[发明专利]用于控制自动化系统中的物理单元的方法和设备

说明书

技术领域

本发明涉及包括冗余自动化控制器以便允许高可用性和快速的响应时间的自动化系统。

背景技术

控制技术系统的关键部分的自动化单元需要高可用性，因此必须提供冗余解决方案。在一个或多个自动化单元失败的情况下，它们的冗余对等物将取代它们从而确保所述技术系统持续和安全的操作。

通常的冗余解决方案提供诸如N中取M个(M-out-of-N)冗余或者备用冗余的冗余方案，其允许在非常短的时间甚至是零时间段内从失败部分切换到冗余对等部分。

然而，许多技术系统能够容忍非常短的、控制单元的输出可能由于故障而损坏或者没有被更新的时间段。此外，安全至上的系统可能在致动器中提供额外的错误纠正逻辑，以使得在短时间内，发送到致动器的自动化单元的输出允许由于故障所导致的损坏或者未被更新。例如，列车中控制断路器模块的控制器单元能够在多个控制周期中不故障或者不传送损坏的输出结果，因为如果不这样的话，损坏可能发生。因此，在一些系统中控制单元的响应比失败模式输出至将被控制的技术系统的各个部分更加关键。这样的模式通过控制所有的输出和执行表决(voting)将额外的延迟引入到控制过程中。现有的机制引入延迟至过程本身。然而，上述解决方案被设计用于在正确的输出被转送给技术系统的各个部分之前，首先证明冗余单元的输出结果的正确性，

文档WO2009/030363一般涉及冗余控制器和应用。

文档WO2007/140122公开了一种包括设备，其包括一电路，用于比较对应于至少两个冗余存取的数据与输入/输入设备以便确定与至少两个冗余存取中的其中一个相关的错误已经发生。

Armoush,A.等人的“Recovery Block with Backup Voting:A New Pattern with Extended Representation for Safety Critical Embedded Systems”,Journal of Software Engineering and Applications,Volume 2,No.1,pp.232-237,December 2008(“带有备份表决的恢复模块：一种带有扩展解释的用于安全至上嵌入系统的新模式”，软件工程和应用杂志，第2卷，1号，页码232-237，2008年12月)，也在副本(replica)执行之后应用表决。然而在那种模式中，所有的副本继副本执行后执行验收测试。如果验收测试失败，则接下来的副本和它的验收测试一起执行。只有当所有的副本和验收测试失败，表决才被运用到所有的未通过验收测试的缓冲的结果上。

在A.Avizienis的文献“The N-version Approach to Fault-Tolerant Software”，IEEE Transactions on Software Engineering,Vol.11,No.12,pp.1491-1501,Dec.1985(“对容错软件的N版本方法”，软件工程的IEEE学报，第11卷，第12号，页码第1491-1501，1985年12月)，公开了一种基于软件的冗余方案。所述方案基于N个副本，其被并行地执行，被不同的团队独立开发，以便确保软件的异质性。此外，表决器接着执行错误检测并决定正确的输出。然后，所述输出被发送给致动器或者接下来的控制部分。所述方案也能够容易地以硬件方式被执行，然后被称作N模冗余，最突出的例子是三模冗余(TMR)。利用N模块冗余，N个控制器能够在每次执行副本的过程中被使用。接下来的表决可以基于软件或者硬件而被执行。

类似的冗余方案经常被提及，例如在Armoush，A的“Design Patterns for Safety-Critical Embedded Systems”,RWTH Achen University,2010(“安全至上的嵌入式系统的设计模式”，亚琛工业大学，2010年)中。

文档US 2006/080678描述了目的是获得对攻击容忍的应用的冗余和多数表决。

文档US 2004/199817涉及在多个计算机上运行多个程序并且应用表决进程。

目前，本发明的一个目的是提供一种用于控制由于冗余而具备高可用性和允许非常短的响应时间的技术系统的改善的方法和设备。这是一种说法，另外一种说法是没有额外的延迟被引入到进程的关键部分中并且保持高可用性。

发明内容