[go: up one dir, main page]

DE60309012T2 - Verfahren und system zur sicherstellung eines busses und eines steuerservers - Google Patents

Verfahren und system zur sicherstellung eines busses und eines steuerservers Download PDF

Info

Publication number
DE60309012T2
DE60309012T2 DE60309012T DE60309012T DE60309012T2 DE 60309012 T2 DE60309012 T2 DE 60309012T2 DE 60309012 T DE60309012 T DE 60309012T DE 60309012 T DE60309012 T DE 60309012T DE 60309012 T2 DE60309012 T2 DE 60309012T2
Authority
DE
Germany
Prior art keywords
control server
message
passive
data
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60309012T
Other languages
English (en)
Other versions
DE60309012D1 (de
Inventor
Ale Borg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valmet Automation Oy
Original Assignee
Metso Automation Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Metso Automation Oy filed Critical Metso Automation Oy
Publication of DE60309012D1 publication Critical patent/DE60309012D1/de
Application granted granted Critical
Publication of DE60309012T2 publication Critical patent/DE60309012T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2028Failover techniques eliminating a faulty processor or activating a spare
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Selective Calling Equipment (AREA)
  • Small-Scale Networks (AREA)
  • Traffic Control Systems (AREA)
  • Multi Processors (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zum Sicherstellen der Funktion eines Feldbusses, wobei der Feldbus von zwei Steuerungsservern gesteuert wird, von denen einer zu einer Zeit aktiv eingestellt ist und einer passiv eingestellt ist, und die Steuerungsserver mit dem Backup-Bus verbunden sind. Die Erfindung bezieht sich auch auf ein System, welches mindestens einen Feldbus umfasst, zwei Steuerungsserver zur Steuerung die Funktionsweise des Feldbusses, wobei einer der Server zu einer Zeit aktiv eingestellt ist und einer passiv eingestellt ist, und die Steuerungsserver mit dem Backup-Bus verbunden sind. Darüber hinaus bezieht sich die Erfindung auf einen Steuerungsserver, welcher im System verwendet wird, welches mindestens einen Feldbus umfasst, und welcher Einrichtungen zur Steuerung der Operation des Feldbusses, Einrichtungen zum Einstellen des Betriebsmodes des Steuerungsservers entweder auf aktiv oder auf passiv, und Einrichtungen zur Verbindung des Steuerungsserver zu einem anderen Steuerungsserver mit einem Backup-Bus umfasst.
  • Es sind unterschiedliche Busstrukturen für verteilte Prozessautomatisierungssysteme entwickelt worden, durch welche Strukturdaten zwischen unterschiedlichen Teilen des Prozessautomatisierungssystems übertragen werden können, wie Messdaten des gemessenen Objektes an die Steuerungszentrale, und Steuerungsdaten von der Steuerungszentrale an das gesteuerte Objekt. Das Prozessautomatisierungssystem ist mit dem Prozess über unterschiedliche Feldbusse verbunden. Mit diesen Feldbussen ist es möglich, z.B. Messungen unterschiedlicher Punkte des Prozesses durchzuführen und bei Bedarf Steuerungen auszuführen.
  • Die Feldvorrichtungen kommunizieren mit den anderen Teilen des Systems über einen so genannten Feldbus. In Verbindung mit Prozessautomatisierungssystemen bezieht sich ein Feldbus auf einen Datentransferbus zwischen Steuerungssystem und den Feldvorrichtungen. Es ist möglich, z.B. Eingabe-/Ausgabe-Module, Feldvorrichtungen und Steuerungsserver mit dem Feldbus zu verbinden. Durch den Feldbus können die Prozessstellglieder und der Rest des Prozessautomatisierungssystems miteinander kommunizieren. Der Feldbus ist typischerweise als gerader Punkt-zu-Punkt-Typ eines Busses angeordnet, aber in manchen Anwendungen werden auch eine Sternform und eine Kreisform verwendet. Datentransfer erfolgt hauptsächlich in Sequenzformat und normalerweise ist es möglich, Daten im Bus in zwei verschiedene Richtungen zu übertragen (Voll-Duplex). In einigen Busstrukturen, die entwickelt worden sind, ist es möglich, die von den Schnittstellenvorrichtungen benötigte Betriebsspannung über denselben Bus zu übertragen, wobei keine getrennten Betriebsspannungsleitungen benötigt werden.
  • Eine dieser Feldbuskonstruktionen ist der sogenannte PROFIBUS-Bus (Prozessfeldbus, Process Field Bus). Er basiert auf einem offenen Standard, wobei physikalische Eigenschaften eines Feldbusses festgelegt sind, wie auch Eigenschaften in Verbindung mit dem Datentransfer, wie angewandte Protokolle. Der Protokollstapel des PROFIBUS-Feldbusses basiert auf dem OSI-Modell, das durch das internationale Standardisierungssystem ISO entwickelt wurde, in dessen Modell es sieben verschiedenen Schichten gibt und eine präzise Aufgabe für jede Schicht definiert ist. Drei der OSI-Schichten werden im PROFIBUS-Feldbus verwendet: Schicht 1, d.h. die physikalische Schicht; Schicht 2, d.h. die Datenverbindungsschicht; und Schicht 7, d.h. die Anwendungsschicht.
  • Die physikalische Schicht übernimmt den Transfer der Bitfolge entlang des physikalischen Buskabels. Das Bit-Timing, die Datenübertragungsrate und das Signalspannungsniveau, die im Buskabel im Datentransfer benutzt werden, sind in der physikalischen Schicht festgelegt. Die Verbindung mit der physikalischen Schicht entspricht dem RS-485-Standard mit einer asynchronen NRZ-BIT-Codierung (Non Return to Zero).
  • Die Datenverbindungsschicht übernimmt z.B. die Bussteuerung mit einem Bussteuerungsprotokoll. Die Datenverbindungsschicht umfasst einen Buszugriffsprozedurdienst (MAC, Medium Access Control), dessen Aufgabe es unter Anderem ist, zu überwachen, dass nur ein Knoten zu einer Zeit das Recht hat, Daten an den Feldbus zu übertragen. Darüber hinaus stellt die Mediumzugangssteuerung sicher, dass jede Station genügend Zeit hat, seine Kommunikationsaufgaben innerhalb des eingestellten Zeitraums auszuüben. Im PROFIBUS-Feldbus ist die Mediumzugangssteuerung in zwei Teile aufgeteilt: die Token-Ring-Prozedur, welche z.B. in der gegenseitigen Kommunikation zwischen Servervorrichtungen (master-master communication) verwendet wird und die Master-Slave-Prozedur, welcher in der Kommunikation zwischen einer Servervorrichtung und einer Feldvorrichtung verwendet wird. In der Token-Weitergabe-Prozedur hat diejenige Master-Vorrichtung das Buszugriffsrecht, welche das kleinste Token der Token-Nachricht hat. Es gibt nur eine aktive Master-Vorrichtung zu einer Zeit in einem Feldbus. In der Master-Slave-Prozedur kann dieser Datentransfer nur nach Start durch die Master-Vorrichtung beginnen. Daher können die andere Vorrichtungen Daten nicht anders übertragen denn als Ergebnis einer Abfrage der Master-Vorrichtung.
  • Die Anwendungsschicht ist verantwortlich für das Anbieten von Managementdiensten, Datenordnungsdiensten und Transaktionsdiensten.
