DE19814096B4 - Method for switching over redundantly connected, similar modules - Google Patents

Method for switching over redundantly connected, similar modules Download PDF

Info

Publication number
DE19814096B4
DE19814096B4 DE1998114096 DE19814096A DE19814096B4 DE 19814096 B4 DE19814096 B4 DE 19814096B4 DE 1998114096 DE1998114096 DE 1998114096 DE 19814096 A DE19814096 A DE 19814096A DE 19814096 B4 DE19814096 B4 DE 19814096B4
Authority
DE
Germany
Prior art keywords
modules
signal channel
module
singular
automation system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1998114096
Other languages
German (de)
Other versions
DE19814096A1 (en
Inventor
Lothar Dipl.-Ing. Lietz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Patent GmbH
Original Assignee
ABB Patent GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Patent GmbH filed Critical ABB Patent GmbH
Priority to DE1998114096 priority Critical patent/DE19814096B4/en
Publication of DE19814096A1 publication Critical patent/DE19814096A1/en
Application granted granted Critical
Publication of DE19814096B4 publication Critical patent/DE19814096B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam parallel an denselben, singulären Signalkanal angeschlossen sind, wobei jede der Baugruppen eine Prozessorschaltung umfaßt, die über mindestens ein Bussystem mit übergeordneten Einrichtungen des Automatisierungssystems Daten austauscht und Befehle empfängt, wobei jeweils ausschließlich eine der redundant geschalteten Baugruppen aktiv über den singulären Signalkanal kommuniziert, während die anderen Baugruppen bezüglich des singulären Signalkanals passiv geschaltet sind und bei Störung der aktiven Baugruppe eine der passiven Baugruppen bezüglich des singulären Signalkanals aktiviert und die gestörte Baugruppe bezüglich des singulären Signalkanals abgeschaltet wird,
dadurch gekennzeichnet,
– daß dieselben Daten in allen redundant geschalteten Baugruppen (5, 6) von den übergeordneten Einrichtungen (4) des Automatisierungssystems empfangen und verarbeitet werden,
– daß jede Störung der aktiven Baugruppe (5) über das Bussystem (7) an die übergeordneten Einrichtungen (4) des Automatisierungssystems gemeldet wird und daß über eine separate Verbindung (11, 12) zwischen...A method for switching redundantly connected, similar modules in a hierarchical automation system, which are connected together in parallel to the same, singular signal channel, each of the modules comprises a processor circuit which communicates with at least one bus system with higher-level devices of the automation system and receives commands, wherein in each case only one of the redundantly connected modules actively communicates via the singular signal channel, while the other modules are switched with respect to the singular signal channel passive and activated in case of failure of the active module one of the passive modules with respect to the singular signal channel and the failed module is switched off with respect to the singular signal channel .
characterized,
- That the same data in all redundantly connected modules (5, 6) are received and processed by the higher-level devices (4) of the automation system,
- That each failure of the active module (5) via the bus system (7) to the higher-level devices (4) of the automation system is reported and that via a separate connection (11, 12) between ...

Figure 00000001
Figure 00000001

Description

Die Erfindung betrifft ein Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam an denselben, singulären Signalkanal angeschlossen sind.The The invention relates to a method for switching redundantly connected, of similar modules in a hierarchically structured automation system, which are connected together to the same, singular signal channel are.

Es ist bekannt, bei der Steuerung sicherheitsrelevanter Einrichtungen die Verfügbarkeit dadurch zu erhöhen, daß gleichartige Baugruppen mehrfach vorgesehen und an einem singulären Signalkanal redundant miteinander verschaltet sind. Dabei ist der singuläre Signalkanal durch eine Zwei-Draht-Leitung zwischen miteinander kommunizierenden Baugruppen des hierarchisch aufgebauten Automatisierungssystems ausgebildet.It is known in the control of safety-related facilities the availability thereby increasing that same Assemblies are provided several times and on a singular signal channel are redundantly interconnected. Here is the singular signal channel through a two-wire line between communicating Assemblies of the hierarchically structured automation system educated.

Dabei wird zwischen der sogenannten heißen Redundanz und der sogenannten kalten Redundanz unterschieden. Bei der heißen Redundanz werden die redundant verschalteten Baugruppen synchron gesteuert, so daß alle redundant verschalteten Baugruppen stets denselben Schaltzustand aufweisen. Die heiße Redundanz ist jedoch in Abhängigkeit von der Art der redundant verschalteten Baugruppen und den an dem singulären Signalkanal angeschlossenen Endgeräten mit einer Reihe von Nachteilen behaftet, die insbesondere bei analoger Signalübertragung über den singulären Signalkanal offensichtlich werden. Soweit die redundant verschalteten Baugruppen Empfänger analoger Meßwerte sind, verfälschen die redundant verschalteten Eingangswiderstände der Empfänger den zu empfangenen analogen Meßwert. Sind die redundant verschalteten Baugruppen als Sender von analogen Stellwerten ausgeführt, besteht die Gefahr der Zerstörung des Senderausgangsstufen bei differierenden Signallaufzeiten zwischen den einzelnen redundant verschalteten Sendern.there is between the so-called hot redundancy and the so-called cold redundancy distinguished. In the hot redundancy, the redundant interconnected modules are controlled synchronously, so that all redundant interconnected modules always have the same switching state. The hot one Redundancy, however, is dependent on the type of redundantly interconnected modules and the on the singular signal channel connected terminals fraught with a number of disadvantages, especially in analog Signal transmission via the singular Signal channel will be obvious. As far as the redundantly interconnected Assembly receiver analogue measured values are, distort the redundantly interconnected input resistors of the receiver to received analog measured value. Are the redundantly interconnected modules as transmitters of analog Control values executed, there is a danger of destruction of the transmitter output stages with differing signal propagation times between the individual redundantly interconnected transmitters.

Bei der kalten Redundanz wird eine der redundant verschalteten Baugruppen als aktive Baugruppe ausgewählt, während alle weiteren redundant verschalteten Baugruppen als passive Baugruppen bezeichnet werden. Dabei empfangen alle redundant parallelgeordneten Baugruppen in der automatisierungstechnischen Anlage dieselben Steuersignale, jedoch ausschließlich die aktive Baugruppe ist zur Kommunikation mit dem Endgerät über den singulären Signalkanal freigegeben.at the cold redundancy becomes one of the redundantly interconnected modules selected as active assembly, while all other redundantly interconnected modules are referred to as passive modules become. All redundant parallel-ordered modules receive this in the automation system the same control signals, however exclusively the active module is for communication with the terminal via the singular Signal channel enabled.

Bei Ausfall der aktuell aktiven Baugruppe wird eine der aktuell passiven Baugruppen zur neuen aktiven Baugruppe ausgewählt. Infolgedessen wird nunmehr ausschließlich die neuen aktiven Baugruppe zur Kommunikation mit dem Endgerät über singulären Signalkanal freigegeben.at Failure of the currently active module becomes one of the currently passive ones Assemblies selected for the new active assembly. As a result, now exclusively the new active module for communication with the terminal via a singular signal channel Approved.

Jede der redundant geschalteten Baugruppen in einer hierarchisch aufgebauten automatisierungstechnischen Anlage umfaßt eine Prozessorschaltung, die über mindestens ein Bussystem mit übergeordneten Einrichtungen der automatisierungstechnischen Anlage Daten austauscht und von den übergeordneten Einrichtungen Befehle empfängt. Darüber hinaus umfaßt jede der redundant geschalteten Baugruppen Schnittstelleneinrichtungen, an die der singuläre Signalkanal angeschlossen ist. Diese Schnittstelleneinrichtungen sind bei Ausgabebaugruppen als Sender und bei Eingabebaugruppen als Empfänger ausgeführt.each the redundantly connected modules in a hierarchical structure automation system includes a processor circuit, the above at least one bus system with higher-level Equipment of the automation plant exchanges data and from the parent Facilities commands receives. Furthermore comprises each of the redundantly connected modules interface devices, to the singular Signal channel is connected. These interface devices are with output modules as transmitters and with input modules as receiver executed.

Der Vorgang des Wechsels der aktiven Baugruppe umfaßt dabei eine Mehrzahl aufeinanderfolgender Schritte. Zunächst werden die detektierte Störung durch die gestörte aktive Baugruppe an die übergeordneten Einrichtungen der automatisierungstechnischen Anlage gemeldet und die Schnittstelleneinrichtungen der gestörten aktiven Baugruppe in einen Ruhezustand versetzt, womit die aktive Baugruppe in den passiven Zustand übergeht. Anschließend wird durch die übergeordneten Einrichtungen der automatisierungstechnischen Anlage eine der bis dahin passiven Baugruppen als neue aktive Baugruppe ausgewählt. Die Schnittstelleneinrichtungen der neuen aktiven Baugruppe werden entsprechend den bereits vorliegenden Steuersignalen zur Kommunikation über den singulären Signalkanal freigegeben. Dabei wird die Signalübertragung zwischen dem Endgerät und der jeweils aktiven Baugruppe über den singulären Signalkanal für die Dauer von der Versetzung der Schnittstelleneinrichtungen der gestörten aktiven Baugruppe in den Ruhezustand bis zur Freigabe der Schnittstelleneinrichtungen der neuen aktiven Baugruppe entsprechend den bereits vorliegenden Steuersignalen unterbrochen.Of the The process of changing the active assembly comprises a plurality of successive Steps. First become the detected disorder through the disturbed active assembly to the parent Facilities of the automation system reported and the interface devices of the disturbed active module in a Hibernate offset, bringing the active module in the passive State passes. Subsequently is through the parent Facilities of the automation system one of the hitherto passive modules selected as the new active module. The Interface devices of the new active module are in accordance with already existing control signals for communication over the singular Signal channel enabled. In this case, the signal transmission between the terminal and the each active module via the singular Signal channel for the duration of the displacement of the interface devices of the failed active Module in the idle state until the release of the interface devices the new active assembly according to the already existing Control signals interrupted.

