[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE4416795A1 - Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb - Google Patents

Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb

Info

Publication number
DE4416795A1
DE4416795A1 DE4416795A DE4416795A DE4416795A1 DE 4416795 A1 DE4416795 A1 DE 4416795A1 DE 4416795 A DE4416795 A DE 4416795A DE 4416795 A DE4416795 A DE 4416795A DE 4416795 A1 DE4416795 A1 DE 4416795A1
Authority
DE
Germany
Prior art keywords
central processing
devices
input
output
complex
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE4416795A
Other languages
English (en)
Other versions
DE4416795C2 (de
Inventor
Karl-Heinz Dr Ing Niemann
Helmut Michel
Christian Heinecke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB AG Germany
Original Assignee
Mannesmann AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mannesmann AG filed Critical Mannesmann AG
Priority to DE4416795A priority Critical patent/DE4416795C2/de
Publication of DE4416795A1 publication Critical patent/DE4416795A1/de
Application granted granted Critical
Publication of DE4416795C2 publication Critical patent/DE4416795C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4063Device-to-bus coupling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/22Pc multi processor system
    • G05B2219/2231Master slave
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24189Redundant processors monitor same point, common parameters
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24192Configurable redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24193Two transducers for same parameter
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25032CAN, canbus, controller area network bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25189Current mode sensor I-O, current loop, 40-mA loop instead of voltage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2017Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where memory access, memory control or I/O control functionality is redundant
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Computer Security & Cryptography (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)

