本公開通常涉及自動化與控制系統(tǒng)。更加具體而言，本公開涉及用于利用以太網(wǎng)/IP I/O的控制器冗余和控制器網(wǎng)絡(luò)冗余的系統(tǒng)和方法。

背景技術(shù)：

以太網(wǎng)工業(yè)協(xié)議（以太網(wǎng)/IP）是在工業(yè)自動化中使用的用于過程控制的通信協(xié)議。以太網(wǎng)/IP是應(yīng)用層協(xié)議，被用于在工業(yè)控制系統(tǒng)和其組件（例如，可編程自動化控制器、可編程邏輯控制器和輸入/輸出（I/O）系統(tǒng)）之間的通信。在一些方面中，以太網(wǎng)/IP類似于簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)。各個供應(yīng)商制造以太網(wǎng)/IP I/O設(shè)備或者為控制系統(tǒng)提供能夠利用以太網(wǎng)/IP工作的控制器。開放式設(shè)備網(wǎng)供應(yīng)商協(xié)會（ODVA）提供以太網(wǎng)/IP協(xié)議的管理并且通過要求到建立的標(biāo)準(zhǔn)的依附性確保多供應(yīng)商的系統(tǒng)互操作性。

技術(shù)實現(xiàn)要素：

本公開提供了用于利用以太網(wǎng)/IP I/O的控制器冗余和控制器網(wǎng)絡(luò)冗余的系統(tǒng)和方法。

在第一實施例中，一種裝置包括第一控制器，其具有至少一個接口和至少一個處理設(shè)備。所述至少一個接口被配置用于與第二控制器以及與受控網(wǎng)絡(luò)通信，所述受控網(wǎng)絡(luò)具有多個以太網(wǎng)/IP兼容輸入/輸出（I/O）模塊和多個以太網(wǎng)/IP兼容受控設(shè)備。所述至少一個處理設(shè)備被配置用于在所述第二控制器與所述I/O模塊的至少一個和所述受控設(shè)備的至少一個通信同時檢測與所述第二控制器相關(guān)聯(lián)的故障。所述至少一個處理設(shè)備還被配置當(dāng)檢測到與所述第二控制器相關(guān)聯(lián)的故障時用于恢復(fù)與所述至少一個I/O模塊和所述至少一個受控設(shè)備的通信，而所述至少一個I/O模塊不更新所述至少一個受控設(shè)備到失效保護(hù)狀況。

在第二實施例中，一種方法包括：在第二控制器與受控網(wǎng)絡(luò)中的多個以太網(wǎng)/IP兼容輸入/輸出（I/O）模塊的至少一個和多個以太網(wǎng)/IP兼容受控設(shè)備的至少一個通信同時，在被配置用于與第二控制器通信的第一控制器處檢測與所述第二控制器相關(guān)聯(lián)的故障。所述方法還包括：當(dāng)檢測到與所述第二控制器相關(guān)聯(lián)的故障時在所述第一控制器處恢復(fù)與所述至少一個I/O模塊和所述至少一個受控設(shè)備的通信，而所述至少一個I/O模塊不更新所述至少一個受控設(shè)備到失效保護(hù)狀況。

在第三實施例中，利用計算機(jī)可執(zhí)行的指令編碼非暫時性計算機(jī)可讀介質(zhì)，當(dāng)所述計算機(jī)可執(zhí)行的指令被執(zhí)行時引起至少一個處理設(shè)備用于在第二控制器與受控網(wǎng)絡(luò)中的多個以太網(wǎng)/IP兼容輸入/輸出（I/O）模塊的至少一個和多個以太網(wǎng)/IP兼容受控設(shè)備的至少一個通信同時，在被配置用于與第二控制器通信的第一控制器處檢測與所述第二控制器相關(guān)聯(lián)的故障。還利用計算機(jī)可執(zhí)行的指令編碼非暫時性計算機(jī)可讀介質(zhì)，當(dāng)所述計算機(jī)可執(zhí)行的指令被執(zhí)行時引起至少一個處理設(shè)備用于當(dāng)檢測到與所述第二控制器相關(guān)聯(lián)的故障時在所述第一控制器處恢復(fù)與所述至少一個I/O模塊和所述至少一個受控設(shè)備的通信，而所述至少一個I/O模塊不更新所述至少一個受控設(shè)備到失效保護(hù)狀況。

對于本領(lǐng)域的技術(shù)人員來說根據(jù)下面附圖、描述和權(quán)利要求，其它技術(shù)特征可能是很容易地顯而易見。

附圖說明

為了更加完整理解本公開，現(xiàn)在參考連同附圖一起進(jìn)行的下面描述，其中：

圖1和圖2圖解了根據(jù)本公開的示例性過程控制系統(tǒng)；

圖3圖解了根據(jù)本公開的被配置用于控制器冗余和控制器網(wǎng)絡(luò)冗余的示例性以太網(wǎng)/IP過程控制系統(tǒng)的另外細(xì)節(jié)；以及

