用於互連模塊的方法和設備的製作方法

2023-08-02 23:44:36 2

專利名稱：用於互連模塊的方法和設備的製作方法
技術領域：
本發明涉及用於互連工業過程控制系統中的模塊的方法和設備，特別地涉及用 於互連適合於供諸如以下的示例性系統使用的工業過程控制系統中的模塊的方法和設 備 緊急停工系統； 關鍵過程控制系統； 火災與瓦斯檢測和保護系統； 旋轉機械控制系統； 燃燒器管理系統； 蒸煮器與爐控制系統；以及 分布式監視與控制系統。 這樣的控制系統適用於許多工業，包括石油和天然氣生產與精煉、化學生產與
處理、發電、造紙與紡織廠以及汙水處理廠。
背景技術：
在工業過程控制系統中，容錯是最重要的。容錯是在系統之內發生一個或多個 故障的情況下繼續安全運行的能力。通常按照安全完整性水平(SIL)等級來對容錯進行分 類，其中較高的SIL意味著較好的安全性能。SIL在標準IEC 61508(電氣/電子/可編程 電子安全相關系統的功能安全)中定義，並且特別地用於符合IEC61511(用於過程工業部 門的功能安全-安全儀表化系統)的過程工業。 容錯可以通過若干不同技術來實現，每種技術具有其特定的優點和缺點。 提供冗餘的系統的例子是三重模塊冗餘(TMR)系統。使用TMR，關鍵電路被一
式三份並同時且獨立地執行同一功能。在影響系統的輸出之前，在多數表決電路中表決
從三個電路中的每一個電路中輸出的數據。如果三重電路中的一個電路故障，則其數據
輸出被忽略。然而，系統繼續輸出以處理符合於大多數功能電路的值(電壓、電流電平
或離散輸出狀態)。TMR提供以這樣的方式裝備的系統的連續可預測操作。 然而，如果全部TMR不是實際需求，則TMR系統實行起來太貴，並且希望使
用下述結構，所述結構提供了靈活性，以便可以取決於規定的系統需求來提供不同水平
的容錯。 用於容錯的另一種方法是使用熱備份模塊。這種方法提供了容錯水平，由此備 份模塊在模塊故障的情況下維持系統操作。使用這種方法，如果模塊不是自身容錯的， 則在轉換期間可能存在對系統操作的某種中斷。
3
容錯系統理想地產生故障隔離區(FCR)，以確保FCR邊界之內的故障不傳播到 系統的其餘部分。這使得能夠在不影響操作的情況下多個故障共存於系統的不同部分。
容錯系統一般使用專用的硬體與軟體測試和診斷體系，其提供非常快的故障識 別和響應時間以提供較安全的系統。 安全控制系統一般設計成"故障操作/故障安全"。故障操作意味著當故障發 生時系統繼續操作它處在故障操作狀態下。系統應當在這種狀態下繼續操作，直到發 生故障的模塊被更換並且系統返回到完全操作狀態為止。 故障安全操作的例子發生如下如果在TMR系統中，在並聯電路中發生第二故 障之前發生故障的模塊未被更換，則第二故障應當使TMR系統停工到故障安全狀態。值 得注意的是，即使第二故障不是故障安全的，只要第一故障被檢測到並被宣布並且自身 是故障安全的，TMR系統就仍然可以被認為是安全的。 因此，希望提供一種使用互連方案來互連模塊的系統和方法，所述互連方案允 許靈活的系統配置，同時維持希望的系統操作冗餘水平。

發明內容
本發明提供了克服上面討論的問題中的一個或多個問題的系統和方法。根據本 發明的一個方面，提供了一種工業過程控制設備，其包括多個處理器和多個輸入/輸出模 塊。每個處理器具有連接到多個輸入/輸出模塊的單向命令線。每個輸入/輸出模塊具 有連接到多個處理器的單向響應線。 優選地，多個處理器經由處理器間鏈路連接在一起，所述處理器間鏈路可以提 供每個處理器和每個其它處理器之間的點對點雙向鏈路，並且/或者可以提供用於由每個 其它處理器接收的廣播信號的裝置。 優選地，處理器中的一個或多個處理器直接連接到控制網絡，並且每個處理器 經由處理器間鏈路中的一個和另一個處理器訪問另一個控制網絡。 在優選的方面中，處理器在操作中被布置以向所有的所述輸入與輸出模塊發出 標識符請求。每個輸入與輸出模塊在操作中被布置以經由響應線用包括唯一標識符的響 應作出響應，使得每個處理器能夠通過識別在其上接收響應的響應線來識別具有特殊唯