Description

Die Erfindung betrifft ein redundant konfigurierbares Übertragungssystem und ein Verfahren zu dessen Betrieb für die Steuerung und Regelung technischer Prozesse.
In kontinuierlich laufenden Prozessen wie in Kraftwerken, Raffinerien, Hochöfen und dergleichen üblich, führt der Ausfall der Automatisierungskomponenten für die Steuerung und Regelung zu hohen Folgekosten und ggfs. zu gefahrdrohenden Zuständen und Abläufen.
Es ist bekannt, Automatisierungssysteme zur Verbesserung der Störfestigkeit einerseits mit Schutz- und Sicherheitseinrichtungen auszustatten und andererseits zumindest teilweise redundant auszuführen. Während bei sicherheitstechnischen Systemen alle Maßnahmen darauf hinauslaufen die Anlage möglichst in einen sicheren Zustand, im allgemeinen ist es der abgeschaltete Zustand, zu verbringen, soll eine Redundanz zur Erhöhung der Verfügbarkeit die Anlage möglichst lange betriebsbereit, d. h. in Funktion halten.
Die Anforderungen des Betriebes von aufwendigen kontinuierlichen Prozessen führen zu der Verwendung von redundant ausgelegten Systemen. In der Regel sind dazu spezielle Hardware-Komponenten erforderlich, über die eine Redundanz realisiert wird. Neben dem Einsatz von Standardkomponenten sind zusätzliche speziell ausgelegte Baugruppen erforderlich, die zudem singulär sind. Üblicherweise sind redundante Systeme in ihrer Architektur starr und kaum auf die Erfordernisse der Anwendung angepaßt. Weiterhin ist eine Nachrüstung von Redundanzen in bereits bestehende Anlagen erschwert bzw. unmöglich.
Abhängig von dem zu steuernden/regelnden Prozeß kann der Ausfall einer Baugruppe und die Umschaltung auf eine redundante Baugruppe stoßbehaftet erfolgen oder nicht. Bei langsamen Prozessen, die nicht zur Instabilität neigen, ist in vielen Fällen ein Ausfall der Ausgabesignale im Sekundenbereich tolerierbar. In diesem Fall kann eine stoßbehaftete Umschaltung erfolgen. Schnelle, ggfs. instabile Regelkreise tolerieren den kurzfristigen Ausfall der Regelung nicht. In diesem Fall ist eine stoßfreie Umschaltung erforderlich. Hier ist ein Wechsel von einer redundanten Verarbeitungseinheit auf die nächste aus Sicht des angeschlossenen Prozesses nicht zu erkennen. Allerdings erfordert die Realisierung einer stoßfreien Umschaltung eine ständige synchrone Abarbeitung der Steuer- und Regelungssequenzen in mindestens zwei Baugruppen.
In dem Buch "Automatisierungstechnik" 3. Auflage R. Oldenbourg Verlag München Wien 1992, insbesondere Band 1 Seiten 91-93, sind Grundstrukturen von teilweise und vollständig redundant ausgeführten Steuerungssystemen beschrieben. Unabhängig von der gewählten Ausführungsform ist allen Strukturen gemein, daß Umschalter und Koppelelemente vorhanden sind, die sich nicht redundant ausführen lassen, und daß die Verfügbarkeit des Automatisierungssystems von diesen singulären Komponenten abhängt.
Auch bei Ausführung dieser Komponenten mit möglichst wenigen und hochwertigen Bauelementen bleibt ihre Singularität und damit die Gefährdung der Verfügbarkeit des Automatisierungssystems erhalten. Eine Nachrüstung von redundanten Komponenten in ein bestehendes Automatisierungssystem ist bei derartigen Redundanzanordnungen mit tiefgreifenden strukturellen Änderungen in der Systemarchitektur verbunden.
Der Erfindung liegt daher die Aufgabe zugrunde, ein redundantes Übertragungssystem zum Datenaustausch anzugeben, dessen Redundanz konfigurierbar ist und das auf singuläre Komponenten verzichtet.
Diese Aufgabe wird erfindungsgemäß durch die Mittel der Patentansprüche 1, 15 und 24 gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den Patentansprüchen 2-14, 16-23, 25 und 26 beschrieben.
Die Erfindung wird nachstehend anhand von Ausführungsbeispielen näher erläutert. Die dazu erforderlichen Zeichnungen zeigen:
Fig. 1 eine Architekturdarstellung des redundaten Übertragungssystems.
Fig. 2 eine Darstellung des Anschlusses einer Eingabe-/Ausgabeeinrichtung an den Prozeß.
Fig. 3 eine Strukturdarstellung einer zentralen Verarbeitungseinrichtung.
Fig. 4 eine Strukturdarstellung einer Eingabe-/Ausgabeeinrichtung.
Fig. 5 eine Prinzipdarstellung einer Backplane.
Fig. 6 eine Darstellung der physischen Anordnung redundanter zentraler Verarbeitungseinheiten in einem Baugruppenträger.
Fig. 7 eine Darstellung einer physischen Anordnung redundanter zentraler Verarbeitungseinheiten in getrennten Baugruppenträgers.
Fig. 8 eine Darstellung einer physischen Anordnung redundanter zentraler Verarbeitungseinheiten in getrennten Baugruppenträger mit Erweiterungsbaugruppenträger.
Gemäß Fig. 1 sind gleichartige, sich redundant ergänzende Einrichtungen unabhängig von ihrer physischen Zuordnung zu logischen Komplexen zusammengefaßt. Es sind eine erste und eine zweite zentrale Verarbeitungseinheit 40/1 und 40/2, im folgenden ZVE genannt, zu einem ZVE-Komplex 40 zusammengefaßt. Weiterhin sind drei gleichartige Ein-/ Ausgabeeinrichtungen 61, 62 und 63, im folgenden EA-Einrichtungen genannt, zu einem EA-Komplex 60 zusammengefaßt. Es sind Datenkanäle 30/1 und 30/2 vorgesehen, die zu einer ersten Gruppe von Datenkanälen 30 zusammengefaßt sind.
Weiterhin ist eine zweite Gruppe 50 von Datenkanälen dargestellt, die die Datenkanäle 50/1, 50/2 und 50/3 umfaßt. Jede ZVE 40/1 und 40/2 des ZVE-Komplexes 40 ist an jeden Datenkanal 30/1, 30/2, 50/1, 50/2 und 50/3 der ersten Gruppe 30 von Datenkanälen und der zweiten Gruppe 50 von Datenkanälen angeschlossen. Darüber hinaus sind die ZVE 40/1 und 40/2 über einen Systembus 20 mit einer in einem Warten-Bereich angeordneten Konfigurationseinrichtung 11, sowie mit Bedien- und Beobachtungseinrichtungen 12 und 13 verbunden. Die einem EA-Komplex 60 zugeordneten EA-Einheiten 61, 62 und 63 sind jeweils an verschiedene Datenkanäle 50/1, 50/2 und 50/3 der zweiten Gruppe von Datenkanälen 50 angeschlossen.
Die Datenkanäle 30/1, 30/2, 50/1, 50/2 und 50/3 der ersten und zweiten Gruppen 30 und 50 sind als serielle Bussysteme mit prioritätspersistentem Zugriffsverfahren ausgeführt. Vorzugsweise wird dabei der unter ISO/DIS 11898 genormte CAN-Bus eingesetzt. Dieser Bus garantiert über ein Mehrfachzugriffsverfahren mit Kollisionsauflösung einen definierten Datendurchsatz unter Echtzeitbedingungen. Charakteristikum dieses Busses ist, daß erst, wenn alle am Bus angeschlossenen Teilnehmer eine Nachricht als "einwandfrei empfangen" quittieren, diese Nachricht auch vom Sender als übertragen betrachtet wird. Der Systembus 20 ist als serieller Bus mit nonpersistentem Zugriffsverfahren ausgeführt.
