最新中国发明专利
/
2018-11-13

自动化设备在持续运行中的更新转让专利

申请号 : CN201480079052.0

文献号 : CN106462138B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 托马斯·格罗施扬·里希特

申请人 : 西门子公司

摘要 :

本发明涉及一种用于确定控制装置(22)的更新的开始时间点的方法,该控制装置在过程自动化设备(10)中通过产生控制输出(U)控制至少一个外围组件(14,16)。为了更新需要至少一个预定的停止时间(T)。本发明的目的在于找到用于执行更新的合适的开始时间点,从而无风险地在过程自动化设备的持续运行中执行更新。在该方法中,检测至少一个外围组件(14,16)的当前运行状态,从检测到的运行状态出发通过过程(12)的受控系统模型(30)模拟:至少一个外围组件(14,16)在停止时间(T)内在预定的静态控制输出(Ustat)时执行哪些状态轨迹,并且检验该状态轨迹是否处于准许的运行状态的范围内,并且必要时开始更新。

权利要求 :

1.一种用于确定控制装置(22)的更新的开始时间点的方法,所述控制装置(22)在过程自动化设备(10)中通过产生第一控制输出(U’)控制至少一个外围组件(14,16),其中,为了所述更新需要至少一个预定的停止时间(T),并且,在所述方法中,检测所述至少一个外围组件(14,16)的当前运行状态,从检测到的所述运行状态出发通过过程(12)的受控系统模型(30)模拟:所述至少一个外围组件(14,16)在所述停止时间(T)内在预定的静态控制输出(Ustat)时执行哪些状态轨迹,并且检验所述状态轨迹是否接下来处于允许的运行状态(X)的范围内,并且开始所述更新。

2.根据权利要求1所述的方法,其中,为了开始所述更新,所述静态控制输出(Ustat)被输出给所述至少一个外围组件(14,16),并且在此期间在所述过程(12)的无中断运行时所述控制装置(22)被退耦并且导入所述更新。

3.根据权利要求1或2所述的方法,其中,在开始所述更新之后并且在所述停止时间(T)期间向另外的控制装置(20)发送用于输出另外的控制输出(U)的接管信号。

4.根据权利要求1或2所述的方法,其中,所述受控系统模型(30)具有包括所述至少一个外围组件(14,16)的受控系统(32)的模型。

5.根据权利要求3所述的方法,其中,所述受控系统模型(30)具有包括所述至少一个外围组件(14,16)的受控系统(32)的模型。

6.根据权利要求1或2所述的方法,其中,为了检验所述状态轨迹通过所述模拟测定一个时间点,在所述时间点所述状态轨迹首次包括不允许的运行状态,并且由此测定最大允许的时间范围,并且检验是否所述停止时间(T)小于所述时间范围或者小于所述时间范围减去预设的缓冲时间。

7.根据权利要求5所述的方法,其中,为了检验所述状态轨迹通过所述模拟测定一个时间点,在所述时间点所述状态轨迹首次包括不允许的运行状态,并且由此测定最大允许的时间范围,并且检验是否所述停止时间(T)小于所述时间范围或者小于所述时间范围减去预设的缓冲时间。

8.根据权利要求6所述的方法,其中,在所述状态轨迹在所述停止时间(T)的内部至少部分地处于所述允许的运行状态的范围内的情况中,为至少一个另外的预定的静态控制输出分别测定另外的状态轨迹。

9.根据权利要求7所述的方法,其中,在所述状态轨迹在所述停止时间(T)的内部至少部分地处于所述允许的运行状态的范围内的情况中,为至少一个另外的预定的静态控制输出分别测定另外的状态轨迹。

10.根据权利要求1或2所述的方法,其中,在不存在准许的状态轨迹时延迟所述更新。

11.根据权利要求9所述的方法,其中,在不存在准许的状态轨迹时延迟所述更新。

12.根据权利要求1或2所述的方法,其中,提供预定的安全控制输出,所述安全控制输出在预定的安全运行状态中控制所述至少一个外围组件(14,16),并且一旦在开始所述更新之后在所述控制装置中和/或所述至少一个外围组件(14,16)中用信号通知了故障状态,将所述安全控制输出输出给所述至少一个外围组件(14,16)。

