Verfahren und System zur Bereitstellung von zeitkritischen Steue rungs anwendungen

Die vorliegende Erfindung betri f ft ein Verfahren zur Bereitstellung von zeitkritischer Steuerungsanwendungen, insbesondere Steuerungsanwendungen in einem industriellen Automatisierungssystem, sowie ein System, das zur Durchführung des Verfahrens geeignet ist .

Ein industrielles Automatisierungssystem umfasst üblicherweise eine Viel zahl von über ein industrielles Kommunikationsnetz miteinander vernetzten Automatisierungsgeräten und dient im Rahmen einer Fertigungs- oder Prozessautomatisierung zur Steuerung oder Regelung von Anlagen, Maschinen bzw . Geräten . Aufgrund zeitkritischer Rahmenbedingungen in industriellen Automatisierungssystemen werden zur Kommunikation zwischen Automatisierungsgeräten überwiegend Echtzeit-Kommunikationsprotokolle , wie PROFINET , PROFIBUS , Real-Time-Ethernet oder Time-Sensitive Networking ( TSN) , verwendet .

Aufgrund einer Nutzung für häufig äußerst unterschiedliche Anwendungen können in Ethernet-basierten Kommunikationsnetzen beispielsweise Probleme entstehen, wenn Netzressourcen für eine Übermittlung von Datenströmen oder von Datenrahmen mit Echt Zeitanforderungen konkurrierend für eine Übermittlung von Datenrahmen mit großem Nutzdateninhalt ohne spezielle Dienstgüteanforderungen beansprucht werden . Dies kann dazu führen, dass Datenströme oder Datenrahmen mit Echt Zeitanforderungen nicht entsprechend einer angeforderten bzw . benötigten Dienstgüte übermittelt werden . In WO 2019/ 001718 Al ist ein Verfahren zur Datenübermittlung beschrieben, das eine Kombination von geschützter Kommunikation und geringem Netzwerk-Konfigurationsaufwand ermöglicht . Dabei werden bei einer Reservierung von Ressourcen zur Übermittlung von Datenströmen ( Streams ) von einem Sender zu einem Empfänger zumindest zwei zumindest abschnittsweise redundante Pfade reserviert . Durch Erweiterung eines Reservierungsprotokolls wird eine automatische Konfiguration von Duplikatefiltern an redundanten Pfadabschnitten zugeordneten Netzknoten während einer Ressourcenreservierung vorgenommen .

Aus EP 3 674 824 Al ist bekannt , dass für Datenströme , die auf Endgeräten ablaufenden ausgewählten Steuerungsanwendungen zugeordnet sind, j eweils ein individuelles Zeitfenster innerhalb vorgegebener Zeitintervalle spezi fi ziert wird . Die Zeitfenster weisen j eweils eine individuelle Zyklusdauer auf , die ein Viel faches einer allgemeinen Zyklusdauer ist oder der allgemeinen Zyklusdauer entspricht . Erste bzw . zweite Kommunikationsgeräte überprüfen für die ausgewählten Steuerungsanwendungen j eweils , ob ein spezi fi ziertes Zeitfenster zur Datenübermittlung verfügbar ist . Bei einem verfügbaren Zeitfenster wird j eweils eine Information über einen Beginn des Zeitfensters innerhalb der vorgegebenen Zeitintervalle an das Endgerät übermittelt , auf dem die j eweilige ausgewählte Steuerungsanwendung abläuft . Datenströme , die ausgewählten Steuerungsanwendungen zugeordnet sind, werden j eweils entsprechend der Information über den Beginn des individuellen Zeitfensters übermittelt .

