本发明涉及一种特别简单并且同时防止故障的控制系统,所述控制系统包括:为数据交换而提供有至少一个外围设备(10a、10b、10c、10d、10e)的控制计算机(1),和与该控制计算机(1)通过通信通道(3)连接并且设计为用于承担该控制计算机(1)的功能性的至少一部分的至少一个另外的控制计算机(2),其中,该控制计算机(1)设计为在其部分故障的情况中将由另外的控制计算机(2)通过通信通道(3)接收的数据传递到外围设备(10a、10b、10c、10d、10e),和/或将由外围设备(10a、10b、10c、10d、10e)接收的数据通过通信通道(3)传递到另外的控制计算机(2)。本发明进一步涉及一种控制计算机(1)以及一种用于运行控制系统的方法。
1.一种控制系统,所述控制系统包括:用于与至少一个外围设备(10a,10b,10c,10d,
10e)交换数据的控制计算机(1),和与该控制计算机(1)通过通信通道(3)连接并且设计为用于承担该控制计算机(1)的功能性的至少一部分的至少一个另外的控制计算机(2),其特征在于,所述控制计算机(1)设计为在其部分故障的情况中将由另外的控制计算机(2)通过通信通道(3)接收的数据传递到外围设备(10a,10b,10c,10d,10e),和/或将由外围设备(10a,10b,10c,10d,10e)接收的数据通过通信通道(3)传递到另外的控制计算机(2)。
-至少一个另外的外围设备(11a,11b,11c,11d,11e)与另外的控制计算机(2)相关联,和-另外的控制计算机(2)被用于与另外的外围设备(11a,11b,11c,11d,11e)交换数据。
3.根据权利要求1所述的控制系统,其特征在于,至少所述控制计算机(1)是多通道的安全的计算机。
4.根据权利要求1至3中一项所述的控制系统,其特征在于,所述控制系统设计为通过所述控制计算机(1)从另外的控制计算机(2)向外围设备(10a,10b,10c,10d,10e)传递的数据和/或通过该控制计算机(1)从外围设备(10a,10b,10c,10d,10e)向另外的控制计算机(2)传递的数据被防损坏地安全地传输。
5.根据权利要求1至3中一项所述的控制系统,其特征在于,
-所述控制计算机(1)设计为承担另外的控制计算机(2)的功能性的至少部分,和-另外的控制计算机(2)设计为在其部分故障时将由该控制计算机(1)通过通信通道(3)接收的数据传递到另外的外围设备(11a,11b,11c,11d,11e),和/或将由另外的外围设备(11a,11b,11c,11d,11e)接收的数据通过通信通道(3)传递到该控制计算机(1)。
6.根据权利要求1至3中一项所述的控制系统,其特征在于,所述外围设备(10a,10b,
7.根据权利要求1至3中一项所述的控制系统,其特征在于,所述控制系统是铁路安全技术系统或自动化技术系统的组成部分。
8.一种用于控制系统的控制计算机(1),所述控制系统包括:用于与至少一个外围设备(10a,10b,10c,10d,10e)交换数据的控制计算机(1),和与该控制计算机(1)通过通信通道(3)连接并且设计为用于承担该控制计算机(1)的功能性的至少部分的至少一个另外的控制计算机(2),其特征在于,所述控制计算机(1)设计为在其部分故障的情况中将由另外的控制计算机(2)通过通信通道(3)接收的数据传递到外围设备(10a,10b,10c,10d,10e),和/或将由外围设备(10a,10b,10c,10d,10e)接收的数据通过通信通道(3)传递到另外的控制计算机(2)。
9.根据权利要求8所述的控制计算机,其特征在于,所述控制计算机是多通道的安全的计算机。
10.根据权利要求8或9所述的控制计算机,其特征在于,所述控制计算机设计为承担另外的控制计算机(2)的功能性。