  • Einige Aufgaben des Steuerungsserver umfassen die Steuerung des Betriebs des Feldbusses und der damit verbundenen Feldvorrichtungen. Der Steuerungsserver sendet Nachrichten an die Feldvorrichtungen, durch welche der Betriebszustand der Feldvorrichtungen gesteuert werden kann, und z.B. Daten über den Prozess von den Feldvorrichtungen gelesen werden kann, wie beispielsweise Messdaten, Positionsdaten, u.s.w. Über den Steuerungsserver wird auch die Verbindung des Feldbusses zum Rest des Prozessautomatisierungssystems durchgeführt, z.B. um Messdaten an die Steuerungszentrale zu übermitteln, und die Übermittlung der in der Steuerungszentrale durchgeführten Steuerungsoperationen an die mit dem Feldbus verbundenen Feldvorrichtungen. In einigen Anwendungen ist die Feldbussteuerung (field bus controller, FBC) in Verbindung mit dem Steuerungsserver ausgebildet, wobei es die Aufgabe der Feldbussteuerung ist, als Schnittstelle zwischen dem Steuerungsserver und dem Feldbus zu dienen. Typischerweise wird die Feldbussteuerung durch ein Programm vorzugsweise in Verbindung mit dem Programm-Server verwirklicht.
  • Der zuverlässige Betrieb des Prozessautomatisierungssystems auch bei verschiedenen Störungen und Fehlersituationen ist wichtig. Es ist ein Ziel, dieses z.B. durch verschiedene Verdoppelungen sicherzustellen, wobei in diesem Fall ein Teil der funktionalen Teile des Prozessautomatisierungssystems als zwei in der Substanz identische Teile verwirklicht wird. Ein Beispiel für diesen Typ eines teilweise verdoppelten Systems wird in der angefügten 1 vorgestellt. Es umfasst zwei Steuerungsserver, zwischen welchen der Bus doppelt vorhanden ist. Ein Steuerungsserver ist eingestellt, um als Haupt-Steuerungsserver zu dienen und der andere Steuerungsserver ist eingestellt, um als Reserve-Steuerungsserver zu dienen. Ein Bus für jede Feldvorrichtung ist von jedem Steuerungsserver ausgebildet. Dieser Typ eines Systems ist sehr fehlertolerant, aber seine Umsetzung ist teuer, weil die meisten Vorrichtungen verdoppelt werden müssen. Darüber hinaus haben beispielsweise nur einige der Feldvorrichtungen, die mit dem PROFIBUS-Feldbus verbunden werden können, die Möglichkeit, die Feldvorrichtung mit mehr als einem Bus verbunden zu sein. Daher ist die Anzahl der Feldvorrichtungen, die die Verdoppelung des Feldbusses unterstützen, begrenzt.
  • 2 zeigt ein anderes Redundanzsystem nach dem Stand der Technik. Auch in diesem System gibt es zwei Steuerungsserver, von denen je ein Bus wegführt. Diese Busse sind mit einem sogenannten Y-Schalter verbunden, über welchen die Steuerungsserver mit einem nicht verdoppelten Feldbus verbunden sind. In diesem Typ von System ist nur der Bus zwischen den Steuerungsservern doppelt vorhanden, aber der Feldbus ist es nicht. Die Fehlertoleranz dieses Typ Systems ist deutlich geringer als in dem in 1 gezeigten System. Beispielsweise verursacht die Beschädigung des Y-Schalters einen im Wesentlichen sofortigen Stop der Übermittlung zwischen dem Feldbus und dem Steuerungsserver. Das System entdeckt auch keinen Bruch im Bus, noch andere Fehlersituationen zwischen dem Y-Schalter und dem Reserve-Steuerungsserver.
  • In Lösungen nach dem Stand der Technik wird eine Fehlersituation im passiven (redundanten) Teil des Systems nur in einer Situation entdeckt, in der ein Fehler im aktiven Teil entdeckt und der passive Teil des Systems in den aktiven Modus umgeschaltet wird. Daher kann der Betrieb des Systems deutlich gestört werden, weil der Teil des Systems, welcher aktiviert werden soll (= der passive Teil), nicht notwendiger Weise betriebsbereit ist. Wenn die Aktivierung durch einen Fehler im aktiven Teil des Systems verursacht wird, ist keiner der Teile der Systemverdoppelung betriebsbereit. Dieser Typ von Fehlfunktion eines Systems kann relativ lange Unterbrechungen verursachen und es kann auch hohe Kosten verursachen. Dokument US 5.185.693 stellt ein Beispiel eines solchen Systems vor.
  • Es ist ein Ziel der vorliegenden, durch die Ansprüche definierten Erfindung, ein verbessertes Verfahren und System zur Sicherstellung eines Feldbusses und einer Feldbuskonstruktion vorzusehen. Die Erfindung basiert auf der Idee, dass eine Prüfnachricht in Intervallen vom aktiven Steuerungsserver an den passiven Server gesendet wird, und eine Antwortnachricht auf die gesendete Prüfnachricht erwartet wird. Wenn innerhalb einer vorgegebenen Zeit keine Antwortnachricht zur Prüfnachricht empfangen wird, wird angenommen, dass eine Fehlersituation im Bus und/oder im passiven Steuerungsserver vorliegt, und Information über diese Situation kann an den Rest des Prozessautomatisierungssystems gesendet werden. Darüber hinaus überwacht der passive Steuerungsserver den Eingang der Prüfnachrichten und wenn im passiven Steuerungsserver innerhalb einer vorgegebenen Zeit keine Prüfnachrichten empfangen werden, schließt der passive Steuerungsserver daraus, dass entweder der aktive Steuerungsserver und/oder der Feldbus fehlerhaft arbeiten. Darüber hinaus werden Kopien der Anwendungsdaten vom aktiven Steuerungsserver oder eine zusätzliche Prüfnachricht an den passiven Steuerungsserver über einen anderen Bus als den Feldbus gesendet. In einer Fehlersituation wird das Senden von Kopien der Anwendungsdaten an den passiven Steuerungsserver gestoppt. Das Senden von Kopien der Anwendungsdaten kann im passiven Steuerungsserver vorzugsweise für die Überwachung des Arbeitszustandes des Steuerungsservers verwendet werden, so dass dann, wenn der passive Steuerungsserver nicht innerhalb einer vorgegebenen Zeit neue Anwendungsdaten vom aktiven Steuerungsserver empfängt, angenommen wird, dass eine Fehlersituation im aktiven Steuerungsserver vorliegt. Demzufolge beginnt der passive Steuerungsserver Prozeduren, um – wenn möglich – den passiven Steuerungsserver aktiv zu schalten und dementsprechend den aktiven Steuerungsserver passiv zu schalten.
  • Um es genauer auszudrücken, wird das Verfahren nach der vorliegenden Erfindung hauptsächlich dadurch charakterisiert, dass in dem Verfahren eine erste Nachricht in Intervallen vom aktiven Steuerungsserver über den besagten Feldbus an den passiven Steuerungsserver gesendet wird, dass vom passiven Steuerungsserver eine Antwortnachricht zur besagten ersten Nachricht am aktiven Steuerungsserver erwartet wird, und im Falle, dass der aktive Steuerungsserver besagte Antwortnachricht nicht innerhalb eines eingestellten Zeitraums empfängt, erste Daten über die Fehlersituation registriert werden, dass eine weitere Nachricht vom aktiven Steuerungsserver über den besagten Backup-Bus an den passiven Steuerungsserver gesendet wird, und dass der passive Steuerungsserver auf die besagte zweite Nachricht wartet und im Falle, dass der passive Steuerungsserver die besagte zweite Nachricht nicht empfängt, weitere Daten über die Fehlersituation registriert werden. Das System nach der vorliegenden Erfindung wird hauptsächlich dadurch charakterisiert, dass das System folgende Einrichtungen umfasst: eine Einrichtung zur Versendung einer ersten Nachricht in Intervallen