In WO 2017 / 064560 Al wird ein Verfahren zum Bereitstellen einer zentralisierten Verwaltung eines softwaredefinierten Automatisierungs-Systems ( SDA-System) beschrieben . Das SDA- System umfasst eine Erfassung von Controller-Knoten und eine logisch zentralisierte und dennoch physisch verteilte Erfas- sung von Rechenknoten durch Überwachung von Aktivitäten der Rechenknoten . Dabei können durch Systemkomponenten Aus füh- rungs- , Netzwerk- und Sicherheitsumgebungen innerhalb des SDA-Systems überwacht werden, um kritische Ereignisse in einer vorgegebenen Umgebung zu erkennen . Als Reaktion auf ein erkanntes kritisches Ereignis wird mindestens eine Komponente in der vorgegebenen Umgebung korrigiert . Eine Korrektur innerhalb der vorgegebenen Umgebung bewirkt , dass eine Korrektur mindestens einer Komponente innerhalb zumindest einer weiteren Umgebung veranlasst wird .

In industriellen Automatisierungssystemen werden Steuerungsanwendungen üblicherweise in Echt Zeitsystemen, wie speicherprogrammierbaren Steuerungen, ausgeführt , damit ein deterministischer Ablauf der Steuerungsanwendungen sichergestellt werden kann . Im Rahmen eines Programmzyklus werden zunächst aus einer gesteuerten bzw . geregelten Prozess Mess- bzw . Zustandsgrößen als Eingangssignale abgefragt . Dann erfolgt durch die Steuerungsanwendungen auf Basis der abgefragten Eingangssignale eine Ermittlung von Stellgrößen als Ausgangssignalen . Schließlich werden die Ausgangssignale über idealerweise echt zeit fähige Kommunikationssystem an zu steuernde bzw . zu regelnde Geräte übermittelt .

In virtualisierten Steuerungssystemen oder Betriebssystemen ohne Echtzeit-Erweiterungen haben Steuerungsanwendungen j edoch keinen direkten Zugri f f auf Hardware und Ablaufsteuerungsumgebung hat . Somit kann beispielsweise keine sofortige Aus führung von Steuerungsbefehlen erzwungen werden . Insbesondere ist es in virtualisierten Steuerungssystemen oder Betriebssystemen ohne Echtzeit-Erweiterungen möglich, dass eine hoch priorisierte Steuerungsanwendung von einer anderen Anwendung verdrängt bzw . verzögert ausgeführt wird . Dies kann beispielsweise dann vorkommen, wenn in einer virtualisierten Umgebung zwei Steuerungsanwendungen laufen, die gleichzeitig exklusiven Zugri f f auf dieselbe Ressource anfordern .

Der vorliegenden Erfindung liegt die Aufgabe zugrunde , ein Verfahren zur Bereitstellung zeitkritischer Steuerungsanwendungen innerhalb von Umgebungen zu schaf fen, die per se keine Echt zeit fähigkeit aufweisen bzw . und eine geeignete Vorrichtung zur Durchführung des Verfahrens anzugeben .

Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Anspruch 1 angegebenen Merkmalen und durch ein System mit den in Anspruch 11 angegebenen Merkmalen gelöst . Vorteilhafte Weiterbildungen sind in den abhängigen Ansprüchen angegeben .

Entsprechend dem erfindungsgemäßen Verfahren werden Steuerungsanwendungen mittels Ablaufsteuerungskomponenten bereitgestellt , die j eweils in eine mittels einer Server-Einrichtung gebildete Ablaufsteuerungsumgebung ladbar und dort ausführbar sind . Die Steuerungsanwendungen ermitteln aus periodisch erfassten Mess- bzw . Zustandsgrößen j eweils periodisch Stellgrößen für einen zu steuernden oder zu regelnden Prozess .