一標識符的輸入或輸出模塊的物理位置。 優選地，處理器在操作中被布置以在接收到響應後向每個輸入與輸出模塊分配 邏輯插槽號以及向多個所述輸入與輸出模塊中的每一個分配邏輯組號。 來自輸入或輸出模塊的響應還可以包括終端適配器標識符，該終端適配器標識
符取決於終端類型和終端適配器之內的各個輸入或輸出模塊的物理位置。 處理器可以在操作中被布置以使用差分命令線信號對上的低電壓差分編碼來向
輸入與輸出模塊發送命令。 優選地，差分命令線信號對不具有傳輸線終端，使得帶電系統背板插入成為可 能，並且優選地，輸入輸出模塊在操作中被布置以使用單端信號發送響應。
在操作中，使用已使用NRZI碼進行編碼的數據的HDLC編碼幀，可以經由命 令線和響應線發送信號。有利地，存在多個預定數據流，其由處理器中的接收器識別， 使得輸入或輸出模塊包括以下中的一個或多個連續的"1"，其指示各個模塊不存在或未被加電；連續的"0"，其指示各個模塊被加電但產生了嚴重故障；或者連續的 0X7E，其指示各個模塊可操作。


現在參考附圖僅僅作為例子來描述本發明的實施例，其中 圖1是示出使用本發明的設備和方法的分布式工業過程控制系統的結構的示意 圖； 圖2示意性圖示了圖1中圖示的工業過程控制系統的控制器； 圖3圖示了控制器的可能配置； 圖4示出了用於圖3的輸入組件和輸出組件的各種選項； 圖5示出了用於輸入組件的三選二表決策略的一種可能配置； 圖6圖示了實現輸入組件的三選二表決策略的第二可能配置； 圖7是多個處理器和多個輸入/輸出模塊之間的互連的示意圖； 圖8a和8b示意性圖示了若干處理器模塊之間的可能互連； 圖9圖示了將唯一標識符用於每個終端組件；以及 圖10圖示了對命令和響應消息進行編碼。
具體實施例方式
在如圖1所示的工業過程控制系統中，分布式結構被設計成使用在不同的SIL環 境中，以便如果需要高SIL則可以提供高SIL，但如果全部需要的只是低SIL，則系統可 以在複雜性方面降低以便減少不必要的額外成本。 示例性的工業過程控制系統10包括工作站12、 一個或多個控制器14以及網關 16。工作站12經由乙太網連接18到達一個或多個控制網絡13從而與控制器14和網關 16通信。多個乙太網連接18提供了冗餘以提高容錯。工作站12可以經由傳統乙太網連 接11連接到另一個外部網絡15。 現在參考圖2和3來更加詳細地描述控制器14。 圖2圖示了包括輸入組件22、處理器組件24和輸出組件26的控制器14的示意 圖。在這個示意圖中，輸入組件22和輸出組件26處在不同的背板上，但是它們同樣可 以共用單個背板。 組件22、 24、 26由一個或多個通信背板部件製成，所述通信背板部件具有三個 插槽以與具有一個、兩個或三個插槽的終端組件一起容納高達三個模塊，並且與現場傳 感器和轉換器對接。終端組件可以跨越兩個鄰接的背板部件。模塊包括具有多個連接器 的插入卡，用於插到通信背板和終端組件上。 將會意識到的是，通信背板部件中具有三個插槽是一個設計選項，在不脫離如 所附權利要求限定的本發明的範圍的情況下，具有更多(或更少)插槽的其它設計選項也 是可能的。 圖3圖示了控制器14的可能物理配置。在本發明的這個實施例中，通過將不同 類型的模塊分組到分開的通信背板上，輸入組件22、輸出組件26和處理器組件24彼此物 理地分開。
