WO2022186723A1 - Дублированная шина для систем автоматизированного контроля - Google Patents

Дублированная шина для систем автоматизированного контроля Download PDF

Info

Publication number
WO2022186723A1
WO2022186723A1 PCT/RU2021/000596 RU2021000596W WO2022186723A1 WO 2022186723 A1 WO2022186723 A1 WO 2022186723A1 RU 2021000596 W RU2021000596 W RU 2021000596W WO 2022186723 A1 WO2022186723 A1 WO 2022186723A1
Authority
WO
WIPO (PCT)
Prior art keywords
bus
telegrams
telegram
automation
address
Prior art date
Application number
PCT/RU2021/000596
Other languages
English (en)
French (fr)
Inventor
Владимир Львович КИШКИН
Александр Дмитриевич НАРИЦ
Александр Александрович НОВИКОВ
Юрий Николаевич ТИХОНОВ
Андрей Александрович БОРЗЕНКО
Original Assignee
Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА")
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") filed Critical Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА")
Priority to CN202180053582.8A priority Critical patent/CN116324746A/zh
Priority to EP21929338.8A priority patent/EP4191424A4/en
Priority to KR1020237007340A priority patent/KR20230084123A/ko
Publication of WO2022186723A1 publication Critical patent/WO2022186723A1/ru

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/001Computer implemented control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/36Handling requests for interconnection or transfer for access to common bus or bus system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21CNUCLEAR REACTORS
    • G21C7/00Control of nuclear reaction
    • G21C7/36Control circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • H04L12/437Ring fault isolation or reconfiguration
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin
    • Y02E30/30Nuclear fission reactors
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Definitions

  • the invention relates to automation and computer technology and can be used in systems for automated control and process control of nuclear power plants (APCS NPP) and other industrial facilities.
  • APCS NPP nuclear power plants
  • the system bus combines information and control of up to 800 bus subscribers - automation devices and instrumental computers that are part of the software and hardware complexes of the PTC for normal operation and the USB control safety system.
  • Redundancy of the EN bus is carried out by reconfiguring links in a common data transmission medium using Turbo Ring technology.
  • This technology is based on the so-called “virtual ring" of series-connected network switches, one of which, designated by the redundancy manager, keeps the ring open and controls the integrity of trunk connections between the switches in the ring by transmitting control telegrams from one end of the ring and receiving them from the other end. . If the integrity of the connections in the ring is broken, the redundancy manager restores it by closing the ring at the control point.
  • This technology has found wide application in automated process control systems of industrial facilities due to the short reconfiguration time of the ring segment, which is about 20 ms with the number of network switches in the ring no more than 250 and the minimum number of redundant links necessary for network reconfiguration, restoring its operability.
  • Non-redundant and redundant automation devices such as PA automation processors are connected to the EN bus via two subscriber channels A and B, via channel A to one network switch, via channel B to another network switch from one virtual ring. Reconfiguration of the bus by the redundancy manager in the event of a switch failure, together with the switching of the automation processor connected to this switch to another channel, restores its operability.
  • Data is transmitted over the EN bus in the form of address and broadcast telegrams of the application layer using standard protocols for the channel and physical layers of the Industrial Ethernet interface of communication modules of automation processors that are part of the bus and provide logical and physical connection of automation processors to the bus.
  • the transmission of address application telegrams is carried out in accordance with the standards IEEE802.2, IEEE 802.3 using the LLC protocol in mode 3 (LLC 3) of data transmission with delivery confirmation via an LLC acknowledgment telegram and
  • the LLC 3 protocol uses address numbering. telegram no mod 2. The individual number of the new telegram is incremented by 1 mod 2 before transmission, the number of the retransmitted telegram is not changed.
  • Switched Industrial Ethernet has a high data rate of up to 100 Mbps, which enables deterministic data transmission and random bus access.
  • the Ethernet interface has a significant drawback - the formation of high-intensity broadcast telegram streams in the bus, the so-called "broadcast storm", when the bus section is closed into a physical ring due to a malfunction or installation error during commissioning.
  • the "broadcast storm” involves not only broadcast, but also address telegrams transmitted in the broadcast mode in case of unavailability of the automation device - the recipient of address telegrams via the bus due to its malfunction or disconnection.
  • STP Shorting Tree Protocol
  • IEEE 802.ID IEEE 802.ID
  • RSTP Rapid Spanning Tree Protocol
  • IEEE 802.1D-2004 allowing you to create a fault-tolerant network architecture in a common data transmission medium, which provides blocking of parallel transmission paths of broadcast telegrams and preventing the occurrence of a "broadcast storm" by reconfiguring the network.
  • a sufficiently long network reconfiguration time which is more than 1 min in the STP protocol and more than 1 sec in the RSTP protocol with the number of switches in the network no more than 7, does not allow using it in industrial automation systems.
  • a significant disadvantage of these protocols is also a large number of redundant network connections, which leads to significant equipment costs in NPP automated control systems distributed over a large area.
  • the redundant bus consists of two independent and informationally and physically unrelated EN buses: ENa and ENb, built using the "virtual ring" technology.
  • ENa and ENb built using the "virtual ring" technology.
  • the non-redundant automation processors and each of the two redundant automation processors are connected on one channel to the network switch of the ENa bus and on the other channel to the network switch of the ENb bus.
  • the redundant automation processors are connected to each other via two serial interfaces for managing hot standby, built on the basis of the self-control function built into the automation processors.
  • the transmission of address telegrams on the bus is carried out only by one of the two redundant automation processors, active, and only on one ENa or ENb bus, on which the automation processor - the recipient of the telegrams was available on previous telegram transmissions, the second automation processor and the second bus are in a hot standby state .
  • Address telegrams are received by the active automation processor on the ENa or ENb bus on which the telegram is received.
  • Broadcast telegrams are transmitted and received by the active automation processor simultaneously on both ENa and ENb buses.
  • the telegram transmission session ends after its transmission via the ENb bus or when the recipient is unavailable after the transmission is repeated twice. If the transmission over the ENb bus channel is completed successfully, then the sender will send new telegrams to the same recipient based on the information in the ENb bus unavailability table.
  • a redundant bus consisting of two buses, each with its own data transmission medium, maintains operability at the physical layer when one of them closes into a physical ring due to error-free data transfer over the other healthy physical bus, which is not affected by the broadcast storm on the failed bus .
  • the means that completely exclude the impact on the processors of communication modules of the "broadcast storm" in this duplicate bus is not provided. As a result, this tire has the following disadvantages:
  • the present invention overcomes these disadvantages.
  • the technical result of the invention is to increase the reliability of the automation complex due to the organization of error-free operation of the automation complex in case of malfunctions and switching errors, leading to the closure of the bus section into a physical ring, causing a "broadcast storm".
  • the duplicated EN-2 bus which includes: unconnected first and second buses, made in accordance with the standard of switched Industrial Ethernet and point-to-point connections using Turbo Ring technology, serial connection of network switches into a "virtual "ring; communication modules that connect redundant automation processors to the bus via the first and second channels: via the first channel - to the switches of the first bus, via the second channel - to the switches of the second bus, with each pair of redundant processors automations are connected via an interprocessor interface, have a common network address and internal means of self-control and redundancy management; at the same time, in accordance with the communication information model of OSI (Open Systems Interconnection) terminal devices, standard Ethernet interface protocols that control data transfer over the bus are installed in the communication modules of automation processors: physical protocol PHY (PHYsical) at OSI layer 1 Logical Link Control) and the protocol for accessing the data transmission medium MAC (Medium Access Control) at level 2 OSI channel and the unified application protocol APM (Application Program Module) of
  • FIG. 1 schematically shows a duplicate bus as part of an automation system, made as an example in the form of a single ring segment, using Turbo Ring technology, where:
  • 5a - cable for connecting the first data transmission channel of the communication module to the network switch 2a of bus 1a;
  • 5b cable for connecting the second channel of the communication module to the network switch 2b of bus 1b;
  • FIG. 2 and FIG. 3 schematically shows the structures of the information model of the duplicated bus, implemented respectively in the communication modules 6 of the automation processors 3 and in the communication modules 7 of the interface gateways 4, which are part of the duplicated bus 1 , where:
  • 15a shows the telegram arrival line on the first channel 40a of the communication module 6 of the automation processor 3 and the first channel 50a of the communication module 7 of the interface gateway 4, respectively, to the first filtering service 22a of the automation processor and to the second filtering service 25a of the interface gateway;
  • 16a, 16b - telegram transmission lines from the filtering services, respectively 22a, 22b, to the LLC protocol 23 of the communication module 6 of the automation processor 3 and from the filtering services, respectively 25a, 25b, to the LLC protocol 23 of the interface gateway 4, respectively, via the first and second channels;
  • FIG. Figure 4 schematically shows the transmission structure of TLA R applied address numbered telegrams at the RPM 24 service level, nested in data link layer 13 telegram frames, over two buses: the first bus 1a and the second bus lb of the duplicated bus between devices automation: by the automation device - ASj telegram sender (Automatic device - Source), then the sender device and the automation device - ADi telegram receiver (Automatic device -Destination), then the recipient device, using the example of telegram exchange between two non-redundant automation processors, where: la, lb - the first and second physical buses of the duplicated bus;
  • 3j, 3i - automation processors representing, respectively, the device - the sender of telegrams ASj and the device - the recipient of telegrams ADi;
  • 29a, 29b conditional transmission lines between the RPM redundancy services of automation processors 3j, 3i, respectively, on the first bus 1a and the second unmet lb acknowledgment telegrams ACK(IDij, IFij, STij) in the RPM service format, nested in LLC telegrams, where IDij (IDentifier) - identifier of the acknowledgment telegram, IFij (Frame IDentifier) - identifier of the repeated frame of the acknowledgment telegram, STij (STatus) - status of the application protocol APM 26 of the device - the recipient of the address telegram.
  • FIG. 8 shows the structure of the first filtering services for broadcast and address telegrams received on the first 1a and second bus 1b of the duplicated bus, respectively, in the first 40a and second 40b channels of the communication module 6 of the automation processor 3, FIG. 2 where: 15a - the line of receipt of telegrams on the first channel 40a of the communication module 6 of the automation processor 3 to the first filtering service 22a of the automation processor;
  • 69 - a signal line for counting the first timeouts 46a, 46b and the second timeouts 47a, 47b of the first filtering services from the timer 48 at a frequency of 100 Hz; 71a - transmission line to the lb bus of the SVBU notification telegram about
  • FIG. 8 also shows the links of the first filtering services 22a, 22b of the automation processors with the protocols of the bus information model 23a, 23b, 24, 26, FIG. 2.
  • FIG. 9 shows the structure of the second filtering services for broadcast and address telegrams received on the first, second bus la, lb of the duplicated bus, respectively, in the first, second channels of the communication module 7 of the interface gateway 4, FIG. 3, where:
  • 25a, 25b show the second telegram filtering services in the first and second channels 50a, 50b of the gateway, respectively, FIG. 9, fig. four;
  • 85a, 85b - lines for reading the state of the end of the first timeouts, respectively 56a, 56b, in the first, second channels 50a, 50b of the automation processor; 87a, 87b - lines for blocking processing by interruption of telegrams arriving in the receive buffers, respectively 53a, 53b, when the corresponding counter of telegrams 54a, 54b overflows before the end of the first timeout, respectively, 56a, 56b;
  • FIG. 9 also shows in dotted lines the links of the second filtering services 25a, 25b of the interfacing gateways with the bus information model protocols 23a, 23b, 24, 26, FIG. 3.
  • Duplicated bus 1, schematically shown in FIG. 1 provides the following functions for the redundant software and hardware complex of automated process control: data exchange between redundant automation processors 3, necessary for automatic control of the technological process 10; reception by automation processors of commands for remote control of actuators of the technological process from the system of the upper block level 11 through redundant interface gateways 4 and their execution; transmission by automation processors 3 of data on the state of the technological process and the automation complex to interface gateways 4 for subsequent transmission to the system of the upper block level for analysis and control.
  • Redundant automation processors 3 for example, Zc, which is currently active, another automation processor, respectively 3 12 , which is currently time passive, operates in hot standby mode.
  • Redundant automation processors 3, for example, Zts, 312 are equipped with built-in self-monitoring and hot backup management and are connected to each other via two separate serial interfaces 9, through which they receive information about the partner’s health, respectively 31 2 , Zts , in accordance with the results of self-monitoring .
  • the active automation processor 3 for example, Zc
  • the active automation processor can be switched to the state of the passive automation processor 3, respectively 3 12 , and the passive to the active state, i.e. the automation processor will switch to standby.