Die Ablaufsteuerungskomponenten sind vorzugsweise Software- Container, Java Bytecode oder auf Betriebssystemen ablaufenden Anwendungsprogramme , während die Ablaufsteuerungsumgebung eine Container-Lauf zeitumgebung, wie eine Docker Engine , eine Java Virtual Machine oder ein Betriebssystem ohne Echtzeit- Erweiterungen sein kann . Grundsätzlich können für die Ablaufsteuerungskomponenten auch alternative Micro-Virtualisie- rungskonzepte , wie Snaps , verwendet werden . Dementsprechend kann die Ablaufsteuerungsumgebung auch einen Snap Core umfas- sen . Vorzugsweise sind Software-Container j eweils dafür ausgestaltet und eingerichtet , von anderen Software-Containern oder Container-Gruppen isoliert innerhalb der Ablaufsteuerungsumgebung auf einem Host-Betriebssystem abzulaufen, das in der Server-Einrichtung installiert ist . Insbesondere nutzen die Software-Container j eweils gemeinsam mit anderen auf der Server-Einrichtung ablaufenden Software-Containern einen Kernel des Host-Betriebssystems der Server-Einrichtung .

Erfindungsgemäß werden mehrere zueinander redundante Ablaufsteuerungskomponenten parallel zueinander ausgeführt . Darüber hinaus übermitteln die zueinander redundanten Ablaufsteuerungskomponenten die ermittelten Stellgrößen unter Einschluss einer dem j eweiligen Prozess zyklus zugeordneten Sequenznummer an Aktoren bzw . Steuerungseinheiten . Dabei identi fi zieren die Aktoren bzw . Steuerungseinheiten anhand der Sequenznummern Duplikate der übermittelten Stellgrößen und filtern diese dementsprechend . Zusätzlich kann vorgesehen sein, dass die zueinander redundanten Ablaufsteuerungskomponenten die Stellgrößen für einen j eweiligen Prozess zyklus ermitteln, der auf einen j eweiligen Erfassungs zeitpunkt der Mess- bzw . Zustandsgrößen folgt , sobald eine Mehrheit der zueinander redundanten Ablaufsteuerungskomponenten ein fehlerfreies Vorliegen der Mess- bzw . Zustandsgrößen für den j eweiligen Erfassungs zeitpunkt signalisiert .

Die vorliegende Erfindung ermöglicht eine Aus führung von zeitkritischen Steuerungsanwendungen in Ablaufsteuerungsumgebungen, die selbst keine Echt zeit fähigkeit aufweisen, und zwar durch obige Koordination zueinander redundanter Ablaufsteuerungskomponente bzw . durch eine koordinierte , redundante Übermittlung der ermittelten Stellgrößen . Dadurch kann übliche IT- Infrastruktur verwendet werden, um Steuerungsaufgabe zu lösen, die üblicherweise Echt zeit fähigkeit erfordern . Eine besonders hohe Verfügbarkeit ergibt sich, wenn die zueinander redundanten Ablaufsteuerungskomponenten die Stellgrößen über disj unkte Pfade an die Aktoren bzw . Steuerungseinheiten übermitteln bzw . wenn bei dem die Stellgrößen j eweils an zueinander redundante Steuerungseinheiten übermittelt werden .

Erfindungsgemäß abonnieren die zueinander redundanten Ablaufsteuerungskomponenten j eweils einheitlich Datenströme mit den periodisch erfassten Mess- bzw . Zustandsgrößen . Auf diese Weise kann sichergestellt werden, dass die zueinander redundanten Ablaufsteuerungskomponenten mit einem konsistenten Prozessabbild arbeiten . Vorzugsweise werden die Datenströme mit den periodisch erfassten Mess- bzw . Zustandsgrößen durch j eweilige Datenquellen bzw . Sensoren j eweils mittels Datenstrom-Ankündigungen bekannt gemacht und an eine Multicast- Adresse gesendet , die den j eweiligen Datenstrom abonnierenden Ablaufsteuerungskomponenten zugeordnet ist .