11.一种用于运行控制系统的方法,所述控制系统包括:用于与至少一个外围设备(10a,10b,10c,10d,10e)交换数据的控制计算机(1),和与该控制计算机(1)通过通信通道(3)连接并且设计为用于承担该控制计算机的功能性的至少部分的至少一个另外的控制计算机(2),其特征在于,所述控制计算机(1)在其部分故障的情况中将由另外的控制计算机(2)通过通信通道(3)接收的数据传递到外围设备(10a,10b,10c,10d,10e),和/或将由外围设备(10a,10b,10c,10d,10e)接收的数据通过通信通道(3)传递到另外的控制计算机(2)。
12.根据权利要求11所述的方法,其特征在于,通过所述控制计算机(1)从另外的控制计算机(2)向外围设备(10a,10b,10c,10d,10e)传递的数据和/或通过所述控制计算机(1)从外围设备(10a,10b,10c,10d,10e)向另外的控制计算机(2)传递的数据,被防损坏地安全地传输。
控制系统、控制计算机以及用于运行控制系统的方法
技术领域
[0001] 本发明涉及一种控制系统,所述控制系统包括:为数据交换而提供有至少一个外围设备的控制计算机,和与该控制计算机通过通信通道连接并设计为用于承担控制计算机的功能性的至少部分的至少一个另外的控制计算机。
[0002] 背景技术
[0003] 这样的控制系统例如从已公开的国际专利申请WO 02/01305A1中已知。该专利申请描述了冗余的控制系统,其中,外围设备既连接在第一控制计算机又连接在第二控制计算机上。两个控制计算机同步地执行相同的控制程序,其中为将二者同步提供了具有冗余耦合形式的通信通道。只要在控制系统方面识别到两个控制计算机之一的故障时,则进行向另一个控制计算机的切换,该另一个控制计算机然后直接承担与外围设备的数据交换。 [0004] 发明内容
[0005] 此外,德国专利申请文件DE19720618A1中公开了一种针对所需要的存储容量特别有利的控制系统,该控制系统具有三个控制计算机。
[0006] 专利文件US5583769A公开了另一个具有多个控制计算机的控制系统。 [0007] 本发明要解决的技术问题在于,给出特别简单并且同时防止故障的控制系统。 [0008] 根据本发明,该技术问题通过前述类型的控制系统解决,其中,控制计算机设计为在其部分故障的情况中将由另外的控制计算机通过通信通道接收的数据传递到外围设备,和/或将由外围设备接收的数据通过通信通道传递到另外的控制计算机。
[0009] 根据本发明的控制系统提供了可省略控制计算机的冗余设置的优点。这通过如下方式实现,即将控制计算机设计为使得它即使在其部分故障的 情况中也可用于传递数据。这实现了由另外的控制计算机承担故障的控制计算机的功能性,即处理功能,而不为此要求外围设备的直接连接或外围设备在另外的控制计算机上的连接。因此省略了外围设备或多个外围设备在多个控制计算机上的相应连接的必要性。
[0010] 冗余控制系统例如已知为所谓的2x2v2系统,其中可使用两个独立的安全的2v2系统,即两个分别分开的二通道系统。与之相比,根据本发明的控制系统需要更少的部件,由此节约了费用和成本。但同时其中控制系统的防止故障性保持不受影响。 [0011] 优选地,根据本发明的控制系统改造为使得另外的控制计算机与至少一个外围设备相关联,并且另外的控制计算机为数据交换提供有另外的外围设备。这提供的优点是另外的计算机自身可用于与至少一个另外的外围设备进行数据交换并且可用于控制所述至少一个另外的外围设备。这意味着,在控制计算机部分故障的情况中,另外的控制计算机除其实际的任务之外还承担了所述控制计算机的功能性或至少部分该功能性。其优点是为与该至少一个另外的外围设备交换另外的数据,不要求附加的控制计算机。 [0012] 原则上,控制计算机可以是任意构造并且任意结构的计算机。这例如包括任意的硬件配置和操作系统。在根据本发明的控制系统的另外的特别优选的实施形式中,控制计算机是多通道的安全的计算机。这具有如下优点,即例如在2v2计算机的一个通道故障时,虽然无故障的通道单独不再能保证安全的处理,但此通道此外仍可用于传递数据,即数据路由。连接在控制计算机上的外围设备或多个外围设备的该实际控制在此通过无故障的优选地同样多通道安全的另外的控制计算机进行。
