本申請涉及一種用于運(yùn)行冗余的自動化系統(tǒng)(100)的方法以用于控制技術(shù)過程，其中，為第一故障安全子系統(tǒng)(1)冗余地運(yùn)行第二故障安全子系統(tǒng)(2)，應(yīng)用有故障的第二故障安全子系統(tǒng)(2)，在第二子系統(tǒng)(2)中首先緩存同步數(shù)據(jù)(SD)，并且對于識別到無故障的情況來說，第一故障安全子系統(tǒng)(1)發(fā)送無故障消息(FFOK)給第二故障安全子系統(tǒng)(2)，緊接著第二故障安全子系統(tǒng)簽收具有無故障憑證(FFQ)的無故障消息(FFOK)并且首先處理緩存的同步數(shù)據(jù)(SD)。

技術(shù)領(lǐng)域

本發(fā)明涉及一種用于運(yùn)行冗余的自動化系統(tǒng)以用于控制技術(shù)過程的方法，其中，第一故障安全子系統(tǒng)利用劃分為第一程序部段的第一控制程序運(yùn)行，其中，技術(shù)過程的控制通過第一故障安全子系統(tǒng)實(shí)施，并且第二故障安全子系統(tǒng)利用劃分為第二程序部段的第二控制程序冗余地運(yùn)行，其中，第一故障安全子系統(tǒng)利用其第一控制程序生成并且評估事件，根據(jù)發(fā)生的事件影響第一控制程序中的第一程序部段的實(shí)施順序，并且在生成的或出現(xiàn)的事件的基礎(chǔ)上每程序部段地將設(shè)置有用于反映相應(yīng)的程序部段的索引的同步數(shù)據(jù)提供給第二故障安全子系統(tǒng)，并且為輸出構(gòu)件提供原始數(shù)據(jù)，其中，首先保留原始數(shù)據(jù)并且還不寫給輸出構(gòu)件，其中，第一子系統(tǒng)利用相應(yīng)的第一程序部段的處理在有關(guān)第二子系統(tǒng)的相應(yīng)的第二程序部段的處理的索引方面領(lǐng)先第二子系統(tǒng)。

背景技術(shù)

在自動化領(lǐng)域中要求越來越高可用性的解決方案(H系統(tǒng))，該解決方案適用于將技術(shù)設(shè)備的可能出現(xiàn)的停工時間減小到最小。在自動化領(lǐng)域中采用的H系統(tǒng)的特征在于，兩個或更多子系統(tǒng)以自動化設(shè)備或計(jì)算系統(tǒng)的形式經(jīng)由同步連接相互耦連。原則上，兩個子系統(tǒng)能夠可讀和/或可寫地訪問與該H系統(tǒng)連接的外圍設(shè)備單元。兩個子系統(tǒng)中的一個在有關(guān)連接到系統(tǒng)上的外圍設(shè)備方面占主導(dǎo)。這意味著，輸出給外圍設(shè)備單元或者用于這些外圍設(shè)備單元的輸出信息僅由兩個子系統(tǒng)中的一個執(zhí)行，即由該子系統(tǒng)作為主機(jī)工作或者接管主機(jī)功能。

除了自動化系統(tǒng)的可靠性之外，自動化系統(tǒng)必須在自動化技術(shù)中常常還附加地實(shí)現(xiàn)安全關(guān)鍵功能。這樣的自動化系統(tǒng)在接下來被稱為HF系統(tǒng)。兩個相互冗余工作的子系統(tǒng)(HF-CPU1和HF-CPU2)現(xiàn)在附加地能夠處理針對安全的控制程序。附加地，控制程序經(jīng)由針對安全的協(xié)議與同樣針對安全的輸入輸出模塊(F-IO)通信。

發(fā)明內(nèi)容

在本發(fā)明的意義上，同步數(shù)據(jù)用于將在第一子系統(tǒng)上出現(xiàn)的事件與第二子系統(tǒng)同步，因此，對于第一子系統(tǒng)故障的情況來說，待控制的技術(shù)過程的過程能夠立刻由第二子系統(tǒng)接管。如果不知道發(fā)生在第一子系統(tǒng)上的事件，則不能夠遵守在第二子系統(tǒng)上的程序部段的實(shí)施順序。僅在第二子系統(tǒng)知道第一系統(tǒng)上的事件，第二子系統(tǒng)才能夠執(zhí)行需要的程序流程，并且用于控制技術(shù)過程的方法才不會被干擾。

此外，在本發(fā)明的意義上，針對安全的HF-CPU’或者相應(yīng)的故障安全子系統(tǒng)能夠在處理其控制程序時診斷故障，并且接著將設(shè)備或相應(yīng)的子系統(tǒng)置于到安全的狀態(tài)中。

本發(fā)明的目的在于，在實(shí)現(xiàn)冗余工作的自動化系統(tǒng)時，在兩個故障安全子系統(tǒng)(兩個HF-CPU’s)的基礎(chǔ)上出現(xiàn)下述問題。第一故障安全子系統(tǒng)作為在先的HF-CPU工作，并且在其本地的處理中識別(例如通過硬件故障導(dǎo)致的)故障。利用該故障時別使其自己停用。然而，通過已經(jīng)進(jìn)行的從第一故障安全子系統(tǒng)到第二故障安全子系統(tǒng)的同步數(shù)據(jù)的傳輸，能夠出現(xiàn)另外的故障。或者換句話說，在先的HF-CPU提供給在后的HF-CPU錯誤的同步數(shù)據(jù)。對此，在后的HF-CPU或者第二故障安全子系統(tǒng)現(xiàn)在在短時間之后同樣在其處理中發(fā)現(xiàn)問題并且停用。現(xiàn)在的問題在于，兩個現(xiàn)在停用的子系統(tǒng)(兩個HF-CPU’s)導(dǎo)致失去設(shè)施控制。然而，在后的HF-CPU的故障反應(yīng)僅通過有錯的數(shù)據(jù)的同步產(chǎn)生。然而，在后的HF-CPU能夠無問題地繼續(xù)過程的控制。

相應(yīng)地，本發(fā)明的目的在于，為用于運(yùn)行具有第一故障安全子系統(tǒng)和第二故障安全子系統(tǒng)的冗余的自動化系統(tǒng)的方法保證在第一故障安全子系統(tǒng)故障時不為第二故障安全子系統(tǒng)提供有錯誤的同步數(shù)據(jù)。