DE4401467A1 - Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem - Google Patents

Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem

Info

Publication number
DE4401467A1
DE4401467A1 DE19944401467 DE4401467A DE4401467A1 DE 4401467 A1 DE4401467 A1 DE 4401467A1 DE 19944401467 DE19944401467 DE 19944401467 DE 4401467 A DE4401467 A DE 4401467A DE 4401467 A1 DE4401467 A1 DE 4401467A1
Authority
DE
Germany
Prior art keywords
alarm
subsystems
subsystem
event
operating method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19944401467
Other languages
English (en)
Other versions
DE4401467C2 (de
Inventor
Herbert Dipl Ing Barthel
Horst Dr Daar
Hartmut Dipl Ing Schuetz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of DE4401467A1 publication Critical patent/DE4401467A1/de
Application granted granted Critical
Publication of DE4401467C2 publication Critical patent/DE4401467C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Description

Die vorliegende Erfindung betrifft ein Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufge­ bautes Automatisierungssystem, wobei die mindestens zwei Teilsysteme zur Steuerung eines Prozesses bzw. einer Anlage Programme ausführen und sich von Zeit zu Zeit über Kommuni­ kationsmittel miteinander synchronisieren.
Ein derartiges Betriebsverfahren ist beispielsweise aus der EP-0 497 147 A2 bekannt. Bei dem Verfahren gemäß der EP-0 497 147 A2 werden, wie im Stand der Technik allgemein üblich, Alarme zwischen zwei Synchronisationspunkten in den Teilsystemen nur registriert. Ansonsten erfolgen keine Alarmreaktionen. Erst beim Erreichen des Synchronisations­ punktes werden die gemeldeten Alarme und sonstige relevante Daten ausgetauscht und die Alarme abgearbeitet.
Wenn das Automatisierungssystem zur Steuerung eines schnellen Prozesses oder einer schnellen Anlage, z. B. einer Pressensteuerung, eingesetzt wird, kann die Zeit bis zum Erreichen des nächsten Synchronisationspunktes zu groß sein, um Sach- und/oder personenschaden mit Sicherheit zu verhindern. Bei derartigen Anwendungsfällen mußten bisher aufwendige, taktsynchron arbeitende redundante Automatisie­ rungssysteme verwendet werden.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein redundantes Automatisierungssystem zu schaffen, bei dem die Reaktionszeit auf Alarme aller Art, z. B. Prozeß- oder Zeitalarme, kurz und reproduzierbar ist, obwohl sich die Teilsysteme nur von Zeit zu Zeit synchronisieren.
Die Aufgabe wird dadurch gelöst, daß beim Registrieren eines Sonderereignisses, z. B. eines Alarms, jedes der min­ destens zwei Teilsysteme unabhängig vom jeweils anderen Teilsystem unverzüglich eine ereignisspezifische Reaktion ermittelt und ausführt.
Dadurch wird nämlich gewährleistet, daß beim Auftreten eines Sonderereignisses schnellstmöglich auf das Ereignis reagiert wird. Beispielsweise wird der Schließvorgang einer Presse beim Registrieren eines entsprechenden Prozeßalarms in einem der Teilsysteme unverzüglich durch dieses Teil­ system unterbrochen und nicht erst bei Erreichen des näch­ sten Synchronisationspunktes. Die Alarmreaktionszeit ist somit sehr gut reproduzierbar. Darüber hinaus können damit Verletzungen des Bedienungspersonals in Grenzsituationen mit Sicherheit vermieden werden.
Mit Vorteil ist jedem Teilsystem mindestens ein Reaktions­ speicherbereich ausschließlich zugeordnet, so daß es mög­ lich ist, daß das eine Teilsystem zur Ermittlung und Aus­ führung der ereignisspezifischen Reaktion nur auf den ihm zugeordneten Reaktionsspeicherbereich zugreift.
Wenn jedem Teilsystem ein Pufferspeicher ausschließlich zu­ geordnet ist, Änderungen reaktionsrelevanter Daten, z. B. Merkerzustände, in die Pufferspeicher eingetragen werden und jedes Teilsystem seinen Reaktionsspeicherbereich bei einer Synchronisation aufgrund der Inhalte beider Puffer­ speicher aktualisiert, so ist gewährleistet, daß beide Teilsysteme bei einem Sonderereignis gleich reagieren.
Nach der Ausführung der ereignisspezifischen Reaktion setzt das eine Teilsystem die Ausführung des Anwenderprogramms fort.
Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels in Verbindung mit den Zeichnungen. Dabei zeigen:
Fig. 1 ein Blockschaltbild eines Automatisierungssystems und
Fig. 2 das Prinzip des Betriebsverfahrens.
Gemäß Fig. 1 besteht das Automatisierungssystem 1 aus zwei Teilsystemen 2, 2′, die beide einen technischen Prozeß P steuern. Jedes der Teilsysteme 2, 2′ weist eine Zentralein­ heit 3, 3′ auf, die den Prozeß P gemäß einem Anwenderpro­ gramm AP steuert, das zusammen mit dem Betriebssystem und Prozeßdaten in den Speichereinheiten 4, 4′ abgespeichert ist.