Diese Unterbrechung kann zu Fehlfunktionen des Endgeräts führen und ist daher unerwünscht. Besonders nachteilig ist die undeterminierte Dauer der Unterbrechung, die von verschiedenen Einflußgrößen, wie Auslastung der übergeordneten Einrichtungen der automatisierungstechnischen Anlage und Transferlast auf dem Bussystem zwischen den redundant geschalteten Baugruppen und den übergeordneten Einrichtungen, abhängig ist.These Interruption can lead to malfunction of the terminal and is therefore undesirable. Especially disadvantageous is the undetermined duration of the interruption, the of different predictors, such as Utilization of the higher-level facilities the automation equipment and transfer load on the Bus system between the redundantly connected modules and the higher-level ones Facilities, dependent is.

In der DE 32 25 455 A1 ist ein redundantes Steuersystem mit zwei Rechnereinheiten beschrieben, wobei die Rechnereinheiten jeweils mit einer identischen Anzahl von Bausteinen, als Ein- bzw. Ausgangskoppelbausteine bezeichnet, ausgestattet sind.In the DE 32 25 455 A1 a redundant control system with two computer units is described, wherein the computer units each with an identical number of blocks, referred to as input or output coupling blocks equipped.

Darüber hinaus ist eine Vergleichereinheit vorgesehen, die mit beiden Rechnereinheiten verbunden ist. Die beiden Rechnereinheiten arbeiten parallel und synchron dasselbe Programm ab. Die während der Abarbeitung des Programms anfallenden Daten der beiden Rechnereinheiten werden miteinander verglichen und im Fehlerfall die jeweils fehlerhafte Rechnereinheit außer Betrieb gesetzt und vom zu steuernden Prozess getrennt.In addition, a comparator unit is provided, which is connected to both computer units. The two computer units work in parallel and synchronously from the same program. Incurred during the execution of the program The data of the two computer units are compared with each other and in the event of an error the respectively faulty computer unit is put out of operation and disconnected from the process to be controlled.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem anzugeben, das beim Wechsel der aktiven Baugruppe eine kontinuierliche Übernahme des eingestellten Schaltzustandes auf dem singulären Signalkanal ermöglicht.Of the Invention is based on the object, a method for switching redundantly connected, similar modules in a hierarchical structure Specify the automation system when changing the active module a continuous takeover the set switching state on the singular signal channel allows.

Erfindungsgemäß wird diese Aufgabe mit den Mitteln des Patentanspruchs 1 gelöst.According to the invention this Problem solved by the means of claim 1.

Vorteilhafte Ausgestaltungen der Erfindung sind im Anspruch 2 genannt.advantageous Embodiments of the invention are mentioned in claim 2.

Der Kern der Erfindung ist darin zu sehen, daß sofort nach erkannter Störung der aktiven Baugruppe unverzüglich unter Umgehung der übergeordneten Einrichtungen eine der Ersatz-Baugruppen vorläufig aktiviert wird und daß diese Aktivierung nachträglich durch die übergeordneten Einrichtungen authentisiert wird.Of the Essence of the invention is the fact that immediately after detection of the disorder active module immediately bypassing the parent Facilities one of the replacement modules is temporarily activated and that this Activation later through the parent Facilities is authenticated.

Dadurch wird eine kontinuierliche Übernahme des eingestellten Schaltzustandes auf dem singulären Signalkanal beim Wechsel der aktiven Baugruppe gewährleistet.Thereby will be a continuous takeover the set switching state on the singular signal channel when changing ensures the active module.

Infolge dessen werden Fehlsignalisierungen bei der Kommunikation über den singulären Signalkanal vermieden.As a result this will be false signals when communicating over the singular Signal channel avoided.

Die Erfindung wird nachstehend anhand eines Ausführungsbeispiels mit zwei gleichartigen, redundant geschalteten Baugruppen näher erläutert. Die dazu erforderlichen Zeichnungen zeigenThe The invention will be described below with reference to an embodiment with two similar, explained redundantly connected assemblies. The required Drawings show

1 ein Prinzipdarstellung eines hierarchisch aufgebauten Automatisierungssystems mit gleichartigen, redundant geschalteten Baugruppen 1 a schematic diagram of a hierarchically structured automation system with similar, redundantly connected modules

2 einen Ablaufplan der Schritte in der aktiven Baugruppe beim Wechsel der aktiven Baugruppe 2 a flowchart of the steps in the active assembly when changing the active assembly

3 einen Ablaufplan der Schritte in der Ersatz-Baugruppe beim Wechsel der aktiven Baugruppe 3 a flowchart of the steps in the replacement module when changing the active module

4 einen Ablaufplan der Schritte in der übergeordneten Einrichtung beim Wechsel der aktiven Baugruppe 4 a flowchart of the steps in the higher-level device when changing the active module

5 eine Darstellung des Zeitverlaufs von Schritten beim Wechsel der aktiven Baugruppe 5 a representation of the time course of steps when changing the active assembly

6 eine Prinzipdarstellung von zwei redundant geschalteten Ausgabebaugruppen 6 a schematic diagram of two redundant output modules

7 ein Blockschaltbild des Redundanzmittels 7 a block diagram of the redundancy means

Die prinzipielle Struktur eines hierarchisch aufgebauten Automatisierungssystems ist in 1 dargestellt. Ausgehend von einer übergeordneten Einrichtung 4 ist ein Bussystem 7 vorgesehen, an das untergeordnete Einrichtungen 5 und 6 angeschlossen sind. Über dieses Bussystem 7 tauscht die übergeordnete Einrichtung 4 mit den untergeordneten Einrichtungen 5 und 6 Daten aus. Darüber hinaus sendet die übergeordnete Einrichtung 4 Befehle an die untergeordneten Einrichtungen 5 und 6. Dazu ist sowohl die übergeordnete Einrichtung 4 als auch die untergeordneten Einrichtungen 5 und 6 jeweils mit einer Prozessoreinheit 8 ausgestattet, die über Befehls- und Datenspeicher sowie Kommunikationsschnittstellen verfügt.The basic structure of a hierarchically structured automation system is in 1 shown. Starting from a higher level institution 4 is a bus system 7 provided to the subordinate institutions 5 and 6 are connected. About this bus system 7 swaps the parent device 4 with the subordinate institutions 5 and 6 Data from. In addition, the parent device sends 4 Commands to the subordinate institutions 5 and 6 , This is both the parent institution 4 as well as the subordinate institutions 5 and 6 each with a processor unit 8th equipped with command and data memory and communication interfaces.

Die untergeordneten Einrichtungen 5 und 6 sind gleichartig aufgebaute Baugruppen, die redundant geschaltet zur Kommunikation mit einer singulären Einrichtung 1 über einen singulären Signalkanal 3 ausgelegt sind. Dazu sind die redundant geschalteten gleichartigen Baugruppen 5 und 6 mit jeweils einer ersten Schnittstelle an das Bussystem 7 angeschlossen und mit einer zweiten Schnittstelle mit dem singulären Signalkanal 3 verbunden. Der singuläre Signalkanal 3 ist durch eine Zwei-Draht-Leitung ausgeführt. Die Anschlüsse der zweiten Schnittstelle der redundant geschalteten gleichartigen Baugruppen 5 und 6 sind parallel geschaltet und mit der Zwei-Draht-Leitung des singulären Signalkanals 3 verbunden.The subordinate institutions 5 and 6 are similarly structured modules that are redundantly connected for communication with a singular device 1 over a singular signal channel 3 are designed. These are the redundantly connected similar modules 5 and 6 each with a first interface to the bus system 7 connected and with a second interface with the singular signal channel 3 connected. The singular signal channel 3 is executed by a two-wire cable. The connections of the second interface of the redundant similar modules 5 and 6 are connected in parallel and with the two-wire line of the singular signal channel 3 connected.

Die Parallelschaltung der jeweils zweiten Schnittstellen der redundant geschalteten gleichartigen Baugruppen 5 und 6 hat den Vorteil, daß bei der Instrumentierung der automatisierungstechnischen Anlage zunächst eine einzige untergeordnete Einrichtung 5 zum Anschluß an den singulären Signalkanal 3 vorgesehen werden kann, die zu einem späteren Zeitpunkt durch eine redundant geschaltete gleichartige Baugruppe 6 zu einem Redundanzpärchen ergänzt werden kann, wobei die Öffnung des Stromkreises über den singulären Signalkanal 3 vermieden wird.The parallel connection of the respective second interfaces of the redundant similar modules 5 and 6 has the advantage that in the instrumentation of the automation system initially a single subordinate institution 5 for connection to the singular signal channel 3 can be provided, which at a later time by a redundant similar assembly 6 can be supplemented to a redundancy couple, wherein the opening of the circuit via the singular signal channel 3 is avoided.

Im weiteren wird davon ausgegangen, daß die redundant geschalteten gleichartigen Baugruppen 5 und 6 als Sendebaugruppen ausgeführt sind, und daß die singuläre Einrichtung 1 ein Signalempfänger ist. Es liegt jedoch ebenso im Rahmen der Erfindung, daß die singuläre Einrichtung 1 ein Signalsender ist, und daß die redundant geschalteten gleichartigen Baugruppen 5 und 6 als Signalempfänger ausgeführt sind. Es liegt weiterhin im Rahmen der Erfindung, daß die jeweilige Sende- bzw. Empfangsbaugruppe zum Senden bzw. Empfangen sowohl von analogen als auch von digitalen Signalen ausgeführt sein kann.In the following it is assumed that the redundantly connected similar assemblies 5 and 6 are designed as transmit modules, and that the singular device 1 is a signal receiver. However, it is also within the scope of the invention that the singular device 1 is a signal transmitter, and that the redundant similar modules 5 and 6 are designed as signal receiver. It remains within the framework of Invention, that the respective transmitting or receiving module for transmitting or receiving of both analog and digital signals can be executed.

