Изобретение относится к автоматике и вычислительной технике и может быть использовано в системах автоматизированного контроля и управления технологическим процессом атомных электростанций (АСУ ТП АЭС) и других промышленных объектов.
В АСУ ТП АЭС системная шина объединяет информационно и по управлению до 800 абонентов шины - устройств автоматизации и инструментальных компьютеров, входящих в состав программно-технических комплексов ПТК нормальной эксплуатации и управляющей системы безопасности УСБ.
В современных комплексах АСУ ТП АЭС широко используется резервированная системная шина EN, построенная на базе промышленного интерфейса коммутируемого Ethernet (Industrial Ethernet) и полнодуплексных соединений типа «точка-точка». Патент РФ № 2431174, МПК G05B 19/418, 10.10.2011, Патент РФ № 2430400, МПК G05B 19/418, 27.09.2011.
Резервирование шины EN осуществляется путем реконфигурации связей в общей среде передачи данных по технологии Turbo Ring. Данная технология построена на основе так называемого «виртуального кольца» последовательно соединенных сетевых коммутаторов, один из которых, назначенный менеджером резервирования, поддерживает кольцо разомкнутым и контролирует целостность магистральных соединений между коммутаторами в кольце путем передачи контрольных телеграмм с одного конца кольца и приема их с другого конца. При нарушении целостности соединений в кольце менеджер резервирования восстанавливает ее путем замыкания кольца в точке контроля.
Эта технология нашла широкое применение в АСУ ТП промышленных объектов благодаря малому времени реконфигурации кольцевого сегмента, составляющему около 20 мс при количестве сетевых коммутаторов в кольце не более 250 и минимальному количеству избыточных связей необходимых для реконфигурации сети, восстанавливающей ее работоспособность.
Нерезервированные и резервированные устройства автоматизации типа процессоров автоматизации ПА подключаются к шине EN по двум абонентским каналам A и B, по каналу A к одному сетевому коммутатору, по каналу B к другому сетевому коммутатора из состава одного виртуального кольца. Реконфигурация шины менеджером резервирования при отказе коммутатора совместно с переключение процессора автоматизации, подключенного к данному коммутатору, на другой канал обеспечивают восстановление ее работоспособности.
Данные передаются по шине EN в виде адресных и широковещательных телеграмм прикладного уровня по стандартным протоколам канального и физического уровней интерфейса Industrial Ethernet коммуникационных модулей процессоров автоматизации, входящих в состав шины и обеспечивающих логическое и физическое подключение процессоров автоматизации к шине.
На прикладном уровне шины EN используется протокол передачи аналоговой и дискретной информации технологического процесса и диагностической информации АСУ ТП АЭС.
На канальном уровне интерфейса Industrial Ethernet передача адресных прикладных телеграмм производится в соответствие со стандартами IEEE802.2, IEEE 802.3 по протоколу LLC в режиме 3 (LLC 3) передачи данных с подтверждением доставки по LLC-телеграмме квитирования и повторением передачи до n раз в случае неполучения телеграммы квитирования. Для того чтобы отличать при приеме новую телеграмму от переданной повторно, в протоколе LLC 3 используется нумерация адресных телеграмм по mod 2. Индивидуальный номер новой телеграммы увеличивается перед передачей на 1 по mod 2, номер повторно передаваемой телеграммы не изменяется.
Коммутируемый промышленный Ethernet имеет высокую скорость передачи данных до 100 Мбит/с, что обеспечивает детерминированную передачу данных и произвольный доступ к шине. Но при этом интерфейс Ethernet имеет существенный недостаток - образование в шине потоков широковещательных телеграмм высокой интенсивности, так называемый «широковещательный шторм», при замыкании участка шины в физическое кольцо вследствие неисправности или ошибки монтажа при пуско-наладочных работах. При этом в «широковещательном шторме» участвуют не только широковещательные, но и адресные телеграммы, передаваемые в широковещательном режиме в случае недоступности устройства автоматизации - получателя адресных телеграмм по шине вследствие его неисправности или отключения. Как показал опыт эксплуатации шины EN, образование физических колец в шине, построенной на базе Industrial Ethernet по технологии виртуального кольца, может происходить вследствие неисправностей шины или чаще вследствие ошибок монтажа при пуско-наладочных работах. «Широковещательный шторм» может вызывать переполнение передающих и приемных буферов абонентов шины и коммутаторов и нарушение вследствие этого обмена данными между абонентами. Он может также привести к перегрузке процессоров коммуникационных модулей абонентов, если они имеют недостаточно высокую производительность, а также к невыполнению вследствие этого процессором автоматизации других функций не связанных с управлением передачей данных по шине EN: обмена данными с модулями связи с технологическим процессом или нарушению работы процессоров автоматизации по шинам управляющей системы безопасности УСБ. Патент РФ №2430400, МПК G05B 19/418, 27.09.2011.
Основным недостатком данных решений является нарушение при «широковещательном шторме» на шине EN обмена данными по этой шине между подключенными к ней процессорами автоматизации вследствие построения этой шины в виде общей среды передачи данных, резервируемой путем реконфигурации связей.
Известны протоколы: STP (Spanning Tree Protocol), IEEE 802.1D, и RSTP (Rapid Spanning Tree Protocol), IEEE 802.1D-2004, позволяющие создавать отказоустойчивую архитектуру сети в общей среде передачи данных, которая обеспечивает блокирование параллельных путей передачи широковещательных телеграмм и предотвращение возникновения «широковещательного шторма» путем реконфигурации сети. Но достаточно большое время реконфигурации сети, составляющее больше 1 мин в STP протоколе и более 1 сек в RSTP протоколе при количестве коммутаторов в сети не более 7, не позволяет использовать его в промышленных системах автоматизации. Существенным недостатком этих протоколов является также большое количество избыточных сетевых соединений, что приводит к значительным затратам оборудования в распределенных на большой территории комплексах АСУ ТП АЭС.
Известна дублированная шина EN в комплексе программно-аппаратных средств автоматизации контроля и управления. Дублированная шина состоит из двух независимых и не связанных информационно и физически шин EN: ENa и ENb, построенных по технологии «виртуального кольца». Нерезервированные процессоры автоматизации и каждый из двух резервируемых процессоров автоматизации подключаются по одному каналу к сетевому коммутатору шины ENa, а по другому каналу - к сетевому коммутатору шины ENb. Резервируемые процессоры автоматизации соединены друг с другом по двум последовательным интерфейсам управления горячим резервированием, построенного на основе встроенной в процессоры автоматизации функции самоконтроля. Патент РФ № 2450305, МПК G05B 19/00, 10.05.2012. Данное техническое решение принято в качестве прототипа.
Передача адресных телеграмм по шине производится только одним из двух резервируемых процессоров автоматизации, активным, и только по одной шине ENa или ENb, по которой процессор автоматизации - получатель телеграмм был доступным на предыдущих передачах телеграмм, второй процессор автоматизации и вторая шина находятся в состоянии горячего резерва. Прием адресных телеграмм производится активным процессором автоматизации по той шине ENa или ENb, по которой поступает телеграмма.
Передача и прием широковещательных телеграмм производится активным процессором автоматизации одновременно по обеим шинам ENa и ENb.
При недоступности процессора автоматизации-получателя после n-кратного повторения передачи по протоколу LLC в режиме 3 по одной шине, например ENa, адрес получателя помещается в список недоступных процессоров автоматизации по этой шине и телеграмма таким же образом повторно передается по шине ENb, типовое значение n = 2. Сеанс передачи телеграммы завершается после передачи ее по шине ENb или по недоступности получателя после двукратного повторения передачи. Если передача по каналу шины ENb завершается успешно, то новые телеграммы в адрес того же получателя отправитель будет передавать на основании информации в таблице недоступности по шине ENb.
Дублированная шина, состоящая из двух шин, каждая из которых имеет собственную среду передачи данных, сохраняет на физическом уровне работоспособность при замыкании одной из них в физическое кольцо за счет безошибочной передачи данных по другой исправной физической шине, на которую широковещательный шторм на неисправной шине не распространяется. Но средства, полностью исключающие воздействие на процессоры коммуникационных модулей «широковещательного шторма» в данной дублированной шине не предусмотрены. Вследствие этого данная шина имеет следующие недостатки:
- возможность перегрузки процессоров коммуникационных модулей абонентов широковещательными телеграммами при замыкании участка одной из 2-х шин в физическое кольцо и нарушения выполнения отдельных функций процессоров, если производительность коммуникационных процессоров недостаточно высокая,
- возможность приема и выполнения задержанных адресных и широковещательных телеграмм с неактуальными данными, образующихся на неисправной шине при «широковещательном шторме», и нарушения вследствие этого процедуры обработки телеграмм на прикладном уровне,
Данное изобретение устраняет указанные недостатки.
Техническим результатом изобретения является повышение надежности комплекса автоматизации за счет организации безошибочной работы комплекса автоматизации при неисправностях и ошибках коммутации, приводящих к замыканию участка шины в физическое кольцо, вызывающее «широковещательный шторм».