Die EA-Einrichtungen 61, 62 und 63 können mit einer Mehrzahl von EA-Schnittstellen ausgestattet sein. In Fig. 1 ist sind jeder EA-Einrichtung 61 bis 53 jeweils sechs EA-Schnittstellen 61/1 bis 61/6, 62/1 bis 62/6 und 63/1 bis 63/6 zugeordnet. Die EA-Schnittstellen 61/1 bis 53/6 seien zunächst als Eingabeschnittstellen definiert.
An einen technischen Prozeß 100 ist eine Mehrzahl von Prozeßadaptern 90 bis 94 angeschlossen. Für die folgenden Erläuterungen seien alle angeschlossenen Prozeßadapter 90 bis 94 als Meßwertaufnehmer definiert.
In Fig. 1 sind verschiedene Varianten der Anbindung von Prozeadaptern 90 bis 94 an EA-Schnittstellen 61/1 bis 64/6 dargestellt. In einer ersten Variante ist der Meßwertaufnehmer 90 logisch parallel an die EA-Schnittstelle 61/3 der EA-Einrichtung 61, an die EA-Schnittstelle 62/2 der EA-Einrichtung 62 und die EA-Schnittstelle 63/1 der EA-Einrichtung 63 angeschlossen, die ihrerseits jeweils an verschiedene Datenkanäle 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen angeschlossen sind. Bei Ausfall einer EA-Schnittstelle 61/3, 62/2 oder 63/1 oder einer der umgebenden EA-Einrichtungen 61, 62 oder 63 bleiben jeweils zwei andere EA-Schnittstellen bzw. EA-Einrichtungen zur Aufnahme und Weiterleitung der Meßwertinformation des Meßwertaufnehmers 90 an den ZVE-Komplex 40 betriebsfähig. Ist der aufzunehmende Meßwert auf eine Spannung aufgeprägt, dann sind die Eingänge der EA-Schnittstellen 61/3, 62/2 und 63/1 physisch parallel geschaltet. Bei einer Stromaufprägung des Meßwertes des Meßwertaufnehmers 90, gem. dem in der Meßtechnik häufig verwendeten 014 . . . 20 mA-Stromsignals, sind die EA-Schnittstellen 61/3, 62/2 und 63/1 physisch in Reihe geschaltet.
In einer zweiten Variante sind zwei identische Meßaufnehmer 91/1 und 91/2 örtlich konzentriert zur Aufnahme desselben Prozeßparameters am Prozeß 100 angeordnet. Beide Meßwertaufnehmer 91/1 und 91/2 sind an verschiedene EA-Einrichtungen angeschlossen. Der Meßwertaufnehmer 91/1 ist an die EA-Schnittstelle 61/6 der EA-Einrichtung 61 und der Meßwertaufnehmer 91/2 ist an die EA-Schnittstelle 62/1 der EA-Einrichtung 62 angeschlossen. Selbst bei Ausfall eines der Meßwertaufnehmer 91/1 und 91/2 wird durch diese Ausführungsform sichergestellt, daß die zugeordnete Prozeßgröße der weiteren Verarbeitung im ZVE-Komplex 40 zugeführt werden kann.
In einer dritten Variante sind zwei identische Meßwertaufnehmer 93/1 und 93/2 zur Aufnahme desselben Prozeßparameters am Prozeß 100 angeschlossen. Jeder Meßwertaufnehmer 93/1 und 93/2 ist jeweils an zwei EA-Schnittstellen verschiedener EA-Einrichtungen angeschlossen. Der Meßwertaufnehmer 93/1 ist an die EA-Schnittstelle 62/5 der EA-Einrichtung 62 und die EA-Schnittstelle 63/2 der EA-Einrichtung 63 angeschlossen. Der Meßwertaufnehmer 93/2 ist an die EA-Schnittstelle 62/6 der EA-Einrichtung 62 und die EA-Schnittstelle 63/3 der EA-Einrichtung 63 angeschlossen. Darüber hinaus ist vorgesehen, die Anschlüsse der Meßwertaufnehmer 93/1 und 93/2 beliebig auf EA-Schnittstellen von EA-Einrichtungen 61 bis 63 des EA-Komplexes 60 zu verteilen, soweit sichergestellt ist, daß derselbe Meßwertaufnehmer mit EA-Schnittstellen verschiedener EA-Einrichtungen eines EA-Komplexes verbunden ist. In dieser Ausführungsform ist sichergestellt, daß selbst bei Ausfall eines der Meßwertaufnehmer 93/1 oder 93/2 und einer der EA-Einrichtungen 61, 62 oder 63 eines EA-Komplexes 60 die Weiterleitung des entsprechenden Meßwertes an den ZVE-Komplex 40 erhalten bleibt.
Weiterhin ist vorgesehen, an redundante EA-Einrichtungen 61 bis 63 eines EA-Komplexes 60 nicht redundant ausgeführte Prozeßadapter 92 und 94 anschließen zu können.
In einer weiteren Ausführungsform der Erfindung ist gemäß Fig. 2 vorgesehen, eine EA-Einrichtung 64 mit EA-Schnittstellen 64/1 bis 64/6 auszustatten, die jeweils gemischt aus Eingabeschnittstellen und Ausgabeschnittstellen zusammengesetzt sind. Ein Meßwertaufnehmer 96 und ein Stellglied 95 sind an einen logisch abgrenzbaren Teilprozeß 100/1 des Prozesses 100 adaptiert. Der Meßwertaufnehmer 96 ist mit einer Eingabeschnittstelle 64/6 der EA-Einrichtung verbunden und das Stellglied 95 ist an die Ausgabeschnittstelle 64/4 angeschlossen. Die EA-Einrichtung 64 ist mit einem lokalen Prozessor ausgestattet, der geeignet ist, über lokale EA-Schnittstellen 64/1 bis 64/6 einen oder mehrere Teilprozesse 100/1 eines Prozesses 100 zu steuern.
Alle ZVE 40/1 und 40/2 sind identisch aufgebaut. Die innere Struktur einer ZVE ist am Beispiel der ZVE 40/1 in Fig. 3 dargestellt. An einem Kartenbus 46 sind fünf CAN-Controller 44, ein Ethernet-Controller 45 und ein Prozessor-Interface 43 angeschlossen. Das Prozessor-Interface 43 ist mit einem Prozessor 42 mit nicht näher dargestellten Speichereinheiten verbunden, der seinerseits an eine Überwachungsschaltung 41 angeschlossen ist. An die CAN-Controller 44 sind die Serienbusse 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen und die Serienbusse 30/1 und 30/2 der zweiten Gruppe 30 von Datenkanälen angeschlossen. Der Systembus 20 ist an den Ethernet-Controller 45 angeschlossen.
In Fig. 4 ist stellvertretend für alle architektonisch identisch ausgeführten Ein-/Ausgabeeinrichtungen die innere Struktur der Ein-/Ausgabeeinrichtung 61 dargestellt. Die EA-Schnittstellen 61/1-61/6 sind über einen Kartenbus 614 mit einem CAN-Controller 613 und einem Prozessor-Interface 612 verbunden. Das Prozessor-Interface 612 ist mit einem Prozessor 611 mit nicht näher dargestelltem Speicher verbunden, der an eine Überwachungsschaltung 610 angeschlossen ist. Der EAN-Controller 613 ist an einen Datenkanal 50/x der zweiten Gruppe 50 von Datenkanälen angeschlossen, wobei der angeschlossene Datenkanal 50/x einer der CAN-Busse 50/1 bis 50/3 sein kann.