Während des bestimmungsgemäßen Gebrauchs empfangen beide redundant geschalteten gleichartige Baugruppen 5 und 6 über das Bussystem 7 dieselben Daten und Befehle von der übergeordneten Einrichtung 4. In beiden redundant geschalteten gleichartigen Baugruppen 5 und 6 werden die Daten und Befehle synchron zueinander verarbeitet. Jedoch ist jeweils nur eine der redundant geschalteten gleichartigen Baugruppen aktiv mit dem singulären Signalkanal 3 verbunden, während die jeweils andere der redundant geschalteten Baugruppen bezüglich des singulären Signalkanals 3 passiv geschaltet ist.During intended use, both redundantly connected similar modules receive 5 and 6 over the bus system 7 the same data and commands from the parent device 4 , In both redundantly connected similar modules 5 and 6 the data and commands are processed synchronously with each other. However, in each case only one of the redundantly connected similar assemblies is active with the singular signal channel 3 connected while the other of the redundantly connected modules with respect to the singular signal channel 3 is switched passive.

Bei der Initialisierung des hierarchisch aufgebauten Automatisierungssystems wird die Auswahl der jeweils aktiven Baugruppe aus der Gruppe der redundant geschalteten gleichartigen Baugruppen 5 und 6 eines singulären Signalkanals 3 voreingestellt. Im weiteren wird davon ausgegangen, daß die Baugruppe 5 die aktive Baugruppe ist. Das bedeutet, daß ausschließlich die Baugruppe 5 über den singulären Signalkanal 3 mit dem Signalempfänger 1 kommuniziert. Die redundant geschaltete gleichartige Baugruppe 6 verfügt jedoch jederzeit über dieselben Daten und denselben Programmabarbeitungszustand wie die aktive Baugruppe 5, ist somit sendebereit jedoch bezüglich des singulären Signalkanals 3 passiv geschaltet.During the initialization of the hierarchically structured automation system, the selection of the respectively active module from the group of redundant similar modules 5 and 6 a singular signal channel 3 preset. In the following it is assumed that the assembly 5 is the active assembly. This means that only the module 5 over the singular signal channel 3 with the signal receiver 1 communicated. The redundantly connected similar module 6 however, always has the same data and program execution state as the active assembly 5 , is therefore ready to send but with respect to the singular signal channel 3 switched passive.

Im weiteren wird unter Bezugnahme auf die 2 bis 4 der Ablauf der Umschaltung des aktiven Zustandes bezüglich des singulären Signalkanals 3 von der aktiven Baugruppe 5 auf die redundant geschaltete gleichartige Baugruppe 6 erläutert. Dabei unterliegen verzweigende Programmschritte infolge eines Entscheidungsschritts der Konvention, daß der Zweig der Programmfortsetzung bei negativer Entscheidung mit einer „0" gekennzeichnet ist und der Zweig der Programmfortsetzung bei positiver Entscheidung mit einer „1" gekennzeichnet ist.Hereinafter, referring to the 2 to 4 the sequence of switching the active state with respect to the singular signal channel 3 from the active assembly 5 to the redundant similar assembly 6 explained. In this case, branching program steps as a result of a decision step of the convention are subject to the fact that the branch of the program continuation is marked with a "0" in the case of a negative decision and the branch of the program continuation in the case of a positive decision is marked with a "1".

Im einzelnen zeigt 2 einen Ablaufplan der Schritte in der aktiven Baugruppe 5 beim Wechsel der aktiven Baugruppe infolge eines Störereignisses in der jeweils aktiven Baugruppe. Ausgehend vom Start 1000 des Programms wird in einem Programmschritt 1101 in regelmäßigen Abständen geprüft, ob in der Baugruppe eine Störung vorliegt. Arbeitet die Baugruppe störungsfrei, wird der prüfende Programmschritt 1101 in regelmäßigen Zeitabständen wiederholt. Wird während des Programmschritts 1101 eine Störung der Baugruppe erkannt, wird der Verzweigung 1 folgend der Programmschritt 1102 ausgeführt. Während dieses Schrittes 1102 wird die gesamte Baugruppe rücksetzend initialisiert.In detail shows 2 a flow chart of the steps in the active assembly 5 when changing the active module due to a fault event in the respective active module. Starting from the start 1000 the program is in one program step 1101 Checked at regular intervals whether there is a fault in the module. If the module is working without any problems, the program step will be checked 1101 repeated at regular intervals. Will during the program step 1101 a failure of the module is detected, the branch 1 is following the program step 1102 executed. During this step 1102 the entire module is initialized reset.

Die rücksetzende Initialisierung wird im Programmschritt 1301 ausgewertet, dessen Erläuterung im Zusammenhang mit 4 erfolgt. Die rücksetzende Initialisierung bei Programmschritt 1102 löst die Umschaltung der aktiven Baugruppe im Programmschritt 1103 aus, die im Programmschritt 1201 im Zusammenhang mit 3 erläutert wird. Schließlich wird die Ablaufsequenz mit Programmschritt 9999 beendet. Durch die rücksetzende Initialisierung wird die aktive Baugruppe 5 in den passiven Zustand bezüglich des singulären Signalkanals 3 versetzt.The resetting initialization is in the program step 1301 evaluated, its explanation in connection with 4 he follows. The resetting initialization at program step 1102 triggers switching of the active module in the program step 1103 out in the program step 1201 in connection with 3 is explained. Finally, the sequence of execution with program step 9999 completed. The resetting initialization becomes the active module 5 in the passive state with respect to the singular signal channel 3 added.

In 3 ist ein Ablaufplan der Schritte in der redundant geschalteten Ersatz-Baugruppe 6 beim Wechsel der aktiven Baugruppe gezeigt, wobei diese Ersatz-Baugruppe 6 beim Start, Programmschritt 1000, bezüglich des singulären Signalkanals 3 passivgeschaltet ist. Bezogen auf die Darstellung in 1 laufen die nachfolgend erläuterten Programmschritte in der Ersatz-Baugruppe 6 ab. Ausgehend vom Start, Programmschritt 1000, wird bei Programmschritt 1201 geprüft, ob ein Umschaltsignal vorliegt. Das erwartete Umschaltsignal wird durch die rücksetzende Initialisierung der aktiven Baugruppe 5 gemäß 2 während des Programmschritts 1103 erzeugt. Bei negativem Befund wird der Verzweigung 0 folgend diese Prüfung in regelmäßigen Abständen wiederholt.In 3 is a flow chart of the steps in the redundant replacement module 6 shown when changing the active assembly, this replacement assembly 6 at the start, program step 1000 , with respect to the singular signal channel 3 is switched passive. Relative to the illustration in 1 The program steps explained below run in the replacement module 6 from. Starting from the start, program step 1000 , becomes at program step 1201 checked whether a switching signal is present. The expected switchover signal is given by the resetting initialization of the active module 5 according to 2 during the program step 1103 generated. In the case of a negative result, following branch 0, this test is repeated at regular intervals.

Soweit das Vorliegen eines Umschaltsignals erkannt wird, wird der Programmverzweigung 1 folgend der Programmschritt 1202 ausgeführt. Das in der passivgeschalteten Ersatz-Baugruppe 6 im Programmschritt 1201 abgeprüfte Umschaltsignal wird in der aktiven Baugruppe 5 infolge einer Störung bei Programmschritt 1103 erzeugt. Mit Erkennen eines Umschaltsignals wird bei Programmschritt 1202 spontan die Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 aufgenommen. Dadurch wird die redundant geschaltete Ersatz-Baugruppe 6 nunmehr zur aktiven Baugruppe. Da die Ersatz-Baugruppe 6 vereinbarungsgemäß über dieselben Daten verfügt und denselben Programmabarbeitungszustand aufweist wie die bis dahin aktive Baugruppe 5, ist eine kontinuierliche und stoßfreie Übernahme und Fortsetzung der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 gewährleistet.As far as the presence of a switching signal is detected, the program branch 1 following the program step 1202 executed. This in the passive switched replacement module 6 in the program step 1201 Checked switching signal is in the active module 5 due to a fault in program step 1103 generated. Upon detection of a switching signal is at program step 1202 Spontaneous communication with the signal receiver 1 over the singular signal channel 3 added. This will cause the redundant replacement module 6 now to the active module. Because the replacement assembly 6 As agreed, it has the same data and has the same program execution status as the previously active assembly 5 , is a continuous and bumpless takeover and continuation of communication with the signal receiver 1 over the singular signal channel 3 guaranteed.

Zum Zeitpunkt des Abarbeitungsschritts 1202 ist insbesondere in einem komplexen hierarchisch aufgebauten Automatisierungssystem unbekannt, ob die übergeordnete Einrichtung 4 bereits die Meldung der Störung der bis dahin aktiven Baugruppe 5 empfangen hat.At the time of the processing step 1202 is unknown in particular in a complex hierarchically structured automation system, whether the higher-level device 4 already the message of the disturbance of the until then active module 5 has received.

Nach Ablauf einer unbestimmten Zeit empfängt die aktivierte Ersatz-Baugruppe 6 von der übergeordneten Baugruppe 4 einen Aktivierungsbefehl, der die spontane Aktivierung bei Programmschritt 1203 authentisiert. Die aktivierte Ersatz-Baugruppe 6 ist nunmehr im Automatisierungssystem als aktive Baugruppe bezüglich des singulären Signalkanals 3 registriert. Die Ablaufsequenz endet mit Programmschritt 9999.After expiration of an indefinite time, the activated replacement module receives 6 from the over ordered assembly 4 an activation command indicating the spontaneous activation at program step 1203 authenticated. The activated replacement module 6 is now in the automation system as an active module with respect to the singular signal channel 3 registered. The sequence ends with program step 9999 ,

In 4 ist der Ablauf der Schritte in der übergeordneten Einrichtung 4 beim Wechsel der aktiven Baugruppe dargestellt. In der übergeordneten Einrichtung 4 wird eine Endlosschleife, beginnend mit Programmschritt 1000, ausgeführt. Während Programmschritt 1301 wird geprüft, ob alle untergeordneten Baugruppen störungsfrei sind. Solange keine der angeschlossenen untergeordneten Baugruppen eine Störung meldet, wird der Programmverzweigung 1 folgend der Programmschritt 1301 in regelmäßigen Abständen wiederholt.In 4 is the flow of steps in the parent device 4 when changing the active module. In the parent institution 4 becomes an infinite loop, starting with program step 1000 , executed. During program step 1301 Checks whether all subordinate modules are free of interference. As long as none of the connected subordinate modules reports a malfunction, program branching 1 will be followed by the program step 1301 repeated at regular intervals.

