[go: up one dir, main page]

DE69124899T2 - Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem - Google Patents

Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem

Info

Publication number
DE69124899T2
DE69124899T2 DE69124899T DE69124899T DE69124899T2 DE 69124899 T2 DE69124899 T2 DE 69124899T2 DE 69124899 T DE69124899 T DE 69124899T DE 69124899 T DE69124899 T DE 69124899T DE 69124899 T2 DE69124899 T2 DE 69124899T2
Authority
DE
Germany
Prior art keywords
iop
message
processor
controller
primary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69124899T
Other languages
English (en)
Other versions
DE69124899D1 (de
Inventor
Robert W Bristow
Paul F Mclaughlin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell Inc
Original Assignee
Honeywell Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell Inc filed Critical Honeywell Inc
Application granted granted Critical
Publication of DE69124899D1 publication Critical patent/DE69124899D1/de
Publication of DE69124899T2 publication Critical patent/DE69124899T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1658Data re-synchronization of a redundant component, or initial sync of replacement, additional or spare unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1683Temporal synchronisation or re-synchronisation of redundant processing components at instruction level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31324Distributed real time knowledge, database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2038Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Description

    Verwandte Patentanmeldungen
  • Die vorliegende Anmeldung ist bezogen auf die US-Patentanmeldung US-A-5 202 822 mit dem Titel "Universal Scheme of Input/Output Redundancy in a Process Control System" von Paul McLaughlin et. al., angemeldet am gleichen Tag und eingetragen für Honeywell Inc., dem Anmelder der vorliegenden Anmeldung.
    • Hintergrund der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Überprüfung von Datenbankinformation redundanter Prozessoren und insbesondere auf die Überprüfung darauf, daß die Datenbank eines primären Prozessors und die Datenbank eines sekundären Prozessors einander gleich sind (d.h. synchronisiert), ohne daß es erforderlich ist, daß die Prozessoren in einer synchronisierten Weise (Verriegelungsschritt) laufen.
  • Prozeßregelsysteme mit Stütz-Prozeßsteuerungen, wie sie beispielsweise in dem US-Patent Nr. 4 133 027, ausgegeben für J.A. Hogan am 2. Januar 1979 und in dem US-Patent Nr. 4 141 066, ausgegeben für Y. Keiles am 20. Februar 1979 beschrieben und beansprucht sind, umfassen eine Stützsteuerung mit zugeteiltem Speicher mit wahlfreiem Zugriff (RAM) und einem zugeordneten Festwertspeicher (ROM). Die Stützsteuerung läuft im wesentlichen leer oder kann irgendwelche Hintergrundaufgaben ausführen, jedoch keine Aufgaben, die direkt auf die Prozeß-Steuerfunktion bezogen sind. Bei der Feststellung eines Ausfalles einer primären Prozeßsteuerung müssen die in dem RAM der ausgefallenen Steuerung gespeicherten Daten zu dem RAM der Stützsteuerung übertragen werden, um die Operationen der primären Steuerung auszuführen. Diese Systeme beschreiben ein System mit einer 1:N-Redundanz.
  • Bestehende Systeme, wie beispielsweise jenes, das in der US-Patentanmeldung US-A- 4 958 270 beschrieben ist und das am 23. Januar 1989 angemeldet und für Honeywell Inc. eingetragen ist, dem Anmelder der vorliegenden Anmeldung, sehen ein System mit einer 1:1-Redundanz vor, wobei die Datenbank einer sekundären Einrichtung (d.h. einer sekundären bzw. Stütz-Steuerung) periodisch so fortgeschrieben wird, daß der fortgeschriebene Prozeß für die primären Funktionen transparent ist und die CPU- Prozessorleistung nicht festbindet (bzw. beeinträchtigt) und einen minimalen Zeitbetrag verwendet. Wenn ein Sicherheitsübertragungszustand auftritt, gibt es eine Zeitperiode, in der keine Dialoge zwischen der primären Steuerung und dem verbleibenden System stattfinden können (d.h. einen Funktionsausfall). Ferner befinden sich die primäre und sekundäre Steuerung an einem im voraus festgelegten Ort und die für die Verwirklichung dieses Redundanzmerkmals verwendete Software (d.h. die Redundanzsoftware) ist für andere Softwareschichten oberhalb der Redundanzsoftware nicht transparent. Wenn beispielsweise eine Universalstation eines Anlagen-Steuernetzwerkes eine Steuerung eines Prozeßreglers oder eines Prozeß-Steuersystems nach einem Wert abfragt, (d.h. eine primäre Steuerung, da die sekundäre Steuerung nicht abgefragt werden kann), so ist während einer Sicherheitsübertragung die Steuerung nicht in der Lage zu antworten und die Universalstation gibt auf dem Display Fragezeichen an die Bedienungsperson aus.
  • Die vorliegende Erfindung gibt ein Verfahren vor, welches überprüft und sicherstellt, daß die Synchronisation der Datenbankinformation für ein redundantes Prozessorpaar aufrechterhalten wird. Das Verfahren der vorliegenden Erfindung wird sowohl beim anfänglichen Laden der Datenbank (d.h. bei der anfänglichen Synchronisierung) als auch in Echtzeit während des normalen Prozessorbetriebs verwendet. Das Verfahren der vorliegenden Erfindung erfordert nicht, daß die redundanten Prozessoren in einer synchronisierten Weise (d.h. im Verriegelungsschritt) arbeiten.
    • Zusammenfassung der Erfindung
  • Somit wird durch die vorliegende Erfindung ein Verfahren zur Überprüfung daraufhin vorgegeben, daß die gesamten Datenbanken von redundanten Prozessoren die gleichen bleiben, während die Prozessoren ihre normalen Funktionen in einer asynchronen Weise ausführen.
  • In einem Prozeßsteuersystem mit einer Hauptsteuerung und wenigstens einem Paar von Neben-Ein/Ausgabeprozessoren (IOP's) ist ein erster IOP des Paares ein primärer Neben- IOP und ein zweiter IOP des Paares ein sekundärer Neben-IOP. Der erste und zweite IOP besitzen entsprechend eine erste und zweite Datenbank, wobei der erste und zweite IOP jeweils die gleichen Aufgaben unter Verwendung eines ersten und zweiten Taktsystems entsprechend bearbeiten. Die Datenbanken der ersten und zweiten IOP's sind synchronisiert, Dialoge durch die Hauptsteuerung erfolgen nur zu dem ersten IOP und umfassen Dialoge, welche die erste Datenbank modifizieren. Ein Verfahren zur periodischen Überprüfung daraufhin, ob die Datenbanken eines jeden IOP sychronisiert bleiben, umfaßt die Schritte der Aussendung einer Nachricht vom Synchronisations- Überprüfungstyp zu dem ersten IOP. Der zweite IOP horcht die Dialoge ab und wenn der zweite IOP erkennt, daß die Nachricht zu dem entsprechenden primären Neben-IOP gerichtet ist, nimmt er die Nachricht an. Bei der Feststellung durch jeden IOP, daß die Nachricht vom Synchronisations-Überprüfungstyp ist, wird der Betrieb durch jeden IOP aufgegeben. Eine Zahl wird durch jeden IOP von seiner eigenen Datenbank erzeugt, wobei die Zahl den Inhalt der Information anzeigt, die in der Datenbank gespeichert ist. Eine Nachricht vom Status-Anforderungstyp wird durch die Hauptsteuerung zu dem ersten IOP für die durch den ersten IOP erzeugte Zahl ausgegeben und eine Nachricht vom Status- Anforderungstyp wird durch die Hauptsteuerung zu dem zweiten IOP für die durch den zweiten IOP erzeugte Zahl ausgegeben. Beim Empfang der Zahlen durch die Hauptsteuerung wird der Wert der durch den ersten IOP erzeugten Zahl mit dem Wert der durch den zweiten IOP erzeugten Zahl verglichen, wodurch festgestellt wird, ob die in den ersten und zweiten Datenbanken gespeicherte Information die gleiche ist, wenn die Zahlen dies anzeigen.
  • Demgemäß ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren zur Überprüfung der Datenbanken von redundanten Prozessoren vorzugeben.
  • Es ist eine weitere Aufgabe der vorliegenden Erfindung, ein Verfahren zur Überprüfung der Datenbanken von redundanten Prozessoren vorzugeben, während die Prozessoren ihre normalen Funktionen ausführen.
  • Es ist noch eine weitere Aufgabe der vorliegenden Erfindung, ein Verfahren zur Überprüfung der Datenbanken von redundanten Prozessoren vorzugeben, während die Prozessoren ihre normalen Funktionen in einer asynchronen Weise ausführen.
  • Diese und andere Aufgaben der vorliegenden Erfindung werden klarer, wenn sie im Zusammenhang mit der folgenden Beschreibung und den beigefügten Zeichnungen betrachtet werden, wobei gleiche Bezugsziffern gleiche Teile beziffern und welche Zeichnungen einen Teil der vorliegenden Anmeldung bilden.
