用于运行冗余的自动化系统的方法技术方案

本发明专利技术涉及一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法，这两个子系统在控制技术过程期间分别处理控制程序（P1，P2），其中，这些子系统中的一个子系统作为主机（M）并且另一个子系统作为从机（S）工作，并且其中，对于主机（M）发生故障的这种情况而言，由从机（S）承担主机（M）的功能。本发明专利技术还提出了一些措施，通过这些措施能够在这两个子系统上的程序处理的同步化方面放弃使用参与者之间的在时间上同步的通信，由此减轻了通信负荷。

【技术实现步骤摘要】
用于运行冗余的自动化系统的方法
本专利技术涉及一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法，第一和第二子系统在控制技术过程期间分别冗余地处理控制程序，其中，两个子系统中的其中一个子系统作为主机并且另一个子系统作为从机工作，并且其中，对于主机发生故障的这种情况而言，由从机承担主机的功能。此外，本专利技术还涉及一种适合用于实施该方法的冗余的自动化系统。
技术介绍
在自动化领域内对可高度使用的解决方案(H-系统)的要求不断增长，这些解决方案适合于将设备可能出现的停滞时长降低至最小值。该类可高度使用的解决方案的开发成本非常高昂，其中，通常应用在自动化系统中的H-系统的特点在于，自动化设备或计算机系统形式的两个或多个子系统通过同步连接装置彼此连接。这两个子系统原则上能够读和/或写地访问连接在该H-系统上的外围单元。两个子系统中的其中一个子系统在关于连接在系统上的外围设备的方面是主导性的。这意味着，向外围单元的输出或用于这些外围单元的输出信息仅由这两个子系统中的其中一个子系统实施，该子系统作为主机工作并且承担主导功能。为了使两个子系统能够同步地运行，通过同步连接以均匀的间隔使它们同步。在同步的频繁程度以及其范围的方面，不同的设计方案可以各不相同(温备用(warm-Standby)，热备用(HotStandby))。如果子系统中的一个子系统发生故障并且必须切换至另一个子系统，则通常要求H-系统进行无障碍的“故障转移(Failover)”。这意味着，虽然进行了这种从一个子系统到另一个子系统的计划外的切换、或者说是计划外的转变，但这种切换、或者说这种转变不对待控制的技术过程起到干扰的作用。其中允许的是，在所连接的外围设备的输出端上允许出现(短暂的)停机时间，输出端在该停机时间期间保持它们的最后有效的过程输出值。然而，在这些输出端上的值基于切换而发生的跳跃(碰撞(Stoβ))是不符合预期的并且因此应当避免。因此，也能够将无障碍(stoβfrei)理解为过程输出值的曲线走向的稳定性。为实现这一点，这两个子系统必须在发生故障的时间点具有相同的系统状态。这通过合适的同步方法得到保证。如果两个子系统都处理过程的输入信息(输入(Eingaben))，那么当两个系统-在过程输入数据或过程输入信息均相同时-以相同的方式改变它们相应的“线程全局(thread-global)”数据(程序的、特别是不同优先级的程序的公共数据)时，它们便处于相同的系统状态中。为实现这一点，同步方法保证了这两个子系统的单个的线程(Thread)以相同的方式和方法中断或终止。由此形成相同的“线程堆(Threadgebirge)”。由2011年版西门子-产品目录第6章70节中已知了一种冗余的、由两个子系统构成的自动化系统，该自动化系统设计用于提高待控制的设备的可使用性。自动化系统为此配备有一些工具，这些工具基于事件首先决定必须启动哪一程序，以便恰当地对该事件作出反应。对于这种情况而言，即例如在实施程序的期间，事件以待控制的技术过程的有待处理的警报形式施加在自动化系统的通信入口上，则通常使运行中的程序停在等待点上，并且启动设置用于分析警报并实施排除造成警报原因的措施的程序。