Способ работы сети управления и сеть управления
Патент 2589390
Авторы
Правообладатели
Классы МПК
- G06F11/20 - с использованием маскирования сбоев с помощью замещения, например выключения сбойных элементов или переключения на резервные элементы
- G06F15/173 - с использованием сети связи, например, соединение по схеме матрицы, смешанное соединение, соединение по схеме пирамиды, звезды, снежинки (схемы переключения интерфейсов G06F 13/40)
- G06F15/177 - инициализация или управление конфигурацией (управление конфигурацией для контроля, тестирования или в случае отказа G06F 11/00)
- H04L1/22 - с использованием резервной аппаратуры для увеличения надежности
- H04L12/40 - сети коммуникаций
- H04L29/14 - подавление неисправностей
Способ работы сети управления и сеть управления
Иллюстрации
Группа изобретений относится к работе сети управления. Технический результат - повышение безопасности и эксплуатационной надежности сети управления. Для этого предложен способ работы сети управления с единственным соединением между первым управляющим компьютером и вторым резервным управляющим компьютером через сеть, к которой подключено множество функционально важных технических устройств обработки данных. Информационно-техническое соединение между компьютерами и устройствами обеспечено посредством команды опроса состояния, причем для начала работы сети управления проверяется коммуникационное соединение между обоими компьютерами. При положительном результате проверки первому компьютеру назначается функция ведущего, а при отрицательном результате проверки оба компьютера присоединяют к себе устройства в установленной последовательности. При присоединении предопределенного количества устройств к одному из обоих компьютеров он принимает функцию ведущего, а другой компьютер - функцию резервного, при находящемся ниже заданного количестве устройств, подключенных к каждому из обоих компьютеров, генерируется сигнал, который сигнализирует состояние неисправности сети управления. 2 н. и 6 з.п. ф-лы, 1 ил.
Реферат
Известно выполнение технических устройств с резервированием, если требуется высокая степень готовности. Это относится также к рельсовым транспортным средствам, которые выполняются с резервированием, поскольку они содержат в дополнение к первому управляющему компьютеру второй управляющий компьютер. Посредством управляющих компьютеров могут управляться различные устройства рельсового транспортного средства через собственную сеть передачи данных рельсового транспортного средства; причем эти устройства могут быть функционально важными устройствами или не обязательно требуемыми для функционирования рельсового транспортного средства устройствами.
Чтобы избежать того, что в такой сети управления более чем один компьютер выполняет функцию ведущего, известно, что управляющие компьютеры через более чем одно физическое соединение (резервное соединение) связываются друг с другом. С помощью этого резервного соединения может быть обнаружено, произошел ли отказ второго действующего в резервном режиме управляющего компьютера или имеет место помеха коммуникации.
В основе изобретения лежит задача предоставить способ работы сети управления с двумя управляющими компьютерам в целях резервирования, который может надежно выполняться при сравнительно невысоких затратах.
Для решения этой задачи в соответствии с изобретением предложен способ работы сети управления с единственным физическим соединением между первым управляющим компьютером и вторым резервным управляющим компьютером через сеть передачи данных, к которой подключено множество функционально важных технических устройств обработки данных; информационно-техническое соединение между управляющими компьютерами и функционально важными устройствами задается посредством избыточной и диверсифицированной команды опроса состояний (heartbeats - «сердцебиение»), причем для начала работы сети управления проверяется коммуникационное соединение между обоими управляющими компьютерами; при положительном результате проверки управляющему компьютеру назначается функция ведущего, или при отрицательном результате проверки оба управляющих компьютера присоединяют к себе функционально важные устройства в установленной последовательности; при присоединении заранее определенного количества функционально важных устройств к одному из обоих управляющих компьютеров он принимает функцию ведущего, а другой управляющий компьютер - функцию резервного; при количестве функционально важных устройств, находящемся ниже заданного количества, подключенных к каждому из обоих управляющих компьютеров, генерируется сигнал, который сигнализирует нарушенное состояние сети управления.
Преимущество способа, соответствующего изобретению, заключается в том, что можно обойтись без второго или резервного соединения между обоими управляющими компьютерами, потому что прямая коммуникация между двумя управляющими компьютерами и присоединение технических устройств обработки данных к сети управления реализуют избыточную и диверсифицированную сигнал команду опроса состояния. Такая сигнал команда опроса состояния кратко описана, например, в Интернет-публикации: http://de.wikipedia.org/wiki/Heartbeat.