Die Zentraleinheit 3, 3′ sind über in Fig. 1 nicht darge­ stellte Peripherieeinheiten mit Signalgebern G, G′ und Stellgliedern R, R′ verbunden. Die verwendete Peripherie kann dabei nach Wahl des Anwenders sowohl ein- als auch zweikanalig ausgebildet sein. Die Anbindung der Zentral­ einheiten 3, 3′ an den Prozeß P ist jedoch nicht Gegenstand der vorliegenden Erfindung. Auf die Anbindung der Zentral­ einheit 3, 3′ an den Prozeß P′ wird daher im folgenden nicht weiter eingegangen.
Der in Fig. 1 dargestellte technische Prozeß P ist bei­ spielsweise eine hydraulische Presse. Die Teilsysteme 2, 2′ steuern die Relais R, R′ an. Bei Ansteuerung beider Relais R, R′ wird das Schaltrelais SR betätigt, so daß das Ventil V der hydraulischen Presse einen Hydraulikkanal freigibt. In diesem Fall wird die Presse geschlossen.
Die Signalgeber G, G′ sind beispielsweise die Kontakte eines Nothalt-Schalters. Bei Betätigung des Nothalt-Schal­ ters muß die Presse unverzüglich gestoppt werden, um Per­ sonen- und/oder Sachschäden zu verhindern.
Die Stellen im Anwenderprogramm AP, an denen der Prozeß­ alarm "Nothalt-Anforderung" in den Teilsystemen 2, 2′ regi­ striert wird, ist in Fig. 2 mit den Pfeilen angedeutet. Wei­ terhin ist in Fig. 2 der vorhergehende Synchronisationspunkt SP und der nachfolgende Synchronisationspunkt SP′ durch die gestrichelten Linien gekennzeichnet.
Beim Stand der Technik würden beide Teilsysteme 2, 2′ den Prozeßalarm lediglich registrieren, sodann das Anwenderpro­ gramm bis zum Synchronisationspunkt SP′ weiterbearbeiten und sodann sich miteinander synchronisieren. Erst danach würde der Prozeßalarm von den Teilsystemen 2, 2′ bearbeitet werden.
Bei der vorliegenden Erfindung dagegen wird der Prozeßalarm sofort nach dem Registrieren in den Teilsystemen 2, 2′ un­ abhängig voneinander mit einer alarmspezifischen Alarmreak­ tion behandelt. Im vorliegenden Fall würden beispielsweise die Relais R, R′ nicht mehr angesteuert werden, so daß das Schaltrelais SR abfällt und das Ventil V sperrt und so den Schließvorgang der hydraulischen Presse stoppt. Durch diese Vorgehensweise wird die Alarmreaktionszeit praktisch auf Null reduziert. Dennoch ist es nicht nötig, die beiden Teilsysteme 2, 2′ taktsynchron zu betreiben.
Bei der Ermittlung und Ausführung der alarmspezifischen Alarmreaktion, hier dem Stoppen der Pressenbewegung, greift die Zentraleinheit 3 des Teilsystems 2 nur auf Daten zu, die im Reaktionsspeicherbereich 41 abgespeichert sind. Ebenso greift die Zentraleinheit 3′ nur auf Daten zu, die im Reaktionsspeicherbereich 41 abgespeichert sind.
Nach der Ausführung der alarmspezifischen Alarmreaktion setzen die Teilsysteme 2, 2′ die Ausführung des Anwender­ programms AP fort. Sie synchronisieren sich erst bei Errei­ chen des nächsten Synchronisationspunktes SP′ miteinander.
Welche Reaktion von einem Alarm ausgelöst wird, kann auch von den Daten abhängen, die in den Reaktionsspeicherbe­ reichen 41, 41′ gespeichert sind. Um zu gewährleisten, daß die Teilsysteme 2, 2′ auf einen Alarm in gleicher Weise reagieren, werden die Inhalte der Reaktionsspeicherbereiche 41, 41′ zwischen zwei Synchronisationspunkten daher nicht verändert. Jedem Teilsystem 2, 2′ ist aber ein Pufferspei­ cher 42, 42′ ausschließlich zugeordnet. Änderungen alarmre­ aktionsrelevanter Daten, z. B. Merkerzustände, werden in die Pufferspeicher 42, 42′ eingetragen. Bei der jeweils nächsten Synchronisation tauschen die Teilsysteme 2, 2′ die Inhalte ihrer Pufferspeicher 42, 42′ aus, führen einen Da­ tenabgleich durch und aktualisieren dann ihre Reaktions­ speicherbereiche 41, 41′ aufgrund der Inhalte beider Puf­ ferspeicher 42, 42′. Die Synchronisation selbst erfolgt da­ bei in an sich bekannter Art und Weise, z. B. ereignis- oder zeitgesteuert (wie in der EP 0 497 147 A2 beschrie­ ben), über die Kommunikationseinheiten 5, 5′ und die Kommunikationsleitung 6.
Es ist selbstverständlich auch möglich, nur sicherheits­ relevante Alarme auf die obenstehende Art und Weise zu be­ handeln. Die Behandlung nicht sicherheitsrelevanter Alarme kann dann bei der nächsten Synchronisation erfolgen. In diesem Fall muß beim Auftreten eines Alarms aber zumindest überprüft werden, welcher Art der Alarm ist, damit ent­ schieden werden kann, ob eine sofortige Alarmreaktion er­ forderlich ist oder nicht.

