冗余设计的自动化系统

技术领域

本发明涉及一种具有第一、第二和第三子系统的冗余设计的自动化系统。本发明还涉及一种用于运行冗余设计的自动化系统的方法。

背景技术

在自动化领域中对高可用性的解决方案(H系统)有更多要求，该解决方案适用于将技术设备的可能出现的停工时间减小到最小。首先，在特定的重要领域、例如电厂或化学设施中通常冗余地设计在那里使用的控制技术，以便在系统故障时能够保障设备的安全运行。相应在这些情况下也完全或至少部分冗余地构造外围组件和网络。

冗余的控制系统由两个一致的单独控制系统组成。“一致”在此表示，这些控制系统具有相同的能力并且通常还在其上运行有版本相同的软件，这不仅涉及内部软件(固件)，还涉及与控制设备相关的应用程序。在此还涉及系统冗余，因为除了一致的程序之外还使数据周期性地并且完全地在两个子系统之间同步。

开发这种高可用性的解决方案有很高的成本，其中，在自动化领域中通常采用的H系统的特性在于，两个或多个子系统以自动化装置或计算机系统的形式经由同步连接相互耦联。原则上，两个子系统能够可读和/或可写地访问与该H系统连接的外围单元。两个子系统之一在有关连接到系统上的外围设备方面占是主导的。这意味着，对外围单元的输出或用于这些外围单元的输出信息仅由两个子系统之一处理，其作为主机工作或者接管主机功能。为了使两个子系统能够同步运行，它们经由同步连接以规律的间隔进行同步。在有关同步的频率和其范围方面能够区分不同设计(温备用、热备用)。

从2011年出版的西门子目录ST7的第6章中已知了冗余的、由两个子系统组成的自动化系统，其设置用于提高待控制的设备的可用性。该自动化系统通常被同步并且确保了这些子系统之一的故障不影响要控制的过程，因为其它子系统能够执行其相应的控制程序的相应部分的实施或处理或者该控制程序的相应部分的实施或处理。

从EP 0 907 912 B1中已知了用于由两个子系统构建的自动化系统的同步方法。该同步方法基于两个子系统的时间同步的耦合，其中，在用于设置排列的合适的程序点处，两个子系统等待其它相应参与者的回复并且随后才各自时间同步地继续其程序处理。

在EP 2 657 797 A1中公开了用于运行冗余的自动化系统的方法，其包含同步方法。

在已知的系统中确定两个作为冗余伙伴的子系统的对应，以在这两个子系统之一故障时使另一个子系统必须独自(单独)并且因此非高可用性地运行，直到损坏的系统由一致的系统替代。一致在此表示硬件和固件都必须一致。

从确定的对应中得出两个问题：

1.在损坏的情况下，整个系统在维修时间仅单独运行并且因此不能提供针对另外的故障的保护。该时间能够相对较长，因为首先必须从库存(好情况)或由供货商(坏情况)供应并且安装替换装置。此外必须保障的是，替换装置的硬件和固件版本总体允许直接更换。

2.虽然在有计划的改建的情况下直接提供替换件，但还是在此引起时间上明显更短的单独运行。必要的版本一致性规则在此同样适用。

临时单独运行的第一个问题在具有完全系统冗余的高可用性的控制系统中是不可解的，然而被容忍，因为在有单独错误时确保了整个系统不完全出故障。仅在有所谓的双重错误时不再能够保障运行。

有关第二个问题已知各种解决途径：

1.替换装置必须强制具有与所有在运行中采用的装置一样的硬件版本并且因此能够在接入到与所采用的装置一致的固件版本上之前就已经安装，从而能够在错误情况下在一定程度上进行盲替。

2.装置对于固件版本的轻微改变是宽容的并且还能以更新的替换装置进入冗余运行，因为制造商针对这种轻微偏差确保了完全兼容。因此具有示例性的版本“3.2.4”的装置以其固件版本仅在最后位置不同的、例如版本“3.2.7”的装置进入冗余运行。

3.如果固件版本在更高的位置不同，那么甚至不能实现冗余的运行，然而将运行的装置替换为替换装置也能在不中断技术过程的控制系统的条件下实施。对此，两个装置经历通常的顺序，利用其将最新启动的系统与已经运行的系统耦联并且将在那运行的程序以及当前的数据迭代地接管。然而在两个子系统上的程序和数据相同性方面，不转换到冗余运行中，而是作为替代方案使具有更新的固件的装置接管过程的唯一的控制系统，同时关断迄今为止运行的装置。随后其能够更新到替换装置的已知的固件版本并且以其再次进入完全冗余的运行中。通过该方法虽然延长了单独运行的持续时间，但是对此不必整体上关断控制系统，这在一些技术过程(例如化学设备)中完全不能如此简单地实现，因为该过程随后会不受控制地继续运行。

