СИСТЕМА УПРАВЛЕНИЯ И ПЕРЕДАЧИ ДАННЫХ, ШЛЮЗОВОЙ МОДУЛЬ, МОДУЛЬ ВВОДА/ВЫВОДА И СПОСОБ УПРАВЛЕНИЯ ПРОЦЕССАМИ Российский патент 2018 года по МПК H04L12/40 

Описание патента на изобретение RU2665890C2

Изобретение относится к технике автоматизации, в частности системе управления и передачи данных для управления критическими для безопасности процессами, содержащей несколько входных и/или выходных модулей, соединенных через коммуникационную сеть со шлюзовым модулем, и к способу надежного управления процессами.

В технике автоматизации управление процессами происходит нередко посредством устройства управления, соединенного через коммуникационную сеть с децентрализованными входными и выходными модулями, или кратко модулями ввода/вывода. Связь с управляемым процессом осуществляется посредством датчиков и исполнительных органов, подключенных к соответствующим модулям ввода/вывода, причем модули ввода/вывода принимают от датчиков входные данные и выдают исполнительным органам выходные данные.

Коммуникационная система может быть выполнена, например, в виде системы полевых шин. Также может быть предусмотрена иерархическая коммуникационная структура, причем различные коммуникационные сети могут быть соединены между собой посредством шлюзового модуля. Известно, например, использование модульных станций, включающих в себя коммутатор шин и несколько модулей ввода/вывода, например в виде электронных надеваемых модулей, причем коммуникация между коммутатором шин и модулями ввода/вывода осуществляется обычно через локальную шину, а коммутатор шин располагает интерфейсом к наложенной полевой шине. При этом соединение в пределах локальной шины может осуществляться бескабельным путем через контакты, причем для этой цели коммутатор шин и Модули ввода/вывода фиксируются на несущей рейке, в частности DIN-рейке. Шлюзовой модуль, включающий в себя коммутатор шин и соединяющий локальную шину с иерархически вышестоящей коммуникационной сетью, называется в этой связи также шинной клеммой.

Нередко необходимо реализовать предохранительные функции для защиты человека, машины или окружающей среды, такие как отключение машины после открывания защитного кожуха или срабатывание аварийного выключателя. Обработанные или сформированные предохранительными функциями и, тем самым, релевантные для безопасности входные и выходные данные обрабатываются, как правило, посредством защищенных от ошибок модулей ввода/вывода и обмениваются с использованием защищенного от ошибок протокола передачи между управлением и Модулями ввода/вывода.

Известными стандартами разработки электрических, электронных и программируемых электронных систем, выполняющих предохранительную функцию, являются, например, IEC 61508 или ISO 13849.

Для регистрации релевантных для безопасности сигналов в настоящее время используются специальные безопасные входные и выходные модули, в которых сигналы избыточно регистрируются и внутри прибора проверяются на достоверность и ошибки. Для этого необходимы, по меньшей мере, два, выполненных обычно с микропроцессорами ядра или канала, в которых зарегистрированные данные подвергаются двухканальной обработке и сравниваются между собой. Далее происходит реализация безопасной коммуникации отдельно в каждом модуле. В построенных модульными станциях с несколькими модулями используются, как правило, несколько таких безопасных входных и выходных модулей, которые работают независимо друг от друга и срабатывают от наложенного управления.

Построенные модульными станции включают в себя помимо этого, как правило, также модули для регистрации нерелевантных для безопасности сигналов, выполненные обычно одноканальными, а также, по меньшей мере, один шлюзовой модуль для связи станции с соответственно использованной вышестоящей сетью. Шлюзовой модуль также является интеллектуальным прибором, поскольку в нем данные из локальных модулей ввода/вывода приводятся в соответствие с используемой сетью и соответственно преобразовываются.

Таким образом, для релевантных для безопасности и нерелевантных для безопасности сигналов используются разные модули ввода/вывода. Из-за этого повышаются затраты на разработку, изготовление, логистику, обучение и все касающиеся автоматизации аспекты. К тому же число выполненных с микропроцессорами ядер внутри такой станции увеличивается с каждым дополнительным модулем, что делает ее затратной также с технической и коммерческой точек зрения. Дополнительно в зависимости от используемой сети для передачи безопасных сигналов следует имплементировать другой безопасный протокол. Он дополнительно повышает дисперсию модулей.

В основе изобретения лежит задача указать путь, который позволил бы улучшить, оптимизировать или более гибким образом выполнить предъявляемые к системе автоматизации требования безопасности по сравнению с уровнем техники.

Эта техническая задача решается, во-первых, посредством признаков п. 1 формулы.

В соответствии с этим, согласно изобретению, предусмотрена система управления и передачи данных для управления критическими для безопасности процессами, содержащая, по меньшей мере, несколько модулей ввода/вывода, соединенных через первую коммуникационную сеть со шлюзовым модулем, причем шлюзовой модуль соединен с иерархически вышестоящей по сравнению с первой коммуникационной сетью второй коммуникационной сетью и действует в качестве шлюза между первой и второй коммуникационными сетями. По меньшей мере, один из модулей ввода/вывода содержит диагностический блок для формирования статусных данных, касающихся функционального состояния входа и/или выхода и/или подключенного к входу или выходу процессного устройства. Далее шлюзовой модуль и модули ввода/вывода выполнены для коммуникации в защищенном от ошибок режиме через первую коммуникационную сеть, чтобы передавать статусные и входные и/или выходные данные. Кроме того, шлюзовой модуль выполнен для направленной на безопасность обработки статусных данных и/или входных и/или выходных данных.