该自动化系统定期地进行同步并且保证了这些子系统中的其中一个子系统的故障不对待控制的过程起到干扰的作用，这是因为另一个子系统能够继续实施或处理其相应的控制程序的相应部分，或实施或者处理该控制程序的相应部分。对于这种情况而言，即例如在第一子系统上出现的事件与包括两个子系统的自动化系统的第二子系统不同步，并且在通过该第一子系统处理该事件后，该子系统发生故障，则待控制的技术过程的流程可能受到干扰；这是因为第二子系统-对事件没有认识地-运行的是另外的程序路径，其代表着程序的实施-顺序并且不同于第二子系统在对事件有认识的情况下所运行的程序路径，并且为了不干扰待控制的技术过程的所述流程，该另外的程序路径也将是必要的。在此指出，程序既被理解为该种程序，也被理解为子程序、程序的一部分、任务(Task)、线程(Thread)、组织模块、功能模块或者其它合适用于实现自动化功能的程序编码，其中，自动化系统的程序通常被划分成不同的优先等级，并且根据它们所分配的优先级来处理或实施。由专利文献EP0907912B1中已知了一种用于由两个子系统构成的自动化系统的同步方法。该同步方法以这两个子系统在时间上同步的连接为基础，其中，两个子系统在合适的程序位置上、即在其设置进行补偿的程序位置上等待相应的另一参与者的回复，并且随后才分别时间同步地继续进行它们的程序处理。对于时间同步而言所必需的、直至获得回复的漫长的等待时间是不利的。US2002/0095221A1说明了一种设有第一和第二控制装置的冗余的自动化系统。它提出了能够实现准时实施周期性任务的适当措施。
技术实现思路
本专利技术的目的因此在于，说明一种开头所述类型的方法，借助于该方法能够在两个子系统上的程序处理同步方面放弃使用在两个参与者之间的时间同步的通信装置。此外还能够提出一种适合于实施该方法的冗余的自动化系统。该目的在方法方面通过以下的方法来实现，即一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法，子系统在控制技术过程期间分别处理控制程序，其中，两个子系统中的一个子系统作为主机并且另一个子系统作为从机工作，并且其中，对于主机发生故障的这种情况而言，由从机承担主机的功能，其中，-处理有待借助于主机处理的控制程序的处理段，-分别在预设的时间间隔结束后或者在事件出现后通过主机向从机传输开通信息，和-基于开通信息处理有待借助于从机处理的控制程序的处理段，处理段与有待借助于主机处理的控制程序的、直至开通信息已经处理过的处理段相符。在关于自动化系统方面通过以下的措施来实现，即一种冗余的、设有第一和第二子系统的自动化系统，子系统在控制技术过程期间分别处理控制程序，其中，两个子系统中的一个子系统作为主机并且另一个子系统作为从机工作，并且其中，对于主机发生故障的这种情况而言，由从机承担主机的功能，其特征在于，-主机设计用于，处理有待借助于主机处理的控制程序的处理段，并且分别在预设的时间间隔结束后或事件出现后向从机传输开通信息，和-从机设计用于，基于开通信息处理有待借助于从机处理的控制程序的处理段，处理段与有待通过主机处理的控制程序的、直至开通信息已经处理过的处理段相符。有利的是，主机不必(主动地)等待从机的回复，以便能够继续进行它的程序处理；在时间上不同步地实现将所有具有重要意义的信息的从主机传输给从机。由此使主机的处理效率与提供用于事件同步的通信带宽分离，这特别是在一方面提升处理器的处理效率和另一方面提升通信效率之间不断增加的不平衡性的方面具有重要意义；这是因为通信效率通常不能够与不断上升的处理效率保持同步。两个子系统在事件出现后的同步这样同步地进行，即不仅主机、而且从机基于该事件通过相同的程序路径，其中，该进程在时间上不同步地进行。这意味着，在程序的处理或加工方面，主机在时间上领先于从机，或者说从机在时间上落后于主机。在此将“落后(Nachlauf)”以及“领先(Vorauslauf)”理解为开始通过主机处理处理段的时间和开始通过从机处理处理段的时间(这相应于出现开通本文档来自技高网...

