DE19814096B4 - Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen - Google Patents

Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen Download PDF

Info

Publication number
DE19814096B4
DE19814096B4 DE1998114096 DE19814096A DE19814096B4 DE 19814096 B4 DE19814096 B4 DE 19814096B4 DE 1998114096 DE1998114096 DE 1998114096 DE 19814096 A DE19814096 A DE 19814096A DE 19814096 B4 DE19814096 B4 DE 19814096B4
Authority
DE
Germany
Prior art keywords
modules
signal channel
module
singular
automation system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1998114096
Other languages
English (en)
Other versions
DE19814096A1 (de
Inventor
Lothar Dipl.-Ing. Lietz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Patent GmbH
Original Assignee
ABB Patent GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Patent GmbH filed Critical ABB Patent GmbH
Priority to DE1998114096 priority Critical patent/DE19814096B4/de
Publication of DE19814096A1 publication Critical patent/DE19814096A1/de
Application granted granted Critical
Publication of DE19814096B4 publication Critical patent/DE19814096B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam parallel an denselben, singulären Signalkanal angeschlossen sind, wobei jede der Baugruppen eine Prozessorschaltung umfaßt, die über mindestens ein Bussystem mit übergeordneten Einrichtungen des Automatisierungssystems Daten austauscht und Befehle empfängt, wobei jeweils ausschließlich eine der redundant geschalteten Baugruppen aktiv über den singulären Signalkanal kommuniziert, während die anderen Baugruppen bezüglich des singulären Signalkanals passiv geschaltet sind und bei Störung der aktiven Baugruppe eine der passiven Baugruppen bezüglich des singulären Signalkanals aktiviert und die gestörte Baugruppe bezüglich des singulären Signalkanals abgeschaltet wird,
dadurch gekennzeichnet,
– daß dieselben Daten in allen redundant geschalteten Baugruppen (5, 6) von den übergeordneten Einrichtungen (4) des Automatisierungssystems empfangen und verarbeitet werden,
– daß jede Störung der aktiven Baugruppe (5) über das Bussystem (7) an die übergeordneten Einrichtungen (4) des Automatisierungssystems gemeldet wird und daß über eine separate Verbindung (11, 12) zwischen...