Darüber hinaus werden die Mess- bzw . Zustandsgrößen erfindungsgemäß unter Einschluss einer dem j eweiligen Erfassungszeitpunkt zugeordneten Sequenznummer an die zueinander redundanten Ablaufsteuerungskomponenten gesendet . Dabei übermitteln die zueinander redundanten Ablaufsteuerungskomponenten die ermittelten Stellgrößen mittels Datenströmen an die Aktoren bzw . Steuerungseinheiten . Zum Senden der Mess- bzw . Zustandsgrößen für den j eweiligen Erfassungs zeitpunkt werden dieselben Sequenznummern verwendet wie zur Übermittlung der ermittelten Stellgrößen für den j eweiligen Prozess zyklus , der auf den j eweiligen Erfassungs zeitpunkt der Mess- bzw . Zustandsgrößen folgt . Auf diese Weise können stochastische Eigenschaften von verteilten Systemen in Kombination mit Kommunikationssystemfunktionen zur deterministischen und redundanten Übermittlung von Datenströmen ef fi zient genutzt , um einen stochastischen Determinismus für die Steuerungsanwendungen zu ermöglichen .

Für eine Übermittlung der Datenströme werden erfindungsgemäß Dienstgüteanforderungen spezi fi ziert . Entsprechend diesen Dienstgüteanforderungen werden in die Datenströme weiterleitenden Kommunikationsgeräten, beispielsweise Switches , Bridges oder Router, Ressourcen für die Übermittlung der Datenströme reserviert . Diese Ressourcen werden bei ausreichender Verfügbarkeit in den die Datenströme weiterleitenden Kommunikationsgeräten reserviert und umfassen nutzbare Übertragungszeitfenster, Bandbreite , zugesicherte maximale Latenz , Queue- Anzahl , Queue-Cache bzw . Adress-Cache in Switches oder Bridges .

Entsprechend einer besonders bevorzugten Ausgestaltung der vorliegenden Erfindung sind die Kommunikationsgeräte , welche die Datenströme weiterleiten, über ein Time-sensitive Network, insbesondere entsprechend IEEE802 . 3 , IEEE 802 . IQ, IEEE 802 . 1AB, IEEE 802 . 1AS , IEEE 802 . IBA bzw . IEEE 802 . 1CB, miteinander verbunden . Dementsprechend kann eine Weiterleitung der Datenströme mittels Frame Preemption, insbesondere gemäß IEEE 802 . IQ, Time-Aware Shaper, insbesondere gemäß IEEE 802 . IQ, Credit-Based Shaper, insbesondere gemäß IEEE 802 . IQ, Burst Limiting Shaper, Peristaltic Shaper bzw . Priority-Based Shaper gesteuert werden . Auf diese Weise kann auf bewährte , zuverlässig zu implementierende Kommunikationssystemfunktionen zur deterministischen und redundanten Übermittlung von Datenströmen zurückgegri f fen werden .

Die zueinander redundanten Ablaufsteuerungskomponenten signalisieren das fehlerfreie Vorliegen der Mess- bzw . Zustandsgrößen für den j eweiligen Erfassungs zeitpunkt vorteilhafterweise j eweils mittels einer Bestätigungsmeldung an die übri- gen redundanten Ablaufsteuerungskomponenten . Darüber hinaus wird bei einem verspäteten bzw . fehlerbehafteten Vorliegen der Mess- bzw . Zustandsgrößen in der Mehrheit der zueinander redundanten Ablaufsteuerungskomponenten ein Fehler signalisiert , bzw . es erfolgt eine erneute Übermittlung der zuletzt ermittelten Stellgrößen . Damit ist auch in Fehlerfällen ein definiertes Systemverhalten sichergestellt . Verspätet liegen die Mess- bzw . Zustandsgrößen beispielsweise vor, wenn sie nicht innerhalb einer zulässigen Latenz ab dem j eweiligen Erfassungs zeitpunkt durch die Ablaufsteuerungskomponenten empfangen werden .