Jede gestörte untergeordnete Baugruppe 5 und 6 meldet ihren Störungszustand infolge der rücksetzenden Initialisierung bei Programmschritt 1102 gemäß der Darstellung in 2. Sobald die übergeordnete Einrichtung 4 bei Programmschritt 1301 eine Störungsmeldung einer angeschlossenen untergeordneten Baugruppe 5 und 6 empfängt, wird die Programmabarbeitung der Programmverzweigung 0 folgend mit Programmschritt 1302 fortgesetzt.Each faulty subassembly 5 and 6 reports its fault condition as a result of the resetting initialization at program step 1102 as shown in 2 , Once the parent institution 4 at program step 1301 a fault message from a connected subordinate module 5 and 6 receives the program execution of the program branch 0 following with program step 1302 continued.

Während des Programmschritts 1302 wird ermittelt, welche der angeschlossenen untergeordneten Baugruppen 5 und 6 eine Störung gemeldet hat. Im weiteren Verlauf der Abarbeitung wird bei Programmschritt 1303 geprüft, ob die gestörte untergeordnete Baugruppe 5 oder 6 eine aktive Baugruppe 5 bezüglich des angeschlossenen singulären Signalkanals 3 ist.During the program step 1302 it is determined which of the connected subordinate modules 5 and 6 has reported a fault. In the further course of processing is at program step 1303 Checks if the faulty subordinate assembly 5 or 6 an active assembly 5 with regard to the connected singular signal channel 3 is.

Soweit die gestörte untergeordnete Baugruppe bezüglich des singulären Signalkanals 3 passiv geschaltet ist, wird der Programmverzweigung 0 folgend bei Programmschritt 1311 eine Meldung an das Bedienpersonal ausgegeben, daß eine Baugruppe ausgefallen ist und um welche es sich handelt. Anschließend wird die Programmabarbeitung mit Programmschritt 1301 fortgesetzt.As far as the faulty subordinate assembly with respect to the singular signal channel 3 is switched passive, the program branch is 0 following at program step 1311 issued a message to the operator that an assembly has failed and which is. Subsequently, the program processing with program step 1301 continued.

Wird bei Programmschritt 1303 ermittelt, daß die gestörte untergeordnete Einrichtung eine bezüglich des singulären Signalkanals 3 aktive Baugruppe 5 ist, wird der Programmverzweigung 1 folgend bei Programmschritt 1304 geprüft, ob das Automatisierungssystem eine zu der gestörten untergeordneten Einrichtung 5 gleichartige redundant geschaltete Ersatz-Baugruppe 6 aufweist. Soweit die gestörte untergeordnete Einrichtung 5 eine singuläre Baugruppe ist, wird der Programmverzweigung 0 folgend bei Programmschritt 1321 das Bedienpersonal über den Ausfall der Baugruppe 5 alarmiert und die Programmabarbeitung mit Programmschritt 1301 fortgesetzt.Is at program step 1303 determines that the disturbed subordinate device has a respect to the singular signal channel 3 active module 5 is the program branch 1 following program step 1304 Checks if the automation system is one of the disturbed child device 5 similar redundant replacement module 6 having. As far as the disturbed subordinate institution 5 is a singular assembly, program branch 0 following at program step 1321 the operating personnel about the failure of the module 5 alarmed and program execution with program step 1301 continued.

Wird bei Programmschritt 1304 ermittelt, daß der gestörten untergeordneten Einrichtung 5 eine gleichartige Ersatz-Baugruppe 6 redundant geschaltet ist, wird der Programmverzweigung 1 folgend bei Programmschritt 1305 diejenige Ersatz-Baugruppe 6 ermittelt, die zur gestörten untergeordneten Einrichtung 5 redundant geschaltet ist. Dem weiteren Programmablauf folgend wird bei Programmschritt 1306 die zur gestörten untergeordneten Einrichtung 5 redundant geschaltete gleichartige Ersatz-Baugruppe 6 adressiert und bei Programmschritt 1307 der Befehl zur Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 erteilt. Dieser Befehl wird in der redundant geschalteten gleichartigen Ersatz-Baugruppe 6 empfangen und im Programmschritt 1203 gemäß 3 verarbeitet. In der übergeordneten Einrichtung wird nach Abarbeitung des Programmschritts 1307 turnusmäßig mit Programmschritt 1301 fortgesetzt.Is at program step 1304 determines that the faulty subordinate device 5 a similar replacement assembly 6 is switched redundant, the program branch 1 is following at program step 1305 the replacement module 6 determines the faulty subordinate device 5 is switched redundant. Following the further program sequence is at program step 1306 the disturbed subordinate institution 5 redundant similar replacement module 6 addressed and at program step 1307 the command to take over communication with the signal receiver 1 over the singular signal channel 3 granted. This command will be in the redundant equivalent replacement assembly 6 received and in the program step 1203 according to 3 processed. In the higher-level institution, after processing the program step 1307 regularly with program step 1301 continued.

Es ist offensichtlich, daß in der übergeordneten Einrichtung 4 in einem komplexen, hierarchisch aufgebauten Automatisierungssystem mit einer Vielzahl untergeordneter Einrichtungen 5 und 6 von der Erkennung einer gestörten untergeordneten Einrichtung bei Programmschritt 1301 bis zur Ausgabe des Übernahmebefehls an eine redundant geschaltete gleichartige Ersatz-Baugruppe 6 bei Programmschritt 1307 eine Abarbeitungszeit für die Programmschritte 1301 bis 1307 benötigt wird, die zu einer spürbaren Unterbrechung in der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 mit den in der Beschreibungseinleitung erwähnten Nachteilen führt. Insbesondere ist dabei zu berücksichtigen, daß die Ablaufsequenz gemäß 4 für die übergeordnete Einrichtung 4 bezogen auf den gesamten Programmablauf in der übergeordneten Einrichtung 4 des hierarchisch aufgebauten Automatisierungssystems nur einen vergleichsweise geringen Anteil hat.It is obvious that in the parent institution 4 in a complex, hierarchically structured automation system with a large number of subordinate facilities 5 and 6 from the detection of a faulty subordinate device at program step 1301 until the transfer command is issued to a redundant equivalent replacement module 6 at program step 1307 a processing time for the program steps 1301 to 1307 is required, resulting in a noticeable interruption in the communication with the signal receiver 1 over the singular signal channel 3 with the disadvantages mentioned in the introduction. In particular, it should be noted that the sequence according to 4 for the higher-level institution 4 related to the entire program flow in the higher-level institution 4 of the hierarchically structured automation system has only a comparatively small proportion.

Nach Maßgabe der Erfindung verzögert diese Ablaufzeit jedoch nur die nachträgliche Authentisierung der bereits vollzogenen Umschaltung der aktiven Baugruppe und Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 während der Programmschritts 1202 in der redundant geschalteten Baugruppe 6 wie in 3 dargestellt wurde.However, according to the invention, this expiration time delays only the subsequent authentication of the already completed switching of the active module and take over the communication with the signal receiver 1 over the singular signal channel 3 during the program step 1202 in the redundantly connected module 6 as in 3 was presented.

Zur Verdeutlichung dieses Zusammenhangs ist in 5 der Zeitverlauf von signifikanten Schritten beim Wechsel der aktiven Baugruppe dargestellt. Anhand von Gültigkeitssymbolen, die den Wechsel eines Gültigkeitszustandes signalisieren, sind Wechselzustände bei der Abarbeitung der Programmschritte 1102 in der gestörten aktiven Baugruppe 5 gemäß 2, die Übernahme der Kommunikation und damit Aktivschaltung der redundant geschalteten Ersatz-Baugruppe 6 bei Programmschritt 1202 gemäß 3 und die Authentisierung durch die übergeordnete Einrichtung 4 gemäß Programmschritt 1307 aus 4 über die Zeit t dargestellt. Die gestörte aktive Baugruppe 5 signalisiert zum Zeitpunkt t0 ihren Störungszustand. Daraufhin übernimmt die redundant geschaltete Ersatz-Baugruppe 6 zum Zeitpunkt t1 entsprechend Programmschritt 1202 die Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3. Die Authentisierung der Übernahme der Kommunikation durch die redundant geschaltete Ersatz-Baugruppe 6 durch die übergeordnete Einrichtung 4, entsprechend Programmschritt 1307 aus 4, erfolgt zum Zeitpunkt t2.To clarify this relationship is in 5 the time course of significant steps when changing the active assembly shown. On the basis of validity symbols, which signal the change of a validity state, are change states during the execution of the program steps 1102 in the faulty active module 5 according to 2 , the acquisition of communication and thus active switching of the redundantly connected replacement module 6 at program step 1202 according to 3 and authentication by the parent device 4 according to program step 1307 out 4 shown over the time t. The faulty active module 5 signals its fault state at time t 0 . The redundant replacement module then takes over 6 at time t 1 according to program step 1202 the communication with the signal receiver 1 over the singular signal channel 3 , The authentication of the acceptance of the communication by the redundant replacement module 6 through the parent institution 4 , according to program step 1307 out 4 , takes place at time t 2 .

Die Dauer vom Zeitpunkt t0 bis t1 wird dabei ausschließlich durch die Signallaufzeiten in den elektronischen Bauelementen der gestörten aktiven Baugruppe 5 und der redundant geschalteten gleichartigen Ersatz-Baugruppe 6 bestimmt und liegt im Bereich einiger Mikrosekunden. Demgegenüber wird der Zeitabschnitt vom Zeitpunkt t0, der Störungsmeldung der gestörten aktiven Baugruppe 5, bis zum Zeitpunkt t2, dem Übernahmebefehl der übergeordneten Einrichtung 4, durch die Abarbeitungszeit der Programmschritte 1301 bis 1307 gemäß 4 in der übergeordneten Einrichtung 4 bestimmt und liegt im Bereich einiger Millisekunden.The duration from time t 0 to t 1 is thereby exclusively by the signal propagation times in the electronic components of the disturbed active module 5 and the redundant equivalent replacement subassembly 6 determined and is in the range of a few microseconds. In contrast, the time period from the time t 0 , the failure message of the faulty active module 5 until time t 2 , the takeover command of the parent device 4 , by the processing time of the program steps 1301 to 1307 according to 4 in the parent institution 4 determined and is in the range of a few milliseconds.