发明内容

因此，本发明的目的在于给出一种冗余设计的自动化系统，其避免前述缺点。

该目的通过根据本发明的冗余设计的自动化系统实现。根据本发明的自动化系统具有第一子系统、第二子系统和第三子系统。

在自动化系统的子系统中各自实施流程程序，流程程序能在运行时环境(runtimeenvironment)中执行以履行自动化任务。此外，在自动化系统的子系统中各自实施数据存储器。

流程程序具有至少一个第一子程序和第二子程序，并且数据存储器各自具有至少一个第一子存储器和第二子存储器。

在根据本发明的自动化系统在中，第一子存储器配属于第一子程序并且第二子存储器配属于第二子程序，并且第一子程序和第一子存储器的同步时钟脉冲不同于第二子程序和第二子存储器的同步时钟脉冲。

根据本发明的自动化系统设计用于，使第一子程序和第一子存储器在第一子系统与第二子系统之间同步，并且使第二子程序和第二子存储器在第一子系统与第三子系统之间同步。

自动化系统用于实现自动化并且例如能够是可编程逻辑控制器、例如西门子公司的SIMATIC S7-400，其代表了用于下级控制系统、例如西门子公司的SIMATIC ET200的上级控制功能。

在应用颗粒化的冗余的自动化系统中，子系统(也被称为“App”)和所属的子存储器组成单元。子存储器能够包含由子程序在其实施的范畴中所需要的(自动化)数据、例如过程数据。根据本发明，至少两个单元具有彼此不同的同步时钟脉冲。在第一单元(第一子程序和第一存储器)例如以10ms的同步时钟脉冲在两个子系统之间同步时，第二子程序和第二子存储器的同步时钟脉冲例如是50ms。

在几百字节或几千字节的数量级的、每个子程序假设的数据量和两个子系统之间的假设的千兆以太网耦合连接中，10kB数据能够在大约20微秒中传输。即使当完全的同步由多个单独步骤组成时，在根据本发明的自动化系统中能够实现少于100微秒的同步时钟脉冲。

将仅能整体同步的大程序分为多个具有限定的所属的(数据)存储器的小的子程序具有一系列的优点。能够以各自匹配的更新频率触发各个子程序，因为其是各自专用的。通过具有相应小的数据量的局部同步，能够冗余地实现明显高频的子程序(App)直到现场总线同步的调节。

冗余与迄今为止在经典的控制系统中存在的场景IEC-61131的分离也允许使用用于高可用性的子程序的其它编程语言。

此外，第二子系统与已经运行的第一子系统的同步在应用根据本发明的自动化系统中明显性能更好，因为每个子程序都能单独同步。在已知的自动化系统中必须相反以唯一的一致的同步时钟脉冲同步所有子程序/数据，这在相应的数据量的情况下也能出错，因为数据能持续地改变。然而，因为子程序的子存储器(或者包含在其中的数据)在根据本发明的自动化系统中直接与子程序的同步时钟脉冲连接，这种错误根本不能出现。

根据本发明的自动化装置的核心在于子系统与固定的(唯一的)冗余伙伴缺失对应，其在迄今为止已知的完全的系统冗余中必须强制是这种情况。在与子程序颗粒化的冗余的组合中得出新的可行方案，因为每个单独子系统(包括所属的子存储器)都能够在其它的子系统上找到其冗余的对应体。

借助于根据本发明的自动化系统能够实现同步伙伴关系的组合，这迄今为止是不能实现的。因此，子系统例如能够具有x86架构，同时伙伴子系统具有ARM架构。在此不重要的是，一个或两个子系统在可能的情况下明显快于其它的子系统。因此，例如能够实现如下的架构，在其中非常有能力的子系统是多个较弱的子系统的同步伙伴。