Das erfindungsgemäße System zur Bereitstellung von zeitkritischen Steuerungsanwendungen ist zur Durchführung eines Verfahrens entsprechend vorangehenden Aus führungen geeignet und umfasst mehrere Server-Einrichtungen, mehrere mittels der Server-Einrichtungen gebildete Ablaufsteuerungsumgebungen sowie mehrere Ablaufsteuerungskomponenten zur Bereitstellung der Steuerungsanwendungen . Die Ablaufsteuerungskomponenten sind j eweils in eine mittels einer Server-Einrichtung gebildete Ablaufsteuerungsumgebung ladbar und dort aus führbar . Dabei sind die Steuerungsanwendungen dafür eingerichtet und ausgestaltet , aus periodisch erfassten Mess- bzw . Zustandsgrößen j eweils periodisch Stellgrößen für einen zu steuernden oder zu regelnden Prozess zu ermitteln .

Die Ablaufsteuerungskomponenten des erfindungsgemäßen Systems sind dafür eingerichtet und ausgestaltet , als zueinander redundante Ablaufsteuerungskomponenten parallel zueinander ausgeführt zu werden, j eweils einheitlich Datenströme mit den periodisch erfassten Mess- bzw . Zustandsgrößen zu abonnieren und die ermittelten Stellgrößen mittels Datenströmen an Aktoren bzw . Steuerungseinheiten übermitteln . Dementsprechend ist erfindungsgemäße System dafür eingerichtet und ausgestaltet , dass für eine Übermittlung der Datenströme Dienstgüteanforderungen spezi fi ziert werden und die Mess- bzw . Zustandsgrößen unter Einschluss einer einem j eweiligen Erfassungs zeitpunkt zugeordneten Sequenznummer an die zueinander redundanten Ablaufsteuerungskomponenten gesendet werden .

Darüber hinaus sind die Ablaufsteuerungskomponenten dafür eingerichtet und ausgestaltet , die ermittelten Stellgrößen unter Einschluss einer dem j eweiligen Prozess zyklus zugeordneten Sequenznummer an die Aktoren bzw . Steuerungseinheiten zu übermitteln . Dementsprechend sind die Aktoren bzw . Steuerungseinheiten dafür eingerichtet und ausgestaltet , anhand der Sequenznummern Duplikate der übermittelten Stellgrößen zu identi fi zieren und zu filtern . Des Weiteren ist das erfindungsgemäße System dafür eingerichtet und ausgestaltet , dass zum Senden der Mess- bzw . Zustandsgrößen für den j eweiligen Erfassungs zeitpunkt dieselben Sequenznummern verwendet werden wie zur Übermittlung der ermittelten Stellgrößen für den j eweiligen Prozess zyklus , der auf den j eweiligen Erfassungszeitpunkt der Mess- bzw . Zustandsgrößen folgt . Außerdem ist das System dafür eingerichtet und ausgestaltet , dass in die Datenströme weiterleitenden Kommunikationsgeräten entsprechend den Dienstgüteanforderungen bei ausreichender Verfügbarkeit Ressourcen für die Übermittlung der Datenströme reserviert werden . Dabei umfassen die Ressourcen nutzbare Übertragungs zeitfenster, Bandbreite , zugesicherte maximale Latenz , Queue-Anzahl , Queue-Cache bzw . Adress-Cache in Switches oder Bridges .

Die vorliegende Erfindung wird nachfolgend an einem Aus führungsbeispiel anhand der Zeichnung näher erläutert . Es zeigt die Figur ein System zur Bereitstellung von zeitkritischen Steuerungsanwendungen .

Das in der Figur dargestellte System umfasst mehrere Server- Einrichtung 101- 103 zur Bereitstellung von Steuerungsanwendungen eines industriellen Automatisierungssystems . Die Steuerungsanwendungen des industriellen Automatisierungssystems sind exemplarisch für zeitkritische Dienste und können auch Überwachungs funktionen umfassen . Die Server-Einrichtungen 101- 103 sind im vorliegenden Aus führungsbeispiel über ein mehrere Switche 201-203 umfassendes Kommunikationsnetz mit zwei zueinander redundanten Eingabe/Ausgabe-Einheiten 301-302 verbunden, die als Steuerungseinheiten für angeschlossene Sensoren und Aktoren dienen . Beispielsweise können an die Eingabe/Ausgabe-Einheiten 301-302 ein Kamerasystem 310 als Sensor und eine durch o . g . Steuerungsanwendungen gesteuerte Maschine als Aktor angeschlossen sein .