Предпочтительно направленная на безопасность обработка статусных данных и/или входных и/или выходных данных шлюзовым модулем может включать в себя также выполнение, по меньшей мере, одной предохранительной функции. При этом преимущественно за счет предохранительной функции в зависимости от направленных на безопасность входных данных и в зависимости от переданных статусных данных формируются направленные на безопасность выходные данные. Предохранительной функцией может быть также предохранительная связь, которая служит, например, для направленной на безопасность связи избыточно формированных сигналов или данных.

Модули ввода/вывода могут быть выполнены предпочтительно в виде входных и/или выходных модулей, т.е. иметь входы и/или выходы для подключения процессных устройств, таких как датчики и/или исполнительные органы.

Шлюзовой модуль обрабатывает преимущественно входные и статусные данные входных модулей таким образом, что входные данные отвечают требованиям норм безопасности. Безопасные входные данные могут быть затем переданы на наложенное безопасное управление и/или на наложенное стандартное управление. Дополнительно или в качестве альтернативы эти данные могут быть безопасно обработаны внутри шлюзового модуля, а результат может быть передан на выходы.

На выходной стороне шлюзовой модуль выполняет преимущественно передачу выходных данных и диагностику выходных контуров, так что состояние выходных модулей контролируется, чтобы можно было соответственно реагировать в случае ошибки.

Управление выходами может осуществляться, например, таким образом, что происходит управление двумя выходными модулями, которые сообща образуют двухканальный безопасный выход. Однако могут использоваться, например, также стандартные выходы, которые контролируются, причем предусмотрен только один предвключенный безопасный выходной модуль, который в случае ошибки отключает питание стандартных выходных модулей.

Основная идея изобретения заключается в том, чтобы сместить предохранительную логическую схему в шлюзовой модуль, а не предусматривать ее в отдельных модулях ввода/вывода, причем предпочтительным образом регистрация релевантных для безопасности сигналов осуществляется с помощью модулей ввода/вывода, которые обычно выполнены только для нерелевантных для безопасности сигналов, в частности с помощью одноканальных модулей ввода/вывода. Поскольку общие сигналы в случае релевантных и нерелевантных для безопасности модулей ввода/вывода со стороны физики одинаковы, согласно изобретению, в частности, предусмотрена регистрация направленных и не направленных на безопасность сигналов с помощью идентичных модулей ввода/вывода, что приводит к повышению гибкости, т.к. приходится использовать менее разные модули ввода/вывода, благодаря чему можно значительно сократить также затраты на разработку. Таким образом, преимущественно также направленные на безопасность входные данные регистрируются одноканальным входным модулем и/или направленные на безопасность выходные данные выдаются одноканальным выходным модулем.

Проверка и верификация данных, проводимые в соответствии с уровнем техники в двухканальных модулях ввода/вывода для релевантных для безопасности сигналов, осуществляются, согласно изобретению, в одном центральном месте в шлюзовом модуле. Для этой цели шлюзовой модуль содержит преимущественно одну, в частности избыточно выполненную, предохранительную логическую схему, которая предназначена для направленной на безопасность обработки статусных данных и/или входных и/или выходных данных и/или для выполнения предохранительной функции.

В одном особенно предпочтительном варианте системы управления и передачи данных первая коммуникационная сеть выполнена в виде локальной шины, а модули ввода/вывода выполнены в виде модульных входных и выходных приборов. Локальная шина поддерживает преимущественно, по меньшей мере, один выбранный шинный протокол, например протокол полевой шины, такой как INTERBUS или Profibus. Однако, в принципе, может использоваться любой подходящий шинный протокол. Поскольку соединение внутри локальной шины происходит предпочтительно бескабельным путем через контакты за счет надевания на несущую рейку, локальная протяженность внутри станции, содержащей шлюзовой модуль и модули ввода/вывода, ограничена. Авторы обнаружили, что в этом варианте не требуется полностью выраженного протокола безопасности, известного из уровня техники для передачи направленных на безопасность данных, а достаточную безопасность можно обеспечить немногими техническими мерами против фальсификации данных и беспорядочности при их передаче. Безопасная коммуникация во вторую наложенную коммуникационную сеть требуется только начиная со шлюзового модуля, называемого также шинной клеммой. Вторая коммуникационная сеть может быть выполнена, например, в виде полевой шины.

Управление процессом происходит обычно за счет соединенного со второй коммуникационной сетью устройства управления, выполненного, например, в виде программируемого логического контроллера (ПЛК). Поскольку направленная на безопасность логическая обработка выполняется шлюзовым модулем и, тем самым, он выполнен для обработки направленных на безопасность и не направленных на безопасность данных, возможно также, чтобы шлюзовой модуль выполнял управление процессом для локальной станции, т.е. полное управление входами и выходами подключенных к первой коммуникационной сети модулей ввода/вывода.

Как обнаружили авторы, в модулях ввода/вывода вместо используемой в уровне техники предохранительной логической схемы требуется лишь немного диагностических расширений, чтобы без ошибок регистрировать релевантные для безопасности физические сигналы и передавать их на шлюзовой модуль. Они служат, в частности, для диагностики тракта передачи от модуля ввода/вывода к шлюзовому модулю, а также для диагностики периферии и входов и выходов.