13.根据权利要求1或2所述的方法,其中,在所述更新之后,所述控制装置(22)再次耦合连接至所述至少一个外围组件(14,16),并且作为第一控制输出在所述耦合连接之后通过所述控制装置(22)输出重启值,所述重启值相应于所述静态控制输出(Ustat)或者根据所述状态轨迹被测定。

14.根据权利要求1或2所述的方法,其中,在所述更新之后,所述控制装置(22)再次耦合连接至所述至少一个外围组件(14,16),并且作为第一控制输出(U’)在所述耦合连接之后通过所述控制装置(22)输出重启值,所述重启值通过与另外的控制装置(20)的同步测定,所述另外的控制装置在所述更新期间与所述至少一个外围组件(14,16)耦合连接。

15.一种用于过程自动化设备的控制装置,其中,所述控制装置设计用于执行根据权利要求1-14中任一项所述的方法。

16.根据权利要求15所述的控制装置,所述控制装置设计成可编程逻辑控制器。

17.一种过程自动化设备(10),具有用于执行过程(12)的至少一个外围组件(14,16)以及具有根据权利要求15或16所述的控制装置(22)。

18.根据权利要求17所述的过程自动化设备(10),其中,所述过程自动化设备(10)除了所述控制装置(22)之外还具有至少一个另外的控制装置(20),其中,所有的所述控制装置和所述另外的控制装置为了同步调整状态而通过同步连接(24)耦合连接。

说明书 :

自动化设备在持续运行中的更新

技术领域

[0001] 本发明涉及一种过程自动化控制设备,其中控制装置,例如可编程逻辑控制器对至少一个外围组件进行控制,通过该外围组件执行过程,也就是例如从煤炭中获得电能或者对瓶子进行灌装。本发明尤其涉及确定合适的时间点,从而在控制装置的情况下对其运行软件进行更新,也就是说执行更新,而无需为此中断过程。

背景技术

[0002] 在自动化领域中要求加强的高可用性的解决方案,其将自动化设备或者短的设备的可能出现的停机时间降低到最小。这种类型的高可用性解决方案的研发是非常昂贵的。
[0003] 高可用性的自动化系统的重要功能是在运行中对系统软件或者运行软件进行更新。用于运行软件的另外的标识还有固件。当在固件中的故障矫正应该被加载到运行中的系统中时,更新是必要的,该系统为此不能停机。在更新期间的所谓的故障转移对于过程来说从来都不是完全无反馈的。但是通常要求无冲击的故障转移,这就是说在控制装置的输出端处,就是说在外围组件的输入端处不允许测定到在控制信号的走向中的跳跃,该跳跃仅仅通过中断、但是不通过适合过程的变化引发。例如,当真正地为了控制过程而需要具有值不等于0的控制信号时,因此不允许控制信号在更新期间突然下降到值0。控制装置的输出端因此必须持续地保持行为。在过程的控制或者由再次在更新之后准备运行的控制装置或者由备用CPU、也就是另外的控制装置进一步执行之前,通常受限的时间间隔被给定容差,在该受限的时间间隔中输出端至少保持其最后的值。
[0004] 更新不能导致过程的不稳定。但是至今为止,使用者仅仅基于经验值,通过其过程或者类似的过程来回答该该问题。至今为止对此必要的是,自动化设备的运行人员基于经验值来判断是否待控制的过程承受更新的影响。