Die Switche 201-203 sind insbesondere zur Weiterleitung von Datenströmen über ein Time-sensitive Network entsprechend IEEE802 . 3 , IEEE 802 . IQ, IEEE 802 . 1AB, IEEE 802 . 1AS , IEEE 802 . IBA und IEEE 802 . 1CB ausgestaltet . Dabei kann die Weiterleitung der Datenströme beispielsweise mittels Frame Preemption gemäß IEEE 802 . IQ, Time-Aware Shaper gemäß IEEE 802 . IQ, Credit-Based Shaper gemäß IEEE 802 . IQ, Burst Limiting Shaper, Peristaltic Shaper bzw . Priority-Based Shaper gesteuert werden .

Die Server-Einrichtungen 101- 103 können mittels der Steuerungsanwendungen beispielsweise Funktionen von Steuerungsgeräten eines industriellen Automatisierungssystems , wie speicherprogrammierbaren Steuerungen, implementieren . Auf diese Weise können die Server-Einrichtung 101- 103 insbesondere für einen Austausch von Steuerungs- und Messgrößen mit durch die Server-Einrichtungen 101-103 gesteuerten Maschinen oder Vorrichtungen genutzt werden. Dabei können die Server-Einrichtungen 101-103 aus erfassten Mess- oder beobachteten Zustandsgrößen geeignete Stellgrößen für die Maschinen oder Vorrichtungen ermitteln.

Alternativ oder zusätzlich können die Server-Einrichtung 101- 103 mittels der Steuerungsanwendungen Funktionen von Bedien- und Beobachtungsstationen implementieren und somit zur Visualisierung von Prozessdaten bzw. Mess- und Steuerungsgrößen genutzt werden, die durch Automatisierungsgeräte verarbeitet bzw. erfasst werden. Insbesondere können die Server-Einrichtungen 101-103 zur Anzeige von Werten eines Regelungskreises und zur Veränderung von Regelungsparametern oder -programmen verwendet werden.

In der Server-Einrichtungen 101-103 werden die Steuerungsanwendungen werden jeweils mittels Ablaufsteuerungskomponenten 113, 123, 133 bereitgestellt, die in eine mittels der jeweiligen Server-Einrichtung 101-103 gebildete Ablaufsteuerungsumgebung 112, 122, 132 ladbar und dort ausführbar sind. Die Ablaufsteuerungsumgebungen 112, 122, 132 sind jeweils als Anwendung auf einem Host-Betriebssystem 111, 121, 131 der jeweiligen Server-Einrichtung 101-103 installiert. Darüber hinaus können innerhalb der Ablaufsteuerungsumgebungen auch Ablaufsteuerungskomponenten 114, 124 für zeitunkritische Anwendungsprogramme ausgeführt werden.

Im vorliegenden Ausführungsbeispiel sind bzw. umfassen die Ablaufsteuerungskomponenten 113-114, 123-124, 133 Software- Container, die jeweils von anderen Software-Containern, Container-Gruppen bzw. Pods isoliert innerhalb der Ablaufsteuerungsumgebungen 112, 122, 132 auf dem jeweiligen Host-Be- triebssystem 111, 121, 131 ablaufen. Dabei nutzen die Soft- ware-Container jeweils gemeinsam mit anderen auf der jeweiligen Server-Einrichtung 101-103 ablaufenden Software-Containern einen Kernel des jeweiligen Host-Betriebssystems 111,

121, 131. Die Ablaufsteuerungsumgebungen 112, 122, 132 sind vorzugsweise Container-Laufzeitumgebungen bzw. Container- Engines. Entsprechend alternativen Aus führungs formen können die Ablaufsteuerungskomponenten 113-114, 123-124, 133 Java Bytecode oder auf Betriebssystemen ablaufenden Anwendungsprogramme umfassen, während die Ablaufsteuerungsumgebungen 112,

122, 132 in diesem Fall jeweils eine Java Virtual Machine oder ein Betriebssystem ohne Echtzeit-Erweiterungen sind.