Auf grund kapazitiver Leitungseffekte auf dem als Zwei-Draht-Leitung ausgeführten singulären Signalkanal 3 ist eine Spannungsunterbrechung im Zeitbereich einiger Mikrosekunden für den angeschlossenen Signalempfänger 1 nicht detektierbar.Due to capacitive conduction effects on the singular signal channel designed as a two-wire line 3 is a voltage interruption in the time range of a few microseconds for the connected signal receiver 1 not detectable.

Praktisch bedeutet die Übernahme der Kommunikation mit dem Signalempfänger 1 über den singulären Signalkanal 3 durch die redundant geschaltete Ersatz-Baugruppe 6 zum Zeitpunkt t1 eine stoßfreie und verzögerungsfreie Übernahme.Practically means the assumption of communication with the signal receiver 1 over the singular signal channel 3 through the redundant replacement module 6 at time t 1 a bumpless and delay-free acquisition.

Unter Verwendung gleicher Bezugszeichen für gleiche Mittel ist in 6 eine bevorzugte Ausführungsform der Erfindung mit zwei redundant geschalteten gleichartigen Baugruppen 5 und 6 dargestellt. Jede der redundant geschalteten Baugruppen 5 und 6 verfügt über eine Prozessoreinheit 8, die über das Bussystem 7 mit der in 6 nicht dargestellten übergeordneten Einrichtung 4 kommuniziert. Die jeweils zweiten Schnittstellen der redundant geschalteten gleichartigen Baugruppen 5 und 6 sind parallelgeschaltet und mit dem singulären Signalkanal 3 verbunden. Der singuläre Signalkanal 3 ist als Zwei-Draht-Leitung ausgeführt, an dessen freien Ende der Signalempfänger 1 angeschlossen ist.Using like reference numerals for like means is in 6 a preferred embodiment of the invention with two redundantly connected similar assemblies 5 and 6 shown. Each of the redundantly connected modules 5 and 6 has a processor unit 8th via the bus system 7 with the in 6 not shown superordinate device 4 communicated. The respective second interfaces of the redundant similar modules 5 and 6 are connected in parallel and with the singular signal channel 3 connected. The singular signal channel 3 is designed as a two-wire cable, at the free end of the signal receiver 1 connected.

Jede der redundant geschalteten gleichartigen Baugruppen 5 und 6 ist jeweils mit einem Redundanzumschaltmittel 570 und 670 ausgestattet. Die Redundanzumschaltmittel 570 und 670 weisen jeweils einen Rücksetzeingang 571 und 671, ein Redundanzumschaltsignaleingang 572 und 672, einen Freigabeausgang 573 und 673 sowie einen Redundanzumschaltsignalausgang 574 und 674 auf.Each of the redundantly connected similar modules 5 and 6 is each with a redundancy switching means 570 and 670 fitted. The redundancy switching means 570 and 670 each have a reset input 571 and 671 , a redundancy switching signal input 572 and 672 , a release outlet 573 and 673 and a redundancy switching signal output 574 and 674 on.

Darüber hinaus ist jeder der gleichartigen Baugruppen 5 und 6 für jeden angeschlossenen singulären Signalkanal 3 mit jeweils einem Signalverstärker 510 und 610 ausgestattet.In addition, each of the similar assemblies 5 and 6 for each connected singular signal channel 3 each with a signal amplifier 510 and 610 fitted.

Vereinbarungsgemäß empfangen beide redundant geschalteten Baugruppen 5 und 6 dieselben Daten und Befehle über das Bussystem 7 von der in 6 nicht dargestellten übergeordneten Einrichtung. Demzufolge sind an den Ausgängen der Signalverstärker 510 und 610 zu denselben Zeitpunkten exakt dieselben Ausgangssignale verfügbar.As agreed, both redundantly connected modules receive 5 and 6 the same data and commands via the bus system 7 from the in 6 not shown superordinate device. Consequently, at the outputs of the signal amplifiers 510 and 610 exactly the same output signals are available at the same times.

Im weiteren wird davon ausgegangen, daß die Baugruppe 5 die aktuell aktivgeschaltete Baugruppe und die Baugruppe 6 die aktuell passivgeschaltete redundante Baugruppe ist. Der Ausgang des Signalverstärkers 510 der aktiven Baugruppe 5 ist, symbolisiert durch einen geschlossenen zweipoligen Schalter 520, mit dem singulären Signalkanal 3 verbunden. Der Schalter 520 wird durch den Freigabeausgang 573 des Redundanzumschaltmittels 570 betätigt.In the following it is assumed that the assembly 5 the currently active module and the module 6 is the currently passive redundant module. The output of the signal amplifier 510 the active assembly 5 is symbolized by a closed two-pole switch 520 , with the singular signal channel 3 connected. The desk 520 is through the release output 573 the redundancy switching means 570 actuated.

Im Gegensatz dazu ist der Ausgang des Signalverstärkers 610 der passiv geschalteten Baugruppe 6, symbolisiert durch einen geöffneten zweipoligen Schalter 620, vom singulären Signalkanal 3 getrennt. Der Schalter 620 wird durch den Freigabeausgang 673 des Redundanzumschaltmittels 670 betätigt.In contrast, the output of the signal amplifier 610 the passively connected module 6 , symbolized by an open two-pole switch 620 , from the singular signal channel 3 separated. The desk 620 is through the release output 673 the redundancy switching means 670 actuated.

Jede der redundant geschalteten Baugruppen 5 und 6 weist jeweils einen Redundanzumschaltsignaleingang 504 und 604 sowie einen Redundanzumschaltsignalausgang 505 und 605 auf, die jeweils mit dem zugehörigen Redundanzumschaltsignaleingang 572 und 672 und dem Redundanzumschaltsignalausgang 574 und 674 des zugehörigen Redundanzumschaltmittels 570 und 670 verbunden sind.Each of the redundantly connected modules 5 and 6 each has a redundancy switch signal input 504 and 604 and a redundancy switching signal output 505 and 605 on, each with the associated Redundanzumschaltsignaleingang 572 and 672 and the redundancy switching signal output 574 and 674 the associated redundancy switching means 570 and 670 are connected.

Die redundante Verschaltung der gleichartigen Baugruppen 5 und 6 besteht nunmehr darin, daß der Redundanzumschaltsignalausgang 505 der aktiven Baugruppe 5 über eine Signalleitung 11 mit dem Redundanzumschaltsignaleingang 604 der passiv geschalteten redundanten Baugruppe 6 verbunden ist, und daß der Redundanzumschaltsignalausgang 605 der passiv geschalteten Baugruppe 6 über eine Signalleitung 12 mit dem Redundanzumschaltsignaleingang 504 der aktiven Baugruppe 5 verbunden ist.The redundant interconnection of similar modules 5 and 6 is now that the redundancy switching signal output 505 the active assembly 5 via a signal line 11 with the redundancy switching signal input 604 the passive switched redundant module 6 and that the redundancy switching signal output 605 the passively connected module 6 via a signal line 12 with the redundancy switching signal input 504 the active assembly 5 connected is.

In jeder der gleichartigen Baugruppen 5 und 6 wird im Störungsfall, gemäß Programmschritt 1102 in 2, ein Rücksetzsignal 503 und 603 erzeugt, das am Rücksetzeingang 571 und 671 des jeweiligen Redundanzumschaltmittels 570 und 670 aufgeschaltet ist.In each of the similar assemblies 5 and 6 is in case of failure, according to the program step 1102 in 2 , a reset signal 503 and 603 generated at the reset input 571 and 671 the respective redundancy switching means 570 and 670 is switched on.

Beim Auftreten einer Störung in der aktiven Baugruppe 5 wird gemäß Programmschritt 1102 das Rücksetzsignal 503 aktiviert. Daraufhin wird über den Freigabeausgang 573 der Schalter 520 geöffnet und gleichzeitig über den Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570, den Redundanzumschaltsignalausgang 505 der aktiven Baugruppe 5, die Signalleitung 11 an den Redundanzumschaltsignaleingang 604 der redundant geschalteten Baugruppe 6 und weiter an den Redundanzumschaltsignaleingang 672 des Redundanzumschaltmittels 670 der Störungszustand der aktiven Baugruppe 5 gemeldet. Gemäß Programmschritt 1201 in 3 wird im Redundanzumschaltmittel 670 der redundant geschalteten Ersatz-Baugruppe 6 ein Redundanzumschaltsignal erkannt und über den Freigabeausgang 673 der Schalter 620 geschlossen. Das Schließen des Schalters 620 der aktivierten Ersatz-Baugruppe 6 entspricht dem Zeitpunkt t1 in 5. Bezüglich des singulären Signalkanals 3 wird die Kommunikation stoßfrei über die redundant geschaltete Ersatz-Baugruppe 6 fortgesetzt.When a fault occurs in the active module 5 becomes according to program step 1102 the reset signal 503 activated. Thereupon becomes over the release output 573 the desk 520 opened and simultaneously via the redundancy switching signal output 574 the redundancy switching means 570 , the redundancy switching signal output 505 the active assembly 5 , the signal line 11 to the redundancy switching signal input 604 the redundantly connected module 6 and on to the redundancy switch signal input 672 the redundancy switching means 670 the fault condition of the active module 5 reported. According to program step 1201 in 3 is in the redundancy switching means 670 the redundant replacement module 6 a redundancy switch signal is detected and via the enable output 673 the desk 620 closed. Closing the switch 620 the activated replacement module 6 corresponds to the time t 1 in 5 , Regarding the singular signal channel 3 Communication is bumpless over the redundant replacement module 6 continued.

