用于控制自動化系統(tǒng)中的物理單元的方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及包括冗余自動化控制器以便允許高可用性和快速的響應(yīng)時(shí)間的自動化系統(tǒng)��。
【背景技術(shù)】
[0002]控制技術(shù)系統(tǒng)的關(guān)鍵部分的自動化單元需要高可用性����,因此必須提供冗余解決方案。在一個(gè)或多個(gè)自動化單元失敗的情況下�����,它們的冗余對等物將取代它們從而確保所述技術(shù)系統(tǒng)持續(xù)和安全的操作。
[0003]通常的冗余解決方案提供諸如N中取M個(gè)(M-out-of-N)冗余或者備用冗余的冗余方案����,其允許在非常短的時(shí)間甚至是零時(shí)間段內(nèi)從失敗部分切換到冗余對等部分���。
[0004]然而���,許多技術(shù)系統(tǒng)能夠容忍非常短的、控制單元的輸出可能由于故障而損壞或者沒有被更新的時(shí)間段����。此外,安全至上的系統(tǒng)可能在致動器中提供額外的錯(cuò)誤糾正邏輯�,以使得在短時(shí)間內(nèi),發(fā)送到致動器的自動化單元的輸出允許由于故障所導(dǎo)致的損壞或者未被更新����。例如,列車中控制斷路器模塊的控制器單元能夠在多個(gè)控制周期中不故障或者不傳送損壞的輸出結(jié)果�,因?yàn)槿绻贿@樣的話,損壞可能發(fā)生���。因此�����,在一些系統(tǒng)中控制單元的響應(yīng)比失敗模式輸出至將被控制的技術(shù)系統(tǒng)的各個(gè)部分更加關(guān)鍵����。這樣的模式通過控制所有的輸出和執(zhí)行表決(voting)將額外的延遲引入到控制過程中。現(xiàn)有的機(jī)制引入延遲至過程本身����。然而,上述解決方案被設(shè)計(jì)用于在正確的輸出被轉(zhuǎn)送給技術(shù)系統(tǒng)的各個(gè)部分之前����,首先證明冗余單元的輸出結(jié)果的正確性,
[0005]文檔W02009/030363 —般涉及冗余控制器和應(yīng)用����。
[0006]文檔W02007/140122公開了一種包括設(shè)備,其包括一電路��,用于比較對應(yīng)于至少兩個(gè)冗余存取的數(shù)據(jù)與輸入/輸入設(shè)備以便確定與至少兩個(gè)冗余存取中的其中一個(gè)相關(guān)的錯(cuò)誤已經(jīng)發(fā)生����。
[0007]Armoush, A.等人的“Recovery Block with Backup Voting:A New Patternwith Extended Representat1n for Safety Critical Embedded Systems,����,�,Journalof Software Engineering and Applicat1ns,Volume 2��,N0.1���,pp.232—237,December2008 (“帶有備份表決的恢復(fù)模塊:一種帶有擴(kuò)展解釋的用于安全至上嵌入系統(tǒng)的新模式”��,軟件工程和應(yīng)用雜志�,第2卷,I號�����,頁碼232-237���,2008年12月)����,也在副本(^plica)執(zhí)行之后應(yīng)用表決�����。然而在那種模式中,所有的副本繼副本執(zhí)行后執(zhí)行驗(yàn)收測試����。如果驗(yàn)收測試失敗,則接下來的副本和它的驗(yàn)收測試一起執(zhí)行����。只有當(dāng)所有的副本和驗(yàn)收測試失敗,表決才被運(yùn)用到所有的未通過驗(yàn)收測試的緩沖的結(jié)果上����。
