专利名称:用于互连模块的方法和设备的制作方法
技术领域:
本发明涉及用于互连工业过程控制系统中的模块的方法和设备,特别地涉及用 于互连适合于供诸如以下的示例性系统使用的工业过程控制系统中的模块的方法和设 备 紧急停工系统; 关键过程控制系统; 火灾与瓦斯检测和保护系统; 旋转机械控制系统; 燃烧器管理系统; 蒸煮器与炉控制系统;以及 分布式监视与控制系统。 这样的控制系统适用于许多工业,包括石油和天然气生产与精炼、化学生产与
处理、发电、造纸与纺织厂以及污水处理厂。
背景技术:
在工业过程控制系统中,容错是最重要的。容错是在系统之内发生一个或多个 故障的情况下继续安全运行的能力。通常按照安全完整性水平(SIL)等级来对容错进行分 类,其中较高的SIL意味着较好的安全性能。SIL在标准IEC 61508(电气/电子/可编程 电子安全相关系统的功能安全)中定义,并且特别地用于符合IEC61511(用于过程工业部 门的功能安全-安全仪表化系统)的过程工业。 容错可以通过若干不同技术来实现,每种技术具有其特定的优点和缺点。 提供冗余的系统的例子是三重模块冗余(TMR)系统。使用TMR,关键电路被一
式三份并同时且独立地执行同一功能。在影响系统的输出之前,在多数表决电路中表决
从三个电路中的每一个电路中输出的数据。如果三重电路中的一个电路故障,则其数据
输出被忽略。然而,系统继续输出以处理符合于大多数功能电路的值(电压、电流电平
或离散输出状态)。TMR提供以这样的方式装备的系统的连续可预测操作。 然而,如果全部TMR不是实际需求,则TMR系统实行起来太贵,并且希望使
用下述结构,所述结构提供了灵活性,以便可以取决于规定的系统需求来提供不同水平
的容错。 用于容错的另一种方法是使用热备份模块。这种方法提供了容错水平,由此备 份模块在模块故障的情况下维持系统操作。使用这种方法,如果模块不是自身容错的, 则在转换期间可能存在对系统操作的某种中断。
3
容错系统理想地产生故障隔离区(FCR),以确保FCR边界之内的故障不传播到 系统的其余部分。这使得能够在不影响操作的情况下多个故障共存于系统的不同部分。
容错系统一般使用专用的硬件与软件测试和诊断体系,其提供非常快的故障识 别和响应时间以提供较安全的系统。 安全控制系统一般设计成"故障操作/故障安全"。故障操作意味着当故障发 生时系统继续操作它处在故障操作状态下。系统应当在这种状态下继续操作,直到发 生故障的模块被更换并且系统返回到完全操作状态为止。 故障安全操作的例子发生如下如果在TMR系统中,在并联电路中发生第二故 障之前发生故障的模块未被更换,则第二故障应当使TMR系统停工到故障安全状态。值 得注意的是,即使第二故障不是故障安全的,只要第一故障被检测到并被宣布并且自身 是故障安全的,TMR系统就仍然可以被认为是安全的。 因此,希望提供一种使用互连方案来互连模块的系统和方法,所述互连方案允 许灵活的系统配置,同时维持希望的系统操作冗余水平。
发明内容
本发明提供了克服上面讨论的问题中的一个或多个问题的系统和方法。根据本 发明的一个方面,提供了一种工业过程控制设备,其包括多个处理器和多个输入/输出模 块。每个处理器具有连接到多个输入/输出模块的单向命令线。每个输入/输出模块具 有连接到多个处理器的单向响应线。 优选地,多个处理器经由处理器间链路连接在一起,所述处理器间链路可以提 供每个处理器和每个其它处理器之间的点对点双向链路,并且/或者可以提供用于由每个 其它处理器接收的广播信号的装置。 优选地,处理器中的一个或多个处理器直接连接到控制网络,并且每个处理器 经由处理器间链路中的一个和另一个处理器访问另一个控制网络。 在优选的方面中,处理器在操作中被布置以向所有的所述输入与输出模块发出 标识符请求。每个输入与输出模块在操作中被布置以经由响应线用包括唯一标识符的响 应作出响应,使得每个处理器能够通过识别在其上接收响应的响应线来识别具有特殊唯
一标识符的输入或输出模块的物理位置。 优选地,处理器在操作中被布置以在接收到响应后向每个输入与输出模块分配 逻辑插槽号以及向多个所述输入与输出模块中的每一个分配逻辑组号。 来自输入或输出模块的响应还可以包括终端适配器标识符,该终端适配器标识
符取决于终端类型和终端适配器之内的各个输入或输出模块的物理位置。 处理器可以在操作中被布置以使用差分命令线信号对上的低电压差分编码来向