发明内容

[0005] 本发明的目的是测定在控制装置中执行更新的合适的开始时间点,从而无风险地在过程自动化设备的运行中执行更新。
[0006] 根据本发明提供给了一种方法,通过该方法确定用于控制装置的更新的开始时间点。在此前提条件是,首先在过程自动化设备中的控制装置通过产生控制输出以自身已知的方式来控制至少一个外围组件。联系到本发明,外围组件尤其是被理解为传感器装置,例如温度探针或者光栅,或者作动器,例如加热件或者例如用于流水线的电驱动装置,或者可控阀。
[0007] 由此出发,即为了在最短的情况中进行更新,因此需要至少一个预定的停止时间。在该方法中,现在检测至少一个外围组件的状态或者当前的运行状态。然后从该检测到的状态出发通过过程的受控系统模型来模拟:当将要通过控制装置输出预定的静态控制输出时,至少一个外围组件在停止时间内在预定的静态控制输出时执行哪些状态轨迹,也就是状态的时间上的次序。
[0008] 检验状态轨迹是否接下来处于准许的运行状态的范围内。换句话说,检验该状态轨迹是否在这样的状态空间内运行,该时间空间由大量准许的运行状态形成,也就是说这样的运行状态,对于该状态来说过程和/或至少一个外围组件分别具有准许的运行值,例如温度或者速度或者力加载。测定的当前运行状态因此由状态参数构成,其通过用于对过程进行自动化的控制装置来调节。
[0009] 仅仅当状态轨迹对于停止时间来说完全处于准许的区域的内部时,开始更新。由此给出优点,即在停止时间期间,当由于更新的原因控制装置不通过更新的控制输出对过程中的变化做出反应时,过程也就不会处于不可靠的运行状态。
[0010] 如果状态轨迹指出一个无风险的故障转移,那么根据本发明的一个改进方案为了开始更新然后实际地向至少一个外围组件输出静态控制输出,并且在此期间在过程自动化设备的不中断运行时将控制装置退耦并且导入更新。由此获得一个优点,即过程继续运行。通过在更新期间的退耦,通过控制装置向至少一个外围组件也输出无错误的、通通过更新过程引发的控制输出。
[0011] 根据一个优选的设计方案,在更新开始之后并且在停机时间内向自动化设备的另外的控制装置发送接管信号,由此该另外的控制输出被发送给至少一个外围组件,其也就是说继续调节该过程。由此获得优点,即更新本身的时间能够长于停止时间,而不必中断过程。
[0012] 根据本发明,受控系统模型具有包括至少一个外围组件的受控系统的模型。由此获得一个优点,即可以使用通常对于自动化设备已经存在的模型。例如可以存在用于基于观察器、例如基于Luenberger观察器的调节运行的受控系统的模型,其也能够用于测定状态轨迹。模拟例如可以在解算微分方程式时产生,其通过作为受控系统的动态行为的描述的受控系统模型给出。
[0013] 当不是仅仅在停止时间中检验是否存在安全的运行状态时,而是为了检验状态轨迹而通过模拟测定一个时间点时获得附加的安全性,在该时间点状态轨迹首次包括不允许的运行状态。由此测定最大允许的时间范围。然后检验是否停止时间小于该时间范围,或者,更安全的是,小于时间范围减去预设的缓冲时间。
[0014] 至今为止,仅仅描述了这样的情况,即通过模拟测定,即状态轨迹在停止时间内一直处于准许的运行状态的范围中。对于该种情况,即不存在准许的状态轨迹,优选地延迟更新。
