本发明专利技术涉及一种用于控制物理单元(2)的方法,包括以下步骤:循环地生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;将所述控制输出中的选择的一个控制输出施加至所述物理单元(2);检验至少所选择的控制输出是否是正确的;以及选择所述控制单元中的、其控制输出被检验为正确的一个控制单元,以便在后续周期中将其控制输出施加至物理单元(2),其特征在于:将所述控制输出中的选择的一个控制输出施加至所述物理单元(2)的步骤是在检验步骤之前或者期间执行的。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及包括冗余自动化控制器以便允许高可用性和快速的响应时间的自动化系统。
技术介绍
控制技术系统的关键部分的自动化单元需要高可用性,因此必须提供冗余解决方案。在一个或多个自动化单元失败的情况下,它们的冗余对等物将取代它们从而确保所述技术系统持续和安全的操作。通常的冗余解决方案提供诸如N中取M个(M-out-of-N)冗余或者备用冗余的冗余方案,其允许在非常短的时间甚至是零时间段内从失败部分切换到冗余对等部分。然而,许多技术系统能够容忍非常短的、控制单元的输出可能由于故障而损坏或者没有被更新的时间段。此外,安全至上的系统可能在致动器中提供额外的错误纠正逻辑,以使得在短时间内,发送到致动器的自动化单元的输出允许由于故障所导致的损坏或者未被更新。例如,列车中控制断路器模块的控制器单元能够在多个控制周期中不故障或者不传送损坏的输出结果,因为如果不这样的话,损坏可能发生。因此,在一些系统中控制单元的响应比失败模式输出至将被控制的技术系统的各个部分更加关键。这样的模式通过控制所有的输出和执行表决(voting)将额外的延迟引入到控制过程中。现有的机制引入延迟至过程本身。然而,上述解决方案被设计用于在正确的输出被转送给技术系统的各个部分之前,首先证明冗余单元的输出结果的正确性,文档W02009/030363 —般涉及冗余控制器和应用。文档W02007/140122公开了一种包括设备,其包括一电路,用于比较对应于至少两个冗余存取的数据与输入/输入设备以便确定与至少两个冗余存取中的其中一个相关的错误已经发生。Armoush, A.等人的“Recovery Block with Backup Voting:A New Patternwith Extended Representat1n for Safety Critical Embedded Systems,,,Journalof Software Engineering and Applicat1ns,Volume 2,N0.1,pp.232—237,December2008 (“带有备份表决的恢复模块:一种带有扩展解释的用于安全至上嵌入系统的新模式”,软件工程和应用杂志,第2卷,I号,页码232-237,2008年12月),也在副本(^plica)执行之后应用表决。然而在那种模式中,所有的副本继副本执行后执行验收测试。如果验收测试失败,则接下来的副本和它的验收测试一起执行。只有当所有的副本和验收测试失败,表决才被运用到所有的未通过验收测试的缓冲的结果上。在A.Avizienis 的文献“The N-vers1n Approach to Fault-TolerantSoftware,,,IEEE Transact1ns on Software Engineering, Vol.11, N0.12, pp.1491-1501,Dec.1985 ( “对容错软件的N版本方法”,软件工程的IEEE学报,第11卷,第12号,页码第1491-1501,1985年12月),公开了一种基于软件的冗余方案。所述方案基于N个副本,其被并行地执行,被不同的团队独立开发,以便确保软件的异质性。此外,表决器接着执行错误检测并决定正确的输出。然后,所述输出被发送给致动器或者接下来的控制部分。所述方案也能够容易地以硬件方式被执行,然后被称作N模冗余,最突出的例子是三模冗余(TMR)。利用N模块冗余,N个控制器能够在每次执行副本的过程中被使用。接下来的表决可以基于软件或者硬件而被执行。类似的冗余方案经常被提及,例如在Armoush, A的“Design Patterns forSafety-Critical Embedded Systems”,RWTH Achen University, 2010 ( “安全至上的嵌入式系统的设计模式”,亚琛工业大学,2010年)中。文档US 2006/080678描述了目的是获得对攻击容忍的应用的冗余和多数表决。文档US 2004/199817涉及在多个计算机上运行多个程序并且应用表决进程。目前,本专利技术的一个目的是提供一种用于控制由于冗余而具备高可用性和允许非常短的响应时间的技术系统的改善的方法和设备。这是一种说法,另外一种说法是没有额外的延迟被引入到进程的关键部分中并且保持高可用性。