    • Kurze Beschreibung der Zeichnungen
  • Fig. 1 zeigt ein Blockdiagramm eines Prozeßsteuersystems, bei dem die vorliegende Erfindung verwendet werden kann.
  • Fig. 2 zeigt ein Blockdiagramm eines Prozeßreglers einschließlich E/A-Modulen (IOP), bei der die vorliegende Erfindung verwendet werden kann;
  • Fig. 3 zeigt ein Blockdiagramm einer Steuerung, die in dem Prozeßregler von Fig. 2 enthalten ist;
  • Fig. 4 zeigt ein Blockdiagramm eines E/A-Moduls, der in dem Prozeßregler von Fig. 2 enthalten ist;
  • Fig. 5 zeigt ein Blockdiagramm des Redundanzschemas des E/A-Moduls innerhalb der Prozeßsteuerung von Fig. 2;
  • Fig. 6 zeigt ein vereinfachtes Blockdiagramm der Prozeßsteuerung von Fig. 2;
  • Fig. 7 zeigt ein Flußdiagramm des Dialogschemas zwischen der Steuerung und den primären und sekundären IOP's;
  • Fig. 8 zeigt ein Flußdiagramm der Datenbankauslösung des sekundären IOP; und
  • Fig. 9 zeigt ein Flußdiagramm des Überprüfungsverfahrens des bevorzugten Ausführungsbeispieles der vorliegenden Erfindung.
    • Detaillierte Beschreibung
  • Bevor das Verfahren der vorliegenden Erfindung beschrieben wird, ist es hilfreich, eine Systemumgebung zu verstehen, in der die vorliegende Erfindung verwendet werden kann.
  • Bezug nehmend auf Fig. 1 ist dort ein Blockdiagramm eines Prozeßsteuersystems 10 gezeigt, in welchem die vorliegende Erfindung angetroffen werden kann. Das Prozeßsteuersystem umfaßt ein Anlagen-Steuernetzwerk 11, in welchem eine Prozeßsteuerung 20 betriebsmäßig mit dem Anlagen-Steuernetzwerk 11 über ein universelles Steuernetzwerk (UCN) 14 mit einem Netzwerk-Schnittstellenmodul (NIM) 602 verbunden ist. Im bevorzugten Ausführungsbeispiel des Prozeßsteuersystems 10 können zusätzliche Prozeßsteuerungen 20 betriebsmäßig mit dem Anlagen-Steuernetzwerk 11 über ein entsprechendes UCN 14 und einen entsprechenden NIM 602 angeschlossen sein. Die Prozeßsteuerung 20 bildet eine Schnittstelle zwischen analogen Eingangs- und Ausgangssignalen und zwischen digitalen Eingangs- und Ausgangssignalen (A/I, A/O, D/I und D/O) mit dem Prozeßsteuersystem 10 und zu einer Vielzahl von Feldgeräten (nicht dargestellt), welche Ventile, Druckschalter, Druckmeßgeräte, Thermoelemente, ... umfassen.
  • Das Anlagen-Steuernetzwerk 11 gibt eine Gesamtüberwachung eines gesteuerten Prozesses zusammen mit dem Anlagenbediener vor und erhält alle Information, die für die Ausführung der Überwachungsfunktion erforderlich ist und es umfaßt eine Schnittstelle zu der Bedienungsperson. Das Anlagen-Steuernetzwerk 11 umfaßt eine Vielzahl physikalischer Module, welche eine universelle Bedienstation (US) 122, einen Anwendungsmodul (AM) 124, einen Verlaufsmodul (HM) 126, und einen Computermodul (CM) 128 umfassen und es umfaßt Duplikate dieser Module (und zusätzliche Arten von Modulen, nicht dargestellt) falls erforderlich, um die geforderte Steuer/Überwachungsfunktion des gesteuerten Prozesses auszuführen. Jeder dieser physikalischen Module ist im Betrieb an ein lokales Steuernetzwerk (LCN) 120 angeschlossen, welches jedem dieser Module den Dialog mit jedem anderen Modul in der erforderlichen Weise gestattet. Der NIM 602 bildet eine Schnittstelle zwischen dem LCN 120 und dem UCN 14. Eine vollständigere Beschreibung des Anlagen-Steuernetzwerkes 11 und der physikalischen Module kann durch Bezugnahme auf das US-Patent Nr. 4 607 256 erhalten werden.
  • Bezug nehmend auf Fig. 2 ist dort ein Blockdiagramm der Prozeßsteuerung 20 dargestellt. Die Prozeßsteuerung 20 des bevorzugten Ausführungsbeispieles des Prozeßsteuersystems 10 umfaßt eine Steuerung A 30 und eine Steuerung B 40, welche effektiv als eine primäre und sekundäre Steuerung arbeiten. Die Steuerung A 30 und die Steuerung B 40 sind an das UCN 14 angeschlossen, wobei das UCN 14 im bevorzugten Ausführungsbeispiel für die Zwecke des redundanten Dialoges ein UCN(A) 14A und ein UCN(B) 14B umfaßt.
  • Ein/Ausgabe-Prozessoren (IOP's) 21 (manchmal hier als Eingabe/Ausgabe (E/A)-Module bezeichnet), bilden eine Schnittstelle zu Feldgeräten, wobei die Feldgeräte verschiedene Ventile, Druckschalter, Druckanzeigen, Thermoelemente, ... umfassen, die analoge Eingänge (A/I), analoge Ausgänge (A/O), digitale Eingänge (D/I) und digitale Ausgänge (D/O) sein können. Die Steuerung A 30 bildet eine Schnittstelle mit jedem E/A Modul 21 über einen Bus A 22 und die Steuerung B 40 bildet eine Schnittstelle mit jedem E/A- Modul 21 über einen Bus B 23. Zusätzlich ist erneut für die Zwecke des redundanten Dialogs die Steuerung A 30 ebenfalls mit dem Bus B 23 und die Steuerung B 40 mit dem Bus A 22 verbunden.
  • Die Steuerung A 30 und die Steuerung B 40 können miteinander über drei Medien, das UCN 14, eine Verbindung 13 zwischen den Steuerungen und die Busse A 22, B 23, einen Dialog ausführen, wobei der Bus A und der Bus B im bevorzugten Ausführungsbeispiel serielle E/A-Verbindungen sind. Eine Steuerung (Steuerung A 30 oder Steuerung B 40) arbeitet als eine primäre Steuerung und die andere Steuerung arbeitet als eine sekundäre Steuerung (mehr in einem Reservemodus als in einem Stützmodus insofern, als beim Ausfall der Steuerung A 30 die Steuerung B 40 bereit ist, die Steuerungsfunktion mit im wesentlichen keiner Start- bzw. Auslösezeit zu übernehmen). Auf einer vorbestimmten Zeitbasis wird eine Punktverarbeitung durch die Steuerung ausgeführt, die als die primäre Steuerung bezeichnet ist und im Dialog mit den E/A-Modulen 21 steht. Zusätzlich steht die als die primäre Steuerung wirkende Steuerung im Dialog mit dem Anlage-Steuernetzwerk 11 und berichtet den Status und den Verlauf und nimmt Eingänge von dem Anlagen- Steuernetzwerk, wie beispielsweise Anweisungen von der Bedienungsperson über die Universalstation 122 an. Zusätzlich wird eine durch die primäre Steuerung unterhaltene Datenbank der sekundären Steuerung über die Verbindung 13 mitgeteilt. Wie zuvor erwähnt, arbeitet eine Steuerung als eine sekundäre Steuerung; es versteht sich jedoch durch den Fachmann, daß eine sekundäre Steuerung für die Prozeßsteuerung 20 nicht erforderlich ist.
  • Gemäß Fig. 3 ist ein Blockdiagramm der Steuerung 30, 40 gezeigt. Ein Modem so ist an das UCN 14 angeschlossen, wobei das Modem zwei Eingänge besitzt von denen einer an das UCN 14A und der andere an das UCN 14B angeschlossen ist. Das Modem 50 bildet eine Schnittstelle mit einer Dialogeinheit (COMM) 60, welche ihrerseits eine Schnittstelle mit einem globalen Speicher 70 einer E/A-Schnittstelleneinheit 80 und einer Steuereinheit 90 über einen globalen Bus 72 bildet. Die Dialogeinheit 60 umfaßt eine Dialog- Steuereinheit, im bevorzugten Ausführungsbeispiel eine Token-Bussteuerung (TBC) 61 vom Motorola-Typ 68824, die an einen lokalen Bus 62 angeschlossen ist. Ein Prozessor A 63 (der im wesentlichen die Dialogfunktion ausführt) ist an den lokalen Bus 62 und an einen lokalen Speicher A 64 angeschlossen, der ebenfalls mit dem lokalen Bus 62 verbunden ist. Der Prozessor A 63 führt einen Dialog mit dem Anlagen-Steuernetzwerk 11 über das Modem 50 und die TBC 61 aus. Der lokale Speicher A 64 speichert Information einschließlich eines Persönlichkeitsbildes, welches aus dem Anlagen-Steuernetzwerk 11 geladen wird zur Verwendung durch den Prozessor A 63 und die TBC 61. Der globale Speicher 70 speichert Information, die sowohl dem Prozessor A 63 als auch dem Prozessor B 91 gemeinsam ist. Er speichert ebenfalls alle Daten, die von dem Bus A 22 und dem Bus B 23 empfangen werden. Der globale Speicher 70 dient ebenfalls der Dialogförderung zwischen den Prozessoren A 63 und B 91. Die Steuereinheit 90 umfaßt den Prozessor B 91 und einen lokalen Speicher B 92, die beide an einen lokalen Bus 93 angeschlossen sind. Der Prozessor B 91 führt die Steuerfunktion aus (d.h. die Steuerverarbeitung) bezüglich der Feldgeräte. Dies umfaßt im wesentlichen die Ausführung der Meßpunktverarbeitung und die Fortschreibung des lokalen Speichers B 92 und des globalen Speichers 70. Ebenfalls an den lokalen Bus 93 der Steuereinheit 90 angeschlossen ist eine Verfolgungseinheit (nicht dargestellt), welche verwendet wird, um die Datenbankübertragung über die Verbindung 13 zu der anderen Steuerung 30, 40 der Prozeßsteuerung 20 zu verwirklichen. Eine detailliertere Beschreibung der Verfolgungseinheit kann erhalten werden durch Bezugnahme auf die Patentanmeldungen:
