用于运行冗余的自动化系统的方法与流程

本发明涉及一种用于运行冗余的自动化系统的方法，该系统具有两个子系统，其中，在冗余的运行中一个子系统作为主机起作用并且承担过程控制，并且另一个子系统作为辅机起作用。

背景技术：

这种类型的方法例如由ep0907912b1公开。在那里两个子系统事件同步地耦合连接，其中在设置有数据补偿的合适的程序位置处两个子系统等待相应的另外的用户的应答，并且仅仅在获得应答的情况下分别同步地继续其程序处理。但是，当在两个子系统中的一个中出现短时的故障时，常常产生同步问题。这种类型的短时出现的和通常非局部化的故障的可能起因将会是在主存储器中的“比特错误”、在asic中的“比特错误”、固件错误、或者程序或程序部分的有错误的行为，其中该行为仅仅在确定的条件下设定。短时的故障可以导致两个子系统的完全失效，因为通常作为辅机起作用的子系统为了启动故障搜索运行而转换到停止状态中，并且还在运行的“有故障的”并且作为主机起作用的子系统在该转换之后马上失灵。由于这种类型的完全失效的原因，首先关闭待控制的过程，更换故障的子系统并且最后再次启动过程，这意味着很长的停机时间。

由ep2765464a1公开了一种用于运行冗余的自动化系统的方法，通过该方法进一步避免的短时故障的干扰效果。

技术实现要素：

因此，本发明的目的是给出一种的用于运行自动化系统的方法，其提高了自动化系统的可用性。

该目的通过根据本发明的实施方式的措施实现。

有利的是，并不取决于是否在作为主机或者在作为辅机起作用的子系统上出现短暂的故障，进一步避免了自动化系统的完全失效。

本发明由这样的想法出发，即不立即在同步损失之后-而是仅仅时间延迟地-在作为辅机起作用的子系统中开始故障搜索运行，从而测定出同步损失的起因或者在辅机上的可能的故障。由此进一步避免了，即对于在主机由于短时故障而失灵的情况中，辅机已经处于故障搜索运行中并且由此在故障搜索运行期间导致自动化系统完全失灵。时间延迟或者时间间隔如此地选择，即对于主机在该时间间隔期间失灵的情况，辅机可以承担过程控制，其中在该种情况中，辅机首先(erst)完全不激活或者启动故障搜索运行。自动化系统的完全失灵被理解为，不仅是主机而且还有辅机都不能承担过程控制。

在辅机的故障搜索运行之后，主机在更新的范畴中为辅机提供重要相关的(控制)数据，其中，在更新之后辅机作为新的主级承担过程控制并且主机作为新的辅机启动另外的故障搜索运行。由此检验，是否“老的”主机(“新的”辅机)对同步损失或者对于故障负有责任，其中，“新的”主机(“老的”辅机)在单独运行中以重要相关的控制数据或者过程数据承担过程控制。

在本发明的一个设计方案中提出，在预定的时间间隔(timeout)之后以及对于在故障搜索运行期间辅机探测到故障的情况，辅机占据故障状态。主机总是还在单独运行中控制过程，并且实现：服务技术人员能够更换辅机。辅机的故障状态被理解为辅机的受干扰的运行，在该框架中辅机不能执行过程控制。

在本发明的一个设计方案中提出，对于在故障搜索运行期间主机失灵或者被干扰的情况并且因此主机不能在实现或者执行主机职责或者过程控制时，主机首先将内部主机数据传输给辅机并且指出故障状态，其中，辅机作为新的主机承担过程控制。该切换或者该主机职责转换尽管不能“无冲击地”实现(而是由于切换的原因实现了在过程输出的值上的跳跃或者冲击)，但是也在该种情况中避免了自动化系统的失灵。