vom aktiven Steuerungsserver über besagten Feldbus an den passiven Steuerungsserver, eine Einrichtung zum Bilden einer Antwortnachricht auf besagte erste Nachricht im passiven Steuerungsserver, eine Einrichtung zum Feststellen der Ankunft der Antwortnachricht am aktiven Steuerungsserver, eine Einrichtung zur Bestimmung von Zeitdaten hinsichtlich der Versendung der letzten gesendeten Erstnachricht, eine Einrichtung zum Vergleichen der besagten bestimmten Zeitdaten mit einem zuvor eingestellten ersten Grenzwert, eine Einrichtung zum Erstellen von ersten Daten zur Fehlersituation auf der Basis des Vergleichs, eine Einrichtung zum Versenden einer zweiten Nachricht in Intervallen vom aktiven Steuerungsserver über den besagten Backup-Bus an den passiven Steuerungsserver, eine Einrichtung zum Feststellen der Ankunft der zweiten Nachricht im passiven Steuerungsserver, eine Einrichtung zur Bestimmung von Zeitdaten beim Empfang der zuletzt empfangenen zweiten Nachricht, eine Einrichtung zum Vergleich der besagten bestimmten Zeitdaten mit einem zuvor eingestellten zweiten Grenzwert, und Einrichtungen zum Erstellen zweiter Daten über die Fehlersituation auf der Basis des besagten Vergleichs. Der Steuerungsserver nach der vorliegenden Erfindung ist hauptsächlich dadurch charakterisiert, dass der Steuerungsserver folgende Einrichtungen umfasst: eine Einrichtung zum Versenden einer ersten Nachricht in Intervallen über besagten Feldbus an den zweiten mit dem Feldbus verbundenen Steuerungsserver, eine Einrichtung zum Feststellen der Ankunft einer Antwortnachricht zur ersten Nachricht, eine Einrichtung zur Bestimmung von Zeitdaten über das Versenden der letzten versendeten ersten Nachricht, eine Einrichtung zum Vergleich besagter festgelegter Zeitdaten mit einem zuvor eingestellten ersten Grenzwert, und eine Einrichtung zur Einstellung ersten Daten über die Fehlersituation auf der Basis des besagten Vergleichs, und eine Einrichtung zum Versenden einer zweiten Nachricht in Intervallen über besagten Backup-Bus an den zweiten Steuerungsserver.
  • Die vorliegende Erfindung zeigt bemerkenswerte Vorteile gegenüber Lösungen nach dem Stand der Technik. Um das Verfahren entsprechend der Erfindung anzuwenden, brauchen der Feldbus und damit verbundene funktionale Teile nicht verdoppelt zu werden, wodurch die Gesamtkosten der Verwirklichung des Systems geringer bleiben als wenn Redundanzlösungen nach Stand der Technik verwendet werden. Bei der Verwendung des Verfahrens nach der Erfindung ist es möglich, die Betriebsbereitschaft des passiven Steuerungsservers zu überwachen, wie auch die Betriebsbereitschaft des Feldbusses. Daher ist es im Wesentlichen zeitgleich mit dem Entdecken einer Fehlersituation möglich, Maßnahmen zur Repa ratur des Fehlers zu ergreifen, ohne den weiteren Betrieb des Systems zu stören. Mit dieser Art von Anordnung ist es möglich, hauptsächlich durch Fehlersituationen verursachten Fehlfunktionen und Unterbrechungen vorzubeugen, was auch die durch Fehlersituationen verursachten Kosten verringert. Mit einem Verfahren nach der vorteilhaften Ausführungsform der Erfindung ist es möglich, den Betrieb des aktiven Steuerungsservers im passiven Steuerungsserver zu überwachen, so dass in dem Falle, dass eine Fehlersituation entdeckt wird, der passive Steuerungsserver aktiviert werden kann und der normale Betrieb des Systems durch die Verwendung des zuvor passiven Steuerungsservers wiederaufgenommen werden kann. Dadurch ist es möglich, den beschädigten Teil während des Betriebs des Systems zu reparieren. Daher ist es mit dem Verfahren entsprechend der Erfindung möglich, den Betriebszustand eines verdoppelten Systems zu überwachen und mehrere unterschiedliche Fehlersituationen im Feldbus und in den Steuerungsservern zu entdecken. Dies steigert die Zuverlässigkeit des gesamten Systems und ermöglicht eine schnelle Reaktion auf mögliche Fehlersituationen.
  • Im Folgenden wird die Erfindung in größerem Detail beschrieben werden mit Bezug auf die beiliegenden Zeichnungen, in welchen
  • 1 in einem reduzierten Blockdiagramm ein Feldbus-Redundanzsystem nach dem Stand der Technik zeigt,
  • 2 in einem reduzierten Blockdiagramm ein weiteres Feldbus-Redundanzsystem nach dem Stand der Technik zeigt,
  • 3 in einem reduzierten Blockdiagramm ein Feldbus-Redundanzsystem nach einer bevorzugten Ausführungsform der Erfindung zeigt, und
  • 4 in einem reduzierten Blockdiagramm einen Steuerungsserver nach einer bevorzugten Ausführungsform der Erfindung zeigt.
  • Im Folgenden wird die Erfindung unter Verwendung eines Feldbusses entsprechend der PROFIBUS-Spezifikation als ein Beispiel beschrieben, aber es wird offensichtlich sein, dass die Erfindung nicht darauf beschränkt ist, nur in Verbindung mit diesem Typ Feldbus verwendet zu werden. Entsprechend einer bevorzugten Ausführungsform der Erfindung in 3 gibt es im System 1 einen ersten Steuerungsserver 2 und einen zweiten Steuerungsserver 3. Diese Steuerungsserver 2, 3 sind mit einem Backup-Bus 4 miteinander verbunden, welcher vorteilhafter Weise verdoppelt ist. Das System umfasst auch einen Feldbus 5, welcher vorteilhaft mindestens teilweise als optischer Bus ausgebildet ist. Im System nach 3 ist dieser optische Bus in Segmente 6a, 6b und 6c in solcher Weise aufgeteilt, dass der Bus eine Ringstruktur bildet. Dies wird durch das Verbinden zweier benachbarter Segmente 6a, 6b; 6b 6c; 6c, 6a mittels einer Schnittstelleneinheit 7a, 7b, 7c erreicht. Dieser Typ Schnittstelleneinheit 7a, 7b, 7c fungiert als Auffrischvorrichtung im Feldbus 5. Es ist offensichtlich, das die Anzahl der Schnittstelleneinheiten 7a, 7b, 7c in den in der Praxis verwendeten Systemen von der Zahl drei abweichen kann, und typischerweise gibt es mehr als drei Schnittstelleneinheiten 7a, 7b, 7c.
  • Jede Feldvorrichtung 8, 9 ist über einen Schnittstellenbus 10 mit der Schnittstelleneinheit 7a, 7b, 7c verbunden. Normalerweise ist es möglich, mehr als eine Feldvorrichtung 8, 9 mit derselben Schnittstelleneinheit 7a, 7b, 7c zu verbinden, wobei jede mit derselben Schnittstelleneinheit 7a, 7b, 7c verbundene Feldvorrichtung 8, 9 vorzugsweise mit demselben Schnittstellenbus 10 verbunden ist.
  • Der erste Steuerungsserver 2 ist über die erste Schnittstelleneinheit 7a mit dem Feldbus 5 verbunden. Dementsprechend ist der zweite Steuerungsserver 3 über die zweite Schnittstelleneinheit 7b mit dem Feldbus 5 verbunden. Die Steuerungsserver 2, 3 können so über diese entsprechenden Schnittstelleneinheiten 7a, 7b mit dem Feldbus 5 kommunizieren.
  • Der Steuerungsserver 2,3, der gegenwärtig aktiv ist, kann mit dem Rest des Prozessautomatisierungssystems vorzugsweise über den Backup-Bus 4 kommunizieren. Es ist jedoch offensichtlich, dass die Kommunikation in Systemen in der Praxis auch über einen anderen Datentransferbus abgewickelt werden kann. In 3 ist der besagte Rest des Prozessautomatisierungssystems wegen der Übersichtlichkeit nur mit Block 13 gekennzeichnet, aber er kann als solcher, wie bekannt ist, mehrere verschiedene funktionale Zusammenbauten umfassen, wie auch Feldbussysteme entsprechend der vorliegenden Erfindung.
