DE102015222010A1 - Unified Communications Modul (UCM) - Google Patents

Unified Communications Modul (UCM) Download PDF

Info

Publication number
DE102015222010A1
DE102015222010A1 DE102015222010.9A DE102015222010A DE102015222010A1 DE 102015222010 A1 DE102015222010 A1 DE 102015222010A1 DE 102015222010 A DE102015222010 A DE 102015222010A DE 102015222010 A1 DE102015222010 A1 DE 102015222010A1
Authority
DE
Germany
Prior art keywords
network
fault
security
tolerant
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015222010.9A
Other languages
English (en)
Inventor
John Carl Gabler
Michael Kieu
Peter P. Kral
Ajay P. Mishra
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schneider Electric Systems USA Inc
Original Assignee
Invensys Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Invensys Systems Inc filed Critical Invensys Systems Inc
Publication of DE102015222010A1 publication Critical patent/DE102015222010A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • G05B19/41855Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication by local area network [LAN], network structure
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31245Redundant bus, interbus, with two masters
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33273DCS distributed, decentralised controlsystem, multiprocessor
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

Ein fehlertolerantes Steuerungssystem liefert einen eingebetteten funktionalen Sicherheitskern und eine verteilte Steuerungs-Engine mit einer an Bord befindlichen Kommunikationsverbindung in einer industriellen Prozesssteuerungsumgebung. Das fehlertolerante Steuerungssystem enthält eine Prozesssteuerungsarbeitsstation, die mit einem ersten Netzwerk und einer fehlertoleranten Sicherheitssteuerung (254), die mit einem zweiten Netzwerk verbunden ist, verbunden ist, wobei ein Prozessorsteuerungsmodul, ein Sicherheitssteuerungsmodul und ein Feldgerätesystemintegrationsmodul auf einer Netzschnittstellenkarte gemeinsam angeordnet sind.