[0013] 在优选的实施形式中,根据本发明的控制系统构造为使其设计为通过控制计算机从另外的控制计算机向外围设备和/或通过控制计算机从外围设备向另外的控制计算机进行防损坏的安全数据传输。这是有利的,因为对于安全相关的应用,以此实现了对于所传输的数据的完整性的检查。例如,如果控制计算机的一个通道发生故障,则不可排除,现在唯一地用于传递或通行数据的剩余的无故障通道因另外的未发现的故障而使经其传递的数据可能受损。使用前述的根据本发明的控制系统的优选实施形式,现在实现了在外围设备方面和/或另外的控制计算机方面识别相应的损坏,并且可采取相应的措施,例如具有如下形式的措施:丢弃所传输的数据,重复数据传输,和/或输出错误信号。损坏的识别可例如通过分析所传输的数据的(例如按照Hash值形式的)签名进行。
[0014] 优选地,根据本发明的控制系统也可以构造为使得控制计算机设计为 承担另外的控制计算机的功能性的至少一部分,并且使得另外的控制计算机设计为在其部分故障时将由控制计算机通过通信通道接收的数据传递到另外的外围设备,和/或将由另外的外围设备接收的数据通过通信通道传递到控制计算机。这具有如下的优点,即在另外的控制计算机部分故障的情况中通过控制计算机实现数据传输和控制。这意味着,控制计算机以及另外的控制计算机可相互承担另一个控制计算机的功能性或处理功能。替代地,为此例如也可构思使得不仅控制计算机而并且附加的控制计算机设计为承担另外的控制计算机的功能性。这意味着,在带有联网的控制计算机的控制系统中,在一个控制计算机发生故障时,其功能基本上完全地或也部分地可由剩余控制计算机之一承担。在此,特别地也可构思的是多个控制计算机共同承担故障的控制计算机的处理功能。在这种情况中,要求将故障的控制计算机设计为向多个控制计算机传递数据或从多个控制计算机向所述故障的控制计算机传递数据。
[0015] 在根据本发明的控制系统的另一种特别优选的实施形式中,外围设备是传感器或执行器。这是有利的,因为特别地在控制这种外围设备时,防止故障性具有重要意义。此外,通常希望传感器或执行器仅需连接在控制计算机上而此外不因冗余性原因附加地连接在另外的控制计算机上。
[0016] 根据本发明的控制系统可基本上作为任意上级系统的组成部分。在特别地优选的扩展中,控制系统是铁路安全技术系统或自动化技术系统的组成部分。这是有利的,因为相应的系统对于防止故障性具有特别高的要求,并且通常将多个外围设备连接在控制计算机上。在铁路安全技术系统的情况中,相应的外围设备例如是转辙器触点、信号、转辙器驱动器或调节环节,并且在自动化技术系统的情况中,相应的外围设备例如是工厂内过程控制的传感器或执行器。
[0017] 本发明此外涉及一种用于控制系统的控制计算机,所述控制系统包括:为数据交换而提供有至少一个外围设备的控制计算机,和与该控制计算机通过通信通道连接并且设计为用于承担该控制计算机的功能性的至少一部分的至少一个另外的控制计算机。 [0018] 关于控制计算机,本发明要解决的技术问题在于,给出一种实现了特别简单并且同时防止故障的控制系统结构的控制计算机。
[0019] 对于根据本发明的前述类型的控制计算机,该技术问题通过如下方式 解决,即,将控制计算机设计为在其部分故障的情况中,将由另外的控制计算机通过通信通道接收的数据传递到外围设备,和/或将由外围设备接收的数据通过通信通道传递到另外的控制计算机。