圖4圖解了根據(jù)本公開的用于操作以太網(wǎng)/IP過程控制系統(tǒng)的示例性方法。

具體實施方式

下面討論的圖1到圖4以及在本專利文檔中用于描述本發(fā)明的原理的各個實施例僅僅通過圖解的方式并且不應(yīng)該以任何方式被解釋為限制本發(fā)明的內(nèi)容。本領(lǐng)域的技術(shù)人員將理解的是：可以以任何類型的適當(dāng)布置的設(shè)備或系統(tǒng)來實現(xiàn)本發(fā)明的原理。

一些過程控制系統(tǒng)（例如由HONEYWELL的EXPERION）被配置用于支持以太網(wǎng)/IP通信協(xié)議。通常，大多數(shù)以太網(wǎng)/IP系統(tǒng)不提供特別地適合于以太網(wǎng)/IP協(xié)議的任何種類的網(wǎng)絡(luò)或控制器冗余。如果在這些系統(tǒng)中在控制器級或控制器網(wǎng)絡(luò)級上出現(xiàn)故障，那么能夠在所述系統(tǒng)的一個或多個受控設(shè)備處出現(xiàn)I/O脫落（I/O shed）。更加具體而言，當(dāng)在沒有合適冗余供應(yīng)的情況下在以太網(wǎng)/IP系統(tǒng)中出現(xiàn)故障時，到一個或多個受控設(shè)備的連接可能丟失，并且丟失的連接可能導(dǎo)致所述受控設(shè)備脫落它們的I/O。例如，如果在以太網(wǎng)/IP系統(tǒng)中的輸出設(shè)備丟失到控制所述輸出設(shè)備的所述控制器的連接，則所述輸出設(shè)備可能進(jìn)入不同于其之前操作狀態(tài)的失效保護(hù)操作狀態(tài)。在工業(yè)廠環(huán)境中，這能夠?qū)е乱粋€或多個過程中的中斷而所述廠正在運行。在這樣的情況中，維護(hù)工人或工程師不得不識別問題（導(dǎo)致丟失連接的故障）的原因并且然后把所述系統(tǒng)帶回到運行狀態(tài)。這可能導(dǎo)致在所述廠處顯著的財政和時間損失。

為了解決這些問題，本公開的實施例提供一種以太網(wǎng)/IP網(wǎng)絡(luò)，其包括控制器冗余或控制器網(wǎng)絡(luò)冗余特征。這樣的特征可以連同各種各樣的控制器（例如，由HONEYWELL的EXPERION C300控制器）一起被使用。關(guān)于工業(yè)廠的過程控制系統(tǒng)描述本公開的實施例。然而，本公開不限于工業(yè)廠環(huán)境。在此所公開的原理也可適用于其他環(huán)境和工業(yè)。

圖1和圖2圖解了根據(jù)本公開的示例性過程控制系統(tǒng)100。如在圖1中所示出的，所述系統(tǒng)100包括一個或多個過程元件102a-102b。過程元件102a-102b表示可以執(zhí)行各種各樣功能中任意功能的過程或生產(chǎn)系統(tǒng)中的組件。例如，過程元件102a-102b能夠表示用于制造化學(xué)、藥物、紙或石化產(chǎn)品的裝備。過程元件102a-102b的每個包括用于執(zhí)行過程或生產(chǎn)系統(tǒng)中的一個或多個功能的任何合適結(jié)構(gòu)，例如傳感器或致動器。

兩個控制器104a-104b被耦合到所述過程元件102a-102b?？刂破?04a-104b控制所述過程元件102a-102b的操作。例如，控制器104a-104b能夠從傳感器接收測量結(jié)果并且為致動器產(chǎn)生控制信號以便控制化學(xué)、藥物、紙、石化或其它產(chǎn)品的生產(chǎn)。每個控制器104a-104b包括用于控制過程元件102a-102b的一個或多個的任何合適結(jié)構(gòu)。

兩個服務(wù)器106a-106b被耦合到控制器104a-104b。服務(wù)器106a-106b執(zhí)行各種功能以支持控制器104a-104b和過程元件102a-102b的操作和控制。例如，服務(wù)器106a-106b能夠?qū)⒂煽刂破?04a-104b收集或產(chǎn)生的信息，例如與過程元件102a-102b的操作相關(guān)的狀態(tài)信息記入日志。服務(wù)器106a-106b還能夠執(zhí)行控制控制器104a-104b的操作的應(yīng)用，由此控制過程元件102a-102b的操作。另外，服務(wù)器106a-106b能夠提供到控制器104a-104b的安全訪問。服務(wù)器106a-106b的每個包括用于提供到控制器104a-104b的訪問或控制器104a-104b的控制的任何合適結(jié)構(gòu)。

