控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法

摘要

为了提高设备可用性，本发明涉及一种控制和数据传输设备(10)，该设备包括至少一个在常规操作中通过通信网络(500)与至少一个设置为输入和/或输出装置的处理装置(300，400)连接的控制装置(100，200)，其中处理装置(300，400)包括：用于检测出控制故障的评价单元(310，410)，在处理装置(300，400)的存储器(330，430)中储存的能够参数化的应急控制程序，和用于执行应急控制程序的运行时系统(320，420)，并且其中处理装置(300，400)设置为作为对通过评价单元(310，410)检测到的控制故障的响应而切换到应急操作中，其中处理装置(300，400)执行应急控制程序。本发明还涉及一种用于在这样的控制和数据传输设备(10)中的处理装置(300，400)，以及一种用于冗余的过程控制的方法。

说明书

技术领域

本发明一般涉及一种自动化技术，特别是一种控制和数据传输 设备，该设备具有至少一个通过通信网络与至少一个设置为输入和/ 或输出装置的处理装置连接的控制装置，本发明还涉及一种用于冗余 的过程控制的方法。

背景技术

在自动化技术中，所谓的冗余控制用于设计为高可用性的应用 中，例如隧道监控。通常称为控制器的控制装置对过程进行控制并且 其他控制装置以备用状态运行，从而在当特定事件发生时能够接管过 程控制。程序序列就此通过同步连接在控制装置之间同步，使得在切 换后能够以同样的方式对过程继续进行控制。除了应用程序的这种同 步，控制装置之间的其他信息也交换以确保持续操作。必须向每个控 制装置通知其他控制装置的状态和功能，以校准其自身的序列。

相应的冗余控制系统一般包括两个互相同步的控制装置，以及 通过相应的通信网络连接到两个控制装置上的下级的输入/输出站。

在DE10030329C1中已知例如具有控制计算机和外围单元的 冗余控制系统，其中控制计算机输出周期变化的生命征象，其中外围 单元在生命征象变化消失的情况下切换到其他控制计算机。

此外，DE102006047026B4描述了一种控制和数据传输设备， 该设备具有至少两个控制装置和至少一个从属设备，它们通过通信网 络互相连接，其中从属设备包括多个用于接受输出数据和状态数据的 可寻址输出接口并且每个控制装置具有用于产生并传输状态数据和 输出数据到从属设备的单独输出接口的设备，并且其中从属设备具有 评价设备，该评价设备作为对于从控制装置接收到的状态信号的响 应，对所接收的输出信号用于其它用途的转发来进行控制。

如果冗余构造的控制系统发生故障，也即发生两个冗余控制装 置的故障，下级过程则不能继续进行，由于没有控制器能处理输入和 输出数据。这同样适用于通信网络的故障。

发明内容

本发明的目的在于，指出一条使得用于冗余过程控制的方法和 控制和数据传输设备能够得以简化和/或得以改善，并且使特别是现 有技术中已知的方案的缺陷能够得以避免或减少的途径。

本发明的核心思想在于，使在常规操作中由至少一个控制装置 控制的设置为输入和/或输出设备的处理装置配备有自己的智能，从 而能够在由控制装置进行的控制不再有保障的情况下维持处理装置 的应急操作，其中为了达到该目的处理装置配备有运行时系统，以执 行储存在处理装置中的用于应急控制的序列程序。

上述技术问题通过权利要求1的特征来解决。

相应地，设置一种用于冗余过程控制的控制和数据传输设备， 该设备具有在常规操作中通过通信网络互相连接的至少一个控制装 置和至少一个设置为输入和/或输出装置的处理装置。这里需要强调， 控制和数据传输设备能够是自动化设备并且处理装置能够是现场设 备。此外，控制装置例如可以是可编程的控制器(SPS)。

该处理装置包括用于检测出控制故障的评价单元、在处理装置 的存储器中储存的能够参数化的应急控制程序、和用于执行应急控制 程序的运行时系统，其中处理装置设置为，作为对通过评价单元检测 到的控制故障的响应而切换到应急操作，其中处理装置执行应急控制 程序。

在特别优选的实施方式中，控制和数据传输设备包括至少一个 第一控制装置和一个相对于第一控制装置冗余的第二控制装置，其中 常规操作中这两个控制装置与处理装置连接，并且其中只有当评价单 元为两个控制装置检测到控制故障时，处理装置才切换到应急操作 中。

优选地，当规定的时间段中没有接收到来自控制装置的信号时， 控制故障由控制装置的评价单元检测出，其中由此既能识别控制装置 和处理装置之间的通信连接故障又能识别控制装置的故障。不过也可 能发生一种故障情况，其中控制装置功能故障但却继续发送错误的数 据电报。为了识别出这种故障，当控制装置收到错误的信号时，可以 由评价单元有利地检测出控制故障。为了识别这些错误的信号可以设 置例如使从控制装置到处理装置传输的数据电报具有由评价单元校 验的校验和以及/或者序列识别符。在控制装置自身识别其功能失灵 的情况下，当控制装置接受表明控制装置的故障的状态信号时，也可 以由评价单元检测出控制故障。