  • (a) Patentanmeldung US-A- 4 959 768 mit dem Titel "APPARATUS FOR TRACKING PREDETERMINED DATA FOR UPDATING A SECONDARY DATA BASE", von P. Gerhart, angemeldet am 23. Januar 1989; und
  • (b) Patentanmeldung US-A-4 958 270 mit dem Titel "METHOD FOR CONTROL DATA BASE UPDATING OF A REDUNDANT PROCESSOR IN A PROCESS CONTROL SYSTEM" durch P. McLaughlin et al, angemeldet am 23. Januar 1989;
  • wobei beide oben angegebene Anmeldungen für Honeywell Inc. erteilt sind dem Anmelder der vorliegenden Anmeldung. Die E/A-Schnittstelleneinheit 80 umfaßt eine Empfangs/Sendeeinrichtung, wobei diese Einrichtung ein UART 81 (Universal Asynchronous Receiver/Transmitter) ist. Der UART 81 ist über Treiber 82, 83 an den Bus A 22 und den Bus B 23 entsprechend angeschlossen.
  • Der Prozessor B 91 empfängt Daten von verschiedenen Feldgeräten über den globalen Speicher 70, führt die erforderliche Meßpunktverarbeitung und Steuerfunktion aus und schreibt sodann den lokalen Speicher B 92 und den globalen Speicher 70 in der erforderlichen Weise fort. Die Dialogeinheit 60 gibt auf Grund von Anweisungen von der Steuereinheit 90 über den globalen Speicher 70 Daten zwischen den E/A-Modulen 21 (über die E/A-Schnittstelleneinheit 80) und den globalen Speicher 70 ein und aus, wodurch die Steuereinheit 90 von der Last der E/A-Modulverwaltung befreit wird. Auf diese Weise wird die Steuerverarbeitung durch die Steuereinheit 90 innerhalb der Prozeßsteuerung 20 für die im voraus definierten angeschlossenen Feldgeräte ausgeführt und der Dialog (d.h. die E/A-Steuerung) wird durch die Dialogeinheit 60 über den UART 81 gehandhabt.
  • Bezug nehmend auf Fig. 4 ist dort ein Blockdiagramm eines E/A-Moduls dargestellt. Ein Sende/Empfänger 201 (Entprellschaltkreis) bildet eine Schnittstelle mit dem Bus A 22 und dem Bus B 23. Der Sender/Empfänger 201 bildet eine Schnittstelle mit einem Mikrokontroller (µ-Kontroller) 202, welcher im bevorzugten Ausführungsbeispiel vom Typ 80C31 der Firma Intel ist. Der Mikrokontroller ist an einen lokalen Bus 203 angeschlossen und umfaßt einen EPROM 204 und einen RAM 205, die ebenfalls an den lokalen Bus 203 angeschlossen sind. Der RAM 205 enthält die Information, die die Datenbank für den E/A-Modul 21 bildet. Der EPROM 204 enthält die Programminformation, die durch den Mikrokontroller 202 verwendet wird. Ebenfalls mit dem lokalen Bus 203 verbunden ist ein Eingangspuffer, der die E/A-Verbindungs- Adresseninformation von der E/A-Verbindung (Bus A 22, Bus B 223) empfängt. Der Ausgangspuffer 208 (Pufferausgang) ist mit dem lokalen Bus 203 verbunden. Die anwendungsspezifischen Schaltkreise 209 sind ebenfalls an den lokalen Bus 203 angeschlossen und bilden eine Schnittstelle mit den Ein- und Ausgangspuffern 206, 208 und dem Mikrokontroller 202 über den lokalen Bus 203. Die anwendungsspezifischen Schaltkreise 209 variieren von E/A-Modul zu E/A-Modul in Abhängigkeit von dem Feldgerät, an das der E/A-Modul angeschlossen ist. Wenn das Feldgerät von einem Typ ist, der einen digitalen Eingang erfordert, so umfassen die anwendungsspezifischen Schaltkreise 209 die Logik, um den digitalen Eingang in ein im voraus definiertes Format zu bringen, das von dem Rest des E/A-Moduls verarbeitet wird. Wenn das Feldgerät solcher Art ist, daß es einen analogen Eingang erfordert, so enthalten in gleicher Weise die anwendungsspezifischen Schaltkreise eine Logik, die das analoge Eingangssignal (über einen A/D-Wandler) in ein Format umwandelt, das erneut mit den im voraus definierten Formaten übereinstimmt. Auf diese Weise werden die E/A-Module als ein spezifischer E/A-Modultyp bezeichnet. Der Mikrokontroller 202 führt die E/A-Verarbeitung (oder Vorverarbeitung) für die anwendungsspezifischen Schaltkreise 209 aus. Die Vorverarbeitung variiert zwischen jedem E/A-Modul 21 in Abhängigkeit von dem Typ (d.h. A/I, A/O, ...), wobei die Vorverarbeitung im wesentlichen in der Umsetzung der Signale von den anwendungsspezifischen Schaltkreisen in ein Format besteht, das mit der Steuerung 30, 40 kompatibel ist und in der Umsetzung der Signale von der Steuerung 30, 40 in ein Format besteht, das mit dem E/A-Modul 21 kompatibel ist. Die ausgeführte Vorverarbeitung umfaßt eine Nullpunktdrift, eine Linearisierung (Linearisierung von Thermoelementen), eine Hardwarekorrektur, eine Kompensation (Verstärkungskompensation und Nullpunktkompensation), eine Referenzverbindungs-Kompensation, eine Kalibrierkorrektur, Umwandlungen, Alarmprüfungen (Grenzwerte) ... und die Erzeugung eines Signales in einem vorbestimmten Format mit vorbestimmter Skalierung (d.h. Reduziereinheiten, normierte Einheiten, Skalierungsprozente, ...). Im bevorzugten Ausführungsbeispiel sind sieben Typen von anwendungsspezifischen Schaltkreisen vorgesehen, wobei diese umfassen einen analogen Eingang mit hohem Pegel, einen analogen Eingang mit niedrigem Pegel, einen analogen Ausgang, einen digitalen Eingang, einen digitalen Ausgang, eine intelligente Transmitter-Schnittstelle und einen Impuls- Eingangszähler.
  • Bezug nehmend auf Fig. 5 ist dort ein funktionelles Blockdiagramm einer Feld- Anschlußanordung 251 (FTA) dargestellt, die verwendet wird, um das Redundanzschema der E/A-Module 21 innerhalb der Prozeßsteuerung 20 zu verwirklichen. Wie zuvor beschrieben, umfaßt die Prozeßsteuerung 20 die Steuerung A 30 und die Steuerung B 40, die an die E/A-Verbindung 22, 23 angeschlossen sind. Ebenfalls verbunden mit der E/A- Verbindung 22, 23 sind die E/A-Module 21 (hier ebenfalls als Ein/Ausgabe-Prozessor IOP bezeichnet). Bei dem Redundanzschema der IOP's, wie es bei dem bevorzugten Ausführungsbeispiel der Prozeßsteuerung 20 verwendet wird, ist der E/A-Modul 21 vom Typ mit analogem Ausgang dupliziert, was in Fig. 5 als AO(A) 21-A und AO(B) 21-B gezeigt ist (andere E/A-Module sind, wie zuvor erläutert, an die E/A-Verbindung 22, 23 angeschlossen, aber hier der Vereinfachung wegen nicht gezeigt). Jeder IOP umfaßt einen Prozessor 202-A, 202-B wie zuvor beschrieben. Der IOP AO(A) und der IOP AO(B) sind beide an ein Feldgerät (D) 250 über eine Feld-Anschlußanordnung (FTA) 251 angeschlossen, wobei das Feldgerät ein Ventil, Thermoelement, ... ist. Beide IOP's AO(A) 21-A und AO(B) 21-B bearbeiten die gleichen Aufgaben und geben die gleiche Information an die FTA 251 aus (unter der Annanme, daß keine Fehler in irgendeinem IOP vorliegen). Der Ausgang von nur einem IOP ist jedoch tatsächlich an das Feldgerät 250 angeschlossen, wie dies nunmehr erläutert wird.
  • Ein IOP wird als Haupt-IOP oder primärer IOP festgelegt und der andere IOP wird als Stütz-IOP oder redundanter IOP festgelegt. Hier wird der IOP AO(A) 21-A als der Haupt- IOP bezeichnet, der mit dem Feldgerät 250 eine Schnittstelle bildet und der IOP AO(B) 21-B wird als redundanter IOP festgelegt. Beide IOP's geben die gleiche Information von einer entsprechenden Stromquelle 211-A, 211-B aus. Die Ausgangsinformation ist an einen gemeinsamen Meßpunkt 252 (einen Anschluß, der manchmal als Kundenanschluß bezeichnet wird) über eine entsprechende Diode 212-A, 212-B angeschlossen. Ein gemeinsamer Punkt zwischen der Stromquelle 211-A und der Diode 212-A von AO(A) 21-A ist mit einem ersten Kontaktpunkt 256 eines Relais 253 verbunden und ein gemeinsamer Punkt zwischen der Stromquelle 211-B und der Diode 212-B von AO(B) 21-B ist an einen zweiten Kontaktpunkt des Relais 253 angeschlossen. Der Arm 258 des Relais 253 ist mit einem Massepunkt verbunden und wird normalerweise auf den zweiten Kontaktpunkt des Relais 253 geschaltet (d.h. kein Strom durch die Spule 254), so daß der Ausgang der zweiten Stromquelle 211-B von AO(B) 21-B nach Masse kurzgeschlossen ist. Auf diese Weise wird nur die Ausgangsinformation von AO(A) 21-A an das Feldgerät 250 angeschlossen. Für den Fall eines Ausfalles von AO(A) 21-A schaltet das Relais 253, so daß der Ausgang von AO(A) 21-A nach Masse kurzgeschlossen wird und der Ausgang von dem redundanten IOP AO(B) 21-B unmittelbar an den Kundenanschluß 252 angeschlossen wird und somit an das Feldgerät 250. Das Schalten des Relais 253 wird ausgelöst durch Aktivierung einer Spule 254 des Relais 253.