  • Im Folgenden wird der Betrieb des Systems entsprechend einer bevorzugten Ausführungsform der Erfindung beschrieben. Man nehme an, dass der erste Steuerungsserver 2 als aktiver Steuerungsserver eingestellt ist. Weil es in einem Feldbus 5 zu einem Zeitpunkt nur einen aktiven Steuerungsserver geben kann, ist der andere Steuerungsserver 3 als passiver Steuerungsserver eingestellt. Dieser Typ passiver Steuerungsserver fungiert im System entsprechend der Erfindung wie eine Slave-Vorrichtung, wobei ihr eine spezifische Slave-Zahl zugeordnet ist, zum Beispiel die Zahl 1. Der erste (zu diesem Zeitpunkt aktive) Steuerungsserver 2 sendet in Intervallen eine Prüfnachricht über die erste Schnittstelleneinheit 7a an den Feldbus 5, die über die zweite Schnittstelleneinheit 7b an den zweiten (zu diesem Zeitpunkt passiven) Steuerungsserver 3 übermittelt werden soll. Daher wird die für den Steuerungsserver 3 festgelegte Slave-Zahl als Empfängerinformation in der Nachricht eingestellt. Die Nachrichtenkommunikation wird vorzugsweise in der zweiten Schicht des besagten Protokollstapels umgesetzt, von welchem mittels des als solchen bekannten Nachrichtenübermittlungsmechanismus des Protokollstapels eine Nachricht gebildet wird, die geeignet ist, an die erste Schicht, d.h. den physikalischen Übermittlungskanal, gesendet zu werden. Dementsprechend wird die Umwandlung der vom physikalischen Übermittlungskanal empfangenen Nachricht in eine Nachricht, die der Nachrichtenstruktur der zweiten Schicht entspricht, beim Empfang der Nachricht durchgeführt. Vorzugsweise enthält besagte Prüfnachricht keine mit den Feldvorrichtungen 8, 9 verbundene Information.
  • In Verbindung mit dem Senden der Prüfnachricht wird im Steuerungsserver 2 ein erstes Zeitglied 11 (4) auf seinen Anfangswert eingestellt und gestartet. Dieses erste Zeitglied 11 mißt die Zeit, die vom Versenden der Prüfnachricht bis zum Eingang einer möglichen Antwortnachricht vergeht. In einer Situation, in der das System 1 betriebsbereit ist, empfängt der zweite Steuerungsserver 3 die Prüfnachricht. Auf dieser Grundlage schließt der zweite Steuerungsserver 3, dass er eine Antwortnachricht an den ersten Steuerungsserver 2 senden muss. Der zweite Steuerungsserver 3 bildet eine Antwortnachricht, in welcher der Identifikator des ersten Steuerungsservers 2 als Empfängerinformation eingestellt wird. Der zweite Steuerungsserver 3 sendet über die zweite Schnittstelleneinheit 7b eine Antwortnachricht an den Feldbus 5, wobei die Antwortnachricht an die erste Schnittstelleneinheit 7a und weiter an den ersten Steuerungsserver 2 übermittelt wird. Der erste Steuerungsserver 2 entdeckt den Eingang einer Antwortnachricht, woraufhin das erste Zeitglied 11, das die bis zum Empfang der Antwortnachricht vergangene Zeit überwacht, angehalten und auf seinen Anfangswert eingestellt werden kann. Es ist zu bestimmen möglich, wann die nächste Prüfnachricht gesendet wird, z. B. mit dem zweiten Zeitglied 12.
  • Zusätzlich zum Versenden der oben beschriebenen Prüfnachricht wird das Zusenden einer Kopie der Anwendungsdaten vom aktiven Steuerungsserver zum passiven Steuerungsserver immer noch durchgeführt im Verfahren entsprechend einer vorteilhaften Ausführungsform der Erfindung. In einer Situation entsprechend des oben beschriebenen Beispiels bedeutet dies, dass eine Kopie der Anwendungsdaten vom ersten Steuerungsserver 2 an den zweiten Steuerungsserver 3 gesendet wird. Die Anwendungsdaten beschreiben z.B. die Messwerte unterschiedlicher Messungen, die Steuerungswerte der Stellglieder, Zustandsdaten und andere Information in Verbindung mit den Feldbussen 8, 9 und dem Status des gesteuerten Vorgangs. Diese Anwendungsdaten werden vorteilhafter Weise über den Backup-Bus 4 übermittelt. Hinsichtlich der Überwachung der Betriebsbereitschaft der im Folgenden beschriebenen aktiven Vorrichtung ist es von zentraler Bedeutung, dass für die Übermittlung der Anwendungsdaten ein anderer Bus als der Feldbus 5 verwendet wird.
  • In einem System entsprechend einer vorteilhaften Ausführungsform der Erfindung ist es möglich, die Übermittlung der Anwendungsdaten für die Überwachung der Arbeitsbedingung des aktiven Steuerungsservers 2 vorzugsweise auf folgende Weise zu verwenden. Der Empfang der Anwendungsdaten wird im zweiten Steuerungsserver 3 überwacht und wenn innerhalb eines gesetzten Zeitraums keine neuen Anwendungsdaten empfangen werden, wird im zweiten Steuerungsserver 3 angenommen, dass im ersten Steuerungsserver 2 und/oder im Backup-Bus 4 eine Fehlersituation vorliegt. D. h., dass der zweite Steuerungsserver 3 die notwendigen Prozeduren beginnt, mit welchen der zweite Steuerungsserver 3 eingestellt wird, als aktiver Steuerungsserver zu arbeiten, und der erste Steuerungsserver 2 eingestellt wird, wenn möglich als passiv zu arbeiten. Für die Überwachung der Zeit ist es möglich, zum Beispiel das Zeitglied 11 zu verwenden, weil im passiven Steuerungsserver 3 kein Bedarf besteht, die nach Versenden der Prüfnachricht vergehende Zeit zu messen.
  • Es folgt eine Beschreibung einiger möglicher Fehlersituationen in einem System entsprechend 3 und der Funktionsweise des Verfahrens entsprechend einer bevorzugten Ausführungsform der Erfindung in diesem Typ Fehlersituation.
  • Im ersten Beispiel wird angenommen, dass der erste Steuerungsserver 2 in solcher Weise beschädigt ist, dass er keine Anwendungsdaten mehr an den zweiten Steuerungsserver 3 sendet. Als Ergebnis davon entdeckt der zweite Steuerungsserver 3 nach einem vorher bestimmten Zeitraum, dass das Aktualisieren der Messdaten gestoppt worden ist, so dass daher der zweite Steuerungsserver 3 zum aktiven Steuerungsserver umgeschaltet wird. Während des Umschaltens des aktiven Steuerungsservers wird das Aktualisieren der Messdaten angehalten (die Messungen sind eingefroren), wobei in einem solchen Fall die letzten vertrauenswürdigen Messdaten als Messdaten verwendet werden, die der zweite Steuerungsserver 3 vom ersten Steuerungsserver 2 empfangen hat, bevor dieser beschädigt wurde. Wenn notwendig, wird Information darüber, dass die Messdaten nicht aktualisiert wurden, an die anderen Teile des Prozessautomatisierungssystems gesendet, wie beispielsweise die Steuerungszentrale (nicht gezeigt).
  • In Verbindung mit der Aktivierung beginnt der zweite Steuerungsserver Steuerungszyklen durchzuführen, wobei in einem solchen Fall während des ersten Durchführungszyklus vorzugsweise die letzten vertrauenswürdigen Messergebnisse verwendet werden. Der zweite Steuerungsserver 3 beginnt, über die zweite Schnittstelleneinheit 7b Steuerungsdaten an den Feldbus 5 zu senden. Wenn mehrere Steuerungsaufgaben in den Steuerungszyklen bestimmt worden sind, müssen alle Steuerungsaufgaben mindestens einmal durchgeführt werden, bevor das Scannen des Feldbusses gestartet wird. Beim Scannen des Feldbusses liest der aktive Steuerungsserver Informationen von den Feldvorrichtungen vorzugsweise durch ein Abfrageverfahren und sendet Steuerungsdaten an die Feldvorrichtungen.
