本发明涉及用于借助主从选择法来分派控制权限给计算机的方法和系统。
背景技术:
系统可以包括多个不同的部件。为了控制部件,作为控制单元使用可以提供控制数据的计算机。所述计算机可以执行一个或者多个应用或者应用程序,所述应用或者应用程序为了控制所涉及的系统的系统部件而提供控制数据。待控制的部件在此包括执行器或者执行机构部件,所述执行器或者执行机构部件根据所获得的控制数据被控制。尤其在安全紧要的系统中必要的是,待控制的执行机构持续地并且可靠地获得正确的控制数据。因此,在这样的安全紧要的系统中,大多冗余地设置控制单元或者控制计算机。在车辆中,执行机构的确定的部件或者执行器是安全紧要的,使得不允许发生控制数据的失效。车辆内的这样的安全紧要的执行器单元的示例是车辆制动装置和/或车辆转向控制装置。如果多个计算机负责这样的安全紧要的部件的或者安全紧要的执行机构的控制,则必要的是,明确地确定冗余计算机中的哪一个是经控制授权的或者给执行机构供应控制数据。
技术实现要素:
因此,本发明的任务是,实现一种用于明确地分派控制权限给多个计算机之一的方法和系统,借助所述方法和系统可靠地避免计算机之间的在部件的控制方面的冲突。
根据本发明,所述任务通过具有在专利权利要求1中说明的特征的系统来解决。
因此,根据第一方面,本发明实现一种系统,所述系统具有:至少两个异步计算机,在所述至少两个异步计算机上分别执行至少一个应用,所述至少一个应用提供用于至少一个执行机构的控制数据,其中所提供的控制数据由占有主-计算机状态的为此被控制授权的计算机传输至所述执行机构用于所述执行机构的控制,其中所述系统的计算机通过数据接口在数据交换中循环地相互交换状态数据和功率数据,其中所述计算机分别基于在所述数据交换中从另外的计算机获得的状态数据和功率数据并且基于自身的状态数据和功率数据在在所述计算机上执行的主从选择中确定待由相应的计算机自身占有的作为经控制授权的或者未经控制授权的计算机的计算机状态。
在根据本发明的系统的一种可能的实施方式中,计算机的所交换的状态数据具有计算机的以下状态数据:所述状态数据说明计算机的计算机状态。
在一种可能的实施方式中,计算机的计算机状态在此优选具有:
作为经控制授权的计算机的主-计算机状态、
作为未经控制授权的计算机的从-计算机状态、和
作为尚被控制授权的计算机的主中间-计算机状态。
在根据本发明的系统的另一种可能的实施方式中,所述系统的每一个计算机分派有所属的时间窗,在所述时间窗中所述计算机为了避免主-主冲突而占有主中间-计算机状态,其中所分派的用于所述系统的不同计算机的时间窗是不同的。
在根据本发明的系统的另一种可能的实施方式中,分派给所述计算机的时间窗分别大于以下时间段:所述时间段通过在所述计算机相互的循环通信时的异步性和/或通过在所述计算机启动时的异步性引起。
在根据本发明的系统的另一种可能的实施方式中,分派给两个不同的计算机的两个时间窗的时间差大于以下时间段,该时间段对于对分别另外的计算机的数据传输回复是必需的。
在根据本发明的系统的另一种可能的实施方式中,计算机在确认时间段到期之后才占有所述计算机的针对所述计算机确定的计算机状态。
在根据本发明的系统的另一种可能的实施方式中,所述系统的每个计算机基于在与另外的计算机的数据交换中获得的状态数据和功率数据并且基于自身的状态数据和功率数据为所述另外的计算机分别确定一个期望-计算机状态。
在根据本发明的系统的另一种可能的实施方式中,所述系统的计算机分别基于所述状态数据和功率数据以及基于由其余的计算机为所涉及的计算机确定的期望-计算机状态在在所述计算机上执行的主从选择中确定待通过所述计算机自身占有的计算机状态。