一個或多個操作員站108a-108b被耦合到服務(wù)器106a-106b，并且一個或多個操作員站108c被耦合到控制器104a-104b。所述操作員站108a-108b表示提供到服務(wù)器106a-106b的用戶訪問的計算或通信設(shè)備，所述服務(wù)器106a-106b然后能夠提供到控制器104a-104b和過程元件102a-102b的用戶訪問。所述操作員站108c表示提供到控制器104a-104b的直接用戶訪問的計算或通信設(shè)備。作為特別示例，操作員站108a-108c能夠允許用戶使用由所述控制器104a-104b和/或所述服務(wù)器106a-106b收集的信息回顧過程元件102a-102b的操作歷史。操作員站108a-108c還能夠允許用戶調(diào)整過程元件102a-102b、控制器104a-104b或服務(wù)器106a-106b的操作。操作員站108a-108c的每個包括用于支持所述系統(tǒng)100的用戶訪問和控制的任何合適結(jié)構(gòu)。

在這個示例中，操作員站108b的至少一個遠(yuǎn)離服務(wù)器106a-106b。所述遠(yuǎn)離站通過網(wǎng)絡(luò)110被耦合到所述服務(wù)器106a-106b。所述網(wǎng)絡(luò)110促進(jìn)所述系統(tǒng)100的各個組件之間的通信。例如，網(wǎng)絡(luò)110可以在網(wǎng)絡(luò)地址之間傳遞互聯(lián)網(wǎng)協(xié)議（IP）分組、幀中繼幀、異步傳輸模式（ATM）信元、或其它信息。網(wǎng)絡(luò)110可以包括一個或多個局域網(wǎng)（LAN）、城域網(wǎng)（MAN）、廣域網(wǎng)（WAN）、全球網(wǎng)絡(luò)（例如因特網(wǎng)）的所有或一部分或在一個或更多位置處一個或多個任何其它通信系統(tǒng)。

在本示例中，所述系統(tǒng)100包括兩個另外的服務(wù)器112a-112b。服務(wù)器112a-112b執(zhí)行各種應(yīng)用以控制所述系統(tǒng)100的整體操作。例如，所述系統(tǒng)100能夠被用在加工或生產(chǎn)廠或其它設(shè)施中，并且所述服務(wù)器112a-112b能夠執(zhí)行用于控制所述廠或其它設(shè)施的應(yīng)用。作為特別示例，所述服務(wù)器112a-112b能夠執(zhí)行諸如企業(yè)資源計劃(ERP)、制造執(zhí)行系統(tǒng)（MES）之類的應(yīng)用或任何其它或另外廠或過程控制應(yīng)用。服務(wù)器112a-112b的每個包括用于控制所述系統(tǒng)100的整體操作的任何合適結(jié)構(gòu)。

在一些實施例中，控制器104a-104b的每個包括一個或多個處理設(shè)備116，例如一個或多個微處理器、微控制器、數(shù)字信號處理器、現(xiàn)場可編程門陣列、專用集成電路或離散邏輯設(shè)備?？刂破?04a-104b的每個還包括存儲由一個或多個處理設(shè)備116使用、收集或產(chǎn)生的指令和數(shù)據(jù)的一個或多個存儲器118，例如隨機(jī)存取存儲器或快閃存儲器或其它只讀存儲器。另外，控制器104a-104b的每個包括促進(jìn)通過一個或多個網(wǎng)絡(luò)或通信鏈路的通信的一個或多個接口120。在特別實施例中，控制器104a-104b的每個包括三個接口120，兩個接口用于通過冗余網(wǎng)絡(luò)對進(jìn)行通信以及第三個接口用于與其它控制器通信。

如在圖1中所示的，所述系統(tǒng)100包括各種冗余網(wǎng)絡(luò)114a-114b和單獨網(wǎng)絡(luò)116a-116c，其支持在所述系統(tǒng)100中的組件之間的通信。這些網(wǎng)絡(luò)114a-114b，116a-116c的每個表示促進(jìn)在所述系統(tǒng)100中的組件之間的通信的任何網(wǎng)絡(luò)或網(wǎng)絡(luò)的組合。網(wǎng)絡(luò)114a-114b，116a-116c例如能夠表示以太網(wǎng)網(wǎng)絡(luò)。

在操作的一個方面中，所述系統(tǒng)100管理用于生產(chǎn)或處理一個或多個產(chǎn)品（或其部件）的一個或多個過程。作為特別示例，控制器104a-104b和服務(wù)器106a-106b能夠使用過程元件102a-102b管理用于生產(chǎn)化學(xué)、藥物、紙、或石化產(chǎn)品的一個或多個過程。所述系統(tǒng)100可以執(zhí)行程序性自動化機(jī)制，所述程序性自動化機(jī)制幫助自動化所述生產(chǎn)過程。例如，程序性自動化機(jī)制可以確定何時能夠執(zhí)行生產(chǎn)過程中的某些任務(wù)以及在那些任務(wù)期間使用哪些過程元件102a-102b。

