运行冗余的自动化系统的方法与流程

1.本发明涉及一种用于运行冗余的自动化系统以用于控制技术过程的方法，其中，第一故障安全子系统利用划分为第一程序部段的第一控制程序运行，其中，技术过程的控制通过第一故障安全子系统实施，并且第二故障安全子系统利用划分为第二程序部段的第二控制程序冗余地运行，其中，第一故障安全子系统利用其第一控制程序生成并且评估事件，根据发生的事件影响第一控制程序中的第一程序部段的实施顺序，并且在生成的或出现的事件的基础上每程序部段地将设置有用于反映相应的程序部段的索引的同步数据提供给第二故障安全子系统，并且为输出构件提供原始数据，其中，首先保留原始数据并且还不写给输出构件，其中，第一子系统利用相应的第一程序部段的处理在有关第二子系统的相应的第二程序部段的处理的索引方面领先第二子系统。


背景技术：

2.在自动化领域中要求越来越高可用性的解决方案(h系统)，该解决方案适用于将技术设备的可能出现的停工时间减小到最小。在自动化领域中采用的h系统的特征在于，两个或更多子系统以自动化设备或计算系统的形式经由同步连接相互耦连。原则上，两个子系统能够可读和/或可写地访问与该h系统连接的外围设备单元。两个子系统中的一个在有关连接到系统上的外围设备方面占主导。这意味着，输出给外围设备单元或者用于这些外围设备单元的输出信息仅由两个子系统中的一个执行，即由该子系统作为主机工作或者接管主机功能。
3.除了自动化系统的可靠性之外，自动化系统必须在自动化技术中常常还附加地实现安全关键功能。这样的自动化系统在接下来被称为hf系统。两个相互冗余工作的子系统(hf-cpu1和hf-cpu2)现在附加地能够处理针对安全的控制程序。附加地，控制程序经由针对安全的协议与同样针对安全的输入输出模块(f-io)通信。


