[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE9312739U1 - Redundant automation system - Google Patents

Redundant automation system

Info

Publication number
DE9312739U1
DE9312739U1 DE9312739U DE9312739U DE9312739U1 DE 9312739 U1 DE9312739 U1 DE 9312739U1 DE 9312739 U DE9312739 U DE 9312739U DE 9312739 U DE9312739 U DE 9312739U DE 9312739 U1 DE9312739 U1 DE 9312739U1
Authority
DE
Germany
Prior art keywords
systems
automation
sub
automation system
automation systems
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE9312739U
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE9312739U priority Critical patent/DE9312739U1/en
Publication of DE9312739U1 publication Critical patent/DE9312739U1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1687Temporal synchronisation or re-synchronisation of redundant processing components at event level, e.g. by interrupt or result of polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components
    • G06F11/1691Temporal synchronisation or re-synchronisation of redundant processing components using a quantum
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Hardware Redundancy (AREA)

Description

93 G 3 &Iacgr; 5 3 DE93 G 3 &Iacgr; 5 3 DE

Siemens AktiengesellschaftSiemens AG

Redundantes Automatisierungssystem
5Redundant automation system
5

Die vorliegende Erfindung betrifft ein redundantes Automatisierungssystem. The present invention relates to a redundant automation system.

Redundante Automatisierungssysteme sind vielen Formen bekannt. Es gibt beispielsweise fehlersichere oder 2-aus-2-Systeme. Bei diesen Systemen ist nachteilig, daß sie nicht hochverfügbar sind. Umgekehrt sind hochverfügbare oder 1-aus-2-Systeme zwar hochverfügbar, aber nicht fehlersicher
oder bestenfalls fehlersicher von "geringer" Anforderungsklasse. Hochverfügbare fehlersichere Automatisierungssysteme sind daher meist als 2-aus-3-Systeme ausgebildet.
Diese Systeme sind sowohl hochverfügbar als auch fehlersicher. Allerdings ist bei diesen Systemen die Kopplung und Synchronisierung der Systeme untereinander relativ aufwendig. Redundant automation systems are known in many forms. For example, there are fail-safe or 2-out-of-2 systems. The disadvantage of these systems is that they are not highly available. Conversely, highly available or 1-out-of-2 systems are highly available but not fail-safe.
or at best fail-safe with a "low" requirement class. Highly available fail-safe automation systems are therefore usually designed as 2-out-of-3 systems.
These systems are both highly available and fail-safe. However, coupling and synchronizing the systems with each other is relatively complex.

Ebenfalls bekannt sind Rechnersysteme, die zwei Prozessorboards mit je zwei separaten Logiken aufweisen. Bei diesen Systemen werden alle Eingaben allen vier Logiken zugeführt und die entsprechende Ergebnisse ermittelt. Die Ergebnisse der je zwei Logiken eines Boards werden miteinander verglichen. Ergeben sich bei einem Board Ungleichheiten, wird die Ausgabe dieses Boards gesperrt, und das andere Board
übernimmt allein die weitere Verarbeitung der Eingaben.Computer systems that have two processor boards, each with two separate logics, are also known. In these systems, all inputs are fed to all four logics and the corresponding results are determined. The results of the two logics of a board are compared with each other. If there are inequalities on one board, the output of this board is blocked and the other board
is solely responsible for further processing of the inputs.

Diese Art der Fehlersicherheit ist insofern nicht optimal, als hierbei taktsynchron arbeitende Prozessorboards und
Logiken benötigt werden.This type of fault tolerance is not optimal in that it requires clock-synchronized processor boards and
Logics are needed.

Die Aufgabe der vorliegenden Erfindung besteht folglich
darin, ein fehlersicheres und gleichzeitig hochverfügbares Automatisierungssystem zu schaffen, bei dem der Aufwand zur Kopplung möglichst gering gehalten wird.The object of the present invention is therefore
to create a fail-safe and at the same time highly available automation system in which the coupling effort is kept as low as possible.

G 3 &Iacgr; 5 3 DEG 3 &Iacgr; 5 3 DE

Die Aufgabe wird durch ein redundantes Automatisierungssystem gelöst, das aus mindestens zwei, über eine Hauptkommunikationseinrichtung lose miteinander gekoppelten Teilautomatisierungssystemen besteht, die beide zur Führung und Steuerung einer technischen Anlage mit der technischen Anlage verbindbar sind, wobei jedes Teilautomatisierungssystem aus mindestens zwei gleichwirkenden, über eine Unterkommunikationseinrichtung miteinander gekoppelten Unterautomatisierungssystemen besteht.The task is solved by a redundant automation system that consists of at least two partial automation systems that are loosely coupled to one another via a main communication device, both of which can be connected to the technical system for the purpose of managing and controlling a technical system, with each partial automation system consisting of at least two sub-automation systems that function in the same way and are coupled to one another via a sub-communication device.