Description

  • Die Erfindung betrifft ein Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam an denselben, singulären Signalkanal angeschlossen sind.
  • Es ist bekannt, bei der Steuerung sicherheitsrelevanter Einrichtungen die Verfügbarkeit dadurch zu erhöhen, daß gleichartige Baugruppen mehrfach vorgesehen und an einem singulären Signalkanal redundant miteinander verschaltet sind. Dabei ist der singuläre Signalkanal durch eine Zwei-Draht-Leitung zwischen miteinander kommunizierenden Baugruppen des hierarchisch aufgebauten Automatisierungssystems ausgebildet.
  • Dabei wird zwischen der sogenannten heißen Redundanz und der sogenannten kalten Redundanz unterschieden. Bei der heißen Redundanz werden die redundant verschalteten Baugruppen synchron gesteuert, so daß alle redundant verschalteten Baugruppen stets denselben Schaltzustand aufweisen. Die heiße Redundanz ist jedoch in Abhängigkeit von der Art der redundant verschalteten Baugruppen und den an dem singulären Signalkanal angeschlossenen Endgeräten mit einer Reihe von Nachteilen behaftet, die insbesondere bei analoger Signalübertragung über den singulären Signalkanal offensichtlich werden. Soweit die redundant verschalteten Baugruppen Empfänger analoger Meßwerte sind, verfälschen die redundant verschalteten Eingangswiderstände der Empfänger den zu empfangenen analogen Meßwert. Sind die redundant verschalteten Baugruppen als Sender von analogen Stellwerten ausgeführt, besteht die Gefahr der Zerstörung des Senderausgangsstufen bei differierenden Signallaufzeiten zwischen den einzelnen redundant verschalteten Sendern.
  • Bei der kalten Redundanz wird eine der redundant verschalteten Baugruppen als aktive Baugruppe ausgewählt, während alle weiteren redundant verschalteten Baugruppen als passive Baugruppen bezeichnet werden. Dabei empfangen alle redundant parallelgeordneten Baugruppen in der automatisierungstechnischen Anlage dieselben Steuersignale, jedoch ausschließlich die aktive Baugruppe ist zur Kommunikation mit dem Endgerät über den singulären Signalkanal freigegeben.
  • Bei Ausfall der aktuell aktiven Baugruppe wird eine der aktuell passiven Baugruppen zur neuen aktiven Baugruppe ausgewählt. Infolgedessen wird nunmehr ausschließlich die neuen aktiven Baugruppe zur Kommunikation mit dem Endgerät über singulären Signalkanal freigegeben.
  • Jede der redundant geschalteten Baugruppen in einer hierarchisch aufgebauten automatisierungstechnischen Anlage umfaßt eine Prozessorschaltung, die über mindestens ein Bussystem mit übergeordneten Einrichtungen der automatisierungstechnischen Anlage Daten austauscht und von den übergeordneten Einrichtungen Befehle empfängt. Darüber hinaus umfaßt jede der redundant geschalteten Baugruppen Schnittstelleneinrichtungen, an die der singuläre Signalkanal angeschlossen ist. Diese Schnittstelleneinrichtungen sind bei Ausgabebaugruppen als Sender und bei Eingabebaugruppen als Empfänger ausgeführt.
  • Der Vorgang des Wechsels der aktiven Baugruppe umfaßt dabei eine Mehrzahl aufeinanderfolgender Schritte. Zunächst werden die detektierte Störung durch die gestörte aktive Baugruppe an die übergeordneten Einrichtungen der automatisierungstechnischen Anlage gemeldet und die Schnittstelleneinrichtungen der gestörten aktiven Baugruppe in einen Ruhezustand versetzt, womit die aktive Baugruppe in den passiven Zustand übergeht. Anschließend wird durch die übergeordneten Einrichtungen der automatisierungstechnischen Anlage eine der bis dahin passiven Baugruppen als neue aktive Baugruppe ausgewählt. Die Schnittstelleneinrichtungen der neuen aktiven Baugruppe werden entsprechend den bereits vorliegenden Steuersignalen zur Kommunikation über den singulären Signalkanal freigegeben. Dabei wird die Signalübertragung zwischen dem Endgerät und der jeweils aktiven Baugruppe über den singulären Signalkanal für die Dauer von der Versetzung der Schnittstelleneinrichtungen der gestörten aktiven Baugruppe in den Ruhezustand bis zur Freigabe der Schnittstelleneinrichtungen der neuen aktiven Baugruppe entsprechend den bereits vorliegenden Steuersignalen unterbrochen.
  • Diese Unterbrechung kann zu Fehlfunktionen des Endgeräts führen und ist daher unerwünscht. Besonders nachteilig ist die undeterminierte Dauer der Unterbrechung, die von verschiedenen Einflußgrößen, wie Auslastung der übergeordneten Einrichtungen der automatisierungstechnischen Anlage und Transferlast auf dem Bussystem zwischen den redundant geschalteten Baugruppen und den übergeordneten Einrichtungen, abhängig ist.
  • In der DE 32 25 455 A1 ist ein redundantes Steuersystem mit zwei Rechnereinheiten beschrieben, wobei die Rechnereinheiten jeweils mit einer identischen Anzahl von Bausteinen, als Ein- bzw. Ausgangskoppelbausteine bezeichnet, ausgestattet sind.
  • Darüber hinaus ist eine Vergleichereinheit vorgesehen, die mit beiden Rechnereinheiten verbunden ist. Die beiden Rechnereinheiten arbeiten parallel und synchron dasselbe Programm ab. Die während der Abarbeitung des Programms anfallenden Daten der beiden Rechnereinheiten werden miteinander verglichen und im Fehlerfall die jeweils fehlerhafte Rechnereinheit außer Betrieb gesetzt und vom zu steuernden Prozess getrennt.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem anzugeben, das beim Wechsel der aktiven Baugruppe eine kontinuierliche Übernahme des eingestellten Schaltzustandes auf dem singulären Signalkanal ermöglicht.
  • Erfindungsgemäß wird diese Aufgabe mit den Mitteln des Patentanspruchs 1 gelöst.
  • Vorteilhafte Ausgestaltungen der Erfindung sind im Anspruch 2 genannt.
  • Der Kern der Erfindung ist darin zu sehen, daß sofort nach erkannter Störung der aktiven Baugruppe unverzüglich unter Umgehung der übergeordneten Einrichtungen eine der Ersatz-Baugruppen vorläufig aktiviert wird und daß diese Aktivierung nachträglich durch die übergeordneten Einrichtungen authentisiert wird.
  • Dadurch wird eine kontinuierliche Übernahme des eingestellten Schaltzustandes auf dem singulären Signalkanal beim Wechsel der aktiven Baugruppe gewährleistet.
  • Infolge dessen werden Fehlsignalisierungen bei der Kommunikation über den singulären Signalkanal vermieden.
    •
  • Die Erfindung wird nachstehend anhand eines Ausführungsbeispiels mit zwei gleichartigen, redundant geschalteten Baugruppen näher erläutert. Die dazu erforderlichen Zeichnungen zeigen
  • 1 ein Prinzipdarstellung eines hierarchisch aufgebauten Automatisierungssystems mit gleichartigen, redundant geschalteten Baugruppen
  • 2 einen Ablaufplan der Schritte in der aktiven Baugruppe beim Wechsel der aktiven Baugruppe
  • 3 einen Ablaufplan der Schritte in der Ersatz-Baugruppe beim Wechsel der aktiven Baugruppe
  • 4 einen Ablaufplan der Schritte in der übergeordneten Einrichtung beim Wechsel der aktiven Baugruppe
  • 5 eine Darstellung des Zeitverlaufs von Schritten beim Wechsel der aktiven Baugruppe
  • 6 eine Prinzipdarstellung von zwei redundant geschalteten Ausgabebaugruppen
  • 7 ein Blockschaltbild des Redundanzmittels
  • Die prinzipielle Struktur eines hierarchisch aufgebauten Automatisierungssystems ist in 1 dargestellt. Ausgehend von einer übergeordneten Einrichtung 4 ist ein Bussystem 7 vorgesehen, an das untergeordnete Einrichtungen 5 und 6 angeschlossen sind. Über dieses Bussystem 7 tauscht die übergeordnete Einrichtung 4 mit den untergeordneten Einrichtungen 5 und 6 Daten aus. Darüber hinaus sendet die übergeordnete Einrichtung 4 Befehle an die untergeordneten Einrichtungen 5 und 6. Dazu ist sowohl die übergeordnete Einrichtung 4 als auch die untergeordneten Einrichtungen 5 und 6 jeweils mit einer Prozessoreinheit 8 ausgestattet, die über Befehls- und Datenspeicher sowie Kommunikationsschnittstellen verfügt.
