基于在开放式过程自动化系统中使用的分布式控制节点提高过程可靠性的方法与流程

本发明总体上涉及用于工厂设施的管理系统和用于管理工厂设施的方法。更具体而言，本发明涉及在开放式过程自动化系统中使用分布式控制节点提高过程可靠性的方法和相应的系统。

背景技术：

工厂通常利用过程自动化系统(pas)来实现用于控制和管理在工业过程中的各种类型过程数据(例如压力、温度、流量等)的高级自动化操作。

特别是生产化学品、石油或天然气相关产品的工厂所用的pas在可用性和可靠性方面必须达到高标准。可用性是指系统即使在发生错误时也能够持续操作的能力，而可靠性是指检测错误并停止系统和/或切换到备份系统进行持续操作而不对整个系统造成损害的能力。在这样一个生产工厂里，pas的故障不仅会造成巨大的物质和资源损失，还会造成严重的人员伤亡事故。例如，当出现电噪声而使系统不正确地向受控设备(例如阀)输出异常值(即指示异常或无效状态或状况的值)时可能发生故障。为了防止这种故障并提高系统可靠性，已经制定出了各种方案。

最近，随着连接到pas的输入/输出(i/o)设备的数量增加，控制器的可靠性越来越重要。作为实现高可靠性pas的解决方案，一些pas制造商或供应商已经为pas开发了他们自己的控制器。图1中示出了用于高可靠性控制器的传统解决方案之一(日本特开专利申请h06-242979)，其通过冗余配置确保了pas中数据处理的可靠。这种称为“配对和备用”(p&sp)的方案通过冗余控制器和冗余网络实现高可靠性。此外，每个控制器具有两个cpu和一个比较器，比较器比较从两个cpu输出的值以检测数据计算中的失配。

另一方面，众所周知，由不同制造商单独开发的这种控制器往往影响pas的互操作性(interoperability)和可扩展性(scalability)。工厂设施所有者或用户由于兼容性差和成本高而难以扩展或更换控制器。因此，也考虑了另一种方法来设计“开放架构”下的系统，这意味着该系统纯粹由通用或商用现成(cots)硬件和软件组成。美国专利申请公开第2016/0065656号提出了这样一种用于pas的开放架构式平台。该专利申请的图1a示出了包括服务器、控制节点和现场设备(i/o设备)的平台。在这样的平台中，采用了高度便携和标准化的应用、协议和应用程序编程接口(apis)，以便用户可以开发他们的系统而不依赖于特定的制造商。用户还可以享受成本降低、可扩展性提高和系统易于更新等好处。

但是，开放式平台方法也有缺点。各制造商开发的硬件和软件的任意组合影响包括控制器和i/o设备及其网络连接在内的核心组件的可靠性。在开放架构下开发的系统很难达到与特定制造商开发的专有系统相同水平的可靠性。

为了确保在开放架构下操作的这种系统达到一定水平的可靠性，建议限制连接到单个控制器的i/o设备的总数。特别地，分布式控制节点(dcn)被定义用于处理来自i/o设备的输入信号或输出到i/o设备的信号。在这种配置中，在dcn中引起的错误仅影响由单个输入和单个输出设备组成的单个回路，从而防止错误在其他控制回路中传播。

技术实现要素：

本发明的一个或多个实施方式提供了一种用于工厂设施的管理系统，包括：第一现场设备，所述第一现场设备测量过程值；第一控制节点，所述第一控制节点基于所述过程值计算第一控制值；第二现场设备，所述第二现场设备根据所述第一控制值进行操作；以及应用节点，所述应用节点配置用于计算所述第一控制值的一个或多个参数；其中，所述第一控制节点将所述第一控制值与由所述第一现场设备、第二控制节点和所述应用节点之一计算的第二控制值进行比较，当确定所述第一和第二控制值相同时，所述第一控制节点将所述第一控制值设置到所述第二现场设备。

本发明的一个或多个实施方式提供了一种用于管理工厂设施的方法，包括：在第一现场设备中测量过程值；在第一控制节点中，基于测得的所述过程值和由应用节点配置的一个或多个参数，计算用于操作第二现场设备的第一控制值；在所述第一现场设备、所述第一控制节点和所述应用节点之一中，计算用于操作所述第二现场设备的第二控制值；在所述第一控制节点中，比较所述第一控制值和所述第二控制值；以及在所述第一控制节点中，当所述第一和第二控制值相同时，将所述第一控制值设置到所述第二现场设备。