[0015] 在此获得另外的优点,当不同时对于首先遇到的任何一个状态轨迹来触发延迟时,而是在状态轨迹在停止时间的内部至少部分地处于允许的运行状态的范围内的情况中,首先为至少一个另外的预定的静态输出分别测定另外的状态轨迹。换句话说,检验是否在当前的时间点给出合适的控制输出,其准许执行更新。仅仅当对所有预定的静态控制输出的检验都提供不利的结果时,然后延迟更新。
[0016] 根据另一个有利的改进方案,提供预定的安全控制输出,该安全控制输出在预定的安全运行状态中控制至少一个外围组件。该安全状态也可以如下地设计,即中断或者停止过程。该安全控制输出对于这样的情况被输出给至少一个外围组件,即在开始更新之后在控制装置中和/或至少一个外围组件中识别出并且用信号通知了故障状态。由此获得优点,即在停止时间期间不可调节地进一步运行的自动化设备在出现故障时不受到损害。
[0017] 如已经实施的那样,必要的是,控制装置的退耦和再一次耦合连接至至少一个外围组件无冲击地运行,也就是说,安全地确保无冲击的故障转移。为此,根据该方法的一个设计方案,在更新之后,控制装置再次耦合连接至至少一个外围组件,并且在耦合连接之后通过控制装置输出重启值作为第一控制输出,该重启值或者相应于静态控制输出或者根据状态轨迹被测定。在后一种情况中,根据状态轨迹尤其测定:根据模拟在哪些状态中过程必须处于更新的末尾,从而对于该状态能够测定合适的控制输出并且能够输出给至少一个外围组件。
[0018] 根据一个可替换的设计方案,在更新之后,控制装置再次耦合连接至至少一个外围组件,并且在耦合连接之后通过控制装置输出重启值作为第一控制输出,该重启值通过与另外的控制装置的同步测定,另外的控制装置在更新期间与至少一个外围组件耦合连接。由此获得附加的优点,即在更新期间过程能够被进一步主动地调节,这就是说通过另外的控制装置也能够主动地调节过程状态的变化,并且然后能够无冲击地在改变的过程流程中对通过更新改变的控制装置进行干预。
[0019] 如已经实施的那样,还有一种控制装置属于本发明,其设计为执行根据本发明的方法的设计方案。优选的是,根据本发明的控制装置设计成可编程逻辑控制器(SPS)。
[0020] 最后,还有一种过程自动化设备属于本发明,其具有至少一个外围组件,其设计用于执行过程,也就是例如从煤炭中或者以核裂变为基础产生电能、用于灌装容器、用于制造产品、例如金属物品的浇注、或者用于调节例如建筑物中的温度。
[0021] 根据本发明的自动化设备具有一个根据本发明的控制装置的实施方式。根据本发明的自动化设备具有优点,即控制装置能够具有更新的运行软件,而不必为此中断过程。
[0022] 根据本发明的自动化设备的根据本发明的改进方案,自动化设备除了控制装置之外还具有至少一个另外的控制装置,其优选地同样是根据本发明的控制装置的一个实施方式,其中,所有的控制装置为了同步控制状态而通过同步连接耦合连接。由此获得优点,即为自动化设备提供了高可用性的、冗余的调节系统,在该系统中,对过程的调节能够交替地由这些控制装置中的各一个来执行,并且在控制装置之间转换时在输出给至少一个外围组件的控制输出的走向中不会出现跳跃或者冲击。