При этом предпочтительным образом можно с уверенностью избежать того, что двум управляющим компьютерам может быть одновременно назначена функция ведущего. Это необходимо по причинам техники безопасности.
В соответствии с предпочтительным вариантом осуществления способа по изобретению в режиме работы с первым управляющим компьютером с функцией ведущего и с вторым управляющим компьютером с функцией резервного, при взаимно установленном отказе коммуникации, первый управляющий компьютер сохраняет за собой свою функцию до тех пор, пока он не достигнет предопределенного количества функционально важных устройств, и одновременно второй управляющий компьютер проверяет, включены ли функционально важные устройства и не заняты ли первым управляющим компьютером; если функционально важные устройства не заняты первым управляющим компьютером, то второй управляющий компьютер со своей стороны занимает эти устройства и при достижении предопределенного количества этих устройств принимает на себя функцию ведущего или сохраняет, если предопределенное количество не достигнуто, функцию резервного при сигнализации состояния неисправности сети управления.
Это выполнение соответствующего изобретению способа имеет особое преимущество, состоящее в том, что оба управляющих компьютера не могут одновременно осуществлять функцию ведущего, даже если они больше не могут взаимодействовать друг с другом в случае неисправности. Даже в наиболее критическом случае, когда происходит сбой коммуникации из-за прерывания сети передачи данных, оба управляющих компьютера не могут одновременно выполнять функцию ведущего в отношении соответствующей части функционально важных технических устройств обработки данных. За счет этого работоспособность и особенно эксплуатационная надежность соответствующего изобретению способа является сравнительно высокой.
Согласно соответствующему изобретению предлагаемому способу предопределенное количество функционально важных технических устройств обработки данных, предусмотренных для поддержания функции ведущего, устанавливается различным по величине. Для достижения высокой эксплуатационной надежности, представляется предпочтительным, если половина устройства определяется как предопределенное количество функционально важных устройств.
Выгодным считается, когда каждый управляющий компьютер в отношении функционально важных устройств работает как семафор, так как вопрос здесь не в подсоединенных отдельных функционально важных устройствах, а в поддержании предопределенного количества для функции ведущего. Относительно «семафора», можно найти краткую пояснительную информацию в Интернет-публикации: http://de.wikipedia.org/wiki/Semaphore_(programming).
Кроме того, изобретение относится к сети управления с двумя по соображениям резервирования управляющими компьютерами и ставит перед собой задачу обеспечить в такой сети управления при относительно низких затратах материала и времени на кабельную разводку сравнительно высокую функцию безопасности и эксплуатационную надежность.
Для решения этой задачи в соответствии с изобретением в сети управления с единственным физическим соединением между первым управляющим компьютером и вторым резервным управляющим компьютером через сеть передачи данных, к которой подключено множество функционально важных технических устройств обработки данных, обеспечено информационно-техническое соединение между управляющими компьютерами и функционально важными устройствами посредством избыточной и диверсифицированной команды опроса состояний («сердцебиения»). Относительно реализации команды опроса состояний можно сослаться на приведенный выше источник информации.
В качестве предпочтительного рассматривается, когда каждый управляющий компьютер выполнен таким образом, что он работает в качестве семафора в отношении функционально важных устройств.
Также предпочтительно, если функционально важные устройства выполнены таким образом, что они выдают в своем выходном сигнале маркировку «функционально важно».
Особенно предпочтительным образом соответствующая изобретению сеть управления может быть использована для рельсовых транспортных средств, при этом первый управляющий компьютер размещен в первой секции рельсового транспортного средства, связанной через сцепление со второй секцией рельсового транспортного средства, и единственное физическое соединение проходит через сцепление. За счет этого можно сократить затраты на кабельную разводку и относительно просто выполнить сцепление.
Для дополнительного пояснения изобретения на чертеже представлен пример выполнения соответствующей изобретению сети управления.
Представленная на чертеже сеть 1 управления, например, рельсового транспортного средства имеет сеть передачи данных с шиной 2 данных. К шине 2 данных подключены первый управляющий компьютер ST1 и второй резервный управляющий компьютер ST2, между которыми установлено сетевое соединение с опросом состояния. Кроме того, с шиной 2 данных соединены функционально важные технические устройства А, С, D, F, Н, K и L обработки данных, которые через соединение от точки к точке могут соединяться с управляющими компьютерами ST1 и ST2 с применением семафора; при этом речь может идти о функционально важных устройствах А, С, D, F, Н, K и L сети управления для рельсового транспортного средства. Кроме того, с шиной 2 данных соединены другие технические устройства b, е, g и j обработки данных, которые не требуются для функционирования, например, рельсового транспортного средства.