只要保障两个版本下的子程序的运行，两个同步伙伴的软件或固件的版本就能够是不同的。

各个子程序不必在确定的周期中运行，而是也能够基于事件地触发，例如通过变量由于其它的子程序而改变。在此，子程序的实施环境(运行时环境)存在如下的信息：哪个子存储器或者哪个数据属于事件触发的子程序。因此，这些数据或者子存储器能够在所属的子程序开始之前相应地在两个子程序之间同步。如果对此应用单独的触发变量，那么也能够保障所有其它的变量的一致性，保障方式为该触发变量总是由其它的子程序作为最后的变量写入。附加地能够显著减少事件的数量，因为不必针对每个单独的变量改变都生成触发器，而是仅针对该改变。该观点基于标准IEC-61499的机制。

子系统不必强制布置在各个技术装置中。一个或多个技术系统反而也能够是基于云的。这表示，这个或多个子系统在具有基于线上的存储器和服务器服务的计算器网络中实现，其通常也被称为云(Wolke)或云平台。在云中存储的数据是线上访问的，从而使得自动化系统的其它子系统经由互联网访问这个或多个基于云的子系统。

在本发明的一个有利的改进方案中，在由计算机实施的容器中各自包含子程序和配属于子程序的子存储器。如果所采用的运行时环境支持各个应用到容器中的封装，那么也能够封装冗余的子程序，因为数据或者子程序的所对应的子存储器也在应用容器时在中央存储并且管理。容器的应用简化了子程序、子存储器或者数据的明确的对应，因为容器引入了包围两者的限定的边界。

在本发明的一个优选的改进方案中，第一子系统和第二子系统借助于显式同步连接互连，而第一子系统和第三子系统借助于隐式同步连接互连。在此，“显式同步连接”被理解为仅用于两个子系统之间的同步机制的数据传输的数据连接。因为在此不必展开更大的网络而是仅点对点连接，所以在此数据主要在网络的最下层以及尽可能最快的层上传输(OSI层模型的第2层)。“隐式同步连接”被理解为不仅用于两个子系统之间的同步机制的数据传输。在此的优点为，系统结构能够更简单地设计。通过应用各种同步机制能够进一步加强从各个子系统的变量、子程序颗粒化的对应得出的优点，因为根据各个子程序的要求能够在各种同步机制之间进行选择。该选择不必是静态的，而是能够例如在各个子系统的(短时间的)能力限制中动态地选择。

可替换或附加地，第一、第二和第三子系统能够借助于多重显式同步连接互连。在此，多重显式同步连接代表显式同步连接的设计的扩展。显式表示，同步连接仅在参与的子系统之间存在(并且不到技术设备的另外的构件)。多重表示，多于两个子系统相互明确地连接。优选地，多重显式同步连接包括网络交换机，其接管各个子系统之间的数据传输的配合。在此，数据传输基于以太网协议。该改进方案能够实现以各个子程序/子存储器在各个子系统之间的以同步为目的的高效的数据交换。在此能够参考证明有效的标准技术。

在自动化系统的一个优选的改进方案的范畴中，流程程序还具有至少一个第三子程序。相应地，数据存储器还具有至少一个第三子存储器。在此，自动化系统设计用于，使第三子程序和第三子存储器在第二子系统与第三子系统之间同步。通过同步伙伴在子程序颗粒化的平面(programmgranularer Ebene)上的可变的对应能够非常准确地满足各个子程序/子存储器的特别的同步要求。

非常特别优选的是，各个子系统设计为，根据质量标准动态地确定用于将子程序和所属的子存储器同步的相应的同步伙伴。特别地，到其它的子系统的连接能够在性能和延迟方面不同地设计并且变化。子系统能够借助于质量标准自动地确定：其它的子系统中的哪个当前对于确定的同步任务是最合适的。尤其在子系统有故障之后，剩余的仍能运行的子系统能够快速高效地寻找其它的同步伙伴，从而能够显著减少非冗余运行的时间。

此外，该目的通过根据本发明的方法实现。在用于运行冗余设计的、具有第一子系统、第二子系统和第三子系统的自动化系统的方法中，在自动化系统的子系统中各自实施流程程序，流程程序能在运行时环境中执行以履行自动化任务。在此，在自动化系统的子系统中各自实施数据存储器。

流程程序具有至少一个第一子程序和第二子程序，其中，数据存储器各自具有至少一个第一子存储器和第二子存储器。

第一子程序和第一子存储器利用第一同步时钟脉冲在第一子系统与第二子系统之间同步，并且第二子程序和第二子存储器利用第二同步时钟脉冲在第一子系统与第三子系统之间同步，其中，第一同步时钟脉冲和第二同步时钟脉冲彼此不同。

