用于构建冗余通信连接的方法和故障安全的控制单元与流程

本发明涉及一种用于在通信设备与故障安全的控制单元之间构建冗余的通信连接的方法。本发明还涉及一种故障安全的控制单元。

背景技术：

工业自动化系统用于技术过程的监控、开环控制和闭环控制，尤其应用于制造、过程和楼宇自动化领域，并且能够使得控制装置、传感器、机器和技术设施基本上独立地运行。借助过程自动化系统来可靠地提供监控、开环控制和闭环控制功能的重要基础在于，在工程设计或规划系统中完整并准确地检测和映射工业过程自动化系统的组件。

工业自动化系统或自动化设备的计算机单元之间的通信连接的中断可能导致服务请求的传递发生不希望或者不必要的重复。此外，未传递的或未完整传递的报文例如可能妨碍工业自动化系统转为安全的运行状态或者妨碍其保留在安全的运行状态。这最终可能导致整个生产设施的停机和成本巨大的停产。在工业自动化系统中的特殊问题是，经常以比较大量的但又较短的报文进行消息交换，由此让上述问题更加严重。

de102013211406a1披露了，为了实现自动化设备与完全独立的以太网端口的高可用性连接，在一个冗余的通信网络内部在单连接的自动化设备上为相应的单连接的自动化设备使用y交换机。在这里，y交换机经由第一或第二端口与冗余通信网络的第一网络或者子网络连接，而其经由第三端口间接地或者直接地与单连接的自动化设备连接。此外，在第一、第二或第三端口处收到的数据帧配属于第一、第二或第三vlan。另外，第一或第二端口设置成用于第一和第三vlan的未标记成员或用于第二和第三vlan的未标记成员。第三端口对于所有三个vlan都设置成未标记成员。在头两个端口处习得的unicast-mac地址被自动地接收为第三vlan的静态输入。在删除在头两个端口处习得的unicast-mac地址时，也删除用于第三vlan的相对应的静态输入。

按照申请ep3001647b1，在经由无保障的子网络建立的与和工业自动化系统相连的通信设备的安全通信连接中，监控单元检查，配属给用于与无保障的子网络连接的通信设备的一个新通信网络地址是否变为有效。在更换通信网络地址并且仍然存在安全通信连接时，监控单元经由现有的安全通信连接传递地址更换通知。在接收到地址更换通知时，开始构建额外的安全通信连接并且从现有的安全通信连接切换到额外的安全通信连接。

在ep3051371b1中描述了一种用于构建与配属于工业自动化系统的通信设备的无中断通信连接的方法。在这里，配属于通信设备的监控单元检查，配属于第一通信设备的第二通信网络地址是否变为有效。在将新的有效通信网络地址分配给现有的通信连接时，监控单元开始按照多路tcp(传输控制协议)构建额外的通信连接。

ep2881812b1涉及一种用于运行自动化装置的方法，该自动化装置的cpu模块设计用于以读取或写入的方式访问分布式外围模块。这些分布式外围模块分别包括两个接口模块，它们分别在环形拓扑内与输入和输出控制系统连接。外围访问经由一个或者两个环来实现。借助为每个环所设置的冗余管理器，相应的环在正常运行时逻辑中断。在环发生物理中断的情况下，为相应的环开始环重新配置。基于合适的措施，在环重新配置期间就已经可以进行外围访问。

申请号为ep17181169.8的在先欧洲专利申请披露了一种具有两个冗余系统的布置方式，冗余系统在循环的运行中平行地工作。这两个系统彼此监控，并且就相应另一系统所完成的任务结果进行定期监控。在确定有错误时，其中一个系统被选择或被操作用于生产运行。此时，在多个或者所有的循环中，针对每个系统分别检测至少一个关于运行参数的特征量，并且该特征量用于更新至少一个统计参数。如果确定这两个系统的结果有偏差，那么对于每个系统都将当前的运行参数与对应的统计参数相关联。当前的运行参数与对应的统计参数的偏差较少的系统被识别为正常运行的系统并且用于生产运行。

技术实现要素：

本发明所基于的目的是，提出一种用于在具有冗余子系统的故障安全的控制单元与通信设备之间构建冗余的通信连接的方法，以及提供一种适用于执行该方法的装置，其中，该方法能够使得在故障安全的控制单元与通信设备之间的通信与冗余子系统的开始预设的数量无关。

该目的通过根据本发明的方法并且通过根据本发明的控制单元得以解决。

根据本发明的方法设计用于在通信设备与故障安全的控制单元之间构建冗余的通信连接，故障安全的控制单元配属于一个工业自动化系统并且包括至少一个初级控制器与次级控制器。在这里，初级控制器与次级控制器是彼此冗余的。通信设备例如可以是自动化设备的组成部分。在使用至少一个配属于初级控制器与次级控制器的通信网络地址的情况下，通信设备的传输和/或交换功能单元构建与故障安全的控制单元的两个通信连接。响应于通信设备的构建通信连接的请求，初级控制器与次级控制器例如可以提供关于相应另一控制器的地址信息。

根据本发明，通信设备的传输和/或交换功能单元构建与初级控制器的传输和/或交换功能单元的第一通信连接，并且构建与次级控制器的传输和/或交换功能单元的第二通信连接。以有利的方式，第一通信连接和第二通信连接按照传输控制协议来构建。经由第一通信连接传递的数据由初级控制器经由第一同步连接转发到次级控制器处。相反地，经由第二通信连接传递的数据由次级控制器经由第二同步连接转发到初级控制器处。以这种方式能够构建与故障安全的控制单元的简单且可靠的可缩放的冗余通信连接。

根据本发明的优选设计方案，初级控制器的传输和/或交换功能单元和次级控制器的传输和/或交换功能单元分别具有多路tcp功能。与之相应地，通信设备的传输和/或交换功能单元也具有多路tcp功能。以有利的方式，第一通信连接和第二通信连接分别构建为相对应的多路tcp子流。在这里，第一通信连接是第一多路tcp子流，而第二通信连接是第二多路tcp子流。优选地，在初级控制器与次级控制器之间的第一同步连接和第二同步连接也构建为相对应的多路tcp子流。

根据本发明的特别优选的设计方案，初级控制器的传输和/或交换功能单元和次级控制器的传输和/或交换功能单元分别既管理配属于第一多路tcp子流的连接，也管理配属于第二多路tcp子流的连接。根据另一设计方案，尤其是次级控制器的传输和/或交换功能单元将第一通信连接的经由第一同步连接转发的数据分配给第一多路tcp子流。与之相应地，初级控制器的传输和/或交换功能单元将第二通信连接的经由第二同步连接转发的数据分配给第二多路tcp子流。

根据本发明的替代改进方案，首先仅仅经由第一通信连接传递数据，其中，第二通信连接构建为备用连接。只有在第一通信连接故障时，此时才经由第二通信连接传递数据。根据本发明的另一替代改进方案，在通信设备与故障安全的控制单元之间待传递的数据段交替地经由第一通信连接或经由第二通信连接来传递。尤其是，此时在通信设备与故障安全的控制单元之间待传递的数据段被划分成第一数据段和第二数据段，第一数据段仅仅经由第一通信连接来传递，第二数据段仅仅经由第二通信连接来传递。这例如可以根据通信连接的载荷来进行。

控制器或通信设备的传输和/或交换功能单元尤其设计并设置用于处理互联网协议栈。例如，传输和/或交换功能单元可以集成到通信设备或控制器中，其中，传输和/或交换功能单元分别经由通信网络适配器驱动器访问通信设备的通信网络适配器或控制器的通信网络适配器。通信网络适配器尤其分别包括发送和接收单元以及用于协调对通信介质的访问的控制单元。

根据本发明的故障安全的控制单元设计用于执行符合上述实施方式的方法，并且包括至少一个初级控制器和次级控制器。初级控制器和次级控制器是彼此冗余的，并且分别包括传输和/或交换功能单元。此外，故障安全的控制单元设计并设置用于，通信设备的传输和/或交换功能单元在使用至少一个配属于初级控制器与次级控制器的通信网络地址的情况下构建与故障安全的控制单元的两个通信连接。

根据本发明，故障安全的控制单元设计并设置用于，经由在通信设备与初级控制器之间的第一通信连接传递的数据由初级控制器经由第一同步连接转发到次级控制器处。此外，故障安全的控制单元还设计并设置用于，经由在通信设备与次级控制器之间的第二通信连接传递的数据由次级控制器经由第二同步连接转发到初级控制器处。

附图说明

下面用实施例借助附图详细说明本发明。图中示出：

图1是工业自动化系统，具有至少一个故障安全的控制单元和与其通信的通信设备，

图2是在故障安全的控制单元内进行同步的细节图。

具体实施方式

图1中简化示出的工业自动化系统包括故障安全的控制单元200，其尤其是可编程逻辑控制器，其具有初级控制器201和次级控制器202。可编程逻辑控制器通常分别包括通信模块、中央单元以及至少一个输入/输出单元。经由通信模块可以将可编程逻辑控制器例如与交换机(switch)或者路由器或者与现场总线连接。输入/输出单元用于在可编程逻辑控制器与由可编程逻辑控制器控制的机器或装置300之间交换控制参量及测量参量。中央单元尤其设置用于由检测到的测量参量得出适当的控制参量。可编程逻辑控制器的上述组件优选经由背板总线系统相互连接。

初级控制器201和次级控制器202是彼此冗余的，并且分别包括：用于处理互联网协议栈的交换功能单元211、221；具有多路tcp功能的传输功能单元214、224；和，用于应用或控制程序的运行时间环境215、225。交换功能单元211、221分别经由通信网络适配器驱动器访问相应的控制器的通信网络适配器。通信网络适配器又分别包括发送和接收单元以及用于协调对通信介质的访问的控制单元。

在所示实施例中，故障安全的控制单元200是高可用性的系统。通常，如果系统所提供的应用即使在一个系统组件故障时仍然可用而且不需要直接的人工干涉就可以继续使用，那么这个系统就被称为高可用性的。此时，使用者应该无法觉察到中断或者仅能觉察到最小的中断。如果例如故障安全的控制单元200的一个控制器201、202故障，那么就无缝切换到剩余的控制器。系统的高可用性相应地意味着，在它的一个系统组件故障时要确保运行不受限制。

在本实施例中，初级控制器201和次级控制器202具有中央单元，中央单元不仅用于非同步的耦合而且也用于同步的耦合。在同步耦合时，在初级控制器201中和次级控制器202中时间上同步地执行控制程序的程序路径或者控制程序。在一些程序位置处规定在这两个控制器201、202之间进行校准，在这些程序位置处这两个控制器201、202都等待着相应另一控制器的应答，并且只有收到应答后才分别继续它们的程序处理。

对于非同步的耦合，可以为初级控制器201例如分配主机角色，而次级控制器202可以扮演从机角色。如果初级控制器201在这种前提下发生故障，那么次级控制器202就承担主机角色。为了让初级控制器201和次级控制器202能够在时间上非同步地处理它们的相应控制程序或程序路径，它们经由同步连接210、220同步。在这个基础上实现冗余和监控功能。在时间上非同步地处理控制程序或程序路径时，从机角色的控制器优选地仅仅运行由主机角色的控制器开放的程序路径。对非同步耦合的详尽说明可以获取自ep2657797a1。

除了故障安全的控制单元200以外，图1中所示的工业自动化系统还包括通信设备100，通信设备例如可以集成到自动化设备中并且优选地经由基于以太网的通信网络与故障安全的控制单元200连接。

自动化设备尤其可以是操作和观察站、可编程逻辑控制器、rfid读取器或者用于机器图像处理的系统。操作和观察站用于将过程数据或测量及控制参量可视化，这些数据或参量由可编程逻辑控制器、输入/输出单元或者传感器来处理或检测。尤其是，操作和观察站用于显示闭环控制回路的值并且用于改变控制参数。操作和观察站包括至少一个图形用户界面、输入设备、处理器单元和通信模块。此外，通信设备100例如还可以配属于用于规划自动化设备的工程设计系统或者用于监控自动化设备的控制系统，或者通信设备可以是相应的系统组件。

除了自动化设备以外，工业自动化系统还可以包括网络基础设施，如交换机、路由器或者防火墙。这些网络基础设施尤其用于连接工业自动化系统的可编程逻辑控制器、输入/输出单元(i/o模块)或者操作和观察站。输入/输出单元可以设计为分布式外围模块，它们布置在远离可编程逻辑控制器的位置。

原则上，控制器201、202也可以是云计算系统、边缘计算系统或者雾计算系统的冗余运行的服务器单元。这类计算系统分别包括多个服务器单元，通过服务器单元将it基础设施(如存储空间、计算能力或者应用软件)作为服务来提供。尤其是，服务器单元所提供的服务可以包括用于系统监控、用于过程和设备监控、用于设备控制和配置、用于检测和分析配属于自动化设备的测量值和状态信息的许多应用或功能，以及还包括通信和自动化功能。

在云计算系统、边缘计算系统或者雾计算系统的冗余运行的服务器单元的背景下，通信设备100尤其可以是边缘计算客户端或工厂数据中枢。经由作为数据分配单元或网络基础设施的工厂数据中枢，可以将许多通信或自动化设备连接到云计算系统、边缘计算系统或雾计算系统上。

通信设备100还包括用于处理互联网协议栈的交换功能单元111、具有多路tcp功能的传输功能单元114和用于应用或控制程序的运行时间环境115。类似上述的实施方式，交换功能单元111经由通信网络适配器驱动器访问通信设备100的通信网络适配器。通信网络适配器又包括发送和接收单元以及用于协调对通信介质的访问的控制单元。

在使用至少一个配属于初级控制器201或次级控制器202的通信网络地址的情况下，通信设备100的传输功能单元114构建与故障安全的控制单元200的两个通信连接。以有利的方式，响应于通信设备的构建通信连接的请求，初级控制器201和次级控制器202提供关于相应另一控制器的地址信息。因此，首先为通信设备100仅仅提供这两个控制器201、202之一的通信地址就足够了。

通信设备100的传输功能单元114构建与初级控制器201的传输功能单元214的第一通信连接110，并且构建与次级控制器201的传输功能单元224的第二通信连接120。在这两种情况下，都按照传输控制协议来实现构建。在此，通过传输功能单元114、214、224为第一通信连接110和第二通信连接120分别生成相对应的多路tcp子流112-113、212-213、222-223。为第一通信连接110分别生成第一多路tcp子流112、212、222，而为第二通信连接120分别生成第二多路tcp子流113、213、223。

经由第一通信连接110传递的数据由初级控制器201经由第一同步连接210转发到次级控制器202处。与之相应地，经由第二通信连接220传递的数据由次级控制器202经由第二同步连接220转发到初级控制器201处。对于同步连接210、220来说优选使用光以太网传输链路。

初级控制器201的传输功能单元214和次级控制器202的传输功能单元224因此分别管理配属于第一多路tcp子流212、222的连接和配属于第二多路tcp子流213、223的连接。尤其是，次级控制器202的传输功能单元224将第一通信连接110的经由第一同步连接210转发的数据分配给第一多路tcp子流222，而初级控制器201的传输功能单元214将第二通信连接120的经由第二同步连接220转发的数据分配给第二多路tcp子流213。

如果这两个控制器201、202之一发生故障，或者如果这两个通信连接110、120之一上的数据传递有干扰，那么通信设备100就可以经由剩余的通信连接继续访问故障安全的控制单元。这对于在通信设备100上或控制器201、202上运行的应用来说显然在多路tcp的基础上得以确保。故障或干扰最多会导致数据流通量减少。

此外，这两个通信连接110、120原则上可以不对称地载荷，这由此实现：两个多路tcp子流之一仅仅作为后备，并且数据传递仅仅经由活跃使用的多路tcp子流来进行。在这种情况下，例如首先仅仅经由第一通信连接110传递数据，而第二通信连接120用作备用连接。只有当第一通信连接110故障时，数据才经由第二通信连接120来传递。

此外，对于这两个通信连接110、120也还可以使用载荷分配法。例如，在通信设备100与故障安全的控制单元200之间待传递的数据段选择性地并且根据载荷经由第一通信连接110或者经由第二通信连接120来传递。为此，在通信设备100与故障安全的控制单元200之间待传递的数据段划分成第一数据段和第二数据段，第一数据段仅仅经由第一通信连接110来传递，第二数据段仅仅经由第二通信连接120来传递。

根据图2，多路tcp优选地也用于在初级控制器201与次级控制器202之间的同步连接210、220。在此，为第一同步连接210和第二同步连接220生成相对应的多路tcp子流212’-213’、222’-223’，它们分别由控制器201、202的传输功能单元214、224管理。在冗余的自动化系统的一些运行状态下，尤其是当在控制器201、202被再集成的情况下需要传输大量数据时，为同步连接210、220使用多路tcp是极其有利的。因为这类过程要尽可能快速地进行，所以这两个同步连接的传输速率的聚合(bündelung)是有利的并且改进了系统性能以及提升了可用性。