[0008]在A.Avizienis 的文獻(xiàn)“The N-vers1n Approach to Fault-TolerantSoftware,��,�����,IEEE Transact1ns on Software Engineering, Vol.11, N0.12, pp.1491-1501���,Dec.1985 ( “對容錯(cuò)軟件的N版本方法”����,軟件工程的IEEE學(xué)報(bào)����,第11卷��,第12號�����,頁碼第1491-1501��,1985年12月)�����,公開了一種基于軟件的冗余方案。所述方案基于N個(gè)副本�����,其被并行地執(zhí)行��,被不同的團(tuán)隊(duì)獨(dú)立開發(fā)��,以便確保軟件的異質(zhì)性���。此外��,表決器接著執(zhí)行錯(cuò)誤檢測并決定正確的輸出����。然后,所述輸出被發(fā)送給致動器或者接下來的控制部分���。所述方案也能夠容易地以硬件方式被執(zhí)行�����,然后被稱作N模冗余����,最突出的例子是三模冗余(TMR)�。利用N模塊冗余,N個(gè)控制器能夠在每次執(zhí)行副本的過程中被使用�����。接下來的表決可以基于軟件或者硬件而被執(zhí)行�。
[0009]類似的冗余方案經(jīng)常被提及,例如在Armoush, A的“Design Patterns forSafety-Critical Embedded Systems”�����,RWTH Achen University, 2010 ( “安全至上的嵌入式系統(tǒng)的設(shè)計(jì)模式”,亞琛工業(yè)大學(xué)�,2010年)中。
[0010]文檔US 2006/080678描述了目的是獲得對攻擊容忍的應(yīng)用的冗余和多數(shù)表決�。
[0011]文檔US 2004/199817涉及在多個(gè)計(jì)算機(jī)上運(yùn)行多個(gè)程序并且應(yīng)用表決進(jìn)程。
[0012]目前��,本發(fā)明的一個(gè)目的是提供一種用于控制由于冗余而具備高可用性和允許非常短的響應(yīng)時(shí)間的技術(shù)系統(tǒng)的改善的方法和設(shè)備�����。這是一種說法����,另外一種說法是沒有額外的延遲被引入到進(jìn)程的關(guān)鍵部分中并且保持高可用性。
【發(fā)明內(nèi)容】
[0013]上述目的可以通過如權(quán)利要求1所述的控制物理單元的方法所實(shí)現(xiàn)�,和通過根據(jù)進(jìn)一步的獨(dú)立權(quán)利要求所述的設(shè)備�、自動化系統(tǒng),計(jì)算機(jī)和計(jì)算機(jī)程序產(chǎn)品所實(shí)現(xiàn)���。
[0014]本發(fā)明進(jìn)一步的實(shí)施例在從屬權(quán)利要求中被揭示����。
[0015]根據(jù)第一個(gè)方面�,提供一種控制物理單元的方法���,其包括下述步驟:
[0016]-循環(huán)生成多個(gè)控制輸出,其中所述多個(gè)控制輸出以冗余的方式被提供���;
[0017]-將所述控制輸出中的選擇的一個(gè)控制輸出施加到所述物理單元�����;
[0018]-檢驗(yàn)至少所選擇的控制輸出是否是正確的�����,和
[0019]-將控制單元中的其輸出已被檢驗(yàn)為正確的一個(gè)控制單元選擇為在后續(xù)循環(huán)中將其控制輸出施加到所述物理單元的控制單元���,
[0020]其中將所述控制輸出中的選擇的一個(gè)控制輸出施加到所述物理單元的步驟是在檢驗(yàn)步驟之前或者在檢驗(yàn)步驟期間執(zhí)行的。
[0021]典型地���,提供高可用性的冗余方案將延遲引入至控制應(yīng)用中��。例如����,高可用性以及錯(cuò)誤檢測能力的獲得,不是通過直接施加被所述物理單元所使用的控制單元的輸出���。相反��,控制單元的所有輸出被送至表決器單元(voter unit)��。然后���,所述表決器單元應(yīng)用一特定表決算法,例如�,多數(shù)、大多數(shù)或者似然表決�,并且在所有輸出中選擇正確的輸出。因此��,傳送了錯(cuò)誤輸出的控制單元能夠被檢測出來���,并且錯(cuò)誤恢復(fù)可以從那些部分被發(fā)起�。并且����,所述控制應(yīng)用不傳送損壞的輸出���,甚至在控制單元失敗的情況下也不傳送��。
[0022]這種冗余方案的缺點(diǎn)是收集控制單元的輸出并且執(zhí)行表決算法將額外的延遲引入到進(jìn)程控制中�,即,相較于非冗余系統(tǒng)���,輸出被延遲�����。在所有原因當(dāng)中�����,所述延遲的引起主要是由于冗余控制單元之間的時(shí)間同步����、收集控制單元的所有輸出的通信延遲以及用于執(zhí)行實(shí)際表決的執(zhí)行時(shí)間���。