Description

  • HINTERGRUND
  • In einem Prozessleitsystem, wie z. B. einem verteilten Prozessleitystem (DCS), ermöglicht eine Fehlertoleranz die Fortsetzung des Betriebs im Falle, dass Komponenten in dem System ausfallen, oder im Falle, dass das System auf vorübergehende Fehler von verschiedenen Quellen stößt. Ein gemeinsamer Aspekt von Fehlertoleranzsystemen betrifft das Konzept der Redundanz, das einfach mit Ersatzkomponenten, die bei einem Ausfall in Betrieb gehen, so dass das System wie geplant weiterarbeiten kann, beschrieben werden kann. Ein Sicherheitssystem (SIS) ist im Stand der Technik dafür bekannt, den Betrieb in einem „sicheren Zustand“ fortzusetzen, um nachteilige Folgen für die Sicherheit und den Allgemeinzustand durch die Verwendung einer Fehlertoleranzsteuerung zu vermeiden. Solche Fehlertoleranzsteuerungen werden oft in Gefahrenschutzsystemen (d.h. in Systemen, die den Betrieb von Atomanlagen, Turbomaschinen, Feuer- und Gasmeldesysteme u. dgl. regeln) verwendet.
  • Die Steuerkomponenten von bekannten Fehlertoleranzsteuerungen setzen eine parallele Steuerung und eine umfangreiche Diagnostik ein, um einen ununterbrochenen Prozessbetrieb sicherzustellen. Ein Beispiel für eine Fehlertoleranzsteuerung ist die von Invensys Systems, Inc. verfügbare TRICON-Steuerung. Die TRICON-Steuerung hat eine dreifach-modular-redundante (TMR) Architektur, die drei getrennte parallele Steuersysteme und eine umfangreiche Diagnostik, die in ein System integriert sind, einsetzt. Das System setzt eine Zwei-Von-Drei-Auswahl ein, um einen fehlerfreien ununterbrochenen Prozessbetrieb hoher Integrität ohne einen einzigen Fehlerpunkt bereitzustellen. Fehlertolerante Steuerungen dieser Art sind außer mit verschiedenen anderen Komponenten auch mit Modulen des Prozessleitsystems verbunden, die Steuerungsfunktionen sowie Kommunikationsfunktionen haben.
  • Alle Verbesserungen, die das effiziente Zusammenwirken (in Bezug auf Protokollunterstützung, Anwendungen oder grafische Nutzerschnittstellennavigation des Systems) des SIS mit dem Prozessleitsystem erhöhen, während gleichzeitig die Sicherheitsfunktionalität bewahrt wird, sind äußerst wünschenswert. Verschiedene Verbesserungen, die sich darauf beziehen, die Anzahl von für die Implementierung einer Fehlertoleranzsteuerung notwendigen Hardware-Komponenten zu reduzieren sowie der Steuerung zu gestatten, sich wirksam mit dem Prozessleitsystem zu verbinden, hat man ohne vollständigen Erfolg zu haben probiert.
  • ZUSAMMENFASSUNG
  • Kurz gesagt, verschiedene Aspekte der vorliegenden Erfindung betreffen ein Unified Communications Modul (UCM), das einen eingebetteten Kern funktionaler Sicherheit und eine verteilte-Steuerung-Engine mit einer an Bord befindlichen Kommunikationsverbindung in einer Umgebung mit industrieller Prozesssteuerung liefert. Vorteilhafterweise ermöglichen verschiedene Aspekte der Erfindung Redundanz zwischen den Steuergeräten des Regelungs- oder Steuerungsabschnitts eines Prozessleitsystems, wie einem DCS, um ein vollständig ununterbrochenes, fehlertolerantes, redundantes, paarweise konfigurierbares Steuerungsnetzwerk zu schaffen. Außerdem gestatten verschiedene Aspekte der Erfindung das Integrieren eines Switch zwischen den Sicherheitskern und einen Feldgeräte-Systemintegrator (FDSI), der Daten von verschiedenen Feldgeräten wie Pumpen, Ventile und Durchflussmesser sammelt und die Daten an die DCS-Anwendungsschnittstelle kommuniziert. Dies ermöglicht es der Sicherheitsanwendung, Alias-Steuerungsdaten zu lesen und zu schreiben, während Änderungen an der Sicherheitssteuerung von Steuerungsnetzwerkquellen verhindert werden.
  • Ein Aspekt der vorliegenden Erfindung umfasst ein Fehlertoleranz-Steuerungssystem, wobei eine Prozessteuerung-Arbeitsstation mit einem ersten Netzwerk verbunden ist und eine Fehlertoleranz-Sicherheitssteuerung mit einem zweiten Netzwerk verbunden ist, wobei ein Prozesssteuerungsmodul, ein Sicherheitssteuerungsmodul und ein Feldgerätesystem-Integrationsmodul gemeinsam auf einer Stromschnittstellenkarte angeordnet sind.
  • Bei einem anderen Aspekt umfasst eine Kommunikationsschnittstelle für eine Fehlertoleranzsteuerung die Stromschnittstellenkarte mit einem Drei-Port-Switch, der konfiguriert ist, um das Sicherheitssteuerungsmodul und das Feldgerätesystem-Integrationsmodul zu verbinden, was dazu führt, dass die Kommunikationsschnittstelle als eine Steuerungsstation auf einem Regelungsnetzwerk erscheint.
  • Bei einem nochmals anderen Aspekt umfasst eine Fehlertoleranzsteuerung eine modifizierte Rückplatten-Schnittstelle, einen Hauptprozessor und eine Netzschnittstellenkarte. Die modifizierte Rückplatten-Schnittstelle ist konfiguriert, um redundante Netzschnittstellenkarten untereinander zu verbinden.
  • Diese Zusammenfassung wird gegeben, um eine Auswahl von Konzepten in vereinfachter Form vorzustellen, die unten in der Detaillierten Beschreibung näher beschrieben werden. Diese Zusammenfassung ist weder dafür bestimmt, Schlüsselmerkmale oder wesentliche Merkmale des beanspruchten Gegenstandes zu bezeichnen, noch ist sie dafür bestimmt, als Hilfe beim Bestimmen des Umfangs des beanspruchten Gegenstandes verwendet zu werden.
  • Andere Merkmale werden im Folgenden teilweise sichtbar und teilweise herausgestellt.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Schaubild, das ein UCM und verschiedene relevante Kommunikationsnetze, die durch das UCM verknüpft sind, gemäß einer Ausführungsform der Erfindung zeigt.
  • 2 ist ein Schaubild, das drei UCM-Komponenten gemäß einer Ausführungsform der Erfindung zeigt.
  • 3 ist ein Blockschaltbild der ersten von drei UCM-Komponenten gemäß einer Ausführungsform der Erfindung.
  • 4 ist ein Blockschaltbild der zweiten von drei UCM-Komponenten gemäß einer Ausführungsform der Erfindung.
  • 5 ist ein Blockschaltbild der dritten von drei UCM-Komponenten gemäß einer Ausführungsform der Erfindung.
  • 6 ist ein Blockschaltbild eines Ethernet-Switch und relevanter struktureller Komponenten in einer Ausführungsform der Erfindung.
  • 7 zeigt eine detaillierte Ansicht eines von dem UCM verwendeten Rückplatten-Steckplatzes gemäß einer Ausführungsform der Erfindung.
  • 8 ist ein Blockschaltbild, das ein funktionales Redundanzmerkmal des UCM gemäß einem Aspekt der Erfindung zeigt.
  • Sich entsprechende Bezugszeichen zeigen in allen Zeichnungen sich entsprechende Teile an.
  • DETAILLIERTE BESCHREIBUNG
  • Verschiedene Aspekte der Erfindung betreffen Hardware- und Software-Komponenten zum Gebrauch in Umgebungen mit verteilter Prozesssteuerung, insbesondere zum Integrieren der Funktionalität von Prozesssteuerung bezogener Hardware und Software. Ein verschiedene Aspekte der Erfindung verkörperndes UCM umfasst eine semi-fehlertolerante 3-zu-1 Schnittstelle zwischen seinen Kommunikations-Ports und den Hauptprozessoren (MPs) einer fehlertoleranten Steuerung.
  • In 1 ist eine verschiedene Aspekte der Erfindung verkörpernde fehlertolerante Steuerung global mit 210 bezeichnet. Wie ersichtlich befindet sich ein UCM 214 innerhalb eines Chassis 222 einer fehlertoleranten Steuerung. Bei einer Ausführungsform enthält die fehlertolerante Steuerung eine Vielzahl von UCMen 214, die unabhängig voneinander arbeiten und in der Lage sind, eine wahre Steuerungsnetzwerkredundanz zu liefern, wie unten näher beschrieben werden wird. Drei separate Module sind innerhalb des UCMs 214 gezeigt, die, neben anderen Vorteilen, die körperliche und funktionelle Trennung von mindestens zwei einzelnen Netzen liefern. Ein Steuerungsprozessor 226 ist das erste, für das UCM relevante Modul. Der Steuerungsprozessor 226 liefert eine regulative, logische, zeitgesteuerte und sequenzielle Steuerung durch ein vermaschtes Netzwerk 230, das das regulative Netzwerk ist, welches den Steuerungsprozessor 226 von jedem UCM mit einer Arbeitsstation 234, die Prozesssteuerung-Automationssoftware ausführt, verbindet. Außerdem ist bei einer Ausführungsform das vermaschte Netzwerk 230 mit einem Steuerungsprozessor verbunden, der dann zum Beispiel über einen parallelen Eingang/Ausgang(PIO)-Bus 242 mit einem Feldbusmodul 246 des Prozessleitsystems verbunden ist. Bei einer Ausführungsform ist ein geeigneter Steuerungsprozessor 226 ein Steuerungsprozessor CP270, der von Invensys Systems, Inc. verfügbar ist.
  • Wie ferner aus 1 ersichtlich ist, sammelt ein FDSI 250 Daten von verschiedenen Feldgeräten wie Pumpen, Ventilen und Durchflussmessern und kommuniziert die gesammelten Daten an das vermaschte Netzwerk 230. Ein Beispiel für einen FDSI 250 ist ein Feldgeräte-System-Integrator-Modul FBM233, das von Invensys Systems, Inc. verfügbar ist. Außerdem gestatten ein oder mehrere Sicherheitsmodule 254, die in die Fehlertoleranzsteuerung 210 eingebettet sind, die flexible Kommunikation zwischen Sicherheitssystemen, die den zuvor erwähnten „sicheren Zustand“ implementieren, und den verteilten Steuerungssystemen bei einer Ausführungsform. Zum Beispiel wird das Sicherheitsmodul 254 durch ein Kommunikationsmodul TRICON (TCM) verkörpert. Die Sicherheitsmodule 254 sind durch ein als „Net1“ 258 bezeichnetes Sicherheitskonfigurationsnetz untereinander verbunden, das mehrere fehlertolerante Steuerungen miteinander verbindet. Außerdem ist eine Sicherheitsarbeitsstation 262 mit dem Net1 258 verbunden.