  • Switching to the reserve of automation processors 3 also occurs in time to check the performance of the redundant automation processors on real operation algorithms.
  • the redundant automation processors are represented on the bus by the network address of the active automation processor, which is the same regardless of which of the 2 redundant automation processors is active.
  • Redundant interface gateways unlike automation processors, are independent and unrelated devices with external redundancy control from the upper block level system and are represented on duplicated bus 1 by different network addresses.
  • Duplicated bus 1 is built on the basis of the Industrial Ethernet interface and includes: two directly unconnected first 1a and second lb buses, made using the Turbo Ring ring technology, 8 network switches 2 connected in series over trunk links; communication modules 6 automation processors and communication modules 7 interface gateways.
  • Communication modules 6 of each of the two redundant automation processors ⁇ , 3 ⁇ 2 ; ... Z pb Z p2 , for example, 3 tt connect automation processors to the duplicated bus via two channels: via the first channel - via the communication line 5a to the network switch 2a of the first bus 1 a, via the second channel - via the communication line 5b to the network switch 2b of the second bus lb, which ensures the preservation of operability in case of any multiple failures of network equipment in one of the two buses (network switches 2, trunk lines 8, communication lines 5 of communication modules with network switches of this bus) by maintaining the operability of the other bus.
  • the first channels of the communication modules of the two redundant automation processors are connected respectively to two switches 2a of the first bus 1a, and the second channels are connected to two network switches 2b of the second bus 1b.
  • Each of the 2 buses is redundant by reconfiguring the ring, performed by one of the network switches connected in series into a ring via backbone connections.
  • This switch designated by the redundancy manager, keeps the ring open and monitors its integrity by transmitting control telegrams from one end of the ring and receiving them from the other end, connected to two trunk ports of the switch - the redundancy manager. If the integrity of connections in the ring is broken, the redundancy manager restores it by reconfiguring the bus, which it performs by logically closing the ring at the point of control.
  • redundancy managers perform bus reconfiguration. At the same time, the operability of both buses is restored as a result of the fact that, simultaneously with the reconfiguration, the automation processor is switched to a backup processor connected to serviceable switches of the duplicated bus.
  • the operability of the duplicated bus is maintained in case of any two-time failures of network equipment in both buses: trunk links 8, links between communication modules and switches 5, network switches 2, communication modules 6 automation processors and communication modules 7 interface gateways with the same amount of network equipment. This provides, with the same amount of network equipment, a significant increase in the reliability of the duplicated bus compared to the bus, the redundancy of which is made without duplication of ring segments.
  • Transmission of TLA address telegrams and TLB broadcast telegrams over the duplicated EN-2 bus is performed in accordance with the EN-2 bus information model shown in FIG. 2 for automation processors 3 and FIG. 3 for interfacing gateways 4.
  • the information model is built on 3 standard levels of the Ethernet interface of the 7-layer OSE model level 1 - physical 12 with the PHY 20 protocol, level 2 - channel 13 with the MAC 21 data access protocol and the logical LLC link 23 and layer 7 - applied 14 with the application protocol APM 26, supplemented in accordance with the invention with the RPM 24 reservation service at the application layer 14, the first filtering services TF 22 of the received telegrams in the channels 40 of the automation processors 3, fig. 2 and second filtering services TF1 25 received telegrams in the channels 50 of gateways 4, FIG. 3, at MAC sublayer 21 of layer 2 of OSI 13.
  • application address telegrams TLA are transmitted by the device - sender ASj 3j to the network device - recipient ADi 3i simultaneously on two independent buses la, lb along conditional lines 19a, 19b in the form of 2 identical frames TLA R (INji, FNji, TLA) of the RPM redundancy service 24, which contain the application address telegram TLA and the individual number INji of this telegram and the repeated frame number FNji generated in the RPM service.
  • the ADi 3i receiving device receives, using the following mechanism for individually numbering address telegrams, from two one frame of incoming telegram frames, extracts the TLA application telegram from this frame to transfer it to the application level of the workstation, generates in the RPM service and sends to the address of the device - the sender of the TLA telegram via conditional lines 29a, 29b buses la, lb an ACK acknowledgment telegram (IDij, IFij, STij) in the RPM service format in the form of 2 identical frames encapsulated in LLC telegrams in mode 1, where IDij is the identifier of the handshake telegram, IFij is the identifier of the repeated frame of the handshake telegram, STij is the status of the APM protocol in device 3i.
  • the current state of the ASj and ADi devices in the procedure for transmitting address telegrams with confirmation at the RPM level is determined by the subscriber status parameters in the RPM service.
  • the state (status) of the sending device ASj is determined by the following parameters: NTCji (Number Telegram Counter) - the value of the cyclic counter of telegram numbers modulo L,
  • the state of the ADi receiver device is determined by the following parameters:
  • the sending device Before transmitting a TLA address telegram, the sending device generates and assigns to it an individual INji number and a repeat frame transmission number FNji, which are placed together with the application telegram in the TLA R frame of the address telegram in the RPM format: TLA R (INji, FNji, TLA).
  • Individual numbering of address telegrams is set for each pair of automation device - sender ASj and automation device - recipient ADi.
  • the individual number INji of the address telegram transmitted from the device ASj to the device ADi is formed using the cyclic telegram number counter NTCji modulo L, where L is the maximum number of different individual numbers.
  • the sending device ASj increases the value of the counter NTCji by 1 modulo L in accordance with the order of telegram transmission and assigns its value to the individual number INji.
  • the ASj device increments the repetition counter RCji by 1, assigns its value to the reframe number FNji in the TLAR telegram (INji, FNji, TLA).
  • the value of INji does not change during the transmission of repeated frames.
  • the maximum number of repeated frames transmitted and, accordingly, the maximum value of the counter RCji 2.
  • RPM-numbered application address telegrams TLA R (INji, FNji, TLA), fig. 4 are encapsulated in the data field of LLC telegrams, FIG. 2, fig. 3 and are transmitted over the buses la, lb by software modules LLCa, LLCb, fig. 2, fig. 3, to the ADi device, which in matching with the same model accepts them and extracts RPM layer TLA R application frames from them, which is equivalent to the direct exchange between ASj and ADi over links 19a, 19b, 29a, 29b, schematically shown in FIG. four.
  • type 1 LLC protocol telegrams are used without prior connection establishment and delivery confirmation at the LLC level, performed in parallel on channels A, B.
  • the next new telegram or repeated frame can be transmitted after the delivery of the next address telegram and the receipt of an ACK telegram at the RPM level on any of the 2 buses, without waiting for an acknowledgment telegram on the other bus. This ensures synchronous transmission of telegrams and their operational redundancy, and also eliminates the impact on the performance of the duplicated bus of increasing the delivery time of telegrams on one of the buses due to its failure.
  • the ADi receiving device Based on individual numbers of TLA telegrams received via two buses, the ADi receiving device analyzes the order in which telegrams are issued by the sending device in relation to the value of the INRij number stored in the RPM service of the last telegram received via one of the EN-2a, EN-2b buses. The receiving device accepts a telegram if it was issued later than the last received telegram (new telegram), does not accept it if it was issued simultaneously with the last received one, but on a different bus (copy of the last received telegram in the receive buffer), or it was issued earlier the last received telegram (a delayed copy of a previously received telegram or a delayed and not yet received telegram).
  • Confirmation of receipt of the address target telegram via one of the buses is performed using a special response ACK acknowledgment telegram, which the recipient subscriber ADi of the address telegram generates in the RPM reservation service and transmits to the sending device ASj in the form of 2 identical application frames via buses 1a and lb.
  • the receiving device ADi of the target telegram Before transmitting the ACK telegram, the receiving device ADi of the target telegram generates and places in the data field of the ACK telegram the telegram identifier IDij, the repeat frame identifier Flij, and the delivery status STij of the telegram TLA to the application layer of the workstation. An ACK(IDij, IFij, STij) telegram is generated.
  • the device ASj in the RPM service Based on the operation code and identifiers IDij, IFij, the device ASj in the RPM service recognizes the ACK telegram or its repeated frame received respectively in response to the target TLA R telegram transmitted by it, or the repeated frame of the TLA R telegram.
  • Two algorithms are proposed - computational and tabular, for determining the conditions for acceptance / non-acceptance by the RPM service of the current address telegram by its individual number INji and the value of the individual number of the last received telegram INRij stored in the RPM service.
  • the computational algorithm for determining the conditions for receiving / non-receiving an address telegram is illustrated in the diagrams, fig. 5 and FIG. 6.
  • the numbers of received telegrams in the amount (L / 2 -1) issued later than the last received telegram with the number INRij differ from (L / 2 + 1) numbers of not received telegrams , issued earlier than the last received telegram, i.e. all numbers within this range of L are unique, regardless of the value of the INRij number.
  • Range 33 includes two sub-ranges: 33.1 and 33.2.
  • the telegram numbers of the sub-range 33.1 are included in the same cycle of the NTCji counter, in which the INRij number is located. These telegrams are received according to the relation Inji > INRij.
  • the telegram numbers of the range 33.2 are included in the next cycle of NTCji changes, in which telegrams are issued later than telegrams with the INRij number, but their numbers are Inji ⁇ INRij.
  • the 35 range consists of two subranges: 35.1 and 35.2.
  • the telegram numbers of the subrange 35.1 are included in the same NTCji change cycle in which the INRij number is located. These telegrams are not accepted due to the relation INji ⁇ INRij.
  • the telegram numbers of the subrange 35.2 are included in the previous NTCji change cycle, in which telegrams are issued before the telegram with the INRij number, but their numbers are INji > INRij.
  • the number 1 in the column of the table at the intersection of the column with the number INji and the row with the number INRij means that with such values of the INji and INRij numbers, the telegram is accepted, and the number 0 means that the telegram is not received.
  • the tabular method does not require calculations and provides an estimated higher performance, but the table requires memory, the amount of which depends on the selected value of L.
  • L 256 (the NTCji counter is 8-bit) and the byte representation of the table data, 64 memory is required Kb, which is acceptable.
  • Kb 64 memory is required for large values of L, a computational algorithm for analyzing numbered telegrams may turn out to be more preferable.
  • Broadcast telegrams of the application layer TLB are generated by the application protocol service APM 26, FIG. 2, fig.3, the sender device: the interface gateway or the automation processor, and are transmitted to the recipient devices via the LLC 23 protocol in mode 1 without delivery confirmation in the LLC protocol over two channels communication module and buses la, lb in the form of two identical frames without individual numbering.
  • Pairing gateways 4, fig. 1, 3, broadcast time synchronization telegrams SYN are transmitted in accordance with the order and the regulated repetition time from 5 seconds to 20 seconds, set by the SVBU 11, FIG. one.
  • Automation processors 3, FIG. 1, 2, broadcast telegrams of the ANZ type informing the SBU 11 about the state of automation processors 3 and bus 1. These telegrams are transmitted by different automation processors at random intervals.
  • Group 1 includes low-level automation devices such as automation processor 3, which, of the broadcast telegrams transmitted over the la, lb buses, receive and execute only broadcast telegrams for time synchronization SYN. At the same time, out of two frames arriving on the la, lb buses, these devices accept one frame for execution, as when receiving TLA address telegrams, the second frame (copy) received on the other bus is discarded.
  • automation processor 3 low-level automation devices
  • these devices accept one frame for execution, as when receiving TLA address telegrams, the second frame (copy) received on the other bus is discarded.
  • the remaining broadcast telegrams transmitted on bus 1, including ANZ type notification telegrams, are not used in group 1 devices and are discarded by the first filtering services TF 22, FIG. 2.
  • the filtering service 22 of the automation processor 3, FIG. 1, 2 prevents processor overload on this bus by periodically blocking interrupt processing of all those stored in the receive buffer and entering the buffer broadcast and address telegrams within the telegram flow measurement intervals.
  • the filtering service 22 also prohibits the execution of SYN telegrams and address telegrams received on this bus for the entire duration of the "storm” in order to exclude the execution of SYN telegrams with out-of-date time and address telegrams with out-of-date data due to their possible delay in a faulty bus and further reduce the load on the processor.
  • Group 2 devices are pairing gateways 4.
  • ANZ telegrams about the status of one of the 2 buses of a duplicated bus are usually transmitted over a healthy bus and contain information about the type of failure of the other bus and its identifier. Therefore, the application telegrams ANZ of both buses are sent to the application level of the interface gateway in a common file and in this form are stored in the archive of the ULCS 11. They can be used to identify the faulty bus 1a or lb. Broadcast SYN telegrams are discarded by the gateway filtering services.
