專利名稱：用于自動化系統(tǒng)的過程冗余控制的方法
用于自動化系統(tǒng)的過程冗余控制的方法本發(fā)明涉及一種根據(jù)權(quán)利要求1的上位概念的用于自動化系統(tǒng)的過程冗余控制的方法。為了設(shè)備或者過程的可靠運行的冗余自動化系統(tǒng)是多方為人所公知的。在這種系統(tǒng)中控制器是被劃分到兩個或多個子系統(tǒng)中，這些子系統(tǒng)獨立地并且同時執(zhí)行單獨的控制或者調(diào)節(jié)任務(wù)。在此，每個子系統(tǒng)都具有一個自己的控制器，即所謂的CPU，其作為計算單元負(fù)責(zé)對之前所規(guī)劃的自動化功能的執(zhí)行。這些功能以機器指令的形式對于CPU被劃分為一系列任務(wù)區(qū)塊一所謂的任務(wù)(Tasks)，后者被所述控制器依次處理。如果出于可靠性原因特定的任務(wù)應(yīng)該冗余地被多個子系統(tǒng)或CPU來執(zhí)行，則所述任務(wù)必須被同步執(zhí)行。否則可能在所述子系統(tǒng)中讀取有分歧的(divergierende)數(shù)據(jù)并且由此在各個單獨的任務(wù)區(qū)塊完成或執(zhí)行之后得出不同的結(jié)果。所述待控制的設(shè)備或者待控制的過程的可靠的運行由此也不能被確保。因此，本發(fā)明要解決的技術(shù)問題是，提供一種用于可靠的冗余自動化系統(tǒng)的方法。該技術(shù)問題是通過帶有權(quán)利要求1的特征的方法來解決的，也就是一種用于具有至少兩個控制器的自動化系統(tǒng)的過程冗余控制的方法，其中，每個控制器依次執(zhí)行數(shù)個任務(wù)區(qū)塊，其中用于任務(wù)區(qū)塊的執(zhí)行的可傳輸?shù)妮敵鰯?shù)據(jù)儲存在比任務(wù)區(qū)塊的個數(shù)超過一個的工作區(qū)域，所述工作區(qū)域分別包含了每個任務(wù)區(qū)塊的輸出數(shù)據(jù)，而那個額外的工作區(qū)域作為系統(tǒng)工作區(qū)域容納當(dāng)前可傳輸?shù)妮敵鰯?shù)據(jù)，并且為了執(zhí)行任務(wù)區(qū)塊在每個控制器中如下使用:在待執(zhí)行的任務(wù)區(qū)塊開始時，將系統(tǒng)工作區(qū)域的當(dāng)前的內(nèi)容傳輸?shù)焦ぷ鲄^(qū)域，在被執(zhí)行的任務(wù)區(qū)塊結(jié)束時，將隨著被執(zhí)行的任務(wù)區(qū)塊的結(jié)果更新的至少兩個控制器的工作區(qū)域的輸出數(shù)據(jù)相互比較，并且將所述工作區(qū)域的被更新的內(nèi)容接受到系統(tǒng)工作區(qū)域，以及，如果工作區(qū)域的用于控制器中的任務(wù)區(qū)塊的內(nèi)容相互一致，則開始下一個任務(wù)區(qū)塊。在冗余的控制器的任務(wù)區(qū)塊開始時分別把之前同步的內(nèi)容從系統(tǒng)工作區(qū)域傳輸?shù)焦ぷ鲄^(qū)域，然后在任務(wù)區(qū)塊被執(zhí)行的時候更新上述內(nèi)容并且緊接著將此被更新的內(nèi)容(如果其與在冗余控制器中一致)在下一個任務(wù)區(qū)塊開始之前再次傳輸?shù)较到y(tǒng)工作區(qū)域，由此，得出一種非常簡單而可靠的方法，用于在自動化系統(tǒng)中同步和一致地并因此無矛盾地數(shù)據(jù)維護(hù)和冗余控制。由此排除了異常的結(jié)果的傳遞以及從而基于異常的輸出數(shù)據(jù)的控制的延續(xù)。