  • Die untergeordneten Einrichtungen 5 und 6 sind gleichartig aufgebaute Baugruppen, die redundant geschaltet zur Kommunikation mit einer singulären Einrichtung 1 über einen singulären Signalkanal 3 ausgelegt sind. Dazu sind die redundant geschalteten gleichartigen Baugruppen 5 und 6 mit jeweils einer ersten Schnittstelle an das Bussystem 7 angeschlossen und mit einer zweiten Schnittstelle mit dem singulären Signalkanal 3 verbunden. Der singuläre Signalkanal 3 ist durch eine Zwei-Draht-Leitung ausgeführt. Die Anschlüsse der zweiten Schnittstelle der redundant geschalteten gleichartigen Baugruppen 5 und 6 sind parallel geschaltet und mit der Zwei-Draht-Leitung des singulären Signalkanals 3 verbunden.
  • Die Parallelschaltung der jeweils zweiten Schnittstellen der redundant geschalteten gleichartigen Baugruppen 5 und 6 hat den Vorteil, daß bei der Instrumentierung der automatisierungstechnischen Anlage zunächst eine einzige untergeordnete Einrichtung 5 zum Anschluß an den singulären Signalkanal 3 vorgesehen werden kann, die zu einem späteren Zeitpunkt durch eine redundant geschaltete gleichartige Baugruppe 6 zu einem Redundanzpärchen ergänzt werden kann, wobei die Öffnung des Stromkreises über den singulären Signalkanal 3 vermieden wird.
  • Im weiteren wird davon ausgegangen, daß die redundant geschalteten gleichartigen Baugruppen 5 und 6 als Sendebaugruppen ausgeführt sind, und daß die singuläre Einrichtung 1 ein Signalempfänger ist. Es liegt jedoch ebenso im Rahmen der Erfindung, daß die singuläre Einrichtung 1 ein Signalsender ist, und daß die redundant geschalteten gleichartigen Baugruppen 5 und 6 als Signalempfänger ausgeführt sind. Es liegt weiterhin im Rahmen der Erfindung, daß die jeweilige Sende- bzw. Empfangsbaugruppe zum Senden bzw. Empfangen sowohl von analogen als auch von digitalen Signalen ausgeführt sein kann.
  • Während des bestimmungsgemäßen Gebrauchs empfangen beide redundant geschalteten gleichartige Baugruppen 5 und 6 über das Bussystem 7 dieselben Daten und Befehle von der übergeordneten Einrichtung 4. In beiden redundant geschalteten gleichartigen Baugruppen 5 und 6 werden die Daten und Befehle synchron zueinander verarbeitet. Jedoch ist jeweils nur eine der redundant geschalteten gleichartigen Baugruppen aktiv mit dem singulären Signalkanal 3 verbunden, während die jeweils andere der redundant geschalteten Baugruppen bezüglich des singulären Signalkanals 3 passiv geschaltet ist.
  • Bei der Initialisierung des hierarchisch aufgebauten Automatisierungssystems wird die Auswahl der jeweils aktiven Baugruppe aus der Gruppe der redundant geschalteten gleichartigen Baugruppen 5 und 6 eines singulären Signalkanals 3 voreingestellt. Im weiteren wird davon ausgegangen, daß die Baugruppe 5 die aktive Baugruppe ist. Das bedeutet, daß ausschließlich die Baugruppe 5 über den singulären Signalkanal 3 mit dem Signalempfänger 1 kommuniziert. Die redundant geschaltete gleichartige Baugruppe 6 verfügt jedoch jederzeit über dieselben Daten und denselben Programmabarbeitungszustand wie die aktive Baugruppe 5, ist somit sendebereit jedoch bezüglich des singulären Signalkanals 3 passiv geschaltet.
  • Im weiteren wird unter Bezugnahme auf die 2 bis 4 der Ablauf der Umschaltung des aktiven Zustandes bezüglich des singulären Signalkanals 3 von der aktiven Baugruppe 5 auf die redundant geschaltete gleichartige Baugruppe 6 erläutert. Dabei unterliegen verzweigende Programmschritte infolge eines Entscheidungsschritts der Konvention, daß der Zweig der Programmfortsetzung bei negativer Entscheidung mit einer „0" gekennzeichnet ist und der Zweig der Programmfortsetzung bei positiver Entscheidung mit einer „1" gekennzeichnet ist.
  • Im einzelnen zeigt 2 einen Ablaufplan der Schritte in der aktiven Baugruppe 5 beim Wechsel der aktiven Baugruppe infolge eines Störereignisses in der jeweils aktiven Baugruppe. Ausgehend vom Start 1000 des Programms wird in einem Programmschritt 1101 in regelmäßigen Abständen geprüft, ob in der Baugruppe eine Störung vorliegt. Arbeitet die Baugruppe störungsfrei, wird der prüfende Programmschritt 1101 in regelmäßigen Zeitabständen wiederholt. Wird während des Programmschritts 1101 eine Störung der Baugruppe erkannt, wird der Verzweigung 1 folgend der Programmschritt 1102 ausgeführt. Während dieses Schrittes 1102 wird die gesamte Baugruppe rücksetzend initialisiert.
  • Die rücksetzende Initialisierung wird im Programmschritt 1301 ausgewertet, dessen Erläuterung im Zusammenhang mit 4 erfolgt. Die rücksetzende Initialisierung bei Programmschritt 1102 löst die Umschaltung der aktiven Baugruppe im Programmschritt 1103 aus, die im Programmschritt 1201 im Zusammenhang mit 3 erläutert wird. Schließlich wird die Ablaufsequenz mit Programmschritt 9999 beendet. Durch die rücksetzende Initialisierung wird die aktive Baugruppe 5 in den passiven Zustand bezüglich des singulären Signalkanals 3 versetzt.
  • In 3 ist ein Ablaufplan der Schritte in der redundant geschalteten Ersatz-Baugruppe 6 beim Wechsel der aktiven Baugruppe gezeigt, wobei diese Ersatz-Baugruppe 6 beim Start, Programmschritt 1000, bezüglich des singulären Signalkanals 3 passivgeschaltet ist. Bezogen auf die Darstellung in 1 laufen die nachfolgend erläuterten Programmschritte in der Ersatz-Baugruppe 6 ab. Ausgehend vom Start, Programmschritt 1000, wird bei Programmschritt 1201 geprüft, ob ein Umschaltsignal vorliegt. Das erwartete Umschaltsignal wird durch die rücksetzende Initialisierung der aktiven Baugruppe 5 gemäß 2 während des Programmschritts 1103 erzeugt. Bei negativem Befund wird der Verzweigung 0 folgend diese Prüfung in regelmäßigen Abständen wiederholt.
  • Soweit das Vorliegen eines Umschaltsignals erkannt wird, wird der Programmverzweigung 1 folgend der Programmschritt 1202 ausgeführt. Das in der passivgeschalteten Ersatz-Baugruppe 6 im Programmschritt 1201 abgeprüfte Umschaltsignal wird in der aktiven Baugruppe 5 infolge einer Störung bei Programmschritt 1103 erzeugt. Mit Erkennen eines Umschaltsignals wird bei Programmschritt 1202 spontan die Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 aufgenommen. Dadurch wird die redundant geschaltete Ersatz-Baugruppe 6 nunmehr zur aktiven Baugruppe. Da die Ersatz-Baugruppe 6 vereinbarungsgemäß über dieselben Daten verfügt und denselben Programmabarbeitungszustand aufweist wie die bis dahin aktive Baugruppe 5, ist eine kontinuierliche und stoßfreie Übernahme und Fortsetzung der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 gewährleistet.
  • Zum Zeitpunkt des Abarbeitungsschritts 1202 ist insbesondere in einem komplexen hierarchisch aufgebauten Automatisierungssystem unbekannt, ob die übergeordnete Einrichtung 4 bereits die Meldung der Störung der bis dahin aktiven Baugruppe 5 empfangen hat.
  • Nach Ablauf einer unbestimmten Zeit empfängt die aktivierte Ersatz-Baugruppe 6 von der übergeordneten Baugruppe 4 einen Aktivierungsbefehl, der die spontane Aktivierung bei Programmschritt 1203 authentisiert. Die aktivierte Ersatz-Baugruppe 6 ist nunmehr im Automatisierungssystem als aktive Baugruppe bezüglich des singulären Signalkanals 3 registriert. Die Ablaufsequenz endet mit Programmschritt 9999.