В соответствии с этим шлюзовой модуль и модули ввода/вывода выполнены для коммуникации в защищенном от ошибок режиме. Особенно предпочтительно модули выполнены для обмена телеграммами данных, включающими в себя контрольную сумму и/или, по меньшей мере, одно значение счетчика, причем после каждой успешно переданной телеграммы данных значение счетчика инкрементируется. Контрольная сумма может быть выполнена, например, в виде CRC (Cyclic Redundancy Check – циклический избыточный код). За счет динамики, т.е. изменения значения счетчика, при передаче данных могут быть обнаружены ошибки, в частности потерянные или дважды переданные телеграммы данных.

В одном особенно предпочтительном варианте далее предусмотрено, что для каждого из подключенных к первой коммуникационной сети модулей ввода/вывода соответствующая телеграмма данных содержит разное индивидуальное значение счетчика. Использование индивидуальных счетчиков, имеющих для каждого из модулей ввода/вывода в телеграмме данных разные значения, обеспечивает особенно предпочтительно диагностику адресацию отдельных модулей ввода/вывода внутри станции. Предпочтительно может быть предусмотрено, что одна общая телеграмма данных проходит все подключенные к первой коммуникационной сети модули ввода/вывода и включает в себя соответствующие индивидуальные значения счетчиков для модулей ввода/вывода.

В противоположность уровню техники в отдельных модулях ввода/вывода используются лишь простые диагностические инстанции, которые поддерживают предохранительную логическую схему в шлюзовом модуле при обнаружении ошибок. Для этой цели, по меньшей мере, один модуль ввода/вывода, обычно все модули ввода/вывода, содержит/содержат диагностический блок, который выполнен для диагностики входов и/или выходов соответствующего модуля ввода/вывода и/или для диагностики процессного устройства, подключенного к входу или выходу соответствующего модуля ввода/вывода, а также для формирования соответствующих статусных данных. Диагностируемой ошибкой входа или выхода может быть, например, возникшее замыкание на корпус.

Для диагностики периферии, т.е. подключенного процессного устройства, например датчика или исполнительного органа, предпочтительно предусмотрено, что диагностический блок в соответствующем модуле ввода/вывода обменивается данными с соответствующим диагностическим блоком, расположенным в подключенном к входу или выходу модуля ввода/вывода процессном устройстве. Таким образом, можно обнаружить ошибки в периферийном приборе и запросить посредством диагностического блока в модуле ввода/вывода.

Особенно предпочтительно диагностический блок, по меньшей мере, одного модуля ввода/вывода и/или диагностический блок подключенного к модулю ввода/вывода процессного устройства выполнен с возможностью управления посредством передаваемых от шлюзового модуля управляющих данных. Для этого внутри диагностических блоков в модулях ввода/вывода и/или в подключенных периферийных приборах могут быть предусмотрены различные диагностические инстанции, которые срабатывают от расположенной в шлюзовом модуле предохранительной логической схемы и за счет ожидания в предохранительной логической схеме проверяются на ошибочное поведение. Таким образом, за счет шлюзового модуля происходит дистанционное управление диагностическими блоками в модуле ввода/вывода и/или в процессном устройстве. Благодаря этому не требуется отдельной защиты и диагностической оценки в модулях ввода/вывода. Обработка данных ввода/вывода и диагностических данных происходит автоматически в шлюзовом модуле.

Названная выше техническая задача решается также посредством признаков п. 11 формулы.

Согласно им, предусмотрен шлюзовой модуль для использования в описанной системе управления и передачи данных, содержащий интерфейсы для подключения к первой и второй коммуникационным сетям, причем шлюзовой модуль выполнен с возможностью соединения через первую коммуникационную сеть с некоторым числом модулей ввода/вывода и причем шлюзовой модуль предназначен для коммуникации в защищенном от ошибок режиме с модулями ввода/вывода через первую коммуникационную сеть, чтобы передавать входные и/или выходные данные и принимать, по меньшей мере, от одного модуля ввода/вывода управляющие данные. Кроме того, шлюзовой модуль содержит выполненный, в частности, в виде предохранительной логической схемы предохранительный блок управления, который предназначен для выполнения безопасной обработки, т.е. для направленной на безопасность обработки статусных данных и/или входных и/или выходных данных.

В зависимости от направленной на безопасность обработки в шлюзовом модуле в наложенном предохранительном управляющем устройстве могут выполняться предохранительные функции. В одном предпочтительном варианте может быть также предусмотрено, что шлюзовой модуль предназначен для выполнения, по меньшей мере, одной предохранительной функции, которая преимущественно в зависимости от направленных на безопасность входных данных и в зависимости от принятых статусных данных формирует направленные на безопасность выходные данные. В этом варианте можно предпочтительно отказаться от выполнения предохранительных функций в наложенном предохранительном управляющем устройстве, однако в наложенном предохранительном управляющем устройстве могут выполняться также дополнительные предохранительные функции.

Кроме того, в рамках изобретения находятся также все описанные выше в связи с системой управления и передачи данных варианты такого шлюзового модуля.

Названная выше техническая задача решается также посредством признаков п. 12 формулы.

Согласно им, предусмотрен модуль ввода/вывода для использования в описанной системе управления и передачи данных, содержащий, по меньшей мере, один вход и/или выход для подключения выполненного, в частности, в виде датчика или исполнительного органа процессного устройства, диагностический блок для формирования управляющих данных, касающихся функционального состояния входа и/или выхода и/или подключенного к входу и/или выходу процессного устройства, и интерфейс для подключения к коммуникационной сети, причем модуль ввода/вывода предназначен для коммуникации в защищенном от ошибок режиме через коммуникационную сеть со шлюзовым модулем.