比任務(wù)區(qū)塊的個數(shù)超過一個的工作區(qū)域的數(shù)量和因此的一個額外的用于輸出數(shù)據(jù)的傳輸和接受的系統(tǒng)工作區(qū)域的引入，實現(xiàn)了一種帶有高度可支配的冗余性的自動化系統(tǒng)，其同時也是能夠防止錯誤因而非常可靠的。根據(jù)本發(fā)明的方法最后還實現(xiàn)了，自動化功能性獨立于系統(tǒng)功能性。用于自動化功能的任務(wù)可以基于當(dāng)前的和一致的數(shù)據(jù)(該數(shù)據(jù)在系統(tǒng)中還永久可用)，在任何時間與系統(tǒng)無關(guān)地開始。用于數(shù)據(jù)的一致性檢測的額外測試程序不再被要求，而是已經(jīng)在流程中沒有時間延遲地綁定。因而它是一種非常簡單的用于冗余控制的方法，由此減少了開發(fā)成本、測試成本和維護(hù)成本。尤其具有優(yōu)勢的是，根據(jù)本發(fā)明的方法用于多核系統(tǒng)(B卩，帶有多個處理器的CPU)的應(yīng)用。通過所述方法的應(yīng)用，在一個核中的這些處理器上的并行和冗余的任務(wù)流程，實現(xiàn)了尤其高的處理速度和計算性能，因為否則常見的高的管理和協(xié)調(diào)開銷被取消了。
優(yōu)選地，工作區(qū)域的被更新的內(nèi)容會在每一個被執(zhí)行的任務(wù)的結(jié)束時的中斷封鎖(Interruptsperre)期間被接受到該系統(tǒng)工作區(qū)域。這意味著,每個任務(wù)執(zhí)行僅僅還需要一個中斷封鎖，從而流程速度可以被最大化。在冗余控制器中的一個任務(wù)的執(zhí)行之后根據(jù)各自內(nèi)容的橫和(Quersumme),有利地進(jìn)行各自工作區(qū)域的被更新的內(nèi)容的比較。在此，該橫和比較可以例如按照公知的校驗和比較的方法來實行。其可以不需要更大計算消耗地實行，從而帶來了流程速度的最大化。特別有利的是，作為工作區(qū)域的被更新的內(nèi)容僅僅將被更新的輸出數(shù)據(jù)接受到系統(tǒng)工作區(qū)域，因為在此僅僅該任務(wù)的結(jié)果被接受而工作區(qū)域的所有其它內(nèi)容保持不變。其它的根據(jù)本發(fā)明的有利的實施由從屬權(quán)利要求給出。下面，要根據(jù)附圖
示例性地解釋所述發(fā)明。圖示的是在η個任務(wù)tl，t2，tx到tn中的一個單獨的任務(wù)執(zhí)行tx的非常示意性的流程。在此每個任務(wù)代表一個帶有用于待控制的自動化功能的控制指令或機器指令的任務(wù)區(qū)塊。在所示的流程開始的時間點100，例如自動化系統(tǒng)的啟動之后或前一個任務(wù)執(zhí)行結(jié)束之后，開始任務(wù)tx，緊接著執(zhí)行并且在時間點200結(jié)束，然后必要時開始下一個任務(wù)。任務(wù)tx的執(zhí)行在此僅僅通過一個100和200之間的箭頭表示。在該任務(wù)的執(zhí)行期間，自動化系統(tǒng)的控制指令或機器指令以公知的方式被轉(zhuǎn)換和執(zhí)行，使得在此的任務(wù)區(qū)塊的執(zhí)行不必被更具體的展示和描述。對于此發(fā)明更為本質(zhì)的是，創(chuàng)立一個額外的工作區(qū)域(即，所謂的系統(tǒng)工作區(qū)域)并將此應(yīng)用于兩個時間點100和200，也就是每個任務(wù)區(qū)塊的執(zhí)行的開始和結(jié)束，以便實現(xiàn)自動化功能的一種冗余和無錯誤并且由此是可靠的控制。