【技术保护点】
一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法，所述子系统在控制技术过程期间分别处理控制程序（P1，P2），其中，所述两个子系统中的一个子系统作为主机（M）并且另一个子系统作为从机（S）工作，并且其中，对于所述主机（M）发生故障的这种情况而言，由所述从机（S）承担所述主机（M）的功能，其特征在于，?处理有待借助于所述主机（M）处理的所述控制程序（P1）的处理段（Va），?分别在预设的时间间隔（Zi，i=1，2，……）结束后或者在事件（E）出现后通过所述主机（M）向所述从机（S）传输开通信息（F1，F2，……），和?基于所述开通信息（F1，F2，F3，F4）处理有待借助于所述从机（S）处理的所述控制程序（P2）的所述处理段（Va），所述处理段与有待借助于所述主机（M）处理的所述控制程序（P1）的、直至所述开通信息（F1，F2，F3，F4）已经处理过的处理段（Va）相符。

【技术特征摘要】
2012.04.27 EP 1216600621.一种用于运行冗余的、设有第一和第二子系统的自动化系统的方法，所述子系统在控制技术过程期间分别处理控制程序(P1，P2)，其中，所述两个子系统中的一个子系统作为主机(M)并且另一个子系统作为从机(S)工作，并且其中，对于所述主机(M)发生故障的这种情况而言，由所述从机(S)承担所述主机(M)的功能，其特征在于，-处理有待借助于所述主机(M)处理的所述控制程序(P1)的处理段(Va)，-分别在预设的时间间隔(Zi，i＝1，2，……)结束后或者在事件(E)出现后通过所述主机(M)向所述从机(S)传输开通信息(F1，F2，……)，和-基于所述开通信息(F1，F2，F3，F4)处理有待借助于所述从机(S)在时间上不同步地处理的所述控制程序(P2)的所述处理段(Va)，所述处理段与有待借助于所述主机(M)处理的所述控制程序(P1)的、直至所述开通信息(F1，F2，F3，F4)已经处理过的处理段(Va)相符。2.根据权利要求1所述的方法，其特征在于，在处理了相应的所述处理段(Va)后，通过所述从机(S)向所述主机(M)确认相应的所述开通信息(F1，F2，F3，F4)。3.根据权利要求1或2所述的方法，其特征在于，-在相应的所述处理段(Va)开始和结束时设有中断位置(P1_6，P1_A，P1_C，P1_12)，-作为紧随相应的所述时间间隔(Zi，i＝1，2，…)的时间间隔(Zi，i＝1，2，…)的开始而设有a)紧随相应的所述时间间隔(Zi，i＝1，2，…)的所述中断位置(P1_6，P1_A，P1_12)出现的时间点(t2，t3，t6)或b)紧随所述事件(E)的所述中断位置(P1_C)出现的时间点(t5)，和-在a)或b)中提到的时间点(t2，t3，t6；t5)向所述从机(S)传输所述开通信息(F1，F2，F4；F3)。4.根据权利要求1或2所述的方法，其特征在于，在传输所述开通信息(F1，F2，F4；F3)的时间点(t2，t3，t6；t5)，借助于所述主机(M)也向所述从机(S)传输过程输入值(Ew1，Ew2)。5.根据权利要求3所述的方法，其特征在于，在传输所述开通信息(F1，F2，F4；F3)的时间点(t2，t3，t6；t5)，借助于所述主机(M)也向所述从机(S)传输过程输入值(Ew1，Ew2)。6.一种冗余的、设有第一和第二子系统的自动化系统，所述子系统在控制技术过程期间分别处理控制程序(P1，P2)，其中，所述两个子系统中的一个子系统作为主机(M)并且另一个子系统作为从机(S)工作，并且其中，对于所述主机(M)发生故障的这种情况而言，由所述从机(S)承担所述主机(M)的功能，其特征在于，-所述主机(M)设计用于，处理有待借助于所述主机(M)处理的所述控制程序(P1)的处理段(Va)，并且分别在预设的时间间隔(Zi，i＝1，2，…)结束后或事件(E)出现后向所述从机(S)传输开通信息(F1，F2，F3，F4)，和-所述从机(S)设计用于，基于所述开通信息(F1，F2，F3，F4)处理有待借助于所述从机(S)在时间上不同步地处理的所述控制程序(P2)的所述处理段(Va)，所述处理段与有待通过所述主机(M)处理的控制程序(P1)的、直至所述开通信息(F1，F2，F3，F4)已经处理过的所述处理段(Va)相符。7.根据权利要求6所述的冗余的自动化...

【专利技术属性】
技术研发人员：托马斯·格罗施，于尔根·拉福斯，阿尔伯特·伦施勒，
申请(专利权)人：西门子公司，
类型：发明
国别省市：