根據(jù)本公開，所述系統(tǒng)100的各個組件支持以太網(wǎng)/IP通信協(xié)議。例如，控制器104a-104b可以表示以太網(wǎng)/IP控制器，所述過程元件102a-102b可以表示以太網(wǎng)/IP設(shè)備以及所述網(wǎng)絡(luò)114a-114b和116a-116c可以表示以太網(wǎng)/IP網(wǎng)絡(luò)。所述控制器104a-104b和所述網(wǎng)絡(luò)114a-114b和116a-116c的一個或多個可以被配置具有控制器冗余或控制器網(wǎng)絡(luò)冗余以在沒有導(dǎo)致輸入/輸出脫落的情況下提供故障轉(zhuǎn)移支持。下面提供關(guān)于這個功能性的另外細(xì)節(jié)。

圖2圖解了以太網(wǎng)/IP過程控制系統(tǒng)200的示例部分，其可以連同圖1的所述系統(tǒng)100一起被使用。在基于以太網(wǎng)/IP網(wǎng)絡(luò)的系統(tǒng)中，控制器傳遞指令和數(shù)據(jù)到一個或多個I/O模塊和受控設(shè)備（也稱為“現(xiàn)場設(shè)備”），用于控制一個或多個過程。在所述控制器和所述受控設(shè)備之間的通信中的任何故障能夠?qū)е聦ζ渲兴鍪芸卦O(shè)備操作的所述過程失去控制。如在圖2中所示的，控制器202通過交換機(jī)204被連接到輸入I/O模塊206和輸出I/O模塊208。所述輸入I/O模塊206被連接到輸入現(xiàn)場設(shè)備210，例如傳感器。所述輸出I/O模塊208被連接到輸出現(xiàn)場設(shè)備212，例如馬達(dá)。所述控制器202被配置用于控制所述設(shè)備206-212。

在正常操作中，所述控制器202例如通過從所述輸入I/O模塊206周期地掃描數(shù)據(jù)接收與所述輸入設(shè)備210（所述傳感器）的操作相關(guān)聯(lián)的輸入數(shù)據(jù)。所述控制器202對所述輸入數(shù)據(jù)執(zhí)行處理，并且基于所述處理的輸入數(shù)據(jù)，通過將數(shù)據(jù)或信號傳輸?shù)剿鲚敵鯥/O模塊208控制所述輸出設(shè)備212（所述馬達(dá)）。所述輸出I/O設(shè)備212繼而能夠驅(qū)動適當(dāng)電壓、電流或其它信號到所述輸出設(shè)備212。

所述輸出I/O模塊208可能期望從所述控制器202定期地接收控制信號。如果所述輸出I/O模塊208不能在期望的時間從所述控制器202接收信號，可以啟動超時時鐘以測量在沒有來自所述控制器的信號情況下流逝的時間量。如果在沒有恢復(fù)來自所述控制器202的信號情況下流逝預(yù)定時間段，則所述輸出I/O模塊208能夠確定發(fā)生故障狀況。

如果有故障狀況，所述輸出I/O模塊208可以關(guān)閉與所述控制器202的連接，并且可能發(fā)生輸出脫落。在輸出脫落中，所述輸出I/O模塊208更新所述輸出設(shè)備212到失效保護(hù)狀況。在失效保護(hù)狀況中，所述輸出設(shè)備212的一個或多個參數(shù)從當(dāng)前值更新到失效保護(hù)值。例如，如果所述輸出設(shè)備212是馬達(dá)，則馬達(dá)速度可以從當(dāng)前操作速度減少到更低失效保護(hù)速度或甚至停止。與所述失效保護(hù)狀況相關(guān)聯(lián)的參數(shù)可以利用所述輸出I/O模塊208被預(yù)先配置或可以是用戶可配置的。

盡管失效保護(hù)模式可以幫助保護(hù)所述輸出設(shè)備212或關(guān)聯(lián)的系統(tǒng)免受損害，但是其中所述輸出設(shè)備212操作的整體過程仍然被中斷。在工業(yè)廠環(huán)境中，維護(hù)工人或工程師不得不識別中斷的原因并且然后把所述系統(tǒng)帶回到運行狀態(tài)。在大型工業(yè)設(shè)置中，這能夠?qū)е嘛@著的財政和時間損失。

為了解決這個問題，本公開的實施例提供包括控制器冗余和控制器網(wǎng)絡(luò)冗余的基于以太網(wǎng)/IP過程控制系統(tǒng)?？梢允褂眠@些機(jī)制以便減少或避免系統(tǒng)故障和相應(yīng)I/O脫落。