  • Ferner verbindet ein Drei-Port-Switch 264, wie z. B. ein Ethernet-Switch, das Sicherheitsmodul 254, FDSI 250 und ein drittes, als „Net2“ 268 bezeichnetes Netzwerk miteinander. Bei dieser Ausführungsform gehen Kommunikationssignale durch den Prozessor des FDSI 250, bevor sie den Steuerungsprozessor 226 erreichen. Die Kommunikationssignale müssen getrennt durch verschiedene Komponenten innerhalb des Chassis 222 gehen, bevor sie die Sicherheitsgeräte erreichen, die wirksam mit der Fehlertoleranzsteuerung 210 verbunden sind, die, neben anderen Komponenten, mindestens einen Hauptprozessor 272, der wirksam mit dem Sicherheitsmodul 254 verbunden ist, und mindestens eine Eingabe/Ausgabe(I/O)-Karte 276 einschließt.
  • Das an dem Drei-Port-Switch 264 verwendete Kommunikationsprotokoll umfasst ein gemeinsames Protokoll, das in der Lage ist, Kommunikationen sowohl an den FDSI 250 als auch an das Sicherheitsmodul 254 zu schicken. Ein Beispiel für ein Protokoll, das an dem Drei-Port-Switch 264 verwendet wird, um durch das Net2 268 hindurch zu kommunizieren, umfasst ein Protokoll, wie die TRICONEX Systemzugangsanwendung (TSAA), das die Client/Server-Kommunikation zwischen Sicherheitssteuerungen und Personal-Computern ermöglicht. Zwei beispielhafte Client/Server-Programme, die ein TSAA-Protokoll nutzen, um Daten mit fehlertoleranten Sicherheitssteuerungen austauschen, enthalten OPC-Server und DDE-Server. Das TSAA-Protokoll kann auch dazu verwendet werden, um andere Programme zum Beeinflussen von Zugangspunkten in SISen für Anwendungen des Sicherheitsintegritätslevels (SIL) 3 oder SIL 2. Das TSAA-Protokoll ist von dem von den DCS-Komponenten auf dem vermaschten Netzwerk 230 verwendeten Protokoll verschieden. Die Integration des Drei-Port-Switch 264 in das UCM 214 erlaubt es dem SIS, Alias-Steuerungsdaten zu lesen und zu schreiben, während Schreibschutz aufrecht erhalten wird, um alle Änderungen an einer Sicherheitssteuerung auszuschließen, die von Quellen in dem Prozessleitsystem herrühren, dass unter Verwendung des vermaschten Netzwerkes 230 in einer Ausführungsform kommuniziert. Diese duale Funktionalität ermöglicht eine sichere Kommunikation über den Drei-Port-Switch 264, während eine klare Trennung zwischen der im vermaschten Netzwerk 230 stattfindenden Kommunikation im Gegensatz zu der, die im Net1 258 stattfindet, aufrechterhalten wird.
  • Das UCM 214 ist ein Schnittstellenmodul eines verteilten Steuerungssystems, das in der Lage ist, neben anderen Vorteilen, die folgenden zusätzlichen Kommunikationsmerkmale dem fehlertoleranten Sicherheitssystem zu geben:
    • • Einzelner oder redundanter Modulbetrieb,
    • • Ein logischer Slot oder zwei physische Slots von UCMen in dem System (SLOT 2-COM-Slot). Modul-Keying soll mit dem TRICON-Standard von Modul-Keying übereinstimmen,
    • • Zwei optisch getrennte RS-232/RS-485 serielle Ports pro UCM, mit Firmware, die von TMR TRISTATION für Modbus, GPS usw. konfigurierbar ist,
    • • Zwei 10/100 Basis-Faser-Netzwerk-Ports sind pro UCM verfügbar; insbesondere sind zwei faseroptik-artige Ethernet-Ports mit zwei LC-Verbindern und 2 faseroptik-artige Ethernet-Ports mit MT-RJ-Verbindern verfügbar, was zu Netzwerkverbindungen auf dem UCM mit Faseroptikverbindungen führt,
    • • Alle Ports können eine 500VDC galvanische Trennung von TRICON Logik-Erdung (FE) bereitstellen,
    • • TCP/IP/TSAA-Netzwerkprotokolle, die an beiden Netzwerk-Ports für TRISTATION, SOE, TRILOG, HP-Drucker, WONDERWARE HMI und andere DDE kompatible Anwendungen unterstützt werden,
    • • V9 Peer-zu-Peer- und V9 Zeit-Synchronisationsprotokolle, die an Netzwerk-Ports unterstützt werden,
    • • Optionale globale Zeit-Synchronisationsempfänger-Schnittstelle, die Modbus-Port eins verwendet,
    • • TMR COMM-Bus, der aus drei 2Mb HDLC RS485-Kommunikationskanälen besteht, wobei einer für jeden TRICON Hauptprozessor(MP)-Schenkel ist,
    • • UCM-Entwicklungsports: Ein optisch getrennter RS-232 Debug-Port und eine JTAG-Verbindung pro UCM,
    • • Basierend auf MOTOROLA MPC8270 QUICC.
  • In geeigneten Ausführungsformen können verschiedene Protokolle in verschiedenen Netzen des UCM, die Net1 258 sowie Net2 268 einschließen, implementiert werden. Bezüglich Anwendungsprotokollen schließen geeignete Protokolle TCP/IP für Netzwerk verbundene TCP/IP-Drucker und Modbus-Haupt- oder Nebenkommunikationen ein. Es ist auch ein simples Netzwerk-Zeit-Protokoll (SNTP) verfügbar. Ferner, in Bezug auf ein UDP/IP-Protokoll enthalten Anwendungsprotokolle TRICONEX Zeit-Synchronisation, TSAA Client/Server-Kommunikation mit IP Multicast, und TRICONEX Peer-zu-Peer. Und TRISTATION und TSAA Client/Server Kommunikation sind verfügbar. In Bezug auf Netzwerkprotokolle, die auf Net1 258 und Net2 268 verfügbar sind, sind TCP/IP, SNTP, UDP/IP und ein Internet-Steuerungsnachrichtenprotokoll (ICMP) verfügbar.
  • Vorteilhafterweise unterstützt die Fehlertoleranzsteuerung 210, die das UCM 214 einschließt, Ereignissequenz(SOE)-Daten, die sich von Echtzeit-Daten darin unterscheiden, dass die Daten von der Fehlertoleranzsteuerung 210 gesichert und gepuffert werden, um ihren Zeitstempel und die Reihenfolge ihres Auftretens zu bewahren. Dies ist eine Verbesserung gegenüber dem weiterentwickelten Kommunikationsmodul (ACM), das es der TRICON-Steuerung besser ermöglichte, sich mit dem DCS zu verbinden. Obwohl das ACM die Integration zwischen Sicherheit und Prozesssteuerung verbesserte, bereitete es Probleme hinsichtlich Redundanz, Geschwindigkeit, und Systemkonfiguration, die von der Fehlertoleranzsteuerung 210 gelöst wurden. Außerdem erforderte das ACM die Verwendung von zusätzlicher Hardware und unterstützte eine Anzahl von wünschenswerten Merkmalen nicht.
  • Bei einer Ausführungsform weist das UCM 214 den Steuerungsprozessor 226 auf, der zu einem regulatorischen Steuerungsprozessor, der außerhalb des Sicherheitssystems ist, nahezu identisch ist. Der Steuerungsprozessor 226 im UCM 214 enthält zusätzliche Merkmale wie zum Beispiel eine aufwertbare Steuerungssoftware und das 100 Basis FX Faser Ethernet. Auch ermöglicht die Verwendung des dargestellten Steuerungsprozessors 226 die Hinzufügung von Hardware und Anwendungssoftware zum DCS und System-Management-Werkzeugen zum Unterstützen des UCM 214. Die Verwendung dieses Steuerungsprozessors 226 führt zu einer holistischen Darbietung von Informationen von den SIS-Systemen an das DCS, einschließlich SOE- und SIS-zeitgestempelte Daten, Systemallgemeinzustand, Ausrüstungsallgemeinzustand und andere Informationen. Auch das regulatorische Steuerungsadressieren, wie die MAC-Adresse und die SLOT ID kann konfiguriert und eingestellt werden als wäre es in einem regulatorischen Steuerungsprozessor, der außerhalb des Sicherheitssystems ist, sowie in dem FDSI 250 eingestellt.
  • Außerdem kann Steuerungshardware mit Änderungen aufgerüstet werden, ohne die Sicherheitsfunktionalität zu beeinträchtigen. Ferner kann das Steuerungsnetzwerk online hinzugefügt werden, ohne die Hinzufügung von Hardware oder Software, eine Verbesserung, die durch Berücksichtigen des Formfaktor, der Wärmeableitung, der Stromsequenzen und der Verlustleistung erreicht wurde.
  • Die Fehlertoleranzsteuerung 210 liefert auch Vorteile gegenüber Alternativen des ACMs. Zum Beispiel können das Konfigurieren eines Steuerungsprozessors (der eine regulatorische, logische, zeitgesteuerte und sequenzielle Steuerung liefert) mit einem FDSI, und das Einschließen von Sicherheitsmodulen, die in dem Chassis einer fehlertoleranten Steuerung platziert sind, ebenfalls nicht die Vorteile der Aspekte der Erfindung verkörpernden fehlertoleranten Steuerung 210, die das UCM 214 einschließt, erbringen. Der Steuerungsprozessor 226 und der FDSI 250 sind mit der fehlertoleranten Steuerung 210 durch Kabel verbunden. Für Redundanz kann auf andere Arten gesorgt werden, wie z. B. durch Bereitstellen eines zusätzlichen Steuerungsprozessors und FDSIs außerhalb des Chassis, oder Platzieren eines zusätzlichen Steuerungsprozessors und eines zusätzlichen FDSIs auf eine einzelne Grundplatte. Aber bei dieser Ausführungsform sind die Kabel von den redundanten Komponenten mit den TSAA-Ports verbunden, was von dem Verbraucher verlangt, dass er für die zusätzlichen Ports bezahlt, die notwendig sind, um die alternative Konfiguration zu implementieren, und die notwendige Installationszeit erhöht.
  • Verschiedene Aspekte der Erfindung ersetzen das ACM und die herkömmliche alternative Konfiguration und stellen bedeutende Fortschritte in Bezug auf das Integrieren der SIS/DCS-Verbindung dar, wie z. B. das Ermöglichen von Redundanz zwischen Steuerungen des regulatorischen oder steuernden Teiles eines Prozessleitsystems, wie z. B. des DCS, um ein vollständig ununterbrochenes, fehlertolerantes, redundantes, paarweise konfigurierbares Steuerungsnetzwerk zu schaffen. Außerdem gestatten verschiedene Aspekte der Erfindung das Integrieren eines Switch zwischen dem Sicherheitskern und einem Feldgerätesystem-Integrator (FDSI), der Daten von verschiedenen Feldgeräten wie Pumpen, Ventilen und Durchflussmessern sammelt und die Daten an die DCS-Anwendungs-Schnittstelle kommuniziert. Dies ermöglicht es der Sicherheitsanwendung, Alias-Steuerungsdaten zu lesen und zu schreiben, während Änderungen an der Sicherheitssteuerung von Steuerungsnetzwerkquellen verhindert werden. Außerdem gestattet eine Aspekte der Erfindung verkörpernde fehlertolerante Steuerung die Hinzufügung von serieller Ports zu der Rückplatte, um die dichten UCM-Modul-Vorderplatten-Schnittstellenverbindungen zu ergänzen, und die Hinzufügung eines Ethernet-Switch zum Verbinden mit dem Sicherheitsnetzwerk. Auch ist die Rückplatte vorzugsweise maßgeschneidert, um zusätzliche Steuerungsnetzwerksignale, einschließlich spezielle Slots für das UCM 214 unterzubringen.