技术实现要素：

4.在本发明的意义上，同步数据用于将在第一子系统上出现的事件与第二子系统同步，因此，对于第一子系统故障的情况来说，待控制的技术过程的过程能够立刻由第二子系统接管。如果不知道发生在第一子系统上的事件，则不能够遵守在第二子系统上的程序部段的实施顺序。仅在第二子系统知道第一系统上的事件，第二子系统才能够执行需要的程序流程，并且用于控制技术过程的方法才不会被干扰。
5.此外，在本发明的意义上，针对安全的hf-cpu’或者相应的故障安全子系统能够在处理其控制程序时诊断故障，并且接着将设备或相应的子系统置于到安全的状态中。
6.本发明的目的在于，在实现冗余工作的自动化系统时，在两个故障安全子系统(两个hf-cpu’s)的基础上出现下述问题。第一故障安全子系统作为在先的hf-cpu工作，并且在其本地的处理中识别(例如通过硬件故障导致的)故障。利用该故障时别使其自己停用。然而，通过已经进行的从第一故障安全子系统到第二故障安全子系统的同步数据的传输，能
够出现另外的故障。或者换句话说，在先的hf-cpu提供给在后的hf-cpu错误的同步数据。对此，在后的hf-cpu或者第二故障安全子系统现在在短时间之后同样在其处理中发现问题并且停用。现在的问题在于，两个现在停用的子系统(两个hf-cpu’s)导致失去设施控制。然而，在后的hf-cpu的故障反应仅通过有错的数据的同步产生。然而，在后的hf-cpu能够无问题地继续过程的控制。
7.相应地，本发明的目的在于，为用于运行具有第一故障安全子系统和第二故障安全子系统的冗余的自动化系统的方法保证在第一故障安全子系统故障时不为第二故障安全子系统提供有错误的同步数据。
8.根据方法，该目的实现为，在第二子系统中首先缓存同步数据，其中，第一故障安全子系统将提供的设置有相应的第一程序部段的索引的原始数据首先发送给第二故障安全子系统，并且第二故障安全子系统通过给第一故障安全子系统的发出证明来确认这一点，在第一故障安全子系统中，在相应的程序部段的结尾处实施故障检查，利用故障检查在相应的程序部段中检查第一控制程序的无故障的过程，对于识别到故障的情况来说，停用第一故障安全子系统，并且通过第二故障安全子系统执行技术过程的控制，对于识别到无故障的情况来说，第一故障安全子系统发送无故障消息给第二故障安全子系统，紧接着，第二故障安全子系统签收具有无故障凭证的无故障消息，并且首先处理缓存的具有匹配索引的第二程序部段的同步数据，利用接收无故障凭证通过第一故障安全子系统将第一原始数据写到输出构件。
9.第一故障安全子系统也能够视为在先的系统，并且第二故障安全子系统能够相应地视为在后的系统。如果现在通过在先的系统执行原始数据的输出，那么就首先由在后的系统签收该输出。这样能够确保当在前的系统故障时不会影响输出。在后的系统将同步数据本地地存储在例如iifo存储器中，然而其首先不处理。仅在实现确认了相应的程序部段的无故障的处理的故障检查之后，在先的系统才执行输出原始数据到外围设备。故障检查通常在每个程序部段(例如部段n)的结尾处在在先的系统上进行。
10.如果该检查确定了无故障，那么在先的系统就将其利用特殊的消息(“f检查合格(f-pr
ü
fung o.k.)”)通知在后的系统。该消息促使在后的系统处理迄今为止存储的同步数据，并且在其方面在部段n的结尾处同样执行f检查。
11.在先的系统根据无故障凭证通过在后的系统输出原始数据到外围设备。优选地，仅当在后的系统同样完成部段n并且其由在先的系统利用周期证明签收的时候，才开始下一个部段。
12.此案次，有利的是，第二子系统发送周期证明给第一子系统，第一子系统确认与索引相关的第二程序部段成功地无故障地处理。
13.对于在第一故障安全子系统上识别到故障的情况来说，第二故障安全子系统拒绝全部的同步数据并且接管过程的控制为单独运行，这些同步数据在最后一次无故障凭证之后存储，
14.如果例如第一子系统在下一个部段n 1中示出故障，则第一子系统立刻自我停用。第二子系统现在拒绝在fifo存储器中的最后一次“f检查合格”消息之后的全部的同步数据。因此，第二子系统换到独立运行中。因此，迄今为止在后的hf-cpu、即第二子系统现在成为主导的子系统，并且现在实施部段n 1，这导致了在先的系统的故障时的相应较长的反应
时间。能够通过以下解决方案减少一些较长的反应时间。因此，优点在于，当同步数据在第二子系统中不取决于无故障消息立刻利用匹配索引的第二程序部段处理，并且对于无故障消息到达第二故障安全子系统的情况，附加地将程序状态的保险备份到存储器映像中，对于缺少无故障消息并且第一子系统故障的情况来说，从存储器映像下载程序状态的最后一次备份，并且利用该程序状态继续程序处理，并且通过第二故障安全子系统执行技术过程的控制。
15.反应时间的优化由此实现，即在后的系统在不等到消息“f检查合格”的情况下立刻处理接收的同步数据。然而，为了避免从在先的系统到在后的系统的故障拖延，一旦在后系统接收到消息“f检查合格”，在后的系统存储当前的状态，即近似同步运行的程序的存储器映像。经由存储器映像的本地地存储程序状态是能非常有效地实现的，同时，在后的系统删除之前的部段的存储器映像。只要在后的系统到达程序部段的结尾，其就向在先的系统确认这一点。这能够接下来立刻开始下一个程序部段。这加速了系统的流程并且因此也减少了反应时间。
16.如果在后的系统识别在先的系统的故障，那么在后的系统就加载最后备份的存储器映像，并且以独立地在单独运行中处理过程值/事件。相应地拒绝已经接收并且已经处理的来自步骤n 2的同步数据，因为其能够包括潜在的错误的指令。