  • Ein Anschluß der Relaisspule 254 ist an AO(A) 21-A angeschlossen und der andere Anschluß der Relaisspule 254 ist an AO(B) 21-B angeschlossen. Normalerweise ist das Relais geschaltet (kein Strom durch die Spule 254), so daß der IOP(A) mit dem Feldgerät 250 in Verbindung steht und der IOP(B) sich im Stützmodus befindet (d.h. der Ausgang des IOP(B) ist nach Masse durch das Relais 253 kurzgeschlossen). Wenn ein Fehler durch die Steuerung 30 festgestellt wird, so löst die Steuerung A 30 (oder die Steuerung B 40, wenn sie als die primäre Steuerung arbeitet) eine Anweisung an die IOP's aus, um das Relais 253 zu schalten. (Die IOP's IOP(A) und IOP(B) können ebenfalls die Umschaltung bewirken, wenn sie einen Fehler feststellen).
  • Die IOP-Redundanz wird nunmehr beschrieben. Bezug nehmend auf Fig. 6 ist dort ein vereinfachtes Blockdiagramm der Prozeßsteuerung 20 von Fig. 2 gezeigt, bei dem die Redundanz der Steuerung unterdrückt ist und die einen IOP und einen Stütz-IOP nur für die Zwecke des Beispiels besitzt. Im bevorzugten Ausführungsbeispiel können bis zu vierzig (40) IOP's enthalten sein und irgendeine Mischung von IOP-Typen kann in einer redundanten oder nicht-redundanten Konfiguration enthalten sein. Wie der Fachmann aus der obigen Beschreibung erkennt, arbeitet die Steuerung 30 als Haupt-Prozessor und der IOP-Modul 21-A als primärer Neben-Prozessor und der IOP-Modul 21-B als Stütz- (oder sekundärer oder redundanter)-Nebenprozessor.
  • Nur für die Zwecke des Beispiels sei angenommen, daß die Prozeßsteuerung 20 mit der Steuerung 30 als primärer Steuerung arbeitet und der E/A-Modul 21-A (ein analoger Ausgangsmodul) als Modul 1 gemäß den Konfigurationsregeln des Prozeßsteuersystems konfiguriert ist. Der IOP A 21-A ist immer vorhanden (unter der Annahme des Erfordernisses nach einem A/O IOP) und der IOP B 21-B ist wahlweise vorhanden (mit der anfänglichen Annahme, daß er nicht konfiguriert ist). Daher ist der IOP B in Fig. 6 in gestrichelten Linien gezeigt. Für die Zwecke des Beispieles sei angenommen, daß der IOP(A) an der Dateiadresse 3 und der Kartenadresse 8 angeordnet ist. (Im bevorzugten Ausführungsbeispiel des Systems ist das Gehäuse unterteilt in Dateien (Reihen) und Kartenschlitze). Somit wird in diesem Beispiel die "gedruckte Schaltkreiskarte" eines A/O IOP, der als IOP(A) 21-A bezeichnet wird, in der Reihe 3 in den Kartenschlitz 8 eingesetzt. Dem IOP(A) wird eine logische Adresse gegeben, wobei angenommen wird, daß in diesem Beispiel die logische Adresse 1 zugeordnet wird. Die Datenbank der Steuerung 30 umfaßt die Daten für einen unter der logischen Adresse 1 an den Bus A 22 angeschlossenen IOP, die physikalische Adresse des IOP(A) der Datei 3, die Karte 8 und ist anfänglich nicht-redundant (Siehe Zustand 1 von Tabelle 1). Die Steuerung 30 steht im Dialog mit dem primären Neben-IOP über die konfigurierte logische Adresse. Das Prozeßsteuersystem 10 wird an Spannung gelegt und zusammen mit der Prozeßsteuerung 20 ausgelöst, die die Steuerung 30 und den IOP(A) 21-A umfaßt und normal betrieben wird. Der IOP(A) 21-A ist an die Punkte "A" der FTA 251 angeschlossen. Tabelle 1 - Datenbank der Steuerung 30
  • Zu irgendeinem späteren Zeitpunkt kann der Stütz-Neben-IOP 21-B hinzugefügt werden, während das System 10 läuft. Der IOP(A) 21-A arbeitet weiterhin normal und der IOP(B) 21-B ist an irgendeinem Ersatzort in der Datei (Gehäuse, Reihe, ...) konfiguriert. Der IOP(B) ist an die Anschlüsse "B" der FTA 251 angeschlossen und gemäß den Konfigurationsregeln des Systems wird Information ausgegeben (von der Universalstation US 122 des Anlagen-Steuernetzwerkes 11), die auf den IOP(B) bezogen ist und Information über den Ort enthält und die Tatsache, daß der IOP(B) der Stützprozessor für den Modul 1 ist (d.h. den Modul mit der logischen Adresse 1). Diese Information wird zu der Steuerung 30 während des normalen Betriebs des Systemes 10 übertragen und die Datenbank der Steuerung wird fortgeschrieben (Referenzzustand 2 von Tabelle 1 unter der Annahme, daß der IOP(B) 21-B in der Datei 4, Kartenschlitz 10 angeordnet ist). Es sei durch den Fachmann vermerkt, daß viele Techniken für die manuelle Eingabe solcher Information an einem Eingangsterminal durch die Bedienungsperson verfügbar sind, was hier nicht näher erläutert wird, da es für das Verständnis des Redundanzschemas des vorliegenden Systems nicht erforderlich ist.
  • Die Steuerung 30 bewirkt sodann eine Synchronisation des IOP(B) 21-B gemäß dem Verfahren der vorliegenden Erfindung. Die Synchronisation ist das Verfahren, bei dem die gleiche Datenbank sowohl in dem IOP(A) 21-A als auch in dem IOP(B) 21-B enthalten ist. Die Information der Datenbank des IOP(A) wird durch die Steuerung 30 angefordert. Der IOP(B) 21-B horcht die Übertragungen der Daten von dem IOP(A) 21-A zu der Steuerung 30 ab und speichert die Information in seinem Datenbankspeicher, wodurch die Datenbank des IOP(B) 21-B zu der gleichen Datenbank gemacht wird, woraufhin dem IOP(B) der Bearbeitungsbeginn befohlen wird. Der IOP(B) führt die gleichen Operationen wie der IOP(A) aus und gibt die gleiche Information zu der FTA 251 im wesentlichen zum gleichen Zeitpunkt jeder IOP arbeitet jedoch mit seinem eigenen Takt). Es sei vermerkt, daß der IOP(B) 21-B ein Stütz-IOP ist. Der Betrieb der FTA 251 erlaubt jedoch nur dem IOP(A) oder dem IOP(B) das Erreichen des Feldgerätes 250, wie dies zuvor beschrieben wurde. Wenn der IOP(B) einmal synchronisiert ist, so ist die Datenbank der Steuerung fortgeschrieben, wie dies im Zustand 3 von Tabelle 1 gezeigt ist.
  • Bezugnehmend auf Fig. 7 ist dort ein Flußdiagramm des Dialogschemas zwischen der Steuerung und den primären und sekundären IOP's gezeigt. Im Normalbetrieb werden alle Übertragungen (d.h. Einschreibungen) in den IOP(A) 21-A von der Steuerung 30 ebenfalls durch den IOP(B) empfangen. Der IOP(B) horcht den Dialog ab, da sowohl der IOP(A) als auch der IOP(B) eine logische Adresse von 1 in diesem Beispiel besitzen und die Steuerung 30 durch die logische Adresse den Dialog mit dem primären IOP führt. Die Steuerung führt ihre Hauptverarbeitung durch, der primäre IOP führt seine Hauptverarbeitung durch und der sekundäre IOP führt seine Hauptverarbeitung durch, welche die gleiche wie diejenige des primären IOP's ist aber voraus- oder nacheilt, da jeder IOP mit seinem eigenen Takt läuft (dies setzt voraus, daß die Auslösung des sekundären IOP vervollständigt worden ist und synchronisiert ist). Zu irgendeinem Zeitpunkt überträgt die Steuerung eine Nachricht zu dem IOP mit einer logischen Adresse von 1. Sowohl der primäre IOP 21-A als auch der sekundäre IOP 21-B empfangen diese Nachricht. Die Steuerung fährt sodann mit ihrer Hauptverarbeitung weiter. Der primäre IOP unterbricht jedoch seine Hauptverarbeitung, um die empfangene Nachricht anzunehmen (Block 900). Die an die logische Adresse 1 gerichtete Nachricht wird empfangen (Block 901) und die Nachricht wird dekodiert (Block 902). Wenn eine Lesenachricht festgestellt worden ist, so wird die Nachricht in einem Lesepuffer für das nachfolgende Lesen der angeforderten Daten in die primäre Datenbank für die nachfolgende Übertragung zu der Steuerung (Block 903) gespeichert. Wenn eine Schreibnachricht dekodiert worden ist, so wird die Nachricht in einem Schreibpuffer (Block 904) gespeichert und es wird ihr eine Nachrichtenzahl (Block 905) zugeordnet. Eine Bestätigungsnachricht wird sodann durch den primären IOP (Block 906) zu der Steuerung zusammen mit der zugeordneten Nachrichtenzahl übertragen. Die Bestätigungsnachricht zeigt der Steuerung an, daß die Nachricht empfangen worden ist und die Nachrichtenzahl zeigt der Steuerung die zugeordnete Nachrichtenzahl an, so daß nachfolgende Abfragen durch die Steuerung bezüglich des Status der speziellen Nachrichtenanforderungen durch die Nachrichtenzahl erfolgen können (Bei dieser Beschreibung bedeuten Schreibanforderungen durch die Steuerung irgendwelche Veränderungen der Datenbank). Nachfolgende Anfragen durch die Steuerung betreffend den Status einer Nachricht mit einer spezifischen Nachrichtenzahl führen zu einer Statusrückführung der bearbeiteten Nachricht zusammen mit der Nachrichtenzahl. Wenn die angeforderte Aktion vervollständigt ist, was normalerweise während der Hauptverarbeitung des primären IOP's stattfindet, so wird der Status auf einen vollständigen Status fortgeschrieben, so daß, wenn eine Statusanforderung durch die Steuerung erfolgt, ein vollständiger Status angezeigt werden kann. Im vorliegenden Ausführungsbeispiel besitzt der vollständige Status drei eindeutige Klassen, welche umfassen: Okay, Warnung und Ausfall. In dieser besonderen Situation bedeutet der Ausfall, daß die Aktion auf Grund irgendeines Fehlers nicht stattgefunden hat (z.B. ist der Meßpunkt nicht aktiv, ...) und Warnung bedeutet, daß die Aktion stattgefunden hat, die Daten aber modifiziert worden sind (z.B. kann eine Anforderung ein Ventil 102% zu öffnen durch den primären IOP modifiziert werden, um das Ventil nur 100 % zu öffnen ...).
