故障容限工业自动化控制系统的制作方法
【技术领域】
[0001]本发明涉及在一种工业自动化与控制系统IACS中配置和运行控制应用的领域。特别是,其涉及在这类系统中的改进容错。
【背景技术】
[0002]在工业系统或过程中,工厂停机的成本通常是相当高的。因而,不能接受的停机成本提倡对应的工业自动化控制系统的增加可靠性和高可用性。后者通常依赖于冗余,其中对控制系统的关键部分或关键的控制应用进行复制,并且该控制系统的容错产生于冗余和错误检测机制,诸如监督、看门狗(watchdog)或心跳(heartbeat)的组合。
[0003]现有的冗余模式,例如备用冗余(Standby Redundancy)或者三重模块化冗余(TMR),能够为自动化控制系统提供容错。但是,一旦故障已发生,这些容错机制失去或降低容错。例如,TMR模式容许单个故障。如同大多数其他模式一样,直到故障实体被替换,原始容错才会恢复。在该期间,在发生第二个故障时,TMR通常启动安全关机。也能够使用更多副本(replica)来部署冗余以容许多个故障。这造成更高的成本并且增加的复杂性,并且因此极少这样做。
[0004]在专利申请EP 12182884.2中,用于控制工业主系统或过程的工业自动化与控制系统IACS中的控制应用或用于控制工业主系统或过程的工业自动化与控制系统IACS的控制应用,以最佳方式配置和部署。该IACS包含多个运行主机,例如单核或多核CPU的CPU核,并且该控制应用由多个组件或子应用组成。这些组件可以相互关联并且至少部分地并行运行。最后,组件可根据特定约束,例如相关组件运行定时,按照预定运行顺序个别地指派给运行主机用于运行。所得到的基于组件的软件架构提供了依靠静态调度的循环实时系统框架,其在运行时间时允许加载组件并且修改调度。
【发明内容】
[0005]本发明的目的是改进工业自动化控制系统IACS中的容错。这个目的通过如独立权利要求所述的方法来实现。优选的实施例从从属专利权利要求中是明显的。
[0006]根据本发明,暂时容错降级在工业自动化与控制系统IACS中被阻止,该系统包含多个主机或控制器,连接到通信总线用于向至少一些主机以并行的方式提供输入数据。每个主机以循环方式并且按照配置来运行作为控制应用的一部分的多个组件。该配置包含数据结构,该数据结构包括静态顺序调度以及组件间通信通道映射,其中组件在运行时间时可加载并且其中调度在运行时间时可修改。对于故障的容限,例如对于影响至少一个关键组件的主机故障的容限,通过运行下列步骤来提供:
[0007]-在第一主机上运行关键组件的活动实例或副本,并且使在第二主机上实体化的关键组件的冗余第一备用实例的状态与该活动组件同步,
[0008]-利用错误检测机制,例如监督、看门狗(watchdog)或心跳(heartbeat),在先前组件运行循环中检测第一主机的故障;
[0009]-在下一个组件运行循环之前,激活第一备份配置,或第一应急预案,其包含运行作为在第二主机上的关键组件的当前活动实例的第一备用实例,以及包含使在第三主机上实体化或加载到第三主机的关键组件的冗余第二备用实例的状态与第一备用实例同步。
[0010]换言之,本发明包含基于组件的自动化框架、基于软件的冗余模式和分布式的可靠运行时间管理器的组合,并且能够在运行时间时检测主机故障以及触发系统重新配置。这种解决方案通过在可用主机上创建和调度关键组件的新备用实例,并且无需操作员干预或者立即硬件更换,在发生故障的情况下保持系统运行,并且另外,针对进一步的单个控制器故障自动恢复容错。因此提供了一种故障容限的容错机制,其在故障已发生之后,自动并且立即恢复容错的原始等级,即,无需必须等待故障实体的维修或更换。简言之,本发明通过自动适应新环境来在降低成本以及复杂性下实现系统增加的可用性或正常运行时间。[0011 ]在本发明的优选变型中,提供第二或下一级备份配置,其包含调度,在第二主机故障的情况下,调度涉及指派给第四主机并且预计在第四主机上实体化的关键组件的冗余第三备用实例。提供或推导第二备份配置涉及计算关键组件的冗余实例的部署以及限定鉴于第二或次级故障的调度和组件间通信通道的变化。第二备份配置可以在运行时间时准备并且在第一备份配置激活之后,即,脱离实际上所激活的第一备份配置并且忽略所有其他未激活的第一备份配置。备选地,第二备份配置可以提前,即在第一故障发生之前准备或导出。由于必须考虑至少等于主机数量的第一备份配置的数量的事实,并且还结合类似数量的次级故障主机,这种解决方案在计算上更昂贵。
[0012]在本发明的有利实施例中,每个主机在初始化期间提供有第一备份配置。所有进一步工作或者剩余的主机然后分别地检测第一主机的故障,并且对应或者预见第一主机的故障而瞬间激活第一备份配置。这种方法依赖于分散、分布式架构,其中所有主机或节点具有关于涵盖所有可想像出的第一故障的备份配置计划的必要信息。当特定主机的故障发生时,该故障被检测出,并且在下一组件运行循环之前,该故障所牵涉到的每个剩余主机采取适当的行动。
[0013]本发明还涉及一种计算机程序产品,其包含计算机程序代码,用于控制工业自动化控制系统的一个或多个处理器,工业自动化控制系统包含连接到通信总线的多个运行主机,特别是涉及一种计算机程序产品,包含在其中含有计算机程序代码的计算机可读媒介。
【附图说明】
[0014]本发明的主题将在下面文本中参照附图中示出的优选示例性实施例来详细解释,其中:
[0015]图1示出了热备用冗余概念;
[0016]图2描绘一种工业控制应用的简化示例,以及
[0017]图3示出了一种工业自动化与控制系统的四主机动行环境,以及三个对应的组件运行配置调度。
【具体实施方式】
[0018]图1呈现一种具有涉及两个实例或副本的热备用冗余的单个关键组件的常规部署,其中Al为活动副本,Al’为备用副本,其与活动副本永久同步。现有上下文中的“同步”包含两个实例的状态同步,其中活动实例Al的状态逐步地或持续地传送,或复制给备用实例Al’,如垂直箭头所示。在活动副本Al故障的情况下,因此备用副本Al’准备瞬间激活。两个运行副本的主机之间的监督通信实现这种自动切换。
[0019]图2示出了一种工业控制应用的简化示例,该应用读取某