输入与输出模块发送命令。 优选地,差分命令线信号对不具有传输线终端,使得带电系统背板插入成为可 能,并且优选地,输入输出模块在操作中被布置以使用单端信号发送响应。
在操作中,使用已使用NRZI码进行编码的数据的HDLC编码帧,可以经由命 令线和响应线发送信号。有利地,存在多个预定数据流,其由处理器中的接收器识别, 使得输入或输出模块包括以下中的一个或多个连续的"1",其指示各个模块不存在或未被加电;连续的"0",其指示各个模块被加电但产生了严重故障;或者连续的 0X7E,其指示各个模块可操作。
现在参考附图仅仅作为例子来描述本发明的实施例,其中 图1是示出使用本发明的设备和方法的分布式工业过程控制系统的结构的示意 图; 图2示意性图示了图1中图示的工业过程控制系统的控制器; 图3图示了控制器的可能配置; 图4示出了用于图3的输入组件和输出组件的各种选项; 图5示出了用于输入组件的三选二表决策略的一种可能配置; 图6图示了实现输入组件的三选二表决策略的第二可能配置; 图7是多个处理器和多个输入/输出模块之间的互连的示意图; 图8a和8b示意性图示了若干处理器模块之间的可能互连; 图9图示了将唯一标识符用于每个终端组件;以及 图10图示了对命令和响应消息进行编码。
具体实施例方式
在如图1所示的工业过程控制系统中,分布式结构被设计成使用在不同的SIL环 境中,以便如果需要高SIL则可以提供高SIL,但如果全部需要的只是低SIL,则系统可 以在复杂性方面降低以便减少不必要的额外成本。 示例性的工业过程控制系统10包括工作站12、 一个或多个控制器14以及网关 16。工作站12经由以太网连接18到达一个或多个控制网络13从而与控制器14和网关 16通信。多个以太网连接18提供了冗余以提高容错。工作站12可以经由传统以太网连 接11连接到另一个外部网络15。 现在参考图2和3来更加详细地描述控制器14。 图2图示了包括输入组件22、处理器组件24和输出组件26的控制器14的示意 图。在这个示意图中,输入组件22和输出组件26处在不同的背板上,但是它们同样可 以共用单个背板。 组件22、 24、 26由一个或多个通信背板部件制成,所述通信背板部件具有三个 插槽以与具有一个、两个或三个插槽的终端组件一起容纳高达三个模块,并且与现场传 感器和转换器对接。终端组件可以跨越两个邻接的背板部件。模块包括具有多个连接器 的插入卡,用于插到通信背板和终端组件上。 将会意识到的是,通信背板部件中具有三个插槽是一个设计选项,在不脱离如 所附权利要求限定的本发明的范围的情况下,具有更多(或更少)插槽的其它设计选项也 是可能的。 图3图示了控制器14的可能物理配置。在本发明的这个实施例中,通过将不同 类型的模块分组到分开的通信背板上,输入组件22、输出组件26和处理器组件24彼此物 理地分开。
5
在示出的例子中,输入组件22包括两个通信背板部件22' 、 22"。第一个背板部件22'具有三重输入终端组件和三个输入模块22a、 22b、 22c,第二个背板部件22"具有二重输入终端组件22"和两个输入模块22d、 22e。处理器组件24包括单个处理器背板部件24',其具有三个处理器模块24a、 24b和24c。输出组件26包括两个背板部件26' 、 26"。第一个背板部件26'具有二重输出终端组件,其具有两个输出模块26a、26b,第二个背板部件26"具有单重输出终端组件,其具有单个输出模块26c。
现在参考图4来更加详细地描述输入组件22的灵活性。 输入组件22包括一个或多个背板部件和终端组件22' 、 22" 、 22"'等。例如,具有三个模块22a、 22b、 22c的三重部件22'可以用于高可用性需求,具有两个模块22d、 22e的二重部件22"可以提供用于容错应用,而具有单个模块22f的单重部件22"'则可以提供用于故障安全应用。终端组件可以设置有不同类型的现场调节电路。例如,组件22'可以设置有24VDC现场调节电路41,组件22"可以设置有120VDC现场调节电路42,而组件22"'则可以设置有4-20mA现场调节电路43。对于输出组件26示出了类似可能的配置。将会意识到的是,具有各种不同数目的组件和各种不同类型的现场调节电路的背板部件和终端组件的众多配置都是可能的,并且本发明不限于这些例子中示出的那些配置。 