5
在示出的例子中，輸入組件22包括兩個通信背板部件22' 、 22"。第一個背板部件22'具有三重輸入終端組件和三個輸入模塊22a、 22b、 22c，第二個背板部件22"具有二重輸入終端組件22"和兩個輸入模塊22d、 22e。處理器組件24包括單個處理器背板部件24'，其具有三個處理器模塊24a、 24b和24c。輸出組件26包括兩個背板部件26' 、 26"。第一個背板部件26'具有二重輸出終端組件，其具有兩個輸出模塊26a、26b，第二個背板部件26"具有單重輸出終端組件，其具有單個輸出模塊26c。
現在參考圖4來更加詳細地描述輸入組件22的靈活性。 輸入組件22包括一個或多個背板部件和終端組件22' 、 22" 、 22"'等。例如，具有三個模塊22a、 22b、 22c的三重部件22'可以用於高可用性需求，具有兩個模塊22d、 22e的二重部件22"可以提供用於容錯應用，而具有單個模塊22f的單重部件22"'則可以提供用於故障安全應用。終端組件可以設置有不同類型的現場調節電路。例如，組件22'可以設置有24VDC現場調節電路41，組件22"可以設置有120VDC現場調節電路42，而組件22"'則可以設置有4-20mA現場調節電路43。對於輸出組件26示出了類似可能的配置。將會意識到的是，具有各種不同數目的組件和各種不同類型的現場調節電路的背板部件和終端組件的眾多配置都是可能的，並且本發明不限於這些例子中示出的那些配置。 在為了冗餘的目的組件提供多於一個的模塊的情況下，可以在工業過程控制系統可操作的同時用更換模塊來更換發生故障的模塊，這在此也被稱為在線更換(亦即可以在不必執行系統停工的情況下進行更換)。在不中斷過程的情況下對於單重組件而言在線更換是不可能的。在這種情況下，各種"保持最後狀態"策略是可接受的，或者傳感器信號也可以被路由到系統中別的地方的不同模塊。 在更換模塊變成活性的之前，處理器模塊使用來自並聯模塊的數據配置更換處理器模塊。 現場調節電路41、 42、 43將從傳感器監視工業過程控制設備接收的信號變換到期望電壓範圍，並且將信號分發到所需的輸入模塊。每個現場調節電路41、 42、 43還連接到現場電源和現場返回(或接地)，它們取決於輸入終端組件的配置可以在逐個信道的基礎上與所有其它接地獨立地隔離。獨立信道隔離是優選的配置，因為它最靈活。現場調節電路41、 42、 43包括簡單的非有源部件並且不是在線可更換的。
圖5和圖6圖示了在此描述的結構的靈活性，示出了具有高可用性需求的用於生成信號的三重系統的不同配置。參考圖5，三模塊輸入組件51經由終端組件54中的現場調節電路從傳感器50接收信號。現場調節電路54將信號變換到期望電壓範圍並將信號分發到三個重複的輸入模塊53a、 53b、 53c。每個輸入模塊處理信號，結果被發送到三選二表決器52以生成取決於此的結果信號。 參考圖6，重複的傳感器60a、 60b、 60c每個經由終端組件64a、 64b、 64c中的各個現場調節電路將信號發送到各個單重組件61a、 61b、 61c。每個輸入模塊63a、 63b、63c處理信號並將輸出發送到三選二表決器62以生成取決於此的信號。將會意識到的是，除了這裡圖示的那些之外，許多變化和配置都是可能的。 現在參考圖7至9來描述用於將一個、兩個或三個處理器模塊24a、 24b、 24c的陣列互連到多個I/0模塊22a-22e、 26a-26c的陣列以及互連到一個或多個外部控制網絡13