Технический результат достигается тем, что в дублированной шине EN-2, включающей:
несвязанные между собой первую и вторую шины, выполненные в соответствии со стандартом коммутируемого Industrial Ethernet и соединений типа «точка - точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо;
коммуникационные модули, подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации: по первому каналу - к коммутаторам первой шины, по второму каналу - к коммутаторам второй шины, при этом каждая пара резервируемых процессоров автоматизации соединены по межпроцессорному интерфейсу, имеют общий сетевой адрес и внутренние средства самоконтроля и управления резервированием;
при этом в коммуникационные модули процессоров автоматизации установлены в соответствии с информационной моделью связи оконечных устройств OSI (Open Systems Interconnection) стандартные протоколы интерфейса Ethernet, управляющие передачей данных по шине: физический протокол PHY (PHYsical) на уровне 1 OSI физическом, протокол логического звена LLC (Logical Link Control) и протокол доступа к среде передачи данных MAC (Medium Access Control) на уровне 2 OSI канальном и унифицированный прикладной протокол APM (Application Program Module) шины EN на уровне 7 OSI прикладном;
в состав дублированной шины по настоящему изобретению дополнительно введены коммуникационные модули, подключающие к шине резервируемые шлюзы сопряжения, осуществляющие передачу технологических данных и диагностической информации между устройствами низовой автоматики и системой верхнего блочного уровня в соответствии с информационной моделью связи оконечных устройств OSI уровней 1, 2, 7 и являющиеся независимыми устройствами с собственными сетевыми адресами и внешним управлением резервированием со стороны системы верхнего блочного уровня;
в коммуникационные модули процессоров автоматизации и шлюзов сопряжения дополнительно к унифицированному протоколу передачи данных уровня 7 OSI и стандартным протоколам уровней 1, 2 OSI установлен на уровне 7 OSI сервис резервирования RPM (Reserving Program Module), управляющий синхронной передачей адресных и широковещательных телеграмм по первой и второй шинам дублированной шины по протоколу LLC в режиме 1 с подтверждением доставки адресных телеграмм в сервисе RPM хотя бы по одной из шин, выполняющий формирование индивидуальных номеров адресных телеграмм по модулю L при передаче телеграмм и анализ порядка выдачи телеграмм относительно номера последней принятой телеграммы при получении телеграмм с целью приема новых телеграмм и отбрасывания задержанных дубликатов ранее принятых телеграмм;
на MAC-подуровне уровня 2 OSI в первом и втором каналах процессора автоматизации установлен первый сервис фильтрации TF (Telegram Filter) потоков телеграмм, возникающих при «широковещательном шторме» и состоящих из широковещательных телеграмм и адресных телеграмм, передаваемых в широковещательном режиме при недоступности получателя; на MAC-подуровне уровня 2 OSI в первом и втором каналах шлюза сопряжения установлен второй сервис фильтрации TF1 этих потоков телеграмм, предотвращающие перегрузку процессоров коммуникационных модулей, соответственно, процессоров автоматизации и шлюзов сопряжения и исполнение задержанных телеграмм с неактуальными данными при «широковещательном шторме».
Сущность изобретения поясняется чертежами.
На фиг. 1 схематично представлена в составе системы автоматизации дублированная шина, выполненная в качестве примера в виде одного кольцевого сегмента, по технологии Turbo Ring, где:
1 - дублированная шина;
1а - первая физическая шина передачи данных дублированной шины 1;
1b - вторая физическая шина передачи данных дублированной шины 1;
2a, - сетевые коммутаторы первой шины 1a;
2b - сетевые коммутаторы второй шины 1b;
311, 312-3n1, 3n2 - резервированные процессоры автоматизации с внутренним управлением резервированием;
411, 412-4m1, 4m2 - резервированные шлюзы сопряжения с внешним управлением резервированием со стороны СВБУ 11;
5a - кабель подключения первого канала передачи данных коммуникационного модуля к сетевому коммутатору 2a шины 1a;
5b - кабель подключения второго канала коммуникационного модуля к сетевому коммутатору 2b шины 1b;
611, 612-6n1, 6n2 - входящие в состав шины 1 коммуникационные модули процессоров автоматизации 311, 312-3n1, 3n2;
711, 712-7m1, 7m2 - входящие в состав шины 1 коммуникационные модули шлюзов сопряжения 411, 412-4m1, 4m2;
8a - магистральный кабель связи сетевых коммутаторов 2a шины 1a;
8b - магистральный кабель связи сетевых коммутаторов 2b шины 1b;
9 - линии управления резервированием процессоров автоматизации.
10 - оборудование управления технологическим процессом;
11 - система верхнего блочного уровня управления (СВБУ).
На фиг. 2 и фиг. 3 схематично представлены структуры информационной модели дублированной шины, реализованные соответственно в коммуникационных модулях 6 процессоров автоматизации 3 и в коммуникационных модулях 7 шлюзов сопряжения 4, входящих в состав дублированной шины 1, где:
1 - фрагмент дублированной шины;
1a - первая физическая шина передачи данных дублированной шины 1;
1b - вторая физическая шина передачи данных дублированной шины 1;
3 - процессор автоматизации;
4 - шлюз сопряжения;
6 - коммуникационный модуль процессора автоматизации;
7 - коммуникационный модуль шлюза сопряжения;
12 - уровень 1 физический стандартной семиуровневой информационной модели сети OSI (Open Systems Interconnection);
13 - уровень 2 канальный информационной модели сети OSI;
14 - уровень 7 прикладной информационной модели сети OSI;
15a - линия поступления телеграмм по первому каналу 40a коммуникационного модуля 6 процессора автоматизации 3 и первому каналу 50a коммуникационного модуля 7 шлюза сопряжения 4 соответственно в первый сервис фильтрации 22a процессора автоматизации и во второй сервис фильтрации 25a шлюза сопряжения;
15b - линия поступления телеграмм, по второму каналу 40b коммуникационного модуля 6 процессора автоматизации 3 и второму каналу 50b коммуникационного модуля 7 шлюза сопряжения 4 соответственно в первый сервис фильтрации 22a процессора автоматизации и во второй сервис фильтрации 25a шлюза сопряжения;
16a, 16b - линии передачи телеграмм из сервисов фильтрации, соответственно 22a, 22b, в протокол LLC 23 коммуникационного модуля 6 процессора автоматизации 3 и из сервисов фильтрации, соответственно 25a, 25b, в протокол LLC 23 шлюза сопряжения 4 соответственно по первому и второму каналам;
17a, 17b - линии передачи широковещательных телеграмм синхронизации времени SYN из первых сервисов фильтрации, соответственно 22a, 22b, в счетчик реального времени 49 процессора автоматизации 3 соответственно по первому, второму каналу коммуникационного модуля 6 процессора автоматизации 3;
18a, 18b - линии передачи / приема широковещательных телеграмм TLB (TeLegram - Broadcast) в / из прикладного протокола 26 соответственно по первому, второму каналу шлюза сопряжения 4;
20a - физический протокол PHY интерфейса Industrial Ethernet первого канала коммуникационных модулей 6, 7, стандарт IEEE 802.3, 2000 Edition;
20b - физический протокол интерфейса Industrial Ethernet второго канала коммуникационных модулей 6, 7, стандарт IEEE 802.3, 2000 Edition;
21a - протокол MAC доступа к среде передачи данных интерфейса Industrial Ethernet первого канала коммуникационных модулей 6, 7, стандарт IEEE 802.3, 2000 Edition;
21b - протокол MAC доступа к среде передачи данных интерфейса Industrial Ethernet второго канала коммуникационных модулей 6, 7, стандарт IEEE 802.3, 2000 Edition;
22a - первый сервис фильтрации TF получаемых по первой шине 1a телеграмм, дополнительно установленный по настоящему изобретению в первый канал 40a коммуникационного модуля 6 процессора автоматизации 3;
22b - первый сервис фильтрации TF получаемых по второй шине 1b телеграмм, дополнительно установленный по настоящему изобретению во второй канал 40b коммуникационного модуля 6 процессора автоматизации 3;
23a - протокол логического звена LLC интерфейса Industrial Ethernet, стандарт IEEE 802.2 1998 Edition, первого канала коммуникационных модулей 6, 7;
23b - протокол логического звена LLC интерфейса Industrial Ethernet, стандарт IEEE 802.2 1998 Edition, второго канала коммуникационных модулей 6, 7;
24 - сервис резервирования RPM, дополнительно введенный по настоящему изобретению в стандартную информационную модель на уровне 7 OSI 14;
25a - второй сервис фильтрации TF1 получаемых по первой шине 1a телеграмм, дополнительно установленный по настоящему изобретению в первый канал 50a коммуникационного модуля 7 шлюза сопряжения;
25b - второй сервис фильтрации TF1 получаемых по второй шине 1b телеграмм, дополнительно установленный по настоящему изобретению во второй канал 50b коммуникационного модуля 7 шлюза сопряжения;
26 - унифицированный прикладной протокол шины EN;
27a - линия передачи / приема прикладных адресных телеграмм TLAR (TeLegram - Address) в формате сервиса RPM и телеграмм квитирования ACK (ACKnoledge) в первый канал / из первого канала коммуникационного модуля 6 процессора автоматизации 3 и коммуникационного модуля 7 шлюза сопряжения 4;
27b - линия передачи / приема прикладных адресных телеграмм TLAR в формате сервиса RPM и телеграмм квитирования ACK (ACKnoledge) во второй канал / из второго канала коммуникационного модуля 6 процессора автоматизации 3 и коммуникационного модуля 7 шлюза сопряжения 4;
28 - линия передачи / приема прикладных адресных телеграмм TLA;
40a, 40b - первый, второй каналы коммуникационного модуля 6 процессора автоматизации 3;
49 - счетчик реального времени процессора автоматизации;
50a, 50b - первый, второй каналы коммуникационного модуля 7 шлюза сопряжения 4.