在为了冗余的目的组件提供多于一个的模块的情况下,可以在工业过程控制系统可操作的同时用更换模块来更换发生故障的模块,这在此也被称为在线更换(亦即可以在不必执行系统停工的情况下进行更换)。在不中断过程的情况下对于单重组件而言在线更换是不可能的。在这种情况下,各种"保持最后状态"策略是可接受的,或者传感器信号也可以被路由到系统中别的地方的不同模块。 在更换模块变成活性的之前,处理器模块使用来自并联模块的数据配置更换处理器模块。 现场调节电路41、 42、 43将从传感器监视工业过程控制设备接收的信号变换到期望电压范围,并且将信号分发到所需的输入模块。每个现场调节电路41、 42、 43还连接到现场电源和现场返回(或接地),它们取决于输入终端组件的配置可以在逐个信道的基础上与所有其它接地独立地隔离。独立信道隔离是优选的配置,因为它最灵活。现场调节电路41、 42、 43包括简单的非有源部件并且不是在线可更换的。
图5和图6图示了在此描述的结构的灵活性,示出了具有高可用性需求的用于生成信号的三重系统的不同配置。参考图5,三模块输入组件51经由终端组件54中的现场调节电路从传感器50接收信号。现场调节电路54将信号变换到期望电压范围并将信号分发到三个重复的输入模块53a、 53b、 53c。每个输入模块处理信号,结果被发送到三选二表决器52以生成取决于此的结果信号。 参考图6,重复的传感器60a、 60b、 60c每个经由终端组件64a、 64b、 64c中的各个现场调节电路将信号发送到各个单重组件61a、 61b、 61c。每个输入模块63a、 63b、63c处理信号并将输出发送到三选二表决器62以生成取决于此的信号。将会意识到的是,除了这里图示的那些之外,许多变化和配置都是可能的。 现在参考图7至9来描述用于将一个、两个或三个处理器模块24a、 24b、 24c的阵列互连到多个I/0模块22a-22e、 26a-26c的阵列以及互连到一个或多个外部控制网络13
6的互连方案。 互连方案包括新颖的拓扑,其允许配置成期望冗余水平的灵活系统。在每个I/0背板具有多于一个的模块的配置中,处理器模块24a-24c或I/O模块22a-22e、 26a-26c的
故障不会影响与系统的其它元件中的任何一个的通信链路。 每个处理器模块24a-24c处理每个I/O背板总线的单个信号输出,在本发明的优选实施例中,其中的每一个可以容纳大量的任何类型的I/O模块——每个I/O背板总线24个I/0模块。作为例子,在图7中示出的命令输出连接到菊花链I/0通信背板上的每个I/O模块22a-22e。进一步的命令输出连接到第二菊花链I/O通信背板(附图中未示出)上的I/O模块26a-26c。 每个I/O模块22a-22e、 26a-26c使用它自己的专用线保持单个响应输出,所述专用线连接到处理器I/O通信背板24上的每个处理器模块24a-24c。这个方案提供了与多到三响应总线相结合的三到多命令总线。总线是单向的,并且因为每个总线只有一个驱动器,所以不存在争用。单个故障只会导致与单个单元的通信损失。 互连方案还包括另外的专用互连,其设置用于三处理器插槽之间的高速数据链路。如图8所示,仅存在两种可能的拓扑来连接三个处理器节点,并且这两种处理器间链路(IPL)方法都提供在优选实施例中。图8a中图示的第一种类型提供了每个处理器模块和其它两个处理器模块之间的点对点双向连接,允许使用标准高速串行协议。图8b中图示的第二种类型提供了广播方式的拓扑,由此每个处理器模块发送由其它两个处理器模块接收的输出。点对点双向连接与广播方式链路的组合的提供可以被扩展以连接多于三个的处理器。 互连方案还包括外部通信信道。每个处理器模块24a、 24b、 24c访问高达两个独立的控制网络13。当多个处理器被安装时,它们通过处理器间链路(IPL)与其它安装的处理器共用它们的外部数据网络连接,以提供容错通信设施。 每个I/0通信背板组件包括用于电源和命今通信总线的并行分布式总线信号的组合,并且还包括如下的信号,所述信号对于每个输入或输出模块是唯一的,亦即对于用于来自每个I/O模块的通信的响应线唯一。现在参考图9来描述一种方法,由此处理器模块24a、 24b、 24c能够建立系统中的模块的物理配置,以及它们如何建立与包括系统的元件中的每一个的通信。