技术实现思路
上述目的可以通过如权利要求1所述的控制物理单元的方法所实现,和通过根据进一步的独立权利要求所述的设备、自动化系统,计算机和计算机程序产品所实现。本专利技术进一步的实施例在从属权利要求中被揭示。根据第一个方面,提供一种控制物理单元的方法,其包括下述步骤:-循环生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;-将所述控制输出中的选择的一个控制输出施加到所述物理单元;-检验至少所选择的控制输出是否是正确的,和-将控制单元中的其输出已被检验为正确的一个控制单元选择为在后续循环中将其控制输出施加到所述物理单元的控制单元,其中将所述控制输出中的选择的一个控制输出施加到所述物理单元的步骤是在检验步骤之前或者在检验步骤期间执行的。典型地,提供高可用性的冗余方案将延迟引入至控制应用中。例如,高可用性以及错误检测能力的获得,不是通过直接施加被所述物理单元所使用的控制单元的输出。相反,控制单元的所有输出被送至表决器单元(voter unit)。然后,所述表决器单元应用一特定表决算法,例如,多数、大多数或者似然表决,并且在所有输出中选择正确的输出。因此,传送了错误输出的控制单元能够被检测出来,并且错误恢复可以从那些部分被发起。并且,所述控制应用不传送损坏的输出,甚至在控制单元失败的情况下也不传送。这种冗余方案的缺点是收集控制单元的输出并且执行表决算法将额外的延迟引入到进程控制中,即,相较于非冗余系统,输出被延迟。在所有原因当中,所述延迟的引起主要是由于冗余控制单元之间的时间同步、收集控制单元的所有输出的通信延迟以及用于执行实际表决的执行时间。前述方法的一个基本想法是提供一种控制方案,其中从多个控制单元中选择的控制单元的输出在正确性检测执行前被转送给将要被控制的物理单元。假如所述选择的控制单元生成一个无效的输出,那么所述控制单元将被另一个控制单元所取代,例如,在下一个控制循环开始前。冗余是由多个实质上相同的控制单元来实现的,以便确保整个自动化系统的高可用性。转送一个控制单元的输出到所述物理单元而不事先检验各个输出的正确性,使得控制单元的输出到物理单元之间的传输时延被最小化,以便可以建立快速响应自动化系统。所述方案可以被称作下游表决(downstream voting),并且可以在性能是一个重要的方面和冗余将不会将额外的延迟引入到通常的控制进程中时被应用。这种冗余系统的主要特点是它将最小的延迟引入到控制应用中,但是仍然提供错误检测以及高可用性给所述应用。下游表决的好处是提供一种明确定义的切换进程,S卩,甚至在主要控制单元完全失败的情形下也能保证一个可操作的控制单元接管接下来的执行周期。而且,在主要控制单元失败的情况下在当前的控制周期中没有必要执行复杂的切换。这样的方法提供一种新的冗余方案,其非常适合那些几乎不能容忍损坏的输出的应用。此外,所提出的控制方案显示了本文档来自技高网...
【技术保护点】
用于控制物理单元(2)的方法,包括以下步骤:‑循环地生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;‑将所述控制输出中的选择的一个控制输出施加至所述物理单元(2);‑检验至少所选择的控制输出是否是正确的;以及‑选择所述控制单元中的、其控制输出被检验为正确的一个控制单元,以便在后续周期中将其控制输出施加至物理单元(2),其特征在于:将所述控制输出中的选择的一个控制输出施加至所述物理单元(2)的步骤是在检验步骤之前或者期间执行的。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:T·加墨,T·德古艾杰,
申请(专利权)人:ABB技术股份公司,
类型:发明
国别省市:瑞士;CH
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。