Режим работы показанной сети 1 управления сетью 1 предполагается таким, что запускаются оба управляющих компьютера ST1 и ST2. Если коммуникация между двумя управляющими компьютерами ST1 и ST2 может быть установлена, то одному из обоих управляющих компьютеров назначается функция ведущего.
Если установка коммуникации не осуществляется, то оба управляющих компьютера ST1 и ST2 пытаются в соответствии с имеющимся списком в определенном порядке присоединить к себе функционально важные технические устройства А, С, D, F, Н, K и L обработки данных. При этом, если, например, первый управляющий компьютер ST1 устанавливает, что функционально важные устройства среди устройств А, С, D, F, Н, K и L не выключены и не заняты вторым управляющим компьютером ST2, то он присоединяет эти устройства к себе; если он при этом устанавливает, что он присоединил к себе по меньшей мере предопределенное количество из функционально важных устройств А, С, D, F, Н, K и L, например четыре устройства А, С, D и F, то он принимает на себя автоматически функцию ведущего. Предопределенное количество всегда должно охватывать более половины всех функционально важных устройств А, С, D, F, Н, K и L. Второй управляющий компьютер ST2 переходит в режим резервного.
Если вышеупомянутое установление коммуникации после запуска обоих управляющих компьютеров ST1 и ST2 не происходит, и первый управляющий компьютер ST1 устанавливает иначе, чем описано выше, что он не может присоединить к себе предопределенное количество функционально важных устройств, тогда он возвращается в прежнее состояние (функцию резервного), и второй управляющий компьютер ST2 берет на себя функцию ведущего при условии, что он может присоединить к себе предопределенное количество функционально важных устройств. Если это условие не выполняется, тогда и второй управляющий компьютер ST2 переходит в состояние резервного.
Из ситуации, когда оба управляющих компьютера ST1 и ST2 находятся в резервном режиме работы, может быть выведен сигнал, который обозначает состояние неисправности сети 1 управления. Это соответствует также фактическому состоянию сети 1 управления, потому что это состояние вызвано тем, что для обоих управляющих компьютеров ST1 и ST2 не предоставляется в распоряжение достаточное количество функционально важных устройств А, С, D, F, Н, K и L для подключения. Этот сигнал, следовательно, также принимает во внимание аспекты техники безопасности.
Если после удачного начала работы сети 1 управления и, например, при первом управляющем компьютере ST1 с функцией ведущего и втором управляющем компьютере ST2 с функцией резервного происходит сбой коммуникации между обоими управляющими компьютерами ST1 и ST2, первый управляющий компьютер ST1 сохраняет свою функцию ведущего, пока он, как и прежде, может достигать по меньшей мере предопределенного количества функционально важных устройств. Однако второй управляющий компьютер ST2 проверят, включены ли функционально важные устройства А, С, D, F, Н, K и L, и не являются ли они занятыми первым управляющим компьютером ST1. Если результат этой проверки показывает, что функционально важные устройства А, С, D, F, Н, K и L не заняты первым управляющим компьютером ST1, например, произошел отказ первого управляющего компьютера ST1, то второй управляющий компьютер ST2, который до сих пор находился в резервном режиме, присоединяет к себе функционально важные устройства А, С, D, F, Н, K и L; если это достигает предопределенного количества, то второй управляющий компьютер ST2 берет на себя функцию ведущего. В противном случае второй управляющий компьютер ST2 остается в резервном режиме и не берет на себя функцию ведущего. Это сигнализирует о сильном ограничении в доступности сети 1 управления и является надлежащим с точки зрения техники безопасности.
