一种双冗余开关量PLC控制系统可靠容错控制器的实现方法

摘要

本发明提供一种低成本的双冗余开关量PLC控制系统可靠容错控制器的实现方法，保证整个系统在主PLC控制器故障时的连续可靠运行，其采用两个常规PLC控制器和一诊断决策逻辑模块，构成双冗余的可靠容错控制器，第一PLC控制器作为主控制器，第二PLC控制器作为备份控制器，在正常运行时，主控制器控制被控对象的实际运行动作，所述备份控制器作为热备冗余控制器，其输出不实际控制被控对象的实际运行动作，仅用于监测主控制器的运行；在第一PLC控制器及其I/O通路发生严重故障时，第二PLC控制器切换为主控制器，维持被控对象的正常运行；在前述发生严重故障的PLC控制器恢复后，切入控制流程作为当前主控制器的热备冗余控制器，监测当前主控制器的运行。

说明书

技术领域

本发明涉及工业控制器可靠性设计领域，具体而言涉及一种双冗余开关量PLC控制系统可靠容错控制器的实现方法。

背景技术

现有的热备冗余安全PLC控制器一般为专用冗余PLC设计方案，技术实现复杂，成本较高，通常需要花费无冗余系统数倍以上的价格成本，适于大规模复杂控制系统的高可靠性需求；或者是通过增加专用的同步冗余模块，能对PLC控制器的CPU模块故障实现安全可靠控制，难以对其他外接开关量I/O模块和控制端口故障做到可靠容错控制。

但是，实际工业存在大量的以逻辑控制和顺序控制为主的中小型开关量PLC控制系统，如工程机械、特种设备、包装印刷装备、中小型液压机装备的控制系统等。这些系统以开关量的逻辑控制为主，功能简单，只需要低成本的小型PLC就可获得理想的控制功能，但要求逻辑动作的安全可靠性较高。如果对它们采用专用的安全冗余PLC控制器就显得成本过高，用户难以接受，因而迫切需要一种既具有较高安全可靠性，保证简单的正常控制运行，又不需投入高成本的冗余可靠容错控制器。

发明内容

本发明目的在于提供一种双冗余开关量PLC控制系统可靠容错控制器的实现方法，采用常规PLC系统和硬连线混合逻辑技术，实现一种低成本的热备冗余可靠容错控制器。

为达成上述目的，本发明所采用的技术方案如下：

一种双冗余开关量PLC控制系统可靠容错控制器的实现方法，采用两个PLC控制器和一诊断决策逻辑模块构成双冗余的可靠容错控制器，其中第一PLC控制器作为主控制器，第二PLC控制器作为备份控制器，其中：

1)在正常运行时，所述主控制器控制被控对象的实际运行动作，所述备份控制器作为热备冗余控制器，其输出不实际控制被控对象的实际运行动作，仅用于监测主控制器的运行；并且

2)在第一PLC控制器及其I/O通路发生严重故障时，第二PLC控制器切换为主控制器，从而维持被控对象的正常运行，同时切断发生严重故障的第一PLC控制器的所有输出信号，使得第一PLC控制器及其I/O通路退出系统，其中前述严重故障是指会使控制器I/O信号发生异常变化而导致控制无法继续正常操作并需要立即处理的故障；并且

3)在前述发生严重故障的第一PLC控制器恢复或置换后，切入控制流程作为当前主控制器第二PLC控制器的热备冗余控制器，监测当前主控制器的运行；并且

所述可靠容错控制器结合PLC控制器的扫描周期，将可靠容错控制器定义三种运行模式，分别为：正常运行时的双冗余可靠控制模式、系统初始上电运行或某个PLC控制器发生故障时的同步无扰切换控制模式以及单PLC控制器的容错控制模式，其实现包括：

1)在正常运行时，可靠容错控制器以前述主控制器和备份控制器的扫描周期为同步基准，在每个扫描周期的输出刷新操作之前进行一次同步校对，保证控制信号输出动作节拍的一致性，所述诊断决策逻辑模块用于控制在无故障时只有主控制器的控制输出被实际接入执行机构和被控对象，此即双冗余可靠控制模式；

2)在系统初始上电复位运行阶段，基于PLC控制器的每个扫描周期，所述备份控制器通过其自身的故障诊断程序模块对主控制器、备份控制器的状态进行比较运算并输出比较结果：当备份控制器诊断出主控制器无故障且主、备份控制器输出信号不一致时，所述诊断决策逻辑模块控制使得主控制器的控制输出实际有效，并施加于被控对象，然后进入下一个扫描周期继续运行；当备份控制器诊断出主控制器、备份控制器无故障且输出信号完全一致时，则备份控制器发出同步信号，使主控制器、备份控制器的控制输出在下一个扫描周期获得同步操作，转入正常运行的双冗余可靠控制模式；前述控制过程即为同步无扰切换控制模式；