Eine Isolation der Ablaufsteuerungskomponenten bzw. eine Isolation von ausgewählten Betriebssystemmitteln untereinander kann insbesondere mittels Control Groups und Namespacing realisiert werden. Mittels Control Groups lassen sich Prozessgruppen definieren, um verfügbare Ressourcen für ausgewählte Gruppen zu beschränken. Über Namespaces können einzelne Prozesse oder Control Groups gegenüber anderen Prozessen oder Control Groups isoliert bzw. verborgen werden.

Die Steuerungsanwendungen ermitteln aus periodisch erfassten Mess- bzw. Zustandsgrößen 12 jeweils periodisch Stellgrößen 11 für einen zu steuernden oder zu regelnden Prozess. Hierzu werden mehrere zueinander redundante Ablaufsteuerungskomponenten 113, 123, 133 parallel zueinander ausgeführt. Die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 abonnieren im vorliegenden Ausführungsbeispiel jeweils einheitlich Datenströme mit den periodisch erfassten Mess- bzw. Zustandsgrößen 12, die insbesondere vom Kamerasystem 310 stammen können. Die Datenströme mit den periodisch erfassten Mess- bzw. Zustandsgrößen werden durch jeweilige Datenquellen bzw. Sensoren 310 jeweils mittels Datenstrom-Ankündigungen, z.B. Talker Advertise, bekannt gemacht und an eine Multicast- Adresse gesendet, die den jeweiligen Datenstrom abonnierenden

Ablaufsteuerungskomponenten 113, 123, 133 zugeordnet ist.

Für eine Übermittlung der Datenströme können insbesondere Talker- bzw. Listener-seitig Dienstgüteanforderungen spezifiziert werden, so dass in die Datenströme weiterleitenden Kommunikationsgeräten, wie den Switches 201-203, entsprechend den Dienstgüteanforderungen Ressourcen für die Übermittlung der Datenströme reserviert werden. Dies setzt voraus, dass in den die Datenströme weiterleitenden Kommunikationsgeräten ausreichende Ressourcen verfügbar sind. Dabei umfassen die Ressourcen beispielsweise nutzbare Übertragungszeitf enster, Bandbreite, zugesicherte maximale Latenz, Queue-Anzahl, Queue-Cache bzw. Adress-Cache in Switches oder Bridges umfassen .

Die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 ermitteln die Stellgrößen 11 für einen jeweiligen Prozesszyklus, der auf einen jeweiligen Erfassungszeitpunkt der Mess- bzw. Zustandsgrößen 12 folgt, sobald eine Mehrheit der zueinander redundanten Ablaufsteuerungskomponenten ein fehlerfreies Vorliegen der Mess- bzw. Zustandsgrößen 12 für den jeweiligen Erfassungszeitpunkt signalisiert. Im vorliegenden Ausführungsbeispiel signalisieren die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 das fehlerfreie Vorliegen der Mess- bzw. Zustandsgrößen 12 für den jeweiligen Erfassungszeitpunkt jeweils mittels einer Bestätigungsmeldung 10 an die übrigen redundanten Ablaufsteuerungskomponenten .

Bei einem verspäteten oder fehlerbehafteten Vorliegen der Mess- bzw. Zustandsgrößen 12 in der Mehrheit der zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 kann ein Fehler signalisiert werden bzw. eine erneute Übermittlung der zuletzt ermittelten Stellgrößen 11 erfolgen. Verspätet liegen die Mess- bzw. Zustandsgrößen vor, wenn sie nicht innerhalb einer zulässigen Latenz ab dem jeweiligen Erfassungszeitpunkt durch die Ablaufsteuerungskomponenten empfangen werden .