  • Address telegrams are received on one of the 2 buses, on which the telegram arrives first in time. Copies of telegrams received on another bus and delayed address telegrams are discarded in accordance with the individual numbering procedure, the data is sent to the ULCS 11, fig. 1 , for processing and analysis.
  • the second filtering service 25 of the interface gateway 4 prevents processor overload on this bus by blocking interrupt processing of all broadcast and address telegrams stored in the receive buffer and entering the buffer in the measurement intervals overload. Filtering service 25 also prohibits the execution of broadcast and address telegrams arriving on this bus for the entire duration of the "storm” in order to exclude the execution of ANZ telegrams and address telegrams with outdated data due to their possible delay in a faulty bus and further reduce the load on the processor of the gateway communication module conjugation.
  • the data of address telegrams received in accordance with the individual numbering procedure from both buses la, lb and a file with applied broadcast telegrams ANZ received on both buses are used. and indicating faults on another bus or on a module channel connected to another bus.
  • ANZ broadcast telegrams are used, which are generated in communication modules during overload registration and transmitted over a healthy bus, as well as address telegrams transmitted over a healthy bus.
  • FIG. eight The structure of filtering in automation processors is shown in Fig. eight.
  • each channel of the communication module of the automation processor after writing a telegram to the corresponding receive buffer 43 a / 43 b, an interrupt is generated, through which control is transferred to the telegram handler program 43 a / 43 b of the first service filtering TF 22a / 22b, which reads from the receive buffer on line 60a / 60b and processes the telegram that caused the interrupt.
  • Telegram handler 45a of the first filtering service TF 22a performs the following functions in group 1 automation devices:
  • Timeout 46a Periodically starts on line 63a upon receipt of broadcast or address telegrams on line 60a the first timeout 46a with a default duration of 2 seconds. Timeout 46a is counted by an interrupt from timer 48 with a frequency of 100 Hz on line 69.
  • the telegram handler 45a executes the incoming SYN telegram by directly writing the current time value from the telegram data field to the real-time counter 49 of the communication module of the automation processor via line 17a; transmits TLA address telegrams via line 16a to the LLC protocol 23a and further via line 27a to the RPM 24 reservation service for analysis and processing in accordance with the numbering procedure and subsequent execution in the application protocol 26; discards broadcast telegrams of other types, including ANZ telegrams.
  • the telegram handler 45a After the SYN telegram is received for execution, the telegram handler 45a starts the second timeout 47a by default equal to 5 seconds via line 64a, which prohibits the execution of a copy of the telegram for this time SYN telegrams arriving on another bus, and the execution of new SYN telegrams arriving on both buses at unregulated time intervals less than 5 seconds after the executed telegram, and also additionally prohibits the execution of SYN telegrams arriving during the measurement of overload on the first timeout 46a caused by " broadcast storm.
  • the telegram handler sets the overload flag to state 1, which prohibits the execution of SYN telegrams during the entire duration of the broadcast storm by prohibiting the transmission of the time value from the data field of the telegram to the real-time counter 49 via line 17a and prohibits the execution of address telegrams by prohibiting the transmission of telegrams to the LLC 23 protocol on line 16a.
  • the prohibition is set in order to prevent the execution of delayed telegrams with outdated data on a faulty bus.
  • the telegram filtering service TF 22b on the second channel performs telegram filtering functions similarly to the TF 22a service.
  • the function of telegrams ANZ9811 , ANZ9821 , generated by the TF 22a service is performed by telegrams ANZ9812, ANZ9822, generated by the TF 22b service.
  • the filtering structure in gateways is shown in FIG. 9.
  • All telegrams arriving at the communication module 7 of the interface gateway 4, FIG. 1, via la / lb buses, are transmitted via direct access channels 51a / 5 lb, to the corresponding receive buffers 53a / 53b of the first / second channels 50a / 50b of the interface gateway communication module.
  • each channel of the communication module 7 of the interface gateway after writing the telegram to the corresponding buffer 53a / 53b, an interrupt is generated, according to which control is transferred to the program of the telegram handler 55a / 55b of the filtering service TF1 25a / 25b, which reads from the receive buffer and processes the telegram that caused the interrupt.
  • the telegram handler 55a of the second filtering service 25a of telegrams received via the first channel performs the following functions in group 2 network devices:
  • an overload registration timeout 56a Periodically starts on line 83a when broadcast or address telegrams arrive on line 80a, an overload registration timeout 56a with a default duration of 2 seconds.
  • the overload timeout 56a is counted by an interrupt from the timer 58 with a frequency of 100 Hz.
  • the telegram handler 55a transmits ANZ telegrams via line 17a to the LLC protocol 23a for subsequent transmission via line 18a to a separate common application protocol file intended for registering application broadcast telegrams ANZ buses 1a, 16, and transmits TLA address telegrams over line 16a to LLC protocol 23a for further execution in application protocol 26 of one of two identical RPM 24 format telegrams selected in accordance with the numbering procedure in the RPM reservation protocol, discards broadcast telegrams of others types, including SYN telegrams.
  • the filtering service TF1 25b transfers ANZ telegrams arriving on channel B to a common file with ANZ telegrams arriving on channel A.
  • the telegram handler sets the overload flag to state 1, which prohibits the execution of ANZ telegrams during the entire duration of the broadcast storm by prohibiting the recording of these telegrams via line 17a into the LLC 23a protocol and further along line 18a into a separate common for bus telegrams 1a, 1 to the application protocol file 26.
  • the overload flag also prohibits the execution of TLA address telegrams by prohibiting the transmission of these telegrams over line 16a to the LLC protocol 23a for further execution in the application protocol 26 after selecting one of two identical telegrams in the RPM reservation service 24 in accordance with the numbering procedure and its transmission via line 18a to the application protocol.
  • the prohibition is set in order to prevent the execution of delayed telegrams with outdated data on a faulty bus.
  • the telegram filtering service TF1 25b performs the functions of filtering over channel B in the same way as the service TF1 25a.
  • the function of telegrams ANZ981 1, ANZ9821, generated by the service TF1 25a is performed by telegrams ANZ9812, ANZ9822, generated by the service TF1 25b.
  • the filtering efficiency depends on the choice of the values of the capacities N of the telegram counters 44, 54 and the values of the overload timeouts 46, 56 in Fig.8 and Fig.9.
  • the selected values of N and the values of overload timeouts should provide reliable registration of the broadcast storm and exclude false registration of the storm during normal telegram flows.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Automation & Control Theory (AREA)
  • Chemical & Material Sciences (AREA)
  • Chemical Kinetics & Catalysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к автоматике и вычислительной технике и может быть использовано в системах автоматизированного контроля и управления технологическим процессом атомных электростанций и других промышленных объектов. Устройство содержит несвязанные между собой первую и вторую шины (la, lb), выполненные в соответствии со стандартом коммутируемого интерфейса Industrial Ethernet и соединений типа «точка- точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо; коммуникационные модули (6), подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации (3), имеющие общие сетевые адреса и собственные средства управления резервированием и коммуникационные модули (7), подключающие к шине резервируемые шлюзы сопряжения (4) с системой верхнего блочного уровня, являющиеся независимыми устройствами с собственными сетевыми адресами и внешним управлением резервированием со стороны системы верхнего блочного уровня. Коммуникационные модули осуществляют передачу технологических данных и диагностической информации между подключенными к шине устройствами в соответствии с информационной моделью связи оконечных устройств OSI уровней 1, 2, 7.

Description

ДУБЛИРОВАННАЯ ШИНА ДЛЯ СИСТЕМ АВТОМАТИЗИРОВАННОГО КОНТРОЛЯ
Изобретение относится к автоматике и вычислительной технике и может быть использовано в системах автоматизированного контроля и управления технологическим процессом атомных электростанций (АСУ ТП АЭС) и других промышленных объектов.
В АСУ ТП АЭС системная шина объединяет информационно и по управлению до 800 абонентов шины - устройств автоматизации и инструментальных компьютеров, входящих в состав программно- технических комплексов ПТК нормальной эксплуатации и управляющей системы безопасности УСБ.
В современных комплексах АСУ ТП АЭС широко используется резервированная системная шина EN, построенная на базе промышленного интерфейса коммутируемого Ethernet (Industrial Ethernet) и полнодуплексных соединений типа «точка-точка». Патент РФ J 2431174, МПК G05B 19/418, 10.10.2011, Патент РФ .Ns? 2430400, МПК G05B 19/418, 27.09.2011.
Резервирование шины EN осуществляется путем реконфигурации связей в общей среде передачи данных по технологии Turbo Ring. Данная технология построена на основе так называемого «виртуального кольца» последовательно соединенных сетевых коммутаторов, один из которых, назначенный менеджером резервирования, поддерживает кольцо разомкнутым и контролирует целостность магистральных соединений между коммутаторами в кольце путем передачи контрольных телеграмм с одного конца кольца и приема их с другого конца. При нарушении целостности соединений в кольце менеджер резервирования восстанавливает ее путем замыкания кольца в точке контроля. Эта технология нашла широкое применение в АСУ ТП промышленных объектов благодаря малому времени реконфигурации кольцевого сегмента, составляющему около 20 мс при количестве сетевых коммутаторов в кольце не более 250 и минимальному количеству избыточных связей необходимых для реконфигурации сети, восстанавливающей ее работоспособность.
Нерезервированные и резервированные устройства автоматизации типа процессоров автоматизации ПА подключаются к шине EN по двум абонентским каналам А и В, по каналу А к одному сетевому коммутатору, по каналу В к другому сетевому коммутатора из состава одного виртуального кольца. Реконфигурация шины менеджером резервирования при отказе коммутатора совместно с переключение процессора автоматизации, подключенного к данному коммутатору, на другой канал обеспечивают восстановление ее работоспособности.
Данные передаются по шине EN в виде адресных и широковещательных телеграмм прикладного уровня по стандартным протоколам канального и физического уровней интерфейса Industrial Ethernet коммуникационных модулей процессоров автоматизации, входящих в состав шины и обеспечивающих логическое и физическое подключение процессоров автоматизации к шине.
На прикладном уровне шины EN используется протокол передачи аналоговой и дискретной информации технологического процесса и диагностической информации АСУ ТП АЭС.
На канальном уровне интерфейса Industrial Ethernet передача адресных прикладных телеграмм производится в соответствие со стандартами IEEE802.2, IEEE 802.3 по протоколу LLC в режиме 3 (LLC 3) передачи данных с подтверждением доставки по LLC-телеграмме квитирования и
' ! повторением передачи до п раз в случае неполучения телеграммы квитирования. Дня того чтобы отличать при приеме новую телеграмму от переданной повторно, в протоколе LLC 3 используется нумерация адресных телеграмм no mod 2. Индивидуальный номер новой телеграммы увеличивается перед передачей на 1 по mod 2, номер повторно передаваемой телеграммы не изменяется.
Коммутируемый промышленный Ethernet имеет высокую скорость передачи данных до 100 Мбит/с, что обеспечивает детерминированную передачу данных и произвольный доступ к шине. Но при этом интерфейс Ethernet имеет существенный недостаток - образование в шине потоков широковещательных телеграмм высокой интенсивности, так называемый «широковещательный шторм», при замыкании участка шины в физическое кольцо вследствие неисправности или ошибки монтажа при пуско- наладочных работах. При этом в «широковещательном шторме» участвуют не только широковещательные, но и адресные телеграммы, передаваемые в широковещательном режиме в случае недоступности устройства автоматизации - получателя адресных телеграмм по шине вследствие его неисправности или отключения. Как показал опыт эксплуатации шины EN, образование физических колец в шине, построенной на базе Industrial Ethernet по технологии виртуального кольца, может происходить вследствие неисправностей шины или чаще вследствие ошибок монтажа при пуско- наладочных работах. «Широковещательный шторм» может вызывать переполнение передающих и приемных буферов абонентов шины и коммутаторов и нарушение вследствие этого обмена данными между абонентами. Он может также привести к перегрузке процессоров коммуникационных модулей абонентов, если они имеют недостаточно высокую производительность, а также к невыполнению вследствие этого процессором автоматизации других функций не связанных с управлением передачей данных по шине EN: обмена данными с модулями связи с технологическим процессом или нарушению работы процессоров автоматизации по шинам управляющей системы безопасности УСБ. Патент РФ Jfe 2430400, МПК G05B 19/418, 27.09.2011. Основным недостатком данных решений является нарушение при «широковещательном шторме» на шине EN обмена данными по этой шине между подключенными к ней процессорами автоматизации вследствие построения этой шины в виде общей среды передачи данных, резервируемой путем реконфигурации связей.