6的互連方案。 互連方案包括新穎的拓撲，其允許配置成期望冗餘水平的靈活系統。在每個I/0背板具有多於一個的模塊的配置中，處理器模塊24a-24c或I/O模塊22a-22e、 26a-26c的
故障不會影響與系統的其它元件中的任何一個的通信鏈路。 每個處理器模塊24a-24c處理每個I/O背板總線的單個信號輸出，在本發明的優選實施例中，其中的每一個可以容納大量的任何類型的I/O模塊——每個I/O背板總線24個I/0模塊。作為例子，在圖7中示出的命令輸出連接到菊花鏈I/0通信背板上的每個I/O模塊22a-22e。進一步的命令輸出連接到第二菊花鏈I/O通信背板(附圖中未示出)上的I/O模塊26a-26c。 每個I/O模塊22a-22e、 26a-26c使用它自己的專用線保持單個響應輸出，所述專用線連接到處理器I/O通信背板24上的每個處理器模塊24a-24c。這個方案提供了與多到三響應總線相結合的三到多命令總線。總線是單向的，並且因為每個總線只有一個驅動器，所以不存在爭用。單個故障只會導致與單個單元的通信損失。 互連方案還包括另外的專用互連，其設置用於三處理器插槽之間的高速數據鏈路。如圖8所示，僅存在兩種可能的拓撲來連接三個處理器節點，並且這兩種處理器間鏈路(IPL)方法都提供在優選實施例中。圖8a中圖示的第一種類型提供了每個處理器模塊和其它兩個處理器模塊之間的點對點雙向連接，允許使用標準高速串行協議。圖8b中圖示的第二種類型提供了廣播方式的拓撲，由此每個處理器模塊發送由其它兩個處理器模塊接收的輸出。點對點雙向連接與廣播方式鏈路的組合的提供可以被擴展以連接多於三個的處理器。 互連方案還包括外部通信信道。每個處理器模塊24a、 24b、 24c訪問高達兩個獨立的控制網絡13。當多個處理器被安裝時，它們通過處理器間鏈路(IPL)與其它安裝的處理器共用它們的外部數據網絡連接，以提供容錯通信設施。 每個I/0通信背板組件包括用於電源和命今通信總線的並行分布式總線信號的組合，並且還包括如下的信號，所述信號對於每個輸入或輸出模塊是唯一的，亦即對於用於來自每個I/O模塊的通信的響應線唯一。現在參考圖9來描述一種方法，由此處理器模塊24a、 24b、 24c能夠建立系統中的模塊的物理配置，以及它們如何建立與包括系統的元件中的每一個的通信。
當處理器24a-24c發出全局請求時，每個I/O模塊(10M)22a-22e、 26a-26c向處理器24a-24c供應唯一標識符(ID1…ID8)。 處理器能夠依靠它在其上接收到響應的線來區分IOM位於哪個物理插槽中。
為了隨後尋址的目的，處理器隨後向每個IOM分配唯一的邏輯插槽號，並且還分配邏輯組號，該邏輯組號可以被分配給任何數目的其它IOM，以允許它們作為單個邏
輯單元被尋址。 如以前提到的那樣，每個IOM 22a-22e、 26a-26c通過終端組件(TA)41-43、 41'
連接到現場傳感器信號。如以前描述的那樣，TA被建立以取決於需要的冗餘水平在一個、兩個或三個IOM之間分發現場信號。每個TA中的每個插槽被分配唯一的八位ID值，其專用於該TA類型和該終端組件之內的插槽位置(TAID釘…TAID弁N)。所以，例如如果使用同一類型的多個TA，那麼它們的TAJD將會全都彼此相同，即使它們用它們自己的唯一 IOM_ID和唯一分配的SLOTJD連接到IOM。
結合如前所述確定的IOM的物理插槽位置，只要在每個終端組件中存在至少一個IOM，處理器24a-24c就能夠精確地確定控制器14被如何物理地布置。因此，處理器可以為每個I/0終端組件22' 、 22"、26' 、 26"(圖2)確定冗餘水平。 圖9示出了 I/O模塊和終端組件的布置如何進行組合以允許用於系統自我發現的方法。用於每個IOM的唯一標識符跨越全部IOM是全局唯一的。TA標識符僅對於每個類型的TA和該類型中的每個插槽是唯一的。 圖10圖示了用於在處理器模塊和I/O模塊之間傳輸的信號的編碼。 在本發明的優選實施例中，使用一系列的離散消息包來實現處理器和I/0模塊之