  • Im zweiten Beispiel einer Fehlersituation wird angenommen, dass der Bus zwischen dem ersten Steuerungsserver 2 und der ersten Schnittstelleneinheit 7a und/oder die erste Schnittstelleneinheit 7a beschädigt ist. Daher haben die Prüfnachrichten vom ersten Steuerungsserver keinen Zugang zum Feldbus 5. Das Versenden einer Kopie der Anwendungsdaten über den Backup-Bus 4 an den zweiten Steuerungsserver 3 wird jedoch fortgeführt. In dieser Situation entdeckt der zweite Steuerungsserver 3, dass Prüfnachrichten nicht inner halb eines vorher festgelegten Zeitraumes eingegangen sind. Weil jedoch das Versenden einer Kopie der Anwendungsdaten nicht unterbrochen worden ist, wird angenommen, dass eine Fehlfunktion in der Feldbusschnittstelle des ersten Steuerungsservers 2 vorliegt. Als Folge davon wird die Aktivierung des zweiten Steuerungsservers 3 durchgeführt und der erste Steuerungsserver 2 wird auf passiv gestellt. Dies kann vorteilhafter Weise so durchgeführt werden, dass der zweite Steuerungsserver 3 Informationen zum Umschalten des aktiven Steuerungsservers über den Backup-Bus 4 an den ersten Steuerungsserver 2 sendet. So kann der erste Steuerungsserver 2 die notwendigen Prozeduren durchführen, um seine Betriebsbereitschaft auf passiv zu setzen. Dementsprechend führt der zweite Steuerungsserver 3 die oben beschriebenen Prozeduren durch, um seine Betriebsbereitschaft auf aktiv zu setzen und die Operation des Systems fortzuführen.
  • Im dritten Beispiel einer Fehlersituation wird angenommen, dass eine Fehlfunktion im Back-up-Bus 4 vorliegt. Daher hört das Versenden von Anwendungsdaten auf, aber die Übermittlung von Prüfnachrichten wird normal fortgeführt. Der zweite Steuerungsserver 3 kann von dieser Situation darauf schließen, dass eine Fehlfunktion im Backup-Bus 4 vorliegt. Daher kann der Rest des Systembetriebs normal weitergehen. Information über die Fehlersituation kann vom zweiten Steuerungsserver 3 entweder über den Feldbus 5 oder über den möglicherweise fehlerfrei funktionierenden Busteil eines verdoppelten Backup-Busses 4 an den ersten Steuerungsserver 2 gesendet werden. Information über die Fehlersituation wird wenn möglich vorzugsweise auch an die Steuerungszentrale übermittelt. Weil der Backup-Bus 4 verdoppelt ist, kann versucht werden, das Versenden einer Kopie der Anwendungsdaten über den fehlerfrei funktionierenden Busteil des Backup-Busses 4 fortzusetzen.
  • Im vierten Beispiel einer Fehlersituation wird angenommen, dass eine Fehlfunktion in einem Segment (optische Faser) des Feldbusses 5 vorliegt. Der Feldbus 5 ist kreisförmig, wodurch die Beschädigung eines Segments die Datenübermittlung im Feldbus 5 nicht verhindert, weil alle Schnittstelleneinheiten 7a, 7b, 7c Information in beide Richtungen an den Feldbus senden können. Die Schnittstelleneinheit, welche den Schaden entdeckt hat, kann in dieser Phase Information über die Fehlersituation an den ersten Steuerungsserver 2 übermitteln, wenn vom ersten Steuerungsserver 2 eine Abfragenachricht an die Schnittstelleneinheit 7a, 7b, 7c gesendet wird.
  • Eine Fehlersituation, welche aus Sicht der Funktionsweise des Verfahrens entsprechend der Erfindung wichtig ist, ist auch der Typ der Fehlersituation, bei der entweder der zweite Steuerungsserver 3, die Schnittstelleneinheit 7b und/oder der Bus zwischen dem zweiten Steuerungsserver 3 und der zweiten Schnittstelleneinheit 7b beschädigt ist. Daher empfängt der erste Steuerungsserver 2 keine Antwortnachrichten auf seine Prüfnachrichten. Daher ist es möglich, im ersten Steuerungsserver 2 daraus zu schließen, dass der zweite Steuerungsserver 3 nicht aktiviert werden kann. In dieser Situation kann der Rest des Systembetriebs fortgesetzt werden, aber das Zusenden einer Kopie der Anwendungsdaten wird nicht notwendigerweise fortgeführt.
  • In einem Verfahren entsprechend einer vorteilhaften Ausführungsform der Erfindung ist es auch möglich, in einer solchen Weise zu arbeiten, dass der zweite Steuerungsserver 3 Quittungsdaten auf die empfangenen Anwendungsdaten schickt. Daher kann der erste Steuerungsserver 2 in der oben genannten Fehlersituation deutlicher unterscheiden, ob der Schaden im zweiten Steuerungsserver 3 oder in der Feldbusschnittstelle, d.h. in der zweiten Schnittstellenkarte 7b oder im Bus zwischen der zweiten Schnittstellenkarte 7b und dem zweiten Steuerungsserver 3, liegt.
  • Wenn beispielsweise eine solche Schnittstelleneinheit beschädigt ist, an die eine Feldvorrichtung angeschlossen ist, wird dieser Typ Fehlersituation innerhalb der vorliegenden Erfindung nicht weiter verarbeitet, sondern in diesem Fall werden andere Verfahren angewendet.
  • In allen oben angeführten Fehlersituationen ist das Ziel normalerweise, Information an den Rest des Systems 13 zu senden, zum Beispiel an die Steuerungszentrale. Die Information kann beispielsweise über den Backup-Bus 4 übermittelt werden, falls dieser in betriebsbereit ist.
  • In einer vorteilhaften Ausführungsform der Erfindung werden Prüfnachrichten in Intervallen von 50 bis 500 ms gesendet, vorzugsweise ungefähr in Intervallen von 100 ms. Das Versenden einer Kopie der Anwendungsdaten wird vorzugsweise alle paar Sekunden durchgeführt, vorzugsweise in Intervallen von 2 bis 5 Sekunden. Es ist jedoch offensichtlich, dass es innerhalb des Rahmens der vorliegenden Erfindung auch möglich ist, andere Zeitintervalle als die oben vorgestellten anzuwenden.
  • 4 stellt auch ein reduziertes Blockdiagramm der Struktur der Steuerungsserver 2, 3 für solche Teile vor, die aus Sicht der vorliegenden Erfindung notwendig sind. Der Betrieb der Steuerungsserver wird mit einem Steuerungsblock 14 gesteuert, welche eine oder mehr Prozessoren oder ähnliches umfasst. Es gibt auch Speicher 15 im Steuerungsserver 2, 3 zur Speicherung von Daten, Programmcodes des Prozessors, etc. Mittels der ersten Busschnittstelleneinrichtung 16 ist es möglich, den Steuerungsserver mit der Schnittstellenvorrichtung 7a, 7b, 7c zu verbinden, und mittels der zweiten Busschnittstelleneinrichtung 17 ist es dementsprechend möglich, die Steuerungsserver 2, 3 mit dem Backup-Bus 4 zu verbinden. Im Fall des verdoppelten Backup-Busses wird die zweite Busschnittstelleneinrichtung auch verdoppelt. Darüber hinaus umfasst der Steuerungsserver 2, 3 z.B. Zeitglieder 11, 12, mittels derer die oben beschriebenen Zeitüberwachungsfunktionen ausgeführt werden können.
  • Es ist offensichtlich, dass die vorliegende Erfindung nicht allein auf die oben beschriebenen Ausführungsformen beschränkt ist, sondern innerhalb des Rahmens der beigefügten Ansprüche modifiziert werden kann.