В рамках изобретения находятся также все описанные выше в связи с системой управления и передачи данных варианты такого модуля ввода/вывода.

Названная выше техническая задача решается также посредством признаков п. 13 формулы.

Согласно им, предусмотрен способ безопасного управления процессами в системе управления и передачи данных с некоторым числом модулей ввода/вывода, причем модули ввода/вывода соединены через первую коммуникационную сеть со шлюзовым модулем, и причем шлюзовой модуль соединен со второй, иерархически вышестоящей коммуникационной сетью и действует в качестве шлюза между первой и второй коммуникационными сетями. Способ включает в себя формирование статусных данных посредством расположенного, по меньшей мере, в одном из модулей ввода/вывода диагностического блока, причем статусные данные включают в себя информацию, касающуюся функционального состояния входа и/или выхода модуля ввода/вывода и/или подключенного к входу и/или выходу модуля ввода/вывода процессного устройства, выполнение коммуникации в защищенном от ошибок режиме между шлюзовым модулем и модулями ввода/вывода через первую коммуникационную сеть, чтобы принимать статусные данные и входные и/или выходные данные, и направленную на безопасность обработку статусных данных и/или входных и/или выходных данных посредством шлюзового модуля.

Направленная на безопасность обработка может включать в себя предпочтительно выполнение, по меньшей мере, одной предохранительной функции посредством шлюзового модуля, причем предохранительная функция в зависимости от направленных на безопасность входных данных и в зависимости от статусных данных формирует направленные на безопасность выходные данные.

Преимущественно способ включает в себя все требуемые этапы для эксплуатации описанных выше вариантов системы управления и передачи данных или их комбинации.

Кроме того, способ предпочтительно предусмотрен для дистанционного управления расположенным в одном из модулей ввода/вывода диагностическим блоком посредством шлюзового модуля, причем для этой цели от шлюзового модуля к диагностическому блоку передаются управляющие данные.

Изобретение более подробно описано ниже в качестве примера с помощью предпочтительных вариантов его осуществления и со ссылкой на прилагаемые чертежи. При этом на чертежах одинаковыми ссылочными позициями обозначены одинаковые или аналогичные детали. На чертежах изображают:

- фиг. 1: схематично известную из уровня техники систему управления и передачи данных;

- фиг. 2: схематично предпочтительный вариант предложенной системы управления и передачи данных;

- фиг. 3: схематично данные, обмениваемые с системой управления и передачи данных из фиг. 2 с модулем ввода/вывода;

- фиг. 4: схематично временную характеристику индивидуальных для модулей ввода/вывода значений счетчиков, передаваемых внутри телеграммы данных.

На фиг. 1 схематично изображена известная из уровня техники система 20 управления и передачи данных, содержащая несколько модулей ввода/вывода 40, 45, 50, 55, которые через шинные интерфейсы 70 подключены к расположенному в шлюзовом модуле 30 задатчику 60. Шлюзовой модуль 30 содержит далее сетевой коммутатор 90 для подключения к наложенной сети. К этой наложенной сети обычно подключено устройство управления (не показано), которое приводит в действие индивидуально работающие независимо друг от друга модули ввода/вывода 40, 45, 50, 55. Модули ввода/вывода 40, 50 выполнены в виде входных модулей, а модули ввода/вывода 45, 55 – в виде выходных модулей, причем модули ввода/вывода 50, 55 выполнены в виде специальных безопасных модулей ввода/вывода, в которых сигналы дважды регистрируются и внутри прибора проверяются на достоверность и ошибки, причем для этого предусмотрены по два выполненных с микропроцессорами ядра 80, 81 и 85, 86.

На фиг. 2 схематично изображен предпочтительный вариант системы 10 управления и передачи данных, в которой отсутствуют известные из уровня техники двухканальные модули ввода/вывода для регистрации релевантных для безопасности сигналов.

Система 10 управления и передачи данных содержит шлюзовой модуль 100 и модули ввода/вывода 201, 202, коммуникация которых между собой может осуществляться через локальную шину 510. В данном примере локальная шина 510 выполнена в виде кольцевой шины, причем локальный задатчик 120 в шлюзовом модуле для коммуникации с модулями ввода/вывода 201, 202 формирует телеграмму данных, которая по типу сдвигового регистра проходит через все подключенные к локальной шине 510 модули ввода/вывода. Лишь для простоты изображены только два модуля ввода/вывода 201, 202. Может быть предусмотрено также большее число модулей ввода/вывода. Изображенное выполнение локальной шины 510 в виде кольцевой шины является лишь примером, может использоваться также любая другая подходящая шинная топология. Кроме того, для коммуникации через локальную шину 510 используется преимущественно выбранный шинный протокол, преимущественно протокол полевой шины. Однако, в принципе, может использоваться также любой подходящий коммуникационный протокол.

Согласно изобретению, предохранительная логическая схема смещена от модулей ввода/вывода в шлюзовой модуль 100. Это обозначено на фиг. 2 штриховыми стрелками. Шлюзовой модуль 100 содержит в соответствии с этим предохранительное управляющее устройство 130, соединенное с локальным задатчиком 120. Предпочтительно предохранительное управляющее устройство 130 содержит два избыточных, выполненных с микропроцессорами ядра 131, 132, результаты которых сравниваются между собой. Предохранительное управляющее устройство 130 предназначено, в частности, для выполнения предохранительной функции, которая в зависимости от направленных на безопасность входных данных формирует направленные на безопасность выходные данные.