  • In 4 ist der Ablauf der Schritte in der übergeordneten Einrichtung 4 beim Wechsel der aktiven Baugruppe dargestellt. In der übergeordneten Einrichtung 4 wird eine Endlosschleife, beginnend mit Programmschritt 1000, ausgeführt. Während Programmschritt 1301 wird geprüft, ob alle untergeordneten Baugruppen störungsfrei sind. Solange keine der angeschlossenen untergeordneten Baugruppen eine Störung meldet, wird der Programmverzweigung 1 folgend der Programmschritt 1301 in regelmäßigen Abständen wiederholt.
  • Jede gestörte untergeordnete Baugruppe 5 und 6 meldet ihren Störungszustand infolge der rücksetzenden Initialisierung bei Programmschritt 1102 gemäß der Darstellung in 2. Sobald die übergeordnete Einrichtung 4 bei Programmschritt 1301 eine Störungsmeldung einer angeschlossenen untergeordneten Baugruppe 5 und 6 empfängt, wird die Programmabarbeitung der Programmverzweigung 0 folgend mit Programmschritt 1302 fortgesetzt.
  • Während des Programmschritts 1302 wird ermittelt, welche der angeschlossenen untergeordneten Baugruppen 5 und 6 eine Störung gemeldet hat. Im weiteren Verlauf der Abarbeitung wird bei Programmschritt 1303 geprüft, ob die gestörte untergeordnete Baugruppe 5 oder 6 eine aktive Baugruppe 5 bezüglich des angeschlossenen singulären Signalkanals 3 ist.
  • Soweit die gestörte untergeordnete Baugruppe bezüglich des singulären Signalkanals 3 passiv geschaltet ist, wird der Programmverzweigung 0 folgend bei Programmschritt 1311 eine Meldung an das Bedienpersonal ausgegeben, daß eine Baugruppe ausgefallen ist und um welche es sich handelt. Anschließend wird die Programmabarbeitung mit Programmschritt 1301 fortgesetzt.
  • Wird bei Programmschritt 1303 ermittelt, daß die gestörte untergeordnete Einrichtung eine bezüglich des singulären Signalkanals 3 aktive Baugruppe 5 ist, wird der Programmverzweigung 1 folgend bei Programmschritt 1304 geprüft, ob das Automatisierungssystem eine zu der gestörten untergeordneten Einrichtung 5 gleichartige redundant geschaltete Ersatz-Baugruppe 6 aufweist. Soweit die gestörte untergeordnete Einrichtung 5 eine singuläre Baugruppe ist, wird der Programmverzweigung 0 folgend bei Programmschritt 1321 das Bedienpersonal über den Ausfall der Baugruppe 5 alarmiert und die Programmabarbeitung mit Programmschritt 1301 fortgesetzt.
  • Wird bei Programmschritt 1304 ermittelt, daß der gestörten untergeordneten Einrichtung 5 eine gleichartige Ersatz-Baugruppe 6 redundant geschaltet ist, wird der Programmverzweigung 1 folgend bei Programmschritt 1305 diejenige Ersatz-Baugruppe 6 ermittelt, die zur gestörten untergeordneten Einrichtung 5 redundant geschaltet ist. Dem weiteren Programmablauf folgend wird bei Programmschritt 1306 die zur gestörten untergeordneten Einrichtung 5 redundant geschaltete gleichartige Ersatz-Baugruppe 6 adressiert und bei Programmschritt 1307 der Befehl zur Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 erteilt. Dieser Befehl wird in der redundant geschalteten gleichartigen Ersatz-Baugruppe 6 empfangen und im Programmschritt 1203 gemäß 3 verarbeitet. In der übergeordneten Einrichtung wird nach Abarbeitung des Programmschritts 1307 turnusmäßig mit Programmschritt 1301 fortgesetzt.
  • Es ist offensichtlich, daß in der übergeordneten Einrichtung 4 in einem komplexen, hierarchisch aufgebauten Automatisierungssystem mit einer Vielzahl untergeordneter Einrichtungen 5 und 6 von der Erkennung einer gestörten untergeordneten Einrichtung bei Programmschritt 1301 bis zur Ausgabe des Übernahmebefehls an eine redundant geschaltete gleichartige Ersatz-Baugruppe 6 bei Programmschritt 1307 eine Abarbeitungszeit für die Programmschritte 1301 bis 1307 benötigt wird, die zu einer spürbaren Unterbrechung in der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 mit den in der Beschreibungseinleitung erwähnten Nachteilen führt. Insbesondere ist dabei zu berücksichtigen, daß die Ablaufsequenz gemäß 4 für die übergeordnete Einrichtung 4 bezogen auf den gesamten Programmablauf in der übergeordneten Einrichtung 4 des hierarchisch aufgebauten Automatisierungssystems nur einen vergleichsweise geringen Anteil hat.
  • Nach Maßgabe der Erfindung verzögert diese Ablaufzeit jedoch nur die nachträgliche Authentisierung der bereits vollzogenen Umschaltung der aktiven Baugruppe und Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 während der Programmschritts 1202 in der redundant geschalteten Baugruppe 6 wie in 3 dargestellt wurde.
  • Zur Verdeutlichung dieses Zusammenhangs ist in 5 der Zeitverlauf von signifikanten Schritten beim Wechsel der aktiven Baugruppe dargestellt. Anhand von Gültigkeitssymbolen, die den Wechsel eines Gültigkeitszustandes signalisieren, sind Wechselzustände bei der Abarbeitung der Programmschritte 1102 in der gestörten aktiven Baugruppe 5 gemäß 2, die Übernahme der Kommunikation und damit Aktivschaltung der redundant geschalteten Ersatz-Baugruppe 6 bei Programmschritt 1202 gemäß 3 und die Authentisierung durch die übergeordnete Einrichtung 4 gemäß Programmschritt 1307 aus 4 über die Zeit t dargestellt. Die gestörte aktive Baugruppe 5 signalisiert zum Zeitpunkt t0 ihren Störungszustand. Daraufhin übernimmt die redundant geschaltete Ersatz-Baugruppe 6 zum Zeitpunkt t1 entsprechend Programmschritt 1202 die Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3. Die Authentisierung der Übernahme der Kommunikation durch die redundant geschaltete Ersatz-Baugruppe 6 durch die übergeordnete Einrichtung 4, entsprechend Programmschritt 1307 aus 4, erfolgt zum Zeitpunkt t2.
  • Die Dauer vom Zeitpunkt t0 bis t1 wird dabei ausschließlich durch die Signallaufzeiten in den elektronischen Bauelementen der gestörten aktiven Baugruppe 5 und der redundant geschalteten gleichartigen Ersatz-Baugruppe 6 bestimmt und liegt im Bereich einiger Mikrosekunden. Demgegenüber wird der Zeitabschnitt vom Zeitpunkt t0, der Störungsmeldung der gestörten aktiven Baugruppe 5, bis zum Zeitpunkt t2, dem Übernahmebefehl der übergeordneten Einrichtung 4, durch die Abarbeitungszeit der Programmschritte 1301 bis 1307 gemäß 4 in der übergeordneten Einrichtung 4 bestimmt und liegt im Bereich einiger Millisekunden.
  • Auf grund kapazitiver Leitungseffekte auf dem als Zwei-Draht-Leitung ausgeführten singulären Signalkanal 3 ist eine Spannungsunterbrechung im Zeitbereich einiger Mikrosekunden für den angeschlossenen Signalempfänger 1 nicht detektierbar.
  • Praktisch bedeutet die Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 durch die redundant geschaltete Ersatz-Baugruppe 6 zum Zeitpunkt t1 eine stoßfreie und verzögerungsfreie Übernahme.
  • Unter Verwendung gleicher Bezugszeichen für gleiche Mittel ist in 6 eine bevorzugte Ausführungsform der Erfindung mit zwei redundant geschalteten gleichartigen Baugruppen 5 und 6 dargestellt. Jede der redundant geschalteten Baugruppen 5 und 6 verfügt über eine Prozessoreinheit 8, die über das Bussystem 7 mit der in 6 nicht dargestellten übergeordneten Einrichtung 4 kommuniziert. Die jeweils zweiten Schnittstellen der redundant geschalteten gleichartigen Baugruppen 5 und 6 sind parallelgeschaltet und mit dem singulären Signalkanal 3 verbunden. Der singuläre Signalkanal 3 ist als Zwei-Draht-Leitung ausgeführt, an dessen freien Ende der Signalempfänger 1 angeschlossen ist.
  • Jede der redundant geschalteten gleichartigen Baugruppen 5 und 6 ist jeweils mit einem Redundanzumschaltmittel 570 und 670 ausgestattet. Die Redundanzumschaltmittel 570 und 670 weisen jeweils einen Rücksetzeingang 571 und 671, ein Redundanzumschaltsignaleingang 572 und 672, einen Freigabeausgang 573 und 673 sowie einen Redundanzumschaltsignalausgang 574 und 674 auf.