本发明的其它方面将从以下描述和所附权利要求书中变得显而易见。

附图说明

图1示出了传统pas的示意图。

图2示出了根据本发明的一个或多个实施方式的管理系统的框图。

图3-4各自示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图5-6各自示出了根据本发明的一个或多个实施方式的管理系统的框图。

图7-8各自示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图9示出了用于解释本发明的一个或多个实施方式中的有益效果的图。

图10-11各自示出了根据本发明的一个或多个实施方式的管理系统的框图。

图图12示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图13示出了根据本发明的一个或多个实施方式的管理系统的框图。

图14-15各自示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图16示出了根据本发明的一个或多个实施方式的管理系统的框图。

图17-18各自示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图19-20各自示出了根据本发明的一个或多个实施方式的管理系统的框图。

图21示出了由根据本发明的一个或多个实施方式的管理系统执行的操作的序列图。

图22示出了根据本发明的一个或多个实施方式的dcn的实现示例。

具体实施方式

现在将参照附图详细描述本发明的具体实施方式。为了一致，各图中相同的元件由相同的附图标记表示。

在本发明实施方式的以下详细描述中，阐述了许多具体细节以便提供对本发明更透彻的理解。然而，对于本领域技术人员来说显而易见的是，本发明可以在没有这些具体细节的情况下实施。在其他情况下，没有详细描述众所周知的特征，以避免不必要地使描述复杂化。

在开放架构下，pas中使用的dcn被限制为处理最少数量的i/o信号，因此它对可靠性和可用性的要求水平相对低于传统的控制器。但是，即使在开放架构的pas中，关键过程仍然存在，其要求过程数据计算和控制具有高可用性和可靠性。在这样的系统中，单个错误就可能严重影响工厂或其他系统的整个控制。

在开放架构平台下，通过使用通用硬件和软件的冗余配置，可以提高系统的可用性。然而，就成本而言，很难显著提高dcn的可靠性并实现与传统系统相同的可靠性水平，因为dcn的数量趋向于与连接到系统的i/o设备的数量成比例地增加。不用说，甚至为了提高其可靠性，由特定制造商设计的专有产品也不能被引入开放架构系统中。

本发明的一个或多个实施方式提供了一种系统，该系统包括满足开放架构要求的dcn，同时实现关键过程所需的高可靠性，并且保持比传统专有产品低的成本。其结果是，用户可以通过各种制造商提供的通用硬件和软件来设计和实现自己的涉及任务关键型过程控制的pas。

图2示出了根据本发明的一个或多个实施方式的管理系统1的框图。管理系统1包括传感器10、控制传感器10的dcn20、致动器30、控制致动器30的dcn40和作为应用dcn的pc50。传感器10和致动器30通过现场网络(例如hart和基金会现场总线(ff)，或者通过4-20ma模拟信号通信)分别连接到dcn20和dcn40。pc50通过诸如以太网的实时网络连接到dcn20和dcn40。dcn20和dcn40可以经由实时网络彼此通信。

在本发明的一个或多个实施方式中，现场网络可以是无线网络，例如无线hart或isa100.11a。在本发明的一个或多个实施方式中，实时网络可以是支持可靠时钟同步功能的任何类型的网络。实时网络可以具有包括交换机、路由器等的任何类型的网络拓扑。

传感器10是部署在工厂设施中的第一现场设备的示例，其测量诸如温度、气压、水压等过程值(pv)。测得的pv被发送到dcn20或由dcn20周期性地读出。

dcn20是单点dcn的示例，其从单个现场设备(例如传感器10)接收单个pv。dcn20通过实时网络周期性地向dcn40和pc50发送pv。向dcn40和pc50发送pv的传输间隔可以不同。在本发明的一个或多个实施方式中，向dcn40发送pv的传输间隔(例如100毫秒)比向pc50发送pv的传输间隔(例如1秒)短。