Claims (18)

  1. Verfahren zum Gewährleisten der Funktion eines Feldbusses, wobei der Feldbus mit zwei Steuer-Servern (2, 3) gesteuert wird, von denen einer zu einer Zeit aktiv eingestellt ist und einer passiv eingestellt ist, und die Steuer-Server (2, 3) mit einem Backup-Bus (4) verbunden sind, wobei eine zweite Nachricht in Intervallen von dem aktiven Steuer-Server über den Backup-Bus (4) zu dem passiven Steuer-Server gesendet wird und der passive Steuer-Server auf die zweite Nachricht wartet, wobei in diesem Fall, wenn der passive Server die zweite Nachricht nicht innerhalb einer ersten vorgegebenen Zeit empfängt, andere Daten über die Fehlersituation eingestellt werden, dadurch gekennzeichnet, dass eine erste Nachricht in Intervallen von dem aktiven Steuer-Server (2, 3) über den Feldbus zu dem passiven Steuer-Server (3, 2) gesendet wird, eine Antwortnachricht von dem passiven Steuer-Server (3, 2) auf die erste Nachricht an dem aktiven Steuer-Server (2, 3) erwartet wird, wobei in diesem Fall, wenn der aktive Steuer-Server die Antwortnachricht nicht innerhalb einer zweiten vorgegebenen Zeit empfängt, erste Daten über die Fehlersituation eingestellt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der passive Steuer-Server auf die erste Nachricht wartet, wobei in diesem Fall, wenn der passive Steuer-Server die erste Nachricht nicht innerhalb einer dritten vorgegebenen Zeit empfängt, dritte Daten über die Fehlersituation eingestellt werden.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die ersten Daten über die Fehlersituation anzeigen, dass sich die Fehlersituation auf den passiven Steuer-Server oder die Schnittstelle zwischen dem passiven Steuer-Server und dem Feldbus bezieht, die zweiten Daten über die Fehlersituation anzeigen, dass sich die Fehlersituation auf den aktiven Steuer-Server oder den Backup-Bus (4) bezieht, und die dritten Daten über die Fehlersituation anzeigen, dass sich die Fehlersituation auf den aktiven Steuer-Server oder die Schnittstelle zwischen dem aktiven Steuer-Server und dem Feldbus beziehen.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass der passive Steuer-Server eine zweite Antwortnachricht auf die zweite Nachricht sendet, die er empfangen hat, wobei in diesem Fall die Informationen über das Eintreffen der zweiten Antwortnachricht in dem aktiven Steuer-Server verwendet werden, um einen Funktionszustand des passiven Steuer-Servers zu klären.
  5. Verfahren nach Anspruch 1, 2, 3 oder 4, wobei Feldvorrichtungen (8, 9) mit dem Feldbus verbunden sind, dadurch gekennzeichnet, dass Anwendungsdaten erzeugt werden, wobei Informationen, die sich auf die verschiedenen Feldvorrichtungen (8, 9) beziehen, die mit dem Feldbus (5) verbunden sind, bestimmt werden, und dadurch, dass die Anwendungsdaten in der zweiten Nachricht zu dem passiven Steuer-Server gesendet werden.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass in einer Fehlersituation, die sich auf die Funktion des aktiven Steuer-Servers bezieht, das Umschalten des passiven Steuer-Servers zu einem aktiven Steuer-Server durchgeführt wird, wobei in diesem Fall die Anwendungsdaten zum Einstellen des Funktionszustandes des Steuer-Servers verwendet werden, der auf aktiv umgeschaltet wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei Feldvorrichtungen (8, 9) mit dem Feldbus verbunden sind, dadurch gekennzeichnet, dass eine Prüfnachricht als die erste Nachricht verwendet wird, wobei die Prüfnachricht ohne Informationen bezüglich der Feldvorrichtungen (8, 9) auftritt.
  8. System, das wenigstens einen Feldbus (5), zwei Steuer-Server (2, 3) zum Steuern der Funktion des Feldbusses umfasst, von denen einer jeweils aktiv eingestellt ist, und einer passiv eingestellt ist, wobei die Steuer-Server (2, 3) mit einem Backup-Bus (4) verbunden sind und das System des Weiteren eine Einrichtung (17) zum Senden einer zweiten Nachricht in Intervallen von dem aktiven Steuer-Server über den Backup-Bus (4) zu dem passiven Steuer-Server, eine Einrichtung (16) zum Bestimmen des Eintreffens der zweiten Nachricht an dem passiven Steuer-Server (2, 3), eine Einrichtung (11) zum Bestimmen von Zeitdaten über den Empfang der letzten empfangenen zweiten Nachricht, eine Einrichtung (14) zum Vergleichen der bestimmten Zeitdaten mit einem vorgegebenen zweiten Schwellenwert und Einrichtungen (14) zum Einstellen von zweiten Daten über die Fehlersituation auf Basis des Vergleichs umfasst, dadurch gekennzeichnet, dass das System eine Einrichtung (16, 7a, 7b) zum Senden einer ersten Nachricht in Intervallen von dem aktiven Steuer-Server (2, 3) über den Feldbus (5) zu dem passiven Steuer-Server (3, 2), eine Einrichtung (14) zum Erzeugen einer Antwortnachricht auf die erste Nachricht an dem passiven Steuer-Server (3, 2), eine Einrichtung (16) zum Bestimmen des Eintreffens der Antwortnachricht an dem aktiven Steuer-Server (2, 3), eine Einrichtung zum Bestimmen von Zeitdaten über das Senden der letzten gesendeten ersten Nachricht, eine Einrichtung (14) zum Vergleichen der bestimmten Zeitdaten mit einem vorgegebenen ersten Schwellenwert, eine Einrichtung (14) zum Einstellen erster Daten über die Fehlersituation auf Basis des Vergleichs umfasst.