Известны протоколы: STP (Spanning Tree Protocol), IEEE 802. ID, и RSTP (Rapid Spanning Tree Protocol), IEEE 802.1D-2004, позволяющие создавать отказоустойчивую архитектуру сети в общей среде передачи данных, которая обеспечивает блокирование параллельных путей передачи широковещательных телеграмм и предотвращение возникновения «широковещательного шторма» путем реконфигурации сети. Но достаточно большое время реконфигурации сети, составляющее больше 1 мин в STP протоколе и более 1 сек в RSTP протоколе при количестве коммутаторов в сети не более 7, не позволяет использовать его в промышленных системах автоматизации. Существенным недостатком этих протоколов является также большое количество избыточных сетевых соединений, что приводит к значительным затратам оборудования в распределенных на большой территории комплексах АСУ ТП АЭС.
Известна дублированная шина EN в комплексе программно- аппаратных средств автоматизации контроля и управления. Дублированная шина состоит из двух независимых и не связанных информационно и физически шин EN: ENa и ENb, построенных по технологии «виртуального кольца». Нерезервированные процессоры автоматизации и каждый из двух резервируемых процессоров автоматизации подключаются по одному каналу к сетевому коммутатору шины ENa, а по другому каналу - к сетевому коммутатору шины ENb. Резервируемые процессоры автоматизации соединены друг с другом по двум последовательным интерфейсам управления горячим резервированием, построенного на основе встроенной в процессоры автоматизации функции самоконтроля. Патент РФ Ns 2450305, МПК G05B 19/00, 10.05.2012. Данное техническое решение принято в качестве прототипа.
Передача адресных телеграмм по шине производится только одним из двух резервируемых процессоров автоматизации, активным, и только по одной шине ENa или ENb, по которой процессор автоматизации - получатель телеграмм был доступным на предыдущих передачах телеграмм, второй процессор автоматизации и вторая шина находятся в состоянии горячего резерва. Прием адресных телеграмм производится активным процессором автоматизации по той шине ENa или ENb, по которой поступает телеграмма. Передача и прием широковещательных телеграмм производится активным процессором автоматизации одновременно по обеим шинам ENa и ENb.
При недоступности процессора автоматизации-получателя после п- кратного повторения передачи по протоколу LLC в режиме 3 по одной шине, например ENa, адрес получателя помещается в список недоступных процессоров автоматизации по этой шине и телеграмма таким же образом повторно передается по шине ENb, типовое значение п = 2. Сеанс передачи телеграммы завершается после передачи ее по шине ENb или по недоступности получателя после двукратного повторения передачи. Если передача по каналу шины ENb завершается успешно, то новые телеграммы в адрес того же получателя отправитель будет передавать на основании информации в таблице недоступности по шине ENb.
Дублированная шина, состоящая из двух шин, каждая из которых имеет собственную среду передачи данных, сохраняет на физическом уровне работоспособность при замыкании одной из них в физическое кольцо за счет безошибочной передачи данных по другой исправной физической шине, на которую широковещательный шторм на неисправной шине не распространяется. Но средства, полностью исключающие воздействие на процессоры коммуникационных модулей «широковещательного шторма» в данной дублированной шине не предусмотрены. Вследствие этого данная шина имеет следующие недостатки:
- возможность перегрузки процессоров коммуникационных модулей абонентов широковещательными телеграммами при замыкании участка одной из 2-х шин в физическое кольцо и нарушения выполнения отдельных функций процессоров, если производительность коммуникационных процессоров недостаточно высокая,
- возможность приема и выполнения задержанных адресных и широковещательных телеграмм с неактуальными данными, образующихся на неисправной шине при «широковещательном шторме», и нарушения вследствие этого процедуры обработки телеграмм на прикладном уровне,
Данное изобретение устраняет указанные недостатки.
Техническим результатом изобретения является повышение надежности комплекса автоматизации за счет организации безошибочной работы комплекса автоматизации при неисправностях и ошибках коммутации, приводящих к замыканию участка шины в физическое кольцо, вызывающее «широковещательный шторм».
Технический результат достигается тем, что в дублированной шине EN-2, включающей: несвязанные между собой первую и вторую шины, выполненные в соответствии со стандартом коммутируемого Industrial Ethernet и соединений типа «точка - точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо; коммуникационные модули, подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации: по первому каналу - к коммутаторам первой шины, по второму каналу - к коммутаторам второй шины, при этом каждая пара резервируемых процессоров автоматизации соединены по межпроцессорному интерфейсу, имеют общий сетевой адрес и внутренние средства самоконтроля и управления резервированием; при этом в коммуникационные модули процессоров автоматизации установлены в соответствии с информационной моделью связи оконечных устройств OSI (Open Systems Interconnection) стандартные протоколы интерфейса Ethernet, управляющие передачей данных по шине: физический протокол PHY (PHYsical) на уровне 1 OSI физическом, протокол логического звена LLC (Logical Link Control) и протокол доступа к среде передачи данных MAC (Medium Access Control) на уровне 2 OSI канальном и унифицированный прикладной протокол АРМ (Application Program Module) шины EN на уровне 7 OSI прикладном; в состав дублированной шины по настоящему изобретению дополнительно введены коммуникационные модули, подключающие к шине резервируемые шлюзы сопряжения, осуществляющие передачу технологических данных и диагностической информации между устройствами низовой автоматики и системой верхнего блочного уровня в соответствии с информационной моделью связи оконечных устройств OSI уровней 1, 2, 7 и являющиеся независимыми устройствами с собственными сетевыми адресами и внешним управлением резервированием со стороны системы верхнего блочного уровня; в коммуникационные модули процессоров автоматизации и шлюзов сопряжения дополнительно к унифицированному протоколу передачи данных уровня 7 OSI и стандартным протоколам уровней 1 , 2 OSI установлен на уровне 7 OSI сервис резервирования RPM (Reserving Program Module), управляющий синхронной передачей адресных и широковещательных телеграмм по первой и второй шинам дублированной шины по протоколу LLC в режиме 1 с подтверждением доставки адресных телеграмм в сервисе RPM хотя бы по одной из шин, выполняющий формирование индивидуальных номеров адресных телеграмм по модулю L при передаче телеграмм и анализ порядка выдачи телеграмм относительно номера последней принятой телеграммы при получении телеграмм с целью приема новых телеграмм и отбрасывания задержанных дубликатов ранее принятых телеграмм; на МАС-подуровне уровня 2 OSI в первом и втором каналах процессора автоматизации установлен первый сервис фильтрации TF (Telegram Filter) потоков телеграмм, возникающих при «широковещательном шторме» и состоящих из широковещательных телеграмм и адресных телеграмм, передаваемых в широковещательном режиме при недоступности получателя; на МАС-подуровне уровня 2 OSI в первом и втором каналах шлюза сопряжения установлен второй сервис фильтрации TF1 этих потоков телеграмм, предотвращающие перегрузку процессоров коммуникационных модулей, соответственно, процессоров автоматизации и шлюзов сопряжения и исполнение задержанных телеграмм с неактуальными данными при «широковещательном шторме».
Сущность изобретения поясняется чертежами.
На фиг. 1 схематично представлена в составе системы автоматизации дублированная шина, выполненная в качестве примера в виде одного кольцевого сегмента, по технологии Turbo Ring, где:
1 - дублированная шина;
1а - первая физическая шина передачи данных дублированной шины
1; lb - вторая физическая шина передачи данных дублированной шины
1;
2а, - сетевые коммутаторы первой шины 1 а;
2Ь - сетевые коммутаторы второй шины lb;
Зц, 312— 3hi, Зп2 - резервированные процессоры автоматизации с внутренним управлением резервированием; 4ц, 412 — 4m 1 , 4m - резервированные шлюзы сопряжения с внешним управлением резервированием со стороны СВБУ 11 ;
5 а - кабель подключения первого канала передачи данных коммуникационного модуля к сетевому коммутатору 2а шины 1 а; 5Ь - кабель подключения второго канала коммуникационного модуля к сетевому коммутатору 2Ь шины 1 Ь;
6ц, 6 2~ 6пь 6П2 - входящие в состав шины 1 коммуникационные модули процессоров автоматизации Зц, 312— 3„i, Зпг;
7ц, 712— 7mi, 7m2 - входящие в состав шины 1 коммуникационные модули шлюзов сопряжения 41 4i2-4mb 4m2;
8а - магистральный кабель связи сетевых коммутаторов 2а шины 1 а;
8Ь - магистральный кабель связи сетевых коммутаторов 2Ь шины lb;
9 - линии управления резервированием процессоров автоматизации.
10 - оборудование управления технологическим процессом; 11 - система верхнего блочного уровня управления (СВБУ).
На фиг. 2 и фиг. 3 схематично представлены структуры информационной модели дублированной шины, реализованные соответственно в коммуникационных модулях 6 процессоров автоматизации 3 и в коммуникационных модулях 7 шлюзов сопряжения 4, входящих в состав дублированной шины 1 , где:
1 - фрагмент дублированной шины;
1а - первая физическая шина передачи данных дублированной шины 1; lb - вторая физическая шина передачи данных дублированной шины 1;
3 - процессор автоматизации;
4 - шлюз сопряжения;
6 - коммуникационный модуль процессора автоматизации;
7 - коммуникационный модуль шлюза сопряжения; 12 - уровень 1 физический стандартной семиуровневой информационной модели сети OSI (Open Systems Interconnection);
13 - уровень 2 канальный информационной модели сети OSI;
14 - уровень 7 прикладной информационной модели сети OSI; 15а - линия поступления телеграмм по первому каналу 40а коммуникационного модуля 6 процессора автоматизации 3 и первому каналу 50а коммуникационного модуля 7 шлюза сопряжения 4 соответственно в первый сервис фильтрации 22а процессора автоматизации и во второй сервис фильтрации 25а шлюза сопряжения;
15Ь - линия поступления телеграмм, по второму каналу 40Ь коммуникационного модуля 6 процессора автоматизации 3 и второму каналу 50Ь коммуникационного модуля 7 шлюза сопряжения 4 соответственно в первый сервис фильтрации 22а процессора автоматизации и во второй сервис фильтрации 25а шлюза сопряжения;
16а, 16Ь - линии передачи телеграмм из сервисов фильтрации, соответственно 22а, 22Ь, в протокол LLC 23 коммуникационного модуля 6 процессора автоматизации 3 и из сервисов фильтрации, соответственно 25а, 25Ь, в протокол LLC 23 шлюза сопряжения 4 соответственно по первому и второму каналам;
17а, 17Ь - линии передачи широковещательных телеграмм синхронизации времени SYN из первых сервисов фильтрации, соответственно 22а, 22Ь, в счетчик реального времени 49 процессора автоматизации 3 соответственно по первому, второму каналу коммуникационного модуля 6 процессора автоматизации 3;
18а, 18Ь - линии передачи / приема широковещательных телеграмм TLB (TeLegram - Broadcast) в / из прикладного протокола 26 соответственно по первому, второму каналу шлюза сопряжения 4; a - физический протокол PHY интерфейса Industrial Ethernet первого канала коммуникационных модулей 6, 7, стандарт IEEE 802.3, 2000 Edition; b - физический протокол интерфейса Industrial Ethernet второго канала коммуникационных модулей 6, 7, стандарт IEEE 802.3,
2000 Edition; а - протокол MAC доступа к среде передачи данных интерфейса Industrial Ethernet первого канала коммуникационных модулей 6, 7, стандарт ШЕЕ 802.3, 2000 Edition; b - протокол MAC доступа к среде передачи данных интерфейса
Industrial Ethernet второго канала коммуникационных модулей 6, 7, стандарт ШЕЕ 802.3, 2000 Edition; а - первый сервис фильтрации TF получаемых по первой шине 1а телеграмм, дополнительно установленный по настоящему изобретению в первый канал 40а коммуникационного модуля 6 процессора автоматизации 3; Ь - первый сервис фильтрации TF получаемых по второй шине lb телеграмм, дополнительно установленный по настоящему изобретению во второй канал 40Ь коммуникационного модуля 6 процессора автоматизации 3; а - протокол логического звена LLC интерфейса Industrial Ethernet, стандарт ШЕЕ 802.2 1998 Edition, первого канала коммуникационных модулей 6, 7; Ь - протокол логического звена LLC интерфейса Industrial Ethernet, стандарт ШЕЕ 802.2 1998 Edition, второго канала коммуникационных модулей 6, 7; - сервис резервирования RPM, дополнительно введенный по настоящему изобретению в стандартную информационную модель на уровне 7 OSI 14; 25a - второй сервис фильтрации TF1 получаемых по первой шине 1а телеграмм, дополнительно установленный по настоящему изобретению в первый канал 50а коммуникационного модуля 7 шлюза сопряжения; 25Ь - второй сервис фильтрации TF1 получаемых по второй шине lb телеграмм, дополнительно установленный по настоящему изобретению во второй канал 50Ь коммуникационного модуля 7 шлюза сопряжения;
26 - унифицированный прикладной протокол шины EN; 27а - линия передачи / приема прикладных адресных телеграмм TLAR
(TeLegram - Address) в формате сервиса RPM и телеграмм квитирования АСК (ACKnoledge) в первый канал / из первого канала коммуникационного модуля 6 процессора автоматизации 3 и коммуникационного модуля 7 шлюза сопряжения 4; 27Ь - линия передачи / приема прикладных адресных телеграмм TLAR в формате сервиса RPM и телеграмм квитирования АСК (ACKnoledge) во второй канал / из второго канала коммуникационного модуля 6 процессора автоматизации 3 и коммуникационного модуля 7 шлюза сопряжения 4; 28 - линия передачи / приема прикладных адресных телеграмм TLA;
40а, 40Ь - первый, второй каналы коммуникационного модуля 6 процессора автоматизации 3;
49 - счетчик реального времени процессора автоматизации;
50а, 50Ь - первый, второй каналы коммуникационного модуля 7 шлюза сопряжения 4.