На фиг. 4 схематично представлена структура передачи прикладных адресных нумерованных телеграмм TLAR на уровне сервиса RPM 24, вложенных в кадры телеграмм канального уровня 13, по двум шинам: первой шине 1a и второй шине 1b дублированной шины между устройствами автоматизации: устройством автоматизации - отправителем телеграмм ASj (Automatic device - Source), далее устройством-отправителем и устройством автоматизации - получателем телеграмм ADi (Automatic device -Destination), далее устройством-получателем, на примере обмена телеграммами между двумя нерезервированными процессорами автоматизации, где:
1a, 1b - первая и вторая физические шины дублированной шины;
3j, 3i - процессоры автоматизации, представляющие соответственно устройство - отправитель телеграмм ASj и устройство - получатель телеграмм ADi;
12 - уровень 1 физический стандартной семиуровневой информационной модели сети OSI;
13 - уровень 2 канальный информационной модели сети OSI;
14 - уровень 7 прикладной информационной модели сети OSI;
19а, 19b - условные линии передачи между сервисами резервирования RPM процессоров автоматизации 3j, 3i соответственно по первой шине 1a и второй шине 1b прикладных адресных телеграмм TLAR(INji, FNji, TLA) в формате сервиса RPM, вкладываемых в телеграммы LLC канального уровня 13; где INji (Individual Number) - индивидуальный номер телеграммы, FNji (Frame Number) - номер повторного кадра;
24j - сервис резервирования RPM устройства - отправителя 3j;
24i - сервис резервирования RPM устройства - получателя 3i;
26j - прикладной протокол APM устройства - отправителя 3j;
26i - прикладной протокол APM устройства - получателя 3i;
29а, 29b - условные линии передачи между сервисами резервирования RPM процессоров автоматизации 3j, 3i соответственно по первой шине 1a и второй шине 1b телеграмм квитирования ACK(IDij, IFij, STij) в формате сервиса RPM, вложенных в телеграммы LLC, где IDij (IDentifier) - идентификатор телеграммы квитирования, IFij (Frame IDentifier) - идентификатор повторного кадра телеграммы квитирования, STij (STatus) - статус прикладного протокола APM 26i устройства - получателе адресной телеграммы.
На фиг. 5 представлена диаграмма, иллюстрирующая на временной оси изменения состояния циклического счетчика NTCji (Number Telegramm Counter) формирования индивидуальных номеров адресных телеграмм по модулю L и изменения индивидуальных номеров INji последовательно передаваемых телеграмм между сетевым устройством - отправителем ASj и устройством - получателем ADi, а также формирование логических условий приема / не приема телеграмм на основе анализа их индивидуальных номеров устройством - получателем относительно индивидуального номера последней принятой им телеграммы INRij, если значение ∆ = (INRij - L/2) > 0, где:
30 - временная ось изменения состояния циклического счетчика NTCji по модулю L;
31 - временная ось изменения индивидуальных номеров INji последовательно передаваемых телеграмм между устройством - отправителем ASj и устройством - получателем ADi;
32 - диапазон INji не принимаемых телеграмм устройством- получателем ADi при условии: INji ≤ INRji;
33 - диапазон INji принимаемых телеграмм устройством- получателем Adi;
33.1 - под-диапазон INji принимаемых телеграмм устройством - получателем ADi при условии: INji > INRij;
33.2 - под-диапазон принимаемых телеграмм при условии: (Inji - ∆)≤0;
34 - текущий цикл формирования индивидуальных номеров телеграмм в счетчике NTCji.
На фиг. 6 представлена диаграмма, иллюстрирующая на временной оси 30 изменения состояния циклического счетчика NTCji по модулю L и на временной оси 31 изменения индивидуальных номеров INji последовательно передаваемых телеграмм между устройством - отправителем ASj и устройством - получателем ADi, а также формирование логических условий приема / не приема телеграмм на основе анализа их индивидуальных номеров устройством - получателем относительно номера последней принятой им телеграммы INRij, если значение ∆ = (INRij - L/2) ≤ 0, где:
35 - диапазон INji не принимаемых телеграмм устройством - получателем Adi;
35.1 - под-диапазон INji не принимаемых телеграмм устройством - получателем ADi при условии: INji ≤ INRij;
35.2 - под-диапазон не принимаемых телеграмм при условии: (INji - L + ∆) ≥ 0;
36 - диапазон INji принимаемых телеграмм устройством - получателем ADi при условии: INji > INRji,
На фиг. 7 на примере формирования индивидуальных номеров передаваемых адресных телеграмм с помощью циклического счетчика по модулю L = 8 показан табличная форма принятия решения о приеме телеграммы устройством - получателем в виде признака со значением 1, или не приеме телеграммы в виде признака со значением 0 при любом сочетании индивидуального номера поступающей адресной телеграммы INji = 0 ÷ 7 и индивидуального номера последней принятой телеграммы INRij = 0 ÷ 7.
На фиг. 8 представлена структура первых сервисов фильтрации широковещательных и адресных телеграмм, получаемых по первой 1a и второй шине 1b дублированной шины соответственно в первом 40a и втором 40b каналах коммуникационного модуля 6 процессора автоматизации 3, фиг. 2, где:
15a - линия поступления телеграмм по первому каналу 40a коммуникационного модуля 6 процессора автоматизации 3 в первый сервис фильтрации 22a процессора автоматизации;
15b - линия поступления телеграмм по второму каналу 40b коммуникационного модуля 6 процессора автоматизации 3 в первый сервис фильтрации 22b процессора автоматизации;
16а, 16b - линии передачи адресных телеграмм соответственно в протоколы LLC 23a, 23b в первом, втором каналах 40a, 40b процессора автоматизации;
17a, 17b - линии передачи широковещательных телеграмм синхронизации времени SYN в счетчик реального времени 49 из обработчиков телеграмм, соответственно 45a, 45b, первого, второго каналов 40a, 40b процессора автоматизации;
22a, 22b - первые сервисы фильтрации телеграмм соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
40a, 40b - первый, второй каналы процессора автоматизации;
41a, 41b - каналы прямого доступа к памяти соответственно первого, второго каналов 40a, 40b процессора автоматизации;
43a, 43b - приемные буфера телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
44a, 44b - счетчики телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
45a, 45b - обработчики телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
46a, 46b - первые тайм-ауты первого сервиса фильтрации соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
47a, 47b - вторые тайм-ауты первого сервиса фильтрации соответственно в первом, втором каналах 40a, 40b процессора автоматизации;
48 - таймер 100 Гц коммуникационного модуля 6, процессора автоматизации 3;
49 - счетчик реального времени процессора автоматизации 3, фиг. 8, фиг. 2;
60a, 60b - линии чтения телеграмм из приемных буферов, соответственно 43a, 43b;
63a, 63b - линии запуска первых тайм-аутов, соответственно 46a, 46b, в первом, втором каналах 40a, 40b процессора автоматизации по первой телеграмме соответствующего канала, полученной после завершения текущего первого тайм-аута этого канала;
64a, 64b - линии запуска вторых тайм-аутов, соответственно 47a, 47b, в первом, втором каналах 40a, 40b процессора автоматизации по первой телеграмме соответствующего канала, полученной после завершения текущего второго тайм-аута этого канала;
65a, 65b - линии чтения состояния окончания первых тайм- аутов, соответственно 46a, 46b, в первом, втором каналах 40a, 40b процессора автоматизации;
66a, 66b - линии запрета исполнения широковещательных телеграмм синхронизации времени SYN в течение времени вторых тайм-аутов обоих каналов, соответственно 47a, 47b;
67a, 67b - линии блокирования обработки по прерыванию поступающих в приемные буфера, соответственно 43a, 43b, телеграмм при переполнении соответствующего счетчика телеграмм 44a, 44b до окончания первого тайм-аута, соответственно 46a, 46b;
68a, 68b - линии сброса счетчиков телеграмм, соответственно 44a, 44b, по окончанию отсчета времени первых тайм - аутов, соответственно 46a, 46b, в первом, втором каналах 40a, 40b процессора автоматизации;
69 - линия сигналов счета первых тайм-аутов 46a, 46b и вторых тайм-аутов 47a, 47b первых сервисов фильтрации от таймера 48 с частотой 100 Гц;
71a - линия передачи в шину 1b телеграммы оповещения СВБУ о "широковещательном шторме" по шине 1а;
71b - линия передачи в шину 1a телеграммы оповещения СВБУ о «широковещательном шторме» по шине 1b;
72a, 72b - сигналы переполнения счетчиков телеграмм, соответственно 44a, 44b.