致动器30是部署在工厂设施中的第二现场设备的示例，其控制诸如阀、马达、定位器等受控对象。致动器30根据由dcn40设置的操纵值(mv)或控制值来控制受控对象。

dcn40是单点dcn，其具有诸如比例积分微分控制(pid)应用的基本控制应用，该基本控制应用基于pv和由pc50设置的一个或多个参数(例如设定值(sv)和调谐参数(tp或tps))来计算mv。在pid应用计算mv之前，由pc50配置sv和tp。一旦正确计算出mv(即没有错误)，dcn40将mv设置到致动器30并将mv发送到pc50。将mv设置到致动器30和将mv发送到pc50的时间可以是互相独立的。

pc50是运行包括人机界面(hmi)和高级过程控制(apc)的各种应用的应用dcn的示例，其允许操作员手动配置sv和tp，并显示和监视计算的mv和从dcn40发送的错误。pc50可以是包括cpu和相关联的存储器的任何类型的计算机。在本发明的一个或多个实施方式中，pc50可以是一个或多个通用计算机或由网络上的分布式计算机形成的系统。

在本发明的一个或多个实施方式中，dcn40包括锁步(lockstep)微处理器单元(mpu)，其可以在两个处理器(或两个处理器内核)并行的情况下同时执行相同的操作，并检测这些操作中的错误。换句话说，锁步mpu可以通过比较两个处理器计算的结果来检测操作中的不一致。在本发明的一个或多个实施方式中，dcn40(pid应用)可使锁步mpu的每个处理器或内核计算mv并检测mv计算中的错误。当没有检测到错误时(即在两个处理器中计算的mv相同)，dcn40将mv设置到致动器30。相反地，当检测到错误时(即计算的mv不相同)，dcn40不将mv设置到致动器30。相反，dcn40向pc50报告错误。在这种情况下，致动器30通过使用当前的mv值继续操作。

图3示出了由根据本发明的一个或多个实施方式的管理系统1执行的操作的序列图。图3示出了dcn40正确地将计算出的mv设置到致动器30的情况。

首先，pc50将sv和tp设置到dcn40，pid应用使用该sv和tp并基于pv来计算mv(s101)。当需要配置或更新sv和tp时，可以随时执行此步骤。例如，pc50的操作者可以通过hmi触发sv和tp的设置。

一旦配置了sv和tp，传感器10测量pv并通过现场网络将pv发送到dcn20(s102)。pv的传输可由dcn20的读取动作触发。当接收到pv时，dcn20通过实时网络将pv发送到dcn40(s103)和pc50(s104)。向dcn40和pc50发送pv可以互相独立地进行。例如，pv从dcn20到dcn40的传输可以在一定间隔内或根据预定同步信号自动完成，并且pv到pc50的传输可以基于来自pc50的请求来完成。

利用先前配置的sv和tp以及接收到的pv，dcn40(pid应用)计算mv(s105)。此处，pid应用在锁步mpu上运行，因此dcn40(锁步mpu)可以检测mv计算中的不一致。换句话说，dcn40并行地执行mv计算，并且比较两个计算出的mv(s106)。当两个结果一致(相同)时，dcn40确定dcn40在mv计算中没有出错，并且通过现场网络将mv设置到致动器30(s107)。dcn40还通过实时网络将计算出的mv发送到pc50(s108)。mv的设置和传输可以独立完成。例如，mv到pc50的传输可以由来自pc50的请求触发。

图4示出了由根据本发明的一个或多个实施方式的管理系统1执行的操作的序列图。图4示出了dcn40检测到错误并且避免向致动器30设置异常值的情况。

步骤s151-s156分别对应于图1所示的s101-106。

在s157，当两个结果不一致(不相同)时，dcn40确定dcn40在mv计算中出错，并且避免将计算出的mv设置到致动器30。相反，dcn40向pc50发送错误(s158)，以通知pc50的操作者系统中发生了错误。

根据本发明的一个或多个实施方式，即使由于瞬间的电噪声而导致在dcn40中出现一些计算错误，可能严重影响工厂或其他系统的整个控制的潜在错误mv，在它被发送到致动器30之前就被检测出，从而可以防止严重事故的发生。

根据本发明的一个或多个实施方式，仅连接到致动器30的dcn40需要具有锁步mpu，这有助于降低成本，特别是对于连接成千上万个现场设备的系统。dcn40的锁步mpu是cots产品，因此管理系统1仍然可以在不偏离开放架构概念的情况下设计。