Die EA-Einrichtungen 61-64 und die ZVE 40/1 und 40/2 sind physisch in einem Baugruppenträger steckbar angeordnet und elektrisch über eine Backplane 51 miteinander verbunden. Die Backplane 51 weist mindestens für jeden Datenkanal 50/1, 50/2 und 50/3 der zweiten Gruppe 50 von Datenkanälen eine Steckkontakteinrichtung auf, die mit Steckgegenkontakteinrichtungen an den ZVE 40/1 und 40/2 sowie den EA-Einrichtungen 61 bis 64 in Verbindung bringbar sind. Die Steckkontakteinrichtungen für die Datenkanäle der zweiten Gruppe 50 sind in Fig. 5 mit A, B und C bezeichnet. Es ist vorgesehen, daß die Zuordnung der einzelnen Datenkanäle 50/1 bis 50/3 zu den Steckkontakteinrichtungen A, B und C benachbarter Steckplätze zyklisch vertauscht sind. Entsprechend der Zuordnung des jeweiligen Datenkanals 50/1 bis 50/3 zu dem jeweiligen Steckplatz A bis C weist die Backplane 51 steckplatzweise Kodiereinrichtungen 52 auf, die mit der Zuordnung korrespondiert. Darüber hinaus können steckplatzweise weitere Steckkontaktvorrichtungen vorgesehen sein, an denen die Datenkanäle 30/1 und 30/2 der zweiten Gruppe 30 von Datenkanälen eingeschlossen sind. Jede ZVE 40/1 oder 40/2 weist eine zur Anzahl der Steckkontakteinrichtungen des jeweiligen Steckplatzes in der Backplane 51 korrespondierende Anzahl von Steckgegenkontakteinrichtungen auf. Die EA-Einrichtungen 61 bis 64 sind jeweils mit einer Steckgegenkontakteinrichtung ausgerüstet, die für alle EA-Einrichtungen gleichermaßen an einem zu den Steckkontakteinrichtungen A, B oder C der Backplane 51 korrespondieren physischen Ort vorgesehen sind. Dadurch ist sichergestellt, daß jeweils drei benachbarte EA-Einrichtungen 61 bis 64 jeweils an verschiedene Datenkanäle 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen geschlossen sind. Mittels der steckplatzindividuellen Kodiermittel 52 wird der eingesteckten ZVE die steckplatzindividuelle Zuordnung der Datenkanäle der zweiten Gruppe zu den Steckkontakteinrichtungen A, B und C bekanntgemacht.
Im folgenden wird eine Reihe bevorzugter physischer Aufbauvarianten des redundanten Übertragungssystems beschrieben.
Gemäß Fig. 6 ist ein Baugruppenträger 35/1 vorgesehen, der eine vorgegebene Anzahl von Steckplätzen aufweist. Einer der Steckplätze ist mit einer Anschaltbaugruppe 70 belegt, die der Durchschaltung der dem frontseitigen Anschluß von Datenkanälen der zweiten Gruppe dient. Weitere Steckplätze sind mit ZVE 40/1 und 40/2 belegt, die untereinander und mit den EA-Einheiten, von denen stellvertretend die EA-Einheiten 61 und 62 bezeichnet sind, über die nicht dargestellte Backplane elektrisch verbunden sind. Die ZVE 40/1 und 40/2 sind mit dem Systembus 20 verbunden sowie den seriellen Bussen 30/1 und 30/2 der ersten Gruppe von Datenkanälen 30 verbunden. Die Datenkanäle der ersten Gruppe 30 können mit ZVE weiterer Baugruppenträger verbunden sein. Zum Anschluß weiterer EA-Einrichtungen sind Erweiterungsbaugruppenträger 35/2 und 35/3 vorgesehen, die jeweils eine Anschaltbaugruppe 70 aufweisen und die an die seriellen Busse 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen angeschlossen sind.
In weiterer Ausgestaltung der Erfindung ist vorgesehen, gemäß Fig. 7 in jedem Baugruppenträger 35/1 bis 35/3 neben einer Anschaltbaugruppe 70 jeweils eine ZVE 40/1 bis 40/3 vorzusehen. Die verbleibenden Steckplätze der Baugruppenträger sind mit EA-Einrichtungen aufgefüllt. Die ZVE 40/1 bis 40/3 jedes Baugruppenträgers 35/1-35/3 ist jeweils mit dem Systembus 20 mit den seriellen Bussen 30/1 und 30/2 der ersten Gruppe 30 von Datenkanälen verbunden. Über die Anschaltbaugruppen 70 ist jeder Baugruppenträger 35/1 bis 35/3 an die seriellen Busse 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen angeschlossen.
Weiterhin kann gemäß Fig. 8 vorgesehen sein, zwei Baugruppenträger 35/1 und 35/2 neben der Anschaltbaugruppe 70 mit jeweils einer ZVE 40/1 und 40/2 auszustatten, die jeweils an den Systembus 20 und die seriellen Busse 30/1 und 30/2 der ersten Gruppe 30 von Datenkanälen angeschlossen sind. Darüber hinaus können Erweiterungsbaugruppenträger von 35/3 und 35/4 vorgesehen sein, die jeweils eine Anschaltbaugruppe 70 aufweisen und deren verbleibenden Steckplätze mit EA-Einrichtungen auffüllbar sind. Über die in jedem Baugruppenträger vorgesehene Anschaltbaugruppe 70 sind alle Baugruppenträger 35/1 bis 35/4 an die seriellen Busse 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen angeschlossen.
Innerhalb jedes Baugruppenträgers sowie auch baugruppenübergreifend können verschiedene EA-Einrichtungen zu EA-Komplexen zusammengefaßt werden. Vorzugsweise ist durch vorkonfektionierte und verbindungsgeprüfte Anschlußkabel sichergestellt, daß jeweils direkt benachbarte EA-Einrichtungen zu einem EA-Komplex zusammengefaßt werden. Durch die zyklische Vertauschung der Belegung der Steckkontakteinrichtungen in der Backplane gemäß Fig. 5 ist sichergestellt, daß benachbarte EA-Einrichtungen an verschiedene serielle Busse der zweiten Gruppe 50 von Datenkanälen angeschlossen sind. Unter Beachtung der vorgegebenen Zuordnung der EA-Einrichtungen eines EA-Komplexes zu den seriellen Bussen 50/1 bis 50/3 der zweiten Gruppe 50 von Datenkanälen, sind EA-Komplexe baugruppenträgerübergreifend konfigurierbar. Vorteilhafterweise ist dabei in Architekturen gemäß Fig. 7 und 8 der Totalausfall eines gesamten Baugruppenträgers tolerierbar.
Ausgehend von dieser physischen Architektur und den auf dieser basierenden Ausgestaltungen, wird bei der Installation einer der zu einem ZVE-Komplex gehörenden ZVE der Masterstatus und allen anderen zu demselben ZVE-Komplex gehörenden ZVE der Slavestatus zugewiesen. Die ZVE, der aktuell der Masterstatus zugewiesen ist, wird im weiteren als Master-ZVE bezeichnet, alle anderen hingegen als Slave-ZVE. Die Master-ZVE wird zum Datenaustausch mit den EA-Einrichtungen bestimmt. Während des laufenden Betriebes wird von jeder Slave-ZVE jede Eingabe- und jede Ausgabeoperation der Master-ZVE überwacht. Darüber hinaus werden alle Berechnungen und Ablaufsequenzen von jeder Slave-ZVE intern und virtuell nachgebildet. In jeder Slave-ZVE werden die realen Ausgabedaten der Master-ZVE mit den eigenen virtuellen Ausgabedaten verglichen. Bei erkannter Differenz zwischen realen Ausgabedaten der Master-ZVE und virtuellen Ausgabedaten einer Slave-ZVE wird durch die erkennenden Slave-ZVE eine Selbstüberprüfung aller zum aktiven ZVE-Komplex gehörenden ZVE ausgelöst. Bei fehlerbehaftetem Ergebnis der Selbstüberprüfung der Master-ZVE wird der Masterstatus an die nächste Slave-ZVE übergeben. Darüber hinaus wird ein Alarm ausgelöst und die ZVE, die den Masterstatus hatte, wird passiviert. Bei fehlerbehaftetem Ergebnis der Selbstüberprüfung einer Slave-ZVE wird ein Alarm ausgelöst und die jeweilige Slave-ZVE passiviert. Darüber hinaus ist vorgesehen, daß jede ZVE eine Überwachungsschaltung 41 umfaßt, die zyklisch in vorgegebenen Zeitabständen von dem zugeordneten Prozessor 42 retriggert wird. Bleiben die Retrigger-Impulse aus, so wird dies als Prozessorfehler interpretiert und eine Selbstüberprüfung der jeweiligen ZVE veranlaßt. In weiterer Ausgestaltung der Erfindung ist vorgesehen, daß bei Ausbleiben der Retrigger-Impulse die jeweilige ZVE passiviert und ein Alarm ausgelöst wird. Bleiben die Retrigger-Impulse der Master-ZVE aus, wird der Masterstatus an die nächste Slave-ZVE übergeben.