[0020] 根据本发明的控制计算机的优点基本上对应于先前结合根据本发明的控制系统所述的优点。因此,根据本发明的控制计算机特别地具有可省略用于防止故障性的冗余设置的优点。
[0021] 在根据本发明的控制计算机的优选扩展中,控制计算机是多通道的安全的控制计算机。这提供对应于前文对于根据本发明的控制系统的相应的实施形式解释的优点,即,在安全的计算机的通道中的一个故障时,安全的计算机的另外的通道可用于将数据从另外的计算机传递或向另外的计算机传递。
[0022] 优选地,根据本发明的控制计算机构造为使其设计为承担另外的控制计算机的功能性。这具有如下优点,即,控制计算机可另外用于另外的控制计算机的防止故障性。 [0023] 此外,本发明涉及一种用于运行控制系统的方法,所述控制系统带有为数据交换提供有至少一个外围设备的控制计算机,和与该控制计算机通过通信通道连接并且设计为用于承担该控制计算机的功能性的至少一部分的至少一个另外的控制计算机。 [0024] 关于方法,本发明要解决的技术问题在于,给出一种用于运行控制系统的特别简单并且同时防止故障的方法。
[0025] 根据本发明,该技术问题对于前述类型的方法通过如下方式解决,即在控制计算机部分故障的情况中,将由另外的控制计算机通过通信通道接收的数据传递到外围设备,和/或将由外围设备接收的数据通过通信通道传递到另外的控制计算机。
[0026] 关于根据本发明的方法的优点,参考结合根据本发明的控制系统以及根据本发明的控制计算机所述的优点。
[0027] 有利地,根据本发明的方法扩展为使得通过控制计算机从另外的控制计算机向外围设备或通过控制计算机从外围设备向另外的控制计算机进行防损坏的安全数据传输。以此防止了所传输的数据的未识别的损坏,特别是由于用于传输的故障的控制计算机导致的损坏。
附图说明
[0028] 在下文中根据实施例进一步解释本发明。各图为:
[0029] 图1示出了无故障状态的根据本发明的控制系统的实施例,和
[0030] 图2示出了在控制计算机部分故障的状态中的图1的根据本发明的控制系统的实施例。
具体实施方式
[0031] 图1示出了无故障状态中的根据本发明的控制系统实施例。图中详细地示出控制系统带有控制计算机1和另外的控制计算机2。控制计算机1以及控制计算机2通过通信通道3相互连接。在此,通信通道3可设计为任意类型的无线或有线连接,使得控制计算机1和另外的控制计算机2例如可相互以任意距离布置。
[0032] 在图1的实施例中,控制计算机1以及另外的控制计算机2设计为二通道的安全的计算机,即作为设计为2v2系统。这意味着,控制计算机1具有第一通道1a和第二通道1b。同样,对于两个通道2a和2b适用于另外的控制计算机。在此要指出的是,通道1a、1b、
2a、2b也可以是独立的部件,例如分别具有PC(个人计算机)的形式,它们连同另外的部件形成各控制计算机1或2。
[0033] 在图1的实施例中,通道1a、1b、2a、2b分别既具有用于控制计算机1的功能性的处理功能4a、4b又具有用于另外的控制计算机2的功能性的处理功能5a、5b。在此,在图1中图示的无故障的状态中,在各控制计算机1、2上未激活各另外的控制计算机1、2的处理功能。这意味着,在控制计算机1上仅激活用于控制计算机1的处理功能4a、4b,并且在控制计算机2上仅激活用于控制计算机2的处理功能5a、5b。
[0034] 处理功能4a、4b在控制计算机1的两个通道1a、1b上分别同时并且并行地进行;相应地关于另外的控制计算机2的通道2a、2b适用于另外的控制计算机2的处理功能5a、
5b。为确保防止单独的通道1a、1b以及2a、2b的故障的功能,在此通过各控制计算机1、2的比较装置分别进行两个通道1a、1b以及两个通道2a、2b上的处理结果的比较,所述比较装置在图1中为清晰起见未图示。