图5示出了根据本发明的一个或多个实施方式的管理系统1a的框图。管理系统1a包括传感器10、控制传感器10的dcn20a、致动器30、控制致动器30的dcn40a和作为应用dcn的pc50a。传感器10和致动器30通过现场网络分别连接到dcn20a和dcn40a，并且pc50a通过类似于图2示例中的实时网络连接到dcn20a和dcn40a。dcn20a和dcn40a可以经由实时网络彼此通信。

dcn20a从传感器10接收或获得pv，并且可以利用在dcn20a上运行的pid应用来计算mv(以下称为“mv(a)”)。为了在dcn20a中计算mv(a)，参数sv和tp由pc50a预先或随时设置。dcn20a将接收到的pv发送到pc50a以及dcn40a。此外，dcn20a将计算出的mv(a)发送到dcn40a，用于随后的比较操作。在本发明的一个或多个实施方式中，dcn20a可以将已经用于计算mv(a)的sv和tp(以下称为“sv(a)”和“tp(a)”)发送到dcn40a。dcn40a使用sv(a)和tp(a)来验证相同的sv和tp被用于dcn40a中的mv计算。

管理系统1a的dcn40a包括将从dcn20a接收的mv(a)与mv(b)进行比较的mv比较器，mv(b)由dcn40a中的pid应用基于从dcn20a接收的pv来计算。参数sv和tp已经由pc50a设置并用于该计算。然后，如图6所示，如果mv(a)和mv(b)是“相同的”(即两个值完全相同或者它们的差小于或等于预定值)，则mv比较器读取mv(a)和mv(b)并将mv(a)(或mv(b))输出到致动器30和pc50a。另一方面，如果mv(a)和mv(b)不相同或者两个值的差大于预定值，mv比较器向pc50a报告错误。尽管图6中未示出，mv比较器可以向其他系统或dcn报告错误。mv比较器可以由硬件(即嵌入在dcn40a中的电路)或软件(即在dcn40a上运行的应用程序)来实现。

在本发明的一个或多个实施方式中，在计算mv(b)之前，dcn40a的pid应用可以验证由pc50a配置的sv和tp(即sv(b)和tp(b))分别与sv(a)和tp(a)相同。该操作确保dcn20a中的pid应用和dcn40a中的pid应用配置了相同的参数。

在本发明的一个或多个实施方式中，dcn40a可以仅基于从dcn20a接收的sv(a)和tp(a)来计算mv(b)。这种配置还防止dcn40a中的pid应用基于不一致的参数来计算mv(b)。在本发明的另一实施方式中，当确定由pc50a配置的sv和tp(即sv(b)和tp(b))与sv(a)和tp(a)不相同，dcn40a的pid应用可以仅基于从dcn20a接收的sv(a)和tp(a)来计算mv(b)。

图7示出了由根据本发明的一个或多个实施方式的管理系统1a执行的操作的序列图。图7示出了dcn40a正确地将计算出的mv设置到致动器30的情况。

首先，pc50a将sv和tp设置到dcn20a和dcn40a(s201和s202)。这些设置可以通过多播传输同时完成。

接下来，传感器10测量pv并将其发送到dcn20a(s203)。如上所述，这种传输可以由dcn20a的读取动作触发。然后，dcn20a(pid应用)基于接收到的pv以及参数sv(a)和tp(a)计算mv(a)(s204)，并将计算出的mv(a)与pv一起发送到dcn40a(s205)。dcn20a也可以将sv(a)和tp(a)与mv(a)和pv一起发送到dcn40a。此外，dcn20a将pv发送到pc50a(s206)。

一旦接收到pv和mv(a)，dcn40a(pid应用)基于接收到的pv以及参数sv(b)和tp(b)计算mv(b)(s207)。然后，dcn40a的mv比较器将从dcn20a接收的mv(a)与由dcn40a计算的mv(b)进行比较(s208)。当mv(a)和mv(b)相同时，dcn40a的mv比较器将mv(a)(或mv(b))设置到致动器30(s209)。另外，dcn40a将mv(a)(或mv(b))发送到pc50a(s210)。