3)当备份控制器和诊断决策逻辑模块诊断出主控制器发生严重故障时，备份控制器通过实时逻辑切换开关，以主控制器的身份切入实际控制，并切断当前发生严重故障的主控制器的输出通路及I/O通路，使主控制器、备份控制器在一个PLC控制器的扫描周期内实现无扰切换，转入单PLC控制器的容错控制模式，保证整个控制系统连续运行。

进一步地，前述方法中，所述主控制器脱离控制系统后，备份控制器自动切换成为主控制器，执行对被控对象的输出控制，运行单PLC控制器的容错控制模式；并且

在每个PLC控制器扫描周期的初始阶段，均检测是否有新的备份控制器接入：如果有，则当前作为主控制器的PLC控制器转入同步无扰切换控制模式；否则，当前作为主控制器的PLC控制器通过所述诊断决策逻辑模块保证其输出通路连接的有效性，继续执行对被控对象的控制动作，维持系统的连续运行。

进一步地，前述方法中，所述主控制器的内部模块故障诊断由主控制器自身的自诊断功能在扫描周期初始时段实现，诊断结果由I/O端口实时传输给备份控制器，备份控制器中的故障诊断程序模块将主控制器的自诊断结果与上一个扫描周期的控制输出信号，按照下述表1的故障诊断逻辑进行综合逻辑判断，诊断主控制器及其控制输出信号是否异常：

表1——故障诊断逻辑

如无异常，则认为主控制器无故障；否则，认为主控制器发生严重故障；

前述诊断结果再输入诊断决策逻辑模块，按照下述表2所示的故障决策逻辑再次进行融合判断：

表2——故障决策逻辑

如无异常，则认为主控制器无故障，其控制输出信号实际驱动执行机构或被控对象运行；否则，认为主控制器发生严重故障，由诊断决策逻辑模块的切换开关实时切断故障的主控制器的控制输出通路，并接通备份控制器的输出通道，使其作为主控制器以容错控制模式切入实际控制，接替故障的主控制器，从而维持系统正常连续运行。

进一步地，前述方法中，所述第一PLC控制器、第二PLC控制器与诊断决策逻辑模块之间采用硬连线方式实现接口连接。

由以上本发明的技术方案可知，本发明所提出的双冗余开关量PLC控制系统可靠容错控制器的实现方法，其显著优点在于：

1、采用常规PLC模块构成具有低成本高可靠性的PLC可靠容错控制器，将热备冗余与表决式故障诊断混合逻辑冗余有机结合，提高系统连续工作的可用性和安全可靠性，不需要专用的冗余安全模块，系统构成相对简单，可靠性高。

2、利用PLC的周期扫描控制思想，基于扫描周期同步控制策略，实现了主、备控制器的同步控制运算和故障时容错控制重构过程的平稳切换，满足了小型低成本冗余系统可靠的同步协调需求，克服了传统冗余可靠设计必须满足高精度CPU时钟同步的难题。

3、将工业中高可靠性的硬连线技术与软、硬件的混合逻辑监控技术相结合，实现了低成本高可靠性的PLC容错控制器设计，在不过多增加系统成本投入的前提下，提高了普通中小型无冗余PLC控制系统的高可靠性。

4、在PLC容错控制的流程设计中，提出了双冗余PLC可靠控制模式、单PLC容错控制模式和同步无扰切换模式等运行模式的策略，保证了冗余容错控制器可靠的同步运行和故障时备份控制器的无扰切换，使整个控制系统对主控制器的故障具有完整的容错功能，实现连续可靠运行。

附图说明

图1为本发明双冗余PLC控制系统可靠容错控制器的总体结构图。

图2a为图1所示实施例中第一PLC控制器(即PLC1)作为主控制器的双冗余可靠控制模式流程。

图2b为图1所示实施例中第二PLC控制器(即PLC2)作为备份控制器的双冗余可靠控制模式流程。

图2c为图1实施例中单PLC容错控制模式流程。

图2d为图1实施例中第一PLC控制器(即PLC1)作为主控制器的同步无忧切换控制模式流程。

图2e为图1实施例中第二PLC控制器(即PLC2)作为备份控制器的同步无忧切换控制模式流程。

图3a为图1实施例中主控制器、备份控制器以及逻辑电路之间的硬连线示意图。

图3b为图1实施例中诊断决策逻辑模块与主控制器、备份控制器的硬连线示意图。

图3c为图1实施例中诊断决策逻辑模块与负载切换开关SW0之间的硬连线示意图。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

