专利名称:冗余控制装置之间的备用同步连接的制作方法
技术领域:
本发明涉及包括自动化网络的冗余控制系统,该自动化网络具有第一控制装置和第二控制装置。本发明还涉及用于操作冗余控制系统的方法。
背景技术:
对于例如由于安全原因而要求高可用性的自动化技术中的应用而言,使用了冗余地构成的控制系统,该控制系统包括第一控制装置和至少一个第二控制装置。在此,第一控制装置控制过程,而第二控制装置以待机操作来运行,以便能够例如在第一控制装置发生故障的情况下控制相应的过程。为此目的,经由同步连接在两个冗余控制装置之间对程序序列进行同步,使得在第二控制装置接管过程之后过程能够连续地继续进行。为了保证冗余控制系统中的协调的操作,除了过程图像的数据之外,还交换其它信息,使得每个控制装置知道另一个控制装置的功能性。就此同步而言,通常,经由两个冗余控制器之间的适当接口来建立点对点连接,这些适当接口通过其自身的数据线(例如,以光纤的形式)来进行连接。这样的高可用性冗余控制系统的问题在于,各控制装置不能将同步连接的故障与相应的另一个控制装置的故障区分开,这是因为这些故障可能性都导致相同的结果:不能再交换与功能有关的信息。在同步连接发生故障的情况下,即使第一控制装置还照样仍然有效,然而设置为备份操作的第二控制装置也会以为第一控制装置发生了故障,并且会自动地主动接管待控制的过程。这两个控制装置都会同时试图控制该过程,从而不再同步的过程图像迅速导致相互冲突的状况。为了保证冗余控制系统中的协调操作,还要求避免例如通过两个控制装置来同时控制(这种控制被称为双重控制权(double mastership))。`
发明内容
本发明的一个目的是提供避免前述双重控制权问题的解决方案。该目的通过一种冗余控制系统来实现。在从属权利要求中限定了所述冗余控制系统的有益改进。因此,所述冗余控制系统包括自动化网络,该自动化网络具有第一控制装置和第二控制装置。应将自动化网络理解为例如PR0FINET网络,多个分散式输入输出装置可以连接至PR0FINET网络,通过所述多个分散式输入输出装置可以监测和控制工厂或过程。为了进行数据交换,第一控制装置和第二控制装置总是经由网络接口连接至自动化网络。而且,为了进行它们自己之间的直接通信,第一控制装置和第二控制装置经由点对点连接装置互相连接。可以将连接装置理解为线路链路,该线路链路可以被实现为例如光纤。可以将线路链路形成为全双工连接。根据本发明,将第一控制装置和第二控制装置设计为如果经由点对点连接装置的直接通信不可用,则经由自动化网络建立彼此之间的备用通信。因此,本发明在不需要两个冗余控制装置之间的附加连接装置的情况下,就能够实现冗余的点对点通信。在本发明的一个特别有益的实施例中,备用通信可以包括第一控制装置和第二控制装置之间的至少部分同步。至少能够以经由自动化网络的有限传输带宽来保持两个冗余控制器中的过程图像的同步。可以将第一控制装置或第二控制装置选择为主控制器,将其中另一个控制装置选择为备份控制器。最好将第一控制装置和第二控制装置设计为在彼此之间自动协商作为主控制器和作为备份控制器的选择。优选地,将备份控制器设计为循环地检查与主控制器的直接连接。可以针对通过点对点连接装置建立的通信以及针对备用通信路径经由自动化网络来执行该循环检查。同样,可以以 特别优选的方式将备份控制器设计为,在经由自动化网络的备用通信发生故障之后,承担主控制器的任务。本发明的目的还根据一种用于操作根据本发明的控制系统的方法来实现。在从属权利要求中限定了该方法的有益改进。根据该方法,控制系统包括在自动化网络内的第一控制装置和第二控制装置,其中为了实现该方法,这两个控制装置中的一个已经被选择为主控制器,并且另一个已经被选择为备份控制器。用于操作上述冗余控制系统的方法的特征在于包括以下步骤:a)备份控制器循环地检查是否存在经由点对点连接装置到主控制器的直接通f目;b)如果不存在经由点对点连接装置的直接通信,则备份控制器启动经由自动化网络到主控制器的备用通信;c)主控制器检查是否已经成功建立备用通信;d)如果还没有成功建立备用通信,则备份控制器承担主控制器的任务。利用直接通信,可以实现主控制器和备份控制器之间的同步。如果存在备用通信,则至少能够部分经由自动化网络来将主控制器和备份控制器之间的同步实现为备用通信的一部分。在该至少部分同步期间,能够检查经由自动化网络的备用通信是否依然建立。如果备用通信已经中断,则备份控制器能够承担主控制器的任务。有益的是,如果不存在经由点对点连接装置的直接通信,则备份控制器能够生成第一错误消息。而且,如果不存在经由自动化网络的备用通信,则备份控制器能够生成第二错误消息。