Nach wiederhergestellter Baugruppe 5 und aktiver Ersatz-Baugruppe 6 wird bei deren Störung das Rücksetzsignal 603 aktiviert, woraufhin über den Freigabeausgang 673 der Schalter 620 geöffnet wird und gleichzeitig über den Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670, den Redundanzumschaltsignalausgang 605 der Baugruppe 6 und die Signalleitung 12 an den Redundanzumschaltsignaleingang 504 der Baugruppe 5 und weiter an den Redundanzumschaltsignaleingang 572 des Redundanzumschaltmittels 570, gemäß Programmschritt 1103 in 2, gesendet. Daraufhin wird über den Freigabeausgang 573 des Redundanzumschaltmittels 570 der Schalter 520 geschlossen und der singuläre Signalkanal 3 mit dem Ausgang des Signalverstärkers 510 verbunden.After restored assembly 5 and active replacement module 6 If the error occurs, the reset signal 603 activated, whereupon via the release output 673 the desk 620 and simultaneously via the redundancy switch signal output 674 the redundancy switching means 670 , the redundancy switching signal output 605 the assembly 6 and the signal line 12 to the redundancy switching signal input 504 the assembly 5 and on to the redundancy switch signal input 572 the redundancy switching means 570 , according to program step 1103 in 2 , Posted. Thereupon becomes over the release output 573 the redundancy switching means 570 the desk 520 closed and the singular signal channel 3 with the output of the signal amplifier 510 connected.

In besonders vorteilhafter Ausgestaltung der Erfindung sind die Schalter 520 und 620 als elektronische Torschaltungen ausgeführt. Soweit die redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Sendebaugruppen ausgeführt sind, sind die Ausgänge der elektronischen Torschaltungen 520 und 620 unmittelbar mit den Anschlußelementen der zweiten Schnittstelle zum Anschluß des singulären Signalkanals 3 verbunden. Sind die redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Empfangsbaugruppen ausgeführt, dann sind die Signaleingänge der elektronischen Torschaltungen 520 und 620 unmittelbar mit den Anschlußelementen der zweiten Schnittstelle zum Anschluß des singulären Signalkanals 3 verbunden.In a particularly advantageous embodiment of the invention, the switches 520 and 620 designed as electronic gates. As far as the redundantly connected, similar modules 5 and 6 are designed as transmission modules, the outputs of the electronic gate circuits 520 and 620 directly with the connection elements of the second interface for connection of the singular signal channel 3 connected. Are the redundantly connected, similar modules 5 and 6 executed as receiving modules, then the signal inputs of the electronic gate circuits 520 and 620 directly with the connection elements of the second interface for connection of the singular signal channel 3 connected.

Dadurch wird der singuläre Signalkanals 3 unmittelbar an seinem Anschlüssen an die redundant geschalteten, gleichartigen Baugruppen 5 und 6 Abhängigkeit vom Aktivierungszustand jeder redundant geschalteten, gleichartigen Baugruppe 5 und 6 an- und abgeschaltet.This will be the singular signal channel 3 immediately at its connections to the redundantly connected, similar modules 5 and 6 Dependence on the activation state of each redundantly connected, similar module 5 and 6 switched on and off.

Der Vorteil dieser Vorgehensweise ist darin zu sehen, daß die redundant geschalteten, gleichartigen Baugruppen 5 und 6 unabhängig von ihrem Aktivierungszustand während des laufenden Betriebs nahezu vollständig prüfbar und überwachbar sind. Lediglich die elektronischen Torschaltungen 520 und 620 der jeweils passivgeschalteten Ersatz-Baugruppe sind von der laufenden Überwachung ausgenommen.The advantage of this approach is the fact that the redundantly connected, similar modules 5 and 6 regardless of their activation state during operation are almost completely verifiable and monitored. Only the electronic gate circuits 520 and 620 each passive-connected spare module is excluded from ongoing monitoring.

Da vereinbarungsgemäß alle redundant geschalteten, gleichartigen Baugruppen 5 und 6 unabhängig von ihrem Aktivierungszustand während des laufenden Betriebs von der übergeordneten Einrichtung 4 des hierarchisch aufgebauten Automatisierungssystems dieselben Daten und Befehle empfangen und zu denselben Zeitpunkten denselben Abarbeitungszustand der Befehlssequenzen aufweisen, werden Störungen sowohl in der aktivgeschalteten Baugruppe 5 als auch in allen passivgeschalteten Ersatz-Baugruppen 6 erkannt und verarbeitet. Auf diese Weise wird eine besonders hohe Verfügbarkeit für das hierarchisch aufgebauten Automatisierungssystem erreicht.As agreed, all redundantly connected, similar modules 5 and 6 regardless of their activation state during operation of the parent device 4 of the hierarchically structured automation system receive the same data and commands and have the same execution state of the command sequences at the same times, disturbances in both the active circuit assembly 5 as well as in all passive switched spare modules 6 recognized and processed. In this way, a particularly high availability for the hierarchically structured automation system is achieved.

Wenngleich die bevorzugte Ausführungsform gemäß 6 am Beispiel redundant geschalteter Sendebaugruppen mit einem Signalempfänger 1 beschrieben ist, liegt es gleichwohl im Rahmen der Erfindung, anstelle des Signalempfängers 1 einen Signalsender 1 vorzusehen und die redundant geschalteten Baugruppen 5 und 6 als Empfangsbaugruppen auszugestalten. Darüber hinaus liegt es im Rahmen der Erfindung, daß jede Sende-/Empfängerkombination auf analoge oder digitale Signalübertragung spezialisiert ist.Although the preferred embodiment according to 6 on the example of redundantly switched transmission modules with a signal receiver 1 is described, it is nevertheless within the scope of the invention, instead of the signal receiver 1 a signal transmitter 1 provide and the redundantly connected modules 5 and 6 to design as receiving modules. Moreover, it is within the scope of the invention that each transmitter / receiver combination is specialized in analog or digital signal transmission.

Darüber hinaus liegt es im Rahmen der Erfindung, Gruppen von mehr als zwei redundant geschalteten gleichartigen Baugruppen zur stoßfreien Übernahme der Kommunikation über einen singulären Signalkanal zu einem Signalempfänger 1 bzw. von einem Signalsender 1 vorzusehen.Moreover, it is within the scope of the invention, groups of more than two redundantly connected similar assemblies for bumpless transfer of communication over a singular signal channel to a signal receiver 1 or from a signal transmitter 1 provided.

In 7 ist unter Verwendung gleicher Bezugszeichen für gleiche Mittel das Redundanzumschaltmittel 570 und 670 der redundant geschalteten, gleichartigen Baugruppen 5 und 6 als Blockschaltbild dargestellt. Dabei sind die Mittel mit den Bezugszeichen 570 bis 577 der aktivgeschalteten Baugruppe 5 und die Mittel mit den Bezugszeichen 670 bis 677 der passivgeschalteten Ersatz-Baugruppe 6 zugeordnet.In 7 is the redundancy switching means using like reference numerals for like means 570 and 670 the redundantly connected, similar modules 5 and 6 shown as a block diagram. In this case, the means with the reference numerals 570 to 577 the activated module 5 and the means with the reference numerals 670 to 677 the passively switched replacement module 6 assigned.

Das Redundanzumschaltmittel 570 und 670 besteht im wesentlichen aus einem adressierbaren Statuslatch 575 und 675, einem adressierbaren Bereitschaftslatch 576 und 676 sowie einem UND-Gatter 577 und 677 mit zwei Eingängen, von denen ein Eingang invertierend ist.The redundancy switching means 570 and 670 consists essentially of an addressable status latch 575 and 675 , an addressable standby latch 576 and 676 as well as an AND gate 577 and 677 with two inputs, one input of which is inverting.

Das adressierbare Statuslatch 575 und 675 und das adressierbare Bereitschaftslatch 576 und 676 des Redundanzumschaltmittels 570 und 670 sind über einen gemeinsamen Rücksetzeingang rücksetzbar, der der Rücksetzeingang 571 und 671 des Redundanzumschaltmittels 570 und 670 ist. Der Ausgang des adressierbaren Statuslatch 575 und 675 ist der Redundanzumschaltsignalausgang 574 und 674 des Redundanzumschaltmittels 570 und 670 und der Ausgang des adressierbare Bereitschaftslatch 576 und 676 ist mit dem nichtinvertierenden Eingang des UND-Gatters 577 und 677 verbunden.The addressable status latch 575 and 675 and the addressable standby latch 576 and 676 the redundancy switching means 570 and 670 can be reset via a common reset input, which is the reset input 571 and 671 the redundancy switching means 570 and 670 is. The output of the addressable status latch 575 and 675 is the redundancy switching signal output 574 and 674 the redundancy switching means 570 and 670 and the output of the addressable ready latch 576 and 676 is with the non-inverting input of the AND gate 577 and 677 connected.

Darüber hinaus weist das Redundanzumschaltmittel 570 und 670 Mittel zur selektiven Konfiguration des adressierbaren Statuslatch 575 und 675 und des adressierbaren Bereitschaftslatch 576 und 676 durch die Prozessoreinheit 8 auf.In addition, the redundancy switching means 570 and 670 Means for selectively configuring the addressable status latch 575 and 675 and the addressable standby latch 576 and 676 through the processor unit 8th on.

Der invertierende Eingang des UND-Gatters 577 und 677 ist der Redundanzumschaltsignaleingang 572 und 672 des Redundanzumschaltmittels 570 und 670. Der Ausgang des UND-Gatters 577 und 677 ist der Freigabeausgang 573 und 673 des Redundanzumschaltmittels 570 und 670.The inverting input of the AND gate 577 and 677 is the redundancy switching signal input 572 and 672 the redundancy switching means 570 and 670 , The output of the AND gate 577 and 677 is the release output 573 and 673 the redundancy switching means 570 and 670 ,

Bei der Inbetriebnahme der redundant geschalteten, gleichartigen Baugruppen 5 und 6 werden das adressierbare Statuslatch 575 und 675 und das adressierbare Bereitschaftslatch 576 und 676 des Redundanzumschaltmittels 570 und 670 durch die Prozessoreinheit 8 in Abhängigkeit vom Aktivierungszustand der jeweiligen Baugruppe 5 und 6 initialisierend eingestellt.When commissioning the redundantly connected, similar modules 5 and 6 become the addressable status latch 575 and 675 and the addressable standby latch 576 and 676 the redundancy switching means 570 and 670 through the processor unit 8th depending on the activation state of the respective module 5 and 6 set initializing.