  • Ferner werden vermaschte Netzwerk-Ethernet-Verbindungen der UCM-Modul-Vorderplatte hinzugefügt, was eine rationelle Vorderplatten-Verbindung zwischen der vermaschten Netzwerkhardware und -software und den MP-Modulen schafft, nachdem Faktoren wie Formfaktor, Wärmeableitung, Stromsequenzierung und Verlustleistung berücksichtigt wurden.
  • 2 zeigt ein Blockschaltbild der drei Komponenten des UCMs 214 zusammen mit anderen Verbindungen zu verschiedenen Modulen und zu verschiedenen Netzwerken bei einer Ausführungsform der vorliegenden Erfindung. Der Steuerungsprozessor 226, der auch als I/A Engine bezeichnet wird, ist eine verteilte, optional fehlertolerante, feldmontierte Steuerung, die Prozesssteuerungs- und Warnfunktionen entsprechend einer benutzerdefinierten Steuerungsstrategie ausführt. Die Softwaresystemgestaltung wird von einer Software für ein verteiltes Steuerungssystem, wie z. B. der FOXBORO EVO oder FOXBORO I/A SERIE, die von Invensys Systems, Inc. verfügbar ist, betrieben. Der FDSI 250 integriert Sicherheitsgeräte, wie z. B. die TRICON- und TRIDENT-Geräte, wobei das TSAA-Protokoll in ein I/A SERIE-System verwendet wird. Wie oben, wird die Software-Gestaltung von einer Software für ein verteiltes Steuerungssystem, wie z. B. der FOXBORO EVO oder FOXBORO I/A SERIE, die von Invensys System, Inc. verfügbar ist, betrieben. Das Sicherheitsmodul 254, das auch als Safety Interface Engine (SIE) bekannt ist, wird von einem modifizierten TCOM verkörpert und ist die Hauptsteuerungskarte des Moduls. Das Sicherheitsmodul 254 ist die Schnittstelle zu dem SIS (das auch als TRICON Sicherheitssystem bezeichnet wird) und ist für den Allgemeinzustand und den Status des gesamten Moduls und der Diagnostik verantwortlich und diktiert das gesamte Hochfahren des Systems (einschließlich wenn die Steuerungsgeräte online kommen).
  • Wie weiter aus 2 ersichtlich ist, werden verschiedene Verknüpfungsfähigkeiten der Komponenten des UCMs 214 durch verschiedene Verbindungstypen bereitgestellt, die die Anzeige von Statusmeldungen und die Konnektivität gemäß verschiedenen Aspekten der Erfindung ermöglichen. Neben anderen Verknüpfungsfähigkeiten sind die Vorderplattenschnittstellen 125 des Sicherheitsmoduls 254, wie z. B. jene, die als Debug-Port, Net1 und Net2, bezeichnet sind, mit einer Vorderplatte 130 des Chassis 222 verknüpft. Zum Beispiel hat der Debug-Port eine 2KV-Trennung, die von dem Sicherheitsmodul 254 implementiert wird. Die Debug-Port-Trennung wird über einen Transformator erreicht, während Datensignale durch Opto-Koppler gehen. Außerdem wird das Verknüpfen teilweise durch einen Drei-Port-Switch 264 gemacht, der unten näher dahin gehend beschrieben wird, dass er in der Lage ist, eine strukturelle und funktionelle Trennung zwischen verschiedenen Netzwerken herbeizuführen. Die Rückwand-Schnittstellen 140 des Sicherheitsmoduls 254, wie z. B. jene, die mit COMBUS A, COMBUS B, COMBUS C, Redundanz-Verbindung, Serial 1 und Serial 2 bezeichnet sind, liefern eine existierende Schnittstelle über die Rückwand des Chassis 222, die eine Rückplatte 145 umfasst.
  • Es wird immer noch auf 2 Bezug genommen. Der FDSI 250 umfasst ferner Vorderwand-Schnittstellen 150, wie z. B. die Schnittstellen, die Status LEDs anzeigen, und Schnittstellen zu dem Drei-Port-Switch 254, sowie Hinterwand-Schnittstellen 160, wie z. B. eine Verbindung zu einem redundanten Modul über neue Schnittstellen. Ferner umfasst der Steuerungsprozessor 226 weiterhin Vorderwand-Schnittstellen 165, wie z.B. Status-LEDs und jene, die mit matrix A, matrix B, IR und time sync bezeichnet sind, sowie Rückwand-Schnittstellen 170 zu der Rückplatte 145, wie z. B. eine Verbindung zu einem redundanten Modul über neue Schnittstellen. Schließlich sorgt das Verbinden über PIO-Verbindungen 180 und PIO-Verbindungen 175 für das Verbinden zwischen dem Steuerungsprozessor 226 und dem FDSI 250; sowie zwischen beiden Modulen und der Rückplatte 145.
  • 3 zeigt ein Blockschaltbild der ersten von drei UCM-Komponenten, nämlich Sicherheitsmodul 254, bei einer Ausführungsform der Erfindung. Ein erster „Haupt“-Mikroprozessor 310, der hier als MPC8270 dargestellt ist, führt hochrangige Protokollfunktionen aus. Ein zweiter „Neben“-Mikroprozessor 315, der hier auch als MPC8270 dargestellt ist, führt COMBUS-Kommunikationsfunktionen aus. Zu anderen Komponenten gehören Komponenten, die den Neben-Mikroprozessor 315 betreuen, einschließlich mindestens einen Gatekeeper-Komplex-programmierbarer-Logikbaustein (CPLD) 320 und einer Hotspare-Verbindung 325. Weitere Komponenten und Verbindungen werden ins Auge gefasst, wie z. B. SD-RAM-Bausteine 330, Bulk-Flash 335 und Flash-Speicher-Komponenten 340, EEPROM-Komponenten 345, 60x Bus 350 und 60x gepufferter Bus 355-Verbindungen und serielle Schnittstellen einschließlich einer Seriell-1-Schnittstelle 360 sowie einer Seriell-2-Schnittstelle 365.
  • 4 ist ein Blockschaltbild der zweiten der drei UCM-Komponenten, nämlich FDSI 250, bei einer Ausführungsform der vorliegenden Erfindung. Der FDSI 250 ist mit verschiedenen relevanten Schnittstellenverbindungen gezeigt. Um zwei Leiterplattenanordnungen (PCBAs) in dem UCM 214 unterzubringen, werden die PCBAs zusammengeführt, um eine einzelne PCBA zu bilden. Physische Schichten, Transceiver und Statusanzeiger, also Komponenten, die zuvor auf einem FDSI untergebracht waren, sind auf einer UCM-Netzschnittstellenkarte (PIB). Wie näher erläutert werden wird, ist das Net2 268 über einen LXT 971 Transceiver 420 und einem Ethernet-Switch 425, der den Drei-Port-Switch 264 verkörpert, mit dem FDSI 250 verbunden und stellt, neben anderen Funktionen, die Fähigkeit bereit, physisch und funktionell verschiedene Netzwerke zwischen dem vermaschten Netzwerk 230 und Net1 258 aufrecht zu erhalten.
  • 5 ist ein Blockschaltbild der dritten der drei UCM-Komponenten, nämlich ein Steuerungsprozessor 226, bei einer Ausführungsform der Erfindung. Bei einer Ausführungsform ist der Steuerungsprozessor 226 mit verschiedenen Komponenten und Anzeigen, wie den Statuslicht-Anzeigen über verschiedene Rückwand-Schnittstellenverbindungen 515 sowie verschiedene Vorderwand-Schnittstellenverbindungen 520 verbunden. Bei einer Ausführungsform ist der Steuerungsprozessor 226 mit Modulen wie dem FDSI 250 über FDSI-Schnittstellenverbindungen 525 verbunden. Bei einer Ausführungsform wird das Verbinden durch eine erste LXT971 basierte Ethernet physische Schicht (PHY) 530 und eine zweite LXT971 basierte Ethernet PHY 535 sowie durch einen IR Encoder/Decoder 540.
  • 6 ist ein Blockschaltbild des Ethernet-Switch 425 und relevanter struktureller Komponenten bei einer Ausführungsform der vorliegenden Erfindung. Der Ethernet-Switch 425, z. B. ein 88E6060 Ethernet-Switch, wird in der UCM-PIB verwendet, um zwischen einer FDSI-Karte 615 (z. B. einer Steuerungskarte des FDSIs 250) und einer Sicherheitsteuerungskarte 620 (z. B. einer Steuerungskarte des Sicherheitsmoduls 254) zu kommunizieren, während die funktionale und physische Trennung zwischen dem vermaschten Netzwerk 230 und dem Net1 258 aufrecht erhalten wird. Die Transformer 625 und 630 stellen Verbindungen zwischen der FDSI-Karte 615 und dem Ethernet-Switch 610 bereit. Eine MII-Verbindung 635 zwischen dem Ethernet-Switch 425 und einer ersten MTRJ-Verbindung 640 über einen ersten LXT971A-Transceiver 645 sorgt u.a. für eine Verbindung zu einem externen Netzwerk Net2 268. Eine MII2-Verbindung 655 zwischen dem Ethernet-Switch 610 und der Sicherheitssteuerungskarte 620 kommuniziert über eine MII1-Verbindung 660 mit einem zweiten LXT971A-Transceiver 665, der wiederum über eine zweite MTRJ-Verbindung 670 kommuniziert, die u.a. für eine Verbindung zu dem Net1 258 sorgt, das auch ein SIS-Netzwerk bei einer Ausführungsform umfasst.
  • Immer noch mit Bezug auf 6 versteht sich, dass bei einer Ausführungsform, wenn Kommunikationssignale vom Net2 268 zu der FDSI-Karte 615 über die Transformer 625 und 630 geleitet werden, die Signale durch mindestens einen ersten Prozessor, der auf der FDSI-Karte 615 angeordnet ist, gesendet werden müssen. Es versteht sich, dass bei einer Ausführungsform, wenn Kommunikationssignale vom Net2 268 zu der Sicherheitssteuerungskarte 620 über die MII2 655 geleitet werden, die Signale durch mindestens einen zweiten Prozessor gesendet werden müssen, der auf der Sicherheitssteuerungskarte 620 angeordnet ist. Bei einer Ausführungsform versteht sich, dass die durch den auf der FDSI-Karte 615 angeordneten, ersten Prozessor hindurch gesendeten Signale schließlich zu Bauelementen im vermaschten Netzwerk 230 gesendet werden. Bei einer Ausführungsform versteht sich, dass die durch den auf der Sicherheitssteuerungskarte 620 angeordneten, zweiten Prozessor hindurch gesendeten Signale schließlich zu Bauelementen in dem SIS-Netzwerk gesendet werden.
  • In 6 versteht sich, dass der Ethernet-Switch während der Initialisierung konfiguriert wird, um Daten vom Net2 268 dagegen abzuschirmen, dass sie die Transformer 625 und 630 erreichen. Diese Abschirmung wird durch Konfigurieren des Ethernet-Switch 425 unter Verwendung von Software während der Initialisierung erreicht. Es versteht sich, dass VLAN an dem Ethernet-Switch 425 implementiert wird, um die Kommunikation mit der FDSI-Karte 615 zu steuern. Wie in der Technik allgemein bekannt ist, ist VLAN ein programmierbarer Weg, um einen bestimmten Kommunikationsweg in einem Multi-Port-Switch „fest zu verdrahten“, um zu verhindern, dass Pakete an jeden Port gesendet werden, und liefert zusätzliche Sicherheits- und Datenerfassungsfunktionen.