Claims (3)

1. Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen (2, 2′) aufgebautes Automatisierungssystem (1), bei dem die mindestens zwei Teilsysteme (2, 2′) zur Steue­ rung eines Prozesses (P) bzw. einer Anlage Programme (AP) ausführen und sich von Zeit zu Zeit über Kommunikations­ mittel (11, 11′, 12) miteinander synchronisieren, da­ durch gekennzeichnet, daß beim Re­ gistrieren eines Sonderereignisses, z. B. eines Alarms, je­ des der mindestens zwei Teilsysteme (2, 2′) unabhängig vom jeweils anderen Teilsystem (z. B. 2′) unverzüglich eine er­ eignisspezifische Reaktion ermittelt und ausführt.
2. Betriebsverfahren nach Anspruch 1, dadurch gekennzeichnet, daß jedem Teilsystem (2, 2′) mindestens ein Reaktionsspeicherbereich (41, 41′) aus­ schließlich zugeordnet ist und daß das eine Teilsystem (2) zur Ermittlung und Ausführung der ereignisspezifischen Re­ aktion nur auf den ihm zugeordneten Reaktionsspeicherbe­ reich (41, 41′) zugreift.
3. Betriebsverfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet,
  • - daß jedem Teilsystem (2, 2′) ein Pufferspeicher (42, 42′) ausschließlich zugeordnet ist,
  • - daß Änderungen reaktionsrelevanter Daten, z. B. Merkerzu­ stände, in die Pufferspeicher (42, 42′) eingetragen werden und
  • - daß jedes Teilsystem (2, 2′) seinen Reaktionsspeicher­ bereich (41, 41′) bei einer Synchronisation aufgrund der Inhalte beider Pufferspeicher (42, 42′) aktualisiert.
DE19944401467 1993-03-25 1994-01-19 Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem Expired - Fee Related DE4401467C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP93104949 1993-03-25

Publications (2)

Publication Number Publication Date
DE4401467A1 true DE4401467A1 (de) 1994-09-29
DE4401467C2 DE4401467C2 (de) 1996-12-12

Family

ID=8212737

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19944401467 Expired - Fee Related DE4401467C2 (de) 1993-03-25 1994-01-19 Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem

Country Status (1)