Dadurch ist es möglich, daß die beiden Doppelsysteme sich nur noch von Zeit zu Zeit, z.B. einmal pro Zyklus, synchronisieren. Der Kopplungsaufwand wird dadurch praktisch auf Null reduziert. Die Synchronisierung kann sogar völlig entfallen, wenn die Prozeßantwortzeit des gesteuerten Prozesses größer als die Zykluszeit der Teilautomatisierungssysteme ist. This makes it possible for the two dual systems to synchronize only from time to time, e.g. once per cycle. The coupling effort is thus reduced to practically zero. Synchronization can even be eliminated completely if the process response time of the controlled process is greater than the cycle time of the partial automation systems.

Weitere Vorteile und Einzelheiten ergeben sich aus der 0 nachfolgenden Beschreibung eines Ausführungsbeispiels. Dabei zeigt:Further advantages and details emerge from the following description of an embodiment. It shows:

FIG 1 ein Blockschaltbild eines Automatisierungssystems.FIG 1 is a block diagram of an automation system.

5 Gemäß FIG 1 besteht das redundante Automatisierungssystem aus vier Unterautomatisierungssystemen 1 bis 4, die zur Steuerung und Führung einer technischen Anlage 5 mit der technischen Anlage 5 verbindbar sind. Jedes Unterautomatisierungssystem 1 bis 4 besteht aus einem Prozessor 6, der die von der Anlage 5 gelieferten Eingangssignale gemäß dem im Speicher 7 hinterlegten Programm auswertet und dadurch Ausgangssignale für die technische Anlage 5 ermittelt.5 According to FIG 1, the redundant automation system consists of four sub-automation systems 1 to 4, which can be connected to the technical system 5 to control and manage a technical system 5. Each sub-automation system 1 to 4 consists of a processor 6, which evaluates the input signals supplied by the system 5 according to the program stored in the memory 7 and thereby determines output signals for the technical system 5.

Die beiden linken Unterautomatisierungssysteme 1 und 2 sind 5 über die Unterkommunikationseinrichtung, die aus der Kommunikationsleitung 8 und den Kommunikationseinheiten 9 besteht, miteinander verbunden. Sie sind so in der Lage, ge-The two left sub-automation systems 1 and 2 are connected to each other via the sub-communication device, which consists of the communication line 8 and the communication units 9. They are thus able to

G 3 4 5 3DEG 3 4 5 3DE

meinsam, d.h. als 2-aus-2-System, die technische Anlage 5 sicher zu führen. Die Unterautomatisierungssysteme 1 und 2 bilden das Teilautomatisierungssystem 10.together, i.e. as a 2-out-of-2 system, to safely manage the technical system 5. The sub-automation systems 1 and 2 form the partial automation system 10.

In analoger Weise sind die beiden rechten Unterautomatisierungssysteme 3 und 4 über die Unterkommunikationseinrichtung, die aus der Kommunikationsleitung 11 und nicht dargestellten Kommunikationseinheiten besteht, miteinander verbunden. Die beiden Unterautomatisierungssysteme 3, 4 bilden ebenfalls ein 2-aus-2-System, nämlich das Teilautomatisierungssystem 12. Sie sind also ebenfalls in der Lage, die technische Anlage sicher zu führen.In an analogous manner, the two right sub-automation systems 3 and 4 are connected to one another via the sub-communication device, which consists of the communication line 11 and communication units not shown. The two sub-automation systems 3, 4 also form a 2-out-of-2 system, namely the partial automation system 12. They are therefore also able to operate the technical system safely.

Die Teilsysteme 10, 12 steuern beide die Anlage 5. Um sich gegenseitig einen Ausfall eines der Teilautomatisierungssysteme 10, 12 melden zu können, sind die beiden Teilsysteme 10, 12 über die Hauptkommunikationseinrichtung, die aus der Kommunikationsleitung 13 und den Kommunikationseinheiten 14 besteht, miteinander lose gekoppelt. Lose gekoppelt heißt, daß die beiden Teilsysteme 10, 12 zwar miteinander Informationen austauschen können, dies aber im Regelfall nicht tun. Es besteht beispielsweise die Möglichkeit, daß die beiden Teilautomatisierungssysteme 10, 12 sich nur einmal pro Zyklus synchronisieren. Ebenso ist es möglich, daß die beiden Teilautomatisierungssysteme 10, 12 sich gar nicht synchronisieren, wenn der gesteuerte Prozeß "langsam genug" reagiert. Trotzdem ist gewährleistet, daß bei einem Fehler sofort und ohne Betriebsunterbrechung das defekte Teilsystem stillgesetzt und dennoch die technische Anlage 5 durch das verbleibende Teilautomatisierungssystem sicher weitergeführt wird.The subsystems 10, 12 both control the system 5. In order to be able to report a failure of one of the partial automation systems 10, 12 to each other, the two subsystems 10, 12 are loosely coupled to each other via the main communication device, which consists of the communication line 13 and the communication units 14. Loosely coupled means that the two subsystems 10, 12 can exchange information with each other, but usually do not do so. For example, it is possible that the two partial automation systems 10, 12 only synchronize once per cycle. It is also possible that the two partial automation systems 10, 12 do not synchronize at all if the controlled process reacts "slowly enough". Nevertheless, it is guaranteed that in the event of a fault, the defective subsystem is shut down immediately and without interrupting operation, and the technical system 5 is still safely operated by the remaining partial automation system.