1. Способ работы сети (1) управления с единственным физическим соединением между первым управляющим компьютером (ST1) и вторым резервным управляющим компьютером (ST2) через сеть (2) передачи данных, к которой подключено множество функционально важных технических устройств (А, С, D, F, Н, K, L) обработки данных; и имеется информационно-техническое соединение между управляющими компьютерами (ST1, ST2) и функционально важными устройствами (А, С, D, F, Н, K, L) посредством команды опроса состояния, причем для начала работы сети (1) управления проверяют коммуникационное соединение между обоими управляющими компьютерами (ST1, ST2); и- при положительном результате проверки управляющему компьютеру (ST1) назначают функцию ведущего,- при отрицательном результате проверки оба управляющих компьютера (ST1, ST2) присоединяют к себе функционально важные устройства (А, С, D, F, Н, K, L) в установленной последовательности; и- при присоединении заранее определенного количества функционально важных устройств (А, С, D, F, Н, K, L) к одному из обоих управляющих компьютеров (ST1) он принимает функцию ведущего, а другой управляющий компьютер (ST2) - функцию резервного,- при количестве функционально важных устройств (А, С, D, F, Н, K, L), находящемся ниже заданного числа, подключенных к каждому из обоих управляющих компьютеров (ST1, ST2), генерируют сигнал, который сигнализирует состояние неисправности сети (1) управления.
2. Способ по п. 1, отличающийся тем, что в режиме работы с первым управляющим компьютером (ST1) с функцией ведущего и со вторым управляющим компьютером (ST2) с функцией резервного, при взаимно установленном ими отказе коммуникации- первый управляющий компьютер (ST1) сохраняет за собой свою функцию до тех пор, пока он не достигнет предопределенного количества функционально важных устройств (А, С, D, F, Н, K, L), и одновременно второй управляющий компьютер (ST2) проверяет, включены ли функционально важные устройства (А, С, D, F, Н, K, L) и не заняты ли первым управляющим компьютером (ST1);- если функционально важные устройства (А, С, D, F, Н, K, L) не заняты первым управляющим компьютером (ST1), то второй управляющий компьютер (ST2) занимает эти устройства (А, С, D, F, Н, K, L) и при достижении предопределенного количества этих устройств (А, С, D, F, Н, K, L) принимает на себя функцию ведущего, или сохраняет, если предопределенное количество не достигнуто, функцию резервного при сигнализации состояния неисправности сети (1) управления.
3. Способ по п. 1, отличающийся тем, что в качестве предопределенного количества функционально важных устройств (А, С, D, F, Н, K, L) определяется половина устройств.
4. Способ по любому из предыдущих пунктов, отличающийся тем, что каждый управляющий компьютер (ST1, ST2) в отношении функционально важных устройств работает как семафор.
5. Сеть (1) управления с первым управляющим компьютером (ST1), вторым резервным управляющим компьютером (ST2) и с единственным физическим соединением между первым управляющим компьютером (ST1) и вторым резервным управляющим компьютером (ST2) через сеть (2) передачи данных, к которой подключено множество функционально важных технических устройств (А, С, D, F, Н, K, L) обработки данных,причем обеспечено информационно-техническое соединение между управляющими компьютерами (ST1, ST2) и функционально важными устройствами (А, С, D, F, Н, K, L) посредством команды опроса состояния, причем для начала работы сети (1) управления проверяется коммуникационное соединение между обоими управляющими компьютерами (ST1, ST2); ипричем при положительном результате проверки управляющему компьютеру (ST1) назначается функция ведущего, илипри отрицательном результате проверки оба управляющих компьютера (ST1, ST2) присоединяют к себе функционально важные устройства (А, С, D, F, Н, K, L) в установленной последовательности; ипри присоединении заранее определенного количества функционально важных устройств (А, С, D, F, Н, K, L) к одному из обоих управляющих компьютеров (ST1) он принимает на себя функцию ведущего, а другой управляющий компьютер (ST2) - функцию резервного, ипри количестве функционально важных устройств (А, С, D, F, Н, K, L), находящемся ниже заданного числа, подключенных к каждому из обоих управляющих компьютеров (ST1, ST2), генерируется сигнал, который сигнализирует состояние неисправности сети (1) управления.
6. Сеть управления по п. 5, отличающаяся тем, что каждый управляющий компьютер (ST1, ST2) выполнен таким образом, что он работает в качестве семафора в отношении функционально важных устройств (А, С, D, F, Н, K, L).
7. Сеть управления по п. 5 или 6, отличающаяся тем, что функционально важные устройства (А, С, D, F, Н, K, L) выполнены таким образом, что они выдают в своем выходном сигнале маркировку «функционально важно».
8. Сеть управления по п. 5, отличающаяся тем, что первый управляющий компьютер (ST1) размещен в первой секции рельсового транспортного средства, связанной через сцепление с второй секцией рельсового транспортного средства, и единственное физическое соединение проходит через сцепление.