在根据本发明的系统的另一种可能的实施方式中,附加地根据在计算机中出现的至少一个计算机中断来实现待通过所述计算机占有的计算机状态的确定。
所述计算机中断可以优选地是电力中断。
在根据本发明的系统的另一种可能的实施方式中,所述系统是冗余的安全紧要的系统、尤其是分布式系统,所述系统防失效地传输控制数据到至少一个执行机构上。
在根据本发明的系统的另一种可能的实施方式中,在计算机的确认时间段到期之后占有为所述计算机确定的主-计算机状态的计算机传输控制数据到所述执行机构并且一直地保持所述计算机的所占有的主-计算机状态,直至在所述计算机上执行的主从选择确定用于所述计算机的另一计算机状态。
在根据本发明的系统的另一种可能的实施方式中,仅仅当到目前为止已经占有主-计算机状态的另外的计算机占有另外的计算机状态并且在所涉及的计算机(已经占有从-计算机状态的计算机)上执行的主从选择为所涉及的计算机确定主-计算机状态的时候,已经占有从-计算机状态的计算机才从所述所占有的从-计算机状态变换到所述主-计算机状态。
在根据本发明的系统的另一种可能的实施方式中,计算机的状态数据说明所述计算机的状态。
在根据本发明的系统的另一种可能的实施方式中,功率数据说明在所述计算机上为了产生所述控制数据而执行的至少一个应用的性能。
此外,根据另一方面,本发明实现具有在专利权利要求15中说明的特征的用于分派控制权限的方法。
据此,本发明实现一种用于分派控制权限给系统的多个异步计算机之一的方法,其中所述控制权限授权所述计算机来控制执行机构,其中所述方法具有以下步骤:
通过在相应的计算机上执行的主从选择、基于在数据交换中从另外的计算机获得的状态数据和功率数据并且基于所述相应计算机的自身的状态数据和功率数据为每一个计算机确定待通过相应的计算机占有的计算机状态;并且
分派用于控制执行机构的控制权限给以下计算机:对于所述计算机在其主从选择中确定了主-计算机状态。
附图说明
此外,参考附图详细阐述用于分派控制权限给计算机的根据本发明的系统的和根据本发明的方法的可能的实施方式。
其中:
图1示出用于示出根据本发明的系统的示例性实施例的简单的框图;
图2示出用于阐述用于分派控制权限的根据本发明的方法的和根据本发明的系统的工作原理的示意图;
图3示出用于示出用于分派控制权限给计算机的根据本发明的方法的示例性实施例的简单的流程图。
具体实施方式
如在图1中可以看出的那样,根据本发明的系统1在所示出的实施例中包括至少两个计算机R,在所述至少两个计算机上可以分别执行至少一个应用A。该应用A提供用于系统1的至少一个执行机构AKT的控制数据SD。在图1中示出的实施例中,系统1具有两个异步计算机2-1、2-2,它们相互通信或者相互交换数据。这两个计算机2-1、2-2通过数据接口在数据交换DAS中循环地相互交换状态数据ZD和功率数据LD。数据交换在此周期性地、也即以预给定的恒定时间间距进行。基于在所述数据交换DAS中从至少一个另外的计算机获得的状态数据和功率数据ZDopp、LDopp以及基于自身的状态数据和功率数据ZDown、LDown在在所述计算机R上执行的主从选择MSA中确定待由相应的计算机2-i自身占有的作为经控制授权的或者未经控制授权的计算机的计算机状态。在图1中示出的冗余系统1中,两个计算机2-1、2-2产生控制数据,然而仅仅经控制授权的计算机传输控制数据至执行机构3以用于所述执行机构的控制。执行机构可以是系统部件、尤其安全紧要的系统部件,例如车辆的车辆制动单元。控制数据例如可以通过控制数据总线由经控制授权的计算机传输至执行机构3以用于所述执行机构的控制。