需要强调，评价单元优选设置为将在常规操作中接收的输出数 据转发到处理装置的物理接口和/或将通过物理接口读取的输入数据 转发到一个或者多个冗余的、上级的控制装置。

最简单的情况下，应急控制程序用于将处理装置或由处理装置 控制的部分过程转化为既定的安全状态，以避免危急的设备状态或者 其他危险情况。

特别有利地，由处理装置执行的应急控制程序却用于继续进行 过程控制，其中应急控制程序的逻辑不必与上级系统，即，与由控制 装置执行的控制程序的逻辑相同。这意味着，相比于常规操作可以在 应急操作中设置其他功能。应急控制程序也可以与由控制装置执行的 控制程序相比具有缩减了的功能。

视处理装置的运行时系统的设计方案而定，作为应急控制程序 的序列程序能够以IEC61131语法或者以高级编程语言编写。

为了继续的过程控制，处理装置特别有利地设置为，在应急操 作中通过通信网络与至少一个其他处理装置交换数据，其中特别是将 处理装置从其他处理装置接收的数据作为输入数据传输到应急控制 程序和/或将由应急控制程序产生的输出数据从处理装置传输到其他 处理装置。

由于只需要在上级控制设备的故障时的应急操作中进行不同的 处理装置间直接的数据交换，处理装置优选设置为只有在应急操作过 程中才与至少一个其他处理装置建立通信连接。

通过不同的处理装置间的数据交换，特别有利地可以在整体自 动化设备或者在自动化设备的部分区域上进行同步的应急操作。由处 理装置执行的应急控制程序可以有利地设置为将至少一个其他处理 装置转变为安全的工作状态。

处理装置有利地设置为，一旦评价单元检测到有功能性的控制 装置，就自动地从应急操作再次切换到常规操作。例如一旦从控制装 置重新接收到无误的数据消息，那么就从应急操作再次切换到常规操 作。从应急操作切换到常规操作过程中，应急控制程序终止。

优选的实施方式中，控制和数据传输设备还包括与通信网络连 接的用于操作和/或监控的装置，该装置设置为在常规操作中与至少 一个控制装置通信并且在应急操作中与处理装置通信。该用于操作和 /或监控的装置优选设置为具有与其相连的OPC客户端的OPC服务器 (OPC:OLE(ObjectLinkingandEmbedding)forProcessControl)。

控制和数据传输设备的上述实施方式可以以任意的方式有利地 结合。

上述技术问题同样能够通过权利要求10的特征解决。

相应地设置配置为输入和/或输出装置，特别是配置为现场设备 的处理装置，该装置配置为能够通过通信网络与至少一个控制装置连 接，在常规操作中由控制装置控制，并且包括用于检测出控制故障的 评价单元、在处理装置的存储器中储存的能够参数化的应急控制程序 和用于执行应急控制程序的运行时系统，其中处理装置设置为作为对 于通过评价单元检测到的控制故障的响应而切换到应急操作中，在应 急操作中处理装置执行应急控制程序。

此外，所有这种处理装置的上述关于控制和数据传输设备的实 施方式都在本发明的范围内。

上述技术问题同样能够通过权利要求11的特征解决。

相应的设置一种用于冗余的过程控制的方法,其中在常规操作 中至少一个配置为输入和/或输出装置的处理装置由至少一个通过通 信网络与该处理装置连接的控制装置控制，通过处理装置的评价单元 检测出控制故障，处理装置作为对通过评价单元检测到的控制故障的 响应而切换到应急操作中，在应急操作中处理装置通过运行时系统执 行在该处理装置的存储器中储存的能够参数化的应急控制程序。

该方法优选包括用于实施控制和数据传输设备的上述实施方式 或其结合的所有所需的方法步骤。

附图说明

接下来例如借助优选的实施方式参照附图详细阐述本发明。图 中相同的附图标记表示相同或相似的部分。

附图1以示意图示出了控制和数据传输设备的优选的实施方式， 和

附图2以示意图示出了控制和数据传输设备的另一优选的实施 方式。

具体实施方式

附图1中示出了控制和数据传输设备10的实施例，该设备例如 用于自动化技术中或者隧道监控中。所示的实施例中，控制和数据传 输设备10包括两个通过通信网络500与处理装置300和400连接的 冗余控制装置100和200。通信网络500可以具有其他组件，例如所 示的开关510，并且在所示的实施例中设置为PROFINET-通信网络。 PROFINET(ProcessFieldNetwork)是在自动化领域中使用的开放 的工业以太网标准。不过也可以使用任何其他合适的通信网络，例如 现场总线。