在目前的實施例中提供有用于冗余自動化系統(tǒng)的過程控制的兩個控制器CPUl和CPU2，其依次分別執(zhí)行之前規(guī)劃的η個任務(wù)區(qū)塊tl，t2，tx到tn。輸出數(shù)據(jù)E(tl)到E(tn)和E(tl)'到E(tn)'被指定到這η個任務(wù)區(qū)塊，所述輸出數(shù)據(jù)對于每個CPU被存儲在Al到An和Al'到An'的η個工作區(qū)域。在這η個工作區(qū)域以外，在兩個控制器CPUl和CPU2中分別設(shè)置有第(η+l)個工作區(qū)域作為所謂的系統(tǒng)工作區(qū)域Αη+1或Αη+1'，其包含有當(dāng)前的可傳輸?shù)妮敵鰯?shù)據(jù)并且被用于任務(wù)區(qū)塊的執(zhí)行，如同下面要結(jié)合任務(wù)區(qū)塊tx描述的那樣。所述任務(wù)tx在所有連接到冗余系統(tǒng)的CPU (在此為CPUl和CPU2)中同時開始。在此，在每個任務(wù)開始的時候，對于當(dāng)前的任務(wù)tx系統(tǒng)工作區(qū)域Αη+1或Αη+Γ的全部內(nèi)容會被拷貝到相應(yīng)的工作區(qū)域Ax或Ax'，如同在附圖中以附圖標(biāo)記110對于CPUl和附圖標(biāo)記110'對于CPU2所表明的那樣。在此，通過系統(tǒng)工作區(qū)域的傳輸計數(shù)器Z的比較來確?？截悤r的數(shù)據(jù)一致性。該寫入計數(shù)器比較在此在傳輸之前和/或之后進(jìn)行。如果CPUl中的系統(tǒng)工作區(qū)域Αη+1和用于任務(wù)區(qū)塊tx的工作區(qū)域Ax之間或CPU2中的系統(tǒng)工作區(qū)域Αη+1'和用于任務(wù)區(qū)塊tx的工作區(qū)域Ax'之間出現(xiàn)傳輸計數(shù)器的偏差，或者兩個CPU的工作區(qū)域之間出現(xiàn)傳輸計數(shù)器的偏差，則重復(fù)所述進(jìn)程。當(dāng)傳輸計數(shù)器相一致時，在工作區(qū)域Ax或Ax'中準(zhǔn)備好當(dāng)前的內(nèi)容之后實行實際的任務(wù)流程，而獨立于伙伴(Partner)CPU，也即是說在執(zhí)行期間不進(jìn)行CPU的同步化和不帶有喚醒報警信號閉塞地給出指令之間的(Befehlsgranularer)可中斷性。盡管有多任務(wù)功能性和指令之間的可中斷性，對于整個流程這導(dǎo)致了一個單任務(wù)系統(tǒng)(沒有任務(wù)協(xié)調(diào)和沒有同步化來用于以此為基礎(chǔ)的功能性)。在任務(wù)結(jié)束時，通過 整個任務(wù)的結(jié)果可以構(gòu)成一個橫和以及準(zhǔn)備好一個用于比較的伙伴分量，其在圖示中以附圖標(biāo)記220表示。
如果橫和關(guān)于內(nèi)容相等，那么在一個中斷封鎖之內(nèi)將任務(wù)結(jié)果E*(tx)或E*(tx)'拷貝(附圖標(biāo)記210和21(Γ )到CPUl和CPU2的各自的系統(tǒng)工作區(qū)域Αη+1或Αη+1'并且系統(tǒng)工作區(qū)域Αη+1或Αη+1'中的連續(xù)計數(shù)器Z遞增。緊接著可以開始下一個執(zhí)行區(qū)塊。由此，每個單獨的任務(wù)可以以當(dāng)前的和一致的數(shù)據(jù)在任意時間點同步開始于冗余控制器中。如果橫和不相同，那么可以考慮以下的做法:a.)暫存所確定的橫和，重新開始執(zhí)行任務(wù)tx并比較；b.)如同在防止錯誤的系統(tǒng)中常見的那樣，取消自動化過程并且使自動化系統(tǒng)處于安全狀態(tài)；c.)檢查所規(guī)劃好的任務(wù)，將期待相等的橫和與得出的不同的橫和相比較。