盡管圖1和圖2圖解了過程控制系統(tǒng)100的一個示例，但是可以對圖1和圖2進(jìn)行各種改變。例如，過程控制系統(tǒng)可以包括任意數(shù)目的過程元件、控制器、服務(wù)器、操作員站和網(wǎng)絡(luò)。另外，所述系統(tǒng)100的組成和布置僅僅是用于圖解。根據(jù)特定需要可以在任意其它配置中添加、省略、組合或放置組件。另外，盡管被描述為用于生產(chǎn)或處理某些類型的產(chǎn)品，但是可以以任何其它方式使用所述系統(tǒng)100。

圖3圖解了根據(jù)本公開的被配置用于控制器冗余和控制器網(wǎng)絡(luò)冗余的示例性以太網(wǎng)/IP過程控制系統(tǒng)300的另外細(xì)節(jié)。所述系統(tǒng)300可以表示圖1的所述系統(tǒng)100或圖2的所述系統(tǒng)200或可以連同圖1的所述系統(tǒng)100或圖2的所述系統(tǒng)200一起被使用。

如在圖3中所示的，所述系統(tǒng)300包括控制器系統(tǒng)302，所述控制器系統(tǒng)302包括主要控制器304和次要控制器306。每個控制器304-306表示用于控制以太網(wǎng)/IP網(wǎng)絡(luò)中的一個或多個設(shè)備的任何合適以太網(wǎng)/IP兼容控制器。在一些實施例中，每個控制器304-306可以是EXPERION C300控制器。每個控制器304-306被連接到主要控制器網(wǎng)絡(luò)308和次要控制器網(wǎng)絡(luò)310。放置在所述控制器304-306和所述過程控制系統(tǒng)300的其它部分之間的防火墻312-314對所述控制器304-306的進(jìn)入和傳出業(yè)務(wù)提供安全級別。

所述主要控制器304經(jīng)由有線連接或電纜316被直接地耦合到所述次要控制器306。所述電纜316允許在所述控制器304-306之間的直接通信。根據(jù)本公開，所述控制器304-306能夠通過所述電纜?316共享關(guān)于每個控制器304-306和每個控制器網(wǎng)絡(luò)308-310的操作狀況或“健康”的狀態(tài)信息（或者可以被用于確定何時發(fā)生或?qū)⒁l(fā)生故障狀況的任何其它狀態(tài)信息）。這在下面被更加詳細(xì)描述。

所述控制器系統(tǒng)302還包括耦合到所述控制器304-306的至少一個服務(wù)器318。所述服務(wù)器318可以表示圖1的所述服務(wù)器106a-106b，112a-112b的一個或多個。在一些實施例中，所述服務(wù)器318可以是EXPERION PKS服務(wù)器。所述過程控制系統(tǒng)300還包括兩個操作員站320。所述操作員站320可以表示圖1的所述操作員站108a-108c的一個或多個。在一些實施例中，所述操作員站320可以是EXPERION PKS工作站。所述服務(wù)器318和操作員站320被配置用于最初地提供或更新編程邏輯到所述控制器304-306并且監(jiān)視和維護(hù)所述控制器304-306，控制器系統(tǒng)302和過程控制系統(tǒng)300。盡管在圖3中示出一個服務(wù)器318和兩個操作員站320，但是其它數(shù)目的服務(wù)器318和操作員站320是可能的。

所述控制器系統(tǒng)302經(jīng)由一對交換機(jī)330-332被耦合到受控網(wǎng)絡(luò)350。所述交換機(jī)330-332在所述控制器系統(tǒng)302和所述受控網(wǎng)絡(luò)350之間路由信息和信號。每個交換機(jī)330-332可以表示供在以太網(wǎng)/IP網(wǎng)絡(luò)中使用的任何合適交換機(jī)。

所述受控網(wǎng)絡(luò)350包括由一個或多個控制器304-306控制的多個受控設(shè)備。所述受控網(wǎng)絡(luò)350還包括不可以直接地由所述控制器304-306控制的但是是所述受控網(wǎng)絡(luò)350的操作的一部分的其它裝備或設(shè)備。在這個示例中，所述受控網(wǎng)絡(luò)350包括一個或多個防火墻352、一個或多個交換機(jī)354、一個或多個PF驅(qū)動器356、一個或多個網(wǎng)絡(luò)監(jiān)督器358、一個或多個輸入或輸出I/O模塊360、一個或多個受控設(shè)備362、以及一個或多個操作員站364。在所述受控網(wǎng)絡(luò)350之中的某些設(shè)備可以被組織為一個或多個子網(wǎng)絡(luò)。示例性子網(wǎng)絡(luò)可以被配置為環(huán)形、為星形、被線性地配置、或在任何其它合適網(wǎng)絡(luò)配置中。例如，如在圖3中所示的，所述網(wǎng)絡(luò)監(jiān)督器358、I/O模塊360和受控設(shè)備362的一些可以被配置為環(huán)形網(wǎng)絡(luò)。