На фиг. 4 схематично представлена структура передачи прикладных адресных нумерованных телеграмм TLAR на уровне сервиса RPM 24, вложенных в кадры телеграмм канального уровня 13, по двум шинам: первой шине 1а и второй шине lb дублированной шины между устройствами автоматизации: устройством автоматизации - отправителем телеграмм ASj (Automatic device - Source), далее устройством-отправителем и устройством автоматизации - получателем телеграмм ADi (Automatic device -Destination), далее устройством-получателем, на примере обмена телеграммами между двумя нерезервированными процессорами автоматизации, где: la, lb - первая и вторая физические шины дублированной шины;
3j, 3i - процессоры автоматизации, представляющие соответственно устройство - отправитель телеграмм ASj и устройство - получатель телеграмм ADi;
12 - уровень 1 физический стандартной семиуровневой информационной модели сети OSI;
13 - уровень 2 канальный информационной модели сети OSI;
14 - уровень 7 прикладной информационной модели сети OSI;
19а, 19Ь - условные линии передачи между сервисами резервирования RPM процессоров автоматизации 3j, 3i соответственно по первой шине 1а и второй шине lb прикладных адресных телеграмм TLAR(INji, FNji, TLA) в формате сервиса RPM, вкладываемых в телеграммы LLC канального уровня 13; где INji (Individual Number) - индивидуальный номер телеграммы, FNji (Frame Number) - номер повторного кадра;
24j - сервис резервирования RPM устройства - отправителя 3j;
24i - сервис резервирования RPM устройства - получателя 3i;
26j - прикладной протокол АРМ устройства - отправителя 3j;
26i - прикладной протокол АРМ устройства - получателя 3i;
29а, 29Ь - условные линии передачи между сервисами резервирования RPM процессоров автоматизации 3j, 3i соответственно по первой шине 1а и второй unmet lb телеграмм квитирования ACK(IDij, IFij, STij) в формате сервиса RPM, вложенных в телеграммы LLC, где IDij (IDentifier) - идентификатор телеграммы квитирования, IFij (Frame IDentifier) - идентификатор повторного кадра телеграммы квитирования, STij (STatus) - статус прикладного протокола АРМ 26 устройства - получателе адресной телеграммы.
На фиг. 5 представлена диаграмма, иллюстрирующая на временной оси изменения состояния циклического счетчика NTCji (Number Telegramm Counter) формирования индивидуальных номеров адресных телеграмм по модулю L и изменения индивидуальных номеров INji последовательно передаваемых телеграмм между сетевым устройством - отправителем ASj и устройством - получателем ADi, а также формирование логических условий приема / не приема телеграмм на основе анализа их индивидуальных номеров устройством - получателем относительно индивидуального номера последней принятой им телеграммы INRij, если значение D = (INR - L/2) > О, где:
30 - временная ось изменения состояния циклического счетчика NTCji по модулю L;
31 - временная ось изменения индивидуальных номеров INji последовательно передаваемых телеграмм между устройством - отправителем ASj и устройством - получателем ADi;
32 - диапазон INji не принимаемых телеграмм устройством- получателем ADi при условии: INji < INRji;
33 - диапазон INji принимаемых телеграмм устройством- получателем Adi;
33.1 - под- диапазон INji принимаемых телеграмм устройством - получателем ADi при условии: INji > INRij; 33.2 - под-диапазон принимаемых телеграмм при условии: (Inji -
D) < 0;
34 - текущий цикл формирования индивидуальных номеров телеграмм в счетчике NTCji. На фиг. 6 представлена диаграмма, иллюстрирующая на временной оси 30 изменения состояния циклического счетчика NTCji по модулю L и на временной оси 31 изменения индивидуальных номеров INji последовательно передаваемых телеграмм между устройством - отправителем ASj и устройством - получателем ADi, а также формирование логических условий приема / не приема телеграмм на основе анализа их индивидуальных номеров устройством - получателем относительно номера последней принятой им телеграммы INRij, если значение D = (INRjj - L/2) < 0, где:
35 - диапазон INji не принимаемых телеграмм устройством - получателем Adi;
35.1 - под-диапазон INji не принимаемых телеграмм устройством - получателем ADi при условии: INji < INRij;
35.2 - под-диапазон не принимаемых телеграмм при условии: (INji - L + D) > 0; 36 - диапазон INji принимаемых телеграмм устройством - получателем ADi при условии: INji > INRji,
На фиг. 7 на примере формирования индивидуальных номеров передаваемых адресных телеграмм с помощью циклического счетчика по модулю L = 8 показан табличная форма принятия решения о приеме телеграммы устройством - получателем в виде признака со значением 1 , или не приеме телеграммы в виде признака со значением 0 при любом сочетании индивидуального номера поступающей адресной телеграммы INji = 0 ^ 7 и индивидуального номера последней принятой телеграммы INRij = 0 7.
На фиг. 8 представлена структура первых сервисов фильтрации широковещательных и адресных телеграмм, получаемых по первой 1а и второй шине 1 b дублированной шины соответственно в первом 40а и втором 40Ь каналах коммуникационного модуля 6 процессора автоматизации 3, фиг. 2, где: 15a — линия поступления телеграмм по первому каналу 40а коммуникационного модуля 6 процессора автоматизации 3 в первый сервис фильтрации 22а процессора автоматизации;
15Ь - линия поступления телеграмм по второму каналу 40Ь коммуникационного модуля 6 процессора автоматизации 3 в первый сервис фильтрации 22Ь процессора автоматизации;
16а, 16Ь - линии передачи адресных телеграмм соответственно в протоколы LLC 23 а, 23 b в первом, втором каналах 40а, 40Ь процессора автоматизации; 17 а, 17Ь — линии передачи широковещательных телеграмм синхронизации времени SYN в счетчик реального времени 49 из обработчиков телеграмм, соответственно 45а, 45Ь, первого, второго каналов 40а, 40Ь процессора автоматизации;
22а, 22Ь - первые сервисы фильтрации телеграмм соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации;
40а, 40Ь - первый, второй каналы процессора автоматизации;
41а, 41 b — каналы прямого доступа к памяти соответственно первого, второго каналов 40а, 40Ь процессора автоматизации;
43 а, 43 b - приемные буфера телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации;
44а, 44Ь - счетчики телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации; 45а, 45Ь - обработчики телеграмм первого сервиса фильтрации соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации; 6a, 46b - первые тайм-ауты первого сервиса фильтрации соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации; 7а, 47Ь - вторые тайм-ауты первого сервиса фильтрации соответственно в первом, втором каналах 40а, 40Ь процессора автоматизации; В - таймер 100 Гц коммуникационного модуля 6, процессора автоматизации 3; 9 - счетчик реального времени процессора автоматизации 3, фиг. 8, фиг. 2; 0а, 60Ь - линии чтения телеграмм из приемных буферов, соответственно 43а, 43Ь; 3а, 63 b - линии запуска первых тайм-аутов, соответственно 46а, 46Ь, в первом, втором каналах 40а, 40Ь процессора автоматизации по первой телеграмме соответствующего канала, полученной после завершения текущего первого тайм-аута этого канала; 4а, 64Ь - линии запуска вторых тайм-аутов, соответственно 47а, 47Ь, в первом, втором каналах 40а, 40Ь процессора автоматизации по первой телеграмме соответствующего канала, полученной после завершения текущего второго тайм-аута этого канала; 5а, 65Ь - линии чтения состояния окончания первых тайм- аутов, соответственно 46а, 46Ь, в первом, втором каналах 40а, 40Ь процессора автоматизации; 6а, 66Ь - линии запрета исполнения широковещательных телеграмм синхронизации времени SYN в течение времени вторых тайм- аутов обоих каналов, соответственно 47а, 47Ь; 7а, 67Ь - линии блокирования обработки по прерыванию поступающих в приемные буфера, соответственно 43а, 43Ь, телеграмм при переполнении соответствующего счетчика телеграмм 44a, 44b до окончания первого тайм-аута, соответственно 46а, 46Ь;
68а, 68Ь - линии сброса счетчиков телеграмм, соответственно 44а, 44Ь, по окончанию отсчета времени первых тайм - аутов, соответственно 46а, 46Ь, в первом, втором каналах 40а, 40Ь процессора автоматизации;
69 - линия сигналов счета первых тайм-аутов 46а, 46Ь и вторых тайм- аутов 47а, 47Ь первых сервисов фильтрации от таймера 48 с частотой 100 Гц; 71а - линия передачи в шину lb телеграммы оповещения СВБУ о
"широковещательном шторме" по шине 1а; 7 lb - линия передачи в шину 1а телеграммы оповещения СВБУ о «широковещательном шторме» по шине lb;
72а, 72Ь - сигналы переполнения счетчиков телеграмм, соответственно 44а, 44Ь.
На фиг. 8 показаны также пунктиром связи первых сервисов фильтрации 22а, 22Ь процессоров автоматизации с протоколами информационной модели шины 23а, 23Ь, 24, 26, фиг. 2.
На фиг. 9 представлена структура вторых сервисов фильтрации широковещательных и адресных телеграмм, получаемых по первой, второй шине la, lb дублированной шины соответственно в первом, втором каналах коммуникационного модуля 7 шлюза сопряжения 4, фиг. 3, где:
15а - линия поступления телеграмм по первому каналу коммуникационного модуля 7 шлюза сопряжения 4, фиг. 9, фиг. 4, во второй сервис фильтрации 25а шлюза сопряжения 4;
15Ь - линия поступления телеграмм по второму каналу коммуникационного модуля 7 шлюза сопряжения 4, фиг. 9, фиг. 4, во второй сервис фильтрации 25Ь шлюза сопряжения; 16a, 16b - линии передачи отфильтрованных адресных телеграмм соответственно в протоколы LLC 23а, 23 b в первом, втором каналах 50а, 50Ь шлюза сопряжения, фиг. 9, фиг. 4;
25а, 25Ь - вторые сервисы фильтрации телеграмм соответственно в первом, втором каналах 50а, 50Ь шлюза сопряжения, фиг. 9, фиг. 4;
50а, 50Ь - первый, второй каналы шлюза сопряжения, фиг. 9, фиг. 4;
51а, 5 lb - каналы прямого доступа к памяти соответственно первого, второго каналов 50а, 50Ь шлюза сопряжения;
53а, 53Ь - приемные буфера телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50а, 50Ь шлюза сопряжения;
54а, 54Ь - счетчики телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50а, 50Ь шлюза сопряжения; 55а, 55Ь - обработчики телеграмм второго сервиса фильтрации соответственно в первом, втором каналах 50а, 50Ь шлюза сопряжения;
56а, 56Ь - первые тайм-ауты соответственно в первом, втором каналах 50а, 50Ь шлюза сопряжения; 58 - таймер 100 Гц коммуникационного модуля шлюза сопряжения;
80а, 80Ь - линии чтения телеграмм из приемных буферов, соответственно 53а, 53Ь;
83а, 83Ь - линии запуска первых тайм-аутов, соответственно 56а, 56Ь, в первом, втором каналах 50а, 50Ь шлюза сопряжения по первой телеграмме соответствующего канала, полученной после завершения текущего первого тайм-аута этого канала;
85а, 85Ь - линии чтения состояния окончания первых тайм- аутов, соответственно 56а, 56Ь, в первом, втором каналах 50а, 50Ь процессора автоматизации; 87a, 87b - линии блокирования обработки по прерыванию поступающих в приемные буфера, соответственно 53а, 53Ь, телеграмм при переполнении соответствующего счетчика телеграмм 54а, 54Ь до окончания первого тайм-аута, соответственно, 56а, 56Ь;
88а, 88Ь - линии сброса счетчиков телеграмм, соответственно 54а, 54Ь, по окончанию отсчета времени первых тайм - аутов, соответственно 56а, 56Ь, в первом, втором каналах 50а, 50Ь шлюза сопряжения; 89 - линия сигналов счета первых тайм-аутов 56а, 56Ь вторых сервисов фильтрации от таймера 58 с частотой 100 Гц;
91а - линия передачи в шину lb телеграммы оповещения СВБУ о «широковещательном шторме» по шине 1а;
91 b - линия передачи в шину 1а телеграммы оповещения СВБУ о «широковещательном шторме» по шине 1 Ь;
92а, 92Ь - сигналы переполнения счетчиков телеграмм, соответственно 54а, 54Ь;
На фиг. 9 показаны также пунктиром связи вторых сервисов фильтрации 25а, 25Ь шлюзов сопряжения с протоколами информационной модели шины 23а, 23Ь, 24, 26, фиг. 3.