本發(fā)明并不限于之前所描述的實施方式。而是也可以考慮對單個特征的組合、修改或補充，其可以帶來其它有創(chuàng)造力的想法的可能的實施方式。例如，控制器CPUl和CPU2的系統(tǒng)工作區(qū)域Αη+1和Αη+Γ可以表示一個中央存儲的系統(tǒng)工作區(qū)域的拷貝，其中該中央存儲的系統(tǒng)工作區(qū)域在下一個待執(zhí)行的任務(wù)區(qū)塊開始前被兩個控制器的系統(tǒng)工作區(qū)域的當(dāng)前內(nèi)容所替代。對于根據(jù)本發(fā)明的方法的所有執(zhí)行方式都重要的僅僅是，冗余控制器(假如如前描述的是兩個或者更多)之間的誤差在每個執(zhí)行區(qū)塊的結(jié)束的時候的定位，以及，這樣的錯誤立刻被識別從而不會帶來錯誤結(jié)果在過程中的傳遞和對錯誤值的繼續(xù)處理。由此，也可以識別RAM錯誤，其在傳統(tǒng)的自動化系統(tǒng)的很長時間的連續(xù)運行中會個別地出現(xiàn)。此外，根據(jù)本發(fā)明的方法可以非常簡單地實現(xiàn)對于冗余控制器的無沖擊地接通，因為額外的控制器可以特別地按照任務(wù)被接 通。
權(quán)利要求
1.一種用于具有至少兩個控制器(CPU1，CPU2)的自動化系統(tǒng)的過程冗余控制的方法，其中，每個控制器(CPU1，CPU2)依次執(zhí)行數(shù)個(η)任務(wù)區(qū)塊(tl，t2，tx，《"，tn)，其中，用于任務(wù)區(qū)塊的執(zhí)行的可傳輸?shù)妮敵鰯?shù)據(jù)(E(tl)，E(t2)，E(tx)，一，E(tn))儲存在比任務(wù)區(qū)塊的個數(shù)超過一個的工作區(qū)域(Al，A2，Ax，...，An+l，Al'，A2 ' ,Ax1，…，Αη+Γ )，所述工作區(qū)域分別容納了每個任務(wù)區(qū)塊的輸出數(shù)據(jù)，并且其中，額外多出的一個工作區(qū)域(Αη+Ι,Αη+Γ )作為系統(tǒng)工作區(qū)域容納當(dāng)前可傳輸?shù)妮敵鰯?shù)據(jù)，并且為了執(zhí)行任務(wù)區(qū)塊(tx)在每個控制器(CPUl，CPU2)中如下使用: -在待執(zhí)行的任務(wù)區(qū)塊(tx)開始時(100)，將系統(tǒng)工作區(qū)域(An+l，An+l')的當(dāng)前的內(nèi)容傳輸(I 10，110')到工作區(qū)域(Ax，Ax')， -在被執(zhí)行的任務(wù)區(qū)塊(tx)結(jié)束時(200)，將至少兩個控制器(CPU1，CPU2)的工作區(qū)域(Ax, Ax')的隨著被執(zhí)行的任務(wù)區(qū)塊(tx)的結(jié)果更新的輸出數(shù)據(jù)(E*(tX)，E*(tX)')相互比較(220)，并且 -將所述工作區(qū)域(Ax，Ax')的被更新的內(nèi)容接受(210,210')到系統(tǒng)工作區(qū)域(Αη+Ι,Αη+廣)，以及，如果工作區(qū)域(Ax，Ax')的用于控制器(CPU1，CPU2)中的任務(wù)區(qū)塊(tx)的內(nèi)容相互一致，則開始下一個任務(wù)區(qū)塊。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在傳輸(110，110')之前和/或之后，對所述控制器(CPU1，CPU2)的當(dāng)前的系統(tǒng)工作區(qū)域(An+l，An+l')的一個連續(xù)的傳輸計數(shù)器(Z，Z,)進(jìn)行比較。