На фиг. 8 показаны также пунктиром связи первых сервисов фильтрации 22а, 22b процессоров автоматизации с протоколами информационной модели шины 23a, 23b, 24, 26, фиг. 2.
На фиг. 9 представлена структура вторых сервисов фильтрации широковещательных и адресных телеграмм, получаемых по первой, второй шине 1a, 1b дублированной шины соответственно в первом, втором каналах коммуникационного модуля 7 шлюза сопряжения 4, фиг. 3, где:
15a - линия поступления телеграмм по первому каналу коммуникационного модуля 7 шлюза сопряжения 4, фиг. 9, фиг. 4, во второй сервис фильтрации 25a шлюза сопряжения 4;
15b - линия поступления телеграмм по второму каналу коммуникационного модуля 7 шлюза сопряжения 4, фиг. 9, фиг. 4, во второй сервис фильтрации 25b шлюза сопряжения;
16а, 16b - линии передачи отфильтрованных адресных телеграмм соответственно в протоколы LLC 23a, 23b в первом, втором каналах 50a, 50b шлюза сопряжения, фиг. 9, фиг. 4;
25a, 25b - вторые сервисы фильтрации телеграмм соответственно в первом, втором каналах 50a, 50b шлюза сопряжения, фиг. 9, фиг. 4;
50a, 50b - первый, второй каналы шлюза сопряжения, фиг. 9, фиг. 4;
51a, 51b - каналы прямого доступа к памяти соответственно первого, второго каналов 50a, 50b шлюза сопряжения;
53a, 53b - приемные буфера телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50a, 50b шлюза сопряжения;
54a, 54b - счетчики телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50a, 50b шлюза сопряжения;
55a, 55b - обработчики телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50a, 50b шлюза сопряжения;
56a, 56b - первые тайм-ауты соответственно в первом, втором каналах 50a, 50b шлюза сопряжения;
58 - таймер 100 Гц коммуникационного модуля шлюза сопряжения;
80a, 80b - линии чтения телеграмм из приемных буферов, соответственно 53a, 53b;
83a, 83b - линии запуска первых тайм-аутов, соответственно 56a, 56b, в первом, втором каналах 50a, 50b шлюза сопряжения по первой телеграмме соответствующего канала, полученной после завершения текущего первого тайм-аута этого канала;
85a, 85b - линии чтения состояния окончания первых тайм- аутов, соответственно 56a, 56b, в первом, втором каналах 50a, 50b процессора автоматизации;
87a, 87b - линии блокирования обработки по прерыванию поступающих в приемные буфера, соответственно 53a, 53b, телеграмм при переполнении соответствующего счетчика телеграмм 54a, 54b до окончания первого тайм-аута, соответственно, 56а, 56b;
88a, 88b - линии сброса счетчиков телеграмм, соответственно 54a, 54b, по окончанию отсчета времени первых тайм - аутов, соответственно 56a, 56b, в первом, втором каналах 50a, 50b шлюза сопряжения;
89 - линия сигналов счета первых тайм-аутов 56a, 56b вторых сервисов фильтрации от таймера 58 с частотой 100 Гц;
91a - линия передачи в шину 1b телеграммы оповещения СВБУ о «широковещательном шторме» по шине 1а;
91b - линия передачи в шину 1a телеграммы оповещения СВБУ о «широковещательном шторме» по шине 1b;
92a, 92b - сигналы переполнения счетчиков телеграмм, соответственно 54a, 54b;
На фиг. 9 показаны также пунктиром связи вторых сервисов фильтрации 25а, 25b шлюзов сопряжения с протоколами информационной модели шины 23a, 23b, 24, 26, фиг. 3.
Дублированная шина 1, схематично представленная на фиг. 1, обеспечивает выполнение следующих функций резервированного программно-техническом комплекса автоматизированного управления технологическим процессом: обмен данными между резервированными процессорами автоматизации 3, необходимый для автоматического управления технологическим процессом 10; прием процессорами автоматизации команд дистанционного управления исполнительными механизмами технологического процесса от системы верхнего блочного уровня 11 через резервированные шлюзы сопряжения 4 и их исполнение; передача процессорами автоматизации 3 данных о состояния технологического процесса и комплекса автоматизации в шлюзы сопряжения 4 для последующей передачи в систему верхнего блочного уровня для анализа и управления.
В резервированной системе автоматизации управление обменом данными по дублированной шине и их обработку в соответствии с прикладными алгоритмами автоматизации выполняет один из резервируемых процессоров автоматизации 3, например, 311, являющийся в данный момент времени активным, другой процессор автоматизации, соответственно 312, являющийся в данный момент времени пассивным, работает в режиме горячего резерва. Резервируемые процессоры автоматизации 3, например, 311, 312 снабжены встроенными средствами самоконтроля и управления горячим резервированием и связаны друг с другом по двум отдельным последовательным интерфейсам 9, по которым они получают информацию о работоспособности партнера, соответственно 312, 311, в соответствии с результатами самоконтроля. На основе оценки этой информации в соответствии с заданными критериями активный процессор автоматизации, 3 например, 311, может быть переключен в состояние пассивного процессора автоматизации 3, соответственно 312, а пассивный в состояние активного, т.е. произойдет переключение процессора автоматизации на резерв. Переключение на резерв процессоров автоматизации 3 происходит также по времени, для проверки работоспособности резервируемых процессоров автоматизации на реальных алгоритмах работы. Резервированные процессоры автоматизации представлены на шине сетевым адресом активного процессора автоматизации, который является одним и тем же независимо от того, какой из 2-х резервируемых процессоров автоматизации является активным.
Резервируемые шлюзы сопряжения 4 в отличие от процессоров автоматизации являются независимыми и несвязанными устройствами с внешним управлением резервированием со стороны системы верхнего блочного уровня и представлены на дублированной шине 1 разными сетевыми адресами.
Дублированная шина 1 построена на базе интерфейса Industrial Ethernet и включает: две непосредственно не связанные первую 1a и вторую 1b шины, выполненные по кольцевой технологии Turbo Ring последовательно соединенных по магистральным связям 8 сетевых коммутаторов 2; коммуникационные модули 6 процессоров автоматизации и коммуникационные модули 7 шлюзов сопряжения.
Коммуникационные модули 6 каждого из двух резервируемых процессоров автоматизации 311, 312; … 3n1, 3n2, например, 311 подключают процессоры автоматизации к дублированной шине по двум каналам: по первому каналу - по линии связи 5a к сетевому коммутатору 2a первой шины 1a, по второму каналу - по линии связи 5b к сетевому коммутатору 2b второй шины 1b, что обеспечивает сохранение работоспособности при любых многократных отказах сетевого оборудования в одной из двух шин (сетевых коммутаторов 2, магистральных линий связи 8, линий связи 5 коммуникационных модулей с сетевыми коммутаторами этой шины) за счет сохранения работоспособности другой шины.
При этом первые каналы коммуникационных модулей двух резервируемых процессоров автоматизации подключены соответственно к двум коммутаторам 2a первой шины 1a, а вторые каналы - к двум сетевым коммутаторам 2b второй шины 1b.
Каждая из 2-х шин, выполненная по кольцевой технологии, резервируется путем реконфигурации кольца, выполняемой одним из сетевых коммутаторов, последовательно соединенных в кольцо по магистральным связям. Этот коммутатор, назначенный менеджером резервирования, поддерживает кольцо разомкнутым и контролирует его целостность путем передачи контрольных телеграмм с одного конца кольца и приема их с другого конца, подключенных к двум магистральным портам коммутатора - менеджера резервирования. При нарушении целостности соединений в кольце менеджер резервирования восстанавливает ее путем реконфигурации шины, которую он выполняет посредством логического замыкания кольца в точке контроля.
При однократных отказах магистральных связей в одной из 2-х шин 1a, 1b работоспособность неисправной шины автоматически восстанавливается путем реконфигурации кольца. Работоспособность обеих шин сохраняется.
При однократных отказах соединений коммуникационных модулей с коммутаторами в одной из шин нарушаются связи с устройствами автоматизации, подключенными к этой шине. Работоспособность дублированной шины по обеим шинам полностью восстанавливается за счет переключения процессора автоматизации на резервный, подключенный к исправному коммутатору по исправным связям.