图8示出了由根据本发明的一个或多个实施方式的管理系统1a执行的操作的序列图。图8示出了dcn40a检测到错误并且避免向致动器30设置异常值的情况。

步骤s251-s258分别对应于图1所示的s201-s208。

在s259，当由dcn20a计算的mv(a)和由dcn40a计算的mv(b)不一致(不相同)时，dcn40a的mv比较器检测到错误，并避免将mv(a)或mv(b)设置到致动器30。相反，dcn40a向pc50a发送错误(s260)，以通知pc50a的操作者系统中发生了错误。

根据本发明的一个或多个实施方式，在使用符合开放架构的dcns的系统中，可以防止将异常值设置到致动器30。此外，尽管本发明的实施方式要求连接到输入现场设备的dcns执行额外的mv计算，这样的计算时间不影响整个系统的性能，这一点可以从图9看出。

传统管理系统中使用的典型传统控制器处理数千个i/o设备，因此需要消耗大约30％的计算能力来处理i/o操作。换句话说，假设控制周期被设置为100毫秒，i/o操作就要耗费30毫秒。在本发明的一个或多个实施方式中，每个dcn基本上只处理单个现场设备(例如传感器和致动器)，这就允许并行执行数千个i/o操作和控制操作。因此，即使一些dcn需要执行实施方式中所需的额外的mv计算，每个操作对整个控制周期没有负面影响。

图10示出了根据本发明的一个或多个实施方式的管理系统1b的框图。在管理系统1b中，冗余传感器10’与传感器10一起提供，冗余dcn20b’和40b’与dcn20b和40b一起提供。类似于上述管理系统1a的dcn20a，dcn20b和20b’可各自基于从传感器10和10’获得的pv计算mv(a)。此外，与dcn40a类似，dcn40b和40b’可以各自计算mv(b)，并将其与mv(a)进行比较，以检测系统中的计算错误。因为传感器10和10’紧密地布置在工厂中以测量基本上相同的pv，所以预期dcn40b和40b’会计算出相同的mv。dcn20b、20b’、40b和40b’中的每一个通过实时网络与pc50b连接。

在管理系统1b中，每个dcn包括冗余管理器(rm)，冗余管理器由任何硬件(例如电路)、软件(例如应用程序)或其组合来实现。每个rm控制dcn的状态，即“活动”，“待机”和“非活动”。除非活动dcn之外的所有dcn都可以执行mv计算。但是，只有活动dcn可以将计算出的mv设置到致动器(例如图10中的dcn40b)。为此，活动dcn40b和待机dcn40b’各自经由门连接到致动器30，门由任何硬件(例如电路)、软件(例如应用程序)或其组合来实现。除非并且直到mv计算中出现错误，仅打开dcn40b的门，并且dcn40b专门将mv设置到致动器30。如果在dcn40b中发生错误，则dcn40b的门关闭，dcn40b’的门打开，从而dcn40b’开始将mv设置到致动器30。

在本发明的一个或多个实施方式中，除了通过门以外，dcn40b和40b’可以通过开关连接到致动器30，该开关可以仅将来自活动dcn的mv转发到致动器30。可以使用任何其他等效设备来允许将来自活动dcn的mv转发到致动器30。

图11示出了当在dcn40b处检测到错误时，管理系统1b中的dcn20b、20b’、40b和40b’的状态切换。一旦在dcn40b处发生错误(“1.错误检出”)，该错误被报告给pc50b和每个dcn各自的rm(“2.通知错误”)。接下来，dcn20b和40b的rm将它们的状态改变为“非活动”，并且dcn20b’和40b’的rm将它们的状态改变为“活动”(“3.切换”)。然后dcn40b关闭门，dcn40b’打开门(“4.门操作”)。最后，dcn20b’和40b’各自接管现在不活动的dcn20b和40b的操作，并且开始将mv设置到致动器30。一旦切换至非活动，dcn20b和40b可以停止它们的操作。

图12示出了由根据本发明的一个或多个实施方式的管理系统1b执行的操作的序列图。图12示出了在活动dcn40b中发生错误，然后待机dcn40b’接管操作的情况。这里，图中省略了与pc50b的交互，以集中说明rm的状态切换操作。