根據(jù)本公開，所述系統(tǒng)300被配置用于控制器冗余和控制器網(wǎng)絡(luò)冗余二者以便避免系統(tǒng)故障和相應(yīng)I/O脫落。通過所述主要控制器304和所述次要控制器306在所述系統(tǒng)300中提供控制器冗余。在操作的一個方面中，所述主要控制器304通常是所述系統(tǒng)300的有源控制器，以及所述次要控制器306通常是無源的。所述主要控制器304通過所述交換機(jī)330-332發(fā)送信號到所述受控網(wǎng)絡(luò)350以及從所述受控網(wǎng)絡(luò)350接收信號。因此，在正常操作狀況中，所述主要控制器304提供對所述受控網(wǎng)絡(luò)350以及相關(guān)聯(lián)的受控設(shè)備362的控制。

盡管所述主要控制器304提供對所述受控網(wǎng)絡(luò)350的控制，但是所述主要控制器304通過所述電纜316經(jīng)由信號交換與所述次要控制器306通信。當(dāng)所述主要控制器304執(zhí)行控制器操作時，可以跨越所述電纜316將關(guān)于所述主要控制器304的操作狀況或“健康”的控制器操作信息和其它狀態(tài)信息同步到所述次要控制器306。這樣的信息可以包括所述主要控制器304最近與哪些I/O模塊360或受控設(shè)備362通信以及與這些I/O模塊360或受控設(shè)備362交換什么操作值或數(shù)據(jù)。

如果所述主要控制器304的操作以某種方式失敗，諸如由于電源故障或硬件故障，則在所述主要控制器304處發(fā)生故障狀況。假設(shè)在所述主要控制器304處發(fā)生故障狀況，則所述次要控制器306接管所述主要控制器304的控制功能。在那時，（在主要模式中操作的）所述次要控制器306繼續(xù)控制以太網(wǎng)/IP受控網(wǎng)絡(luò)350中的一個或多個組件而不導(dǎo)致到任何I/O模塊360或受控設(shè)備362的連接丟失并且不導(dǎo)致I/O脫落。

為了避免連接丟失和I/O脫落，所述次要控制器306檢測在所述主要控制器304處的故障狀況并且快速地恢復(fù)針對所述受控網(wǎng)絡(luò)350的控制操作。這樣，I/O模塊360和受控設(shè)備362沒有檢測到將導(dǎo)致I/O脫落的所述主要控制器304處的中斷或故障。換句話說，所述次要控制器306被配置用于檢測所述主要控制器304處的故障狀況并且以無縫方式接管控制以便所述受控網(wǎng)絡(luò)350的設(shè)備仍然相信它們在與所述主要控制器304通信。

通過所述主要控制器網(wǎng)絡(luò)308和次要控制器網(wǎng)絡(luò)310在所述系統(tǒng)300中提供控制器網(wǎng)絡(luò)冗余。所述主要控制器304和所述次要控制器306的每個被耦合到至少兩個網(wǎng)絡(luò)電纜，其中每個電纜與所述控制器網(wǎng)絡(luò)308-310之一相關(guān)聯(lián)。特別地，所述主要控制器304被耦合到與所述主要控制器網(wǎng)絡(luò)308相關(guān)聯(lián)的電纜308a以及耦合到與所述次要控制器網(wǎng)絡(luò)310相關(guān)聯(lián)的電纜310a。類似地，所述次級控制器306被耦合到與所述主要控制器網(wǎng)絡(luò)308相關(guān)聯(lián)的電纜308b以及耦合到與所述次要控制器網(wǎng)絡(luò)310相關(guān)聯(lián)的電纜310b。在一些實施例中，電纜308a-308b和310a-310b是以太網(wǎng)電纜，以及每個控制器304-306包括多個以太網(wǎng)連接點或插座，相關(guān)聯(lián)的電纜被連接到所述多個以太網(wǎng)連接點或插座。

在操作的一個方面中，所述主要控制器網(wǎng)絡(luò)308通常是有源控制器網(wǎng)絡(luò)，通過其，在所述主要控制器304或次要控制器306和所述受控網(wǎng)絡(luò)350之間的通信發(fā)生。到所述受控網(wǎng)絡(luò)350的通信傳遞通過所述主要控制器網(wǎng)絡(luò)308、通過一個或兩個交換機(jī)330-332并且到所述受控網(wǎng)絡(luò)350中的目的地設(shè)備。對于來自所述受控網(wǎng)絡(luò)350的通信遵循反向路徑。相反，所述次要控制器網(wǎng)絡(luò)310通常是無源的。也就是說，在正常操作期間，所述次要控制器網(wǎng)絡(luò)310不承載與所述受控網(wǎng)絡(luò)350的控制相關(guān)聯(lián)的主信號傳輸，盡管在正常操作期間所述次要控制器網(wǎng)絡(luò)310可以承載輔助信號傳輸（例如，與故障狀況的檢測相關(guān)的那些傳輸）。