При отказах соединений коммуникационных модулей с коммутаторами в обеих шинах средства самоконтроля процессоров автоматизация переключают их на резервный процессор автоматизации, подключенный к шинам по исправным связям 5. Работоспособность обеих шин сохраняется.
При отказах связей коммуникационных модулей по обеим шинам 1a, 1b из-за неисправностей коммутаторов, вызывающих нарушение целостности кольца и связей с процессорами автоматизации, менеджеры резервирования производят реконфигурацию шин. При этом работоспособность обеих шин восстанавливается в результате того, что одновременно с реконфигурацией производится переключение процессора автоматизации на резервный, подключенный к исправным коммутаторам дублированной шины.
Работоспособность дублированной шины сохраняется при любых двухкратных неисправностях сетевого оборудования в обеих шинах: магистральных связей 8, связей коммуникационных модулей с коммутаторами 5, сетевых коммутаторов 2, коммуникационных модулей 6 процессоров автоматизации и коммуникационных модулей 7 шлюзов сопряжения при одном и том же объеме сетевого оборудования. Это обеспечивает при одном и том же объеме сетевого оборудования существенное повышение надежности дублированной шины по сравнению с шиной, резервирование которой выполнено без дублирования кольцевых сегментов.
Передача по дублированной шине EN-2 адресных телеграмм TLA и широковещательных телеграмм TLB производится в соответствии с информационной моделью шины EN-2, представленной на фиг. 2 для процессоров автоматизации 3 и фиг. 3 для шлюзов сопряжения 4. Информационная модель построена на 3-х стандартных уровнях интерфейса Ethernet 7-ми уровневой модели OSI: уровне 1 - физическом 12 с протоколом PHY 20, уровне 2 - канальном 13 с протоколом доступа к среде передачи данных MAC 21 и протоколом логического звена LLC 23 и уровне 7 - прикладном 14 с прикладным протоколом APM 26, дополненных в соответствие с изобретением сервисом резервирования RPM 24 на прикладном уровне 14, первыми сервисами фильтрации TF 22 получаемых телеграмм в каналах 40 процессоров автоматизации 3, фиг. 2, и вторыми сервисами фильтрации TF1 25 получаемых телеграмм в каналах 50 шлюзов сопряжения 4, фиг. 3, на подуровне MAC 21 уровня 2 OSI 13.
В соответствие с фиг. 4 прикладные адресные телеграммы TLA передаются устройством - отправителем ASj 3j сетевому устройству -получателю ADi 3i одновременно по двум независимым шинам 1a, 1b по условным линиям 19a, 19b в виде 2-х идентичных кадров TLAR(INji, FNji, TLA) сервиса резервирования RPM 24, которые содержат прикладную адресную телеграмму TLA и сформированные в сервисе RPM индивидуальный номер INji этой телеграммы и номер повторного кадра FNji. Устройство-получатель ADi 3i принимает с помощью представленного ниже механизма индивидуальной нумерации адресных телеграмм из двух поступающих кадров телеграммы один кадр, извлекает из этого кадра прикладную телеграмму TLA для передачи ее на прикладной уровень APM, формирует в сервисе RPM и передает в адрес устройства - отправителя телеграммы TLA по условным линиям 29a, 29b шин 1a, 1b телеграмму квитирования ACK (IDij, IFij, STij) в формате сервиса RPM в виде 2-х идентичных кадров, инкапсулированных в телеграммы LLC в режиме 1, где IDij идентификатор телеграммы квитирования, IFij - идентификатор повторного кадра телеграммы квитирования, STij - статус протокола APM в устройстве 3i.
Текущее состояние устройств ASj и ADi в процедуре передачи адресных телеграмм с подтверждением на уровне RPM определяется параметрами статуса абонентов в сервисе RPM.
Состояние (статус) устройства - отправителя ASj определяется следующими параметрами:
NTCji (Number Telegram Counter) - значение циклического счетчика номеров телеграмм по модулю L,
RCji (Repeat Counter) - значение счетчика передачи повторных кадров телеграммы в случае недоставки предыдущих.
Состояние устройства-получателя ADi определяется следующими параметрами:
INRij - сохраненное значение индивидуального номера последней принятой телеграммы TLA,
STij - значение статуса доставки телеграммы на уровень APM, которое может принимать одно из следующих значений:
STij = 01 - телеграмма не доставлена на уровень APM из-за временной ошибки и может быть доставлена при повторной передаче,
STij = 10 - телеграмма не доставлена на уровень APM из-за постоянной ошибки и не может быть доставлена при повторной передаче,
STij = 11 - телеграмма успешно доставлена на уровень APM и повторной передачи не требуется.
Перед передачей адресной телеграммы TLA устройство-отправитель формирует и присваивает ей индивидуальный номер INji и номер передачи повторного кадра FNji, помещаемые вместе с прикладной телеграммой в кадр TLAR адресной телеграммы в формате RPM: TLAR (INji, FNji, TLA).
Индивидуальная нумерация адресных телеграмм устанавливается для каждой пары устройства автоматизации - отправителя ASj и устройства автоматизации - получателя ADi. Индивидуальный номер INji адресной телеграммы, передаваемой от устройства ASj к устройству ADi, формируется с помощью циклического счетчика номеров телеграмм NTCji по модулю L, где L - это максимальное количество различных индивидуальных номеров. Перед передачей очередной телеграммы TLA устройство - отправитель ASj увеличивает значение счетчика NTCji на 1 по модулю L в соответствии с порядком передачи телеграмм и присваивает его значение индивидуальному номеру INji.
Если новая телеграмма или предыдущий повторный кадр не доставляются устройству-получателю в течение времени тайм-аута Tout = 30 мс или доставляются со статусом STij =01 временной ошибки устройства ADi, то перед передачей следующего повторного кадра устройство ASj увеличивает значение счетчика повторений RCji на 1, присваивает его значение номеру повторного кадра FNji в телеграмме TLAR (INji, FNji, TLA). Значение INji при передаче повторных кадров не изменяется. Максимальное число передаваемых повторных кадров и соответственно максимальное значение счетчика RCji = 2.
Нумерованные на уровне RPM прикладные адресные телеграммы TLAR(INji, FNji, TLA), фиг. 4, инкапсулируются в поле данных LLC телеграмм, фиг. 2, фиг. 3, и передаются по шинам 1a, 1b программными модулями LLCa, LLCb, фиг. 2, фиг. 3, устройству ADi, который в соответствие с той же моделью принимает их и выделяет из них прикладные кадры TLAR уровня RPM, что эквивалентно прямому обмену между ASj и ADi по линиям 19a, 19b, 29a, 29b, условно показанному на фиг. 4.
Для передачи нумерованных адресных телеграмм используются телеграммы протокола LLC типа 1 без предварительного установления связи и подтверждения доставки на уровне LLC, выполняемые в каналах A, B параллельно. Следующая новая телеграмма или повторный кадр могут передаваться после доставки очередной адресной телеграммы и получения телеграммы квитирования ACK на уровне RPM по любой из 2-х шин, не дожидаясь телеграммы квитирования по другой шине. Это обеспечивает синхронную передачу телеграмм и их оперативное резервирование, а также исключает влияние на производительность дублированной шины повышения времени доставки телеграмм по одной из шин вследствие ее неисправности.
Устройство-получатель ADi по индивидуальным номерам поступающих по двум шинам телеграмм TLA производит анализ порядка выдачи телеграмм устройством-отправителем по отношению к значению номера INRij сохраненному в сервисе RPM последней принятой по одной из шин EN-2a, EN-2b телеграмме. Устройство-получатель принимает телеграмму, если она была выдана позже последней принятой телеграммы (новая телеграмма), не принимает, если она была выдана одновременно с последней принятой, но по другой шине (копия последней принятой телеграммы в буфере приема), или она была выдана раньше последней принятой телеграммы (задержанная копия ранее принятой телеграммы или задержанная и ранее еще не принятая телеграмма).
Подтверждение приема адресной целевой телеграммы по одной из шин производится с помощью специальной ответной телеграммы квитирования ACK, которую абонент-получатель ADi адресной телеграммы формирует в сервисе резервирования RPM и передает устройству-отправителю ASj в виде 2-х идентичных прикладных кадров по шинам 1a и 1b.
Перед передачей телеграммы ACK устройство-получатель ADi целевой телеграммы формирует и помещает в поле данных телеграммы ACK идентификатор телеграммы IDij, идентификатор повторного кадра FIij и статус STij доставки телеграммы TLA на прикладной уровень APM. Формируется телеграмма ACK(IDij, IFij, STij).
Идентификатор IDij телеграммы ACK формируется устройством ADi путем присвоения ему значения индивидуального номера INji полученной и принятой целевой адресной телеграммы: IDij:= INji.
Идентификатор кадра FIij телеграммы ACK формируется устройством ADi путем присвоения ему значения номера FNji полученного и принятого повторного кадра телеграммы TLA: FIij:= FNji.
Индивидуальная нумерация при передаче телеграмм ACK не используется.