Alternativ zur Führung der technischen Anlage 5 durch beide Teilautomatisierungssysteme 10, 12 ist es auch möglich, daß die Anlage 5 nur durch eines der Teilautomatisierungssysteme 10, 12, z. B. durch das Teilsystem 10, geführt wird. In diesem Fall liest aber auch das andere Teilsystem,As an alternative to controlling the technical system 5 through both partial automation systems 10, 12, it is also possible for the system 5 to be controlled by only one of the partial automation systems 10, 12, e.g. by the subsystem 10. In this case, however, the other subsystem also reads

G 3 4 5 3 DEG 3 4 5 3 EN

hier das Teilsystem 12, alle Eingaben ein und ermittelt die zur Steuerung der Anlage 5 nötigen Zwischenwerte und Ausgabesignale. Die Ausgabe der Ausgangssignale des Teilsystems 12 an die technische Anlage 5 wird aber unterdrückt. Das Teilsystem 12 arbeitet also im "hot stand-by"-Betrieb. here subsystem 12, enters all inputs and determines the intermediate values and output signals required to control system 5. The output of the output signals of subsystem 12 to technical system 5 is suppressed, however. Subsystem 12 therefore operates in "hot stand-by" mode.

Der "hot stand-by"-Betrieb bietet zusätzlich den Vorteil, daß die Synchronisierung auch dann völlig entfallen kann, wenn die Prozeßantwortzeit des gesteuerten Prozesses kleiner als die Zykluszeit der Teilsysteme 10, 12 ist.The "hot stand-by" operation offers the additional advantage that synchronization can be completely eliminated even if the process response time of the controlled process is less than the cycle time of the subsystems 10, 12.

Claims (1)

G 3 4 5 3 DE SchutzanspruchG 3 4 5 3 DE Right to protection 1. Redundantes Automatisierungssystem, bestehend aus mindestens zwei, über eine Hauptkommunikationseinrichtung (13,14) lose miteinander gekoppelten Teilautomatisierungssystemen (10,12), die beide zur Führung und Steuerung einer technischen Anlage (5) mit der technischen Anlage (5) verbindbar sind, wobei jedes Teilautomatisierungssystem (10,12) aus mindestens zwei gleichwirkenden, über eine Unterkommunikationseinrichtung (8,9,11) miteinander gekoppelten Unterautomatisierungssystemen (1 bis 4) besteht.1. Redundant automation system, consisting of at least two partial automation systems (10, 12) loosely coupled to one another via a main communication device (13, 14), both of which can be connected to the technical system (5) for the purpose of guiding and controlling a technical system (5), wherein each partial automation system (10, 12) consists of at least two sub-automation systems (1 to 4) with the same function and coupled to one another via a sub-communication device (8, 9, 11).
DE9312739U 1993-08-25 1993-08-25 Redundant automation system Expired - Lifetime DE9312739U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE9312739U DE9312739U1 (en) 1993-08-25 1993-08-25 Redundant automation system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE9312739U DE9312739U1 (en) 1993-08-25 1993-08-25 Redundant automation system

Publications (1)

Publication Number Publication Date
DE9312739U1 true DE9312739U1 (en) 1993-10-07

Family

ID=6897220

Family Applications (1)

Application Number Title Priority Date Filing Date
DE9312739U Expired - Lifetime DE9312739U1 (en) 1993-08-25 1993-08-25 Redundant automation system

Country Status (1)

Country Link
DE (1) DE9312739U1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19901720A1 (en) * 1999-01-18 2000-07-20 Siemens Ag Automation system for controlling and monitoring technical system, especially power station
DE19934513B4 (en) * 1999-07-22 2006-05-24 Siemens Ag Control procedure for a technical plant