  9. System nach Anspruch 8, dadurch gekennzeichnet, dass das System zusätzlich eine Einrichtung (16) zum Bestimmen des Eintreffens der ersten Nachricht an dem passiven Steuer-Server (3, 2), eine Einrichtung (11) zum Bestimmen von Zeitdaten aus dem Empfang der letzten empfangenen ersten Nachricht, eine Einrichtung (14) zum Vergleichen der bestimmten Zeitdaten mit einem vorgegebenen dritten Schwellenwert und eine Einrichtung (14) zum Einstellen dritter Daten über die Fehlersituation auf Basis des Vergleichs umfasst.
  10. System nach Anspruch 9, dadurch gekennzeichnet, dass die ersten Daten über die Fehlersituation so eingerichtet sind, dass sie eine Fehlersituation anzeigen, die sich auf den passiven Steuer-Server oder die Schnittstelle zwischen dem passiven Steuer-Server und dem Feldbus bezieht, die zweiten Daten über die Fehlersituation so eingerichtet sind, dass sie eine Fehlersituation anzeigen, die sich auf den aktiven Steuer-Server oder den Backup-Bus (4) bezieht, und die dritten Daten über die Fehlersituation so eingerichtet sind, dass sie eine Fehlersituation anzeigen, die sich auf den aktiven Steuer-Server oder die Schnittstelle zwischen dem aktiven Steuer-Server und dem Feldbus bezieht.
  11. System nach Anspruch 8, 9 oder 10, dadurch gekennzeichnet, dass sie eine Einrichtung (17) zum Senden einer zweiten Antwortnachricht durch den passiven Steuer-Server auf die zweite Nachricht, die er empfangen hat, umfasst, wobei in diesem Fall die Informationen über das Eintreffen der Antwortnachricht so eingerichtet sind, dass sie in dem aktiven Steuer-Server beim Bestimmen eines Funktionszustandes des passiven Steuer-Servers verwendet werden.
  12. System nach Anspruch 8, 9, 10 oder 11, wobei Feldvorrichtungen (8, 9) mit dem Feldbus verbunden sind, dadurch gekennzeichnet, dass die System-Anwendungsdaten erzeugt werden, die sich auf die verschiedenen Feldvorrichtungen (8, 9) beziehen, die mit dem Feldbus (5) verbunden sind, und dass die Anwendungsdaten so eingerichtet sind, dass sie in der zweiten Nachricht zu dem passiven Steuer-Server gesendet werden.
  13. System nach Anspruch 12, dadurch gekennzeichnet, dass es eine Einrichtung zum Umschalten des passiven Steuer-Servers auf einen aktiven Steuer-Server in einer Fehlersituation umfasst, die sich auf die Funktion des aktiven Steuer-Servers bezieht, wobei in diesem Fall die Anwendungsdaten so eingerichtet sind, dass sie beim Einstellen eines Funktionszustandes des Steuer-Servers verwendet werden, der auf aktiv geändert worden ist.
  14. System nach einem der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass der Feldbus (5) als ein Ringbus ausgebildet ist.
  15. System nach einem der Ansprüche 8 bis 14, dadurch gekennzeichnet, dass wenigstens ein Teil des Feldbusses (5) mit einer Lichtleitfaser ausgebildet ist.
  16. System nach einem der Ansprüche 8 bis 15, dadurch gekennzeichnet, dass die ersten Nachrichten so eingerichtet sind, dass sie vorteilhafterweise in Intervallen von 50 bis 500 ms, vorzugsweise in Intervallen von ungefähr 100 ms gesendet werden, und dass die zweiten Nachrichten so eingerichtet sind, dass sie vorzugsweise in Intervallen von 2 bis 5 Sekunden gesendet werden.
  17. System nach einem der Ansprüche 8 bis 16, dadurch gekennzeichnet, dass der Feldbus ein PROFIBUS-Feldbus ist.
  18. Steuer-Server, der in einem System eingesetzt wird, das wenigstens einen Feldbus (5) umfasst, wobei der Steuer-Server (2, 3) eine Einrichtung (14, 16) zum Steuern der Funktion des Feldbusses, eine Einrichtung (14) zum Einstellen eines Funktionszustandes des Steuer-Servers zu einer Zeit auf entweder aktiv oder passiv, und eine Einrichtung zum Verbinden des Steuer-Servers (2, 3) mit einem anderen Steuer-Server über einen Backup-Bus (4) sowie eine Einrichtung (17) zum Senden einer zweiten Nachricht in Intervallen über den Backup-Bus (4) zu dem zweiten Steuer-Server umfasst, dadurch gekennzeichnet, dass der Steuer-Server eine Einrichtung (16, 7a, 7b) zum Senden einer ersten Nachricht in Intervallen über den Feldbus (5) zu dem zweiten Steuer-Server (3, 2), die sich auf den Feldbus bezieht, eine Einrichtung (16) zum Bestimmen des Eintreffens einer Antwortnachricht auf die erste Nachricht, eine Einrichtung (11) zum Bestimmen von Zeitdaten über das Senden der letzten gesendeten ersten Nachricht, eine Einrichtung (14) zum Vergleichen der bestimmten Zeitdaten mit einem vorgegebenen ersten Schwellenwert, und eine Einrichtung (14) zum Einstellen erster Daten über die Fehlersituation auf Basis des Vergleichs umfasst.
DE60309012T 2002-04-22 2003-04-17 Verfahren und system zur sicherstellung eines busses und eines steuerservers Expired - Lifetime DE60309012T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI20020774 2002-04-22
FI20020774A FI115015B (fi) 2002-04-22 2002-04-22 Menetelmä ja järjestelmä väylän varmistamiseksi sekä ohjauspalvelin
PCT/FI2003/000310 WO2003090084A1 (en) 2002-04-22 2003-04-17 A method and a system for ensuring a bus and a control server