Alternativ oder zusätzlich übermitteln die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 die ermittelten Stellgrößen 11 unter Einschluss einer dem jeweiligen Prozesszyklus zugeordneten Sequenznummer an Aktoren 320 bzw. Steuerungseinheiten 31-32. Dies kann insbesondere unabhängig davon erfolgen, ob bzw. wann die Mess- bzw. Zustandsgrößen 12 für den jeweiligen Erfassungszeitpunkt in der Mehrheit der zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 fehlerfrei vorliegen. Anhand der Sequenznummern können die Aktoren 320 bzw. Steuerungseinheiten 31-32 Duplikate der übermittelten Stellgrößen 11 identifizieren und filtern. Eine solche Duplikatefilterung kann auch durch die Switches 201- 203 nach einer Weiterleitung der Stellgrößen 11 über abschnittsweise disjunkte Pfade erfolgen.

Vorzugsweise werden die Mess- bzw. Zustandsgrößen 12 unter Einschluss einer dem jeweiligen Erfassungszeitpunkt zugeordneten Sequenznummer mittels der abonnierten Datenströme an die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 gesendet. Korrespondierend dazu übermitteln die zueinander redundanten Ablaufsteuerungskomponenten 113, 123, 133 die ermittelten Stellgrößen 11 mittels Datenströmen an die Aktoren 320 bzw. Steuerungseinheiten 31-32. Dabei werden zum Senden der Mess- bzw. Zustandsgrößen 12 für den jeweiligen Erfassungszeitpunkt dieselben Sequenznummern verwendet werden wie zur Übermittlung der ermittelten Stellgrößen 11 für den jeweiligen Prozesszyklus, der auf den jeweiligen Erfassungszeitpunkt der Mess- bzw. Zustandsgrößen 12 folgt. Zur Duplikatefilterung kann auf Basis einer maximalen Varianz von Frame- bzw . Paket-Lauf zeiten bei einer Übermittlung der Stellgrößen 11 eine Größe bzw . Tiefe eines Duplikatefilters festgelegt werden . Zusätzlich kann eine minimale Intervall- Länge berücksichtigt werden, mit der die Mess- bzw . Zustandsgrößen 12 periodisch durch die j eweilige Datenquellen bzw . Sensoren 310 gesendet werden . Eine Varianz aus minimalen und maximalen Lauf zeiten über Duplikate von Stellgrößen 11 , die von zueinander redundanten Ablaufsteuerungskomponenten 113 , 123 , 133 werden, lässt sich an Verknüpfungspunkten, beispielsweise an den Switches 201-203 , relativ problemlos bestimmen . Insbesondere können in deterministischen Kommunikationsnetzen an den Verknüpfungspunkten Merging Points Funktionen zur Jitter-Minimierung genutzt werden . Durch gezielte Verzögerungen bei der Übermittlung der Stellgrößen 11 oder der Mess- bzw . Zustandsgrößen 12 kann ein reduzierter Jitter erzielt werden .

Entsprechend einer besonders bevorzugten Aus führungsvariante ist zur Nutzung von redundanter Datenübermittlung, asynchroner Kommunikation, Diagnose von verteilten Systemen und zur Koordination der zueinander redundanten Ablaufsteuerungskomponenten 113 , 123 , 133 ein Supervisor 100 vorgesehen . Mittels des Supervisors können beispielsweise redundante Ablaufsteuerungskomponenten hinzugefügt oder entfernt werden . Ein Entfernen von Ablaufsteuerungskomponenten aus einem Cluster redundanter Ablaufsteuerungskomponenten bietet sich insbesondere dann an, wenn eine Ablaufsteuerungskomponente benötigte Mess- bzw . Zustandsgrößen verspätet empfängt bzw . verarbeitet . Auf diese Weise können Latenzen und Jitter reduziert werden .