当处理器24a-24c发出全局请求时,每个I/O模块(10M)22a-22e、 26a-26c向处理器24a-24c供应唯一标识符(ID1…ID8)。 处理器能够依靠它在其上接收到响应的线来区分IOM位于哪个物理插槽中。
为了随后寻址的目的,处理器随后向每个IOM分配唯一的逻辑插槽号,并且还分配逻辑组号,该逻辑组号可以被分配给任何数目的其它IOM,以允许它们作为单个逻
辑单元被寻址。 如以前提到的那样,每个IOM 22a-22e、 26a-26c通过终端组件(TA)41-43、 41'
连接到现场传感器信号。如以前描述的那样,TA被建立以取决于需要的冗余水平在一个、两个或三个IOM之间分发现场信号。每个TA中的每个插槽被分配唯一的八位ID值,其专用于该TA类型和该终端组件之内的插槽位置(TAID釘…TAID弁N)。所以,例如如果使用同一类型的多个TA,那么它们的TAJD将会全都彼此相同,即使它们用它们自己的唯一 IOM_ID和唯一分配的SLOTJD连接到IOM。
结合如前所述确定的IOM的物理插槽位置,只要在每个终端组件中存在至少一个IOM,处理器24a-24c就能够精确地确定控制器14被如何物理地布置。因此,处理器可以为每个I/0终端组件22' 、 22"、26' 、 26"(图2)确定冗余水平。 图9示出了 I/O模块和终端组件的布置如何进行组合以允许用于系统自我发现的方法。用于每个IOM的唯一标识符跨越全部IOM是全局唯一的。TA标识符仅对于每个类型的TA和该类型中的每个插槽是唯一的。 图10图示了用于在处理器模块和I/O模块之间传输的信号的编码。 在本发明的优选实施例中,使用一系列的离散消息包来实现处理器和I/0模块之
间的命令和响应通信协议,为了消息成帧和链路误差检测起见,首先使用按位同步数据
链路层协议高级数据链路控制(HDLC)来编码该消息包。然后使用非归零反相(NRZI)码
来编码该包,以便可以在离散时钟信号没有必要和数据信号一起被包括的情况下检测位
单元转移。 无格式未编码的过程数据101连同成帧旗标和CRC字符首先由HDLC编码器102进行HDLC编码。然后由NRZI编码器103进行NRZI编码,以确保长串的零不会导致位单元转移不存在。这允许HDLC/NRZI编码的信号在单个线上经由通信信道104传输。
返回参考图7,命令数据在处理器模块24a-24c中被HDLC编码,然后由在优选实施例中以FPGA实现的处理器模块接口 71a-71c进行NRZI编码。 命令数据由再次在优选实施例中以FPGA实现的I/O模块接口 72a-72e接收和解码。响应数据由I/O模块接口 72a-72e进行编码和传输。 在没有在模块接口 71a-71c中从HDLC格式当中进行转换的情况下,响应数据在当它被接收时被时分复用返回到每个处理器中。这种布置的一个好处在于,由于消除了对通信硬件路径中的数据存储的要求,所需的硬件逻辑被最小化,因为数据流通过处理器模块接口 71a-71c在两个方向上直接通过处理器模块侧的硬件。 再次参考图IO,在接收器处,用于转移的采样时钟导出器105检查引入数据,并且通过维持预测下一个位单元何时将要转移的运行估计来导出最优采样点。在位单元的最后第三个中,在下一个预期转移的前面充分地采样输入信号以确保可靠的采样。
相同的编码方案用于命令和响应两个方向上的数据,尽管命令和响应数据率相差很大倍数。响应信号的比特率个别地低,允许它们作为单端信号传输。由于每个I/0模块具有它自己的专用响应线,所以响应线的合计带宽与命令线相匹配,亦即,例如给定24个I/O模块,则响应数据只需为命令数据率的1/24。 命令信号使用低电压差分信号(LVDS)的变体来进行差分编码,并且使用差分对来紧密耦合在一起,以便外部引入的噪声干扰将会等同地影响在两根线上看到的电压。这允许I/0模块中的差分接收器拒绝虚假的共模假象,并且仅传递差分发送器在成对的线上编码的真实差分信号。 在优选实施例中,直流(DC)偏置电压大约为400mV,以便当被插入或者经历电源故障时,未被加电的模块输入保持高阻抗。逻辑高输出电压(电压输出高或Voh)低于正向偏置为每个I/0模块接口 72a-72e提供的硅结保护二极管所需的电压。
8