  • Das Konfigurieren des Ethernet-Switch 425 als VLAN-Ausführung verhindert, dass irgendwelche irrelevante Nachrichten vom vermaschten Netzwerk 230 die Sicherheitssteuerungskarte 620 durch die FDSI-Karte 615 erreichen. Zu den durch die Eliminierung dieser irrelevanten Nachrichten erzielten Vorteilen gehört die Bereitstellung der TÜV-Zertifizierung für Steuerungsprozessorkomponenten, was nicht der Fall ist, wenn sie außerhalb des Chassis 222 der fehlertoleranten Steuerung 210 sind. Wie in der Technik allgemein bekannt ist, verlangt eine TÜV-Zertifizierung von einem Kunden, dass er zeigt, dass u.a. das Sicherheitssystem nicht durch externe Schnittstellen gestört wird, indem rigorose Zeitvorgaben für bestimmte Anwendungen eingehalten werden. Beispielsweise gibt es für das Management von Brennern eine vorgegebene zeitliche Grenze (z. B. in Millisekunden), innerhalb der das Sicherheitsmodul 254 einer Sicherheitssteuerung die Gaszufuhrleitung schließt, wenn ein Erlöschen der Flamme eingetreten ist. Um zu garantieren, dass die Zufuhrleitung innerhalb der vorgegebenen zeitlichen Grenze geschlossen wird, darf keine externe Schnittstelle des Hauptprozessors 272, die wirksam mit dem Sicherheitsmodul 254 verbunden ist, stören. Die TÜV-Zertifizierung kann jetzt auf Komponenten angewendet werden, die früher außerhalb der fehlertoleranten Steuerung 210 waren, weil Kommunikationen des vermaschten Netzwerks 230 innerhalb des UCMs zertifiziert sind, um Kommunikationen zu der SIS-Schnittstelle, dem Sicherheitsmodul 254, nicht zu stören.
  • Es versteht sich, dass die Konfiguration des UCMs 214 eine äußere Störung auf verschiedene Arten verhindert. Es versteht sich, dass das Neuarrangieren von Ausrüstungsteilen durch Integrieren des Sicherheitsmoduls 254, des FDSIs 250 und des Steuerungsprozessors 250 eine äußere Störung durch Verhinderung des Zugangs zu den inneren Karten verhindert. Es versteht sich, dass der Ethernet-Switch 425 durch innere Konfigurationslogik konfiguriert ist, die durch äußere Störungen nicht verstellt werden kann. Ein weiterer Vorteil der inneren Konfigurationslogik ist die Ausschaltung eines menschlichen Fehlers, der ein VLAN einrichtet, das kompliziert sein kann und Netzwerk-Expertise erfordert. Das Konfigurieren eines VLANs zwischen dem Sicherheitsmodul 254 und dem FDSI 250 sowie zwischen dem Sicherheitsmodul 254 und einem PHY-Transceiver 645 führt zu ähnlichen Vorteilen wie diejenige, die durch die Implementierung einer Firewall realisiert werden, wie z. B. erhöhter Datenschutz, Kommunikationssicherheit, Verringerung von Kommunikationsstörungen zwischen dem Sicherheitsmodul 254, dem FDSI 250 und dem Steuerungsprozessor 226, und Datenintegrität.
  • Genauer ausgedrückt versteht es sich, dass das VLAN die Datenintegrität dadurch verbessert, indem es den Ersatz der Verkabelung zwischen dem Net2 268-Port und den FDSI 250-Ports durch eine kürzere Verbindung, die auf einer Leiterplatte ausgeführt ist, gestattet. Es versteht sich, dass der Ethernet-Switch 425 über einen Computer konfigurierbar ist. Und es versteht sich, dass die Ports an dem Ethernet-Switch 425 während der Initialisierung durch Software konfigurierbar ist, so dass das DCS mittels der FDSI-Karte 615 durch von dem Net2 268 ankommende Daten abgeschirmt ist und dass nur das SIE mittels der Sicherheitssteuerungskarte 620 die ankommenden Daten empfängt.
  • 8 zeigt redundante UCMe 214 in eingebauter Form in dem Chassis 222 gemäß einer Ausführungsform der vorliegenden Erfindung. Die Rückplatte 145 enthält einen seriellen Port 810, der mit einem seriellen Kabel 815 verbunden ist. Ein vermaschtes Netzwerk-Faserkabel 820 von dem UCM 214 kommuniziert mit dem vermaschten Netzwerk 230 über einen vermaschten Splitter/Combiner 825 und vermaschten Faserkabeln 825 z. B. zu der Arbeitsstation 234 des Prozessleitsystems. Bei einer Ausführungsform sind ein erstes UCM 830 (z. B. UCM 214) und ein zweites UCM 835 (z. B. UCM 214) in eine redundante Konfiguration im SLOT 2 des Chassis 222 eingebaut. Außerdem sind redundante Stromzuführungen 840, ein erster von drei Hauptprozessoren 845, die in einer dreifach redundanten Konfiguration eingebaut sind, und eine Sicherheitssteuerung 254 (oder SIE) in das Chassis 222 bei einer Ausführungsform eingebaut.
  • 7 zeigt eine detaillierte Ansicht des von dem UCM genutzten Rückplatten-Steckplatzes gemäß einer Ausführungsform der vorliegenden Erfindung. Genauer ausgedrückt sind die J42 und J47 Rückplattenverbindungen, die global mit 705 bezeichnet sind, in Tabelle A genauer dargestellt und beschrieben, die die relevanten Verbindungen durch die PIN-Nummer näher beschreibt. Bei einer Ausführungsform sind eine linksseitige Reihe von Steuerungsprozessor-Vernetzungsbus-Verbindungen 710, die mit einem in einem ersten redundanten UCM (z. B. UCM 214) untergebrachten ersten Steuerungsprozessormodul über eine maßgeschneiderte Rückplatte mit einer rechtsseitigen Reihe von Steuerungsprozessor-Vernetzungsbus-Verbindungen 715 vernetzt, die mit einem in einem zweiten redundanten UCM (z. B. UCM 214) untergebrachten zweiten Steuerungsprozessormodul verbunden sind. Bei einer Ausführungsform sind eine linksseitige Reihe von Feldbusmodul-Vernetzungsbus-Verbindungen 720, die mit einem in einem ersten redundanten UCM (z. B. UCM 214) untergebrachten ersten FDSI-Modul verbunden sind, über eine maßgeschneiderte Rückplatte mit einer rechtsseitigen Reihe von Feldbusmodul-Vernetzungsbus-
  • Verbindungen 725 vernetzt, die mit einem in einem zweiten redundanten UCM (z. B. UCM 214) untergebrachten zweiten FDSI-Modul verbunden sind.
  • 8 zeigt ein global mit 805 bezeichnetes Blockschaltbild, das die Funktionalität des Redundanzmerkmals des UCMs 214 gemäß einem Aspekt der Erfindung darstellt. Ein linksseitiges UCM 810 (z. B. UCM 214) weist ferner einen ersten Steuerungsprozessor 815 (z. B. Steuerungsprozessor 226), einen ersten FDSI 820 (z. B. FDSI 250) und eine erste Sicherheitssteuerung 825 (z. B. Sicherheitsmodul 254) auf. Ein rechtsseitiges UCM 830 (z. B. UCM 214) umfasst einen zweiten Steuerungsprozessor 835 (z. B. Steuerungsprozessor 226), einen zweiten FDSI 840 (z. B. FDSI 250) und eine zweite Sicherheitssteuerung 845 (z. B. Sicherheitsmodul 254). Der erste Steuerungsprozessor 815 und der zweite Steuerungsprozessor 835 sind durch einen ersten Vernetzungsbus 850 verbunden. Der erste FDSI 820 und der zweite FDSI 840 sind durch einen zweiten Vernetzungsbus 850 verbunden. Bei einer Ausführungsform sind der erste Vernetzungsbus 850 und der zweite Vernetzungsbus 855 konfiguriert, um unter Verwendung der maßgeschneiderten Rückplatte wie mit Bezug auf 7 und Tabelle A beschrieben zu kommunizieren. Nur für Demonstrationszwecke ist davon auszugehen, dass wenn eine UCM-Komponente ausfällt, wie z. B. der erste FDSI 820 des linksseitigen UCMs 810, erfolgt eine Umschaltung auf ein redundantes Modul, wie z. B. der zweite FDSI 840 des rechtsseitigen UCMs 830, was durch die maßgeschneiderte Rückplattenverbindung über den ersten Vernetzungsbus 50 ermöglicht wird. Zur gleichen Zeit informiert eine Nachricht eine Bedienungsperson, dass der erste FDSI 820 ersetzt werden muss. Die Bedienungsperson kann das ausgefallene Modul physisch schnell entfernen oder eine Umschaltung von dem Modul auf das redundante Modul durch den Gebrauch der Prozessmanagementsoftware für das verteilte Prozessleitsystem (DCS) erzwingen. Im Zeitpunkt der Entfernung schaltet die verbleibende Komponente, z. B. der erste Steuerungsprozessor 815, ebenfalls auf die redundante Komponente um.
  • Redundante UCMe 214 sind in das Chassis 222 gemäß einer Ausführungsform der vorliegenden Erfindung eingebaut. Die Rückplatte 145 enthält serielle Ports, die mit seriellen Kabeln verbunden sind. Bei einer Ausführungsform enthält die Rückplatte 145 serielle Ports, die den redundanten UCMen 214 gewidmet sind. Vermaschte Netzwerk-Faserkabel von den redundanten UCMen 214 kommunizieren mit dem vemaschten Netzwerk 230 über einen vermaschten Splitter/Combiner und vermaschte Netzfaserkabel z. B. zu der Arbeitsstation 234 des Prozessleitsystems. Bei einer Ausführungsform sind ein erstes UCM (z. B. UCM 214) und ein zweites UCM (z. B. UCM 214) in einer redundanten Konfiguration in SLOT 2 des Chassis 222 eingebaut. Außerdem sind redundante Stromzuführungen, ein erster von drei Hauptprozessoren, die in einer dreifach redundanten Konfiguration eingebaut sind, und Sicherheitssteuerung 254 (oder SIE) in das Chassis 222 bei einer Ausführungsform eingebaut.
  • Zum Zwecke der Erläuterung sind hier Programme und andere ausführbare Programmkomponenten, wie z. B. das Betriebssystem) als einzelne Blöcke dargestellt. Es ist jedoch zu anerkennen, dass solche Programme und Komponenten zu unterschiedlichen Zeiten in verschiedenen Speicherkomponenten einer Rechenvorrichtung verbleiben und durch einen Datenprozessor (en) der Vorrichtung ausgeführt werden.