  • Der sekundäre IOP empfängt ebenfalls die übertragene Nachricht mit einer logischen Adresse von 1, da der sekundäre IOP die logische Adresse seines primären Partners kennt. Der sekundäre IOP unterbricht seine Hauptverarbeitung, um die Nachricht anzunehmen (Block 907). Die empfangene Nachricht wird decodiert (Block 908) und wenn eine Lesenachricht festgestellt worden ist, so endet die Verarbeitung und kehrt zurück zu der Hauptverarbeitung des sekundären IOP. Wenn eine Schreibnachricht festgestellt worden ist, so wird die Nachricht in einem Schreibpuffer gespeichert (Block 909) und nachdem der primäre IOP geantwortet hat, wird die Nachrichtenzahl durch den primären IOP zu der Steuerung übertragen und die Bestätigungsnachricht wird überprüft (Block 910). Wenn der primäre IOP nicht antwortet, so ignoriert der sekundäre IOP die Nachricht und beendet die Bearbeitung. Die Nachrichtenzahlen sind der Reihe nach zugeordnet, so daß der sekundäre IOP Kenntnis von der nächsten Nachrichtenzahl besitzt, die durch den primären IOP zugeteilt wird (Block 910). Während der anfänglichen Synchronisation wird der sekundäre IOP ebenfalls mit der laufenden Nachrichtenzahl des primären IOP's bekanntgemacht. Wenn die Überprüfung der Nachrichtenzahl sich als okay herausstellt (Block 911), so endet die Verarbeitungsroutine der Nachricht durch den sekundären IOP und kehrt zurück zu der Hauptverarbeitung des sekundären IOP's (Block 911). Wenn die Nachrichtenzahl nicht die erwartete Nachrichtenzahl ist, so wird ein Fehler angezeigt, um nachfolgend der Steuerung anzuzeigen, daß ein Fehler, d.h. eine nicht korrekte Nachrichtenzahl festgestellt worden ist und daß sich der sekundäre IOP nicht länger in Synchronismus mit dem primären IOP befindet. Der sekundäre IOP bearbeitet bei seiner Hauptverarbeitung die gleichen Daten wie der primäre IOP (unter der Annahme, daß die Überprüfung der Nachrichtenzahl durchgeführt wurde), wobei dies aber zu unterschiedlichen Zeitpunkten aber in der gleichen Reihenfolge geschieht. Da er mit seinem eigenen Takt betrieben wird, kann der sekundäre IOP in seiner Verarbeitung im Vergleich zu der Hauptverarbeitung des primären IOP's vorauseilen oder nacheilen.
  • Gemäß Fig. 8 ist ein Flußdiagramm der Auslösung des sekundären IOP's gezeigt. In Übereinstimmung mit dem Dialogschema, das zuvor im Zusammenhang mit Fig. 7 beschrieben wurde, überträgt die Steuerung Anforderungen an den primären IOP, um die Datenbank zu lesen (Block 920). Die angeforderten Daten werden zu der Steuerung (Block 921) durch den primären IOP übertragen. Der sekundäre IOP horcht die zu der Steuerung 30 übertragene Datenbankinformation ab und speichert die Information in seiner Datenbank (Block 922). Auf diese Weise enhält die Datenbank des sekundären IOP's die gleichen Daten wie die Datenbank des primären IOP's. Die Steuerung fragt sodann den sekundären IOP (über die physikalische Adresse) nach Statusinformation ab (Block 923). Wenn sich der Status als okay herausstellt (Block 924), so ist der sekundäre IOP synchronisiert und die Steuerung setzt den Synchronisationshinweis übereinstimmend mit der Beschreibung, wie sie zuvor für die Tabelle 1 gegeben wurde. Wenn der Status anzeigt, daß die Übertragung nicht okay war oder daß die Fortschreibung der Datenbank nicht ohne irgendwelche Fehler geschehen ist, so wird ein Fehler angezeigt und es können verschiedene Fehler-Bearbeitungsroutinen stattfinden, wie beispielsweise eine Anzeige für die Bedienungsperson, das Setzen des Status auf nicht-synchronisiert, das Herausnehmen des sekundären IOP's, ein Neuversuch, ...
  • Bezug nehmend auf Fig. 9 ist dort ein Flußdiagramm des Überprüfungsverfahrens gemäß dem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung dargestellt. Die Steuerung 30 führt periodisch eine Überprüfung daraufhin aus, daß die Datenbankinformation des primären und sekundären IOP's die gleiche ist, d.h. daß sie synchronisiert sind. Die Steuerung überträgt eine Nachricht Synchronisations-Überprüfung an den primären IOP, IOP(A) (Block 950). Der primäre IOP empfängt die Nachricht und nimmt diese an und speichert die Nachricht in seinem Schreibpuffer (Block 951). Der primäre IOP teilt eine Nachrichtenzahl der angenommenen Nachricht zu und überträgt eine Bestätigungsnachricht zusammen mit der Nachrichtenzahl zurück zu der Steuerung 30 wie zuvor beschrieben. Der sekundäre IOP, IOP(B) empfängt ebenfalls die Nachricht und nimmt diese an, da er durch die dem sekundären IOP bekannte logische Adresse adressiert wird, wie dies zuvor beschrieben wurde (Block 952). Der sekundäre IOP legt die Nachricht in seinem Schreibpuffer ab und überprüft die Nachrichtenzahl der durch den primären IOP übertragenen Bestätigungsnachricht, wie dies zuvor beschrieben wurde. Der primäre IOP verarbeitet die Nachrichten in dem Schreibpuffer bis die Nachricht Synchronisations- Überprüfung festgestellt ist. Zu diesem Zeitpunkt gibt der primäre IOP die Operationen zeitweilig auf und führt eine Prüfsummenberechnung mit vorbestimmten Teilen des Datenbankspeichers aus (Block 953). Der sekundäre IOP führt spiegelbildlich die Verarbeitung des primären IOP's aus, obgleich er in der Zeit bei der Verarbeitung der Daten/Nachrichten vorauseilen oder nacheilen kann, wie dies zuvor beschrieben wurde (Block 954). Die Steuerung 30 fragt nachfolgend sowohl den primären als auch den sekundären IOP nach den entsprechenden Prüfsummenantworten ab (Block 955) was in Übereinstimmung mit dem Dialogschema des zuvor beschriebenen Systems geschieht. In der Rückantwort an die Steuerung ist die Zahl der Datenbankversion des IOP's und die Nachrichtenzahl enthalten, die verwendet wird, um die Synchronisations-Überprüfung auszulösen. Die Steuerung vergleicht die Prüfsummen, die Nachrichtenzahlen und die Zahl der Datenbankversion und überprüft, ob die Datenbanken die gleichen sind (Block 956). Wenn die Prüfsummen und Nachrichtenzahlen die gleichen sind, so fährt das System mit dem normalen Betrieb weiter. Wenn die Prüfsummen oder Nachrichtenzahlen nicht die gleichen sind, so wird ein Hinweis der IOP's gesetzt, daß sie außer Synchronisation sind. Wenn irgendeine Prüfsumme, Nachrichtenzahl, Datenbankversion nicht übereinstimmt, so sind die IOP's außer Synchronisation.
  • Erneut werden im Normalbetrieb alle Übertragungen (d.h. Einschreibungen) in den IOP(A) 21-A von der Steuerung 30 ebenfalls durch den IOP(B) empfangen. Der IOP(B) horcht die Dialoge ab, da sowohl der IOP(A) als auch der IOP(B) in diesem Beispiel eine logische Adresse von 1 besitzen und die Steuerung 30 den Dialog mit den IOP's über die logische Adresse ausführt. Auf diese Weise wird die Synchronisation des IOP's(B) aufrechterhalten und es sind keine gesonderten Dialoge erforderlich und es wird keine gesonderte Dialogzeit gebraucht. In dem vorliegenden System lösen der IOP(A) und der IOP(B) keinen Dialog mit der Steuerung 30 aus, sondern sie antworten auf Informationsanforderungen. Im sekundären Modus antwortet der sekundäre IOP nicht auf Schreibanforderungen, wenn die Steuerung den IOP durch die logische Adresse adressiert, sondern er antwortet auf die Steuerung, wenn die physikalische Adresse verwendet wird. Periodisch adressiert die Steuerung sowohl den primären als auch den sekundären IOP, um zu überprüfen, daß keine Fehler aufgetreten sind.
  • Während gezeigt worden ist, was als das bevorzugte Ausführungsbeispiel der vorliegenden Erfindung angesehen wird, liegt es auf der Hand, daß viele Änderungen und Modifikationen dabei vorgenommen werden können, ohne daß von dem Rahmen der Erfindung abgewichen wird, wie sie durch die angefügten Ansprüche definiert ist.