在本实施例中，根据实际工业过程开关量控制的特点，将由CPU模块、电源模块和开关量I/O模块组成的PLC控制器可能发生的故障分为警告故障和严重故障，警告故障不会中断系统的继续运行，它能通过PLC自身的自诊断纠错功能加以消除，可被认为属于正常情形；严重故障会使控制器I/O信号发生明显的异常变化，控制无法继续正常操作，需要及时处理。PLC自诊断模块对严重故障的处理通常是停止扫描，实时告警，断开所有输出，但却无法维持系统的连续运行；而导致PLC的外接I/O控制模块输出信号异常变化的严重故障，则需要设计相应的诊断容错功能加以处理。

本实施例提出的双冗余开关量PLC控制系统可靠容错控制器的实现方法，是针对PLC控制器的严重故障，尤其是对开关量控制输出模块信号异常故障的可靠容错处理问题，提供一种低成本的热备冗余PLC可靠容错控制器的设计方法。

本实施例公开的一种双冗余开关量PLC控制系统可靠容错控制器的实现方法，包括：双冗余PLC容错控制器的总体结构设计、PLC容错控制器的双冗余可靠控制与同步无扰切换流程的设计、冗余PLC控制器的故障诊断与决策逻辑设计以及可靠容错控制器的硬连线接口设计四部分。

下面结合图1，图2a-2e所示，详细说明上述方法的实施。

一、双冗余PLC容错控制器的总体结构设计

结合图1所示的双冗余PLC控制系统可靠容错控制器的总体结构，其中，一种双冗余PLC控制系统可靠容错控制器，采用两个PLC控制器和一诊断决策逻辑模块构成双冗余的可靠容错控制器，其中第一PLC控制器作为主控制器，第二PLC控制器作为备份控制器。

如图1，第一PLC控制器、第二PLC控制器为规格、型号参数均相同的两套中小型PLC控制器，利用其构建互为热备份冗余的容错控制器，如前所述，可事先指定其中任意一个PLC为主控制器(记为PLC1)，另一个为备份控制器(记为PLC2)，从而它们在结构上具有对称性(如附图1所示)。

1)在正常运行时，所述主控制器控制被控对象的实际运行动作，所述备份控制器作为热备冗余控制器，其输出不实际控制被控对象的实际运行动作，仅用于监测主控制器的运行；

2)在第一PLC控制器及其I/O通路发生严重故障时，第二PLC控制器切换为主控制器，从而维持被控对象的正常运行，同时切断发生严重故障的第一PLC控制器的所有输出信号，使得第一PLC控制器及其I/O通路退出系统，其中前述严重故障是指会使控制器I/O信号发生异常变化而导致控制无法继续正常操作并需要立即处理的故障；并且

3)在前述发生严重故障的第一PLC控制器恢复或置换后，切入控制流程作为当前主控制器第二PLC控制器的热备冗余控制器，监测当前主控制器的运行；并且

二、PLC容错控制器的双冗余可靠控制与同步无扰切换流程的设计

结合图1，以及图2a-2e所示，本实施例的实现方法中，借鉴标准冗余控制设计的思想，本实施例的可靠容错控制器结合PLC控制器的扫描周期，将可靠容错控制器定义三种运行模式，分别为：正常运行时的双冗余可靠控制模式、系统初始上电运行或某个PLC控制器发生故障时的同步无扰切换控制模式以及单PLC控制器的容错控制模式，其实现包括：

1)在正常运行时，可靠容错控制器以前述主控制器和备份控制器的扫描周期为同步基准，在每个扫描周期的输出刷新操作之前进行一次同步校对，保证控制信号输出动作节拍的一致性，所述诊断决策逻辑模块用于控制在无故障时只有主控制器的控制输出被实际接入执行机构和被控对象，此即双冗余可靠控制模式，从而实现双冗余PLC控制器的可靠控制运行，避免了传统冗余设计中要求做到CPU时钟同步的难题，降低了设计复杂度；