  • Darüber hinaus ist jeder der gleichartigen Baugruppen 5 und 6 für jeden angeschlossenen singulären Signalkanal 3 mit jeweils einem Signalverstärker 510 und 610 ausgestattet.
  • Vereinbarungsgemäß empfangen beide redundant geschalteten Baugruppen 5 und 6 dieselben Daten und Befehle über das Bussystem 7 von der in 6 nicht dargestellten übergeordneten Einrichtung. Demzufolge sind an den Ausgängen der Signalverstärker 510 und 610 zu denselben Zeitpunkten exakt dieselben Ausgangssignale verfügbar.
  • Im weiteren wird davon ausgegangen, daß die Baugruppe 5 die aktuell aktivgeschaltete Baugruppe und die Baugruppe 6 die aktuell passivgeschaltete redundante Baugruppe ist. Der Ausgang des Signalverstärkers 510 der aktiven Baugruppe 5 ist, symbolisiert durch einen geschlossenen zweipoligen Schalter 520, mit dem singulären Signalkanal 3 verbunden. Der Schalter 520 wird durch den Freigabeausgang 573 des Redundanzumschaltmittels 570 betätigt.
  • Im Gegensatz dazu ist der Ausgang des Signalverstärkers 610 der passiv geschalteten Baugruppe 6, symbolisiert durch einen geöffneten zweipoligen Schalter 620, vom singulären Signalkanal 3 getrennt. Der Schalter 620 wird durch den Freigabeausgang 673 des Redundanzumschaltmittels 670 betätigt.
  • Jede der redundant geschalteten Baugruppen 5 und 6 weist jeweils einen Redundanzumschaltsignaleingang 504 und 604 sowie einen Redundanzumschaltsignalausgang 505 und 605 auf, die jeweils mit dem zugehörigen Redundanzumschaltsignaleingang 572 und 672 und dem Redundanzumschaltsignalausgang 574 und 674 des zugehörigen Redundanzumschaltmittels 570 und 670 verbunden sind.
  • Die redundante Verschaltung der gleichartigen Baugruppen 5 und 6 besteht nunmehr darin, daß der Redundanzumschaltsignalausgang 505 der aktiven Baugruppe 5 über eine Signalleitung 11 mit dem Redundanzumschaltsignaleingang 604 der passiv geschalteten redundanten Baugruppe 6 verbunden ist, und daß der Redundanzumschaltsignalausgang 605 der passiv geschalteten Baugruppe 6 über eine Signalleitung 12 mit dem Redundanzumschaltsignaleingang 504 der aktiven Baugruppe 5 verbunden ist.
  • In jeder der gleichartigen Baugruppen 5 und 6 wird im Störungsfall, gemäß Programmschritt 1102 in 2, ein Rücksetzsignal 503 und 603 erzeugt, das am Rücksetzeingang 571 und 671 des jeweiligen Redundanzumschaltmittels 570 und 670 aufgeschaltet ist.
  • Beim Auftreten einer Störung in der aktiven Baugruppe 5 wird gemäß Programmschritt 1102 das Rücksetzsignal 503 aktiviert. Daraufhin wird über den Freigabeausgang 573 der Schalter 520 geöffnet und gleichzeitig über den Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570, den Redundanzumschaltsignalausgang 505 der aktiven Baugruppe 5, die Signalleitung 11 an den Redundanzumschaltsignaleingang 604 der redundant geschalteten Baugruppe 6 und weiter an den Redundanzumschaltsignaleingang 672 des Redundanzumschaltmittels 670 der Störungszustand der aktiven Baugruppe 5 gemeldet. Gemäß Programmschritt 1201 in 3 wird im Redundanzumschaltmittel 670 der redundant geschalteten Ersatz-Baugruppe 6 ein Redundanzumschaltsignal erkannt und über den Freigabeausgang 673 der Schalter 620 geschlossen. Das Schließen des Schalters 620 der aktivierten Ersatz-Baugruppe 6 entspricht dem Zeitpunkt t1 in 5. Bezüglich des singulären Signalkanals 3 wird die Kommunikation stoßfrei über die redundant geschaltete Ersatz-Baugruppe 6 fortgesetzt.
  • Nach wiederhergestellter Baugruppe 5 und aktiver Ersatz-Baugruppe 6 wird bei deren Störung das Rücksetzsignal 603 aktiviert, woraufhin über den Freigabeausgang 673 der Schalter 620 geöffnet wird und gleichzeitig über den Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670, den Redundanzumschaltsignalausgang 605 der Baugruppe 6 und die Signalleitung 12 an den Redundanzumschaltsignaleingang 504 der Baugruppe 5 und weiter an den Redundanzumschaltsignaleingang 572 des Redundanzumschaltmittels 570, gemäß Programmschritt 1103 in 2, gesendet. Daraufhin wird über den Freigabeausgang 573 des Redundanzumschaltmittels 570 der Schalter 520 geschlossen und der singuläre Signalkanal 3 mit dem Ausgang des Signalverstärkers 510 verbunden.
  • In besonders vorteilhafter Ausgestaltung der Erfindung sind die Schalter 520 und 620 als elektronische Torschaltungen ausgeführt. Soweit die redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Sendebaugruppen ausgeführt sind, sind die Ausgänge der elektronischen Torschaltungen 520 und 620 unmittelbar mit den Anschlußelementen der zweiten Schnittstelle zum Anschluß des singulären Signalkanals 3 verbunden. Sind die redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Empfangsbaugruppen ausgeführt, dann sind die Signaleingänge der elektronischen Torschaltungen 520 und 620 unmittelbar mit den Anschlußelementen der zweiten Schnittstelle zum Anschluß des singulären Signalkanals 3 verbunden.
  • Dadurch wird der singuläre Signalkanals 3 unmittelbar an seinem Anschlüssen an die redundant geschalteten, gleichartigen Baugruppen 5 und 6 Abhängigkeit vom Aktivierungszustand jeder redundant geschalteten, gleichartigen Baugruppe 5 und 6 an- und abgeschaltet.
  • Der Vorteil dieser Vorgehensweise ist darin zu sehen, daß die redundant geschalteten, gleichartigen Baugruppen 5 und 6 unabhängig von ihrem Aktivierungszustand während des laufenden Betriebs nahezu vollständig prüfbar und überwachbar sind. Lediglich die elektronischen Torschaltungen 520 und 620 der jeweils passivgeschalteten Ersatz-Baugruppe sind von der laufenden Überwachung ausgenommen.
  • Da vereinbarungsgemäß alle redundant geschalteten, gleichartigen Baugruppen 5 und 6 unabhängig von ihrem Aktivierungszustand während des laufenden Betriebs von der übergeordneten Einrichtung 4 des hierarchisch aufgebauten Automatisierungssystems dieselben Daten und Befehle empfangen und zu denselben Zeitpunkten denselben Abarbeitungszustand der Befehlssequenzen aufweisen, werden Störungen sowohl in der aktivgeschalteten Baugruppe 5 als auch in allen passivgeschalteten Ersatz-Baugruppen 6 erkannt und verarbeitet. Auf diese Weise wird eine besonders hohe Verfügbarkeit für das hierarchisch aufgebauten Automatisierungssystem erreicht.
  • Wenngleich die bevorzugte Ausführungsform gemäß 6 am Beispiel redundant geschalteter Sendebaugruppen mit einem Signalempfänger 1 beschrieben ist, liegt es gleichwohl im Rahmen der Erfindung, anstelle des Signalempfängers 1 einen Signalsender 1 vorzusehen und die redundant geschalteten Baugruppen 5 und 6 als Empfangsbaugruppen auszugestalten. Darüber hinaus liegt es im Rahmen der Erfindung, daß jede Sende-/Empfängerkombination auf analoge oder digitale Signalübertragung spezialisiert ist.
  • Darüber hinaus liegt es im Rahmen der Erfindung, Gruppen von mehr als zwei redundant geschalteten gleichartigen Baugruppen zur stoßfreien Übernahme der Kommunikation über einen singulären Signalkanal zu einem Signalempfänger 1 bzw. von einem Signalsender 1 vorzusehen.
  • In 7 ist unter Verwendung gleicher Bezugszeichen für gleiche Mittel das Redundanzumschaltmittel 570 und 670 der redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Blockschaltbild dargestellt. Dabei sind die Mittel mit den Bezugszeichen 570 bis 577 der aktivgeschalteten Baugruppe 5 und die Mittel mit den Bezugszeichen 670 bis 677 der passivgeschalteten Ersatz-Baugruppe 6 zugeordnet.
  • Das Redundanzumschaltmittel 570 und 670 besteht im wesentlichen aus einem adressierbaren Statuslatch 575 und 675, einem adressierbaren Bereitschaftslatch 576 und 676 sowie einem UND-Gatter 577 und 677 mit zwei Eingängen, von denen ein Eingang invertierend ist.