  • Obwohl Ausführungsformen von Aspekten der Erfindung in Verbindung mit einer beispielhaften Rechensystemumgebung beschrieben wurden, sind sie mit zahlreichen anderen allgemein verwendbaren oder speziell verwendbaren Rechensystemumgebungen oder Konfigurationen betreibbar. Die Rechensystemumgebung soll keine Beschränkung des Umfangs des Gebrauchs oder der Funktionalität eines Aspektes der Erfindung vermitteln. Außerdem sollte die Rechensystemumgebung nicht dahingehend interpretiert werden, dass sie eine Abhängigkeit oder eine Forderung in Bezug auf die in der beispielhaften Betriebsumgebung dargestellten Komponenten oder Kombinationen von Komponenten hätte. Ohne darauf beschränkt zu sein gehören zu Beispielen für allgemein bekannte Rechensysteme, Umgebungen und/oder Konfigurationen, die für den Gebrauch mit Aspekten der Erfindung geeignet sein können, Personal-Computer, Server-Computer, handgeführte oder Laptop-Geräte, Multiprozessor-Systeme, Systeme auf Mikroprozessorbasis, Beistellgeräte, programmierbare Verbraucher-Elektronik, Mobiltelefone, Netzwerk-PCs, Minicomputer, Großrechner, verteilte Rechenumgebungen, die irgendeines der obengenannten Systeme oder Geräte enthalten, oder dgl..
  • Ausführungsformen der Aspekte der Erfindung können im allgemeinen Kontext von Daten- und/oder Prozessor ausführbaren Weisungen, wie z. B. Programm-Modulen, die auf einem oder mehreren körperlichen, nicht-flüchtigen Speichermedien gespeichert sind und von einem oder mehreren Prozessoren oder anderen Geräten ausgeführt werden. Ohne darauf beschränkt zu sein gehören zu Programm-Modulen im Allgemeinen Routinen, Programme, Objekte, Komponenten und Datenstrukturen, die bestimmte Aufgaben ausführen oder spezielle abstrakte Datentypen implementieren. Aspekte der Erfindung können auch in verteilten Rechenumgebungen praktiziert werden, wo Aufgaben durch entfernte Bearbeitungsgeräte, die durch ein Kommunikationsnetzwerk verbunden sind, ausgeführt werden. In einer verteilten Rechenumgebung können Programm-Module sowohl in lokalen als auch in entfernten Speichermedien, einschließlich Memory-Speichervorrichtungen, angeordnet sein.
  • Im Betrieb können Prozessoren, Computer und/oder Server Prozessor ausführbare Weisungen (z. B. Software, Firmware und /oder Hardware) wie diejenigen, die hier dargestellt sind, ausführen, um Aspekte der Erfindung zu implementieren.
  • Ausführungsformen der Aspekte der Erfindung können mit Prozessor ausführbaren Weisungen implementiert werden. Die Prozessor ausführbaren Weisungen können in einer oder mehreren Prozessor ausführbaren Komponenten oder Modulen auf einem körperlichen Prozessor lesbaren Speichermedium organsiert werden. Aspekte der Erfindung können mit jeder Anzahl und Organisation solcher Komponenten und Modulen implementiert werden. Zum Beispiel sind Aspekte der Erfindung nicht auf die speziellen Prozessor ausführbaren Weisungen oder die in den Figuren dargestellten und beschriebenen Komponenten und Modulen beschränkt. Andere Ausführungsformen der Aspekte der Erfindung können andere Prozessor ausführbare Weisungen oder Komponenten, die mehr oder weniger Funktionalität als hier dargestellt und beschrieben haben.
  • Die Reihenfolge der Ausführung oder des Vollzugs der Operationen in Ausführungsformen der Aspekte der Erfindung, die hier dargestellt und beschrieben sind, ist nicht von Bedeutung, es sei denn, es ist etwas anderes angegeben. Das heißt, dass, wenn nichts anders angegeben ist, die Operationen in jeder Reihenfolge ausgeführt werden können, und Ausführungsformen der Aspekte der Erfindung können zusätzliche oder weniger Operationen als die hier offenbarten enthalten. Zum Beispiel wird ins Auge gefasst, das das Ausführen oder Vollziehen einer bestimmten Operation vor, gleichzeitig mit oder nach einer anderen Operation innerhalb des Umfangs von Aspekten der Erfindung ist.
  • Wenn Elemente von Aspekten der Erfindung oder deren Ausführungsformen vorgestellt werden, bedeuten die Artikel „ein“, „eine“, „einer“ und „der“, „die“, „das“, dass es ein oder mehrere von den Elementen gibt. Die Begriffe „umfassen“, „aufweisen“, „einschließen“ und „haben“ sollen offen sein und bedeuten, dass zusätzliche Elemente oder andere als die angegebenen vorhanden sein können.
  • Im Hinblick auf das Obige ist ersichtlich, dass einige Vorteile der Aspekte der Erfindung erzielt werden und andere vorteilhafte Ergebnisse erhalten werden.
  • Nicht alle der genannten Komponenten, die dargestellt oder beschrieben sind, müssen notwendig sein. Außerdem können einige Anwendungen und Ausführungsformen zusätzliche Komponenten enthalten. Es können Abänderungen in der Anordnung und in der Art der Komponenten gemacht werden, ohne vom Geist oder Umfang der hier genannten Ansprüche abzuweichen. Ferner können verschiedene oder weniger Komponenten vorgesehen sein und Komponenten können kombiniert werden. Als Alternative oder zusätzlich kann eine Komponente durch mehrere Komponenten ausgeführt werden.
  • Die obige Beschreibung stellt die Aspekte der Erfindung mittels Beispielen und nicht im beschränkenden Sinne dar. Diese Beschreibung versetzt den Fachmann in die Lage, die Aspekte der Erfindung zu machen und zu nutzen, und beschreibt mehrere Ausführungsformen, Anpassungen, Abänderungen, Alternativen und Verwendungen der Aspekte der Erfindung, einschließlich dessen von dem momentan angenommen wird, die beste Art und Weise der Ausführung der Aspekte der Erfindung zu sein. Außerdem versteht es sich, dass die Aspekte der Erfindung in ihrer Anwendung nicht auf die Konstruktionsdetails und die Anordnung von in der folgenden Beschreibung dargelegten oder in den Zeichnungen dargestellten Komponenten beschränkt sind. Die Aspekte der Erfindung können andere Ausführungsformen haben und können auf verschiedenen Wegen praktiziert oder ausgeführt werden. Es versteht sich auch, dass die hier verwendeten Ausdrücke und Begriffe für Erläuterungszwecke sind und nicht als beschränkend angesehen werden sollen.
  • Nachdem Aspekte der Erfindung detailliert beschrieben wurden, ist ersichtlich, dass Abänderungen und Varianten möglich sind, ohne vom Umfang der Aspekte der Erfindung, wie sie durch die angehängten Ansprüchen definiert ist, abzuweichen. Es wird in Erwägung gezogen, dass verschieden Änderungen in den obigen Konstruktionen, Produkten und dem Verfahren gemacht werden könnten, ohne vom Umfang der Aspekte der Erfindung abzuweichen. In der vorausgegangenen Beschreibung wurden verschiedene bevorzugte Ausführungsformen mit Bezug auf die beiliegenden Zeichnungen beschrieben. Es ist jedoch offensichtlich, dass verschiedene Modifikationen und Änderungen dazu gemacht werden können, und weitere Ausführungsformen implementiert werden können, ohne vom breiteren Umfang der Aspekte der Erfindung, wie sie in den folgenden Ansprüchen dargelegt ist, abzuweichen. Die Beschreibung und die Zeichnungen sind demgemäß eher in einem erläuternden als in einem beschränkenden Sinn zu verstehen.
  • Die Zusammenfassung soll dem Leser helfen, den Inhalt der technischen Darstellung schnell zu erfassen. Sie wird bereitgestellt im Verständnis, dass sie nicht verwendet wird, den Umfang oder die Bedeutung der Ansprüche auszulegen oder zu beschränken.
  • Demgemäß betrifft die Erfindung auch ein fehlertolerantes Steuerungssystem, das einen eingebetteten funktionellen Sicherheitskern und eine verteilte Steuerungs-Engine mit einer an Bord befindlichen Kommunikationsverbindung in einer industriellen Prozesssteuerungsumgebung liefert. Das fehlertolerante Steuerungssystem enthält eine Prozesssteuerungsarbeitsstation, die mit einem ersten Netzwerk verbunden ist, und eine fehlertolerante Sicherheitssteuerung, die mit einem zweiten Netzwerk verbunden ist, wobei ein Prozesssteuerungsmodul, ein Sicherheitssteuerungsmodul und ein Feldgerätesystem-Integrationsmodul gemeinsam auf einer Netzschnittstellenkarte angeordnet sind. Tabelle A: Rückplatte-Netzschnittstellenkarte mit Steckerbelegung 96 Pin Din Männliche Stecker; PINS A, B und C
    PIN – Nr. A SIGNALNAME BEMERKUNGEN
    1 FBDATPOSA Feldbus
    2 FBDATNEGA
    3 FBSH
    4 JGSER_1
    5 JRXD_1 Serieller Port-1
    6 JTXD_1
    7 JDTR_1
    8 JDSR_1
    9 JGSER_1
    10 OS_IN State-Exchange CLK IN
    11 INSH Inter Link Bus von CP270
    12 INSH
    13 INTXNEGB
    14 INTXPOSB
    15 INRXNEGB
    16 INRXPOSB
    17 INTXNEGA
    18 INTXPOSA
    19 INRXNEGA
    20 INRXPOSA
    21 DPHY_SHIELD D-Bus Common
    22 DPHY_SHIELD
    23 DPHY_SHIELD
    24 DPHY_SHIELD
    25 CPHY_SHIELD C-Bus Common
    26 CPHY_SHIELD
    27 CPHY_SHIELD
    28 CPHY_SHIELD
    29 SPHY_SHIELD State Bus Common
    30 SPHY_SHIELD
    31 SPHY_SHIELD
    32 SPHY_SHIELD
    PIN – NR. B SIGNALNAME BEMERKUNGEN
    1 FBSH Feldbus
    2 FBSH
    3 FBSH
    4 JCTS_2
    5 JCD_2
    6 JRTS_2
    7 JCD_1
    8 JRTS_1
    9 JCTS_1
    10 Logic GND
    11 Logic GND
    12 Logic GND
    13 Logic GND
    14 Logic GND
    15 Logic GND
    16 Logic GND
    17 Logic GND
    18 Logic GND
    19 Logic GND
    20 Logic GND
    21 DPHY_TPFON D-Bus Ethernet Schnittstelle
    22 DPHY_TPFOP
    23 DPHY_TPFIN
    24 DPHY_TPFIP
    25 CPHY_ TPFON C-Bus Ethernet Schnittstelle
    26 CPHY_TPFOP
    27 CPHY_TPFIN
    28 CPHY_TPFIP
    29 SPHY_TPFON State Bus Ethernet Schnittstelle
    30 SPHY_TPFOP
    31 SPHY_TPFIN
    32 SPHY_TPFIP
    PIN – NR. C SIGNALNAME BEMERKUNGEN
    1 FBDATPOSB Feldbus
    2 FBDATNEGB
    3 FBSH
    4 JGSER_2
    5 JRXD_2 Serieller Port-2
    6 JTXD_2
    7 JDTR_2
    8 JDSR_2
    9 JGSER_2
    10 OS_OUT State_Exchange CLK OUT
    11 RXTX_SH State_Exchange E/A Schnittstelle von CP270
    12 TX186NEG
    13 TX186POS
    14 RX186NEG
    15 RX186POS
    16 RXTX_SH
    17 AB_DT_POSA Inter Link Bus von FBM233
    18 AB_DT_POSB
    19 AB_DT_NEGA
    20 AB_DT_NEGB
    21 DPHY_SHIELD D-Bus Common
    22 DPHY_SHIELD
    23 DPHY_SHIELD
    24 DPHY_SHIELD
    25 CPHY_SHIELD C-Bus Common
    26 CPHY_SHIELD
    27 CPHY_SHIELD
    28 CPHY_SHIELD
    29 SPHY_SHIELD State Bus Common
    30 SPHY_SHIELD
    31 SPHY_SHIELD
    32 SPHY_SHIELD