Der Datenaustausch zwischen den zu einem ZVE-Komplex 40 gehörenden ZVE 40/1 und 40/2 wird über die erste Gruppe 30 von Datenkanälen geführt. Bei vollständigem Austausch aller ZVE-internen Daten zwischen allen zu einem ZVE-Komplex 40 gehörenden ZVE 40/1 und 40/2 ist eine stoßfreie Umschaltung durch Übergabe der Masterstatus von einer ZVE zur nächsten ermöglicht. Alternativ ist durch eingeschränkten Datenverkehr zwischen den zu einem ZVE-Komples 40 gehörenden ZVE 40/1 und 40/2 ein schnellerer Ablauf der Steuersequenzen unter Inkaufnahme einer stoßbehafteten Umschaltung applizierbar. Für für Umschaltmoment ist dabei konfigurierbar, ob die Ausgabeinrichtungen ihre letzten gültigen Stellwerte beibehalten sollen oder auf Ersatzstellwerte zurückgreifen sollen.
In weiterer Ausgestaltung der Erfindung ist vorgesehen, daß der Masterstatus zyklisch von einer ZVE zur nächsten übergeben wird. Das Zusammenwirken der vorgenannten Maßnahmen stellt sicher, daß die aktive Master-ZVE stets eine fehlerfrei arbeitende Einrichtung ist. Weiterhin wird sichergestellt, daß die in heißer Redundanz mitlaufenden Slave-ZVE eines ZVE-Komplexes 40 stets auf Funktionstüchtigkeit überprüft wird, so daß im Bedarfsfall bei Ausfall der Master-ZVE darauf zurückgegriffen werden kann.
Vorzugsweise erfolgt die Übergabe des Masterstatus von einer ZVE zur nächsten ZVE bei minimaler Aktivität der Master-ZVE. Insbesondere für am Stabilitätsrand verlaufende Regelprozesse ist somit sichergestellt, daß durch die Umschaltung der aktiven Master-ZVE auftretende Stöße in der Stellgröße Instabilitäten des Regelkreises vermieden werden.
Darüber hinaus kann vorgesehen sein, daß mindestens eine Slave-ZVE eine Mehrzahl von ZVE-Komplexen 40 zugeordnet wird und daß bei Ausfall aller ZVE eines ZVE-Komplexes dieser mehrfach zugeordneten ZVE der Masterstatus für den ausgefallenen ZVE-Komplex zugewiesen wird. Durch diese Maßnahme wird der Redundanzindex des einzelnen ZVE-Komplexes virtuell um Eins erhöht.
Der Datenaustausch der ZVE eines ZVE-Komplexes untereinander wird über die Datenkanäle der ersten Gruppe 30 von Datenkanälen geführt. Über die seriellen Busse 30/1 und 30/2 werden identische Daten übertragen um somit den Ausfall eines Busses tolerieren zu können. Durch die Vorgaben des CAN-Protokolls ist sichergestellt, daß fehlerhafte Baugruppen die Buskommunikation nicht dauerhaft stören können. Durch in den CAN-Controllern 44 und 613 implimentierte Hardware-Schaltungen wird ein Abschalten der Busteilnehmer vorgenommen, die den Busverkehr stören.
Weiterhin ist vorgesehen, daß prozeßseitig logisch parallelgeschaltete EA-Einrichtungen zu einem EA-Komplex zusammengefaßt werden, wobei einer der EA-Einrichtungen des EA-Komplexes ein Masterstatus zugewiesen wird. Zwischen allen EA-Einrichtungen eines EA-Komplexes und dem ZVE eines ZVE-Komplexes werden parallel dieselben Meß-/Stellinformationen ausgetauscht. Die Meß-/Stellinformationen der einzelnen EA-Einrichtungen werden im ZVE-Komplex miteinander verglichen. Bei voneinander abweichenden Meß-/Stellinformationen und zyklisch während des laufenden Betriebes werden für jede EA-Einrichtungen Selbsttests durchgeführt. Bei erkannten Fehlerzuständen während des Selbsttests wird die betroffene EA-Einrichtung passiviert und ein Alarm ausgegeben. Für die Abarbeitung der Steuerungssequenzen werden ausschließlich die Meßwerte der Eingabeeinrichtung mit Masterstatus zugrundegelegt und für die Ausgabe der Stellwerte an das zugeordnete Stellglied wird eine Ausgabeeinheit der Masterstatus zugeordnet und nur dessen Ausgänge werden durchgeschaltet. Weiterhin ist vorgesehen, daß die Stellwerte aller Ausgabeeinrichtungen zurücklesbar sind.
In weiterer Ausgestaltung der Erfindung ist vorgesehen, daß der Masterstatus zyklisch zwischen den EA-Einrichtungen eines EA-Komplexes gewechselt wird. Vorzugsweise wird der Wechsel des Masterstatus bei minimaler Aktivität der betreffenden EA-Einrichtungen vorgenommen. Dadurch wird verhindert, daß am Stabilitätsrand betriebene Regelkreise durch stoßbehaftete Umschaltung instabil werden können.
Insgesamt ermöglichen die aufgezeigten Mittel der Erfindung eine den Erfordernissen des angeschlossenen Prozesses angepaßte redundante Auslegung des steuernden Systems. Dabei sind wahlweise EA-Einrichtungen für sich, zentrale Verarbeitungseinrichtungen für sich sowie Kombinationen aus redundaten EA-Einrichtungen und zentraler Verarbeitungseinrichtungen in beliebigen Redundanzverhältnissen scalierbar möglich. Damit ist eine kostenoptimale Auslegung der Redundanzverhältnisse systemunabhängig ermöglicht, da bezüglich der EA-Redundanz lediglich Kosten für die Kanäle anfallen, für die wirklich eine Redundanz erforderlich ist und bezüglich der ZVE-Redundanz eine verfügbarkeitssensitive Anpassung an spezielle gefahrdrohende Teilprozesse eines technischen Prozesses ermöglicht wird. Darüber hinaus gestattet die Architektur nachträgliche, redundante Nachrüstungen sowohl im Bereich der EA-Einrichtungen als auch im Bereich zentraler Verarbeitungseinrichtungen unter Bildung von entsprechend konfigurierbaren Komplexen. Dabei sind alle EA-Einrichtungen und zentralen Verarbeitungseinrichtungen für sich architektonisch identisch aufgebaut, so daß auf spezielle Zurüstteile zur Erzielung einer Redundanz verzichtet werden kann.
Bezugszeichenliste
10 Warten-Bereich
11 Konfigurationseinrichtung
12, 13 Bedien- und Beobachtungseinrichtung
20 Systembus
30 erste Gruppe von Datenkanälen
30/1-30/2 Datenkanäle
35/1-35/4 Baugruppenträger
40 ZVE-Komplex
40/1-40/2 zentrale Verarbeitungseinrichtung
41 Überwachungsschaltung
42 Prozessor mit Speicher
43 Prozessor-Interface
44 CAN-Controller
45 Ethernet-Controller
46 Kartenbus
50 zweite Gruppe von Datenkanälen
50/1-50/3 Datenkanäle
51 Backplane
52 Kodiermittel
60 EA-Komplex
61-64 Eingabe-/Ausgabe-Einrichtungen
61/1-64/6 EA-Schnittstellen
610 Überwachungsschaltung
611 Prozessor mit Speicher
612 Prozessor-Interface
613 CAN-Controller
614 Kartenbus
90-96 Prozeßadapter
70 Anschaltbaugruppe
100 Prozeß
100/1 Teilprozeß.