Bei der Initialisierung der aktivgeschalteten Baugruppe 5 wird das adressierbare Statuslatch 575 gesetzt. Der Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570 führt somit High-Pegel und ist demzufolge bei positiver Logik aktiv. Das adressierbare Bereitschaftslatch 576 des Redundanzumschaltmittels 570 wird für die aktivgeschaltete Baugruppe 5 gesetzt, so daß am nichtinvertierenden Eingang des UND-Gatters 577 High-Pegel geschaltet ist.During initialization of the activated module 5 becomes the addressable status latch 575 set. The redundancy switching signal output 574 the redundancy switching means 570 thus carries high level and is therefore active with positive logic. The addressable standby latch 576 the redundancy switching means 570 is for the active module 5 set so that the non-inverting input of the AND gate 577 High level is switched.

Bei der Initialisierung der passivgeschalteten Ersatz-Baugruppe 6 wird das adressierbare Statuslatch 675 in seinen rückgesetzten Zustand verbracht. Der Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670 führt somit Low-Pegel und ist demzufolge bei positiver Logik inaktiv. Das adressierbare Bereitschaftslatch 676 des Redundanzumschaltmittels 670 wird für die passivgeschaltete Ersatz-Baugruppe 6 gesetzt, so daß am nichtinvertierenden Eingang des UND-Gatters 677 High-Pegel geschaltet ist.During the initialization of the passive switched replacement module 6 becomes the addressable status latch 675 spent in its reset state. The redundancy switching signal output 674 the redundancy switching means 670 thus results in low level and is therefore inactive with positive logic. The addressable standby latch 676 the redundancy switching means 670 is for the passive switched replacement module 6 set so that the non-inverting input of the AND gate 677 High level is switched.

Im weiteren wird die Wirkungsweise der Redundanzumschaltmittel 570 und 670 der aktivgeschaltete Baugruppe 5 und der passivgeschalteten Ersatz-Baugruppe 6 unter Berücksichtigung der Zusammenschaltung gemäß 6 erläutert. Dabei ist der Redundanzumschaltsignalausgang 574 des Redundanzumschaltmittels 570 der aktivgeschaltete Baugruppe 5 über den Redundanzumschaltsignalausgang 505, die Signalleitung 11 und den Redundanzumschaltsignaleingang 604 der Ersatz-Baugruppe 6 mit dem Redundanzumschaltsignaleingang 672 des Redundanzumschaltmittels 670 verbunden. Der Redundanzumschaltsignalausgang 674 des Redundanzumschaltmittels 670 ist über den Redundanzumschaltsignalausgang 605, die Signalleitung 12 und den Redundanzumschaltsignaleingang 504 des Redundanzumschaltmittels 570 mit dem Redundanzumschaltsignaleingang 572 der aktivgeschaltete Baugruppe 5 verbunden.In the following, the operation of the redundancy switching means will be described 570 and 670 the active module 5 and the passive-connected replacement module 6 taking into account the interconnection according to 6 explained. Where is the redundancy switch signal output 574 the redundancy switching means 570 the active module 5 via the redundancy switching signal output 505 , the signal line 11 and the redundancy switch signal input 604 the replacement module 6 with the redundancy switching signal input 672 the redundancy switching means 670 connected. The redundancy switching signal output 674 the redundancy switching means 670 is via the redundancy switching signal output 605 , the signal line 12 and the redundancy switch signal input 504 the redundancy switching means 570 with the redundancy switching signal input 572 the active module 5 connected.

Durch diese Verbindungen führen der Redundanzumschaltsignaleingang 672 der passivgeschalteten Ersatz-Baugruppe 6 High-Pegel und der Redundanzumschaltsignaleingang 572 der aktivgeschaltete Baugruppe 5 Low-Pegel.These connections cause the redundancy switch signal input 672 the passively switched replacement module 6 High level and the redundancy switching signal input 572 the active module 5 Low level.

Bei ungestörtem Betrieb sind die Rücksetzsignale 571 und 671 der aktivgeschalteten Baugruppe 5 und der passivgeschalteten Ersatz-Baugruppe 6 inaktiv. Darüber hinaus ist der Freigabeausgang 573 der aktivgeschalteten Baugruppe 5 durch die Verknüpfung des Low-Pegels vom Redundanzumschaltsignaleingang 572 am invertierenden Eingang des UND-Gatters 577 und des High-Pegels vom Ausgang des adressierbaren Bereitschaftslatch 576 am nichtinvertierenden Eingang des UND-Gatters 577 mit High-Pegel aktiv. Infolge dessen ist der Schalter 520 der aktivgeschalteten Baugruppe 5 geschlossen und der Ausgang des Signalverstärkers 510 über den singulären Signalkanal 3 mit dem Signalempfänger 1 verbunden.In undisturbed operation are the reset signals 571 and 671 the activated module 5 and the passive-connected replacement module 6 inactive. In addition, the release output 573 the activated module 5 by linking the low level of the redundancy switch signal input 572 at the inverting input of the AND gate 577 and the high level of the output of the addressable standby latch 576 at the non-inverting input of the AND gate 577 active with high level. As a result, the switch 520 the activated module 5 closed and the output of the signal amplifier 510 over the singular signal channel 3 with the signal receiver 1 connected.

Bei der passivgeschalteten Ersatz-Baugruppe 6 führt der Ausgang des UND-Gatters 677 des Redundanzumschaltmittels 670 durch die Verknüpfung des High-Pegels vom Redundanzumschaltsignaleingang 672 am invertierenden Eingang und des High-Pegels vom Ausgang des adressierbaren Bereitschaftslatch 676 am nichtinvertierenden Eingang im Ergebnis Low-Pegel, so daß der Freigabeausgang 673 inaktiv ist. Infolge dessen ist der Schalter 620 der redundant geschalteten, gleichartigen Ersatz-Baugruppe 6 geöffnet, so daß der singuläre Signalkanal 3 von dem Ausgang des Signalverstärkers 610 der Ersatz-Baugruppe 6 getrennt ist.In the case of the passive-connected replacement module 6 performs the output of the AND gate 677 the redundancy switching means 670 by linking the high level from the redundancy switch signal input 672 at the inverting input and the high level from the output of the addressable ready latch 676 at the non-inverting input, the result is a low level, so that the enable output 673 is inactive. As a result, the switch 620 the redundant, similar replacement module 6 opened so that the singular signal channel 3 from the output of the signal amplifier 610 the replacement module 6 is disconnected.

Beim Auftreten einer Störung in der aktivgeschalteten Baugruppe 5 wird das Rücksetzsignal 571 aktiviert. Infolge dessen werden das adressierbare Statuslatch 575 und das adressierbare Bereitschaftslatch 576 rückgesetzt. Durch Rücksetzen des adressierbaren Statuslatch 575 wird der Redundanzumschaltsignalausgang 574 der aktivgeschalteten Baugruppe 5 und damit der Redundanzumschaltsignaleingang 672 auf Low-Pegel gesetzt.When a fault occurs in the active module 5 becomes the reset signal 571 activated. As a result, the addressable status latch 575 and the addressable standby latch 576 reset. By resetting the addressable status latch 575 becomes the redundancy switching signal output 574 the activated module 5 and thus the redundancy switching signal input 672 set to low level.

Der Low-Pegel am invertierenden Eingang des UND-Gatters 677 bewirkt bei gesetztem adressierbaren Bereitschaftslatch 676 die Aktivierung des Freigabeausgangs 673. Infolge dessen wird der Schalter 620 der redundant geschalteten, gleichartigen Ersatz-Baugruppe 6 geschlossen, so daß der Ausgang des Signalverstärkers 610 der Ersatz-Baugruppe 6 über den singuläre Signalkanal 3 mit dem Signalempfänger 1 verbunden ist.The low level at the inverting input of the AND gate 677 effects when the addressable standby latch is set 676 the activation of the release output 673 , As a result, the switch 620 the redundant, similar replacement module 6 closed so that the output of the signal amplifier 610 the replacement module 6 over the singular signal channel 3 with the signal receiver 1 connected is.

Darüber hinaus bewirkt das Rücksetzen des adressierbaren Bereitschaftslatch 576 der aktivgeschalteten Baugruppe 5 infolge Low-Pegels am nichtinvertierenden Eingang des UND-Gatters 577 im Ergebnis Low-Pegel am Freigabeausgang 573. Infolge dessen wird der Schalter 520 der gestörten Baugruppe 5 geöffnet, so daß der singuläre Signalkanal 3 vom Ausgang des Signalverstärkers 510 der gestörten Baugruppe 5 getrennt ist.In addition, the reset of the addressable ready latch causes 576 the activated module 5 due to low level at the non-inverting input of the AND gate 577 as a result, low level at the enable output 573 , As a result, the switch 520 the faulty module 5 opened so that the singular signal channel 3 from the output of the signal amplifier 510 the faulty module 5 is disconnected.

Bei der Authentisierung gemäß Programmschritt 1307 zum Zeitpunkt t2 des bereits vorläufig vollzogenen Wechsels der aktivgeschalteten Baugruppe gemäß Programmschritt 1202 zum Zeitpunkt t1 wird das adressierbare Statuslatch 675 der Ersatz-Baugruppe 6 gesetzt. Der Ausgang des adressierbaren Statuslatch 675 und damit der Redundanzumschaltsignalausgang 605 sowie der Redundanzumschaltsignaleingang 504 führen nunmehr High-Pegel, so daß das UND-Gatters 577 unabhängig vom Zustand des adressierbaren Bereitschaftslatch 576 stets gesperrt ist. In vorteilhafter Weise wird dadurch der Freigabeausgang 573 gegen unbeabsichtigte Aktivierung verriegelt.During the authentication according to the program step 1307 at time t 2 of the already provisionally completed change of the active circuit module according to the program step 1202 at time t 1 , the addressable status latch 675 the replacement module 6 set. The output of the addressable status latch 675 and thus the redundancy switching signal output 605 and the redundancy switch signal input 504 now carry high level, so that the AND gate 577 regardless of the state of the addressable standby latch 576 is always locked. Advantageously, thereby the release output 573 locked against unintentional activation.