附图说明

[0023] 接下来对本发明的实施例进行说明。图中示出:
[0024] 图1是根据本发明的过程自动化设备的一个实施方式的示意图,
[0025] 图2是用于调节的信号流图,如其能够通过图1的自动化设备的控制装置执行的那样,
[0026] 图3是用于受控系统的信号流图,如其在控制装置的更新期间所存在的那样,以及[0027] 图4是用于说明根据本发明的方法的流程图,如其能通过控制装置执行的那样。

具体实施方式

[0028] 接下来描述的实施例涉及本发明的优选的实施方式。但是在实施例中,实施方式的被描述的组件相应地展示了本发明的各个彼此不依赖地进行考虑的特征,其相应也彼此不依赖地对本发明进行了改进并且进而也单独地或者以另外的示出的组合被视为本发明的组成部分。此外,描述的设计方案也能够通过另外的已经描述的本发明的特征来补充。
[0029] 图1示出了过程自动化设备或者自动化设备或者短设备10。该设备10例如可以是发电站、例如像煤炭发电站或者核电站、远程供热中心、瓶灌装设备或者加热设备。
[0030] 在设备10中自动化地对过程12进行调节,也就是例如在核电站的情况中从核裂变过程中获得电能。过程12为此可以通过外围组件14,16以及另外的(未示出)外围组件进行监控和控制。例如,外围组件14可以是传感器并且外围组件16可以是作动器。外围组件14,16可以通过通信网络18与控制装置20,22耦合连接。也可以仅仅设置一个控制装置或者也可以设置多于所示出的两个控制装置20,22。每个控制装置20,22可以分别例如设计成SPS或者具有自己的运行系统的计算机。
[0031] 控制装置20,22可以通过用于交换同步数据的同步连接24耦合连接。在图1中示出的同步连接24仅仅是一个示意图。同步数据也可以例如通过通信网络18交换。
[0032] 控制装置20,22展示出了高可用性的设备控制装置S,其中在给出的时间点分别仅仅一个控制装置20,22将在此总体上描述成控制输出U,U’的控制值通过活跃的控制连接26和通过通信网络18传输给外围组件14,16。在此期间不活跃的控制装置,在此为控制装置22,与过程12退耦,这在图1中通过虚线的控制连接28示出。每个控制输出U,U’例如都可以形成作为用于相应的调节循环的外围组件14,16的各个控制值的向量。
[0033] 高可用性的设备控制装置S的特征在于接下来的特征。两个或者多个控制系统,在此为控制装置20,22,通过同步连接24彼此耦合连接。连接在系统上的外围组件14,16在原理上能够由两个系统操作,这就是说通过相应的调节器R,R’这样地调节,即设定在过程12中的额定预设值W。两个子系统中的一个相关于连接在控制系统S上的外围组件14,16引导,在图1中示出的情况是控制装置20。这意味着,控制输出U,U’仅仅由子系统中的一个执行。
[0034] 为了使两个子系统,也就是控制装置20,22能够同步地运行,控制装置通过同步连接24以预设的时间间隔进行同步。相关于同步的频率和其规模可以产生不同的表现,这对在控制装置之间的切换时的停止时间产生影响。为了在切换时在故障的情况中唯一地识别出有故障的系统,设置有相应的系统诊断,如自身在现有技术中公开的那样。
[0035] 在示出的实施例中由此出发,即过程12的调节首先由控制装置22执行,并且然后控制装置22的运行软件或者固件的更新是必要的,也就是说,控制装置22的运行软件通过新的固件FW代替。为此,控制装置22与过程12退耦并且过程12的调节由控制装置20承担。在调节过程12时在控制装置22至控制装置20之间的转换在此无冲击的实现,也就是说,过程12被没有中断地进行,并且这也导致在过程流程12中的很小的或者仅仅不重要的变化。在过程12进一步运行时,固件FW现在可以被装载到退耦的控制装置22上。在更新之后,控制装置12同样能够无冲击地再次由控制装置20承担调节。
[0036] 为了将调节无冲击传递给控制装置20,控制装置22执行一个方法用于猜测基于受控系统模型30对过程的影响。该猜测减小了在确定用于更新的开始时间点时的故障评估的风险。
[0037] 受控系统模型或者模型30例如能够如在图2中所示的那样是受控系统32的模型30,如其通过过程12给出的那样。通过模型30能够模拟或者预测一个在控制装置22的退耦和控制装置20的耦合连接的时间点之间给出的停止时间的影响。