Publications (2)

Publication Number Publication Date
DE60309012D1 DE60309012D1 (de) 2006-11-23
DE60309012T2 true DE60309012T2 (de) 2007-01-25

Family

ID=8563815

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60309012T Expired - Lifetime DE60309012T2 (de) 2002-04-22 2003-04-17 Verfahren und system zur sicherstellung eines busses und eines steuerservers

Country Status (7)

Country Link
US (1) US20060075085A1 (de)
EP (1) EP1497731B1 (de)
AT (1) ATE342545T1 (de)
AU (1) AU2003222858A1 (de)
DE (1) DE60309012T2 (de)
FI (1) FI115015B (de)
WO (1) WO2003090084A1 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10315164A1 (de) * 2003-04-02 2004-10-14 Endress + Hauser Gmbh + Co. Kg Verfahren zur näherungsweisen Bestimmung eines Messzeitpunktes und entsprechende Vorrichtung
EP1859575A1 (de) * 2005-03-04 2007-11-28 Koninklijke Philips Electronics N.V. Elektronische einrichtung und verfahren zum arbitrieren gemeinsam benutzter ressourcen
DE102005051580A1 (de) * 2005-10-27 2007-05-03 Vega Grieshaber Kg Datenbankinterface für Feldgerät
US7454252B2 (en) * 2006-03-08 2008-11-18 Moore Industries International, Inc. Redundant fieldbus system
US8149133B2 (en) * 2006-10-20 2012-04-03 Hydril Usa Manufacturing Llc MUX BOP database mirroring
DE102008038131B4 (de) * 2008-08-18 2013-12-05 EAE Ewert Automation Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren
DE102009050449C5 (de) * 2009-10-23 2012-11-15 Siemens Aktiengesellschaft Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems
CN102971727B (zh) * 2010-05-11 2016-05-11 英特尔公司 在软件分布式共享存储器系统中记录脏信息
JP2013025358A (ja) * 2011-07-15 2013-02-04 Yokogawa Electric Corp フィールド通信システム
JP5706347B2 (ja) * 2012-01-25 2015-04-22 株式会社東芝 二重化制御システム
DE102022119309B3 (de) * 2022-08-02 2024-01-04 Beckhoff Automation Gmbh Automatisierungssystem

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5148433A (en) * 1989-03-13 1992-09-15 Square D Company Transfer network interface
WO1991008535A1 (en) * 1989-11-27 1991-06-13 Olin Corporation Method and apparatus for providing backup process control
US5142470A (en) * 1990-09-26 1992-08-25 Honeywell Inc. Method of maintaining synchronization of a free-running secondary processor
IT1255618B (it) * 1992-09-30 1995-11-09 Sits Soc It Telecom Siemens Unita' di controllo e di elaborazione duplicata per apparati di telecomunicazioni
US5696895A (en) * 1995-05-19 1997-12-09 Compaq Computer Corporation Fault tolerant multiple network servers
AU7149698A (en) * 1997-04-25 1998-11-24 Symbios, Inc. Control message interfacing in a redundant server environment
US6199069B1 (en) * 1997-08-25 2001-03-06 International Business Machines Corporation System and method for switching between databases without disruption to applications
FR2786891B1 (fr) * 1998-12-04 2001-01-12 Schneider Automation Systeme d'automatisme redondant
US7213167B1 (en) * 2000-01-18 2007-05-01 Verso Technologies, Inc. Redundant state machines in network elements
JP4054509B2 (ja) * 2000-04-19 2008-02-27 株式会社東芝 フィールド機器制御システムおよびコンピュータが読取り可能な記憶媒体
DE10030329C1 (de) * 2000-06-27 2002-01-24 Siemens Ag Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
US20030088814A1 (en) * 2001-11-07 2003-05-08 Campbell Ralph B. Method and apparatus for logging file system operations

Also Published As

Publication number Publication date
FI20020774A0 (fi) 2002-04-22
EP1497731A1 (de) 2005-01-19
AU2003222858A1 (en) 2003-11-03
ATE342545T1 (de) 2006-11-15
US20060075085A1 (en) 2006-04-06
WO2003090084A1 (en) 2003-10-30
FI20020774A7 (fi) 2003-10-23
FI115015B (fi) 2005-02-15
DE60309012D1 (de) 2006-11-23
EP1497731B1 (de) 2006-10-11

Similar Documents

Publication Publication Date Title
DE68918837T2 (de) Verfahren zur unterbrechungsfreien Rückgewinnungsversorgung in einem Übertragungssystem.
DE69123663T2 (de) Kanäle in einem Rechnerein-Ausgabesystem
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
DE3486148T2 (de) Fehlertolerantes Übertragungssteuersystem.
DE60224369T2 (de) Speichersteuerungssystem und Verfahren dazu
DE19836347C2 (de) Fehlertolerantes Computersystem
EP0732654B1 (de) Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
DE69506997T2 (de) System zur Verwendung eines gespiegelten Speichers als fehlerunempfindlichen Kommunikationspfad zwischen doppelten Plattenspeichersteuerungen
DE3382592T2 (de) Zweifachbusstruktur fuer die rechnerverbindung.
DE69125330T2 (de) Verfahren zur Verordnung der Sicherheitsübertragung eines 1:1-redundanten Sklavenprozessorpaares
DE69228904T2 (de) Verfahren zur Erfassung des Identifizierers eines Knotens in einem Ein-/Ausgabesystem
DE68927385T2 (de) Verteilter schaltungsaufbau für kommunikationsmodulredundanz
DE60318468T2 (de) Verfahren zur lösung von entscheidungslosigkeiten in einem cluster-rechnersystem
DE69802535T2 (de) Aktive fehlererkennung
DE69124899T2 (de) Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem
DE69811150T2 (de) Verfahren und Gerät für hochverfügbare Cachedatenspeicherungsanordnungen
DE10360190A1 (de) Vorrichtung für die Erfassung von Verbindungsfehlern auf der Backplane des hochverfügbaren Ethernet
DE10124514A1 (de) Fehlertolerante, gemeinsam genutzte Systemressource mit einem Hochverfügbarkeitskommunikationen bereitstellenden Kommunikationsdurchgang
DE10197179T5 (de) Fern-Spiegelung in einer geschalteten Umgebung
DE60309012T2 (de) Verfahren und system zur sicherstellung eines busses und eines steuerservers
DE69125778T2 (de) Verfahren zur Sicherung von in einer Primär- und Sekundärdatenbank gespeicherten Daten in einem Prozessregelsystem
DE10130027A1 (de) Bereitschaftsredundanz bei invers multiplexenden Diensten (IMA)
EP2491492B1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
DE10305415B4 (de) Verfahren und Vorrichtung zum medienredundanten Betreiben eines Endgeräts in einem Netzwerk
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems

Legal Events

Date Code Title Description
8364 No opposition during term of opposition