计算机的所交换的状态数据ZD优选具有计算机的状态数据,所述状态数据说明相应的计算机2-i的计算机状态RS。计算机的计算机状态在此优选具有作为经控制授权的计算机的主-计算机状态(M-RS)、作为未经控制授权的计算机的从-计算机状态(S-RS)、和作为暂时被控制授权的计算机的主中间-计算机状态(MI-RS)。在根据本发明的系统1中,确保了控制权限SB到计算机2-i的明确的并且因此可靠的分派以用于控制执行机构3。资格的或者控制权限的分派明确地或者无冲突地在系统1的不同的冗余地设置的计算机2-i之间进行。在不同的计算机2-i之间进行主从选择MSA。该主从机制适合于在具有冗余地实施的应用或者分区簇PC的异步系统中确保系统一致性。在图1中示出的异步系统1中,计算机2-i或者其应用A异步地工作。必要时例如在计算机状态的变换期间对于非常短的时间窗,多个计算机可以是经控制授权的或者不经控制授权的。
在根据本发明的系统的一种可能的实施方式中,系统1的冗余地设置的计算机中的每一个分派有所属的时间窗ZF,在所述时间窗中相应的计算机2-i为了避免主-主冲突而占有主中间-计算机状态MI-RS。在此分派给不同的计算机2-i的时间窗ZF优选对于系统1的不同计算机2-i是不同的。在具有相同循环时间的部件中,可以在同一循环i中或者在一个循环中具有时间偏移地交换信息或者信息数据。由两个计算机2-1、-2的两个能量供应单元的自由激活之间的时间差异产生进一步的异步性。一方面由在用于相应计算机2-i的能量供应的自由激活的开关中的受电控制的半导体开关元件中的机械决定的时间移位或者延迟并且另一方面由相应车载电网直到所述两个异步计算机2-1、2-2的能量供应插头的动态性产生所述异步性。
基于存在的异步性,产生以下时间段Δt:在所述时间段中所述两个计算机2-1、2-2开始其主从选择MSA,也即为相应的计算机分派控制权限。分派给计算机的时间窗ZF优选地分别大于以下时间段ZS:所述时间段通过在所述计算机2-i相互的循环通信时的异步性和/或通过在所述计算机2-i启动时的异步性引起。对于冗余系统1的在图1中示出的两个计算机2-1、2-2,所分派的时间窗ZF应不同地调节或者不同长地选择。
得出:
Δt > 时间段(循环通信的异步性)+时间段(启动时的典型异步性)。
此外,分派给两个不同的计算机2-1、2-2的两个时间窗ZF的时间差优选大于以下时间段ZS地选择,该时间段ZS对于对相应的另外的计算机的数据传输回复是必需的。
ABS(Δt(Rown)-Δt(Ropp)) > 时间段(对Ropp的数据传输回复)。
这两个计算机2-1、2-2例如在主-主冲突的情况下立即置于从-计算机状态。
为了在运行区间分派用于控制执行机构3的资格,主从算法或者主从选择MSA分别在所述两个计算机2-1、2-2上运行。在此,处理关于系统1中的部件的状态的状态数据ZD以及所述部件的功率数据LD,所述部件优选在前置的基本过程BP中被确定并且被考虑用于相应的分析。在成功的主从选择之后可以确定以下作为结果:为不同的计算机2-1、2-2中的每一个传送主-标识或者从-标识并且在那里又为在那运行的应用A中的一个或者每一个本地地传送主-标识或者从-标识。
标识优选说明,相应的计算机2-i在执行机构3方面是否是经控制授权的计算机或者未经控制授权的计算机。系统1的执行机构3然后或者从计算机2-1获得数据或者控制数据SD1或者从计算机2-2获得控制数据SD2,视两个计算机2-1、2-2中的哪一个具有主-标识并且因此在执行机构3的控制方面已经变成当前的主-计算机而定。