По коду операции и идентификаторам IDij, IFij устройство ASj в сервисе RPM опознает телеграмму ACK или ее повторный кадр, полученные соответственно в ответ на переданную им целевую телеграмму TLAR, или повторный кадр телеграммы TLAR. Устройство ASj принимает ACK, если IDij = NTCji и FIij = RCji. Если IDij ≠ NTCji или FIij ≠ RCji, то телеграмма ACK не принимается.
В статусе STij телеграммы ACK отображается результат доставки адресной телеграммы из сервиса RPM на прикладной уровень APM устройства ADi. В зависимости от значения STij устройство ASj завершает передачу телеграммы, регистрируя успешную доставку телеграммы, если STij = 11, или недоставку телеграммы, если STij = 10. Если устройство ASj получает ответную телеграмму со статусом STij = 01 или не получает ответную телеграмму ACK в течение времени тайм-аута 30 мс, то выполняет процедуру повторной передачи телеграммы до 2-х раз с анализом ответа, которая заканчивается или не доставкой телеграммы или успешной доставкой телеграммы.
Предлагаются 2 алгоритма - вычислительный и табличный, определения условий приема / неприема сервисом RPM текущей адресной телеграммы по ее индивидуальному номеру INji и сохраненному в сервисе RPM значению индивидуального номера последней принятой телеграммы INRij.
Вычислительный алгоритм определения условий приема / неприема адресной телеграммы иллюстрируется на диаграммах, фиг. 5 и фиг. 6.
На этих диаграммах показано циклическое изменение состояний счетчика NTCji во времени от 0 до L - 1 при передаче адресных телеграмм и положение индивидуального номера INji текущей получаемой телеграммы.
При этом независимо от положения номера последней принятой телеграммы внутри текущего цикла изменений счетчика NTCji номера принимаемых телеграмм в количестве (L/2 -1), выданных позже последней принятой телеграммы с номером INRij, отличаются от (L/2 + 1) номеров не принимаемых телеграмм, выданных ранее последней принятой телеграммы, т.е. все номера в пределах этого диапазона величиной L уникальны независимо от значения номера INRij.
Выражения для вычисления отношений приема/не приема телеграммы зависят от положения номера последней принятой телеграммы INRij в цикле изменений состояния счетчика NTCji, а именно значения смещения ∆ этого положения вправо на фиг. 5 или влево на фиг. 6 относительно состояния счетчика NTCji = L/2.
На фиг. 5 показано вычисление условий приема/не приема телеграмм при ∆ = (INRij - L/2) > 0.
Показаны 2 диапазона номеров телеграмм 32, 33 относительно номера INRij величиной L/2 каждый. Телеграммы с номерами INji из диапазона 32 не принимаются. Телеграммы с номерами из диапазона 33 принимаются, кроме телеграммы с номером INji = INRij.
Диапазон 33 включает два под-диапазона: 33.1 и 33.2. Номера телеграмм под-диапазона 33.1 входят в тот же цикл счетчика NTCji, в котором находится номер INRij. Эти телеграммы принимаются по соотношению Inji>INRij. Номера телеграмм диапазона 33.2 входят в следующий цикл изменений NTCji, в котором телеграммы выдаются позже телеграммы с номером INRij, но их номера Inji≤INRij.
В соответствие с фиг. 5 вычисление условий приема/не приема телеграмм производится следующим образом:
1) Если (INji - ∆) > 0 (диапазоны INji: 32, 33.1), то
если INji - INRij > 0, то телеграмма принимается,
если INji - INRij ≤ 0 (диапазон 32), то телеграмма не принимается.
2) Если (INji - ∆) ≤ 0 (диапазон INji: 33.2), то телеграмма принимается.
На фиг. 6 показано вычисление условий приема/не приема телеграмм при ∆ = (INRij - L/2) ≤ 0.
Показаны 2 диапазона номеров телеграмм 35, 36 относительно номера INRij. Телеграммы с номерами INji из диапазона 35 не принимаются. Телеграммы с номерами из диапазона 36 принимаются, кроме телеграммы с номером INji = INRij.
Диапазон 35 состоит из двух поддиапазонов: 35.1 и 35.2. Номера телеграмм поддиапазона 35.1 входят в тот же цикл изменений NTCji, в котором находится номер INRij. Эти телеграммы не принимаются по соотношению INji ≤ INRij. Номера телеграмм поддиапазона 35.2 входят в предыдущий цикл изменений NTCji, в котором телеграммы выдаются раньше телеграммы с номером INRij, но их номера INji > INRij.
В соответствие с фиг. 6 вычисление условий приема/не приема телеграмм производится следующим образом:
1) Если (INij - L + ∆) < 0 (диапазоны INij: 35.1, 36), то
если INji - INRij > 0, (диапазон INji: 36), то телеграмма принимается,
если INji - INRij ≤ 0 (диапазон INji: 35.1), то телеграмма не принимается.
2) Если (INji - L+ ∆) ≥ 0 (диапазон INji: 35.2), то телеграмма не принимается.
Табличный алгоритм определения условий приема / неприема адресной телеграммы иллюстрируется на примере таблицы, построенной для L = 8, фиг. 7. В таблице для индивидуальных номеров телеграмм по модулю 8 показаны условия приема/не приема телеграмм с индивидуальными номерами INji = 0÷7 при значениях номера INRij последней принятой телеграммы INRij = 0÷7.
Цифра 1 в графе таблицы на пересечении столбца с номером INji и строки с номером INRij означает, что при таких значениях номеров INji и INRij телеграмма принимается, а цифра 0 означает, что телеграмма не принимается.
Табличный способ не требует выполнения вычислений и обеспечивает по оценке более высокое быстродействие, но для размещения таблицы необходима память, объем которой зависит от выбранного значения L. При L=256 (счетчик NTCji - 8-разрядный) и байтовом представлении данных таблицы требуется память объемом 64 Кбайта, что допустимо. При больших значениях L более предпочтительным может оказаться вычислительный алгоритм анализа нумерованных телеграмм.
Широковещательные телеграммы прикладного уровня TLB формируются сервисом прикладного протокола APM 26, фиг. 2, фиг.3, устройства-отправителя: шлюза сопряжения или процессора автоматизации, и передаются в устройства - получатели по протоколу LLC 23 в режиме 1 без подтверждения доставки в протоколе LLC по двум каналам коммуникационного модуля и шинам 1a, 1b в виде двух идентичных кадров без индивидуальной нумерации.
Шлюзы сопряжения 4, фиг. 1, 3, передают широковещательные телеграммы синхронизации времени SYN в соответствии с очередностью и регламентированным временем следования от 5 сек до 20 сек, задаваемым СВБУ 11, фиг. 1.
Процессоры автоматизации 3, фиг. 1, 2, передают широковещательные телеграммы типа ANZ оповещения СВБУ 11 о состоянии процессоров автоматизации 3 и шины 1. Эти телеграммы передаются разными процессорами автоматизации событийно через произвольные интервалы времени.
По способу фильтрации и приема широковещательных телеграмм устройства автоматизации, подключаемые к дублированной шине 1, фиг. 1, делятся на 2 группы.
К группе 1 относятся устройства низовой автоматики типа процессора автоматизации 3, которые из широковещательных телеграмм, передаваемых по шинам 1a, 1b, принимают и исполняют только широковещательные телеграммы синхронизации времени SYN. При этом из двух кадров, поступающих по шинам 1a, 1b, эти устройства принимают для исполнения один кадр, как при получении адресных телеграмм TLA, второй кадр (копия), получаемый по другой шине, отбрасывается.
Остальные широковещательные телеграммы, передаваемые по шине 1, включая телеграммы оповещения типа ANZ, в устройствах группы 1 не используются и отбрасываются первыми сервисами фильтрации TF 22, фиг. 2. При обнаружении перегрузки по одной из шин 1a, 1b, вызванной «широковещательным штормом», сервис фильтрации 22 процессора автоматизации 3, фиг. 1, 2, предотвращает перегрузку процессора по этой шине путем периодического блокирования обработки по прерыванию всех сохранившихся в приемном буфере и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения потока телеграмм. При обнаружении перегрузки сервис фильтрации 22 запрещает также исполнение телеграмм SYN и адресных телеграмм, получаемых по этой шине, на все время действия «шторма», чтобы исключить исполнение телеграмм SYN с неактуальным временем и адресных телеграмм с неактуальными данными вследствие возможной задержки их в неисправной шине и дополнительно снизить нагрузку на процессор.
К устройствам группы 2 относятся шлюзы сопряжения 4.
Шлюзы сопряжения 4, фиг. 1, 3, в штатном режиме работы принимают для передачи в СВБУ 11, фиг. 1, широковещательные телеграммы типа ANZ оповещения о событиях в комплексе автоматизации и шине и адресные телеграммы. Телеграммы ANZ о состоянии одной из 2-х шин дублированной шины передаются обычно по исправной шине и содержат информацию о типе неисправности другой шины и ее идентификатор. Поэтому прикладные телеграммы ANZ обеих шин поступают на прикладной уровень шлюза сопряжения в общий файл и в таком виде сохраняются в архиве СВБУ 11. По ним можно идентифицировать неисправную шину 1a или 1b. Широковещательные телеграммы SYN отбрасываются сервисами фильтрации шлюзов сопряжения.