步骤s301-s306分别对应于图8中所示的s253-s255和s257-s259。

当dcn40b检测到错误时(即，由dcn40b计算的mv(b)和由dcn20b计算的mv(a)不相同)，dcn40b的比较器向dcn20b、20b’和40b’各自的rm发送错误(s307、s308和s309)。dcn20b和20b’中每一个接收到错误的rm执行切换操作，即，dcn20b的rm将其自身状态改变为“非活动”，而dcn20b’的rm将其自身状态改变为“活动”(s310)。类似地，dcn40b和40b’各自的rm执行切换操作(s311)。随后，dcn40b关闭门(s312)，dcn40b’打开门(s313)。其结果是，dcn40b’接管dcn40b的操作，并开始将mv设置到致动器30(s314)。

根据本发明的一个或多个实施方式，一旦dcn40b在计算mv时检测到错误，冗余dcn40b’接管dcn40b的操作，因此系统可以继续工作而无需维护。其结果是，这有利地提高了系统的可靠性和可用性。

在本发明的一个或多个实施方式中，冗余(待机)dcn20b’和40b’可以以与活动dcn20b和40b相同的方式操作，除了将mv设置到致动器30之外，如图12中虚线所示。这种冗余配置称为“热备份(hot-standby)”。或者，冗余dcn20b’和40b’可以仅在切换发生时和之后开始它们的操作，称之为“暖备份(warm-standby)”。切换操作可以使用任何其他冗余方案来激活待机dcn和去激活活动dcn。

在本发明的一个或多个实施方式中，rm可以将错误发送到pc50b，尽管图12中未示出。例如，pc50b的hmi可以向操作者通知错误和/或切换操作的发生。

在本发明的一个或多个实施方式中，s307-s309处的错误发送可以通过多播传输来完成。在本发明的一个或多个实施方式中，切换操作s310和s311可以并行执行。在本发明的一个或多个实施方式中，门的关闭s312和门的打开s313可以并行执行。此外，每个dcn可以并行地执行诸如打开或关闭门的每个选通操作。切换完成后，所有的rm可以相互之间以及向pc50b发送完成消息。

图13示出了根据本发明的一个或多个实施方式的管理系统1c的框图。管理系统1c包括连接到一个或多个传感器10-1至10-x的dcn20c。这意味着dcn20c可以从那些传感器接收一个或多个pv(pv1至pvx)。另外，管理系统1c包括运行一个或多个pid应用的pc50c，每一个pid应用基于经由dcn20c接收的pv(pv1至pvx)计算mv(a)(mv1(a)至mvx(a))。为了计算mv，pc50c将参数sv1至svx和tp1至tpx设置到分别设置到这些pid应用。

已经计算了mv1(a)至mvx(a)的pc50c，将mv(a)和pv(以及可选的sv和tp)传输到连接到致动器的每个dcn。在图13的例子中，仅示出了代表性的dcn40c，其基于pv1和由pc50c预先配置的参数sv1和tp1来计算mv1(b)。随后，类似于图5所示的dcn40a或图10中所示的dcn40b，dcn40c将计算出的mv1(b)与接收到的mv1(a)进行比较，如果两者相同，则dcn40c将mv1(a)(或mv1(b))设置到致动器30。否则，dcn40c向pc50c发送错误。

图14示出了由根据本发明的一个或多个实施方式的管理系统1c执行的操作的序列图。图14示出了dcn40c正确地将计算出的mv设置到致动器30的情况。在该示例中，为了说明的目的，仅示出了连接到dcn20c的两个传感器10-1、10-x以及一对dcn40c和致动器30。

首先，pc50c将sv1至svx和tp1至tpx设置到在pc50c上运行的pid应用(s401)。接下来，pc50c将sv1和tp1设置到dcn40c(s402)。尽管图14中未示出，pc50c可以将剩余参数设置到每个连接到另一个致动器的其他dcn。

在设置参数之后，dcn20c从传感器10-1获得或接收pv1(s403)并将其发送到pc50c(s404)。随后(或同时)，dcn20c从传感器10-x获得或接收pvx(s405)并将其发送到pc50c(s406)。在该示例中，pvx尚未到达pc50c。

在接收到pv1时，pc50c基于接收的pv1和配置的sv1和tp1计算mv1(a)(s407)，并且将计算出的mv1(a)与pv1一起发送到dcn40c(s408)。后续步骤s409-s412类似于图7的s207-s210。

