-04-16 2016-07-05 Aic Inc. Rack having multiple rack management modules and firmware updating method for the same
CN106775588A (zh) * 2016-11-30 2017-05-31 合肥科迈捷智能传感技术有限公司 一种基于主从处理器架构的固件升级方法
EP3764221A1 (de) * 2019-07-11 2021-01-13 Siemens Aktiengesellschaft Verfahren zum aktualisieren von software für ein automatisierungssystem, steuereinrichtung für ein automatisierungssystem und automatisierungssystem mit einer steuereinrichtung
WO2021035867A1 (zh) * 2019-08-27 2021-03-04 北京东土科技股份有限公司 主备控制器的冗余控制方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4134207C1 (en) * 1991-10-16 1993-04-01 Ant Nachrichtentechnik Gmbh, 7150 Backnang, De Loading double-computer standby system - preparing passive computer for loading and taking new software from data source for entering into memory of active computer
DE10030329C1 (de) 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
US6675258B1 (en) * 2000-06-30 2004-01-06 Lsi Logic Corporation Methods and apparatus for seamless firmware update and propagation in a dual raid controller system
US20060085564A1 (en) * 2004-10-14 2006-04-20 Bomhoff Matthew D Flash mirroring
US20070174686A1 (en) * 2006-01-03 2007-07-26 Douglas Darren C Apparatus, system, and method for non-interruptively updating firmware on a redundant hardware controller
US20070261052A1 (en) * 2006-05-05 2007-11-08 Honeywell International Inc. Apparatus and method for allowing a fail-back to a prior software release in a process control system
US20080127166A1 (en) * 2006-11-29 2008-05-29 International Business Machines Corporation Synchronizing controller firmware download
DE102006047026B4 (de) 2006-10-02 2011-02-24 Phoenix Contact Gmbh & Co. Kg Verfahren und System zum redundanten Ansteuern einer Slaveeinrichtung

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7600055B2 (en) * 2006-01-03 2009-10-06 International Business Machines Corporation Apparatus, system, and method for firmware update of redundant controllers

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4134207C1 (en) * 1991-10-16 1993-04-01 Ant Nachrichtentechnik Gmbh, 7150 Backnang, De Loading double-computer standby system - preparing passive computer for loading and taking new software from data source for entering into memory of active computer
DE10030329C1 (de) 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
US6675258B1 (en) * 2000-06-30 2004-01-06 Lsi Logic Corporation Methods and apparatus for seamless firmware update and propagation in a dual raid controller system
US20060085564A1 (en) * 2004-10-14 2006-04-20 Bomhoff Matthew D Flash mirroring
US20070174686A1 (en) * 2006-01-03 2007-07-26 Douglas Darren C Apparatus, system, and method for non-interruptively updating firmware on a redundant hardware controller
US20070261052A1 (en) * 2006-05-05 2007-11-08 Honeywell International Inc. Apparatus and method for allowing a fail-back to a prior software release in a process control system
DE102006047026B4 (de) 2006-10-02 2011-02-24 Phoenix Contact Gmbh & Co. Kg Verfahren und System zum redundanten Ansteuern einer Slaveeinrichtung
US20080127166A1 (en) * 2006-11-29 2008-05-29 International Business Machines Corporation Synchronizing controller firmware download

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ITO H ET AL: "Online system upgrade on CENTUM CS FCSs", YOGOGAWA TECHNICAL REPORT ENGLISH EDITION, YOKOGAWA ELECTRIC CO., MUSASHINO, JP, no. 25, 1 June 1998 (1998-06-01), pages 13 - 16, XP002205944, ISSN: 0911-8977 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9385920B1 (en) 2015-04-16 2016-07-05 Aic Inc. Rack having multiple rack management modules and firmware updating method for the same
CN106775588A (zh) * 2016-11-30 2017-05-31 合肥科迈捷智能传感技术有限公司 一种基于主从处理器架构的固件升级方法
EP3764221A1 (de) * 2019-07-11 2021-01-13 Siemens Aktiengesellschaft Verfahren zum aktualisieren von software für ein automatisierungssystem, steuereinrichtung für ein automatisierungssystem und automatisierungssystem mit einer steuereinrichtung
WO2021035867A1 (zh) * 2019-08-27 2021-03-04 北京东土科技股份有限公司 主备控制器的冗余控制方法

Also Published As

Publication number Publication date
DE102013103379A1 (de) 2014-10-09

Similar Documents

Publication Publication Date Title
EP3017371B1 (de) Verfahren zur fehlerueberwachung, steuer- und datenuebertragungsanlage und steuereinrichtung
EP2817682B1 (de) Verfahren zum ausfallsicheren betreiben eines prozesssteuersystems mit redundanten steuereinrichtungen
EP3246771B1 (de) Verfahren zum betreiben eines redundanten automatisierungssystems
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
EP3326101A1 (de) Verfahren und system zur firmware-aktualisierung einer steuereinrichtung zur prozesssteuerung
EP2667269B1 (de) Verfahren zum Betreiben eines redundanten Automatisierungssystems
DE19744071B4 (de) Eine programmierbare Logiksteuervorrichtung verwendendes Steuerungssystem
WO2014161986A1 (de) Steuer- und datenübertragungsanlage zur redundanten prozesssteuerung und verfahren zur firmware-aktualisierung
EP2732347B1 (de) Verfahren und system zur dynamischen verteilung von programmfunktionen in verteilten steuerungssystemen
EP1119810A1 (de) Speicherprogrammierbare steuerung mittels datenverwaltung über netzrechner und verfahren zum betrieb einer speicherprogrammierbaren steuerung
DE102012205709A1 (de) Verfahren zum Betreiben eines elektrischen Antriebssystems und Antriebssystem
EP2876778B1 (de) Elektrische Anlage mit einer unterbrechungsfreien Stromversorgungseinheit
EP2787405A1 (de) Verfahren zum Betrieb einer elektrischen Anlage und elektrische Anlage
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
EP3082001B1 (de) Verfahren zum erweitern einer automatisierungseinrichtung mittels einem virtuellen feldgerät sowie automatisierungseinrichtung
EP2090948B1 (de) Verfahren zum Betrieb eines Automatisierungssystems
EP2520989B1 (de) Verfahren zum Betrieb eines hochverfügbaren Systems mit funktionaler Sicherheit sowie ein hochverfügbares System mit funktionaler Sicherheit
DE19906695A1 (de) Verfahren zur automatischen Dezentralisierung von Programmen in Steuerungseinrichtungen und zur Verteilung von Intelligenz
EP2811352A1 (de) Verfahren zur Bearbeitung eines Automatisierungsprojektes durch eine Mehrzahl von Bearbeitungsstationen
EP3724758B1 (de) Verfahren zum durchführen eines updates einer softwareapplikation in einem gerät, das sich im betrieb befindet, sowie gerät und kraftfahrzeug
EP3582032B1 (de) Feldgerät mit reduzierter stillstandszeit bei firmware-update
EP4068014B1 (de) Hochverfügbare cloud-basierte automatisierungslösung mit optimierten übertragungszeiten
EP1967920A1 (de) Verfahren zur Durchführung von Softwareupdates in FPGA-basierte Automatisierungsgeräte
EP3118694A1 (de) Verfahren zum betreiben eines redundanten automatisierungssystems und redundantes automatisierungssystem
EP3144756A1 (de) Steuerungssystem sowie verfahren zum betrieb eines steuerungssystems mit einer realen und einer virtuellen steuerung zur reduzierung von ausfallzeiten

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14715024

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14715024

Country of ref document: EP

Kind code of ref document: A1