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS57127253A (en) * 1981-01-30 1982-08-07 Fujitsu Ltd Switching system
DE3115750A1 (en) * 1981-04-18 1982-10-28 Standard Elektrik Lorenz Ag, 7000 Stuttgart Bus coupler
US4358823A (en) * 1977-03-25 1982-11-09 Trw, Inc. Double redundant processor
EP0081238A2 (en) * 1981-12-09 1983-06-15 Hitachi, Ltd. Multi-computer system
JPS58217060A (en) * 1982-06-11 1983-12-16 Mitsubishi Electric Corp Backup system of decentralized computer system
US4486826A (en) * 1981-10-01 1984-12-04 Stratus Computer, Inc. Computer peripheral control apparatus
DE3328405A1 (en) * 1983-08-05 1985-02-21 Siemens AG, 1000 Berlin und 8000 München Control elements of a fault-tolerant multicomputer system
US4628508A (en) * 1981-03-31 1986-12-09 British Telecommunications Computer of processor control systems
CH675781A5 (en) * 1987-04-16 1990-10-31 Bbc Brown Boveri & Cie
DE3917715A1 (en) * 1989-05-31 1990-12-06 Teldix Gmbh COMPUTER SYSTEM
US5029093A (en) * 1985-10-15 1991-07-02 Pitney Bowes Inc. Dual redundant electronic postage meter

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4358823A (en) * 1977-03-25 1982-11-09 Trw, Inc. Double redundant processor
JPS57127253A (en) * 1981-01-30 1982-08-07 Fujitsu Ltd Switching system
US4628508A (en) * 1981-03-31 1986-12-09 British Telecommunications Computer of processor control systems
DE3115750A1 (en) * 1981-04-18 1982-10-28 Standard Elektrik Lorenz Ag, 7000 Stuttgart Bus coupler
US4486826A (en) * 1981-10-01 1984-12-04 Stratus Computer, Inc. Computer peripheral control apparatus
EP0081238A2 (en) * 1981-12-09 1983-06-15 Hitachi, Ltd. Multi-computer system
JPS58217060A (en) * 1982-06-11 1983-12-16 Mitsubishi Electric Corp Backup system of decentralized computer system
DE3328405A1 (en) * 1983-08-05 1985-02-21 Siemens AG, 1000 Berlin und 8000 München Control elements of a fault-tolerant multicomputer system
US5029093A (en) * 1985-10-15 1991-07-02 Pitney Bowes Inc. Dual redundant electronic postage meter
CH675781A5 (en) * 1987-04-16 1990-10-31 Bbc Brown Boveri & Cie
DE3917715A1 (en) * 1989-05-31 1990-12-06 Teldix Gmbh COMPUTER SYSTEM

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
58-90202 A., P-217, Aug.17, 1983, Vol. 7, No. 188 *
JP Patents Abstracts of Japan: 58-97764 A., P-220, Sep. 2, 1983, Vol. 7, No. 198 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19901720A1 (en) * 1999-01-18 2000-07-20 Siemens Ag Automation system for controlling and monitoring technical system, especially power station
DE19934513B4 (en) * 1999-07-22 2006-05-24 Siemens Ag Control procedure for a technical plant

Similar Documents

Publication Publication Date Title
DE69428634T2 (en) Hardware arrangement and method for extending the data processing time in the assembly line stages of a microcomputer system
DE19744071B4 (en) Control system using a programmable logic controller
DE3535436C2 (en)
DE69022100T2 (en) Logical circuit and method of use.
DE3701663C2 (en) Circuit for facilitating the testing of a higher order circuit arrangement and test method for such a circuit arrangement
DE4010311C2 (en) Data processor
DE3013070A1 (en) CIRCUIT AND METHOD FOR RECEIVING AND PROCESSING REQUEST SIGNALS FROM PERIPHERAL DEVICES WITHIN A DATA-PROCESSING DEVICE
DE3780163T2 (en) PROGRAMMABLE FOLLOW-UP CONTROL FOR CONTROLLING FAST, COMPLICATED WORKING AID.
DE3411015C2 (en)
DE2651314C2 (en) Safety output circuit for a data processing system that emits binary signals
DE69523509T2 (en) Decentralized system and multi-computer system
DE9312739U1 (en) Redundant automation system
DE68925452T2 (en) Multiprocessor system using a communication register with memory locations assigned to the processors
DE3324313A1 (en) Device for the failsafe representation of information on a data display device
DE3918886C2 (en) Reset arrangement in a data processing unit
DE2801517C2 (en)
DE19838178B4 (en) Printed circuit board in a programmable control system, wherein a power supply unit and a central unit are mounted on the circuit board
DE3238692A1 (en) Data transmission system
DE3640670C2 (en)
DE10048732A1 (en) Multiprocessor arrangement
DE3826266C2 (en)
DE69223660T2 (en) Fail-safe logic circuit
EP0155371B1 (en) Instruction decoder for a processor control unit
EP0301160A2 (en) System with two microprocessors and shared write/read memory
DE2449984A1 (en) LOCKING CIRCUIT