Claims (20)

1. Verfahren zum Betrieb eines Prozeßsteuersystems, mit einer Hauptsteuerung und wenigstens einem Paar von Neben-Ein/Ausgabe-Prozessoren (IOP's), wobei ein erster IOP des Paares ein primärer Neben-IOP ist und ein zweiter IOP des Paares ein sekundärer Neben-IOP ist, der erste und zweite IOP eine erste und zweite Datenbank entsprechend besitzen, der erste und zweite IOP jeweils die gleichen Aufgaben unter Verwendung eines ersten und zweiten Taktsystems entsprechend bearbeiten und wobei ferner die Datenbanken der ersten und zweiten IOP's synchronisiert sind, Dialoge durch die Hauptsteuerung nur zu dem ersten IOP erfolgen und Dialoge umfassen, die die erste Datenbank modifizieren, wobei das Verfahren gekennzeichnet ist durch die periodische Überprüfung daraufhin, ob die Datenbanken eines jeden IOP synchronisiert bleiben und die Schritte umfaßt:
a) Aussenden einer Nachricht vom Synchronisations-Überprüfungstyp zu dem ersten IOP auf einer periodischen Basis;
b) Abhorchen des Dialogs vom Schritt (a) durch den zweiten IOP;
c) wenn der zweite IOP erkennt, daß die Nachricht vom Schritt (a) an den entsprechenden primären Neben-IOP gerichtet ist, Annahme der Nachricht durch den zweiten IOP;
d) bei der Feststellung durch jeden IOP, daß die Nachricht vom Synchronisations-Überprüfungstyp ist, Aufgabe des Betriebs durch jeden IOP;
e) Erzeugung einer Zahl durch jeden IOP von seiner eigenen Datenbank, wobei die Zahl den Inhalt der Information anzeigt, die in der Datenbank gespeichert ist;
f) Ausgabe einer Nachricht vom Status-Anforderungstyp durch die Hauptsteuerung zu dem ersten IOP für die durch den ersten IOP erzeugte Zahl;
g) Ausgabe einer Nachricht vom Status-Anforderungstyp durch die Hauptsteuerung zu den zweiten IOP für die durch den zweiten IOP erzeugte Zahl; und
h) Vergleich beim Empfang der Zahlen durch die Hauptsteuerung des Wertes der durch den ersten IOP erzeugten Zahl mit dem Wert der durch den zweiten IOP erzeugten Zahl, wodurch festgestellt wird, ob die in den ersten und zweiten Datenbanken gespeicherte Information die gleiche ist, wenn die Zahlen dies anzeigen.
2. Verfahren zum Betrieb eines Prozeßsteuersystems mit einer Steuerung (30), die durch einen Bus (22/23) für einen Dialog mit wenigstens einem primären und einem Stützprozessor verbunden ist, um Anweisungen und Daten über den Bus zu beiden Prozessoren zu übertragen, wobei das Verfahren gekennzeichnet ist durch die Überprüfung der Datenbank in einem Speicher eines Prozessors daraufhin, of sie die gleiche wie in dem/einem anderen Prozessor ist, und die Schritte umfaßt:
a) daß die Steuerung, die eine Anweisung über den Bus (22/23) zu dem primären Prozessor (21-A) überträgt, den primären Prozessor anweist, eine Operation auszuführen, um einen Informationsgegenstand zu erzeugen, der den Informationsinhalt der Datenbank repräsentiert, die in dem Speicher des primären Prozessors gehalten wird;
b) daß der primäre Prozessor diese Anweisung aufnimmt und auf Grund dessen den Informationsgegenstand erzeugt;
c) daß der Stützprozessor (21-B) den Bus überwacht, um Dialoge festzustellen, die an den primären Prozessor gerichtet sind;
d) daß der Stützprozessor während der Überwachung und bei der Feststellung der Anweisungsübertragung zu dem primären Prozessor die Anweisung annimmt und den Informationsgegenstand erzeugt, um den Informationsinhalt der Datenbank zu repräsentieren, die in dem Speicher des Stützprozessors gehalten wird; und
e) daß die Steuerung nachfolgend die Informationsgegenstände empfängt, die durch beide Prozessoren erzeugt wurden und die zwei empfangenen Informationsgegenstände vergleicht, um festzustellen, ob sie einander gleich sind.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Steuerung wiederholt diese Anweisung über den Bus zu dem primären Prozessor überträgt.
4. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß der Schritt des Sendens einer Nachricht vom Synchronisations- Überprüfungstyp zu dem ersten oder primären Prozessor die Schritte umfaßt:
a) Empfang der Nachricht; und
b) bei der Feststellung, daß die Bestimmungsadresse für den ersten IOP oder primären Prozessor ist, Annahme der Nachricht durch den ersten IOP oder den primären Prozessor.
5. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß der Schritt der Annahme der Nachricht durch den ersten IOP oder primären Prozessor den Schritt der Speicherung der Nachricht in einem Schreibpuffer des ersten IOP oder primären Prozessors für die nachfolgende Verarbeitung umfaßt.
6. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß der Schritt der Annahme der Nachricht durch den zweiten IOP oder Stützprozessor den Schritt der Speicherung der Nachricht in einem Schreibpuffer des zweiten IOP oder Stützprozessors für eine nachfolgende Verarbeitung umfaßt.
7. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß der Schritt der Ausgabe einer Nachricht vom Status- Anforderungstyp durch die Hauptsteuerung zu dem zweiten IOP oder Stützprozessor durch die physikalische Adresse erfolgt.
8. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß der Schritt der Ausgabe einer Nachricht vom Status- Anforderungstyp durch die Hauptsteuerung zu dem ersten IOP oder primären Prozessor durch die logische Adresse erfolgt.
9. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß die durch jeden IOP oder primären Prozessor erzeugte Zahl, die den Inhalt des Informationsspeichers in der entsprechenden Datenbank anzeigt, eine erste und zweite Prüfsummenzahl ist.
10. Verfahren nach irgendeinem vorhergehenden Anspruch, dadurch gekennzeichnet, daß die Dialoge zwischen der Hauptsteuerung und dem ersten und zweiten IOP oder dem primären Prozessor und/oder Stützprozessor einem vorbestimmten Protokoll folgen.