附图说明

根据在本发明的实施例中示出的附图，接下来对本发明、其设计方案和优点进一步进行说明。

图中示出：

图1是流程图以及

图2是冗余的自动化系统。

在图1和2中相同的部分具有相同的参考标号。

具体实施方式

首先参阅图2，在图2中示出了自身已知的冗余的自动化系统。其具有第一和第二子系统1、2，二者通过现场总线3与外围单元4连接。在此，现场总线3例如负荷profibus-dp规范。原理上，另外的总线系统、例如以太网(profinet系统冗余)、modbus或者还有并联总线系统也是合适的。外围单元4通过输入线路获得来自测量转换器或者测量值探测器的信号，二者用于测量过程状体，并且通过输出线路将信号输出给调节机构，利用该调节机构影响过程。过程以及测量转换器、测量值探测器和调节机构在附图中出于清晰的目的没有示出。两个子系统1、2处理相同的控制程序，其中子系统1、2之一承担主机功能(主机职责)并且另一个子系统1、2承担辅机功能，其中仅仅子系统1、2在外围组件上进行读和/或写访问，其实施主机功能或者作为主机起作用。对于这个作为主机起作用的子系统1、2失灵的情况，另外的子系统1、2承担主机功能。为了实现两个子系统1、2同步地处理其相应的控制程序或者该控制程序的程序路径，二者通过两个同步连接5、6同步，其中冗余和监控功能通过该两个同步连接5、6实现。

现在可以发生，即在自动化系统as的冗余运行期间，例如由于一个没有实时地识别出的存储器故障的原因而识别出传感器损失，并且因此自动化系统as从冗余运行转入到单独运行中，其中此外在故障搜索运行的框架中子系统1、2被本地化，在该子系统上存在故障或者其对于同步损失是负有责任的。

接下来参考图1，在图1中示出了用于说明故障搜索运行的流程图。由此出发，子系统1(cpu1)作为主机起作用并且子系统2(cpu2)作为辅机起作用，并且同步损失(分支7)通过主机1和辅机2的合适的冗余和监控功能识别，由此自动化系统as从冗余的运行26转换到单独运行中。

在第一操作8的范畴中，首先将主机1的过程映像的过程输入与所述辅机2的过程映像的过程输入进行比较，并且在另外的操作9中设定辅机2与自动化系统as的另外的、在此未示出的组件的通信。在操作9的范畴中，此外辅机2不向外围单元4传输过程输出信号。为了避免由于主机1有故障因此在辅机2的故障搜索运行期间自动化系统as完全失灵，辅机2仅仅在预定的时间间隔或者时间延迟ts之后(决定或者分支10)启动故障搜索运行。能够通过自动化系统as的工程系统规划的时间延迟ts如此地选择，即辅机2在主机1的可能的故障或者失灵之前仍能够安全地承担过程控制(操作11)。在该种情况中，辅机2仅仅完全不激活或者开始故障搜索运行。在此需要指出的是，故障或者故障状态被理解为有故障的系统的受干扰的运行，在该范畴中该子系统不能够执行过程控制。

对于主机1在其预定的时间间隔ts期间没有失灵的情况，辅机2开始故障搜索运行(步骤或者操作12)。对于辅机2识别到其是有故障的情况(分支13)，这意味着，辅机2对于同步损失是负有责任的，辅机2切换到状态“损坏”中(操作14)，其中，主机执行过程控制(操作15)。辅机2通过合适的显示装置为服务技术人员显示出该故障状态。该故障状态因此为服务技术人员显示出哪些cpu(cpu组件、cpu模块)必须被替换。

在此可以发生，即在辅机2的故障搜索运行期间，主机1在过程控制方面失灵(分支16)。在该种情况中，辅机2在步骤17中接收内部主机数据(计时器的值、计数器的值、数据单元的内容)并且接下来承担过程控制，其中该转换不是“无冲击地”实现(操作18)。服务技术人员可以通过新的cpu(cpu组件、cpu模块)替换受干扰的主机1。

相反，对于在辅机2的故障搜索运行期间主机1不被干扰的情况(分支16)，在故障搜索运行之后在步骤19中，辅机2通过主机1“更新”，由此，辅机2获得主机1的所有重要相关的过程控制数据。由此实现在稍晚的时间点(在该时间点不仅主机1而且还有辅机2分别终止了故障搜索运行)自动化系统as从单独运行转入到冗余运行中。在辅机2更新之后，辅机2作为“新的”主机承担主机职责或者过程控制(操作20)，并且主机1作为“新的”辅机起作用，其在操作21中开始另外的故障搜索运行，从而因此识别出是否“新的”辅机-也就是“老的”主机1-是有故障的。对于“新的”辅机(“老的”主机1)没有探测到故障的情况，“新的”辅机(“老的”主机1)利用“新的”主机(“老的”辅机2)的重要相关的过程控制数据更新并且自动化系统as再次从单独运行转换到冗余运行(操作25)中。相反，对于“新的”辅机识别出故障的情况，“新的”辅机转换到故障状态中(操作23)并且“新的”主机(“老的”辅机2)在单独运行中承担过程控制。