17.也证明有利的是，同步数据从在先的系统传递到在后的系统能够时间异步地进行。由此，一方面使得在先的系统的处理能力与为事件同步提供的通信带宽去耦合，这尤其在有关处理器的处理能力的升高与另一方面通信处理器的升高之间的增加的不平衡方面有冲突。
18.基于在先的系统与在后的系统之间的时间上异步的通信能够实现的是，也能够使用较慢的通信连接来建立高可用性的自动化系统。这意味着，也能够设置在传输带宽或回复时间方面较差的通信连接，该通信连接或者也被其它的通信参与者使用，并且因此对于该同步目的提供的两个参与者是不冲突的。
附图说明
19.接下来根据阐明本发明的实施例的附图详细阐述本发明、其设计方案和优点。在此示出：
20.图1是根据现有技术的冗余的自动化系统，
21.图2是第一替代设计方案中的用于冗余的自动化系统的根据方法的流程，
22.图3是根据第二替代设计方案的用于冗余的自动化系统的根据方法的流程，
23.图4是根据第三替代设计方案的用于冗余的自动化系统的流程。
具体实施方式
24.图1示出了用于控制技术过程的冗余的自动化系统100。根据现有技术，第一故障安全子系统1与第二故障安全子系统2经由用于同步数据的通信信道5耦连。第一故障安全子系统1和第二故障安全子系统2分别经由总线4与外围设备3耦连。在外围设备3中存在输出构件io-dev。
25.根据图1的现有技术的已知的冗余的自动化系统100的缺点在于，在第二故障安全
子系统2通过第一故障安全子系统1同步时能够传输有故障的同步数据。利用该有故障的同步数据能够同样干扰第二故障安全子系统。
26.图2示出了第一根据方法的解决方式，以便回避第二故障安全子系统2利用故障的同步数据工作的问题。
27.如根据图1的现有技术那样，第一故障安全子系统1通信地与第二故障安全子系统2连接并且交换同步数据sd。在第一故障安全子系统1中存在划分为第一程序部段p1n的第一控制程序p1并且相应地运行。在第二故障安全子系统2中对第一控制程序p1冗余地运行划分为第二程序部段p2n的第二控制程序p2。
28.第一故障安全子系统1利用其第一控制程序p1生成并且评估事件。这些程序和过程决定的事件影响第一控制程序p1中的第一程序部段p1n的实施顺序。为了确保第二故障安全子系统2意识到该影响的事件，第一故障安全子系统1每程序部段p1n地为第二故障安全子系统2提供设有索引n的同步数据sd，该索引反映了相应的程序部分p1n。
29.在第一故障安全子系统1中通过第一控制程序p1为输出构件io-dev提供原始数据a1，其中，首先保留原始数据a1并且还不写给输出构件io-dev。通常，第一子系统1利用相应的第一程序部段p1n的处理在有关第二子系统2的相应的第二程序部段p1n的处理的索引n方面领先第二子系统2。
30.为了现在避免第二子系统2利用有故障的同步数据sd工作，在第二子系统2中在第二存储器区域sb2中首先缓存同步数据sd。
31.由于在第一故障安全子系统1中在相应的程序部段p1n的结尾处执行故障检查fp，能够在相应的程序部段p1n中通知第一控制程序p1的无故障的过程。如果识别了无故障，则第一故障安全子系统1发送无故障消息ffok给第二故障安全子系统2，紧接着，第二故障安全子系统签收具有无故障凭证ffq的无故障消息ffok，并且从第二存储器区域sb2中读取首先缓存的同步数据sd以进行数据处理，并且利用与索引n匹配的第二程序部段p2n处理同步数据。利用接收无故障凭证ffq通过第一故障安全子系统1将原始数据a1写到输出构件io-dev。相应地，在关于第一故障安全子系统1的垂直的时间曲线中周期性地引入错误检查fp。分别实施程序部段p1n、p1n 1。在此，重要的是，虽然已经在步骤20中传输原始数据a1并且在第二故障安全子系统2中提供原始数据，但是还未通过步骤21写给过程构件或输出构件io-dev。
32.根据图2的方法描述，在第一程序部段p1n中不出现故障，但是在接下来的程序部段p1n 1中在故障检查fp的结尾出现故障情况22。对于识别故障的情况，停用第一故障安全子系统1。第一故障安全子系统进入停止23状态，并且通过第二故障安全子系统2执行技术过程的控制。因此，第二故障安全子系统2进入单独运行24中，并且因此不从第二存储器区域sb2下载假定为有故障的同步数据。
33.根据图3，在替代的方法中原始数据a1和输出证明aq已经在故障检查fp之间相互交换，但是直到利用发送的无故障的消息ffok和相应接收的无故障凭证ffq时，才经由步骤21将原始数据a1写给过程。
34.在有关整个系统的反应时间方面，将根据图4的方法视为有效率的方法。
35.在此提出，第二子系统2中的同步数据sd独立于无故障消息ffok而立刻利用匹配索引n的第二程序部段p2n处理。为了更好地示出，将第二故障安全子系统2划分为处理器区
域2a和存储器区域2b。利用步骤数据处理25清楚的是，在处理器区域2a中立刻处理用于第二程序部段p2n的进入的同步数据sd。与此并行地已经给第二故障安全子系统2提供了原始数据a1。第二故障安全子系统相应地发送输出证明aq还有周期证明zq2。现在，第一故障安全子系统1中出现f检查fp，该检查确认第一程序部段p1n的无故障。由于该无故障，现在将缓存的原始数据a1写到过程并且为第二故障安全子系统2传输无故障消息ffok。由此，在第二故障安全子系统2中触发程序状态pm在存储器映像sa中的备份。利用步骤40备份存储器映像n。对于缺少无故障消息ffok并且第一子系统1发生故障的情况来说，从存储器映像sa下载程序状态pn-1的最后一次备份，并且程序处理以该程序状态继续，并且技术过程的控制通过第二故障安全子系统2来实施。