系统1的执行机构3自身在此通常不再检查,到达的控制数据SD是否来自于授权机构。执行机构3无论如何考虑到达执行机构的控制数据SD,也即,执行机构将根据所获得的控制数据执行系统1内的适合所述执行机构的功能。这提供以下特别的优点:即系统1的执行机构3在使用根据本发明的方法的情况下可以特别简单地被实施或者实现。也即,用于运行系统1内的执行机构3的技术耗费在使用根据本发明的系统1或者根据本发明的方法的情况下被显著减少。
对于不仅仅控制数据SD从唯一的经控制授权的计算机发送到执行机构3的情况,可以在执行机构3中进行所接收的控制数据SD的过滤。如果还没有从经控制授权的计算机接收控制数据SD,则接受经控制授权的第一计算机的控制数据SD作为控制数据。如果可能同时两个计算机作为经控制授权的计算机出现,它们的数据在同一时间由执行机构3接收,则这两个计算机之一被确定为优先。优先级排序在此例如可以基于先前确定的规则来进行。在执行机构3中已经识别一个经控制授权的计算机并且在运行中另一经控制授权的计算机添加进来的情况下,例如仅仅可以接受原始的经控制授权的计算机的控制数据。新添加进来的经控制授权的计算机的控制数据SD可以在该情况下被丢弃。
在图1中示出的系统涉及具有至少两个相互独立地工作的计算机2-i的异步的冗余系统。每一个计算机在时刻ti具有对其环境或者系统1的部件的一定视野。该视野在系统1的另一计算机中在时刻ti±异步时间时存在。在根据本发明的应用控制权限选择方法的系统1中,因此不需要计算机2-i相互的昂贵的同步。每一个计算机在确认时间段到期之后才占有该计算机的为其确定的计算机状态RS。
系统1的每一个计算机2-i基于在所述数据交换DAS中借助另外的计算机获得的状态数据和功率数据ZDopp、LDopp并且基于自身的状态数据和功率数据ZDown、LDown在在所述计算机上执行的主从机制MSA中确定自身的计算机状态RS以及用于至少一个另外的计算机2-i的期望-计算机状态E-RS。这也在图2中示意性地示出。在计算机i上执行的主从选择法一方面确定待由相应的计算机R自身占有的、作为经控制授权的或者未经控制授权的计算机的计算机状态RS以及附加地确定用于系统1内的分别另外的计算机的期望-计算机状态E-RS。这在此基于在数据交换DAS中借助至少一个另外的计算机2-i获得的状态数据和功率数据ZDopp、LDopp并且基于相应计算机2-i的自身的状态数据和功率数据ZDown、LDown进行。在一种可能的实施方式中,待通过计算机占有的计算机状态的确定附加地根据在该计算机中出现的至少一个计算机中断RI来进行,如在图2中示意性地示出的那样。该计算机中断例如是用于所涉及的计算机2-i的电力中断。
此外,系统1的计算机2-i分别可以基于状态数据和功率数据以及基于由系统的其余计算机为所涉及的计算机2-i确定的期望-计算机状态E-RS在主从选择MSA期间确定待通过计算机2-i自身占有的计算机状态,如同样在图2中示意性地表明的那样。在图2中示出的主从选择法在安全紧要的系统1的所有冗余地设置的异步计算机2-i上进行,如例如在图1中示出的那样。系统1优选是冗余的安全紧要的系统,尤其是分布式系统,在所述系统中防失效地传输控制数据SD到系统1的至少一个执行机构3上。控制数据SD的传输从系统1的为此授权的计算机2-i出发地进行。
计算机2-i(该计算机2-i在其确认时间段到期之后占有为其确定的主-计算机状态M-RS)传输控制数据SD至执行机构3并且一直保持其所占有的主-计算机状态,直至在所述计算机2-i上执行的主从选择MSA确定用于所述计算机2-i的另外的计算机状态RS。