Claims (26)

1. Redundant konfigurierbares Übertragungssystem zum Datenaustausch zwischen verteilten Einrichtungen in speicherprogrammierbaren Steuerungen, die mindestens zwei zentrale Verarbeitungseinheiten und eine Eingabe-/Ausgabe-Einrichtung oder mindestens eine zentrale Verarbeitungseinrichtung und zwei Eingabe-/Ausgabe-Einrichtungen umfassen, wobei die zentralen Verarbeitungseinrichtungen über einen Systembus mit in einem Wartenbereich angeordneten Einrichtungen zum Konfigurieren, Bedienen und Beobachten verbunden sind, dadurch gekennzeichnet,
  • - daß gleichartige, sich redundant ergänzende Einrichtungen unabhängig von ihrer physischen Zuordnung zu logischen Komplexen zusammengefaßt sind, wobei mindestens zwei Eingabe-/Ausgabe-Einrichtungen (61 bis 64) zu einem EA-Komplex (60) und/oder mindestens zwei zentrale Verarbeitungseinrichtungen (40/1, 40/2) zu einem ZVE-Komplex (40) zugehörig sind,
  • - daß eine erste Gruppe (30) von Datenkanälen (30/1 und 30/2) und eine zweite Gruppe (50) von Datenkanälen (50/1 bis 50/3) vorgesehen sind,
  • - daß verschiedene Ein-/Ausgabe-Einrichtungen (61 bis 63) jedes logischen EA-Komplexes (60) an verschiedenen Datenkanälen (50/1 bis 50/3) der zweiten Gruppe (50) angeschlossen sind,
  • - daß alle zentralen Verarbeitungseinrichtungen (40/1 und 40/2) eines logischen ZVE-Komplexes (40) an alle Datenkanäle der ersten Gruppe (30) und an alle Datenkanäle der zweiten Gruppe (50) angeschlossen sind.
2. Übertragungssystem nach Anspruch 1, dadurch gekennzeichnet, daß die Datenkanäle (30/1 und 30/2) der ersten Gruppe (30) serielle Bussysteme mit prioritätspersistentem Zugriffsverfahren sind.
3. Übertragungssystem nach Anspruch 1, dadurch gekennzeichnet, daß die Datenkanäle (50/1 bis 50/3) der zweiten Gruppe (50) serielle Bussysteme mit prioritätspersistentem Zugriffsverfahren sind.
4. Übertragungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Eingabe-/Ausgabe-Einrichtungen (61 bis 63) jeweils mit einem Prozessor (611) ausgestattet sind, der über ein Prozessor-Interface (612) an einen Buscontroller (613), an dem ein Datenkanal der zweiten Gruppe (50) anschaltbar ist, und an Eingabe-/Ausgabe-Schnittstellen (61/1 bis 64/6) angeschlossen ist.
5. Übertragungssystem nach Anspruch 4 dadurch gekennzeichnet, daß Eingabe-/Ausgabe-Einrichtungen (64) vorgesehen sind, die mindestens eine Eingabeprozeßschnittstelle (64/6) und mindestens eine Ausgabeprozeßschnittstelle (64/4) aufweisen.
6. Übertragungssystem nach Anspruch 5, dadurch gekennzeichnet, daß Meßwertaufnehmer (86) und Stellglieder (85) eines logisch abgrenzbaren Teilprozesses (100/1) an dieselbe Eingabe-/Ausgabe-Einrichtung (64) angeschlossen sind.
7. Übertragungssystem nach einem der Ansprüche 1-6, dadurch gekennzeichnet, daß die Eingabe-/Ausgabe-Einrichtungen (61 bis 64) und zentralen Verarbeitungseinrichtungen (40/1 bis 40/3) den Baugruppenträger (35/1 bis 35/4) steckbar mechanisch arretiert und über eine im Baugruppenträger angeordnete Backplane (51) elektrisch miteinander verbunden sind.
8. Übertragungssystem nach Anspruch 7 dadurch gekennzeichnet, daß die Backplane (51) für jeden Steckplatz Kodiermittel (52) aufweist, die dem Index des jeweiligen Steckplatzes zugeordnet sind.
9. Übertragungssystem nach einem der Ansprüche 7-8, dadurch gekennzeichnet, daß die Backplane (51) in vorgegebener, für alle Steckplätze identischer Verteilung Steckkontakteinrichtungen aufweist, die mit Steckgegenkontakteinrichtungen der Eingabe-/Ausgabe-Einrichtungen (61 bis 64) und zentralen Verarbeitungseinrichtungen (40/1 und 40/2) verbindbar sind.
10. Übertragungssystem nach Anspruch 9, dadurch gekennzeichnet, daß die Steckkontakteinrichtungen der Backplane (51) in mindestens eine Gruppe eingeteilt sind, an die die Datenkanäle einer Gruppe von Datenkanälen angeschlossen sind.
11. Übertragungssystem nach Anspruch 10, dadurch gekennzeichnet, daß die Datenkanäle (50/1 bis 50/3) der zweiten Gruppe (50) zyklisch vertauscht an eine Gruppe von Steckkontakteinrichtungen A, B, C angeschlossen ist und daß der Index des jeweiligen Steckplatzes dem Anschlußschema der Datenkanäle (50/1 bis 50/3) an die Steckkontakte A, B, C zugeordnet ist.
12. Übertragungssystem nach Anspruch 1, dadurch gekennzeichnet, daß jede zentrale Verarbeitungseinrichtung (40/1, 40/2) mit jeweils einer Überwachungsanordnung (41) ausgestattet ist.
13. Übertragungssystem nach einem der Ansprüche 1-11, dadurch gekennzeichnet, daß die Prozeßeingänge der zu einem logischen EA-Komplex (60) gehörenden Eingabe-/Ausgabe-Einrichtungen (61 bis 63) logisch parallel geschaltet sind.
14. Übertragungssystem nach einem der Ansprüche 1-11, dadurch gekennzeichnet, daß die Prozeßausgänge der zu einem logischen EA-Komplex (50) gehörenden Eingabe-/Ausgabe-Einrichtungen (51 bis 63)
  • - logisch und extern physisch parallel geschaltet sind,
  • - intern physisch und logisch abschaltbar sind und
  • - separat logisch rücklesbar sind.
15. Verfahren zum Betrieb eines redundant konfigurierbaren Übertragungssystems zum Datenaustausch zwischen verteilten Einrichtungen in speicherprogrammierbaren Steuerungen, die mindestens zwei zentrale Einrichtungen und eine Eingabe-/Ausgabe-Einrichtung umfassen, wobei die zentralen Verarbeitungseinrichtungen über einen Systembus mit in einem Wartenbereich angeordneten Einrichtungen zum Konfigurieren, Bedienen und Beobachtungen verbunden sind, dadurch gekennzeichnet,
  • - daß bei der Installation einer der zu einem ZVE-Komplex (40) gehörenden zentralen Verarbeitungseinrichtungen (40/1, 40/2) der Masterstatus und allen anderen zu demselben ZVE-Komplex (40) gehörenden zentralen Verarbeitungseinrichtungen (40/2 oder 40/1) der Slave-Status zugewiesen wird,
  • - daß die zentrale Verarbeitungseinrichtung mit Masterstatus zum Datenaustausch mit den Eingabe-/Ausgabe-Einrichtungen bestimmt wird,
  • - daß während des Betriebes separat von jeder zentralen Verarbeitungseinrichtungen mit Slave-Status alle Eingabe-/Ausgabe-Operationen der zentralen Verarbeitungseinrichtung mit Masterstatus überwacht werden, die realen Ausgabedaten der zentralen Verarbeitseinrichtung mit Masterstatus mit eigenen virtuellen Ausgabedaten verglichen werden,
  • - daß bei erkannter Differenz zwischen realen Ausgabedaten der zentralen Verarbeitungseinrichtung mit Masterstatus und virtuellen Ausgabedaten eine der zentralen Verarbeitungseinrichtungen mit Slave-Status durch die erkennende zentrale Verarbeitungseinrichtung mit Slave-Status eine Selbstüberwachung aller zum aktiven ZVE-Komplex (40) gehörenden zentralen Verarbeitungseinrichtungen ausgelöst wird.
16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß bei fehlerhaftem Ergebnis der Selbstüberprüfung der zentralen Verarbeitungseinrichtung mit Masterstatus der Masterstatus an die nächste zentrale Verarbeitungseinrichtung mit Slave-Status übergeben, ein Alarm ausgelöst und die zentrale Verarbeitungseinrichtung, die den Masterstatus hatte, passiviert wird.
17. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß bei fehlerhaftem Ergebnis der Selbstüberprüfung einer zentralen Verarbeitungseinrichtung mit Slave-Status ein Alarm ausgelöst und die jeweilige zentrale Verarbeitungseinrichtung passiviert wird.
18. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß jeder zentralen Verarbeitungseinrichtung eine Überwachungseinrichtung (41) zugeordnet ist, die zyklisch in vorgegebenen Zeitabständen von der ihr zugeordneten zentralen Verarbeitungseinrichtung retriggert wird.
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, daß bei Ausbleiben der Retrigger-Impulse die jeweilige zentrale Verarbeitungseinrichtung passiviert und ein Alarm ausgelöst wird.
20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, daß bei Ausbleiben der Retrigger-Impulse der zentralen Verarbeitungseinrichtung mit Masterstatus der Masterstatus an die nächste zentrale Verarbeitungseinrichtung mit Slave-Status übergeben wird.
21. Verfahren nach den Ansprüchen 15-20, dadurch gekennzeichnet, daß zyklisch der Masterstatus von einer zentralen Verarbeitungseinrichtung zur nächsten übergeben wird.
22. Verfahren nach Anspruch 21, dadurch gekennzeichnet, daß die Übergabe des Masterstatus von einer zentralen Verarbeitungseinrichtung zur nächsten bei minimaler Aktivität der zentralen Verarbeitungseinrichtung mit Masterstatus vorgenommen wird.
23. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß mindestens eine zentrale Verarbeitungseinrichtung mit Slave-Status eine Mehrzahl von ZVE-Komplexen (46) zugeordnet wird und daß bei Ausfall aller zentraler Verarbeitungseinrichtungen eines ZVE-Komplexes (40) dieser mehrfach zugeordneten zentralen Verarbeitungseinrichtung der Masterstatus für die ausgefallenen ZVE-Komplex (40) zugewiesen wird.
24. Verfahren zum Betrieb eines redundant konfigurierbaren Übertragungssystems zum Datenaustausch zwischen verteilen Einrichtungen in speicherprogrammierbaren Steuerungen, die mindestens eine zentrale Verarbeitungseinrichtung und zwei Eingabe-/Ausgabe-Einrichtungen umfassen, wobei die zentrale Verarbeitungseinrichtung über einen Systembus mit in einem Wartenbereich angeordneten Einrichtungen zum Konfigurieren, Bedienen und Beobachten verbunden ist, dadurch gekennzeichnet,
  • - daß zwischen allen Eingabe-/Ausgabe-Einrichtungen (61 bis 64) eines EA-Komplexes (60) und der zentralen Verarbeitungseinrichtung (40) parallel dieselben Meß-/Stell-Informationen ausgestellt werden, daß die Meß-/Stell-Informationen der einzelnen Eingabe-/Ausgabe-Einrichtungen (61 bis 64) miteinander verglichen werden,
  • - daß für jede Eingabe-/Ausgabe-Einrichtung (61 bis 64) bei voneinander abweichenden Meß-/Stell-Informationen und zyklisch während des laufenden Betriebes Selbsttests durchgeführt werden,
  • - daß bei erkannten Fehlerzuständen während des Selbsttests die betroffene Eingabe-/Ausgabe-Einrichtung (61 bis 64) passiviert und ein Alarm ausgegeben wird,
  • - daß jeweils einer Eingabe-Einrichtung und einer Ausgabe-Einrichtung ein Masterstatus zugewiesen wird,
  • - daß die Meßwerte der Eingabe-Einrichtung mit Masterstatus der Steuerung zugrunde gelegt werden,
  • - daß die Stellwerte der Ausgabe-Einrichtung mit Masterstatus an das zugeordnete Stellglied weitergeleitet werden und
  • - daß die Stellwerte aller Ausgabe-Einrichtungen zurücklesbar sind.
25. Verfahren nach Anspruch 24, dadurch gekennzeichnet, daß der Masterstatus zyklisch zwischen den Eingabe-/Ausgabe-Einrichtungen (61 bis 64) eines EA-Komplexes (60) gewechselt wird.
26. Verfahren nach Anspruch 25, dadurch gekennzeichnet, daß der Wechsel des Masterstatus bei minimaler Aktivität der betreffenden Eingabe-/Ausgabe-Einrichtung (61 bis 64) vorgenommen wird.
DE4416795A 1994-05-06 1994-05-06 Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb Expired - Lifetime DE4416795C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE4416795A DE4416795C2 (de) 1994-05-06 1994-05-06 Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4416795A DE4416795C2 (de) 1994-05-06 1994-05-06 Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb

Publications (2)

Publication Number Publication Date
DE4416795A1 true DE4416795A1 (de) 1995-11-16
DE4416795C2 DE4416795C2 (de) 1996-03-21

Family

ID=6517981

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4416795A Expired - Lifetime DE4416795C2 (de) 1994-05-06 1994-05-06 Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb

Country Status (1)

Country Link
DE (1) DE4416795C2 (de)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19610400A1 (de) * 1996-03-16 1997-09-18 Deutsche Telekom Ag Audio- und Datenumschaltgerät und -verfahren
EP0770942A3 (de) * 1995-10-27 1998-09-02 Elan Schaltelemente GmbH Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
WO1999031559A1 (en) * 1997-12-18 1999-06-24 Honeywell Inc. Field programmable industrial process transmitter
DE19849787C1 (de) * 1998-10-28 2000-02-24 Fresenius Medical Care De Gmbh Blutbehandlungsgerät
WO2000038021A1 (de) * 1998-12-18 2000-06-29 Siemens Aktiengesellschaft Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem
EP1028360A2 (de) * 1999-02-12 2000-08-16 KUKA Roboter GmbH Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten
EP0928443B1 (de) * 1996-10-04 2002-01-30 Fisher Controls International, Inc. Netzwerkzugangs-interface für prozesssteuerungsnetzwerk
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
EP1353247A2 (de) * 2002-04-10 2003-10-15 Airbus France System und Verfahren zur Steuerung von mehreren Betätigungsanordnungen
EP1239061A3 (de) * 2001-03-08 2004-03-03 Siemens Aktiengesellschaft Galvanikanlage
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
DE19904892B4 (de) * 1999-02-06 2008-06-12 Wratil, Peter, Dr. Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten in Steuerungseinrichtungen
EP2157487A3 (de) * 2008-08-18 2010-05-12 EAE Ewert Ahrensburg Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren
CN105629866A (zh) * 2016-03-23 2016-06-01 许继电气股份有限公司 一种水电监控系统双网双配置plc冗余切换方法及系统
EP3170082A4 (de) * 2014-07-15 2018-05-30 Honeywell International Inc. Partielle redundanz für e/a-module oder kanäle in verteilten steuerungssystemen