优选地，也在该方法的范畴中(类似于自动化系统)在由计算机实施的容器中各自包含子程序和配属于子程序的子存储器。

在该方法的一个优选的改进方案中，第一子系统和第二子系统借助于显式同步连接互连，并且第二子系统和第三子系统借助于隐式同步连接互连。

特别优选的是，第一系统、第二系统和第三系统借助于多重显式同步连接互连。

优选的是，多重显式同步连接包括至少一个网络交换机并且基于以太网协议。

在根据本发明的方法的一个有利的改进方案中，流程程序还具有至少一个第三子程序，并且数据存储器还具有至少一个第三子存储器，其中，自动化系统使第三子程序和第三存储器在第二子系统与第三子系统之间同步。

在此，各个子系统能够设计为，根据质量标准动态地确定用于将子程序和所属的子存储器同步的相应的同步伙伴。

附图说明

结合下述联系附图详细阐述的实施例的说明，本发明的上述特性、特征和优点以及实现的方式和方法变得更明白易懂。附图示出：

图1示出第一冗余的自动化系统；并且

图2示出第二冗余的自动化系统。

具体实施方式

图1示出了冗余设计的自动化系统1。自动化系统1例如能够在过程技术的设备中使用并且具有第一子系统2、第二子系统3和第三子系统4。第一子系统2具有第一网络接口5，第二子系统3具有第二网络接口6，并且第三子系统4具有第三网络接口7，经由接口能够使子系统2、3、4与外部装置(未示出)通信。在此，取决于相应的实施，冗余的自动化系统1能够向外作为仅唯一的网络参与者或作为三个分开的网络参与者存在。

此外，第一子系统2具有第一总线接口8，第二子系统3具有第二总线接口9，并且第三子系统4具有第三总线接口10。总线能够是Profinet现场总线。在总线接口8、9、10上能够连接有外围设备组件、如传感器或执行器，以便能够发送或接收相应的数据。通常外围设备组件并联到总线接口8、9、10上(如所示那样)，因此在子系统2、3、4之一有故障时，继续运行的子系统2、3、4得到所有必要的数据。然而，外围设备组件也能够部分地仅连接到三个子系统2、3、4中的一个或两个上，因为其例如仅对于该子系统2、3、4是重要的，其例如是该子系统2、3、4的电柜中的温度传感器。

此外，第一子系统2具有第一同步接口11，并且第二子系统3具有第二同步接口12。两个同步接口11、12仅用于两个子系统2、3的显式同步的范畴中的数据传输并且借助于相应的连接13互连。因此涉及纯点对点连接，在其上的数据主要在最下层以及尽可能最快的层上传输(即OSI层模型的第2层)。第三子系统4甚至具有第三同步接口14。然而，其在当前的实施例中与两个另外的同步接口11、12中较小者连接，然而本发明绝不局限于此。

在第一子系统2的运行时环境15中实施三个子程序16a、16b、16c。在此，各个子程序能够处理各种自动化任务，例如调节或监控经由总线接口8与第一子系统2连接的传感器和/或执行器。类似于此，在第二子系统3的运行时环境17中实施三个子程序18a、18b、18c，并且在第三子系统4的运行时环境19中实施三个子程序20a、20b、20c。

在第一子系统2中还实施存储器，其包括三个子存储器21a、21b、21c。子存储器21a、21b、21c中的每一个配属于子程序16a、16b、16c之一。在子存储器21a、21b、21c中存在数据，数据分别来自经由总线接口8连接到第一子系统2的外围设备组件或所配属的子程序16a、16b、16c。类似于此，第二子系统3具有三个子存储器22a、22b、22c，并且第三子系统4具有三个类似地设计的子存储器23a、23b、23c。

在运行时环境15、17、19中存储各个子程序16a、16b、16c、18a、18b、18c、20a、20b、20c到相应的子存储器21a、21b、21c、22a、22b、22c、23a、23b、23c的对应。接下来的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c与所属的子存储器21a、21b、21c、22a、22b、22c、23a、23b、23c一起在接下来描述的子系统2、3、4之间同步(出于简明原因在接下来仅列举子程序)。

第一子系统2的第一子程序16a与第二子系统3的第一子程序18a同步(即两个子程序16a、18a是一致的)。对于该组合限定第一逻辑同步通道24。第一逻辑同步通道24的同步时钟脉冲例如为10毫秒。

第一子系统2的第二子程序16b与第三子系统4的第二子程序20b同步(即两个子程序16b、20b是一致的)。对于该组合限定第二逻辑同步通道25。第二逻辑同步通道25的同步时钟脉冲例如为50毫秒。