Country Link
DE (1) DE4401467C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19625195A1 (de) * 1996-06-24 1998-01-02 Siemens Ag Synchronisationsverfahren
ITPD20130186A1 (it) * 2013-07-02 2015-01-03 Sit La Precisa S P A Con Socio Uni Co Metodo di controllo del funzionamento di un bruciatore

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3390824B2 (ja) * 1997-03-19 2003-03-31 株式会社日立製作所 多重化制御装置及びその障害回復方法
DE19934513B4 (de) * 1999-07-22 2006-05-24 Siemens Ag Steuerungsverfahren für eine technische Anlage

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3633953C2 (de) * 1986-10-06 1991-11-28 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE4134396A1 (de) * 1990-10-30 1992-05-07 Siemens Ag Automatisierungssystem
EP0497147A2 (de) * 1991-01-28 1992-08-05 Siemens Aktiengesellschaft Redundantes Automatisierungssystem

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3633953C2 (de) * 1986-10-06 1991-11-28 Siemens Ag, 1000 Berlin Und 8000 Muenchen, De
DE4134396A1 (de) * 1990-10-30 1992-05-07 Siemens Ag Automatisierungssystem
EP0497147A2 (de) * 1991-01-28 1992-08-05 Siemens Aktiengesellschaft Redundantes Automatisierungssystem

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19625195A1 (de) * 1996-06-24 1998-01-02 Siemens Ag Synchronisationsverfahren
US6356795B1 (en) 1996-06-24 2002-03-12 Seimens Aktiengesellschaft Synchronization method
ITPD20130186A1 (it) * 2013-07-02 2015-01-03 Sit La Precisa S P A Con Socio Uni Co Metodo di controllo del funzionamento di un bruciatore

Also Published As

Publication number Publication date
DE4401467C2 (de) 1996-12-12

Similar Documents

Publication Publication Date Title
DE1934220C3 (de) Vorrichtung zur Wartung und Prüfung von elektronischen Datenverarbeitungsanlagen
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP0320583A1 (de) Auf den Stockwerken angeordnete Rufregistrier- und Anzeigeeinrichtungen für Aufzüge
EP0011685A1 (de) Programmierbare Speicherschutzeinrichtung für Mikroprozessorsysteme und Schaltungsanordnung mit einer derartigen Einrichtung
EP0636956A2 (de) Aufdatverfahren
WO2008037779A1 (de) Verfahren zum synchronisieren zweier steuereinrichtungen und redundant aufgebaute automatisierungsvorrichtung
DE1927549A1 (de) Fehlerpruefeinrichtung in elektronischen Datenverarbeitungsanlagen
DE4401467C2 (de) Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
DE102006012042A1 (de) Steuervorrichtung zur fehlersicheren Steuerung einer Maschine
EP0524330A1 (de) Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
EP3557598A1 (de) Sicherheitsschalter
EP1703481B1 (de) Verfahren zur Bestimmung der Konfiguration einer Gefahrenmeldeanlage und Gefahrenmeldeanlage
DE2727983C2 (de) Schaltungsanordnung mit mindestens doppelt vorgesehenen zentralen Steuerungen, insbesondere für Fernsprechvermittlungsanlagen
DE3924854A1 (de) Monitoreinrichtung zur ungluecksverhinderung
DE3840570C2 (de)
DE4407860C1 (de) Doppelrechnersystem
EP1526420A1 (de) Synchronisationsverfahren für ein hochverfügbares Automatisierungssystem
DE2458224A1 (de) Datenverarbeitungssystem mit koordinierung der parallelarbeit von mindestens zwei datenverarbeitungsanlagen
EP0172569A2 (de) Verfahren zur Synchronisation mehrerer parallelarbeitender Rechner
EP2117904B1 (de) Verfahren zum abschnittsübergreifenden anzeigen von leittechnisch relevanten zustandsdaten von komponenten
EP0618549B1 (de) Überwachung von einer speicherprogrammierbaren Steuerung
EP0991995B1 (de) Unterbrechungsverfahren in einem computersystem mit unterbrechungssteuerung
DE4104114A1 (de) Redundantes datenverarbeitungssystem
DE19934513B4 (de) Steuerungsverfahren für eine technische Anlage

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8365 Fully valid after opposition proceedings
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130801