图15示出了由根据本发明的一个或多个实施方式的管理系统1c执行的操作的序列图。图15示出了dcn40c检测到mv计算中的错误并避免将异常值设置到致动器30的情况。

步骤s451-s458分别对应于图14中所示的s401-s408。此外，后续步骤s459-s462类似于图8的s257-s260。

根据本发明的一个或多个实施方式，连接到输入现场设备的dcn20c需要较少的计算能力，因为不在其上执行mv计算。因此，现有的单个输入模块或多个输入模块可以用作dcn20c，从而可以显著降低整个系统的初始和维护成本。

在本发明的一个或多个实施方式中，dcn20c可以是多输入模块或多输入dcn，它可以接受来自32个或更多现场设备的输入信号。在本发明的一个或多个实施方式中，pc50c可以是具有与通用计算机等效的功能的控制器。或者，pc50c可以是分布式计算机系统，其包括经由网络彼此连接的一个或多个计算机。

图16示出了根据本发明的一个或多个实施方式的管理系统1d的框图。管理系统1d包括一个或多个传感器10d-1至10d-x，每个传感器能够运行pid应用并基于测得的pv计算mv(a)。管理系统1d还包括pc50d，其可以经由dcn40d将参数sv和tp(sv1至svx和tp1至tpx)设置到传感器10d-1至10d-x中的每一个。此外，管理系统1d包括基于来自传感器10d-1至10d-x的pv分别控制的一个或多个致动器30-1至30-x。传感器10d-1至10d-x和致动器30-1至30-x经由dcn40d连接。

在管理系统1d中，传感器10d-1至10d-x中的每一个向dcn40d发送计算出的mv(a)(mv1(a)至mvx(a))和测得的pv(pv1至pvx)(和可选地，参数sv1(a)至svx(a)和tp1(a)至tpx(a))。然后dcn40d计算mv(b)(mv1(b)至mvx(b)，分别对应于mv1(a)到mvx(a))并将其与接收的mv(a)(mv1(a)至mvx(a)中的每一个)进行比较。当由dcn40d计算的mv(b)和从传感器10d接收的mv(a)相同时，dcn40d将mv(a)(或mv(b))设置到相应的致动器30。相反，如果mv(b)和mv(a)不相同，dcn40d向pc50d发送错误。

图17示出了由根据本发明的一个或多个实施方式的管理系统1d执行的操作的序列图。图17示出了dcn40d正确地将mv设置到致动器30-1的情形。在该示例中，为了简化说明，省略了除传感器10d-1，10d-x和致动器30-1之外的传感器和致动器。

首先，pc50d将sv1至svx和tp1至tpx设置到dcn40d(s501)。然后，dcn40d将sv和tp对设置到每个传感器10d-1，10d-x(s502，s503)。一旦设置了参数，传感器10d-1，10d-x各自测量pv1和pvx并计算mv1(a)和mvx(a)(s504，s505)。传感器10d-1，10d-x分别将计算出的mv1(a)和mvx(a)与pv1和pvx一起发送到dcn40d(s506，s507)。

在dcn40d已经从传感器10d-1接收到pv1和mv1(a)的情况下，dcn40d将pv1发送到pc50d(s508)。后续步骤s509-s512类似于图7的s207-s210。

图18示出了由根据本发明的一个或多个实施方式的管理系统1d执行的操作的序列图。图18示出了dcn40d检测到mv计算中的错误并避免将异常值设置到致动器30-1的情况。

步骤s551-s558分别对应于图17中所示的s451-s458。此外，后续步骤s559-s562类似于图8的s257-s260。

根据本发明的一个或多个实施方式，所有操作(即参数设置、pv测量、mv计算和比较)可以在dcn40d的控制回路内完成。例如，一旦dcn40d检测到mv计算中的错误，可以仅停止与该错误计算相关的传感器和致动器的操作。因此，dcn40d不需要为了排除潜在缺陷的传感器而停止其操作，它应该只停止可能有错误的控制回路。换句话说，dcn40d允许系统的一部分的自主操作。

另外，因为数个致动器和传感器由单个dcn40d控制，整个系统中的dcn的总数可以减少，这使得操作员更容易维护和扩展整个系统。

在本发明的一个或多个实施方式中，传感器10d-1至10d-x中的每一个可以是在hart或ff标准下操作的智能传感器。在本发明的一个或多个实施方式中，dcn40d可以是多输入/输出dcn，其可接受来自16个或更多个现场设备的输入信号，并产生到16个或更多个现场设备的输出信号。