盡管所述主要控制器304或次要控制器306經(jīng)由所述主要控制器網(wǎng)絡(luò)308提供了對所述受控網(wǎng)絡(luò)350的控制，但是所述主要控制器304或次要控制器306可以不斷地檢測和確定關(guān)于所述主要控制器網(wǎng)絡(luò)308的操作狀況或“健康”的狀態(tài)信息。如果所述主要控制器網(wǎng)絡(luò)308的操作以某種方式（例如由于電纜斷裂）失敗，則在所述主要控制器網(wǎng)絡(luò)308上發(fā)生故障狀況。如果所述主要控制器304或次要控制器306檢測到在所述主要控制器網(wǎng)絡(luò)308上的故障狀況，則所述主要控制器304或次要控制器306打開與所述次要控制器網(wǎng)絡(luò)310的通信。在那時，在所述次要控制器網(wǎng)絡(luò)310上恢復(fù)I/O通信而不導(dǎo)致到任何I/O模塊360或受控設(shè)備362的連接丟失并且不導(dǎo)致I/O脫落。為了避免連接丟失和I/O脫落，所述主要控制器304或次要控制器306檢測在所述主要控制器網(wǎng)絡(luò)308中的故障狀況并且快速地切換通信到所述次要控制器網(wǎng)絡(luò)310。結(jié)果，所述I/O模塊360和受控設(shè)備362沒有檢測到將導(dǎo)致I/O脫落的任何中斷或故障。

在一些實施例中，在所述控制器304-306的應(yīng)用層中實現(xiàn)編程指令以便提供冗余能力。所述指令能夠被特別地開發(fā)以與以太網(wǎng)/IP協(xié)議兼容。例如，可以利用指令編程所述次要控制器306用于在故障時檢測所述主要控制器304與其通信的所述以太網(wǎng)/IP受控網(wǎng)絡(luò)350中的所有設(shè)備。還可以利用指令編程所述次要控制器306以假設(shè)在所述主要控制器304處出現(xiàn)故障狀況時恢復(fù)與那些設(shè)備的通信。同樣地，可以利用指令編程每個控制器304-306用于檢測所述主要控制器網(wǎng)絡(luò)308中的故障并且經(jīng)由所述次級控制器網(wǎng)絡(luò)310恢復(fù)通信。這樣的指令可以最初地被安裝到控制器304-306中并且稍后由工程師或系統(tǒng)員工使用服務(wù)器318或操作員站320來維護(hù)。一旦指令被安裝，控制器304-306可以獨立地操作和提供冗余能力而不是由操作員站320或服務(wù)器318來連續(xù)管理或監(jiān)督。

盡管圖3圖解了提供控制器冗余和控制器網(wǎng)絡(luò)冗余的以太網(wǎng)/IP過程控制系統(tǒng)300的一個示例，但是可以對圖3進(jìn)行各種改變。例如，過程控制系統(tǒng)可以包括任何數(shù)目的過程元件、控制器、服務(wù)器、操作員站和網(wǎng)絡(luò)。另外，所述過程控制系統(tǒng)300的組成和布置僅僅是用于圖解。根據(jù)特定需要可以在任意其它配置中添加、省略、組合或放置組件。例如，盡管操作員站320被示為控制器系統(tǒng)302的一部分，但是操作員站320可以被認(rèn)為在所述控制器系統(tǒng)302之外。另外，盡管被描述為用于生產(chǎn)或處理某些類型的產(chǎn)品，但是可以以任何其它方式使用所述過程控制系統(tǒng)300。

圖4圖解了根據(jù)本公開的用于操作以太網(wǎng)/IP過程控制系統(tǒng)的示例性方法400。所述方法400可以以與圖1的所述系統(tǒng)100，圖2的所述系統(tǒng)200或圖3的所述系統(tǒng)300相關(guān)聯(lián)地被執(zhí)行。然而，所述方法400還可以供任何其它合適系統(tǒng)使用。

在步驟401，在所述以太網(wǎng)/IP系統(tǒng)中的主要控制器通過主要控制器網(wǎng)絡(luò)與至少一個I/O模塊和至少一個受控設(shè)備通信。在步驟403，在所述主要控制器與所述至少一個I/O模塊和所述至少一個受控設(shè)備通信同時，次級控制器檢測是否發(fā)生與所述主要控制器相關(guān)聯(lián)的故障。

如果在步驟403處檢測到故障，則所述方法繼續(xù)到步驟405。在步驟405，當(dāng)檢測到所述故障時，所述次級控制器恢復(fù)與所述至少一個I/O模塊和所述至少一個受控設(shè)備的通信。所述次級控制器足夠快速地接管所述通信以便所述至少一個I/O模塊不更新所述至少一個受控設(shè)備到失效保護(hù)狀況。

