本发明专利技术一种新型故障容限工业自动化控制系统涉及一种基于组件的自动化框架、基于软件的冗余模式和分布式的可靠运行时间管理器的组合,并且能够在运行时间时检测主机故障以及触发系统的重新配置。这种组合的解决方案通过使用备份应急预案,并且无需操作员干预或者立即硬件更换,在发生故障情况下保持系统运行,并且另外,自动恢复容错。因此提供一种故障容限的容错机制,其在故障已发生之后,自动并且立即恢复容错的原始等级,即,无需必须等待故障实体的维修或更换。简言之,本发明专利技术对于操作者或工程师通过自动适配新的环境来在降低的成本以及复杂性下实现增加可用性或正常运行时间。
【技术实现步骤摘要】
一种新型故障容限工业自动化控制系统
本专利技术涉及在一种工业自动化与控制系统IACS中配置和运行控制应用的领域。特别是,其涉及在这类系统中的改进容错。
技术介绍
在工业系统或过程中,工厂停机的成本通常是相当高的。因而,不能接受的停机成本提倡对应的工业自动化控制系统的增加可靠性和高可用性。后者通常依赖于冗余,其中对控制系统的关键部分或关键的控制应用进行复制,并且该控制系统的容错产生于冗余和错误检测机制,诸如监督、看门狗(watchdog)或心跳(heartbeat)的组合。现有的冗余模式,例如备用冗余(StandbyRedundancy)或者三重模块化冗余(TMR),能够为自动化控制系统提供容错。但是,一旦故障已发生,这些容错机制失去或降低容错。例如,TMR模式容许单个故障。如同大多数其他模式一样,直到故障实体被替换,原始容错才会恢复。在该期间,在发生第二个故障时,TMR通常启动安全关机。也能够使用更多副本(replica)来部署冗余以容许多个故障。这造成更高的成本并且增加的复杂性,并且因此极少这样做。在专利申请EP12182884.2中,用于控制工业主系统或过程的工业自动化与控制系统IACS中的控制应用或用于控制工业主系统或过程的工业自动化与控制系统IACS的控制应用,以最佳方式配置和部署。该IACS包含多个运行主机,例如单核或多核CPU的CPU核,并且该控制应用由多个组件或子应用组成。这些组件可以相互关联并且至少部分地并行运行。最后,组件可根据特定约束,例如相关组件运行定时,按照预定运行顺序个别地指派给运行主机用于运行。所得到的基于组件的软件架构提供了依靠静态调度的循环实时系统框架,其在运行时间时允许加载组件并且修改调度。
技术实现思路
本专利技术的目的是改进工业自动化控制系统IACS中的容错。这个目的通过如独立权利要求所述的方法来实现。优选的实施例从从属专利权利要求中是明显的。根据本专利技术,暂时容错降级在工业自动化与控制系统IACS中被阻止,该系统包含多个主机或控制器,连接到通信总线用于向至少一些主机以并行的方式提供输入数据。每个主机以循环方式并且按照配置来运行作为控制应用的一部分的多个组件。该配置包含数据结构,该数据结构包括静态顺序调度以及组件间通信通道映射,其中组件在运行时间时可加载并且其中调度在运行时间时可修改。对于故障的容限,例如对于影响至少一个关键组件的主机故障的容限,通过运行下列步骤来提供:在第一主机上运行关键组件的活动实例或副本,并且使在第二主机上实体化的关键组件的冗余第一备用实例的状态与该活动组件同步,利用错误检测机制,例如监督、看门狗(watchdog)或心跳(heartbeat),在先前组件运行循环中检测第一主机的故障;在下一个组件运行循环之前,激活第一备份配置,或第一应急预案,其包含运行作为在第二主机上的关键组件的当前活动实例的第一备用实例,以及包含使在第三主机上实体化或加载到第三主机的关键组件的冗余第二备用实例的状态与第一备用实例同步。换言之,本专利技术包含基于组件的自动化框架、基于软件的冗余模式和分布式的可靠运行时间管理器的组合,并且能够在运行时间时检测主机故障以及触发系统重新配置。这种解决方案通过在可用主机上创建和调度关键组件的新备用实例,并且无需操作员干预或者立即硬件更换,在发生故障的情况下保持系统运行,并且另外,针对进一步的单个控制器故障自动恢复容错。因此提供了一种故障容限的容错机制,其在故障已发生之后,自动并且立即恢复容错的原始等级,即,无需必须等待故障实体的维修或更换。简言之,本专利技术通过自动适应新环境来在降低成本以及复杂性下实现系统增加的可用性或正常运行时间。在本专利技术的优选变型中,提供第二或下一级备份配置,其包含调度,在第二主机故障的情况下,调度涉及指派给第四主机并且预计在第四主机上实体化的关键组件的冗余第三备用实例。提供或推导第二备份配置涉及计算关键组件的冗余实例的部署以及限定鉴于第二或次级故障的调度和组件间通信通道的变化。