Дублированная шина 1, схематично представленная на фиг. 1, обеспечивает выполнение следующих функций резервированного программно-техническом комплекса автоматизированного управления технологическим процессом: обмен данными между резервированными процессорами автоматизации 3, необходимый для автоматического управления технологическим процессом 10; прием процессорами автоматизации команд дистанционного управления исполнительными механизмами технологического процесса от системы верхнего блочного уровня 11 через резервированные шлюзы сопряжения 4 и их исполнение; передача процессорами автоматизации 3 данных о состояния технологического процесса и комплекса автоматизации в шлюзы сопряжения 4 для последующей передачи в систему верхнего блочного уровня для анализа и управления. В резервированной системе автоматизации управление обменом данными по дублированной шине и их обработку в соответствии с прикладными алгоритмами автоматизации выполняет один из резервируемых процессоров автоматизации 3, например, Зц, являющийся в данный момент времени активным, другой процессор автоматизации, соответственно 312, являющийся в данный момент времени пассивным, работает в режиме горячего резерва. Резервируемые процессоры автоматизации 3, например, Зц, 312 снабжены встроенными средствами самоконтроля и управления горячим резервированием и связаны друг с другом по двум отдельным последовательным интерфейсам 9, по которым они получают информацию о работоспособности партнера, соответственно 312, Зц, в соответствии с результатами самоконтроля. На основе оценки этой информации в соответствии с заданными критериями активный процессор автоматизации, 3 например, Зц, может быть переключен в состояние пассивного процессора автоматизации 3, соответственно 312, а пассивный в состояние активного, т.е. произойдет переключение процессора автоматизации на резерв. Переключение на резерв процессоров автоматизации 3 происходит также по времени, для проверки работоспособности резервируемых процессоров автоматизации на реальных алгоритмах работы. Резервированные процессоры автоматизации представлены на шине сетевым адресом активного процессора автоматизации, который является одним и тем же независимо от того, какой из 2-х резервируемых процессоров автоматизации является активным.
Резервируемые шлюзы сопряжения 4 в отличие от процессоров автоматизации являются независимыми и несвязанными устройствами с внешним управлением резервированием со стороны системы верхнего блочного уровня и представлены на дублированной шине 1 разными сетевыми адресами.
Дублированная шина 1 построена на базе интерфейса Industrial Ethernet и включает: две непосредственно не связанные первую 1а и вторую lb шины, выполненные по кольцевой технологии Turbo Ring последовательно соединенных по магистральным связям 8 сетевых коммутаторов 2; коммуникационные модули 6 процессоров автоматизации и коммуникационные модули 7 шлюзов сопряжения.
Коммуникационные модули 6 каждого из двух резервируемых процессоров автоматизации Зц, 3ί2; ... ЗпЬ Зп2, например, 3t t подключают процессоры автоматизации к дублированной шине по двум каналам: по первому каналу - по линии связи 5а к сетевому коммутатору 2а первой шины 1 а, по второму каналу - по линии связи 5Ь к сетевому коммутатору 2Ь второй шины lb, что обеспечивает сохранение работоспособности при любых многократных отказах сетевого оборудования в одной из двух шин (сетевых коммутаторов 2, магистральных линий связи 8, линий связи 5 коммуникационных модулей с сетевыми коммутаторами этой шины) за счет сохранения работоспособности другой шины.
При этом первые каналы коммуникационных модулей двух резервируемых процессоров автоматизации подключены соответственно к двум коммутаторам 2а первой шины 1а, а вторые каналы - к двум сетевым коммутаторам 2Ь второй шины 1 Ь.
Каждая из 2-х шин, выполненная по кольцевой технологии, резервируется путем реконфигурации кольца, выполняемой одним из сетевых коммутаторов, последовательно соединенных в кольцо по магистральным связям. Этот коммутатор, назначенный менеджером резервирования, поддерживает кольцо разомкнутым и контролирует его целостность путем передачи контрольных телеграмм с одного конца кольца и приема их с другого конца, подключенных к двум магистральным портам коммутатора - менеджера резервирования. При нарушении целостности соединений в кольце менеджер резервирования восстанавливает ее путем реконфигурации шины, которую он выполняет посредством логического замыкания кольца в точке контроля.
При однократных отказах магистральных связей в одной из 2-х шин 1 а, lb работоспособность неисправной шины автоматически восстанавливается путем реконфигурации кольца. Работоспособность обеих шин сохраняется.
При однократных отказах соединений коммуникационных модулей с коммутаторами в одной из шин нарушаются связи с устройствами автоматизации, подключенными к этой шине. Работоспособность дублированной шины по обеим шинам полностью восстанавливается за счет переключения процессора автоматизации на резервный, подключенный к исправному коммутатору по исправным связям. При отказах соединений коммуникационных модулей с коммутаторами в обеих шинах средства самоконтроля процессоров автоматизация переключают их на резервный процессор автоматизации, подключенный к шинам по исправным связям 5. Работоспособность обеих шин сохраняется.
При отказах связей коммуникационных модулей по обеим шинам 1а, 1 b из-за неисправностей коммутаторов, вызывающих нарушение целостности кольца и связей с процессорами автоматизации, менеджеры резервирования производят реконфигурацию шин. При этом работоспособность обеих шин восстанавливается в результате того, что одновременно с реконфигурацией производится переключение процессора автоматизации на резервный, подключенный к исправным коммутаторам дублированной шины.
Работоспособность дублированной шины сохраняется при любых двухкратных неисправностях сетевого оборудования в обеих шинах: магистральных связей 8, связей коммуникационных модулей с коммутаторами 5, сетевых коммутаторов 2, коммуникационных модулей 6 процессоров автоматизации и коммуникационных модулей 7 шлюзов сопряжения при одном и том же объеме сетевого оборудования. Это обеспечивает при одном и том же объеме сетевого оборудования существенное повышение надежности дублированной шины по сравнению с шиной, резервирование которой выполнено без дублирования кольцевых сегментов.
Передача по дублированной шине EN-2 адресных телеграмм TLA и широковещательных телеграмм TLB производится в соответствии с информационной моделью шины EN-2, представленной на фиг. 2 для процессоров автоматизации 3 и фиг. 3 для шлюзов сопряжения 4. Информационная модель построена на 3-х стандартных уровнях интерфейса Ethernet 7-ми уровневой модели OSE уровне 1 - физическом 12 с протоколом PHY 20, уровне 2 - канальном 13 с протоколом доступа к среде передачи данных MAC 21 и протоколом логического звена LLC 23 и уровне 7 - прикладном 14 с прикладным протоколом АРМ 26, дополненных в соответствие с изобретением сервисом резервирования RPM 24 на прикладном уровне 14, первыми сервисами фильтрации TF 22 получаемых телеграмм в каналах 40 процессоров автоматизации 3, фиг. 2, и вторыми сервисами фильтрации TF1 25 получаемых телеграмм в каналах 50 шлюзов сопряжения 4, фиг. 3, на подуровне MAC 21 уровня 2 OSI 13.
В соответствие с фиг. 4 прикладные адресные телеграммы TLA передаются устройством - отправителем ASj 3j сетевому устройству - получателю ADi 3i одновременно по двум независимым шинам la, lb по условным линиям 19а, 19Ь в виде 2-х идентичных кадров TLAR(INji, FNji, TLA) сервиса резервирования RPM 24, которые содержат прикладную адресную телеграмму TLA и сформированные в сервисе RPM индивидуальный номер INji этой телеграммы и номер повторного кадра FNji. Устройство-получатель ADi 3i принимает с помощью представленного ниже механизма индивидуальной нумерации адресных телеграмм из двух поступающих кадров телеграммы один кадр, извлекает из этого кадра прикладную телеграмму TLA для передачи ее на прикладной уровень АРМ, формирует в сервисе RPM и передает в адрес устройства - отправителя телеграммы TLA по условным линиям 29а, 29Ь шин la, lb телеграмму квитирования АСК (IDij, IFij, STij) в формате сервиса RPM в виде 2-х идентичных кадров, инкапсулированных в телеграммы LLC в режиме 1, где IDij идентификатор телеграммы квитирования, IFij - идентификатор повторного кадра телеграммы квитирования, STij - статус протокола АРМ в устройстве 3i. Текущее состояние устройств ASj и ADi в процедуре передачи адресных телеграмм с подтверждением на уровне RPM определяется параметрами статуса абонентов в сервисе RPM.
Состояние (статус) устройства - отправителя ASj определяется следующими параметрами: NTCji (Number Telegram Counter) - значение циклического счетчика номеров телеграмм по модулю L,
RCji (Repeat Counter) - значение счетчика передачи повторных кадров телеграммы в случае недоставки предыдущих.
Состояние устройства-получателя ADi определяется следующими параметрами:
INRij - сохраненное значение индивидуального номера последней принятой телеграммы TLA,
STij - значение статуса доставки телеграммы на уровень АРМ, которое может принимать одно из следующих значений: STij = 01 - телеграмма не доставлена на уровень АРМ из-за временной ошибки и может быть доставлена при повторной передаче,
STij = 10 - телеграмма не доставлена на уровень АРМ из-за постоянной ошибки и не может быть доставлена при повторной передаче, STij = 11 - телеграмма успешно доставлена на уровень АРМ и повторной передачи не требуется.
Перед передачей адресной телеграммы TLA устройство-отправитель формирует и присваивает ей индивидуальный номер INji и номер передачи повторного кадра FNji, помещаемые вместе с прикладной телеграммой в кадр TLAR адресной телеграммы в формате RPM: TLAR(INji, FNji, TLA).
Индивидуальная нумерация адресных телеграмм устанавливается для каждой пары устройства автоматизации - отправителя ASj и устройства автоматизации - получателя ADi. Индивидуальный номер INji адресной телеграммы, передаваемой от устройства ASj к устройству ADi, формируется с помощью циклического счетчика номеров телеграмм NTCji по модулю L, где L - это максимальное количество различных индивидуальных номеров. Перед передачей очередной телеграммы TLA устройство - отправитель ASj увеличивает значение счетчика NTCji на 1 по модулю L в соответствии с порядком передачи телеграмм и присваивает его значение индивидуальному номеру INji.
Если новая телеграмма или предыдущий повторный кадр не доставляются устройству-получателю в течение времени тайм-аута Tout = 30 мс или доставляются со статусом STij =01 временной ошибки устройства ADi, то перед передачей следующего повторного кадра устройство ASj увеличивает значение счетчика повторений RCji на 1, присваивает его значение номеру повторного кадра FNji в телеграмме TLAR (INji, FNji, TLA). Значение INji при передаче повторных кадров не изменяется. Максимальное число передаваемых повторных кадров и соответственно максимальное значение счетчика RCji = 2.