控制装置100和200分别包括存储器120或220，分别能够通过 处理器110或210执行的各一个控制程序分别储存其中。控制装置 100和200分别通过以太网接口141或者241连接到PROFINET网络 500。另外，控制装置100和200借助于额外的接口142和242通过 直接连接510互相连接。直接连接510可以设置为例如基于以太网的 光纤(LWL)连接并且接口142和242相应地设置为LWL接口。不过， 任何其他合适种类的直接连接也都在本发明的范围内。通过直接连接 510，以已知的方式进行由控制装置100和200分别执行的控制程序 的同步。另外，通过直接连接510进行状态数据交换，从而能够分别 向控制装置通知其他控制装置的工作状态并且能够分别识别其他控 制装置的故障。

处理装置300和400，下面还称作现场设备，设置为输入、输出 站，其中通过接口342或442连接到待控制的过程，其中特别是传感 器和/或执行器连接到接口342或442。在下文中示例性地假设，传 感器连到现场设备300的接口342并且执行器连在设备400的接口 442。处理装置300和400分别通过接口341或441连到通信网络500 并且由此与控制装置100和200连接。

分别由控制装置100和200之一作为有效的控制装置来控制过 程，其中如果需要能够切换到另一个控制装置。可以设置仅由相应有 效的控制装置传输输出数据到对应的现场设备。替换性地还可设置， 使这两个控制装置同时传输输出数据并且现场设备基于额外传输的 状态数据而决定来转发哪个输出数据。这种情况下，接口341或441 分别对于各个控制装置100和200具有独立的逻辑接口。

在常规操作中，由处理装置400接收的输出数据直接传送到与 接口442连接的执行器并且处理装置300发送由与接口342连接的传 感器读取的输入数据到上级的控制装置100和200。

在此值得注意的是，还可能有多于两个控制装置与现场设备300 和400交换数据。不过也可以舍弃控制装置的冗余并只设置一个控制 装置。另外要注意，控制和数据传输设备10通常包含多于所示的两 个处理装置300和400，其中也可以有多个传感器和/或执行器连接 到处理装置。

如果发生上级控制装置和其中一个处理装置300和400之间的 通信中断，该故障由相应处理装置的评价单元310或410识别，例如 通过识别出预先设置的监测时间过期。当由控制装置接收到错误的信 号时，或者当控制装置接收到表示控制装置故障的状态信号时，也可 以识别出故障。优选，当两个控制装置发生故障或者与两个控制装置 的通信中断时，在冗余控制装置中识别故障。

根据本发明，这样提高控制和数据传输设备10的可用性，即处 理装置300或400的至少一个具有执行应急程序的独立的运行时系统 并且以这种方式设置为智能的E/A(输入/输出)站。

作为对故障的识别的响应，识别出故障的相应处理装置300或 400的运行时系统320或420相应地启动并且启动预先参数化的、在 存储器330或430中储存的序列程序作为应急程序。

借助该应急程序，在最后已知的输入/输出数据的基础上，继续 进行各个处理装置的应急操作。因此确保该(部分)过程能够进入已 定义的状态或者以受限的功能继续运行。由此可以避免危急的设备状 态。除此以外，智能的E/A站可能通过通信网络500互相通信，以确 保在总设备或者部分设备上进行同步的应急操作。通过配备所选的处 理装置，能够实现能够提高设备可用性的分散的冗余岛 (Redundanzinseln)。

处理装置之间的数据交换仅发生在应急操作中，其中优选只在 应急操作中建立相应的通信连接。

在应急操作中，例如由处理装置300读取用于测量容器的装填 量的探测器的传感信号并传输到处理装置400，该装置根据传感信号 通过对由连接的执行器调节的阀的控制，调节向容器中的流入。

隧道监测中，例如由控制装置根据交通流量控制信号设备，其 中可用的交通车道能够分配到可变的不同的行驶方向。这种隧道监测 中，在应急操作中，烟雾探测器的传感信号能够由处理装置300读取 并且传输到处理装置400，后者基于烟雾进展的识别这样控制信号设 备，即，防止其它车辆再驶入隧道。

一旦控制装置100或200再次收到无错的数据电报，各个评价 单元310或410将其识别，并且自动地从应急操作切换回常规的透明 模式。

附图2中示出了另一个控制和数据传输设备10’的实施例,相 比于附图1中示出的设备10，该设备10’额外地包括用于过程的操 作和监控的、以OPC服务器600形式的装置，该装置与通信网络500 连接。OPC服务器600通过合适的连接器与例如设置在控制台中的 OPC客户端连接，通过该客户端使用者可见并可操作过程。

OPC服务器600也通过通信网络500直接访问智能处理装置300 和400。在常规操作中，OPC服务器600处理来自上级控制装置100 和/或200的数据。智能处理装置300和400的数据在此时是无效的。 如果启动应急程序，OPC服务器会收到智能处理装置300和400的有 效数据。以这种方式可以进一步通过可视化操控和影响过程。

本发明提高了控制系统的可用性，其基础在于，装配具有独立 的运行时系统的E/A站或者用具有独立运行时系统的设备来替代现 存的E/A站。

本发明特别的优势在于，用智能E/A站进行的所述应急操作也 能够在没有冗余功能的标准控制器下进行，以提高设备的可用性。