3.根據(jù)權(quán)利要求1或2所述的方法，其特征在于，在被執(zhí)行的任務(wù)區(qū)塊(tx)結(jié)束(200)時，比較系統(tǒng)工作區(qū)域(An+l，An+l')的一個連續(xù)的傳輸計數(shù)器(Z，Z')并且將其遞增。
4.根據(jù)上述權(quán)利要求1至3中任一項所述的方法，其特征在于，在一個中斷封鎖期間將被更新的工作區(qū)域(Ax，Ax')的內(nèi)容接受到系統(tǒng)工作區(qū)域(Αη+1，Αη+1,)。
5.根據(jù)上述權(quán)利要求1至4中任一項所述的方法，其特征在于，如果至少兩個控制器(CPU1，CPU2)的隨著被執(zhí)行的任務(wù)區(qū)塊(tx)的結(jié)果更新的輸出數(shù)據(jù)(E* (tx)，E* (tx) / )相同，則所述內(nèi)容被判斷為一致。
6.根據(jù)上述權(quán)利要求5所述的方法，其特征在于，如果所述輸出數(shù)據(jù)(E*(tx)，E*(tx)，)的橫和相互一致，則所述輸出數(shù)據(jù)相等。
7.根據(jù)上述權(quán)利要求中任一項所述的方法，其特征在于，作為被更新的工作區(qū)域(Ax, Ax')的內(nèi)容僅僅將所述被更新的輸出數(shù)據(jù)(E*(tX)，E*(tX)')接受到系統(tǒng)工作區(qū)域(An+1, An+11 )。
8.根據(jù)上述權(quán)利要求中任一項所述的方法，其特征在于，控制器(CPU1，CPU2)的所述系統(tǒng)工作區(qū)域(Αη+1，Αη+Γ )是中央存儲的系統(tǒng)工作區(qū)域的拷貝，并且該中央存儲的系統(tǒng)工作區(qū)域在下一個待執(zhí)行的任務(wù)區(qū)塊開始之前被控制器的系統(tǒng)工作區(qū)域的當(dāng)前內(nèi)容所替代。
全文摘要
本發(fā)明涉及一種用于具有至少兩個控制器(CPU1，CPU2)的自動化系統(tǒng)的過程冗余控制的方法，其中，每個控制器(CPU1，CPU2)依次執(zhí)行n個任務(wù)區(qū)塊(t1，t2，tx，…,tn)，其中用于任務(wù)區(qū)塊的執(zhí)行的可傳輸?shù)妮敵鰯?shù)據(jù)(E(t1),E(t2),E(tx),…,E(tn))儲存在比任務(wù)區(qū)塊的個數(shù)超過一個的工作區(qū)域(A1,A2,Ax,…,An+1,A1′,A2′,Ax′,…,An+1′)中，所述工作區(qū)域分別容納了每個任務(wù)區(qū)塊的輸出數(shù)據(jù)，其中，額外多出的一個工作區(qū)域(An+1,An+1′)作為系統(tǒng)工作區(qū)域容納當(dāng)前可傳輸?shù)妮敵鰯?shù)據(jù)。一個非常簡單而且可靠的用于同步數(shù)據(jù)管理和冗余控制器控制的方法可以如下實現(xiàn)，在一個冗余控制器內(nèi)的任務(wù)區(qū)塊開始的時候，分別把之前同步的內(nèi)容從系統(tǒng)工作區(qū)域傳輸?shù)焦ぷ鲄^(qū)域，然后在任務(wù)區(qū)塊被執(zhí)行的時候更新所述內(nèi)容，如果被更新的內(nèi)容在冗余控制器內(nèi)一致，則在下一個任務(wù)區(qū)塊開始之前再次接受所述被更新內(nèi)容到系統(tǒng)工作區(qū)域。
文檔編號G05B9/03GK103154837SQ201180048858
公開日2013年6月12日 申請日期2011年8月10日 優(yōu)先權(quán)日2010年8月20日
發(fā)明者E.埃哈特, W.格里斯鮑姆 申請人:西門子公司