Выполнение предохранительной функции шлюзовым модулем 100 происходит дополнительно в зависимости от статусных данных, которые формируются диагностическими блоками 400 в модулях ввода/вывода и передаются на шлюзовой модуль 100.

Коммуникация между шлюзовым модулем 100 и модулями ввода/вывода 201, 202 происходит в защищенном от ошибок режиме, причем для этой цели модули ввода/вывода содержат по одному коммуникационно-диагностическому блоку 300, которые соединены через регистры 220, 225 соответственно для входных и выходных данных с шинными интерфейсами 210, причем каждый коммуникационно-диагностический блок 300 содержит предназначенный для коммуникации в защищенном от ошибок режиме блок 310. Может быть предпочтительным выполнение блока 310 в виде чипа. Кроме того, предпочтительно коммуникационно-диагностический блок 300 и блок 310 для коммуникации в защищенном от ошибок режиме, при необходимости дополнительно с регистрами 220. 225 и/или шинным интерфейсом 210, могут быть расположены в одном общем чипе. Коммуникационно-диагностический блок 300 соединен с диагностическим блоком 400, который предназначен для диагностики входа и/или выхода и/или подключенного к входу и/или выходу процессного устройства, а также для формирования соответствующих статусных данных. Также диагностический блок 400 может быть выполнен предпочтительно в виде чипа или расположен на одном общем чипе вместе с коммуникационно-диагностическим блоком 300. В данном примере диагностический блок 400 содержит ведущий SPI 420 (Serial Peripheral Interface – последовательный периферийный интерфейс), который через интерфейс 410 ввода/вывода соединен с блоком 430 ввода/вывода, содержащим входы и выходы, а также предусмотренные, при необходимости, таймеры. Интерфейс 410 ввода/вывода соединен с блоком 310 коммуникационно-диагностического блока 300. Входы и/или выходы, выполненные, например, в виде универсальных входов и/или выходов (англ. GPIO – General Purpose Input/Output – входы/выходы общего назначения), соединены через интерфейс 450 с одним или несколькими процессными устройствами, т.е. с периферийными приборами, например датчиками или исполнительными органами. За счет интерфейса 450 может осуществляться, например, согласование сигналов или аналого-цифровое преобразование.

Шлюзовой модуль 100 содержит далее сетевой шлюз 110 для подключения к наложенной сети 520. В шлюзовом модуле 100 происходит передача внутренних сигналов на используемую сеть 520 и дополнительно согласование протокола безопасности с наложенной сетью 520, так что шлюзовой модуль при использовании того же физического интерфейса отличается только сетевыми протоколами или может поддерживать несколько протоколов, благодаря чему можно использовать один и тот же шлюзовой модуль 100 для различных сетей и безопасных протоколов.

Чтобы без ошибок регистрировать физические сигналы и передавать их на шлюзовой модуль, согласно изобретению, требуются, тем самым, только диагностика тракта передачи от модуля ввода/вывода к шлюзовому модулю и диагностика периферии и входов/выходов.

В данном примере шлюзовой модуль 100 и модули ввода/вывода 201, 202 выполнены в виде клемм, за счет чего локальная протяженность ограничена, так что полностью выраженного протокола безопасности не требуется, а необходимы лишь немногие технические меры против фальсификации данных и беспорядочности при их передаче. Безопасная коммуникация в наложенную коммуникационную сеть требуется только начиная со шлюзового модуля 100.

Таким образом, независимо от того, какие протоколы безопасности используются в наложенной сети 520, все модули ввода/вывода могут быть выполнены всегда одинаковыми. Предохранительная логическая схема внутри шлюзового модуля 100 выполняет защиту коммуникации данных к отдельным модулям ввода/вывода и обслуживает отдельные диагностические инстанции внутри модулей ввода/вывода.

На фиг. 3 в схематичном и упрощенном виде показано, какие данные выбранный в качестве примера модуль ввода/вывода 201 принимает от шлюзового модуля 100, как они направляются дальше и какие данные передаются обратно на шлюзовой модуль 100.

Защита коммуникации между предохранительной логической схемой шлюзового модуля 100 и модулями ввода/вывода осуществляется с помощью CRC. Дополнительно каждый модуль ввода/вывода срабатывает преимущественно от, например, 8-битного счетчика, который отличается для каждого локального модуля ввода/вывода и инкрементируется после каждого успешного коммуникационного соединения. Модуль ввода/вывода отвечает с зеркальным значением счетчика. Этот счетчик представляет собой способ диагностики для адресации отдельных модулей ввода/вывода. За счет созданной изменением значения счетчика динамики можно обнаружить другие ошибки при передаче данных.

Как показано на фиг. 4, каждый модуль ввода/вывода срабатывает от отличающегося счетчика. Все счетчики после каждого успешного коммуникационного соединения инкрементируются до максимального значения. После достижения максимального значения каждый счетчик снова устанавливается на начальное значение. Таким образом, при каждой передаче данных, например в момент t0, значения счетчиков для отдельных модулей ввода/вывода отличаются. Сплошные кривые лишь символически отображают характеристику дискретных значений счетчиков.

При повторной ссылке на фиг. 3 все принятые данные, включающие в себя счетчик, выходные данные, управляющие данные и CRC, подаются на коммуникационно-диагностический блок 300, который проверяет CRC и счетчик. Выходные данные выдаются непосредственно на периферию 600. Управляющие данные подаются на диагностический блок 400 и служат для дистанционного управления диагностическим блоком 400, т.е., например, для установления того, какие статусные данные должны быть сформированы диагностическим блоком 400.