間的命令和響應通信協議，為了消息成幀和鏈路誤差檢測起見，首先使用按位同步數據
鏈路層協議高級數據鏈路控制(HDLC)來編碼該消息包。然後使用非歸零反相(NRZI)碼
來編碼該包，以便可以在離散時鐘信號沒有必要和數據信號一起被包括的情況下檢測位
單元轉移。 無格式未編碼的過程數據101連同成幀旗標和CRC字符首先由HDLC編碼器102進行HDLC編碼。然後由NRZI編碼器103進行NRZI編碼，以確保長串的零不會導致位單元轉移不存在。這允許HDLC/NRZI編碼的信號在單個線上經由通信信道104傳輸。
返回參考圖7，命令數據在處理器模塊24a-24c中被HDLC編碼，然後由在優選實施例中以FPGA實現的處理器模塊接口 71a-71c進行NRZI編碼。 命令數據由再次在優選實施例中以FPGA實現的I/O模塊接口 72a-72e接收和解碼。響應數據由I/O模塊接口 72a-72e進行編碼和傳輸。 在沒有在模塊接口 71a-71c中從HDLC格式當中進行轉換的情況下，響應數據在當它被接收時被時分復用返回到每個處理器中。這種布置的一個好處在於，由於消除了對通信硬體路徑中的數據存儲的要求，所需的硬體邏輯被最小化，因為數據流通過處理器模塊接口 71a-71c在兩個方向上直接通過處理器模塊側的硬體。 再次參考圖IO，在接收器處，用於轉移的採樣時鐘導出器105檢查引入數據，並且通過維持預測下一個位單元何時將要轉移的運行估計來導出最優採樣點。在位單元的最後第三個中，在下一個預期轉移的前面充分地採樣輸入信號以確保可靠的採樣。
相同的編碼方案用於命令和響應兩個方向上的數據，儘管命令和響應數據率相差很大倍數。響應信號的比特率個別地低，允許它們作為單端信號傳輸。由於每個I/0模塊具有它自己的專用響應線，所以響應線的合計帶寬與命令線相匹配，亦即，例如給定24個I/O模塊，則響應數據只需為命令數據率的1/24。 命令信號使用低電壓差分信號(LVDS)的變體來進行差分編碼，並且使用差分對來緊密耦合在一起，以便外部引入的噪聲幹擾將會等同地影響在兩根線上看到的電壓。這允許I/0模塊中的差分接收器拒絕虛假的共模假象，並且僅傳遞差分發送器在成對的線上編碼的真實差分信號。 在優選實施例中，直流(DC)偏置電壓大約為400mV，以便當被插入或者經歷電源故障時，未被加電的模塊輸入保持高阻抗。邏輯高輸出電壓(電壓輸出高或Voh)低於正向偏置為每個I/0模塊接口 72a-72e提供的矽結保護二極體所需的電壓。
8
命令線在線的末端沒有傳輸線終端，以允許帶電系統背板插入。這是可接受的，因為最小命令數據位單元時間大於用於未端接的傳輸線的反射往返時間。處理器接口 71a-71d中的命令線差分源驅動器用傳輸線的特性阻抗進行端接，以吸收來自遠端開放命令線的反射。 IOM或處理器中的接收器限定並識別三種特殊狀況。它們是 連續的"1"。這表明IOM或處理器模塊不存在或未被加電。.連續的"0"。 這表示IOM被加電但產生了嚴重故障。
連續的0 X 7E(HDLC空旗標)。這表明IOM或處理器模塊可操作。 將會意識到的是，為了清楚起見而在分開的實施例的上下文中描述的本發明的
某些特徵也可以組合起來在單個實施例中提供。相反地，為了簡潔起見而在單個實施例
的上下文中描述的本發明的各種特徵也可以分開提供，或者以任何合適的組合提供。 將要認識到的是，在不脫離如所附權利要求限定的本發明的範圍的情況下，可