11. Prozeßsteuersystem mit einer Hauptsteuerung und wenigstens einem Paar von Neben-Ein/Ausgabe-Prozessoren (IOP's), wobei ein erster IOP des Paares ein primärer Neben-IOP ist und ein zweiter IOP des Paares ein sekundärer Neben-IOP ist, der erste und zweite IOP eine erste und zweite Datenbank entsprechend besitzen, der erste und zweite IOP jeweils die gleichen Aufgaben unter Verwendung eines ersten und zweiten Taktsystems entsprechend bearbeiten und wobei ferner die Datenbanken der ersten und zweiten IOP's synchronisiert sind, Dialoge durch die Hauptsteuerung nur zu dem ersten IOP erfolgen und Dialoge umfassen, die die erste Datenbank modifizieren, wobei das Verfahren gekennzeichnet ist durch die periodische Überprüfung daraufhin, ob die Datenbanken eines jeden IOP synchronisiert bleiben und umfaßt:
a) Mittel, um auf einer periodischen Basis eine Nachricht vom Synchronisations-Überprüfungstyp zu dem ersten IOP zu senden;
b) Mittel, um die Dialoge von (a) durch den zweiten IOP abzuhorchen;
c) Mittel, um die Nachricht durch den zweiten IOP anzunehmen, wenn der zweite IOP erkennt, daß die Nachricht zu dem entsprechenden primären Neben-IOP gerichtet ist;
d) Mittel, um den Betrieb durch jeden IOP aufzugeben bei der Feststellung durch jeden IOP, daß die Nachricht vom Synchronisations-Überprüfungstyp ist;
e) Mittel, um eine Zahl durch jeden IOP von seiner eigenen Datenbank zu erzeugen, wobei die Zahl den Inhalt der Information anzeigt, die in der Datenbank gespeichert ist;
f) Mittel zur Ausgabe einer Nachricht vom Status-Anforderungstyp durch die Hauptsteuerung zu dem ersten IOP für die durch den ersten IOP erzeugte Zahl;
g) Mittel zur Ausgabe einer Nachricht vom Status-Anforderungstyp durch die Hauptsteuerung zu dem zweiten IOP für die durch den zweiten IOP erzeugte Zahl; und
h) Mittel, um beim Empfang der Zahlen durch die Hauptsteuerung den Wert der Zahl, der durch den ersten IOP erzeugt wird, mit dem Wert der Zahl zu vergleichen, der durch den zweiten IOP erzeugt wird, um hierdurch festzustellen, daß die in den ersten und zweiten Datenbanken gespeicherte Information dieselbe ist, wenn die Zahlen dies anzeigen.
12. Prozeßsteuersystem mit einer Steuerung (30), die durch einen Bus (22/23) für einen Dialog mit wenigstens einem primären und einem Stützprozessor verbunden ist, um Anweisungen und Daten über den Bus zu beiden Prozessoren zu übertragen, wobei das System durch Mittel gekennzeichnet ist, um zu überprüfen, ob die Datenbank in einem Speicher des/eines anderen Prozessors die gleiche ist wie die des/eines anderen Prozessors und aufweist:
a) Mittel in der Steuerung, um eine Anweisung über den Bus (22/23) zu dem primären Prozessor (21-A) zu übertragen und den primären Prozessor anzuweisen, eine Operation auszuführen, um einen Informationsgegenstand zu erzeugen, der den Informationsinhalt der Datenbank repräsentiert, die in dem Speicher des primären Prozessors gehalten wird;
b) Mittel in dem primären Prozessor, um die Anweisung zu empfangen und auf Grund dessen den Informationsgegenstand zu erzeugen;
c) Mittel in dem Stützprozessor (21-B), um den Bus zu überwachen und Dialoge festzustellen, die an den primären Prozessor gerichtet sind;
d) Mittel in dem Stützprozessor, um während der Überwachung und bei der Feststellung der Anweisungsübertragung zu dem primären Prozessor diese Anweisung anzunehmen und den Informationsgegenstand zu erzeugen, um den Informationsinhalt der Datenbank zu repräsentieren, der in dem Speicher des Stützprozessors gehalten wird; und
e) Mittel in der Steuerung, um nachfolgend die Informationsgegenstände zu empfangen, die durch beide Prozessoren erzeugt werden und die zwei empfangenen Informationsgegenstände zu vergleichen, um festzustellen, ob sie einander gleich sind.
13. System nach Anspruch 11 oder 12, dadurch gekennzeichnet, daß die Steuerung wiederholt die Anweisung über den Bus zu dem primären Prozessor überträgt.
14. System nach irgendeinem der Ansprüche 11 bis 13, gekennzeichnet durch Mittel beim Schritt des Sendens der Nachricht vom Synchronisations- Überprüfungstyp zu dem ersten IOP oder primären Prozessor, um die Nachricht zu empfangen und Mittel bei der Feststellung, ob die Bestimmungsadresse für den ersten IOP oder primären Prozessor ist, um die Nachricht durch den ersten IOP oder primären Prozessor anzunehmen.
15. System nach irgendeinem der Ansprüche 11 bis 14, gekennzeichnet durch Mittel bei dem Schritt der Annahme der Nachricht durch den ersten IOP oder primären Prozessor, um die Nachricht in einem Schreibpuffer des ersten IOP oder primären Prozessors für eine nachfolgende Verarbeitung zu speichern.
16. System nach irgendeinem der Ansprüche 11 bis 14, gekennzeichnet durch Mittel bei dem Schritt der Annahme der Nachricht durch den zweiten IOP oder Stützprozessor zum Speichern der Nachricht in einem Schreibpuffer des zweiten IOP oder Stützprozessors für eine nachfolgende Verarbeitung.
17. System nach irgendeinem der Ansprüche 11 bis 16, dadurch gekennzeichnet, daß der Schritt der Ausgabe einer Nachricht vom Status- Anforderungstyp durch die Hauptsteuerung zu dem zweiten IOP oder Stützprozessor durch eine physikalische Adresse erfolgt.
18. System nach irgendeinem der Ansprüche 11 bis 17, dadurch gekennzeichnet, daß der Schritt der Ausgabe einer Nachricht vom Status- Anforderungstyp durch die Hauptsteuerung zu dem ersten IOP oder primären Prozessor durch eine logische Adresse erfolgt.
19. System nach irgendeinem der Ansprüche 11 bis 18, dadurch gekennzeichnet, daß die Zahl, die durch jeden IOP oder Prozessor erzeugt wird und den Inhalt der Information anzeigt, die in den entsprechenden Datenbanken gespeichert ist, eine erste und zweite Prüfsummenzahl ist.
20. System nach irgendeinem der Ansprüche 11 bis 19, dadurch gekennzeichnet, daß die Dialoge zwischen der Hauptsteuerung und den IOP's oder Prozessoren einem vorbestimmten Protokoll folgen.
DE69124899T 1990-09-26 1991-09-25 Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem Expired - Fee Related DE69124899T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US07/588,388 US5261092A (en) 1990-09-26 1990-09-26 Synchronizing slave processors through eavesdrop by one on periodic sync-verify messages directed to another followed by comparison of individual status