Посылаемые на шлюзовой модуль 100 данные включают в себя зеркальный счетчик, входные данные, статусные данные и CRC. Сформированные периферией входные данные и сформированные диагностическим блоком 400 статусные данные подаются на коммуникационно-диагностический блок 300 для составления CRC. Для формирования статусных данных диагностическим блоком 400 осуществляется, в частности, коммуникация между ним и периферией 600.

Осуществление коммуникации (машина состояний) происходит исключительно в предохранительной логической схеме шлюзового модуля 100. В отдельных модулях ввода/вывода используются лишь простые диагностические инстанции, которые поддерживают предохранительную логическую схему в шлюзовом модуле 100 при обнаружении ошибок.

Внутри диагностического блока 400 и на периферии 600 могут быть предусмотрены различные диагностические дистанции, которые срабатывают от предохранительной логической схемы шлюзового модуля 100 и за счет ожидания проверяются в предохранительной логической схеме на ошибочное поведение. Таким образом, отдельной защиты и диагностической оценки в модулях ввода/вывода больше не требуется. Обработка данных ввода/вывода и диагностических данных осуществляется исключительно шлюзовым модулем 100.

Поскольку шлюзовой модуль 100 выполняет логическую обработку и может обрабатывать как стандартные, так и предохранительные данные, возможно также, чтобы шлюзовой модуль 100 выполнял для локальной станции, т.е. для локальных модулей ввода/вывода, полное управление входами и выходами. Таким образом, возможно, чтобы шлюзовой модуль 100 использовался в автономном режиме в качестве локального управления и дополнительно предоставлял в распоряжение для наложенной сети 520 требуемые данные, или чтобы им можно было управлять в качестве локальной интеллектуальной станции. Обработка в шлюзовом модуле имеет то преимущество, что она может протекать намного быстрее, чем в наложенном управляющем устройстве, т.к. локальная станция имеет более эффективный и быстрый доступ к локальным данным ввода/вывода. Таким образом, можно достичь более короткого времени реакции. Кроме того, наложенное управляющее устройство разгружается.

Предложенное решение обеспечивает ряд преимуществ по сравнению с текущим уровнем техники. Достигается более гибкое использование существующих модулей ввода/вывода для нерелевантных для безопасности сигналов и уменьшение числа разных модулей ввода/вывода внутри системы. К тому же все модули ввода/вывода могут быть выполнены независимо от наложенной сети. Упрощение модулей ввода/вывода возникает потому, что они отпадают для регистрации релевантных для безопасности сигналов. В соответствии с этим внутри станции требует немного или никаких микропроцессоров, включающих в себя шлюзовой модуль и модули ввода/вывода, и, в целом, уменьшается комплексность внутри станции. Тем самым, уменьшаются также затраты на разработку, производство, испытание и поддержку. В зависимости от локальной коммуникационной системы может отпасть далее отдельная адресация модулей для релевантных для безопасности сигналов. Кроме того, в системе требуется только логическая обработка. Шлюзовой модуль также в качестве отдельной станции без связи с наложенной сетью может полностью выполнять задачи безопасности, т.е. можно реализовать не только регистрацию входов и выходов, но и управление внутри локальной станции. При этом можно использовать как предохранительные, так и стандартные сигналы. Обработка локальных данных ввода/вывода в шлюзовом модуле происходит существенно быстрее, чем в наложенном управляющем устройстве. Далее возможно, чтобы центральная безопасная обработка происходила не исключительно в шлюзовом модуле, а в другом месте, например в наложенном предохранительном управляющем устройстве, или в любом месте внутри локальной станции и чтобы шлюзовой модуль функционировал только в качестве шлюза. В этом случае шлюзовой модуль должен обеспечивать передачу данных к приборам и различные услуги, которые необходимы для управления диагностическими блоками и данными ввода/вывода отдельных локальных приборов.