Нумерованные на уровне RPM прикладные адресные телеграммы TLAR(INji, FNji, TLA), фиг. 4, инкапсулируются в поле данных LLC телеграмм, фиг. 2, фиг. 3, и передаются по шинам la, lb программными модулями LLCa, LLCb, фиг. 2, фиг. 3, устройству ADi, который в соответствие с той же моделью принимает их и выделяет из них прикладные кадры TLAR уровня RPM, что эквивалентно прямому обмену между ASj и ADi по линиям 19а, 19b, 29а, 29Ь, условно показанному на фиг. 4.
Для передачи нумерованных адресных телеграмм используются телеграммы протокола LLC типа 1 без предварительного установления связи и подтверждения доставки на уровне LLC, выполняемые в каналах А, В параллельно. Следующая новая телеграмма или повторный кадр могут передаваться после доставки очередной адресной телеграммы и получения телеграммы квитирования АСК на уровне RPM по любой из 2-х шин, не дожидаясь телеграммы квитирования по другой шине. Это обеспечивает синхронную передачу телеграмм и их оперативное резервирование, а также исключает влияние на производительность дублированной шины повышения времени доставки телеграмм по одной из шин вследствие ее неисправности.
Устройство-получатель ADi по индивидуальным номерам поступающих по двум шинам телеграмм TLA производит анализ порядка выдачи телеграмм устройством-отправителем по отношению к значению номера INRij сохраненному в сервисе RPM последней принятой по одной из шин EN-2a, EN-2b телеграмме. Устройство-получатель принимает телеграмму, если она была выдана позже последней принятой телеграммы (новая телеграмма), не принимает, если она была выдана одновременно с последней принятой, но по другой шине (копия последней принятой телеграммы в буфере приема), или она была выдана раньше последней принятой телеграммы (задержанная копия ранее принятой телеграммы или задержанная и ранее еще не принятая телеграмма).
Подтверждение приема адресной целевой телеграммы по одной из шин производится с помощью специальной ответной телеграммы квитирования АСК, которую абонент-получатель ADi адресной телеграммы формирует в сервисе резервирования RPM и передает устройству-отправителю ASj в виде 2-х идентичных прикладных кадров по шинам 1а и lb. Перед передачей телеграммы АСК устройство-получатель ADi целевой телеграммы формирует и помещает в поле данных телеграммы АСК идентификатор телеграммы IDij, идентификатор повторного кадра Flij и статус STij доставки телеграммы TLA на прикладной уровень АРМ. Формируется телеграмма ACK(IDij, IFij, STij).
Идентификатор IDij телеграммы АСК формируется устройством ADi путем присвоения ему значения индивидуального номера INji полученной и принятой целевой адресной телеграммы: IDij:= INji.
Идентификатор кадра Flij телеграммы АСК формируется устройством ADi путем присвоения ему значения номера FNji полученного и принятого повторного кадра телеграммы TLA: Flij := FNji.
Индивидуальная нумерация при передаче телеграмм АСК не используется.
По коду операции и идентификаторам IDij, IFij устройство ASj в сервисе RPM опознает телеграмму АСК или ее повторный кадр, полученные соответственно в ответ на переданную им целевую телеграмму TLAR, или повторный кадр телеграммы TLAR. Устройство ASj принимает АСК, если IDij = NTCji и Flij = RCji. Если IDij Ф NTCji или Flij ф RCji, то телеграмма АСК не принимается.
В статусе STij телеграммы АСК отображается результат доставки адресной телеграммы из сервиса RPM на прикладной уровень АРМ устройства ADi. В зависимости от значения STij устройство ASj завершает передачу телеграммы, регистрируя успешную доставку телеграммы, если STij = 11, или недоставку телеграммы, если STij = 10. Если устройство ASj получает ответную телеграмму со статусом STij = 01 или не получает ответную телеграмму АСК в течение времени тайм-аута 30 мс, то выполняет процедуру повторной передачи телеграммы до 2-х раз с анализом ответа, которая заканчивается или не доставкой телеграммы или успешной доставкой телеграммы. Предлагаются 2 алгоритма - вычислительный и табличный, определения условий приема / неприема сервисом RPM текущей адресной телеграммы по ее индивидуальному номеру INji и сохраненному в сервисе RPM значению индивидуального номера последней принятой телеграммы INRij.
Вычислительный алгоритм определения условий приема / неприема адресной телеграммы иллюстрируется на диаграммах, фиг. 5 и фиг. 6.
На этих диаграммах показано циклическое изменение состояний счетчика NTCji во времени от 0 до L - 1 при передаче адресных телеграмм и положение индивидуального номера INji текущей получаемой телеграммы.
При этом независимо от положения номера последней принятой телеграммы внутри текущего цикла изменений счетчика NTCji номера принимаемых телеграмм в количестве (L/2 -1), выданных позже последней принятой телеграммы с номером INRij, отличаются от (L/2 + 1) номеров не принимаемых телеграмм, выданных ранее последней принятой телеграммы, т.е. все номера в пределах этого диапазона величиной L уникальны независимо от значения номера INRij.
Выражения для вычисления отношений приема/не приема телеграммы зависят от положения номера последней принятой телеграммы INRij в цикле изменений состояния счетчика NTCji, а именно значения смещения D этого положения вправо на фиг. 5 или влево на фиг. 6 относительно состояния счетчика NTCji = L/2.
На фиг. 5 показано вычисление условий приема/не приема телеграмм при D = (INRij - L/2) > 0.
Показаны 2 диапазона номеров телеграмм 32, 33 относительно номера INRij величиной L/2 каждый. Телеграммы с номерами INji из диапазона 32 не принимаются. Телеграммы с номерами из диапазона 33 принимаются, кроме телеграммы с номером INji = INRij. Диапазон 33 включает два под-диапазона: 33.1 и 33.2. Номера телеграмм под-диапазона 33.1 входят в тот же цикл счетчика NTCji, в котором находится номер INRij. Эти телеграммы принимаются по соотношению Inji > INRij. Номера телеграмм диапазона 33.2 входят в следующий цикл изменений NTCji, в котором телеграммы выдаются позже телеграммы с номером INRij, но их номера Inji < INRij.
В соответствие с фиг. 5 вычисление условий приема/не приема телеграмм производится следующим образом:
1) Если (INji - D) > 0 (диапазоны INji: 32, 33.1), то если INji - INRij > 0, то телеграмма принимается, если INji - INRij < 0 (диапазон 32), то телеграмма не принимается.
2) Если (INji - D) < 0 (диапазон INji: 33.2), то телеграмма принимается.
На фиг. 6 показано вычисление условий приема/не приема телеграмм при D = (INRij - L/2) < 0.
Показаны 2 диапазона номеров телеграмм 35, 36 относительно номера INRij. Телеграммы с номерами INji из диапазона 35 не принимаются. Телеграммы с номерами из диапазона 36 принимаются, кроме телеграммы с номером INji = INRij. Диапазон 35 состоит из двух поддиапазонов: 35.1 и 35.2. Номера телеграмм поддиапазона 35.1 входят в тот же цикл изменений NTCji, в котором находится номер INRij. Эти телеграммы не принимаются по соотношению INji < INRij. Номера телеграмм поддиапазона 35.2 входят в предыдущий цикл изменений NTCji, в котором телеграммы выдаются раньше телеграммы с номером INRij, но их номера INji > INRij.
В соответствие с фиг. 6 вычисление условий приема/не приема телеграмм производится следующим образом:
1) Если (INij - L + D) < 0 (диапазоны INij: 35.1, 36), то если INji - INRij > 0, (диапазон INji: 36), то телеграмма принимается, если INji - INRij < 0 (диапазон INji: 35.1), то телеграмма не принимается. 2) Если (INji - L+ D) > 0 (диапазон INji: 35.2), то телеграмма не принимается.
Табличный алгоритм определения условий приема / неприема адресной телеграммы иллюстрируется на примере таблицы, построенной для L = 8, фиг. 7. В таблице для индивидуальных номеров телеграмм по модулю 8 показаны условия приема/не приема телеграмм с индивидуальными номерами INji = 0+7 при значениях номера INRij последней принятой телеграммы INRij = 0 7.
Цифра 1 в графе таблицы на пересечении столбца с номером INji и строки с номером INRij означает, что при таких значениях номеров INji и INRij телеграмма принимается, а цифра 0 означает, что телеграмма не принимается.
Табличный способ не требует выполнения вычислений и обеспечивает по оценке более высокое быстродействие, но для размещения таблицы необходима память, объем которой зависит от выбранного значения L. При L = 256 (счетчик NTCji - 8-разрядный) и байтовом представлении данных таблицы требуется память объемом 64 Кбайта, что допустимо. При больших значениях L более предпочтительным может оказаться вычислительный алгоритм анализа нумерованных телеграмм.
Широковещательные телеграммы прикладного уровня TLB формируются сервисом прикладного протокола АРМ 26, фиг. 2, фиг.З, устройства-отправителя: шлюза сопряжения или процессора автоматизации, и передаются в устройства - получатели по протоколу LLC 23 в режиме 1 без подтверждения доставки в протоколе LLC по двум каналам коммуникационного модуля и шинам la, lb в виде двух идентичных кадров без индивидуальной нумерации.
Шлюзы сопряжения 4, фиг. 1, 3, передают широковещательные телеграммы синхронизации времени SYN в соответствии с очередностью и регламентированным временем следования от 5 сек до 20 сек, задаваемым СВБУ 11, фиг. 1.
Процессоры автоматизации 3, фиг. 1, 2, передают широковещательные телеграммы типа ANZ оповещения СВБУ 11 о состоянии процессоров автоматизации 3 и шины 1. Эти телеграммы передаются разными процессорами автоматизации событийно через произвольные интервалы времени.
По способу фильтрации и приема широковещательных телеграмм устройства автоматизации, подключаемые к дублированной шине 1, фиг. 1, делятся на 2 группы. К группе 1 относятся устройства низовой автоматики типа процессора автоматизации 3, которые из широковещательных телеграмм, передаваемых по шинам la, lb, принимают и исполняют только широковещательные телеграммы синхронизации времени SYN. При этом из двух кадров, поступающих по шинам la, lb, эти устройства принимают для исполнения один кадр, как при получении адресных телеграмм TLA, второй кадр (копия), получаемый по другой шине, отбрасывается.
Остальные широковещательные телеграммы, передаваемые по шине 1, включая телеграммы оповещения типа ANZ, в устройствах группы 1 не используются и отбрасываются первыми сервисами фильтрации TF 22, фиг. 2. При обнаружении перегрузки по одной из шин la, lb, вызванной
«широковещательным штормом», сервис фильтрации 22 процессора автоматизации 3, фиг. 1, 2, предотвращает перегрузку процессора по этой шине путем периодического блокирования обработки по прерыванию всех сохранившихся в приемном буфере и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения потока телеграмм. При обнаружении перегрузки сервис фильтрации 22 запрещает также исполнение телеграмм SYN и адресных телеграмм, получаемых по этой шине, на все время действия «шторма», чтобы исключить исполнение телеграмм SYN с неактуальным временем и адресных телеграмм с неактуальными данными вследствие возможной задержки их в неисправной шине и дополнительно снизить нагрузку на процессор.
К устройствам группы 2 относятся шлюзы сопряжения 4.
Шлюзы сопряжения 4, фиг. 1, 3, в штатном режиме работы принимают для передачи в СВБУ 11 , фиг. 1 , широковещательные телеграммы типа ANZ оповещения о событиях в комплексе автоматизации и шине и адресные телеграммы. Телеграммы ANZ о состоянии одной из 2-х шин дублированной шины передаются обычно по исправной шине и содержат информацию о типе неисправности другой шины и ее идентификатор. Поэтому прикладные телеграммы ANZ обеих шин поступают на прикладной уровень шлюза сопряжения в общий файл и в таком виде сохраняются в архиве СВБУ 11. По ним можно идентифицировать неисправную шину 1а или lb. Широковещательные телеграммы SYN отбрасываются сервисами фильтрации шлюзов сопряжения.
Адресные телеграммы принимаются по одной из 2-х шин, по которой телеграмма поступает первой по времени. Получаемые по другой шине копии телеграмм и задержанные адресные телеграммы отбрасываются в соответствии с процедурой индивидуальной нумерации, данные поступают в СВБУ 11 , фиг. 1 , для обработки и анализа.