Publications (2)

Publication Number Publication Date
DE69124899D1 DE69124899D1 (de) 1997-04-10
DE69124899T2 true DE69124899T2 (de) 1997-09-04

Family

ID=24353640

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69124899T Expired - Fee Related DE69124899T2 (de) 1990-09-26 1991-09-25 Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem

Country Status (6)

Country Link
US (1) US5261092A (de)
EP (1) EP0478294B1 (de)
JP (1) JP2791965B2 (de)
AU (1) AU646077B2 (de)
CA (1) CA2051741C (de)
DE (1) DE69124899T2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10159697B4 (de) * 2000-12-05 2014-10-16 Fisher-Rosemount Systems, Inc. Redundante Einrichtungen in einem Prozesssteuersystem

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69231452T2 (de) * 1991-01-25 2001-05-03 Hitachi Process Computer Engineering, Inc. Fehlertolerantes Rechnersystem mit Verarbeitungseinheiten die je mindestens drei Rechnereinheiten haben
JPH06214969A (ja) * 1992-09-30 1994-08-05 Internatl Business Mach Corp <Ibm> 情報通信方法および装置
US5473771A (en) * 1993-09-01 1995-12-05 At&T Corp. Fault-tolerant processing system architecture
EP0731945B1 (de) * 1993-12-01 2000-05-17 Marathon Technologies Corporation Fehler-betriebssichere/fehler tolerante computerbetriebsmethode
JPH0863365A (ja) * 1994-08-23 1996-03-08 Fujitsu Ltd データ処理装置
US5649089A (en) * 1994-11-30 1997-07-15 Motorola, Inc. Method and apparatus for maintaining a redundant database system
US5790397A (en) * 1996-09-17 1998-08-04 Marathon Technologies Corporation Fault resilient/fault tolerant computing
US5896523A (en) * 1997-06-04 1999-04-20 Marathon Technologies Corporation Loosely-coupled, synchronized execution
US6553388B1 (en) 2000-07-20 2003-04-22 International Business Machines Corporation Database deltas using Cyclic Redundancy Checks
JP4497691B2 (ja) * 2000-09-27 2010-07-07 株式会社日立製作所 データベース管理方法及び管理システム
US6931307B2 (en) * 2001-02-16 2005-08-16 Visteon Global Technologies, Inc. Technique for data synchronization in a multiple system vehicle architecture
US7058703B2 (en) 2002-03-08 2006-06-06 Intel Corporation System management controller (SMC) negotiation protocol for determining the operational mode of SMCs
US7054891B2 (en) * 2002-03-18 2006-05-30 Bmc Software, Inc. System and method for comparing database data
US7890220B2 (en) * 2005-05-03 2011-02-15 Mks Instruments, Inc. Low overhead closed loop control system
US20070214198A1 (en) * 2006-03-10 2007-09-13 Nathan Fontenot Allowing state restoration using differential backing objects
US7962780B2 (en) * 2008-08-22 2011-06-14 International Business Machines Corporation Command sequence numbering apparatus and method
JP4743282B2 (ja) * 2009-01-26 2011-08-10 横河電機株式会社 冗長化入出力モジュール
US20110047413A1 (en) * 2009-08-20 2011-02-24 Mcgill Robert E Methods and devices for detecting service failures and maintaining computing services using a resilient intelligent client computer
DE102010025515A1 (de) * 2010-06-29 2011-12-29 Phoenix Contact Gmbh & Co. Kg Kommunikationssystem zum Verbinden von Feldgeräten mit einer überlagerten Steuereinrichtung
US9600513B2 (en) 2011-06-09 2017-03-21 International Business Machines Corporation Database table comparison
JP5836423B2 (ja) * 2014-04-14 2015-12-24 株式会社Tkc データ一致確認方法およびシステム
US10503617B2 (en) 2017-02-16 2019-12-10 Honeywell International Inc. Method for synchronizing redundant controllers without hardware support
CN107992382B (zh) * 2017-10-24 2020-12-29 北京全路通信信号研究设计院集团有限公司 一种计算机联锁系统及其冗余切换方法
JP7358819B2 (ja) * 2019-01-30 2023-10-11 富士電機株式会社 Ioモジュール二重化制御装置及び方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2703559A1 (de) * 1977-01-28 1978-08-03 Siemens Ag Rechnersystem
IT1151351B (it) * 1982-01-19 1986-12-17 Italtel Spa Disposizione circuitale atta a realizzare lo scambio di dati tra una coppia di elaboratori operanti secondo il principio master-slave
US4872106A (en) * 1983-04-06 1989-10-03 New Forney Corp. Industrial process control system with back-up data processors to take over from failed primary data processors
US4610013A (en) * 1983-11-08 1986-09-02 Avco Corporation Remote multiplexer terminal with redundant central processor units
US4959774A (en) * 1984-07-06 1990-09-25 Ampex Corporation Shadow memory system for storing variable backup blocks in consecutive time periods
US4799150A (en) * 1985-07-29 1989-01-17 Orchid Technology Interface system between a host computer and a peripheral processor with address detection circuitry
WO1989004093A1 (en) * 1987-10-27 1989-05-05 Nysen Paul A Passive universal communicator
JPH01303562A (ja) * 1988-05-31 1989-12-07 Nec Corp 制御コンピュータのデュアル方式
WO1990000283A1 (en) * 1988-07-04 1990-01-11 Swedish Institute Of Computer Science Multiprocessor system including a hierarchical cache memory system
US4958270A (en) * 1989-01-23 1990-09-18 Honeywell Inc. Method for control data base updating of a redundant processor in a process control system
US5119493A (en) * 1990-02-23 1992-06-02 International Business Machines Corporation System for recording at least one selected activity from a selected resource object within a distributed data processing system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10159697B4 (de) * 2000-12-05 2014-10-16 Fisher-Rosemount Systems, Inc. Redundante Einrichtungen in einem Prozesssteuersystem

Also Published As

Publication number Publication date
EP0478294B1 (de) 1997-03-05
JP2791965B2 (ja) 1998-08-27
CA2051741A1 (en) 1992-03-27
AU646077B2 (en) 1994-02-03
AU8387091A (en) 1992-04-02
EP0478294A2 (de) 1992-04-01
DE69124899D1 (de) 1997-04-10
CA2051741C (en) 1998-05-26
US5261092A (en) 1993-11-09
EP0478294A3 (en) 1993-06-30
JPH052571A (ja) 1993-01-08

Similar Documents

Publication Publication Date Title
DE69124899T2 (de) Verfahren zur Ende-zu-Endenachprüfung einer primären und sekondären Datenbank in einem Prozessregelsystem
DE69128331T2 (de) Verfahren zur Haltung der Synchronisation eines freilaufenden Sekundärprozessors
DE69127417T2 (de) Universale Eingangs-/Ausgangsredundanzaufstellung in einem Prozessregelsystem
DE69125330T2 (de) Verfahren zur Verordnung der Sicherheitsübertragung eines 1:1-redundanten Sklavenprozessorpaares
DE69125778T2 (de) Verfahren zur Sicherung von in einer Primär- und Sekundärdatenbank gespeicherten Daten in einem Prozessregelsystem
DE69414392T2 (de) Verfahren zur erhaltung der ereignisfolge während der sicherheitsübertragung in einem redundanten mehrschichtigen system
EP2817682B1 (de) Verfahren zum ausfallsicheren betreiben eines prozesssteuersystems mit redundanten steuereinrichtungen
DE69506997T2 (de) System zur Verwendung eines gespiegelten Speichers als fehlerunempfindlichen Kommunikationspfad zwischen doppelten Plattenspeichersteuerungen
DE69427875T2 (de) Verfahren und vorrichtung zur inbetriebnahme eines datenbuswählers zur auswahl der steuersignale einer redundanten asynchronen digitalen prozessoreinheit aus einer vielzahl davon
DE69414219T2 (de) Verfahren und Vorrichtung zur fehlertoleranten Verbindung eines Rechnersystems mit einem lokalen Netz
DE69506155T2 (de) Asynchrones Datenfernkopieren
DE10348402B4 (de) Simulationssystem für Mehrfachknoten-Prozesssteuerungssysteme
DE3486257T2 (de) Synchrones dezentralisiertes Verarbeitungssystem.
DE69923621T2 (de) Verfahren und Vorrichtung zu korrekten und vollständigen Übertragungen in einem fehlertoleranten verteilten Datenbanksystem
DE69410671T2 (de) Datensicherung in einer Datenverarbeitungsanlage
DE69119523T2 (de) Fehlererkennung in Relaisansteuerungsschaltungen
DE19836347C2 (de) Fehlertolerantes Computersystem
DE69021122T2 (de) Verfahren und Gerät zur ununterbrochenen Versorgung von Anwendungen in einem Rechnernetzwerk.
DE69128271T2 (de) Verfahren und System zur Erhöhung der Betriebsverfügbarkeit eines Systems von Rechnerprogrammen, wirkend in einem verteilten Rechnerssystem
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
EP1328867B1 (de) Vorrichtung und verfahren zur datenspiegelung
DE602004013244T2 (de) Hochgeschwindigkeitssynchronisation in einer doppelrechnerbasierten Sicherheitssteuerung
DE69425167T2 (de) Verfahren und Anlage zur Zeit-Synchronisierung von Bus-LANs, mit hierarchischen Netzen
DE10316649A1 (de) Sicherheitskommunikation auf einer einzigen Rückebene
DE10324380B4 (de) Programmierbare Steuerung mit CPU und Kommunikationseinheiten sowie Verfahren zur Steuerung derselben

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee