用于控制自动化系统中的物理单元的方法和设备的制造方法
【技术领域】
[0001]本发明涉及包括冗余自动化控制器以便允许高可用性和快速的响应时间的自动化系统。
【背景技术】
[0002]控制技术系统的关键部分的自动化单元需要高可用性,因此必须提供冗余解决方案。在一个或多个自动化单元失败的情况下,它们的冗余对等物将取代它们从而确保所述技术系统持续和安全的操作。
[0003]通常的冗余解决方案提供诸如N中取M个(M-out-of-N)冗余或者备用冗余的冗余方案,其允许在非常短的时间甚至是零时间段内从失败部分切换到冗余对等部分。
[0004]然而,许多技术系统能够容忍非常短的、控制单元的输出可能由于故障而损坏或者没有被更新的时间段。此外,安全至上的系统可能在致动器中提供额外的错误纠正逻辑,以使得在短时间内,发送到致动器的自动化单元的输出允许由于故障所导致的损坏或者未被更新。例如,列车中控制断路器模块的控制器单元能够在多个控制周期中不故障或者不传送损坏的输出结果,因为如果不这样的话,损坏可能发生。因此,在一些系统中控制单元的响应比失败模式输出至将被控制的技术系统的各个部分更加关键。这样的模式通过控制所有的输出和执行表决(voting)将额外的延迟引入到控制过程中。现有的机制引入延迟至过程本身。然而,上述解决方案被设计用于在正确的输出被转送给技术系统的各个部分之前,首先证明冗余单元的输出结果的正确性,
[0005]文档W02009/030363 —般涉及冗余控制器和应用。
[0006]文档W02007/140122公开了一种包括设备,其包括一电路,用于比较对应于至少两个冗余存取的数据与输入/输入设备以便确定与至少两个冗余存取中的其中一个相关的错误已经发生。
[0007]Armoush, A.等人的“Recovery Block with Backup Voting:A New Patternwith Extended Representat1n for Safety Critical Embedded Systems,,,Journalof Software Engineering and Applicat1ns,Volume 2,N0.1,pp.232—237,December2008 (“带有备份表决的恢复模块:一种带有扩展解释的用于安全至上嵌入系统的新模式”,软件工程和应用杂志,第2卷,I号,页码232-237,2008年12月),也在副本(^plica)执行之后应用表决。然而在那种模式中,所有的副本继副本执行后执行验收测试。如果验收测试失败,则接下来的副本和它的验收测试一起执行。只有当所有的副本和验收测试失败,表决才被运用到所有的未通过验收测试的缓冲的结果上。
[0008]在A.Avizienis 的文献“The N-vers1n Approach to Fault-TolerantSoftware,,,IEEE Transact1ns on Software Engineering, Vol.11, N0.12, pp.1491-1501,Dec.1985 ( “对容错软件的N版本方法”,软件工程的IEEE学报,第11卷,第12号,页码第1491-1501,1985年12月),公开了一种基于软件的冗余方案。所述方案基于N个副本,其被并行地执行,被不同的团队独立开发,以便确保软件的异质性。此外,表决器接着执行错误检测并决定正确的输出。然后,所述输出被发送给致动器或者接下来的控制部分。所述方案也能够容易地以硬件方式被执行,然后被称作N模冗余,最突出的例子是三模冗余(TMR)。利用N模块冗余,N个控制器能够在每次执行副本的过程中被使用。接下来的表决可以基于软件或者硬件而被执行。
[0009]类似的冗余方案经常被提及,例如在Armoush, A的“Design Patterns forSafety-Critical Embedded Systems”,RWTH Achen University, 2010 ( “安全至上的嵌入式系统的设计模式”,亚琛工业大学,2010年)中。
[0010]文档US 2006/080678描述了目的是获得对攻击容忍的应用的冗余和多数表决。
[0011]文档US 2004/199817涉及在多个计算机上运行多个程序并且应用表决进程。
[0012]目前,本发明的一个目的是提供一种用于控制由于冗余而具备高可用性和允许非常短的响应时间的技术系统的改善的方法和设备。这是一种说法,另外一种说法是没有额外的延迟被引入到进程的关键部分中并且保持高可用性。
【发明内容】
[0013]上述目的可以通过如权利要求1所述的控制物理单元的方法所实现,和通过根据进一步的独立权利要求所述的设备、自动化系统,计算机和计算机程序产品所实现。
[0014]本发明进一步的实施例在从属权利要求中被揭示。
[0015]根据第一个方面,提供一种控制物理单元的方法,其包括下述步骤:
[0016]-循环生成多个控制输出,其中所述多个控制输出以冗余的方式被提供;
[0017]-将所述控制输出中的选择的一个控制输出施加到所述物理单元;
[0018]-检验至少所选择的控制输出是否是正确的,和
[0019]-将控制单元中的其输出已被检验为正确的一个控制单元选择为在后续循环中将其控制输出施加到所述物理单元的控制单元,
[0020]其中将所述控制输出中的选择的一个控制输出施加到所述物理单元的步骤是在检验步骤之前或者在检验步骤期间执行的。
[0021]典型地,提供高可用性的冗余方案将延迟引入至控制应用中。例如,高可用性以及错误检测能力的获得,不是通过直接施加被所述物理单元所使用的控制单元的输出。相反,控制单元的所有输出被送至表决器单元(voter unit)。然后,所述表决器单元应用一特定表决算法,例如,多数、大多数或者似然表决,并且在所有输出中选择正确的输出。因此,传送了错误输出的控制单元能够被检测出来,并且错误恢复可以从那些部分被发起。并且,所述控制应用不传送损坏的输出,甚至在控制单元失败的情况下也不传送。
[0022]这种冗余方案的缺点是收集控制单元的输出并且执行表决算法将额外的延迟引入到进程控制中,即,相较于非冗余系统,输出被延迟。在所有原因当中,所述延迟的引起主要是由于冗余控制单元之间的时间同步、收集控制单元的所有输出的通信延迟以及用于执行实际表决的执行时间。
[0023]前述方法的一个基本想法是提供一种控制方案,其中从多个控制单元中选择的控制单元的输出在正确性检测执行前被转送给将要被控制的物理单元。假如所述选择的控制单元生成一个无效的输出,那么所述控制单元将被另一个控制单元所取代,例如,在下一个控制循环开始前。冗余是由多个实质上相同的控制单元来实现的,以便确保整个自动化系统的高可用性。
[0024]转送一个控制单元的输出到所述物理单元而不事先检验各个输出的正确性,使得控制单元的输出到物理单元之间的传输时延被最小化,以便可以建立快速响应自动化系统。
[0025]所述方案可以被称作下游表决(downstream voting),并且可以在性能是一个重要的方面和冗余将不会将额外的延迟引入到通常的控制进程中时被应用。这种冗余系统的主要特点是它将最小的延迟引入到控制应用中,但是仍然提供错误检测以及高可用性给所述应用。
[0026]下游表决的好处是提供一种明确定义的切换进程,S卩,甚至在主要控制单元完全失败的情形下也能保证一个可操作的控制单元接管接下来的执行周期。而且,在主要控制单元失败的情况下在当前的控制周期中没有必要执行复杂的切换。
[0027]这样的方法提供一种新的冗余方案,其非常适合那些几乎不能容忍损坏的输出的应用。此外,所提出的控制方案显示了在失败情形下仅有低的复杂性。因此,失败情形下采取的动作也容易被理解和预知。这极大地简化了调试故障以及维护。在安全至关重要的环境下,前面的控制方案能够提供高可用性,而不会将额外的延迟引入到控制进程中,并且由此避免了安全关闭(safety shutdown)。
[0028]进一步地,检验步骤可以通过多数、大多数或者似然表决执行。
[0029]可以提供如下方案:在检验步骤中检验哪个控制输出是正确的。
[0030]进一步地,所述选择步骤可以使用以下方案被执行:
[0031]-优先级方案
[0032]-随机方案;或者
[0033]-所选择的控制输出的变化量被最小化的方案。
[0034]如果控制输出相继生成,则在前面的周期中被检验为正确的并且在一个周期内被首先生成的控制输出可以被选择。
[0035]可以提供如下方案:如果预定的缺省值在一个或者多个控制输出中被识别出,则相应的控制输出被检测为错误的。
[0036]根据进一步的方面,提供一种从多个控制单元中选择一个控制单元以用于控制物理系统的设备,其中多个冗余的控制单元循环地提供控制输出,包括:
[0037]表决单元,其被配置为:
[0038]-允许先前被选择的控制单元将它的控制输出施加到物理系统;
[0039]-检验至少先前选择的控制单元是否是正确的;
[0040]-选择被检验为正确的控制输出中的一个;
[0041]-提供所选择的控制单元,以便在后续周期中将其输出施加到物理单元,
[0042]其中所述表决单元进一步被配置为,在检验先前选择的控制输出是否正确之前或者期间,允许先前选择的控制输出被施加到物理系统。
[0043]根据进一步的方面,将提供一种自动化系统,包括:
[0044]-用于生成冗余控制输出的多个控制单元;
[0045]-前述设备;以及
[0046]-—种物理系统。
[0047]进一步地,提供一种多路复用器,其用于选择控制单元的控制输出中的将被施加到物理系统的一个控制输出。