  • Das adressierbare Statuslatch 575 und 675 und das adressierbare Bereitschaftslatch 576 und 676 des Redundanzumschaltmittels 570 und 670 sind über einen gemeinsamen Rücksetzeingang rücksetzbar, der der Rücksetzeingang 571 und 671 des Redundanzumschaltmittels 570 und 670 ist. Der Ausgang des adressierbaren Statuslatch 575 und 675 ist der Redundanzumschaltsignalausgang 574 und 674 des Redundanzumschaltmittels 570 und 670 und der Ausgang des adressierbare Bereitschaftslatch 576 und 676 ist mit dem nichtinvertierenden Eingang des UND-Gatters 577 und 677 verbunden.
  • Darüber hinaus weist das Redundanzumschaltmittel 570 und 670 Mittel zur selektiven Konfiguration des adressierbaren Statuslatch 575 und 675 und des adressierbaren Bereitschaftslatch 576 und 676 durch die Prozessoreinheit 8 auf.
  • Der invertierende Eingang des UND-Gatters 577 und 677 ist der Redundanzumschaltsignaleingang 572 und 672 des Redundanzumschaltmittels 570 und 670. Der Ausgang des UND-Gatters 577 und 677 ist der Freigabeausgang 573 und 673 des Redundanzumschaltmittels 570 und 670.
  • Bei der Inbetriebnahme der redundant geschalteten, gleichartigen Baugruppen 5 und 6 werden das adressierbare Statuslatch 575 und 675 und das adressierbare Bereitschaftslatch 576 und 676 des Redundanzumschaltmittels 570 und 670 durch die Prozessoreinheit 8 in Abhängigkeit vom Aktivierungszustand der jeweiligen Baugruppe 5 und 6 initialisierend eingestellt.
  • Bei der Initialisierung der aktivgeschalteten Baugruppe 5 wird das adressierbare Statuslatch 575 gesetzt. Der Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570 führt somit High-Pegel und ist demzufolge bei positiver Logik aktiv. Das adressierbare Bereitschaftslatch 576 des Redundanzumschaltmittels 570 wird für die aktivgeschaltete Baugruppe 5 gesetzt, so daß am nichtinvertierenden Eingang des UND-Gatters 577 High-Pegel geschaltet ist.
  • Bei der Initialisierung der passivgeschalteten Ersatz-Baugruppe 6 wird das adressierbare Statuslatch 675 in seinen rückgesetzten Zustand verbracht. Der Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670 führt somit Low-Pegel und ist demzufolge bei positiver Logik inaktiv. Das adressierbare Bereitschaftslatch 676 des Redundanzumschaltmittels 670 wird für die passivgeschaltete Ersatz-Baugruppe 6 gesetzt, so daß am nichtinvertierenden Eingang des UND-Gatters 677 High-Pegel geschaltet ist.
  • Im weiteren wird die Wirkungsweise der Redundanzumschaltmittel 570 und 670 der aktivgeschaltete Baugruppe 5 und der passivgeschalteten Ersatz-Baugruppe 6 unter Berücksichtigung der Zusammenschaltung gemäß 6 erläutert. Dabei ist der Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570 der aktivgeschaltete Baugruppe 5 über den Redundanzumschaltsignalausgang 505, die Signalleitung 11 und den Redundanzumschaltsignaleingang 604 der Ersatz-Baugruppe 6 mit dem Redundanzumschaltsignaleingang 672 des Redundanzumschaltmittels 670 verbunden. Der Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670 ist über den Redundanzumschaltsignalausgang 605, die Signalleitung 12 und den Redundanzumschaltsignaleingang 504 des Redundanzumschaltmittels 570 mit dem Redundanzumschaltsignaleingang 572 der aktivgeschaltete Baugruppe 5 verbunden.
  • Durch diese Verbindungen führen der Redundanzumschaltsignaleingang 672 der passivgeschalteten Ersatz-Baugruppe 6 High-Pegel und der Redundanzumschaltsignaleingang 572 der aktivgeschaltete Baugruppe 5 Low-Pegel.
  • Bei ungestörtem Betrieb sind die Rücksetzsignale 571 und 671 der aktivgeschalteten Baugruppe 5 und der passivgeschalteten Ersatz-Baugruppe 6 inaktiv. Darüber hinaus ist der Freigabeausgang 573 der aktivgeschalteten Baugruppe 5 durch die Verknüpfung des Low-Pegels vom Redundanzumschaltsignaleingang 572 am invertierenden Eingang des UND-Gatters 577 und des High-Pegels vom Ausgang des adressierbaren Bereitschaftslatch 576 am nichtinvertierenden Eingang des UND-Gatters 577 mit High-Pegel aktiv. Infolge dessen ist der Schalter 520 der aktivgeschalteten Baugruppe 5 geschlossen und der Ausgang des Signalverstärkers 510 über den singulären Signalkanal 3 mit dem Signalempfänger 1 verbunden.
  • Bei der passivgeschalteten Ersatz-Baugruppe 6 führt der Ausgang des UND-Gatters 677 des Redundanzumschaltmittels 670 durch die Verknüpfung des High-Pegels vom Redundanzumschaltsignaleingang 672 am invertierenden Eingang und des High-Pegels vom Ausgang des adressierbaren Bereitschaftslatch 676 am nichtinvertierenden Eingang im Ergebnis Low-Pegel, so daß der Freigabeausgang 673 inaktiv ist. Infolge dessen ist der Schalter 620 der redundant geschalteten, gleichartigen Ersatz-Baugruppe 6 geöffnet, so daß der singuläre Signalkanal 3 von dem Ausgang des Signalverstärkers 610 der Ersatz-Baugruppe 6 getrennt ist.
  • Beim Auftreten einer Störung in der aktivgeschalteten Baugruppe 5 wird das Rücksetzsignal 571 aktiviert. Infolge dessen werden das adressierbare Statuslatch 575 und das adressierbare Bereitschaftslatch 576 rückgesetzt. Durch Rücksetzen des adressierbaren Statuslatch 575 wird der Redundanzumschaltsignalausgang 574 der aktivgeschalteten Baugruppe 5 und damit der Redundanzumschaltsignaleingang 672 auf Low-Pegel gesetzt.
  • Der Low-Pegel am invertierenden Eingang des UND-Gatters 677 bewirkt bei gesetztem adressierbaren Bereitschaftslatch 676 die Aktivierung des Freigabeausgangs 673. Infolge dessen wird der Schalter 620 der redundant geschalteten, gleichartigen Ersatz-Baugruppe 6 geschlossen, so daß der Ausgang des Signalverstärkers 610 der Ersatz-Baugruppe 6 über den singuläre Signalkanal 3 mit dem Signalempfänger 1 verbunden ist.
  • Darüber hinaus bewirkt das Rücksetzen des adressierbaren Bereitschaftslatch 576 der aktivgeschalteten Baugruppe 5 infolge Low-Pegels am nichtinvertierenden Eingang des UND-Gatters 577 im Ergebnis Low-Pegel am Freigabeausgang 573. Infolge dessen wird der Schalter 520 der gestörten Baugruppe 5 geöffnet, so daß der singuläre Signalkanal 3 vom Ausgang des Signalverstärkers 510 der gestörten Baugruppe 5 getrennt ist.
  • Bei der Authentisierung gemäß Programmschritt 1307 zum Zeitpunkt t2 des bereits vorläufig vollzogenen Wechsels der aktivgeschalteten Baugruppe gemäß Programmschritt 1202 zum Zeitpunkt t1 wird das adressierbare Statuslatch 675 der Ersatz-Baugruppe 6 gesetzt. Der Ausgang des adressierbaren Statuslatch 675 und damit der Redundanzumschaltsignalausgang 605 sowie der Redundanzumschaltsignaleingang 504 führen nunmehr High-Pegel, so daß das UND-Gatters 577 unabhängig vom Zustand des adressierbaren Bereitschaftslatch 576 stets gesperrt ist. In vorteilhafter Weise wird dadurch der Freigabeausgang 573 gegen unbeabsichtigte Aktivierung verriegelt.
  • Nach der Authentisierung ist die Ersatz-Baugruppe 6 im Automatisierungssystem als aktive Baugruppe registriert.
    • 1
    Signalempfänger
    3
    singulärer Signalkanal
    4
    übergeordnete Einrichtung
    5, 6
    redundant geschaltete, gleichartige Baugruppen
    7
    Bussystem
    8
    Prozessoreinheit
    11, 12
    Signalleitungen
    503, 603
    Rücksetzsignal
    504, 604
    Redundanzumschaltsignaleingang
    505, 605
    Redundanzumschaltsignalausgang
    510, 610
    Signalverstärker
    520, 620
    Schalter
    570, 670
    Redundanzumschaltmittel
    571, 671
    Rücksetzeingang
    572, 672
    Redundanzumschaltsignaleingang
    573, 673
    Freigabeausgang
    574, 674
    Redundanzumschaltsignalausgang
    575, 675
    adressierbares Statuslatch
    576, 676
    adressierbares Bereitschaftslatch
    577, 677
    UND-Gatter
    1000 bis 9999
    Programmschritte