[0023]前述方法的一個(gè)基本想法是提供一種控制方案��,其中從多個(gè)控制單元中選擇的控制單元的輸出在正確性檢測執(zhí)行前被轉(zhuǎn)送給將要被控制的物理單元����。假如所述選擇的控制單元生成一個(gè)無效的輸出,那么所述控制單元將被另一個(gè)控制單元所取代����,例如,在下一個(gè)控制循環(huán)開始前���。冗余是由多個(gè)實(shí)質(zhì)上相同的控制單元來實(shí)現(xiàn)的�,以便確保整個(gè)自動化系統(tǒng)的高可用性����。
[0024]轉(zhuǎn)送一個(gè)控制單元的輸出到所述物理單元而不事先檢驗(yàn)各個(gè)輸出的正確性,使得控制單元的輸出到物理單元之間的傳輸時(shí)延被最小化�,以便可以建立快速響應(yīng)自動化系統(tǒng)。
[0025]所述方案可以被稱作下游表決(downstream voting)���,并且可以在性能是一個(gè)重要的方面和冗余將不會將額外的延遲引入到通常的控制進(jìn)程中時(shí)被應(yīng)用�。這種冗余系統(tǒng)的主要特點(diǎn)是它將最小的延遲引入到控制應(yīng)用中����,但是仍然提供錯(cuò)誤檢測以及高可用性給所述應(yīng)用。
[0026]下游表決的好處是提供一種明確定義的切換進(jìn)程�,S卩,甚至在主要控制單元完全失敗的情形下也能保證一個(gè)可操作的控制單元接管接下來的執(zhí)行周期���。而且���,在主要控制單元失敗的情況下在當(dāng)前的控制周期中沒有必要執(zhí)行復(fù)雜的切換。
[0027]這樣的方法提供一種新的冗余方案�����,其非常適合那些幾乎不能容忍損壞的輸出的應(yīng)用�。此外,所提出的控制方案顯示了在失敗情形下僅有低的復(fù)雜性�。因此,失敗情形下采取的動作也容易被理解和預(yù)知����。這極大地簡化了調(diào)試故障以及維護(hù)。在安全至關(guān)重要的環(huán)境下����,前面的控制方案能夠提供高可用性,而不會將額外的延遲引入到控制進(jìn)程中����,并且由此避免了安全關(guān)閉(safety shutdown)。
[0028]進(jìn)一步地�����,檢驗(yàn)步驟可以通過多數(shù)、大多數(shù)或者似然表決執(zhí)行�����。
[0029]可以提供如下方案:在檢驗(yàn)步驟中檢驗(yàn)?zāi)膫€(gè)控制輸出是正確的���。
[0030]進(jìn)一步地����,所述選擇步驟可以使用以下方案被執(zhí)行:
[0031]-優(yōu)先級方案
[0032]-隨機(jī)方案�����;或者
[0033]-所選擇的控制輸出的變化量被最小化的方案�����。
[0034]如果控制輸出相繼生成�����,則在前面的周期中被檢驗(yàn)為正確的并且在一個(gè)周期內(nèi)被首先生成的控制輸出可以被選擇��。
[0035]可以提供如下方案:如果預(yù)定的缺省值在一個(gè)或者多個(gè)控制輸出中被識別出,則相應(yīng)的控制輸出被檢測為錯(cuò)誤的�����。
[0036]根據(jù)進(jìn)一步的方面����,提供一種從多個(gè)控制單元中選擇一個(gè)控制單元以用于控制物理系統(tǒng)的設(shè)備���,其中多個(gè)冗余的控制單元循環(huán)地提供控制輸出����,包括:
[0037]表決單元�,其被配置為:
[0038]-允許先前被選擇的控制單元將它的控制輸出施加到物理系統(tǒng);
[0039]-檢驗(yàn)至少先前選擇的控制單元是否是正確的���;
[0040]-選擇被檢驗(yàn)為正確的控制輸出中的一個(gè)�����;
[0041]-提供所選擇的控制單元�,以便在后續(xù)周期中將其輸出施加到物理單元�,
[0042]其中所述表決單元進(jìn)一步被配置為�,在檢驗(yàn)先前選擇的控制輸出是否正確之前或者期間����,允許先前選擇的控制輸出被施加到物理系統(tǒng)。
[0043]根據(jù)進(jìn)一步的方面�,將提供一種自動化系統(tǒng),包括:
[0044]-用于生成冗余控制輸出的多個(gè)控制單元�����;
[0045]-前述設(shè)備��;以及
[0046]-—種物理系統(tǒng)�。
[0047]進(jìn)一步地,提供一種多路復(fù)用器�,其用于選擇控制單元的控制輸出中的將被施加到物理系統(tǒng)的一個(gè)控制輸出。