Адресные телеграммы принимаются по одной из 2-х шин, по которой телеграмма поступает первой по времени. Получаемые по другой шине копии телеграмм и задержанные адресные телеграммы отбрасываются в соответствии с процедурой индивидуальной нумерации, данные поступают в СВБУ 11, фиг. 1, для обработки и анализа.
При «широковещательном шторме» по одной из шин 1a, 1b второй сервис фильтрации 25 шлюза сопряжения 4 предотвращает перегрузку процессора по этой шине путем блокирования обработки по прерыванию всех сохранившихся в приемном буфере и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки. Сервис фильтрации 25 запрещает также исполнение широковещательных и адресных телеграмм, поступающих по этой шине на все время действия «шторма», чтобы исключить исполнение телеграмм ANZ и адресных телеграмм с неактуальными данными вследствие возможной задержки их в неисправной шине и дополнительно снизить нагрузку на процессор коммуникационного модуля шлюза сопряжения.
Для анализа событий системы автоматизации и шины в архиве СВБУ в штатных условиях работы (при отсутствии широковещательного шторма) используются данные адресных телеграмм, принятых в соответствие с процедурой индивидуальной нумерации с обеих шин 1a, 1b и файл с прикладными широковещательными телеграммами ANZ, получаемые по обеим шинам и указывающими на неисправности другой шины или канала модуля, подключенного к другой шине.
Для анализа событий системы автоматизации и шины в условиях действия широковещательного шторма используются широковещательные телеграммы ANZ, формируемые в коммуникационных модулях при регистрации перегрузки и передаваемые по исправной шине, а также адресные телеграммы, передаваемые по исправной шине.
Структура фильтрации в процессорах автоматизации показана на фиг. 8.
Все телеграммы, поступающие в коммуникационный модуль 6 процессора автоматизации 3, фиг.1, по шине 1a / 1b, передаются по каналу прямого доступа 41а / 41b, в соответствующий приемный буфер 43a / 43b первого / второго канала 40a / 40b коммуникационного модуля процессора автоматизации.
В каждом канале коммуникационного модуля процессора автоматизации после записи телеграммы в соответствующий приемный буфер 43a / 43b формируется прерывание, по которому управление передается в программу обработчика телеграмм 43a / 43b первого сервиса фильтрации TF 22a / 22b, которая читает из приемного буфера по линии 60a/60b и обрабатывает телеграмму, вызвавшую прерывание.
Обработчик телеграмм 45a первого сервиса фильтрации TF 22a, телеграмм, принимаемых по первому каналу, выполняет следующие функции в устройствах автоматизации группы 1:
1) Периодически запускает по линии 63a при поступлении широковещательных или адресных телеграмм по линии 60а первый тайм-аут 46a длительностью по умолчанию равной 2 сек. Отсчет времени тайм-аута 46а производится по прерыванию от таймера 48 с частотой 100 Гц по линии 69.
2) Периодически измеряет поток широковещательных и адресных телеграмм, включающий широковещательные телеграммы SYN, ANZ и широковещательные телеграммы, не относящиеся к дублированной шине 1, путем счета телеграмм в счетчике 44a емкостью N в течение интервала тайм-аута 46a и регистрации перегрузки по переполнению счетчика, отображаемому на линии 72a.
3) При отсутствии перегрузки и соответственно переполнения счетчика 44a за время тайм-аута 46а обработчик телеграмм 45а исполняет поступающую телеграмму SYN путем прямой записи по линии 17a значения текущего времени из поля данных телеграммы в счетчик реального времени 49 коммуникационного модуля процессора автоматизации; передает по линии 16a адресные телеграммы TLA в протокол LLC 23a и далее по линии 27a в сервис резервирования RPM 24 для анализа и обработки в соответствии с процедурой нумерации и последующего исполнения в прикладном протоколе 26; отбрасывает широковещательные телеграммы других типов, включая телеграммы ANZ.
4) После поступления телеграммы SYN на исполнение обработчик телеграмм 45a запускает по линии 64a второй тайм-аут 47a по умолчанию равный 5 сек, который запрещает на это время исполнение копии телеграммы SYN, поступающей по другой шине, и исполнение новых телеграмм SYN, поступающих по обеим шинам через нерегламентированные интервалы времени менее 5 сек после исполненной телеграммы, а также дополнительно запрещает исполнение телеграмм SYN, поступающих в течение измерения перегрузки по первому тайм-ауту 46а, вызванной «широковещательным штормом».
5) Предотвращает перегрузку процессора модуля широковещательными и адресными телеграммами по неисправной шине при «широковещательном шторме» путем блокирования по линии 67a обработки по прерыванию всех сохранившихся в приемном буфере 43a и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки, задаваемых первым тайм-аутом 46a. Блокирование обработки телеграмм по прерыванию производится при переполнении счетчика телеграмм 44a от момента переполнения счетчика до окончания тайм-аута 46a.
6) При первой регистрации переполнения счетчика 44a обработчик телеграмм устанавливает в состояние 1 флаг перегрузки, который запрещает в течение всего времени действия широковещательного шторма выполнение телеграмм SYN путем запрета передачи значения времени из поля данных телеграммы в счетчик реального времени 49 по линии 17a и запрещает выполнение адресных телеграмм путем запрета передачи телеграмм в протокол LLC 23 по линии 16a. Запрет устанавливается для того, чтобы предотвратить исполнение задержанных телеграмм с неактуальными данными по неисправной шине.
6) Снимает запрет на выполнение телеграмм SYN и адресных телеграмм путем установки флага перегрузки в состояние 0 после 10-кратной (по умолчанию) регистрации отсутствия перегрузки по линии 72a на 10 тайм-аутах 46a, подряд.
7) При регистрации перегрузки в первом канале и установке флага перегрузки равного 1 формирует и выдает по линии 71a на исправную шину 1b телеграмму ANZ9811 оповещения СВБУ 11, фиг. 1, о перегрузке на шине 1a.
8) При обнаружении отсутствия перегрузки в первом канале и установке флага перегрузки равного 0 формирует и выдает на шину 1b по линии 71a телеграмму ANZ9821 оповещения СВБУ об устранении перегрузки на шине 1a.
Сервис фильтрации TF 22b телеграмм по второму каналу, выполняет функции фильтрации телеграмм аналогично сервису TF 22a. При этом функцию телеграмм ANZ9811, ANZ9821, формируемых сервисом TF 22a, выполняют телеграммы ANZ9812, ANZ9822, формируемых сервисом TF 22b.
Структура фильтрации в шлюзах сопряжения показана на фиг. 9.
Все телеграммы, поступающие в коммуникационный модуль 7 шлюза сопряжения 4, фиг. 1, по шинам 1a / 1b, передаются по каналам прямого доступа 51а / 51b, в соответствующие приемные буфера 53a / 53b первого / второго каналов 50a /50b коммуникационного модуля шлюза сопряжения.
В каждом канале коммуникационного модуля 7 шлюза сопряжения после записи телеграммы в соответствующий буфер 53a / 53b формируется прерывание, по которому управление передается в программу обработчика телеграмм 55a /55b сервиса фильтрации TF1 25a / 25b, которая читает из приемного буфера и обрабатывает телеграмму, вызвавшую прерывание.
Обработчик телеграмм 55a второго сервиса фильтрации 25a телеграмм, принимаемых по первому каналу, выполняет следующие функции в сетевых устройствах группы 2:
1) Периодически запускает по линии 83a при поступлении широковещательных или адресных телеграмм по линии 80а тайм-аут регистрации перегрузки 56a длительностью по умолчанию равной 2 сек. Отсчет времени тайм-аут перегрузки 56а производит по прерыванию от таймера 58 с частотой 100 Гц.
2) Периодически измеряет поток широковещательных и адресных телеграмм включающий широковещательные телеграммы SYN, ANZ и широковещательные телеграммы, не относящиеся к шине EN2, путем счета телеграмм по линии 80a и регистрации переполнения по линии 92a счетчика телеграмм 54a емкостью N в течение тайм-аута перегрузки 56a.
3) При отсутствии перегрузки и, соответственно, переполнения счетчика 54a за время тайм-аута 56а обработчик телеграмм 55а передает по линии 17a телеграммы ANZ в протокол LLC 23a для последующей передачи по линии 18а в отдельный общий файл прикладного протокола, предназначенный для регистрации прикладных широковещательных телеграмм ANZ шин 1a, 1б, и передает по линии 16a адресные телеграммы TLA в протокол LLC 23а для исполнения в дальнейшем в прикладном протоколе 26 одной из двух идентичных телеграмм формата RPM 24, выбранной в соответствии с процедурой нумерации в протоколе резервирования RPM, отбрасывает широковещательные телеграммы других типов, включая телеграммы SYN.