Похожие патенты RU2665890C2

название год авторы номер документа
СПОСОБ И УСТРОЙСТВО ДЛЯ ОБРАЩЕНИЯ К ПАМЯТИ СООБЩЕНИЙ КОММУНИКАЦИОННОГО МОДУЛЯ 2005
  • Хартвих Флориан
  • Хорст Кристиан
  • Байлер Франц
RU2377729C2
СПОСОБЫ И УСТРОЙСТВО ДЛЯ ОСУЩЕСТВЛЕНИЯ СВЯЗИ ЧЕРЕЗ УДАЛЕННОЕ ТЕРМИНАЛЬНОЕ УСТРОЙСТВО 2017
  • Вандерах Ричард Джозеф
  • Финдли Роберт Джон
RU2750580C2
КОММУНИКАЦИОННЫЙ МОДУЛЬ ДЛЯ СЕТИ FlexRay 2005
  • Хартвих Флориан
  • Хорст Кристиан
  • Байлер Франц
RU2380841C2
КОММУНИКАЦИОННЫЙ МОДУЛЬ 2007
  • Иле Маркус
  • Таубе Ян
  • Лоренц Тобиас
RU2454710C2
СИСТЕМА КОНТРОЛЯ ЗА ПРОЦЕССАМИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И СПОСОБ КОНТРОЛЯ ЗА ВЫХОДНЫМ МОДУЛЕМ 2009
  • Коррек Андре
RU2504813C2
КОМПЛЕКС РЕЗЕРВИРУЕМЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ 2010
  • Кишкин Владимир Львович
  • Нариц Александр Дмитриевич
  • Борисов Станислав Борисович
  • Новиков Александр Александрович
  • Моисеев Михаил Иванович
  • Карпов Пётр Сергеевич
  • Белова Татьяна Николаевна
  • Борзенко Андрей Александрович
RU2430400C1
УПРАВЛЯЮЩАЯ СИСТЕМА БЕЗОПАСНОСТИ АТОМНОЙ ЭЛЕКТРОСТАНЦИИ 2015
  • Кишкин Владимир Львович
  • Нариц Александр Дмитриевич
  • Моисеев Михаил Иванович
  • Новиков Алексей Николаевич
  • Карпов Пётр Сергеевич
  • Тимохин Дмитрий Сергеевич
  • Гриценко Станислав Юрьевич
  • Мейлахс Артем Львович
  • Новиков Александр Александрович
RU2598599C1
МОНТИРУЕМОЕ В УСЛОВИЯХ ЭКСПЛУАТАЦИИ УСТРОЙСТВО УПРАВЛЕНИЯ ТЕХНОЛОГИЧЕСКИМ ПРОЦЕССОМ С ПРОГРАММИРУЕМЫМ ЦИФРОАНАЛОГОВЫМ ИНТЕРФЕЙСОМ 2005
  • Каршниа Роберт Дж.
  • Пелузо Маркос
RU2363974C2
СПОСОБ ПЕРЕДАЧИ ДАННЫХ В СООБЩЕНИЯХ ПО ЛИНИИ СВЯЗИ СИСТЕМЫ СВЯЗИ, А ТАКЖЕ КОММУНИКАЦИОННЫЙ МОДУЛЬ, АБОНЕНТСКОЕ УСТРОЙСТВО СИСТЕМЫ СВЯЗИ И СИСТЕМА СВЯЗИ ДЛЯ ОСУЩЕСТВЛЕНИЯ ЭТОГО СПОСОБА 2006
  • Хорст Кристиан
  • Байлер Франц
RU2401452C2
ДИСПЕТЧЕР СООБЩЕНИЙ И СПОСОБ УПРАВЛЕНИЯ ДОСТУПОМ К ДАННЫМ В ПАМЯТИ СООБЩЕНИЙ КОММУНИКАЦИОННОГО КОМПОНЕНТА 2005
  • Хартвих Флориан
  • Хорст Кристиан
  • Байлер Франц
  • Иле Маркус
RU2390053C2

Иллюстрации к изобретению RU 2 665 890 C2

Реферат патента 2018 года СИСТЕМА УПРАВЛЕНИЯ И ПЕРЕДАЧИ ДАННЫХ, ШЛЮЗОВОЙ МОДУЛЬ, МОДУЛЬ ВВОДА/ВЫВОДА И СПОСОБ УПРАВЛЕНИЯ ПРОЦЕССАМИ

Группа изобретений относится к технике автоматизации. Технический результат – создание средств безопасного и оптимального обмена данными в автоматизации. Для этого предложена система управления и передачи данных для управления критическими для безопасности процессами, содержащая модули ввода/вывода, соединенные через первую коммуникационную сеть со шлюзовым модулем, причем шлюзовой модуль соединен с иерархически вышестоящей по сравнению с первой коммуникационной сетью второй коммуникационной сетью и действует в качестве шлюза между первой и второй коммуникационными сетями. Модули ввода/вывода содержат диагностический блок для формирования статусных данных. Шлюзовой модуль и модули ввода/вывода обмениваются сигналами через первую коммуникационную сеть в защищенном от ошибок режиме. Кроме того, шлюзовой модуль выполнен для безопасной обработки данных. Согласно группе изобретений предусмотрены также шлюзовой модуль и модули ввода/вывода для использования в такой системе управления и передачи данных, а также способ безопасного управления процессами. 4 н. и 12 з.п. ф-лы, 4 ил.

Формула изобретения RU 2 665 890 C2

1. Система (10) управления и передачи данных для управления критическими для безопасности процессами, содержащая несколько модулей ввода/вывода (201, 202), соединенных через первую коммуникационную сеть (510) со шлюзовым модулем (100), причем

- шлюзовой модуль (100) соединен с иерархически вышестоящей по сравнению с первой коммуникационной сетью (510) второй коммуникационной сетью (520) и действует в качестве шлюза между первой и второй коммуникационными сетями,

- по меньшей мере, один из модулей ввода/вывода (201, 202) содержит диагностический блок (400) для формирования статусных данных, касающихся функционального состояния входа и/или выхода для подключения процессных устройств и/или подключенного к входу или выходу процессного устройства,

- шлюзовой модуль (100) выполнен с возможностью коммуникации с модулями ввода/вывода (201, 202) в защищенном от ошибок режиме через первую коммуникационную сеть (510) для передачи статусных данных и входных и/или выходных данных, и

- шлюзовой модуль (100) выполнен с возможностью направленной на безопасность обработки статусных данных и/или входных и/или выходных данных.

2. Система по п. 1, в которой направленные на безопасность входные данные регистрируются одноканальным входным модулем и/или направленные на безопасность выходные данные выдаются одноканальным выходным модулем.

3. Система по одному из пп. 1 или 2, в которой шлюзовой модуль (100) для выполнения направленной на безопасность обработки статусных данных и/или входных и/или выходных данных содержит выполненную, в частности, избыточно предохранительную логическую схему (110).

4. Система по одному из пп. 1 или 2, в которой направленная на безопасность обработка статусных данных и/или входных и/или выходных данных включает в себя выполнение, по меньшей мере, одной предохранительной функции.

5. Система по одному из пп. 1 или 2, причем первая коммуникационная сеть (510) является локальной шиной, а модули ввода/вывода (201, 202) выполнены в виде модульных входных и выходных приборов.