Claims (2)

  1. Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam parallel an denselben, singulären Signalkanal angeschlossen sind, wobei jede der Baugruppen eine Prozessorschaltung umfaßt, die über mindestens ein Bussystem mit übergeordneten Einrichtungen des Automatisierungssystems Daten austauscht und Befehle empfängt, wobei jeweils ausschließlich eine der redundant geschalteten Baugruppen aktiv über den singulären Signalkanal kommuniziert, während die anderen Baugruppen bezüglich des singulären Signalkanals passiv geschaltet sind und bei Störung der aktiven Baugruppe eine der passiven Baugruppen bezüglich des singulären Signalkanals aktiviert und die gestörte Baugruppe bezüglich des singulären Signalkanals abgeschaltet wird, dadurch gekennzeichnet, – daß dieselben Daten in allen redundant geschalteten Baugruppen (5, 6) von den übergeordneten Einrichtungen (4) des Automatisierungssystems empfangen und verarbeitet werden, – daß jede Störung der aktiven Baugruppe (5) über das Bussystem (7) an die übergeordneten Einrichtungen (4) des Automatisierungssystems gemeldet wird und daß über eine separate Verbindung (11, 12) zwischen den redundant geschalteten Baugruppen (5, 6) die passive Baugruppe (6) direkt unter Umgehung der übergeordneten Einrichtung (4) vorläufig bezüglich des singulären Signalkanals (3) aktiviert wird, – daß die Störungsmeldung der aktiven Baugruppe (5) in den übergeordneten Einrichtungen (4) des Automatisierungssystems verarbeitet wird und – daß die Aktivierung der passiven Baugruppe (6) durch die übergeordneten Einrichtungen (4) des Automatisierungssystems authentisiert wird.
  2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, daß der singuläre Signalkanal (3) unmittelbar an seinen Anschlüssen an die redundant geschalteten, gleichartigen Baugruppen (5, 6) in Abhängigkeit vom Aktivierungszustand jeder redundant geschalteten, gleichartigen Baugruppe (5, 6) an- und abgeschaltet wird.
DE1998114096 1998-03-30 1998-03-30 Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen Expired - Lifetime DE19814096B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1998114096 DE19814096B4 (de) 1998-03-30 1998-03-30 Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1998114096 DE19814096B4 (de) 1998-03-30 1998-03-30 Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen

Publications (2)

Publication Number Publication Date
DE19814096A1 DE19814096A1 (de) 1999-10-07
DE19814096B4 true DE19814096B4 (de) 2007-07-19

Family

ID=7862914

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1998114096 Expired - Lifetime DE19814096B4 (de) 1998-03-30 1998-03-30 Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen

Country Status (1)

Country Link
DE (1) DE19814096B4 (de)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10030329C1 (de) 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
EP1239369A1 (de) 2001-03-07 2002-09-11 Siemens Aktiengesellschaft Fehlertolerante Rechneranordnung und Verfahren zum Betrieb einer derartigen Anordnung
US7246270B2 (en) * 2002-05-31 2007-07-17 Omron Corporation Programmable controller with CPU and communication units and method of controlling same
JP2004062589A (ja) * 2002-07-30 2004-02-26 Nec Corp 情報処理装置
DE10249846B4 (de) * 2002-10-25 2007-08-16 Siemens Ag Redundante Anordnung von Feldgeräten mit Stromausgang sowie Feldgerät für eine derartige Anordnung
GB2421661A (en) * 2004-12-24 2006-06-28 Ote S P A Self-diagnosis of faults in radio system with redundancy units
DE102008038131B4 (de) * 2008-08-18 2013-12-05 EAE Ewert Automation Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren
EP2787401B1 (de) * 2013-04-04 2016-11-09 ABB Schweiz AG Verfahren und Vorrichtung zur Steuerung einer physikalischen Einheit in einem Automatisierungssystem
US9772615B2 (en) 2013-05-06 2017-09-26 Hamilton Sundstrand Corporation Multi-channel control switchover logic
DE102015106026B3 (de) * 2015-04-20 2016-08-25 Interroll Holding Ag Verfahren zum Austausch einer Steuerungseinheit in einer Fördervorrichtung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3706325C2 (de) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3706325C2 (de) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
H.G. Nix: Sichere Steuerungen in Mikroprozessor- technik. In: messen + prüfen/automatik, Juli/Aug- ust 1984, S. 368-370 *

Also Published As

Publication number Publication date
DE19814096A1 (de) 1999-10-07

Similar Documents

Publication Publication Date Title
EP1540428B1 (de) Redundante steuergeräteanordnung
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP2302472A2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE4416795C2 (de) Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
WO2016008948A1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
DE19814096B4 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
CH654425A5 (en) Redundant control arrangement
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP1619565B1 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
EP1638243A2 (de) Datenverarbeitungsvorrichtung mit Taktrückgewinnung aus unterschiedlichen Quellen
DE19847986C2 (de) Einzelprozessorsystem
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
EP3214512A1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
DE19916894A1 (de) Bussystem
EP1469627B1 (de) Verfahren zur signaltechnisch sicheren Datenübertragung
EP3200033B1 (de) Anordnung mit zumindest zwei peripherie-einheiten und mit einem sensor
DE4031241A1 (de) Digitales uebertragungssystem
DE3137046A1 (de) "schaltungsanordnung zur erfassung von stoerungen in einem datenverarbeitungssystem"
DE4303048C2 (de) Verfahren und Umschalteinrichtung zum Umschalten zwischen einem Betriebssystem und mindestens einem Reservesystem innerhalb redunant aufgebauten Schaltungen
DE10357797A1 (de) Peripherieeinheit für ein redundantes Steuersystem
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
DE19758993B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: ABB PATENT GMBH, 68309 MANNHEIM, DE

8127 New person/name/address of the applicant

Owner name: ABB PATENT GMBH, 68526 LADENBURG, DE

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ABB AG, 68309 MANNHEIM, DE

R071 Expiry of right