[0038] 模型30可以无附加消耗地从调节技术上的应用、也就是用于设备10的工程规划数据中获得。在通过控制装置20,22中的各一个配置或者设计过程12的调节的设备10的工程规划中可以的是,过程12的一些状态参数,也就是例如温度或者另外的物理参数必须被间接地测定,因为其不能直接或者仅能以不希望的高消耗来测定并且因此将必须被猜测。为此例如能够使用观察器方法,例如像Luenberger观察器34。在图2中示例性地示出的观察器34模拟控制装置30的控制输出U对受控系统32的影响,也就是过程12的过程状态,从而由此测定受控系统32的内部状态参数。在图2中示出的矩阵A,B和C在此以自身已知的方式描述了在加载在时间上变化的控制输出U时的受控系统32的动态行为。矩阵L是用于平衡在减法点36处测定的观察错误的矫正矩阵。由减法点38出发,通过积分器40测定跟随状态,也就是为接下来的观察时间点猜测的状态向量。
[0039] 如此为多个将来的时间点测定的状态向量的顺序给出了状态轨迹。
[0040] 模型30现在可以被使用,从而计算在切换情况中,也就是在停止时间T期间的受控系统32的行为。
[0041] 切换情况的特征在于,不仅输入数据Y,如其能够在受控系统32处测定的,而且还有控制装置22在其退耦期间的输出数据都能够在停止时间的时间段中不被更新,这就是说能够在控制装置22和过程12之间交换。在该时间段或者停止时间期间,受控系统32与控制装置22的调节器40分开,通过其应该对过程12中的额定预设值W进行调节。如在图3中可见,也就是说受控系统32不能通过控制装置22影响。通过控制装置22和受控系统32形成的调节回路也就是说被断开,这就是说获得开放的链路。
[0042] 调节器R能够在停止时间期间既不从过程12读取新的输入信号Y也不向过程12更新输出U。
[0043] 因此,通信网络18如下设计,即周边输出在停止时间期间包换期最后的值,这就是说受控系统32接收静态控制输出Ustat。相应的通信网络18例如可以基于Profibus网络来形成,在该网络中不实现数据包指向的传输而是实现时隙指向的控制数据传输。通过包含用于各个时隙的值,也就是没有覆写的或者删除的之前传输的值,可以产生静态控制输出Ustat。然后,受控系统32在停止时间期间保持加载最后的输入向量,也就是静态控制输出Ustat。这导致受控系统32的状态参数的状态轨迹,其不取决于控制装置22在停止时间期间的控制输出U。取决于系统参数,受控系统的状态参数、例如锅温度这样地变化,即其可以实现对于过程来说的边界值。在这样的情况中,也许来自控制装置20,22的所使用的控制系统的故障转移停止时间对于待控制的过程12来说过大。但是待预期的停止时间是应用的设备控制装置S的已知的特征值。但是如果待预期的停止时间是已知的,那么可以检验,是否确定的状态参数在停止时间期间能够完全地实现边界值或者必须在停止时间期间加载过程12的那些静态控制输出Ustat,从而能够无风险地执行固件更新。
[0044] 在此,在对功能没有显著地限制的情况下做出接下来的假设。存在对控制输出的安全占用,也就是说安全控制输出,也就是用于这样的情况,即超过用于在开放的链路中的安全运行的时间空间的情况,通过(没有示出的)安全系统将安全控制输出通过通信网络18输出给外围设备14,16。但是,该措施终止了使用中的运行并且因此被避免。在控制装置20,22上的运行软件支持无冲击的重启,这就是说能够针对性地设定相应的控制输出值,从而在控制装置22再次耦合连接至通信网络18之后不取决于调节器R的当前调节状态能够输出具有重启值的控制输出的能预设的向量。
[0045] 根据图4接下来描述,如控制装置22为了固件更新首先在用于对过程12进行更新的安全的开始时间点从过程12上退耦,并且接下来在成功的更新之后再次与过程12耦合连接,借此控制装置22取代控制装置20来继续执行对过程12的调节。
[0046] 出发点是描述数量V的禁止的状态,例如作为多面体。受控的过程12的模型30例如可以是线性的或者非线性的模型,其中非线性的模型可以具有接下来的通用公式:
[0047] d(X(t))/dt=f(x(t),U(t),D(t)),X(t0)=X0
[0048] 在公式中,算符d()/dt是根据时间的数学倒数,X是受控系统32的状态向量、也就是说运行状态,U是控制输出,D是描述干扰影响的向量并且X0是初始条件,也就是说在预设的时间点0的运行状态,例如当前的时间点。函数f()描述了功能关系。
[0049] 在图4中示出,如基于模型30和设备10的拓扑模型42执行可实现性分析44,其从初始运行状态X0出发能够模拟状态轨迹。基于拓扑模型42例如可以测定停止时间T。