在下文中,参考两个附图并通过示例实施例来详细描述本发明。在附图中:
图1示出了根据本发明的冗余控制系统;图2示出了用于操作冗余控制系统的方法的流程图。
具体实施例方式图1示出了根据本发明的冗余控制系统。将自动化网络实现为例如PR0FINET网络I。在各种情况下,第一控制装置10和第二控制装置20总是分别经由PROFINET IO控制器接口 11和21连接至PROFINET网络。此外,被连接至网络的还有多个输入输出装置(I/O装置),其中示出I/O装置30作为示例。提供控制装置10和20以用于对工厂或过程进行冗余控制。为了使得两个控制装置10和20同步,使用基于以太网的通信,例如可以通过使用光纤技术来将该通信通常实现为两个同步接口 12和22之间的点对点连接装置2。可替换地,还可以将该连接装置实现为电连接。可以将两个冗余控制装置10和20配置为主控制器PRIMARY和备份控制器BACKUP。在运行时间中,PRIMARY和BACKUP的指派可以改变,而作为第一控制装置10和第二控制装置20的指派分别保持不变。在存在同步连接的情况下,可以在两个控制装置之间直接协商作为主控制器和作为备份控制器的角色。经由基于以太网的PROFINET协议来进行到PROFINET网络I中的I/O装置30或到其它未示出的客户(subscriber)的通信。在此,在正常操作中,两个控制装置10和20中的每一个已经建立了到该I/O装置或每个其它客户的通信连接。经由连接装置2来实现实际用户程序的同步,S卩,实现两个控制装置的过程图像和/或全部控制系统状态的调节。而且,将所谓的链路监测协议用于交换与两个控制装置10和20之间的功能性相关的信息。在此基础上,保证了各控制器相对于彼此操作在定义的状态下,并且能够为此目的进行自动调节。通过PROFINET IO控制器接口 11和21的适当配置,可以保证控制装置10和20都在PROFINET网络的相同子网中。因此,两个PROFINET 10控制器接口之间的直接以太网通信是可以实现的。由于用于同步以及还用于与1/0装置30的数据交换的通信是经由基于以太网的连接来进行的,因此 可以在不需要附加硬件的情况下,通过图1示出的冗余控制系统来提供用于同步的冗余连接。在根据图2的流程图中,作为示例示出了用于操作根据本发明的控制系统的方法。如图2中的步骤SI所示,被选择为主控制器PRIMARY的控制装置在正常操作中激活PROFINET网络中的1/0装置或其它客户。主控制器PRIMARY控制工厂或过程,而备份控制器BACKUP只是被动地处理各客户的过程数据。两个控制装置的系统状态或过程图像被持续地同步。根据步骤S2,备份控制器BACKUP循环地检查是否存在到主控制器PRIMARY的同步连接。如果通过链路监测协议检测到不再经由同步接口 12或22或经由连接装置2交换数据,则根据步骤S3,备份控制器BACKUP试图建立经由PROFINET网络I到被选择为主控制器PRIMARY的控制装置的连接。根据步骤S4,备份控制器BACKUP对到主控制器PRIMARY的备用连接的建立进行监测,例如,备用控制器在限定的时间窗口内等待响应。如果不能建立备用链接,则已经出现了主控制器PRIMARY的实际故障,根据步骤S5,被选择为备份控制器BACKUP的控制装置接管过程或工厂的控制。然而,如果能够建立到被选择为主控制器PRIMARY的控制装置的通信连接,则只出现了同步连接的故障。在此情况下,根据步骤S6,不进行从主控制器到备份控制器的控制角色的切换;从而有效地防止了不希望的双重控制权。备份控制器能够在主控制器PRIMARY的故障和同步连接的故障之间进行有效地区分,使得可以用信号来通知相应的故障。对应的错误消息使处于该情况下的用户不需要中断正在运行的过 程就能够解决问题。此外,还能够经由PR0FINET网络继续用户程序或过程图像的同步。从而,不但保证过程或工厂的控制的继续,而且能够保持冗余操作。然而,通常只能够在有限的程度上进行同步,这是因为除了同步以外,与I/O装置30和其它客户的通信也经由PR0FINET网络来进行。因此,可用于同步的带宽小于正常操作(其中第一控制装置10和第二控制装置20经由点对点连接装置2来进行同步)中的带宽。