当到目前为止已经占有主-计算机状态M-RS的另外的计算机占有另外的计算机状态并且在所涉及的计算机(已经占有从-计算机状态S-RS的计算机2-i)上执行的主从选择MSAi为所涉及的计算机2-i确定主-计算机状态M-RS的时候,已经占有从-计算机状态S-RS的计算机2-i才从所占有的从-计算机状态变换到所述主-计算机状态。
在根据本发明的用于在冗余的系统1中、尤其在由多个部件组成的冗余的系统1中分派控制权限或者传输权限或者资格的方法中,通过系统1的恰好一个对此授权的计算机2-i进行执行机构3的控制。在此,状态数据和功率数据ZD、LD由系统1的部件考虑并且利用。基于所分析的数据,恰好一个部件或者控制部件、也即系统1的恰好一个计算机2-i获得被分派作为主设备的用于控制执行机构3的权限或者资格。该主设备一直作为主设备单独负责执行机构3的控制并且一直保持,直至主从选择将该主设备降级成从设备。从设备一直保持为从设备并且不负责执行机构3的控制并且一直保持,直至该从设备提升为主设备。此外,当主设备降级成从设备并且从设备声明成准备好控制执行机构3的时候从设备才变成主设备。
在计算机2-i之间交换的状态数据ZD包括计算机的状态数据。计算机可以优选地占有三个不同的计算机状态RS之一、即主-计算机状态M-RS、从-计算机状态S-RS和主中间-计算机状态MI-RS。状态主中间MI-RS例如在计算机启动时被占有。状态主中间或者主中间-计算机状态MI-RS说明,相应的计算机当前没有看见占有主-计算机状态M-RS的另外的计算机。主中间-计算机状态MI-RS可以同时由系统1的多个计算机2-i在一个或者多个循环内占有。占有主中间-计算机状态MI-RS的计算机在该时间段期间如主设备那样作用于执行机构3。
在系统1的计算机2-i之间交换的状态数据ZD包括相应计算机的计算机状态RS。状态数据因此包括主从信息(主、从、中间)并且可以在一种可能的实施方式中包含其他数据、尤其超时缩短指令和其他状态数据。除了状态数据ZD,在计算机2-i之间也交换功率数据LD。所述功率数据LD说明功率或者工作效率或者性能等级。该性能等级例如作为标量来实现,例如在0至9的值范围中。该性能等级优选描述例如一个应用A的或者包括多个应用的分区簇的实施品质,所述多个应用构成观察单元BE。一旦计算机2-i可以提供关于相应的观察单元(应用或者分区簇)的更好的或者更高的性能等级,则该计算机2-i在此优选升级成主-计算机或者获得主-计算机状态M-RS。借助根据本发明的方法,除了性能等级或者功率数据LD之外也考虑计算机的状态或者考虑状态数据ZD。隐含地,借助根据本发明的方法因此实现在系统1的不同运行阶段期间、尤其在系统1的启动期间计算机的优先级排序。
对于系统1的计算机2-i的每一个状态,不仅检查自身的优先级或者自身的性能等级相对于另一或者相对置的(opposite,相反的)计算机是否相同、更小或者更大,而且优选地检查,系统1的相对置的计算机2-i关于自身的优先级具有什么预期或者另一计算机2-i对于所涉及的自身的(Own)计算机已经确定了哪个期望-计算机状态E-RS。也就是说,在根据本发明的方法的一种可能的实施方式中附加地考虑,相对置的计算机作为期望-计算机状态是否已经确定,所涉及的计算机是否应占有主-计算机状态。
下面的表格TAB示出根据本发明的方法的和根据本发明的系统1的一种可能的实现。
在表格中说明的实现涉及具有两个计算机2-1、2-2的系统1,如在图1中示出的那样。该表格可以实现为参数化的查找表格。每个计算机拥有一个相应的查找表格。所述参数在此通过用于实现超时或者时间延迟的计数器状态来构成。在表格中示出的示例性的实现中,在查找表格的37个行中示出37种用于两个计算机的可能的系统状态。两个计算机2-1、2-2中的每一个占有作为从-计算机、主中间-计算机或者主-计算机的角色。由主从选择法产生的初始数据或者标识在循环i和循环i+1期间被输出,如在表格中示出的那样。