2)在系统初始上电复位运行阶段，基于PLC控制器的每个扫描周期，所述备份控制器通过其自身的故障诊断程序模块对主控制器、备份控制器的状态进行比较运算并输出比较结果：当备份控制器诊断出主控制器无故障且主、备份控制器输出信号不一致时，所述诊断决策逻辑模块控制使得主控制器的控制输出实际有效，并施加于被控对象，然后进入下一个扫描周期继续运行；当备份控制器诊断出主控制器、备份控制器无故障且输出信号完全一致时，则备份控制器发出同步信号，使主控制器、备份控制器的控制输出在下一个扫描周期获得同步操作，转入正常运行的双冗余可靠控制模式；前述控制过程即为同步无扰切换控制模式；

3)当备份控制器和诊断决策逻辑模块诊断出主控制器发生严重故障时，备份控制器通过实时逻辑切换开关，以主控制器的身份切入实际控制，并切断当前发生严重故障的主控制器的输出通路及I/O通路，使主控制器、备份控制器在一个PLC控制器的扫描周期内实现无扰切换，转入单PLC控制器的容错控制模式，保证整个控制系统连续运行。

本实施例中，所述主控制器脱离控制系统后，备份控制器自动切换成为主控制器，执行对被控对象的输出控制，运行单PLC控制器的容错控制模式；并且

在每个PLC控制器扫描周期的初始阶段，均检测是否有新的备份控制器接入：如果有，则当前作为主控制器的PLC控制器转入同步无扰切换控制模式；否则，当前作为主控制器的PLC控制器通过所述诊断决策逻辑模块保证其输出通路连接的有效性，继续执行对被控对象的控制动作，维持系统的连续运行。

三、冗余PLC控制器的故障诊断与决策逻辑设计

本实施例中，基于混合逻辑策略，将不同时段和不同模块的监测、诊断结果进行综合处理，获得可靠的诊断结果，送入决策逻辑模块实施诊断决策，降低了单一诊断决策模块的设计难度和风险，从而保证整个控制运行的高可靠性。

本实施例中，所述主控制器的内部模块(如CPU等)故障诊断由主控制器自身的自诊断功能在扫描周期初始时段实现，诊断结果由I/O端口实时传输给备份控制器，备份控制器中的故障诊断程序模块将主控制器的自诊断结果与上一个扫描周期的控制输出信号，按照下述表1的故障诊断逻辑进行综合逻辑判断，诊断主控制器及其控制输出信号是否异常：

表1——故障诊断逻辑

如无异常，则认为主控制器无故障；否则，认为主控制器发生严重故障；

前述诊断结果再输入诊断决策逻辑模块，按照下述表2所示的故障决策逻辑再次进行融合判断：

表2——故障决策逻辑

如无异常，则认为主控制器无故障，其控制输出信号实际驱动执行机构或被控对象运行；否则，认为主控制器发生严重故障，由诊断决策逻辑模块的切换开关实时切断故障的主控制器的控制输出通路，并接通备份控制器的输出通道，使其作为主控制器以容错控制模式切入实际控制，接替故障的主控制器，从而维持系统正常连续运行。

下面结合图1、图2a-2e、图3a-3c所示，具体说明上述实施例的双冗余PLC控制系统可靠容错控制器的实现，其中对开关量双冗余PLC容错控制器的总体结构设计和软件程序流程图分别如附图1和附图2a-2e所示。

结合附图1，如前所述，第一PLC控制器、第二PLC控制器为规格、型号参数均相同的两套中小型PLC控制器，利用其构建互为热备份冗余的容错控制器，如前所述，可事先指定其中任意一个PLC为主控制器(记为PLC1)，另一个为备份控制器(记为PLC2)，从而它们在结构上具有对称性(如附图1所示)。

主控制器PLC1、备份控制器PLC2可分别从各自的输入端口I2同时接收来自被控对象的反馈信号以及其他输入信号。

主控制器PLC1的控制输出信号经端口D0，通过硬连线技术同时接入PLC2的输入端I0和诊断决策逻辑模块FDD1的输入端口FI4。这样，在备份控制器PLC2与诊断决策逻辑模块FDD1的监控下，只有当主控制器PLC1正常无故障时，其控制输出信号才能实际驱动对象运行。

主控制器PLC1的自诊断结果信息经其实时输出端口D2实时送出，由硬连线技术送入备份控制器PLC2的实时输入端口I1，用于备份控制器PLC2的故障诊断程序模块操作。同时，该信号也被送入诊断决策逻辑模块FDD1的输入口FI1，用于决策实际连接的控制输出通道。

备份控制器PLC2的故障诊断程序模块根据从输入口I0和I1送入的来自PLC1的自诊断结果及其控制输出信息，采用如附表1所示的诊断逻辑对主控制器PLC1进行故障诊断，诊断结果经实时输出口D3送给诊断决策逻辑模块FDD1的输入口FI3，进而驱动切换开关SW0动作，使其根据决策结果接通主控制器PLC1或备份控制器PLC2的控制输出通道，控制执行机构和对象动作。