[0050] 在步骤S10中通过例如根据Luenberger的状态观察器(34)的运行,基于模型30来连续地猜测受控系统32的状态X。如开始运行如通过额定预设值W预设的希望的工作点,并且将过程12调节到工作点上。然后,等待过程值的平静,这就是说能够衰减可能的振荡过程。因此给出静态的运行比例,从而适用于:U’=Ustat并且X=X0。对于该当前的状态t1,通过实现性分析44基于模型30、初始条件、也就是初始的运行状态X0、以及恒定的控制输出Ustat的假设,对将来的时间点t预先计算或者模拟具有运行状态值的向量,也就是运行状态X,由此上述的公式被转换为:
[0051] d(X(t))/dt=f(x(t),Ustat,D(t)),X(t0)=X0
[0052] 干扰影响D在此猜测地或者同样恒定地保持。通过解算微分方程,获得作为用于将来的时间点t的可实现性分析的结果的一定数量E(t)的能实现的运行状态。
[0053] 然后测定第一时间点tv,在该时间点具有数量V的禁止的状态的区段E(tv)不是空的,也就是说,过程12占据不准许的运行状态。每个之前的时间点t<tv,在该时间点具有V的区段E(t)是空的,确定用于安全的运行的准许的时间段tvo。该时间段tvo能够出于安全的原因保守地进一步缩短一个缓冲时间。
[0054] 在步骤S12中检验,是否用于希望的措施的时间段[t0,t0+tvo]、也就是固件更新被实现。如果其没有实现,这在图4中通过减号示出,可以等待一个确定的等待时间,也就是在重新执行用于稍晚的时间点t1的可实现性分析之前推掉更新。过程12在此不被中断。
[0055] 如果所述的时间段大于时间T,那么在步骤S16中继续进行。在步骤S16中静态控制输出Ustat被施加到通信网络18上并且通过外围组件14,16等待应答。之后,控制装置22与过程12退耦并且执行更新。在此,也可以将接管信号传输到控制装置20上,从而使其承担对过程12的调节,从而使得固件更新能够被任意长地执行。在控制装置22再次准备用于调节之后,其能够被启动并且例如通过同步连接24与控制装置20同步,从而现在控制装置20再次准备用于调节。重启值可以被作为第一控制输出U使用,其例如能够由同步来测定或者能够与静态控制输出Ustat一致或者能够根据状态轨迹测定,从而确保控制装置22在过程12上的无冲击的接通。
[0056] 在此推荐,这样地快速执行可实现性分析,即过程12由当前的时间点t0出发并不过远地远离运行状态X0,在该前的时间点从初始运行状态X0出发来执行可实现性分析。
[0057] 在示出的实例中,也就是说已经存在的、对于调节技术目的所使用的受控系统模型,也就是模型30附加地用于对使用者选择高可用性的自动化解决方案进行支持。
[0058] 因此总体上通过该实例获得用于规划和执行在高可用性的自动化系统中的软件更新的基于模型的辅助系统。
[0059] 参考标号列表
[0060] 10           设备
[0061] 12           过程
[0062] 14,16        外围组件
[0063] 18           通信网络
[0064] 20,22        控制装置
[0065] 24           同步连接
[0066] 26           控制连接
[0067] 28           中断的控制连接
[0068] 30           受控系统模型
[0069] 32           受控系统
[0070] 34           观察器
[0071] 36,38        减法点
[0072] 40           积分器
[0073] 42           拓扑模型
[0074] 44           可实现性分析
[0075] U,U’        控制输出
[0076] Ustat         静态控制输出
[0077] X            运行状态
[0078] Y            过程12的输出值
[0079] W            额定预设值
[0080] FW           固件
[0081] R,R’        调节器
[0082] S10至S24     方法步骤
[0083] S            设备控制装置
[0084] T            停机时间。