Nach der Authentisierung ist die Ersatz-Baugruppe 6 im Automatisierungssystem als aktive Baugruppe registriert.After authentication is the replacement module 6 registered in the automation system as an active module.

11
Signalempfängersignal receiver
33
singulärer Signalkanalsingular signal channel
44
übergeordnete Einrichtungparent Facility
5, 65, 6
redundant geschaltete, gleichartige Baugruppenredundant switched, similar assemblies
77
Bussystembus system
88th
Prozessoreinheitprocessor unit
11, 1211 12
Signalleitungensignal lines
503, 603503 603
RücksetzsignalReset signal
504, 604504 604
RedundanzumschaltsignaleingangRedundanzumschaltsignaleingang
505, 605505 605
RedundanzumschaltsignalausgangRedundanzumschaltsignalausgang
510, 610510 610
Signalverstärkersignal amplifier
520, 620520 620
Schalterswitch
570, 670570, 670
RedundanzumschaltmittelRedundanzumschaltmittel
571, 671571, 671
RücksetzeingangReset input
572, 672572, 672
RedundanzumschaltsignaleingangRedundanzumschaltsignaleingang
573, 673573, 673
Freigabeausgangenable output
574, 674574, 674
RedundanzumschaltsignalausgangRedundanzumschaltsignalausgang
575, 675575, 675
adressierbares Statuslatchaddressable Statuslatch
576, 676576, 676
adressierbares Bereitschaftslatchaddressable Bereitschaftslatch
577, 677577, 677
UND-GatterAND gate
1000 bis 99991000 until 9999
Programmschritteprogram steps

Claims (2)

Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen in einem hierarchisch aufgebauten Automatisierungssystem, die gemeinsam parallel an denselben, singulären Signalkanal angeschlossen sind, wobei jede der Baugruppen eine Prozessorschaltung umfaßt, die über mindestens ein Bussystem mit übergeordneten Einrichtungen des Automatisierungssystems Daten austauscht und Befehle empfängt, wobei jeweils ausschließlich eine der redundant geschalteten Baugruppen aktiv über den singulären Signalkanal kommuniziert, während die anderen Baugruppen bezüglich des singulären Signalkanals passiv geschaltet sind und bei Störung der aktiven Baugruppe eine der passiven Baugruppen bezüglich des singulären Signalkanals aktiviert und die gestörte Baugruppe bezüglich des singulären Signalkanals abgeschaltet wird, dadurch gekennzeichnet, – daß dieselben Daten in allen redundant geschalteten Baugruppen (5, 6) von den übergeordneten Einrichtungen (4) des Automatisierungssystems empfangen und verarbeitet werden, – daß jede Störung der aktiven Baugruppe (5) über das Bussystem (7) an die übergeordneten Einrichtungen (4) des Automatisierungssystems gemeldet wird und daß über eine separate Verbindung (11, 12) zwischen den redundant geschalteten Baugruppen (5, 6) die passive Baugruppe (6) direkt unter Umgehung der übergeordneten Einrichtung (4) vorläufig bezüglich des singulären Signalkanals (3) aktiviert wird, – daß die Störungsmeldung der aktiven Baugruppe (5) in den übergeordneten Einrichtungen (4) des Automatisierungssystems verarbeitet wird und – daß die Aktivierung der passiven Baugruppe (6) durch die übergeordneten Einrichtungen (4) des Automatisierungssystems authentisiert wird.A method for switching redundantly connected, similar modules in a hierarchical automation system, which are connected together in parallel to the same, singular signal channel, each of the modules comprises a processor circuit which communicates with at least one bus system with higher-level devices of the automation system and receives commands, wherein in each case only one of the redundantly connected modules actively communicates via the singular signal channel, while the other modules are switched with respect to the singular signal channel passive and activated in case of failure of the active module one of the passive modules with respect to the singular signal channel and the failed module is switched off with respect to the singular signal channel , characterized in that - the same data in all redundantly connected assemblies ( 5 . 6 ) from the higher-level bodies ( 4 ) of the automation system are received and processed, - that any failure of the active assembly ( 5 ) via the bus system ( 7 ) to the higher-level bodies ( 4 ) of the automation system and that via a separate connection ( 11 . 12 ) between the redundantly connected modules ( 5 . 6 ) the passive assembly ( 6 ) directly bypassing the parent institution ( 4 ) provisionally with respect to the singular signal channel ( 3 ) is activated, - that the fault message of the active module ( 5 ) in the parent institutions ( 4 ) of the automation system is processed and - that the activation of the passive module ( 6 ) by the superordinate bodies ( 4 ) of the automation system is authenticated. Verfahren nach Anspruch 1 dadurch gekennzeichnet, daß der singuläre Signalkanal (3) unmittelbar an seinen Anschlüssen an die redundant geschalteten, gleichartigen Baugruppen (5, 6) in Abhängigkeit vom Aktivierungszustand jeder redundant geschalteten, gleichartigen Baugruppe (5, 6) an- und abgeschaltet wird.Method according to Claim 1, characterized in that the singular signal channel ( 3 ) immediately bar at its connections to the redundantly connected, similar assemblies ( 5 . 6 ) depending on the activation state of each redundantly connected, similar assembly ( 5 . 6 ) is switched on and off.
DE1998114096 1998-03-30 1998-03-30 Method for switching over redundantly connected, similar modules Expired - Lifetime DE19814096B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1998114096 DE19814096B4 (en) 1998-03-30 1998-03-30 Method for switching over redundantly connected, similar modules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1998114096 DE19814096B4 (en) 1998-03-30 1998-03-30 Method for switching over redundantly connected, similar modules

Publications (2)

Publication Number Publication Date
DE19814096A1 DE19814096A1 (en) 1999-10-07
DE19814096B4 true DE19814096B4 (en) 2007-07-19

Family

ID=7862914

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1998114096 Expired - Lifetime DE19814096B4 (en) 1998-03-30 1998-03-30 Method for switching over redundantly connected, similar modules

Country Status (1)

Country Link
DE (1) DE19814096B4 (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10030329C1 (en) 2000-06-27 2002-01-24 Siemens Ag Redundant control system as well as control computer and peripheral unit for such a control system
EP1239369A1 (en) 2001-03-07 2002-09-11 Siemens Aktiengesellschaft Fault-tolerant computer system and method for its use
US7246270B2 (en) * 2002-05-31 2007-07-17 Omron Corporation Programmable controller with CPU and communication units and method of controlling same
JP2004062589A (en) 2002-07-30 2004-02-26 Nec Corp Information processor
DE10249846B4 (en) * 2002-10-25 2007-08-16 Siemens Ag Redundant arrangement of field devices with current output and field device for such an arrangement
GB2421661A (en) * 2004-12-24 2006-06-28 Ote S P A Self-diagnosis of faults in radio system with redundancy units
DE102008038131B4 (en) * 2008-08-18 2013-12-05 EAE Ewert Automation Electronic GmbH Redundant control system and method for the safety-related control of actuators
EP2787401B1 (en) * 2013-04-04 2016-11-09 ABB Schweiz AG Method and apparatus for controlling a physical unit in an automation system
US9772615B2 (en) 2013-05-06 2017-09-26 Hamilton Sundstrand Corporation Multi-channel control switchover logic
DE102015106026B3 (en) * 2015-04-20 2016-08-25 Interroll Holding Ag Method for exchanging a control unit in a conveyor device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (en) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Method for reliably operating a redundant control system and arrangement for carrying out the method
DE3706325C2 (en) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3225455A1 (en) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Method for reliably operating a redundant control system and arrangement for carrying out the method
DE3706325C2 (en) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
H.G. Nix: Sichere Steuerungen in Mikroprozessor- technik. In: messen + prüfen/automatik, Juli/Aug- ust 1984, S. 368-370 *

Also Published As

Publication number Publication date
DE19814096A1 (en) 1999-10-07

Similar Documents

Publication Publication Date Title
EP2981868B1 (en) Control and data transmission system, process device and method for redundant process control with decentralized redundancy
DE102005055428B4 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
WO2004029737A1 (en) Redundant control unit arrangement
EP2302472A2 (en) Control system for safety critical processes
DE4416795C2 (en) Redundantly configurable transmission system for data exchange and method for its operation
WO2016008948A1 (en) Control and data-transfer system, gateway module, i/o module, and method for process control
DE19814096B4 (en) Method for switching over redundantly connected, similar modules
CH654425A5 (en) Redundant control arrangement
DE10035174A1 (en) Peripheral unit with high error protection for memory programmable controllers has data processing block for testing identical channels without interrupting data flow
EP1672446B1 (en) Secure Input/Ouput assembly for a controller
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
EP1638243A2 (en) Processing device with clock recovery from different sources
DE19847986C2 (en) Single processor system
EP3214512B1 (en) Redundant control system for an actuator and method for its redundant control
DE19842593C2 (en) Method for operating a bus master on a fieldbus
DE2651314C2 (en) Safety output circuit for a data processing system that emits binary signals
DE19916894A1 (en) Bus system
EP1469627B1 (en) Method for secure data transfer
EP3200033B1 (en) Assembly comprising at least two peripheral units with a sensor
DE4031241A1 (en) Digital signal transmission system with switchable substitute path - performs multistep switching to this path from manually switched channel or one having excessive error rate
DE3137046A1 (en) "CIRCUIT ARRANGEMENT FOR DETECTING FAULTS IN A DATA PROCESSING SYSTEM"
DE4303048C2 (en) Method and switchover device for switching between an operating system and at least one reserve system within redundant circuits
DE10357797A1 (en) Peripheral unit for a redundant control system
DE19543817C2 (en) Method and arrangement for checking and monitoring the operation of at least two data processing devices with a computer structure
EP0299375B1 (en) Method for connecting a computer in a multicomputer system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: ABB PATENT GMBH, 68309 MANNHEIM, DE

8127 New person/name/address of the applicant

Owner name: ABB PATENT GMBH, 68526 LADENBURG, DE

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ABB AG, 68309 MANNHEIM, DE

R071 Expiry of right