Аналогично сервис фильтрации TF1 25b передает телеграммы ANZ, поступающие по каналу B, в общий файл с телеграммами ANZ, поступающими по каналу A.
4) Предотвращает перегрузку процессора коммуникационного модуля широковещательными и адресными телеграммами по шине 1a при «широковещательном шторме» путем блокирования по линии 87a обработки по прерыванию всех сохранившихся в приемном буфере 53a и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки, задаваемых тайм-аутом перегрузки 56a. Блокирование обработки телеграмм по прерыванию производится при переполнении счетчика телеграмм 54a, отображаемого на линии 92a, от момента переполнения счетчика до окончания тайм-аута 56a.
5) При первой регистрации переполнения счетчика 54a обработчик телеграмм устанавливает в состояние 1 флаг перегрузки, который запрещает в течение всего времени действия широковещательного шторма выполнение телеграмм ANZ путем запрета записи этих телеграмм по линии 17a в протокол LLC 23а и далее по линии 18а в отдельный общий для телеграмм шин 1а, 1в файл прикладного протокола 26. Флаг перегрузки запрещает также выполнение адресных телеграмм TLA путем запрета передачи этих телеграмм по линии 16а в протокол LLC 23а для исполнения в дальнейшем в прикладном протоколе 26 после выбора одной из двух идентичных телеграмм в сервисе резервирования RPM 24 в соответствии с процедурой нумерации и передачи ее по линии 18а в прикладной протокол.
Запрет устанавливается для того, чтобы предотвратить исполнение задержанных телеграмм с неактуальными данными по неисправной шине.
6) Снимает запрет записи телеграммы ANZ в протокол LLC1 по признаку перегрузки шины равному 0 после 10-кратной регистрации отсутствия перегрузки на 10 тайм-аутах 56a подряд.
7) При регистрации перегрузки в первом канале и установке флага перегрузки равного 1 формирует и выдает по каналу шины 1b внутреннее сообщение ANZ9811 оповещения СВБУ о перегрузке на шине 1a.
8) При обнаружении отсутствия перегрузки в первом канале и установке флага перегрузки равного 0 формирует и выдает по каналу шины 1b внутреннее сообщение ANZ9821 оповещения СВБУ об устранении перегрузки на шине 1a.
Сервис фильтрации телеграмм TF1 25b, выполняет функции фильтрации по каналу B аналогично сервису TF1 25a. При этом функцию телеграмм ANZ9811, ANZ9821, формируемых сервисом TF1 25a, выполняют телеграммы ANZ9812, ANZ9822, формируемых сервисом TF1 25b.
Эффективность фильтрации зависит от выбора значения емкостей N счетчиков телеграмм 44, 54 и значений тайм аутов перегрузки 46, 56 на фиг.8 и фиг.9. Выбранные значения N и значения тайм-аутов перегрузки должны обеспечивать надежную регистрацию широковещательного шторма и исключить ложную регистрацию шторма при штатных потоках телеграмм. По умолчанию значение N принимается равным N = 1000, чтобы предотвратить ложную регистрацию шторма при однократной одновременной выдаче телеграмм ANZ максимальным количеством процессоров автоматизации, которое в современных системах автоматизации атомных станций может максимально составлять порядка 800.
название | год | авторы | номер документа |
---|---|---|---|
КОМПЛЕКС РЕЗЕРВИРУЕМЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2430400C1 |
КОМПЛЕКС ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2450305C1 |
ШЛЮЗ ДЛЯ АВТОМАТИЧЕСКОЙ МАРШРУТИЗАЦИИ СООБЩЕНИЙ МЕЖДУ ШИНАМИ | 2007 |
|
RU2415511C2 |
МНОГОПРОЦЕССОРНЫЙ КОНТРОЛЛЕР ДЛЯ УПРАВЛЕНИЯ СЛОЖНЫМ ТЕХНОЛОГИЧЕСКИМ ОБЪЕКТОМ | 2003 |
|
RU2263952C2 |
КОМПЛЕКС РЕЗЕРВИРУЕМЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2431174C1 |
Способ работы кластера шлюзов безопасности | 2021 |
|
RU2757297C1 |
СПОСОБ ПАКЕТНОЙ ПЕРЕДАЧИ И АБОНЕНТСКОЕ УСТРОЙСТВО | 2016 |
|
RU2691240C1 |
БЕРЕГОВОЙ УЗЕЛ СВЯЗИ ФЛОТА | 2019 |
|
RU2718608C1 |
СПОСОБ ЗАЩИТЫ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ | 2018 |
|
RU2686023C1 |
Способ распределения информационных потоков в пакетной радиосети и управляемый модульный маршрутизатор для его осуществления | 2020 |
|
RU2748574C1 |
Изобретение относится к автоматике и вычислительной технике и может быть использовано в системах автоматизированного контроля и управления технологическим процессом атомных электростанций и других промышленных объектов. Техническим результатом изобретения является повышение надежности комплекса автоматизации. Устройство содержит не связанные между собой первую и вторую шины, выполненные в соответствии со стандартом коммутируемого Industrial Ethernet и соединений типа «точка-точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо; коммуникационные модули, подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации, коммуникационные модули, подключающие к шине резервируемые шлюзы сопряжения, осуществляющие передачу технологических данных и диагностической информации между устройствами низовой автоматики и системой верхнего блочного уровня в соответствии с информационной моделью связи оконечных устройств OSI уровней 1, 2, 7 и являющиеся независимыми устройствами с собственными сетевыми адресами и внешним управлением резервированием со стороны системы верхнего блочного уровня. 9 ил.
Дублированная шина, включающая:
не связанные между собой первую и вторую шины, выполненные в соответствии со стандартом коммутируемого Industrial Ethernet и соединений типа «точка-точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо;
коммуникационные модули, подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации: по первому каналу – к коммутаторам первой шины, по второму каналу – к коммутаторам второй шины, при этом каждые два резервируемых процессора автоматизации соединены по межпроцессорному интерфейсу, имеют общий сетевой адрес и внутренние средства самоконтроля и управления резервированием; при этом в коммуникационные модули процессоров автоматизации установлены в соответствии с информационной моделью связи оконечных устройств OSI стандартные протоколы интерфейса Ethernet, управляющие передачей данных по шине: физический протокол PHY на уровне 1 OSI физическом, протокол логического звена LLC и протокол доступа к среде передачи данных MAC на уровне 2 OSI канальном и унифицированный прикладной протокол APM шины EN на уровне 7 OSI прикладном;
отличающаяся тем, что в состав дублированной шины дополнительно введены коммуникационные модули, подключающие к шине резервируемые шлюзы сопряжения, осуществляющие передачу технологических данных и диагностической информации между устройствами низовой автоматики и системой верхнего блочного уровня в соответствии с информационной моделью связи оконечных устройств OSI уровней 1, 2, 7 и являющиеся независимыми устройствами с собственными сетевыми адресами и внешним управлением резервированием со стороны системы верхнего блочного уровня;
в коммуникационные модули процессоров автоматизации и шлюзов сопряжения дополнительно к унифицированному прикладному протоколу передачи данных уровня 7 OSI и стандартным протоколам уровней 1, 2 OSI: на уровне 7 OSI установлен сервис резервирования RPM, управляющий синхронной передачей адресных и широковещательных телеграмм по первой и второй шинам дублированной шины по протоколу LLC в режиме 1 с подтверждением доставки адресных телеграмм в сервисе RPM хотя бы по одной из шин и выполняющий формирование индивидуальных номеров адресных телеграмм по модулю L при передаче и анализ порядка выдачи телеграмм относительно номера последней принятой телеграммы при получении с целью приема новых телеграмм и отбрасывания задержанных дубликатов ранее принятых телеграмм;
на MAC подуровне уровня 2 OSI в первом и втором каналах процессора автоматизации установлен первый сервис фильтрации TF потоков телеграмм, возникающих при «широковещательном шторме» и состоящих из широковещательных телеграмм и адресных телеграмм, передаваемых в широковещательном режиме при недоступности получателя; на MAC подуровне уровня 2 OSI в первом и втором каналах шлюза сопряжения установлен второй сервис фильтрации TF1 этих потоков телеграмм, предотвращающие перегрузку процессоров коммуникационных модулей, соответственно, процессоров автоматизации и шлюзов сопряжения и исполнение задержанных неактуальных телеграмм при «широковещательном шторме».
КОМПЛЕКС ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2450305C1 |
КОМПЛЕКС РЕЗЕРВИРУЕМЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2430400C1 |
КОМПЛЕКС РЕЗЕРВИРУЕМЫХ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ АВТОМАТИЗАЦИИ КОНТРОЛЯ И УПРАВЛЕНИЯ | 2010 |
|
RU2431174C1 |
US 20090119437 A1, 07.05.2009 | |||
US 20160275029 A1, 22.09.2016. |
Авторы
Даты
2021-11-23—Публикация
2021-03-03—Подача