如果在步驟403處沒有檢測到故障，則所述方法繼續(xù)到步驟407。 在步驟407處，所述主要控制器（或者如果所述次要控制器正在所述主要模式中操作的話是所述次要控制器）檢測是否發(fā)生與所述主要控制器網(wǎng)絡(luò)相關(guān)聯(lián)的故障。如果在步驟407處檢測到故障，則所述方法繼續(xù)到步驟409。 在步驟409，當(dāng)檢測到所述故障時，所述主要控制器或次級控制器將與所述至少一個I/O模塊和所述至少一個受控設(shè)備的通信切換到所述次級控制器網(wǎng)絡(luò)。到所述次級控制器網(wǎng)絡(luò)的切換足夠快速地發(fā)生以便所述至少一個I/O模塊不更新所述至少一個受控設(shè)備到失效保護(hù)狀況。如果在步驟407處沒有檢測到故障，則所述方法返回到步驟401，并且所述方法重復(fù)。

盡管圖4圖解了用于操作以太網(wǎng)/IP過程控制系統(tǒng)的方法400的一個示例，但是可以對圖4進(jìn)行各種改變。例如，盡管在圖4中示出的各個步驟被示為一系列步驟，但是各個步驟可以重疊、并行地發(fā)生、以不同順序發(fā)生、或多次發(fā)生。而且，一些步驟可以被組合或移除并且根據(jù)特定需要，可以添加另外步驟。

在一些實施例中，用由計算機(jī)可讀程序代碼形成并在計算機(jī)可讀介質(zhì)中體現(xiàn)的計算機(jī)程序來實現(xiàn)或支持上面所述的各種功能。短語“計算機(jī)可讀程序代碼”包括任何類型的計算機(jī)代碼，包括源代碼、目標(biāo)代碼以及可執(zhí)行代碼。短語“計算機(jī)可讀介質(zhì)”包括能夠被計算機(jī)訪問的任何類型的介質(zhì)，諸如只讀存儲器（ROM）、隨機(jī)存取存儲器（RAM）、硬盤驅(qū)動器、緊湊式磁盤（CD）、數(shù)字視頻磁盤（DVD）或任何其他類型的存儲器?！胺菚簳r”計算機(jī)可讀介質(zhì)排除傳輸暫時電或其他信號的有線、無線、光學(xué)或其他通信鏈路。非暫時計算機(jī)可讀介質(zhì)包括其中可以永久地存儲數(shù)據(jù)的介質(zhì)和其中可以存儲數(shù)據(jù)并在稍后覆寫的介質(zhì)，諸如可重寫光盤或可擦存儲器器件。

可有利地闡述遍及本專利文獻(xiàn)使用的某些單詞和短語的定義。術(shù)語“應(yīng)用程序”和“程序”指代一個或多個計算機(jī)程序、軟件組件、指令集、程序、函數(shù)、對象、類、實例、相關(guān)數(shù)據(jù)或其一部分，其適合于用適當(dāng)?shù)挠嬎銠C(jī)代碼（包括源代碼、目標(biāo)代碼或可執(zhí)行代碼）來實現(xiàn)。術(shù)語“發(fā)射”、“接收”和“通信”以及其派生詞包括直接和間接通信兩者。術(shù)語“包括”和“包含”以及其派生詞意指在沒有限制的情況下的包括。術(shù)語“或”是包括性的，意指和/或。短語“與...相關(guān)聯(lián)”以及其派生詞可意指包括、包括在...內(nèi)、與...互連、包含、包含在...內(nèi)、連接到或與...連接、耦合到或與...耦合、可與...通信、與...合作、交織、并置、接近于、綁定到或與...綁定、具有、具有...的特性、到…/與...具有關(guān)系等。術(shù)語“控制器”意指控制至少一個操作的任何設(shè)備、系統(tǒng)或其一部分?？捎糜布蛴布蛙浖?固件的組合來實現(xiàn)控制器。與任何特定控制器相關(guān)聯(lián)的功能可以是集中式或分布式的，無論是本地地還是遠(yuǎn)程地。術(shù)語“……中的至少一個”在與一列項目一起使用時意指可使用所列項目中的一個或多個的不同組合，并且可僅需要列表中的一個項目。例如，“A、B和C中的至少一個”包括以下組合中的任何一個：A、B、C、A和B、A和C、B和C以及A和B和C。

雖然本公開已描述了某些實施例和一般關(guān)聯(lián)方法，但這些實施例和方法的變更和替換對于本領(lǐng)域的技術(shù)人員而言將是顯而易見。因此，示例性實施例的以上描述并不定義或約束本公開。在不脫離由以下權(quán)利要求限定的本公開的精神和范圍的情況下還可以有其它變更、替換以及變換。