6. Система по одному из пп. 1 или 2, в которой управление процессом происходит посредством соединенного со второй коммуникационной сетью устройства управления и/или посредством шлюзового модуля.

7. Система по одному из пп. 1 или 2, в которой шлюзовой модуль (100) и модули ввода/вывода (201, 202) для защищенной от ошибок коммуникации выполнены с возможностью обмена телеграммами данных, содержащих контрольную сумму и/или, по меньшей мере, одно значение счетчика, причем после каждой успешно переданной телеграммы данных значение счетчика инкрементируется.

8. Система по п. 7, в которой для каждого из подключенных к первой коммуникационной сети (510) модулей ввода/вывода (201, 202) соответствующая телеграмма данных содержит разное индивидуальное значение счетчика.

9. Система по одному из пп. 1 или 2, в которой диагностический блок (300, 400), по меньшей мере, одного модуля ввода/вывода (201, 202) выполнен с возможностью обмена данными с соответствующим диагностическим блоком, расположенным в подключенном к входу или выходу модуля ввода/вывода (201, 202) процессном устройстве (600).

10. Система по одному из пп. 1 или 2, в которой диагностический блок (400) одного модуля ввода/вывода (201, 202) и/или диагностический блок подключенного к модулю ввода/вывода процессного устройства (600) выполнен с возможностью управления посредством переданных шлюзовым модулем управляющих данных.

11. Шлюзовой модуль для использования в системе управления и передачи данных по одному из пп. 1-10, содержащий

- интерфейс для подключения к первой и второй коммуникационным сетям, причем шлюзовой модуль выполнен с возможностью соединения через первую коммуникационную сеть с несколькими модулями ввода/вывода (201, 202) и причем шлюзовой модуль (100) выполнен с возможностью коммуникации в защищенном от ошибок режиме через первую коммуникационную сеть (510) с модулями ввода/вывода (201, 202) для передачи входных и/или выходных данных и приема статусных данных, по меньшей мере, одного модуля ввода/вывода (201, 202), при этом статусные данные касаются функционального состояния входа и/или выхода модуля ввода/вывода для подключения процессных устройств и/или процессорного устройства, подключенного к входу или выходу модуля ввода/вывода, и

- предохранительный блок управления (130), который выполнен с возможностью выполнения безопасной обработки статусных данных и/или входных и/или выходных данных.

12. Шлюзовой модуль по п. 11, в котором предохранительный блок управления (130) выполнен в виде предохранительной логической схемы.

13. Модуль ввода/вывода (201, 202) для использования в системе (10) управления и передачи данных по одному из пп. 1-10, содержащий

- по меньшей мере, один вход и/или выход для подключения процессного устройства,

- диагностический блок для формирования статусных данных, касающихся функционального состояния входа и/или выхода для подключения процессных устройств и/или подключенного к входу и/или выходу процессного устройства,

- интерфейс (210) для подключения к коммуникационной сети (510), причем модуль ввода/вывода (201, 202) выполнен с возможностью коммуникации через коммуникационную сеть (510) в защищенном от ошибок режиме со шлюзовым модулем (100) для передачи статусных данных.

14. Модуль ввода/вывода (201, 202) по п. 13, в котором, по меньшей мере, один вход и/или выход для подключения процессного устройства выполнен в виде датчика или исполнительного органа.

15. Способ безопасного управления процессами в системе управления и передачи данных, содержащей несколько модулей ввода/вывода (201, 202), соединенных через первую коммуникационную сеть (510) со шлюзовым модулем (100), причем шлюзовой модуль (100) соединен с иерархически вышестоящей по сравнению с первой коммуникационной сетью (510) второй коммуникационной сетью (520) и действует в качестве шлюза между первой и второй коммуникационными сетями, включающий в себя следующие этапы:

- формирование статусных данных посредством расположенного, по меньшей мере, в одном из модулей ввода/вывода диагностического блока, причем статусные данные содержат информацию, касающуюся функционального состояния входа и/или выхода модуля ввода/вывода для подключения процессных устройств и/или подключенного к входу и/или выходу модуля ввода/вывода процессного устройства,

- выполнение защищенной от ошибок коммуникации между шлюзовым модулем (100) и входными и/или выходными модулями (201, 202) через первую коммуникационную сеть (510) для передачи статусных данных и входных и/или выходных данных и

- направленную на безопасность обработку статусных данных и/или входных и/или выходных данных посредством шлюзового модуля (100).

16. Способ по п. 15, дополнительно включающий в себя этап дистанционного управления диагностическим блоком шлюзового модуля (100) путем передачи управляющих данных от шлюзового модуля (100) к диагностическому блоку.

Документы, цитированные в отчете о поиске Патент 2018 года RU2665890C2

Способ приготовления лака 1924
  • Петров Г.С.
SU2011A1
RU 82790 U1, 10.05.2009
МНОГОПРОЦЕССОРНЫЙ КОНТРОЛЛЕР ДЛЯ УПРАВЛЕНИЯ СЛОЖНЫМ ТЕХНОЛОГИЧЕСКИМ ОБЪЕКТОМ 2003
  • Сердюков О.В.
  • Тимошин А.И.
  • Кулагин С.А.
RU2263952C2
Пломбировальные щипцы 1923
  • Громов И.С.
SU2006A1

RU 2 665 890 C2

Авторы

Хельманн Клас

Остер Виктор

Даты

2018-09-04Публикация

2015-07-15Подача