Claims (23)

  1. Fehlertolerantes Steuerungssystem, das umfasst: eine Prozessleitsystem-Arbeitsstation, die wirksam mit einem ersten Netzwerk verbunden ist; eine fehlertolerante Sicherheitssteuerung, die wirksam mit einem zweiten Netzwerk verbunden ist; eine Schnittstelle zwischen der Prozessleit-Arbeitsstation und der fehlertoleranten Sicherheitssteuerung, wobei die Schnittstelle umfasst: ein Prozesssteuerungsmodul, das wirksam mit dem ersten Netzwerk verbunden ist; ein Sicherheitssteuerungsmodul, das wirksam mit einem zweiten Netzwerk verbunden ist; und ein Feldgerätesystem-Integrationsmodul zum Kommunizieren von Sicherheitsinformationen von dem Sicherheitssteuerungsmodul zu dem Prozesssteuerungsmodul; wobei das Prozesssteuerungsmodul, das Sicherheitssteuerungsmodul und das Feldgerätesystem-Integrationsmodul gemeinsam auf einer Netzschnittstellenkarte angeordnet sind.
  2. Fehlertolerantes Steuerungssystem nach Anspruch 1, bei dem das erste Netzwerk ein verteiltes Steuerungssystem(DCS)-Netzwerk umfasst, und wobei das zweite Netzwerk ein Sicherheitssystem(SIS)-Netzwerk umfasst.
  3. Fehlertolerantes Steuerungssystem nach Anspruch 1 oder Anspruch 2, bei dem die Schnittstelle konfiguriert ist, um eine Redundanz-Vorgehensweise an dem SIS-Netzwerk zu implementieren.
  4. Fehlertolerantes Steuerungssystem nach Anspruch 3, bei dem die Schnittstelle weiter konfiguriert ist, um die Redundanz-Vorgehensweise des SIS-Netzwerkes an das DCS-Netzwerk anzupassen.
  5. Fehlertolerantes Steuerungssystem nach irgendeinem der Ansprüche 2 bis 4, bei dem die Schnittstelle konfiguriert ist, um eine Redundanz-Vorgehensweise an dem DCS-Netzwerk zu implementieren.
  6. Fehlertolerantes Steuerungssystem nach irgendeinem der Ansprüche 2 bis 4, bei dem die Schnittstelle für die holistische Präsentation von Informationen in dem DCS-Netzwerk konfiguriert ist.
  7. Fehlertolerantes Steuerungssystem nach Anspruch 6, bei dem die Informationen SIS-Netzwerk-Informationen umfassen.
  8. Fehlertolerantes Steuerungssystem nach Anspruch 6 oder Anspruch 7, bei dem die Informationen eine oder mehrere der folgenden umfassen: Ereignisabfolge(SOE)-Daten, SIS-zeitgestempelte Daten, Systemallgemeinzustandsdaten und Ausrüstungsallgemeinzustandsdaten.
  9. Fehlertolerantes Steuerungssystem nach irgendeinem der vorhergehenden Ansprüche, bei dem die Module eine Vielzahl von Eingabe-/Ausgabe(E/A)-Karten umfasst, die wirksam mit der Netzschnittstellenkarte verbunden sind.
  10. Fehlertolerantes Steuerungssystem nach Anspruch 9, ferner mit einem Chassis zum Unterbringen der E/A-Karten und der Netzschnittstellenkarte.
  11. Fehlertolerantes Steuerungssystem nach Anspruch 10, bei dem das Chassis eine Rückplatte bei sich unterbringt, die konfiguriert ist, um die Netzschnittstellenkarte aufzunehmen.
  12. Fehlertolerantes Steuerungssystem nach irgendeinem der Ansprüche 9 bis 11, ferner mit einem Drei-Port-Switch, der mit auf der Netzschnittstellenkarte angeordnet ist, wobei der Switch konfiguriert ist, mit dem Sicherheitssteuerungsmodul und dem Feldgerätesystem-Integrationsmodul über eine ausgewählte Verbindung zwischen ihnen in Verbindung zu treten.
  13. Fehlertolerantes Steuerungssystem nach Anspruch 12, bei dem die ausgewählte Verbindung eine funktionale und physische Trennung zwischen dem ersten Netzwerk und dem zweiten Netzwerk aufrechterhält.
  14. Kommunikationsschnittstelle für eine fehlertolerante Steuerung, die umfasst: ein Prozesssteuerungsmodul, das mit einem regulatorischen Netzwerk wirksam verbunden ist; ein Sicherheitssteuerungsmodul, das mit einem Sicherheitsnetzwerk wirksam verbunden ist; ein Feldgerätesystem-Integrationsmodul zum Kommunizieren von Sicherheitsinformationen von dem Sicherheitssteuerungsmodul an das Prozesssteuerungsmodul; und ein Drei-Port-Switch, der konfiguriert ist, um das Sicherheitssteuerungsmodul und das Feldgerätesystem-Integrationsmodul über eine ausgewählte Verbindung miteinander zu verbinden; wobei der Drei-Port-Switch Kommunikationen von dem Prozesssteuerungsmodul über das Feldgerätesystem-Integrationsmodul zu dem Sicherheitssteuerungsmodul isoliert, und wobei die Kommunikationsschnittstellen als Steuerungsstation auf dem regulatorischen Netzwerk erscheinen.
  15. Kommunikationsschnittstelle nach Anspruch 14, bei der die Module eine Vielzahl von Eingabe-/Ausgabe(E/A)-Karten aufweisen, die mit einer Netzschnittstellenkarte wirksam verbunden sind.
  16. Kommunikationsschnittstelle nach Anspruch 15, ferner mit einem Chassis zum Unterbringen der E/A-Karten und der Netzschnittstellenkarte.
  17. Kommunikationsschnittstelle nach Anspruch 16, bei der das Chassis ferner eine Rückplatte in sich unterbringt, die konfiguriert ist, um die Netzschnittstellenkarte aufzunehmen.
  18. Kommunikationsschnittstelle nach irgendeinem der Ansprüche 14 bis 17, bei der der Drei-Port-Switch einen Ethernet-Switch umfasst.
  19. Kommunikationsschnittstelle nach Anspruch 18, bei der die ausgewählte Verbindung ferner eine funktionale und physische Trennung zwischen dem regulatorischen Netzwerk und dem Sicherheitsnetzwerk aufrechterhält.
  20. Fehlertolerante Steuerung, die umfasst: eine modifizierte Rückplattenschnittstelle; einen Hauptprozessor, der mit der modifizierten Rückplattenschnittstelle wirksam verbunden ist; und eine Netzschnittstellekarte, die mit der modifizierten Rückplattenschnittstelle wirksam verbunden ist, wobei die Netzschnittstellenkarte umfasst: ein Prozesssteuerungsmodul; ein Sicherheitssteuerungsmodul, das mit dem Hauptprozessor wirksam verbunden ist; ein Feldgerätesystemintegrationsmodul; und einen Drei-Port-Switch, der mit dem Sicherheitssteuerungsmodul und dem Feldgerätesystemintegrationsmodul wirksam verbunden ist; wobei der Drei-Port-Switch konfiguriert ist, um mit dem Sicherheitssteuerungsmodul und dem Feldgerätesystemintegrationsmodul über eine ausgewählte Verbindung in Verbindung zu stehen.
  21. Fehlertolerante Steuerung nach Anspruch 20, ferner mit einer zweiten Netzschnittstellenkarte, die in einer redundanten Konfiguration in der modifizierten Rückplattenschnittstelle eingebaut ist.
  22. Fehlertolerante Steuerung nach irgendeinem der Ansprüche 20 bis 21, bei der der Drei-Port-Switch ferner einen Ethernet-Switch umfasst.
  23. Fehlertolerante Steuerung nach irgendeinem der Ansprüche 20 bis 22, bei der die ausgewählte Verbindung eine funktionelle und physische Trennung zwischen einem ersten Netzwerk und einem zweiten Netzwerk aufrechterhält.
DE102015222010.9A 2014-11-14 2015-11-09 Unified Communications Modul (UCM) Pending DE102015222010A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/541,809 2014-11-14
US14/541,809 US9582376B2 (en) 2014-11-14 2014-11-14 Unified communications module (UCM)