第二子系统3的第三子程序18c与第三子系统4的第三子程序20c同步(即两个子程序18c、20c是一致的)。对于该组合限定第三逻辑同步通道26。第三同步通道26的同步时钟脉冲例如为30毫秒。

第一子系统2的第三子程序16c、第二子系统3的第二子程序18b和第三子系统4的第一子程序20a不同步，而是作为单独的应用各自仅由运行时环境15、17、19处理。然而，同步能够通过可变化的自动化系统1随时接受。

在第一子系统2和第二子系统3借助于显式同步连接13互连的同时，在第一子系统2和第三子系统4之间以及在第二子系统3和第三子系统4之间存在经由网络接口5、6、7的隐式同步连接。通过应用阐述的自动化系统1得到新的可行方案，因为只要相应的子系统2、3、4之间的同步连接的质量足够高，每个单独子程序16a、16b、16c、18a、18b、18c、20a、20b、20c都能够在其它的子系统2、3、4上找到其冗余的对应体。为此，自动化系统1能够得出同步连接中的一个或多个质量标准并且从其中动态地确定用于同步所确定的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c的匹配的同步伙伴。

同步伙伴的对应是可自由选择的并且能够不仅在子程序16a、16b、16c、18a、18b、18c、20a、20b、20c开始时动态地进行，还特别地也能在两个同步伙伴之一有故障的情况下进行，从而能够将单独运行的时间减少到新选出的伙伴的耦联的时间。

因此同样能够实现冗余的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c到其它的子系统2、3、4上的有计划的搬迁，以便能够使其关闭以例如用于固件升级并且重新启动。对此，为处理待同步的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c的继续运行的部分的系统2、3、4执行：通过确定质量标准为所有在其上运行的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c寻找新的同步伙伴。随后能够讨论两种可能路径：

1.停止未继续运行的子系统2、3、4上的迄今为止的实例(即子程序16a、16b、16c、18a、18b、18c、20a、20b、20c的流程)，并且启动新的同步伙伴上的新(冗余)的实例。因此在此，单独运行的时间不长于耦联的时间。

2.因为实例在明确的主机与辅机作用中存在，所以首先将继续运行的子系统2、3、4上的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c声明为主机，从而确定地停止辅机。

通常，用于特殊的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c的子系统2、3、4也具有多个同步伙伴，数量不局限在两个同步伙伴上(如图1和图2所示)。三重冗余例如对于子系统2、3、4的有计划的关断也是有意义的，因为对此在涉及到的子系统2、3、4关断之前首先将双重冗余扩展为三重冗余。因此能够几乎排除子系统2、3、4的单独运行。

图2基本上示出了与图1相同的自动化系统1，因此接下来仅涉及不同之处。第一子系统2的第一同步接口11、第二子系统3的第二同步接口12和第三子系统4的第三同步接口14借助于多重显式同步连接互连。多重显式同步连接包括网络交换机27。在此的优点在于，需要大同步时钟脉冲的子程序16a、16b、16c、18a、18b、18c、20a、20b、20c也能够任意分布在子系统2、3、4上并且根据需要迁移。

多重显式同步连接基于以太网协议(可选地以铜或光纤作为物理介质)。为了在以太网连接之中标记各个子系统2、3、4，应用VLAN(虚拟局域网)标签。其在以太网标准(IEEE802.3)中作为头文件的一部分限定并且使用，以便在唯一的物理网络上运行多个虚拟网络，然而其在MAC层上相互分开。当前，将VLAN标签分派给子系统2、3、4的相应的同步接口11、12、14。在相应的子系统2、3、4的MAC地址之前，网络交换机27还评估VALN标签，以便能够在虚拟网之中无时间延迟地传递数据。因此也提供相对于硬件的完全的独立性，因为子系统2、3、4的MAC地址对于数据传输没有作用。

如果为每个子系统2、3、4都分配唯一的数字，则该数字也能转换为VLAN标签并集成到属于子程序16a、16b、16c、18a、18b、18c、20a、20b、20c的同步报文中，从而使子系统2、3、4又能在一定程度上盲发数据包。网络交换机27评估VLAN标签并且指示数据包到正确的子系统2、3、4，数据包为该子程序16a、16b、16c、18a、18b、18c、20a、20b、20c设置同步伙伴。因此，能够在故障情况下也无问题地更换实际的硬件。