图19示出了根据本发明的一个或多个实施方式的管理系统1e的框图。管理系统1e包括传感器10e，传感器10e具有与图16所示的传感器10d-1类似的功能。传感器10e和致动器30经由dcn40e连接，dcn40e具有与图16所示的dcn40d类似的功能。另外，管理系统1e包括传感器10e和dcn40e的冗余组，即冗余传感器10e’和冗余dcn40e’，类似于图10所示的管理系统1b。

在图19的例子中，dcn40e获得由传感器10e计算的mv(a)，并将mv(a)与由dcn40e计算的mv(b)进行比较，以确定在mv计算中是否出现错误。一旦发生错误，类似于图10的管理系统1b，冗余传感器10e’和冗余dcn40e’分别接管传感器10e和dcn40e的操作。如上所述，dcn40e、40e’各自的状态由rm管理。

图20示出了当dcn40e发生计算错误时，管理系统1e中dcn40e和dcn40e’的状态转变。一旦在dcn40e处发生错误(“1.错误检出”)，该错误被报告给dcn40e和dcn40e’各自的rm(“2.通知错误”)。接下来，dcn40e的rm将其状态改变为“非活动”，并且dcn40e’的rm将其状态改变为“活动”(“3.切换”)。然后dcn40e关闭门，dcn40e’打开门(“4.门操作”)。其结果是，dcn40e’接管变为非活动的dcn40e的操作，并开始将mv设置到致动器30。

图21示出了由根据本发明的一个或多个实施方式的管理系统1e执行的操作的序列图。图21示出了在活动dcn40e中发生错误，然后待机dcn40e’接管其操作的情况。这里，图中省略了与pc50e的交互，以集中说明rm的状态切换操作。

步骤s601-s605分别对应于图18中所示的s554、s556和s559-s561。

当dcn40e检测到错误时(即，由dcn40e计算的mv(b)和由传感器10e计算的mv(a)不相同)，dcn40e的mv比较器向dcn40e和dcn40e’各自的rm发送错误(s606)。随后，dcn40e和dcn40e’各自的rm执行切换(s607)，即，dcn40e的rm将其自身的状态变为“非活动”，而dcn40e’的rm将其自身的状态变为“活动”。然后，dcn40e关闭门(s608)，dcn40e’打开门(s609)。其结果是，dcn40e’接管dcn40e的操作以将mv设置到致动器30(s610)。

根据本发明的一个或多个实施方式，一旦dcn40e检测到mv计算中的错误，冗余dcn40e’可以接管dcn40e的操作。其结果是，该系统可以在不替换变为非活动的dcn40e的情况下继续操作。

在本发明的一个或多个实施方式中，冗余(待机)dcn40e’可以以与活动dcn40e相同的方式操作，除了将mv设置到致动器30之外，如图21中虚线所示(热备份)。或者，冗余dcn40e’可以仅在切换被触发时开始其操作(暖备份)。可以使用任何其它冗余方案来将操作从dcn40e切换到dcn40e’。

在本发明的一个或多个实施方式中，dcn40e可以将错误发送到pc50e，尽管图21中未示出pc50e。例如，pc50e的hmi可以通知操作员在dcn40e处发生了错误。

在本发明的一个或多个实施方式中，门的关闭s608和门的打开s609可以同时进行。切换完成后，所有的rm可以相互之间以及向pc50e发送完成消息。

图22示出了根据本发明的一个或多个实施方式的dcn的实现示例。

在本发明的一个或多个实施方式中，dcn可以包括cpu1001、与cpu1001相关联的存储器1002、经由现场网络与现场设备通信的i/o接口1003以及经由实时网络与pc通信的网络接口1004。这些组件1001-1004中的两个或更多个可以集成到单个电路中。dcn可以包括图22中未示出的任何其他硬件组件。如上所述，dcn还可以包括用于比较器和门的电路。

尽管本发明已经关于有限数量的实施方式进行了描述，受益于本公开的本领域技术人员将会理解，可以在不脱离本发明范围的情况下设计出其它实施方式。因此，本发明的范围应当仅由所附权利要求限定。