表1备份PLC2对主PLC1的实时故障诊断逻辑表

在每个扫描周期的输出刷新阶段之前，备份PLC控制器PLC2的输出口D4给主控制器PLC1发出实时同步信号，主控制器PLC1的输入口I3接收该同步信号，经PLC1确认后即从输出口D1发出实时同步响应信号；同样，备份控制器PLC2的实时输入口I4接收到PLC1的同步响应信号后，主、备份控制器将同步输出刷新各自的控制输出信号，从而确保整个控制系统以PLC的扫描周期为基准，实现主、备控制器的协调同步运行。

诊断决策逻辑模块FDD1的输入口FI1、FI2、FI3分别连接主、备份PLC控制器自诊断结果的实时输出口D2、PLC2对PLC1故障诊断结果的实时输出口D3，诊断决策逻辑模块FDD1的输入口FI4和FI5分别连接主、备份PLC的控制输出信号，切换开关SW0根据决策结果用于接通FI4或FI5与输出口FO的通路。

在诊断决策逻辑模块FDD1内部首先对FI1～FI3这三个输入信号按照如附表2所示的逻辑进行实时综合判断，判断结果再驱动切换开关SW0动作，决定该扫描周期内应接通哪个PLC控制器的输出通道，以控制实际对象运行。

表2故障诊断决策逻辑模块(FDD1)中用于切换开关SW0的决策逻辑表

如图2a-2e所示的控制流程，其中备份控制器PLC2的自诊断结果经其D2口可实时送给PLC1，从而当PLC2自诊断结果为严重故障时，在PLC1中可实现对PLC2的容错控制(见附图2a)。备份控制器PLC2的双冗余可靠控制模式中的故障诊断程序模块按照如附表1所示的逻辑对主PLC1进行实时故障诊断操作，也保证了正常时主、备份PLC控制输出信号的一致性。主、备份PLC控制器的自诊断模块由PLC自带的自诊断功能实现，其结果用于自身的故障报警及故障处理操作，并通过对应的标识位数据经实时输出口D2，送给其他模块处理。两个PLC是否同时在线运行的信号由各PLC的上电复位信号产生，可经输入口I2送给对方控制器，并存储于控制器CPU模块的标志位数据区中。该状态标志可根据程序运行条件和操作工况改变。运行控制程序模块是正常的用于控制对象动作的程序段。最后，主、备份PLC不同的运行模式在标志数据存储区均有相应的状态标志数据指示，以便程序流程针对不同工况调用相应的控制模式程序段运行。

本发明中，诊断决策逻辑模块FDD1对输入FI1、FI2、FI3的三个诊断结果进行综合决策，其决策逻辑如附表2所示。决策输出OUT对切换开关SW0操作的接线原理如附图3c所示。当两个PLC控制器都发生严重故障时，三态门决策输出会使开关SW0置于高阻状态，在告警的同时，主、备份控制器的输出通路均断开，则执行机构和控制对象的应急安全自/互锁操作，保证整个系统的安全性。

本实施例的双冗余开关量PLC控制系统可靠容错控制器的实现方法中，优选采用硬连线技术实现接口连接，即第一PLC控制器、第二PLC控制器与诊断决策逻辑模块之间采用硬连线方式实现连接，一方面采用硬件隔离技术消除不同控制与决策逻辑模块之间的信号干扰，另一方面可实现不同逻辑电平信号间的无缝转换，保证信号传输的高可靠性。

本实施例采用硬连线技术(如图3a、3b、3c所示)实现主、备PLC控制器、诊断决策逻辑模块之间的信号传输及接口设计，在不增加设计复杂度的同时，提高了系统的可靠性。以PLC的晶体管类型I/O模块和TTL逻辑电路为实施例，附图3a-3c分别给出了相应技术实现的示例性示意图。其中附图3c中三态门逻辑输出为0时，驱动开关SW0连接主PLC1与负载的控制通路；为1时使SW0连接备份PLC2与负载的控制通路；为高阻态时表示主、备份PLC都发生严重故障，开关SW0不接通任何PLC控制回路，同时，该结果经驱动输出电路发出报警信号，以使对象执行应急安全操作。内部诊断TTL逻辑电路采用可靠的标准TTL逻辑器件设计，按照附表2所示逻辑表达式进行运算处理，决策结果送给三态门逻辑输出即可。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。