以將各種改變、修改和/或添加引入到上述部件的構造和布置中。
9
權利要求
一種工業過程控制設備，包括多個處理器和多個輸入/輸出模塊，其中每個處理器具有連接到多個輸入/輸出模塊的單向命令線；並且每個輸入/輸出模塊具有連接到多個處理器的單向響應線。
2. 根據權利要求1所述的工業過程控制設備，其中，所述多個處理器經由處理器間鏈 路連接在一起。
3. 根據權利要求2所述的工業過程控制設備，其中，所述處理器間鏈路提供每個處理 器和每個其它處理器之間的點對點雙向鏈路。
4. 根據權利要求2所述的工業過程控制設備，其中，所述處理器間鏈路傳送由每個其 它處理器接收的廣播信號。
5. 根據權利要求2所述的工業過程控制設備，其中， 一個或多個處理器直接連接到控 制網絡，並且每個處理器經由所述處理器間鏈路中的一個和另一個處理器訪問另一個控 制網絡。
6. 根據權利要求1所述的工業過程控制設備，其中，所述處理器在操作中被布置以向 所有的所述輸入/輸出模塊發出標識符請求，並且每個輸入/輸出模塊在操作中被布置以 經由其響應線用包括唯一標識符的響應作出響應，使得每個處理器能夠通過識別在其上 接收到所述響應的響應線來識別具有特殊唯一標識符的各個輸入/輸出模塊的物理位置。
7. 根據權利要求6所述的工業過程控制設備，其中，所述處理器在操作中被布置以在 接收到所述響應後向每個輸入/輸出模塊分配邏輯插槽號以及向多個所述輸入/輸出模塊 中的每一個分配邏輯組號。
8. 根據權利要求6所述的工業過程控制設備，其中，來自各個輸入/輸出模塊的每個 響應包括終端適配器標識符，該終端適配器標識符取決於終端類型和與該終端適配器標 識符相關的各個輸入/輸出模塊的物理位置。
9. 根據權利要求1所述的工業過程控制設備，其中，所述處理器在操作中被布置以使 用差分命令線信號對上的低電壓差分編碼來向所述輸入/輸出模塊發送命令。
10. 根據權利要求9所述的工業過程控制設備，其中，所述差分命令線信號對不具有 傳輸線終端。
11. 根據權利要求l所述的工業過程控制設備，其中，所述輸入/輸出模塊在操作中 被布置以使用單端信號發送響應。
12. 根據權利要求1所述的工業過程控制設備，其中，在操作中，使用已使用非歸零 反相碼進行編碼的數據的高級數據鏈路控制編碼幀，經由命令線和響應線發送信號。
13. 根據權利要求12所述的工業過程控制設備，其中，存在多個預定數據流，其由所 述處理器和所述輸入/輸出模塊中的每一個的至少一個中的接收器識別，所述多個預定數 據流中的每一個包括以下中的一個或多個連續的"1"，其指示各個模塊不存在或未被加電； 連續的"0"，其指示各個模塊被加電但產生了故障；以及 連續的0X7E，其指示各個模塊可操作。
全文摘要
本發明涉及用於互連模塊的方法和設備。本發明提供了一種包括若干處理器和若干輸入/輸出模塊的工業過程控制設備和方法。每個處理器通過單向命令線連接到多個輸入/輸出模塊。每個輸入/輸出模塊通過單向響應線連接到多個處理器。處理器被布置成向所有被連接的輸入/輸出模塊發出標識符請求，並且每個輸入/輸出模塊被布置成用包括唯一標識符的響應經由各個響應線對標識符請求作出響應。這樣的配置允許每個處理器識別每個相應輸入/輸出模塊的物理位置。
文檔編號G05B19/418GK101692178SQ20091000582
公開日2010年4月7日 申請日期2009年2月1日 優先權日2008年2月1日
發明者伊恩·大衛·溫·瓊斯, 託馬斯·布魯斯·馬爾, 傑拉爾德·羅伯特·克裡奇, 肯尼思·約翰·墨菲, 菲利普·約翰·阿加 申請人:Ics三重技術有限公司