Publications (1)

Publication Number Publication Date
DE102015222010A1 true DE102015222010A1 (de) 2016-05-19

Family

ID=55855633

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015222010.9A Pending DE102015222010A1 (de) 2014-11-14 2015-11-09 Unified Communications Modul (UCM)

Country Status (3)

Country Link
US (1) US9582376B2 (de)
CN (1) CN105607469B (de)
DE (1) DE102015222010A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8655767B2 (en) * 2010-11-17 2014-02-18 Fixnetix Ltd. Embedded hardware based system which provides real-time pre-trade risk assessments for multiple parties and method thereof
US10432754B2 (en) 2015-09-16 2019-10-01 Profire Energy, Inc Safety networking protocol and method
US10514683B2 (en) 2015-09-16 2019-12-24 Profire Energy, Inc. Distributed networking system and method to implement a safety state environment
US20180005474A1 (en) * 2016-06-30 2018-01-04 Hart InterCivic Inc. System And Method For A Voting Controller Interface For An Electronic Voting Network
US10154006B2 (en) 2016-07-22 2018-12-11 Rockwell Automation Technologies, Inc. Systems, methods and apparatus for supporting multiple network addressing modes
US10126799B2 (en) * 2016-07-22 2018-11-13 Rockwell Automation Technologies, Inc. Intelligent power tap with zone control and safety zone control
US10218699B2 (en) 2016-07-22 2019-02-26 Rockwell Automation Technologies, Inc. Systems and methods for adding a non-inherent component to a device key of a networked device
US10108238B2 (en) 2016-07-22 2018-10-23 Rockwell Automation Technologies, Inc. Intelligent power tap for providing power and communicating in industrial automation applications
US10108216B2 (en) 2016-07-22 2018-10-23 Rockwell Automation Technologies, Inc. Power tap with adjustable configuration
US10440620B2 (en) 2016-07-22 2019-10-08 Rockwell Automation Technologies, Inc. Systems and methods for bidirectional network geography delivery
US11513490B2 (en) * 2020-03-24 2022-11-29 Honeywell International Inc. I/O mesh architecture for a safety instrumented system
US11762742B2 (en) 2020-03-31 2023-09-19 Honeywell International Inc. Process control system with different hardware architecture controller backup
US20220100180A1 (en) 2020-09-25 2022-03-31 Schneider Electric Systems Usa, Inc. Safety instrumented system interface
US11609543B2 (en) * 2020-10-21 2023-03-21 Ring Bus Americas LLC Safety network controller redundancy in an electronic safety system
US11874938B2 (en) 2020-11-03 2024-01-16 Honeywell International Inc. Admittance mechanism
CN114363141A (zh) * 2021-12-30 2022-04-15 联想(北京)信息技术有限公司 刀片服务器机箱内交换机的远程调试方法、装置及系统
CN117499443B (zh) * 2023-12-28 2024-03-29 湖南信健科技有限公司 一种分布式控制系统dcs通信松耦合管理系统

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5122976A (en) * 1990-03-12 1992-06-16 Westinghouse Electric Corp. Method and apparatus for remotely controlling sensor processing algorithms to expert sensor diagnoses
DE69732488T2 (de) * 1996-10-04 2006-03-30 Fisher Controls International Llc Prozesssteuerungsnetzwerk mit redundanten feldgeräten und bussen
JP3997988B2 (ja) 2001-05-31 2007-10-24 オムロン株式会社 安全ユニット及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法
SE0203819D0 (sv) 2002-12-19 2002-12-19 Abb As Method to increase the safety integrity level of a control system
US7237109B2 (en) * 2003-01-28 2007-06-26 Fisher- Rosemount Systems, Inc. Integrated security in a process plant having a process control system and a safety system
US6975966B2 (en) * 2003-01-28 2005-12-13 Fisher-Rosemount Systems, Inc. Integrated diagnostics in a process plant having a process control system and a safety system
US7149655B2 (en) 2004-06-18 2006-12-12 General Electric Company Methods and apparatus for safety controls in industrial processes
US8055814B2 (en) 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
US7719961B2 (en) 2006-09-29 2010-05-18 Rockwell Automation Technologies, Inc. Industrial ethernet communications adapter
EP2345015B1 (de) * 2008-09-30 2015-03-25 Saudi Arabian Oil Company System und verfahren zur verbesserten koordination zwischen kontroll- und sicherheitssystemen
DE102009042354C5 (de) 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
DE102011086530A1 (de) 2010-11-19 2012-05-24 Continental Teves Ag & Co. Ohg Mikroprozessorsystem mit fehlertoleranter Architektur

Also Published As

Publication number Publication date
CN105607469A (zh) 2016-05-25
US20160139999A1 (en) 2016-05-19
US9582376B2 (en) 2017-02-28
CN105607469B (zh) 2021-01-29

Similar Documents

Publication Publication Date Title
DE102015222010A1 (de) Unified Communications Modul (UCM)
DE102009054157B3 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
DE102004003571B4 (de) Prozesssteuerungssystem mit eingebettetem Sicherheitssystem
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
DE112016003949T5 (de) Webbasierte programmierumgebung für eingebettete geräte
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP2162805A2 (de) Vorrichtung zur steuerung einer maschine sowie fernkommunikationssystem
DE102016000126B4 (de) Serielles Bussystem mit Koppelmodulen
EP3542232A1 (de) Steuerung für eine industrielle automatisierungsanlage und verfahren zum programmieren und betreiben einer derartigen steuerung
DE102008026409A1 (de) Bedienungstrainingsystem und Bedienungstrainingverfahren
DE102014100970A1 (de) Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
DE102019132485A1 (de) Verwaltung von Zugriffsbeschränkungen innerhalb eines System-on-Chip
DE102016203090A1 (de) Steuergerät, insbesondere für ein Kraftfahrzeug, mit über Ethernet verbundenen Mikrocontrollern
EP3470937A1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
EP1454201B1 (de) Engineeringsystem und automatisierungssystem
WO2021052955A1 (de) System und verfahren zum bereitstellen einer digitalen nachbildung einer anlage und entsprechendes computerprogrammprodukt
DE10252109B4 (de) Verfahren zur Parametrierung
WO2011113405A1 (de) Steuergeräteanordnung
EP2246761A1 (de) Schnittstelle und Verfahren zum sicheren Ändern von Parametern einer fehlersicheren industriellen Automatisierungskomponente
DE102022212419A1 (de) Schaltermodul mit doppelanschluss
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
DE102021130839A1 (de) Computersystem für die Automatisierungstechnik
DE102021123596A1 (de) Technik zur Bereitstellung einer Diagnosefunktionalität für eine auf einer speicherprogrammierbaren Steuerung basierenden Anwendung
DE102017209163A1 (de) System zur steuerung einer industriellen anlage und verfahren zur sicheren/nichtsicheren kommunikation zwischen mindestens drei steuereinrichtungen

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: FRIESE GOEDEN, DE

Representative=s name: FRIESE GOEDEN PATENTANWAELTE PARTGMBB, DE

R081 Change of applicant/patentee

Owner name: SCHNEIDER ELECTRIC SYSTEMS USA, INC., FOXBORO, US

Free format text: FORMER OWNER: INVENSYS SYSTEMS, INC., FOXBORO, MASS., US

R082 Change of representative

Representative=s name: FRIESE GOEDEN PATENTANWAELTE PARTGMBB, DE

R012 Request for examination validly filed