[0035] 控制计算机1以及另外的控制计算机2此外分别包括功能性6a、6b, 用于传递分别由另外的控制计算机2或1接收的数据。然而,在图1中示出的无故障的状态中,此功能性6a、6b通常未激活。这意味着,在控制系统的通常状态下,与外围设备10a、10b、10c、10d、10e的数据交换仅通过控制计算机1进行,并且与另外的外围设备11a、11b、11c、11d、11e的数据交换仅通过另外的控制计算机2进行。
[0036] 如果控制系统例如是铁路安全技术系统,则外围设备10a可例如是安全的输入/输出系统,外围设备10b是转辙器触点,外围设备10c是具有信号形式的执行器,外围设备10d是传感器,并且外围设备10e是具有转辙器驱动器形式的执行器。有利地,外围设备
10a、10b、10c、10d、10e以及外围设备11a、11b、11c、11d、11e连接在控制计算机1以及另外的控制计算机2上,使得进行防损坏的安全的数据传输。
[0037] 在下文中根据图2解释在控制计算机1部分故障时控制系统如何运行。 [0038] 图2示出了在控制计算机部分故障的状态中的图1的根据本发明的控制系统的实施例。在此,以相同的附图标号表示相对于图1未变的部件。
[0039] 与图1不同的是,图2图示了控制系统的其中控制计算机1的通道1a故障的状态。因为现在控制计算机1和外围设备10a至10e之间不再实现安全的数据交换,所以通过控制计算机1将由外围设备10a、10b、10c、10d、10e接收的数据通过通信通道3传递到另外的控制计算机2。同时,在另外的控制计算机2中将控制计算机1的处理功能4a、4b激活。相应的激活例如可根据通过通信通道3接收的信号由控制计算机1的无故障的通道1b进行。 [0040] 此外,由于控制计算机1的通道1a故障,所以将通道1b的传递功能6b激活。此外,控制计算机1的无故障的通道1b的处理功能4b、5b关闭,因为现在不再使用该处理功能了。
[0041] 因此,向外围设备10a、10b、10c、10d、10e发送的数据(即,例如用于执行器的调节指令)通过控制计算机1的无故障的通道1b到达相关的外围设备10a、10b、10c、10d、10e。在此,外围设备10a、10b、10c、10d、10e如前所述有利地通过安全的输入/输出系统连接在控制计算机1上。同样,从(例如传感器的)外围设备10a、10b、10c、10d、10e向控制计算机1传送的数据也由控制计算机1的传递功能6b(即路由功能性)传递到另外的控制计算机2,用于另外的安全的或可靠的处理。
[0042] 因为由另外的控制计算机2承担了控制计算机1的处理功能4a、4b而对于所述另外的控制计算机2的处理功能5a、5b的影响仅限于必须为另外的控制计算机2提供用于全部处理功能4a、4b、5a、5b的能力。在此要求,通信通道3设计为使其可传输已传递的或待传递的数据。在此,由于传递数据导致的时间延迟针对连接在外围设备10a、10b、10c、10d、10e上的例如铁路安全技术的过程的特征进行考虑,以避免影响该过程的功能性。 [0043] 根据前述实施,如果所连接的外围设备10a、10b、10c、10d、10e(即例如执行器或传感器系统)设计为独立地用于检查执行器的调节指令或传感器数据的编码的损坏,则所图示的控制系统在安全相关的应用中是特别有利的。其原因是,在控制计算机1的通道1a故障时,必须认为现在唯一地用于传递数据的剩余的并且因此无故障的通道1b可能因另外的未发现的故障而可能地损坏了所传递的数据。
[0044] 根据前述实施例,所述的控制系统特别地具有可省略单独的控制计算机1、2的冗余设置优点。这通过使用通信通道3将控制计算机1、2联网并且使用故障的控制计算机1在承担了控制计算机的功能性的另外的控制计算机2和外围设备10a、10b、10c、10d、10e之间传递数据来实现。控制计算机1方面在此为传递数据例如可使用控制计算机1的剩余的具有功能的通道1b。