权利要求
1.一种冗余控制系统,包括:具有第一控制装置(10)和第二控制装置(20)的自动化网络(1),其中所述第一控制装置(10)和所述第二控制装置(20)始终经由网络接口(11,21)连接至所述自动化网络(I)以进行数据交换,并且其中所述第一控制装置(10)和所述第二控制装置(20)经由点对点连接装置(2)相互连接以在彼此之间进行直接通信, 所述冗余控制系统的特征在于,所述第一控制装置(10)和所述第二控制装置(20)设计为:如果经由所述点对点连接装置(2)的直接通信不可用,则经由所述自动化网络(I)在彼此之间建立备用通信。
2.根据权利要求1所述的冗余控制系统,其特征在于,所述直接通信包括所述第一控制装置和所述第二控制装置之间的同步。
3.根据权利要求1或2所述的冗余控制系统,其特征在于,所述备用通信包括所述第一控制装置和所述第二控制装置之间的至少部分同步。
4.根据 权利要求1至3中任一项所述的冗余控制系统,其特征在于,所述第一控制装置或所述第二控制装置中的一个选择为主控制器,而将其中的另一个选择为备份控制器。
5.根据权利要求1至4中任一项所述的冗余控制系统,其特征在于,所述第一控制装置和所述第二控制装置设计为在彼此之间自动协商作为所述主控制器和作为所述备份控制器的选择。
6.根据权利要求4或5所述的冗余控制系统,其特征在于,所述备份控制器设计为循环地检查与所述主控制器的直接通信。
7.根据权利要求6所述的冗余控制系统,其特征在于,所述备份控制器设计为,如果经由所述自动化网络的备用通信不可用,则承担所述主控制器的任务。
8.一种用于操作根据权利要求1至7中任一项的冗余控制系统的方法,所述冗余控制系统具有在自动化网络(I)中的第一控制装置(10)和第二控制装置(20),其中所述第一控制装置(10)和第二控制装置(20)中的一个已经被选择为主控制器,并且另一个被选择为备份控制器,所述方法特征在于包括以下步骤: a)所述备份控制器循环地检查是否存在经由点对点连接装置(2)到所述主控制器的直接通信; b)如果不存在经由点对点连接装置(2)的直接通信,则所述备份控制器启动经由自动化网络(I)到所述主控制器的备用通信; c)所述主控制器检查是否已经成功建立备用通信; d)如果还没有成功建立备用通信,则所述备份控制器承担所述主控制器的任务。
9.根据权利要求8所述的方法,其特征在于,经由所述直接通信来实现所述主控制器和所述备份控制器之间的同步。
10.根据权利要求8或9所述的方法,其特征在于,如果存在备用通信,则经由所述自动化网络来实现作为所述备用通信的一部分的在所述主控制器和所述备份控制器之间的同止/J/ O
11.根据权利要求10所述的方法,其特征在于,在至少部分同步期间,检查经由所述自动化网络的所述备用通信是否依然建立。
12.根据权利要求11所述的方法,其特征在于,如果所述备用通信已经中断,则所述备用控制器接管所述主控制器的任务。
13.根据权利要求8至12中任一项所述的方法,其特征在于,如果不存在经由点对点连接装置(2 )的直接通信,则所述备份控制器生成第一错误消息。
14.根据权利要求8至13中任一项所述的方法,其特征在于,如果不存在经由自动化网络(I)的备用通信,则所述备 份控制器生成第二错误消息。
全文摘要
本发明提供了冗余控制装置之间的备用同步连接。本发明涉及一种冗余控制系统,包括具有第一控制装置(10)和第二控制装置(20)的自动化网络(1)。为了数据交换,第一控制装置(10)和第二控制装置(20)总是经由网络接口(11,21)连接至自动化网络。为了在彼此之间进行直接通信,第一控制装置(10)和第二控制装置(20)经由点对点连接装置(2)相互连接。而且,将第一控制装置(10)和第二控制装置(20)设计为如果经由点对点连接装置(2)的直接通信不可用,则经由自动化网络(1)在彼此之间建立备用通信。本发明还涉及用于操作这样一种冗余控制系统的方法。
文档编号G05B19/04GK103246213SQ201310052998
公开日2013年8月14日 申请日期2013年2月18日 优先权日2012年2月10日
发明者托尔斯滕·乌德, 萨沙·霍尔曼, 安德烈·布兰德, 亨宁·霍伊特格尔 申请人:菲尼克斯电气公司