第二备份配置可以在运行时间时准备并且在第一备份配置激活之后,即,脱离实际上所激活的第一备份配置并且忽略所有其他未激活的第一备份配置。备选地,第二备份配置可以提前,即在第一故障发生之前准备或导出。由于必须考虑至少等于主机数量的第一备份配置的数量的事实,并且还结合类似数量的次级故障主机,这种解决方案在计算上更昂贵。在本专利技术的有利实施例中,每个主机在初始化期间提供有第一备份配置。所有进一步工作或者剩余的主机然后分别地检测第一主机的故障,并且对应或者预见第一主机的故障而瞬间激活第一备份配置。这种方法依赖于分散、分布式架构,其中所有主机或节点具有关于涵盖所有可想像出的第一故障的备份配置计划的必要信息。当特定主机的故障发生时,该故障被检测出,并且在下一组件运行循环之前,该故障所牵涉到的每个剩余主机采取适当的行动。本专利技术还涉及一种计算机程序产品,其包含计算机程序代码,用于控制工业自动化控制系统的一个或多个处理器,工业自动化控制系统包含连接到通信总线的多个运行主机,特别是涉及一种计算机程序产品,包含在其中含有计算机程序代码的计算机可读媒介。附图说明本专利技术的主题将在下面文本中参照附图中示出的优选示例性实施例来详细解释,其中:图1示出了热备用冗余概念;图2描绘一种工业控制应用的简化示例,以及图3示出了一种工业自动化与控制系统的四主机动行环境,以及三个对应的组件运行配置调度。具体实施方式图1呈现一种具有涉及两个实例或副本的热备用冗余的单个关键组件的常规部署,其中A1为活动副本,A1’为备用副本,其与活动副本永久同步。现有上下文中的“同步”包含两个实例的状态同步,其中活动实例A1的状态逐步地或持续地传送,或复制给备用实例A1’,如垂直箭头所示。在活动副本A1故障的情况下,因此备用副本A1’准备瞬间激活。两个运行副本的主机之间的监督通信实现这种自动切换。图2示出了一种工业控制应用的简化示例,该应用读取某一输入变量,执行计算(如级联反馈回路),并且最后将某一输出写入现场总线I/O接口。该应用以对应于大约500ms的示例性循环时间的给定的控制频率循环运行,并且由三个组件(大圆角矩形)组成,这些组件也是保有状态数据的组织单元。在示例中,输入变量的新的数值,例如波形,由传感器组件在每个循环的开始时读取或获取。实际控制算法由控制组件实现,控制组件执行一些转换输入波形的简单计算。该控制组件的计算输出馈送到致动器组件,其准备并且将输出值写入而输出到现场总线I/O接口。图3在顶部部分中示出了一种热备用系统的示例,其具有四个主机H1,H2,H3,H4,通过支持广播通信的通信总线连接。通过该总线,每个主机以规则间隔发送心跳。如果某主机的心跳缺失(例如,由于主机故障或网络故障),其他主机能够立即对该故障做出反应。在这个示例中,主机运行总共五个不同组件,其中一个组件视为关键组件,并且因此作为实例A1和A1’在主机H1和H2上冗余地运行,见下文。配置是数据结构,其含有静态顺序调度以及组件间通信通道映射。多个配置能够在每个主机上存储,但是至多一个配置是活动的,即被执行的。其他配置称为备份配置。在正常操作期间,全局活动配置由此限定哪些组件要在哪些主机上运行。主机能够在每个循环的开始时以无间断方式从活本文档来自技高网...
【技术保护点】
1. 一种新型故障容限工业自动化控制系统,其特征在于:包括:所述工业自动化 与控制系统IACS包含连接到通信总线的多个主机,其中每个主机根据配置循环 运行多个组件,所述方法包括:在第一主机(H1)上运行关键组件的活动实例(A1),并且使在第二主机 (H2)上实体化的所述关键组件的第一备用实例(A1’)与所述活动实例(A1) 同步,检测所述第一主机(H1)的故障,激活第一备份配置,包含运行作为所述第二主机(H2)上所述关键组件的 当前活动实例的所述第一备用实例(A1’),以及包含使在第三主机(H3)上实 体化的所述关键组件的第二备用实例(A1”)与所述第一备用实例(A1’)同步。
【技术特征摘要】
1.一种新型故障容限工业自动化控制系统,其特征在于:包括:所述工业自动化与控制系统IACS包含连接到通信总线的多个主机,其中每个主机根据配置循环运行多个组件,所述方法包括:在第一主机(H1)上运行关键组件的活动实例(A1),并且使在第二主机(H2)上实体化的所述关键组件的第一备用实例...
【专利技术属性】
技术研发人员:方义成,
申请(专利权)人:安徽合软信息技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。