命令线在线的末端没有传输线终端,以允许带电系统背板插入。这是可接受的,因为最小命令数据位单元时间大于用于未端接的传输线的反射往返时间。处理器接口 71a-71d中的命令线差分源驱动器用传输线的特性阻抗进行端接,以吸收来自远端开放命令线的反射。 IOM或处理器中的接收器限定并识别三种特殊状况。它们是 连续的"1"。这表明IOM或处理器模块不存在或未被加电。.连续的"0"。 这表示IOM被加电但产生了严重故障。
连续的0 X 7E(HDLC空旗标)。这表明IOM或处理器模块可操作。 将会意识到的是,为了清楚起见而在分开的实施例的上下文中描述的本发明的
某些特征也可以组合起来在单个实施例中提供。相反地,为了简洁起见而在单个实施例
的上下文中描述的本发明的各种特征也可以分开提供,或者以任何合适的组合提供。 将要认识到的是,在不脱离如所附权利要求限定的本发明的范围的情况下,可
以将各种改变、修改和/或添加引入到上述部件的构造和布置中。
9
权利要求
一种工业过程控制设备,包括多个处理器和多个输入/输出模块,其中每个处理器具有连接到多个输入/输出模块的单向命令线;并且每个输入/输出模块具有连接到多个处理器的单向响应线。
2. 根据权利要求1所述的工业过程控制设备,其中,所述多个处理器经由处理器间链 路连接在一起。
3. 根据权利要求2所述的工业过程控制设备,其中,所述处理器间链路提供每个处理 器和每个其它处理器之间的点对点双向链路。
4. 根据权利要求2所述的工业过程控制设备,其中,所述处理器间链路传送由每个其 它处理器接收的广播信号。
5. 根据权利要求2所述的工业过程控制设备,其中, 一个或多个处理器直接连接到控 制网络,并且每个处理器经由所述处理器间链路中的一个和另一个处理器访问另一个控 制网络。
6. 根据权利要求1所述的工业过程控制设备,其中,所述处理器在操作中被布置以向 所有的所述输入/输出模块发出标识符请求,并且每个输入/输出模块在操作中被布置以 经由其响应线用包括唯一标识符的响应作出响应,使得每个处理器能够通过识别在其上 接收到所述响应的响应线来识别具有特殊唯一标识符的各个输入/输出模块的物理位置。
7. 根据权利要求6所述的工业过程控制设备,其中,所述处理器在操作中被布置以在 接收到所述响应后向每个输入/输出模块分配逻辑插槽号以及向多个所述输入/输出模块 中的每一个分配逻辑组号。
8. 根据权利要求6所述的工业过程控制设备,其中,来自各个输入/输出模块的每个 响应包括终端适配器标识符,该终端适配器标识符取决于终端类型和与该终端适配器标 识符相关的各个输入/输出模块的物理位置。
9. 根据权利要求1所述的工业过程控制设备,其中,所述处理器在操作中被布置以使 用差分命令线信号对上的低电压差分编码来向所述输入/输出模块发送命令。
10. 根据权利要求9所述的工业过程控制设备,其中,所述差分命令线信号对不具有 传输线终端。
11. 根据权利要求l所述的工业过程控制设备,其中,所述输入/输出模块在操作中 被布置以使用单端信号发送响应。
12. 根据权利要求1所述的工业过程控制设备,其中,在操作中,使用已使用非归零 反相码进行编码的数据的高级数据链路控制编码帧,经由命令线和响应线发送信号。
13. 根据权利要求12所述的工业过程控制设备,其中,存在多个预定数据流,其由所 述处理器和所述输入/输出模块中的每一个的至少一个中的接收器识别,所述多个预定数 据流中的每一个包括以下中的一个或多个连续的"1",其指示各个模块不存在或未被加电; 连续的"0",其指示各个模块被加电但产生了故障;以及 连续的0X7E,其指示各个模块可操作。
全文摘要
本发明涉及用于互连模块的方法和设备。本发明提供了一种包括若干处理器和若干输入/输出模块的工业过程控制设备和方法。每个处理器通过单向命令线连接到多个输入/输出模块。每个输入/输出模块通过单向响应线连接到多个处理器。处理器被布置成向所有被连接的输入/输出模块发出标识符请求,并且每个输入/输出模块被布置成用包括唯一标识符的响应经由各个响应线对标识符请求作出响应。这样的配置允许每个处理器识别每个相应输入/输出模块的物理位置。
文档编号G05B19/418GK101692178SQ20091000582
公开日2010年4月7日 申请日期2009年2月1日 优先权日2008年2月1日
发明者伊恩·大卫·温·琼斯, 托马斯·布鲁斯·马尔, 杰拉尔德·罗伯特·克里奇, 肯尼思·约翰·墨菲, 菲利普·约翰·阿加 申请人:Ics三重技术有限公司