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19840562B4 (de) * 1998-09-07 2007-06-28 Phoenix Contact Gmbh & Co. Kg Sicherheitsbezogenes Steuer- und Datenübertragungssystem
DE19860358B4 (de) * 1998-12-24 2008-05-08 Wratil, Peter, Dr. Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen
DE10329706B4 (de) 2003-07-02 2018-09-06 Conti Temic Microelectronic Gmbh Datenbussystem mit einer Mehrzahl von an einen Datenbus angeschlossenen Busteilnehmern
DE102004051130A1 (de) * 2004-10-18 2006-05-04 Siemens Ag Verfahren und Automatisierungssystem zum Bedienen und/oder Beobachten mindestens eines Feldgerätes

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4658396A (en) * 1985-03-11 1987-04-14 Barden Robert A Redundancy arrangement for a local area network
US5038140A (en) * 1985-09-09 1991-08-06 Fujitsu Limited Supervisory system in communication system
DE4207675C1 (de) * 1992-03-11 1993-09-02 Ant Nachrichtentechnik Gmbh, 71522 Backnang, De

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4658396A (en) * 1985-03-11 1987-04-14 Barden Robert A Redundancy arrangement for a local area network
US5038140A (en) * 1985-09-09 1991-08-06 Fujitsu Limited Supervisory system in communication system
DE4207675C1 (de) * 1992-03-11 1993-09-02 Ant Nachrichtentechnik Gmbh, 71522 Backnang, De

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DE-B.: Automatisierungstechnik, 3.Aufl., R. Oldenbourg Verlag München, Wien 1992, Bd.1, S.91-93 *
SU, Y. et al.: A hardware redundancy reconfiguration scheme for tolerating mul- tiple module failures. In: IEEE Transactions on Computers, Vol. C-29, No.3, März 1980, S.254-258 *

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0770942A3 (de) * 1995-10-27 1998-09-02 Elan Schaltelemente GmbH Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
DE19610400A1 (de) * 1996-03-16 1997-09-18 Deutsche Telekom Ag Audio- und Datenumschaltgerät und -verfahren
DE19610400B4 (de) * 1996-03-16 2005-08-04 Deutsche Telekom Ag Audio- und Datenumschaltgerät und -verfahren
EP0928443B1 (de) * 1996-10-04 2002-01-30 Fisher Controls International, Inc. Netzwerkzugangs-interface für prozesssteuerungsnetzwerk
WO1999031559A1 (en) * 1997-12-18 1999-06-24 Honeywell Inc. Field programmable industrial process transmitter
US6676621B1 (en) 1998-10-28 2004-01-13 Fresenius Medical Care Deutschland Gmbh Blood treatment machine
DE19849787C1 (de) * 1998-10-28 2000-02-24 Fresenius Medical Care De Gmbh Blutbehandlungsgerät
WO2000038021A1 (de) * 1998-12-18 2000-06-29 Siemens Aktiengesellschaft Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem
DE19904892B4 (de) * 1999-02-06 2008-06-12 Wratil, Peter, Dr. Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten in Steuerungseinrichtungen
EP1028360A2 (de) * 1999-02-12 2000-08-16 KUKA Roboter GmbH Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten
US6577918B1 (en) 1999-02-12 2003-06-10 Kuka Roboter Gmbh Process for the processing of safety-relevant data
EP1028360A3 (de) * 1999-02-12 2001-02-07 KUKA Roboter GmbH Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
EP1239061A3 (de) * 2001-03-08 2004-03-03 Siemens Aktiengesellschaft Galvanikanlage
EP1353247A2 (de) * 2002-04-10 2003-10-15 Airbus France System und Verfahren zur Steuerung von mehreren Betätigungsanordnungen
FR2838532A1 (fr) * 2002-04-10 2003-10-17 Airbus France Systeme et procede de controle de plusieurs actionneurs
EP1353247A3 (de) * 2002-04-10 2004-01-07 Airbus France System und Verfahren zur Steuerung von mehreren Betätigungsanordnungen
US7031810B2 (en) 2002-04-10 2006-04-18 Airbus France Control system and process for several actuators
EP2157487A3 (de) * 2008-08-18 2010-05-12 EAE Ewert Ahrensburg Electronic GmbH Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren
EP3170082A4 (de) * 2014-07-15 2018-05-30 Honeywell International Inc. Partielle redundanz für e/a-module oder kanäle in verteilten steuerungssystemen
CN105629866A (zh) * 2016-03-23 2016-06-01 许继电气股份有限公司 一种水电监控系统双网双配置plc冗余切换方法及系统

Also Published As

Publication number Publication date
DE4416795C2 (de) 1996-03-21

Similar Documents

Publication Publication Date Title
DE4416795C2 (de) Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
EP1540428B1 (de) Redundante steuergeräteanordnung
DE102009054157B3 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
EP1860564A1 (de) Verfahren und Vorrichtung zum Austausch von Daten auf Basis des OPC-Kommunikationsprotokolls zwischen redundanten Prozessautomatisierungskomponenten
WO1996031815A1 (de) Einrichtung zur eigensicheren signalanpassung
EP2302472A2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102016000126B4 (de) Serielles Bussystem mit Koppelmodulen
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
EP0782722B1 (de) Verfahren und vorrichtung zur steuerung und aktivierung von miteinander mittels eines bussystems vernetzten sensoren und/oder aktuatoren
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
DE19814096B4 (de) Verfahren zur Umschaltung redundant geschalteter, gleichartiger Baugruppen
EP3336624B1 (de) Anordnung mit zwei redundanten baugruppen die sich gegenseitig überwachen
EP1432593A1 (de) Steuerungs- und energieversorgungssystem für wenigstens zwei flugzeugsitzplätze
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP2048555A1 (de) Analoge Ausgabeeinheit mit Fehlererkennung
EP1550269B1 (de) Kommunikationssystem
EP1493067B1 (de) Verfahren zum projektieren und/oder betreiben einer automatisierungseinrichtung
EP1692578A1 (de) Peripherieeinheit für ein redundantes steuersystem
EP4078302B1 (de) Vorrichtung zum signalaustausch zwischen steuerung und feldgeräten
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
DE19754769A1 (de) Feldbus-System für sicherheitsgerichtete Anwendungen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: HARTMANN & BRAUN AG, 60487 FRANKFURT, DE

8327 Change in the person/name/address of the patent owner

Owner name: ABB PATENT GMBH, 68526 LADENBURG, DE

8327 Change in the person/name/address of the patent owner

Owner name: ABB AG, 68309 MANNHEIM, DE

R071 Expiry of right
R071 Expiry of right