表格的第一列说明不同的系统状态的标识符ID。
第二列说明系统1内的第一计算机2-i的角色。
第三列示出该计算机2-i与相同系统1的另一计算机2-2相比的优先级或者性能等级。这意味着,第一计算机2-1的自身的(Own)性能等级或者等于、小于或者大于相对置的(opposite,相反的)另一计算机2-2的性能等级。
在第四列中示出由另一计算机2-2确定的期望-计算机状态E-RS,也即由第二计算机2-2为第一计算机2-1确定的期望-计算机状态E-RS。
在表格的第五列中说明中断标识,也即对于计算机是否存在计算机中断RI、尤其电力中断。
在表格中示出的示例性的实现中,期望-计算机状态E-RS可以占有值0或值1。0表示,另一计算机或者相对置的计算机2-2的看法分别是,自身的第一计算机2-1不是主设备。相反,1表示,相对置的另一计算机2-2的看法是,自身的第一计算机2-1是主设备。
如果已经选择了主设备并且开始了过程,则中断标识被置位。这例如可以用作是否存在计算机的重启或启动的识别标记。在系统1内的计算机的持续运行中,例如可以发生所谓的电力中断,在所述电力中断的情况下计算机失效并且然后又高负荷运行。
在表格中说明的列“beMSStatusOwn”说明,相应的计算机是主设备。下一列“beMSStatusIntermediate”说明,计算机已经占有主中间-计算机状态MI-RS。列“pcMSStatusOpp”说明,相对置的另一计算机(Opp-计算机)应是主-计算机。在表格中说明的x-标记说明,在所涉及的位置上的陈述不重要。
关于循环i的这些列示出关于循环i的存储器更新。关于循环i+1的这些列示出关于循环i+1的存储器更新,也即对于系统1的下一循环的存储器更新。
对于下一循环i+1的初始数据的或者标识的计算,每一个计算机2-i对于主从选择MSA不考虑相对置的另一计算机,而是自身。相对置的另一计算机同样与此无关地实施主从选择法MSA并且对于自身决定其占有哪个状态。
如果由一个计算机不从另一个计算机获得数据,则主从选择法以预给定参数或者缺省值工作。
在表格的行1开始,产生以下。如果所涉及的计算机是从-计算机,也即占有从-计算机状态S-RS并且具有与相对置的另一计算机相同的优先级或者相同的性能等级,并且另一计算机不预期所涉及的计算机应是主-计算机并且此外不存在计算机中断RI,则所涉及的计算机,如在表格的行1中所示的那样,置于主中间-计算机状态MI-RS上。此外,该计算机对用于处理接管的标识置位。如果计算机特定的定时器或者计时器到期(改变),所述定时器或者计时器通过标识的置位来开始,也即在预给定数目n个循环之后,则计算机从主中间-计算机状态MI-RS变换到主-计算机状态M-RS。
定时器或者计时器测量反应时间。该反应时间优选计算机特定地被调节并且优选对于每个计算机2-i是不同的。
在表格中说明的行是可能的状态和计算的排列。在表格中说明的各个行不表示时间过程。通常是,在从具有初始状态的初始状况开始至具有结果状态的最终状况的过渡场景的遍历中越过表格的多个行。在此,对于每计算循环,处理一个行。
为了能够确定最大可能的功能品质或者性能品质,对于每一个观察单元BE、也即对于每一个应用或者每一个由多个应用组成的分区簇PC可以循环地确定性能或者工作效率。系统1的不同计算机循环地相互交换功率数据LD并且所述功率数据自身可以因此确定,所述计算机中的哪一个能够为所观察的单元提供最好的性能。
所述方法在循环运行期间遵循以下策略:
如果计算机关于观察单元是主设备,则该计算机一直保持为主设备,直至该计算机自身交出该主设备-角色或者该主-计算机状态。
如果两个计算机同时参与主从分配,则仅仅当到目前为止的主设备已经交出其角色或者自身在主从选择法中降级成从-计算机的时候,持有从设备-角色的计算机才切换到主设备。当主-计算机失效的时候,主-计算机例如才失去其主设备-角色。
根据本发明的方法显著降低资格的或者控制权限的分派的复杂性。
在一种可能的实施方式中,优选通过在计算机2-i的微处理器上执行的相应程序来进行主从选择MSA。每个计算机2-i自身与另一计算机无关地执行这样的主从选择MSA。主从选择MSA与所有计算机的计算机状态RS并且与计算机的当前状态相关。所实现的查找表格示出两个计算机什么时候有效的工作原理。
借助根据本发明的方法和根据本发明的系统1排除或者最小化以下时间窗ZE:在所述时间窗中没有计算机作为主设备来提供控制数据。由此提高系统的稳定性和因此安全性。
根据本发明的系统1的另一个优点在于,最小化切换时段,也即当计算机已经占有主设备-角色的时候,该计算机尽可能长时间地保持为主设备。由此同样提高系统1的、尤其是调节算法的稳定性,由此提高系统1内的安全性。此外,根据本发明的方法和系统1保证,持续地以最大的或者最优的性能控制或者运行系统1的执行机构3。由此也提高系统1的运行安全性。由计算机产生的数据优选包括控制数据、尤其是额定值。在根据本发明的系统1中,除了主-计算机状态和从-计算机状态之外还使用主中间-计算机状态,所述主中间-计算机状态用于计算机的相互协调并且尤其也避免或者最小化主-主冲突。由此排除或者最小化以下时间窗:在所述时间窗中无主-计算机可供使用。除其自身的状态之外,每个计算机考虑与另外的计算机交换的功率数据和状态数据。优选地,附加地在待由计算机占有的计算机状态方面一同考虑另外的计算机的预期。中断的出现也优选地在计算机状态的或者控制权限的确定中被一同考虑。
根据本发明的方法和系统1可以多种多样地应用,尤其在具有分布式计算机结构的安全紧要的系统中应用。根据本发明的方法和系统1例如适合于工业设备或者制造设备并且适合于运输装置,例如火车或者机动车。
在根据本发明的方法的一种可能的实施方式中,计算机可以占有不同的内部状态,例如DDC-状态(双工控制-计算机状态)。这些状态例如包括“是激活的”、“我刚刚初始化”、“位于完全可供使用之前不久”、“完全可供使用”、“刚刚辨识在整个系统中我的当前角色”、“维持我的作为整个系统中的主设备的角色”、“将我作为主设备的撤销并且变为从设备”等等。
经控制授权的计算机能够控制系统1的执行机构3并且能够变得与剩余计算机或者其余系统1关于以下统一:即最终谁应控制执行机构3。如果计算机持有从设备-角色,则该计算机还计算用于执行机构3的控制数据SD并且将所述控制数据写入到内部存储器中。然而,这样的控制数据SD并非由占有从-计算机状态S-RS的计算机转发到执行机构3上。只要计算机已经占有主设备-角色并且拥有主-计算机状态M-RS,则不发生执行机构3的通过另一计算机的控制。
由于系统1中的所存在的和期望的异步性,首先计算,是否系统1内的确定的计算机可以占有主设备-角色,其中然而由于所述异步性,相应的结果还必须对于系统1内的另外的循环保持不变地存在。这相应于对于确认的时间需求的必要性,也即等待一个确认时间段。这样的确认时间优选地在所有重要相关的计算中被一同考虑。计算机的切换在该确认时间段到期之后才发生。
系统1的执行机构3或者执行器由计算机的应用A控制。复杂的系统1可以包括多个执行器。在这种情况下,控制数据SD也可以由多个不同的应用或者一个分区簇PC共同生成。