При «широковещательном шторме» по одной из шин la, lb второй сервис фильтрации 25 шлюза сопряжения 4 предотвращает перегрузку процессора по этой шине путем блокирования обработки по прерыванию всех сохранившихся в приемном буфере и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки. Сервис фильтрации 25 запрещает также исполнение широковещательных и адресных телеграмм, поступающих по этой шине на все время действия «шторма», чтобы исключить исполнение телеграмм ANZ и адресных телеграмм с неактуальными данными вследствие возможной задержки их в неисправной шине и дополнительно снизить нагрузку на процессор коммуникационного модуля шлюза сопряжения.
Для анализа событий системы автоматизации и шины в архиве СВБУ в штатных условиях работы (при отсутствии широковещательного шторма) используются данные адресных телеграмм, принятых в соответствие с процедурой индивидуальной нумерации с обеих шин la, lb и файл с прикладными широковещательными телеграммами ANZ, получаемые по обеим шинам и указывающими на неисправности другой шины или канала модуля, подключенного к другой шине.
Для анализа событий системы автоматизации и шины в условиях действия широковещательного шторма используются широковещательные телеграммы ANZ, формируемые в коммуникационных модулях при регистрации перегрузки и передаваемые по исправной шине, а также адресные телеграммы, передаваемые по исправной шине.
Структура фильтрации в процессорах автоматизации показана на фиг. 8.
Все телеграммы, поступающие в коммуникационный модуль 6 процессора автоматизации 3, фиг.1, по шине la / lb, передаются по каналу прямого доступа 41а / 4 lb, в соответствующий приемный буфер 43а / 43Ь первого / второго канала 40а / 40Ь коммуникационного модуля процессора автоматизации.
В каждом канале коммуникационного модуля процессора автоматизации после записи телеграммы в соответствующий приемный буфер 43 а / 43 b формируется прерывание, по которому управление передается в программу обработчика телеграмм 43 а / 43 b первого сервиса фильтрации TF 22a / 22b, которая читает из приемного буфера по линии 60а / 60Ь и обрабатывает телеграмму, вызвавшую прерывание.
Обработчик телеграмм 45а первого сервиса фильтрации TF 22а, телеграмм, принимаемых по первому каналу, выполняет следующие функции в устройствах автоматизации группы 1 :
1) Периодически запускает по линии 63 а при поступлении широковещательных или адресных телеграмм по линии 60а первый тайм-аут 46а длительностью по умолчанию равной 2 сек. Отсчет времени тайм-аута 46а производится по прерыванию от таймера 48 с частотой 100 Гц по линии 69.
2) Периодически измеряет поток широковещательных и адресных телеграмм, включающий широковещательные телеграммы SYN, ANZ и широковещательные телеграммы, не относящиеся к дублированной шине 1, путем счета телеграмм в счетчике 44а емкостью N в течение интервала тайм- аута 46а и регистрации перегрузки по переполнению счетчика, отображаемому на линии 72а.
3) При отсутствии перегрузки и соответственно переполнения счетчика 44а за время тайм-аута 46а обработчик телеграмм 45а исполняет поступающую телеграмму SYN путем прямой записи по линии 17а значения текущего времени из поля данных телеграммы в счетчик реального времени 49 коммуникационного модуля процессора автоматизации; передает по линии 16а адресные телеграммы TLA в протокол LLC 23а и далее по линии 27а в сервис резервирования RPM 24 для анализа и обработки в соответствии с процедурой нумерации и последующего исполнения в прикладном протоколе 26; отбрасывает широковещательные телеграммы других типов, включая телеграммы ANZ.
4) После поступления телеграммы SYN на исполнение обработчик телеграмм 45а запускает по линии 64а второй тайм-аут 47а по умолчанию равный 5 сек, который запрещает на это время исполнение копии телеграммы SYN, поступающей по другой шине, и исполнение новых телеграмм SYN, поступающих по обеим шинам через нерегламентированные интервалы времени менее 5 сек после исполненной телеграммы, а также дополнительно запрещает исполнение телеграмм SYN, поступающих в течение измерения перегрузки по первому тайм-ауту 46а, вызванной «широковещательным штормом».
5) Предотвращает перегрузку процессора модуля широковещательными и адресными телеграммами по неисправной шине при «широковещательном шторме» путем блокирования по линии 67а обработки по прерыванию всех сохранившихся в приемном буфере 43а и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки, задаваемых первым тайм-аутом 46а. Блокирование обработки телеграмм по прерыванию производится при переполнении счетчика телеграмм 44а от момента переполнения счетчика до окончания тайм-аута 46а.
6) При первой регистрации переполнения счетчика 44а обработчик телеграмм устанавливает в состояние 1 флаг перегрузки, который запрещает в течение всего времени действия широковещательного шторма выполнение телеграмм SYN путем запрета передачи значения времени из поля данных телеграммы в счетчик реального времени 49 по линии 17а и запрещает выполнение адресных телеграмм путем запрета передачи телеграмм в протокол LLC 23 по линии 16а. Запрет устанавливается для того, чтобы предотвратить исполнение задержанных телеграмм с неактуальными данными по неисправной шине. 6) Снимает запрет на выполнение телеграмм SYN и адресных телеграмм путем установки флага перегрузки в состояние 0 после 10-кратной (по умолчанию) регистрации отсутствия перегрузки по линии 72а на 10 тайм- аутах 46а, подряд. 7) При регистрации перегрузки в первом канале и установке флага перегрузки равного 1 формирует и выдает по линии 71а на исправную шину lb телеграмму ANZ9811 оповещения СВБУ 11, фиг. 1, о перегрузке на шине 1а. 8) При обнаружении отсутствия перегрузки в первом канале и установке флага перегрузки равного 0 формирует и выдает на шину lb по линии 71а телеграмму ANZ9821 оповещения СВБУ об устранении перегрузки на шине 1 а.
Сервис фильтрации TF 22Ь телеграмм по второму каналу, выполняет функции фильтрации телеграмм аналогично сервису TF 22а. При этом функцию телеграмм ANZ9811 , ANZ9821 , формируемых сервисом TF 22а, выполняют телеграммы ANZ9812, ANZ9822, формируемых сервисом TF 22Ь.
Структура фильтрации в шлюзах сопряжения показана на фиг. 9.
Все телеграммы, поступающие в коммуникационный модуль 7 шлюза сопряжения 4, фиг. 1, по шинам la / lb, передаются по каналам прямого доступа 51а / 5 lb, в соответствующие приемные буфера 53а / 53Ь первого / второго каналов 50а /50Ь коммуникационного модуля шлюза сопряжения.
В каждом канале коммуникационного модуля 7 шлюза сопряжения после записи телеграммы в соответствующий буфер 53а / 53Ь формируется прерывание, по которому управление передается в программу обработчика телеграмм 55а /55Ь сервиса фильтрации TF1 25а / 25Ь, которая читает из приемного буфера и обрабатывает телеграмму, вызвавшую прерывание.
Обработчик телеграмм 55а второго сервиса фильтрации 25а телеграмм, принимаемых по первому каналу, выполняет следующие функции в сетевых устройствах группы 2:
1) Периодически запускает по линии 83а при поступлении широковещательных или адресных телеграмм по линии 80а тайм-аут регистрации перегрузки 56а длительностью по умолчанию равной 2 сек. Отсчет времени тайм-аут перегрузки 56а производит по прерыванию от таймера 58 с частотой 100 Гц.
2) Периодически измеряет поток широковещательных и адресных телеграмм включающий широковещательные телеграммы SYN, ANZ и широковещательные телеграммы, не относящиеся к шине EN2, путем счета телеграмм по линии 80а и регистрации переполнения по линии 92а счетчика телеграмм 54а емкостью N в течение тайм-аута перегрузки 56а.
3) При отсутствии перегрузки и, соответственно, переполнения счетчика 54а за время тайм-аута 56а обработчик телеграмм 55а передает по линии 17а телеграммы ANZ в протокол LLC 23а для последующей передачи по линии 18а в отдельный общий файл прикладного протокола, предназначенный для регистрации прикладных широковещательных телеграмм ANZ шин 1а, 16, и передает по линии 16а адресные телеграммы TLA в протокол LLC 23а для исполнения в дальнейшем в прикладном протоколе 26 одной из двух идентичных телеграмм формата RPM 24, выбранной в соответствии с процедурой нумерации в протоколе резервирования RPM, отбрасывает широковещательные телеграммы других типов, включая телеграммы SYN.
Аналогично сервис фильтрации TF1 25Ь передает телеграммы ANZ, поступающие по каналу В, в общий файл с телеграммами ANZ, поступающими по каналу А.
4) Предотвращает перегрузку процессора коммуникационного модуля широковещательными и адресными телеграммами по шине 1а при «широковещательном шторме» путем блокирования по линии 87а обработки по прерыванию всех сохранившихся в приемном буфере 53а и поступающих в буфер широковещательных и адресных телеграмм в интервалах измерения перегрузки, задаваемых тайм-аутом перегрузки 56а. Блокирование обработки телеграмм по прерыванию производится при переполнении счетчика телеграмм 54a, отображаемого на линии 92а, от момента переполнения счетчика до окончания тайм-аута 56а.
5) При первой регистрации переполнения счетчика 54а обработчик телеграмм устанавливает в состояние 1 флаг перегрузки, который запрещает в течение всего времени действия широковещательного шторма выполнение телеграмм ANZ путем запрета записи этих телеграмм по линии 17а в протокол LLC 23 а и далее по линии 18а в отдельный общий для телеграмм шин 1а, 1в файл прикладного протокола 26. Флаг перегрузки запрещает также выполнение адресных телеграмм TLA путем запрета передачи этих телеграмм по линии 16а в протокол LLC 23а для исполнения в дальнейшем в прикладном протоколе 26 после выбора одной из двух идентичных телеграмм в сервисе резервирования RPM 24 в соответствии с процедурой нумерации и передачи ее по линии 18а в прикладной протокол.
Запрет устанавливается для того, чтобы предотвратить исполнение задержанных телеграмм с неактуальными данными по неисправной шине.
6) Снимает запрет записи телеграммы ANZ в протокол LLC1 по признаку перегрузки шины равному 0 после 10- кратной регистрации отсутствия перегрузки на 10 тайм-аутах 56а подряд.
7) При регистрации перегрузки в первом канале и установке флага перегрузки равного 1 формирует и выдает по каналу шины lb внутреннее сообщение ANZ9811 оповещения СВБУ о перегрузке на шине 1а.
8) При обнаружении отсутствия перегрузки в первом канале и установке флага перегрузки равного 0 формирует и выдает по каналу шины lb внутреннее сообщение ANZ9821 оповещения СВБУ об устранении перегрузки на шине 1 а.
Сервис фильтрации телеграмм TF1 25Ь, выполняет функции фильтрации по каналу В аналогично сервису TF1 25а. При этом функцию телеграмм ANZ981 1, ANZ9821, формируемых сервисом TF1 25а, выполняют телеграммы ANZ9812, ANZ9822, формируемых сервисом TF1 25Ь. Эффективность фильтрации зависит от выбора значения емкостей N счетчиков телеграмм 44, 54 и значений тайм аутов перегрузки 46, 56 на фиг.8 и фиг.9. Выбранные значения N и значения тайм-аутов перегрузки должны обеспечивать надежную регистрацию широковещательного шторма и исключить ложную регистрацию шторма при штатных потоках телеграмм. По умолчанию значение N принимается равным N = 1000, чтобы предотвратить ложную регистрацию шторма при однократной одновременной выдаче телеграмм ANZ максимальным количеством процессоров автоматизации, которое в современных системах автоматизации атомных станций может максимально составлять порядка 800.

Claims

Формула изобретения
Дублированная шина, включающая: несвязанные между собой первую и вторую шины, выполненные в соответствии со стандартом коммутируемого Industrial Ethernet и соединений типа «точка-точка» по технологии Turbo Ring последовательного соединения сетевых коммутаторов в «виртуальное» кольцо; коммуникационные модули, подключающие к шине по первому и второму каналам резервируемые процессоры автоматизации: по первому каналу - к коммутаторам первой шины, по второму каналу - к коммутаторам второй шины, при этом каждые два резервируемых процессора автоматизации соединены по межпроцессорному интерфейсу, имеют общий сетевой адрес и внутренние средства самоконтроля и управления резервированием; при этом в коммуникационные модули процессоров автоматизации установлены в соответствие с информационной моделью связи оконечных устройств OSI стандартные протоколы интерфейса Ethernet, управляющие передачей данных по шине: физический протокол PHY на уровне 1 OSI физическом, протокол логического звена LLC и протокол доступа к среде передачи данных MAC на уровне 2 OSI канальном и унифицированный прикладной протокол АРМ шины EN на уровне 7 OSI прикладном; отличающаяся тем, что в состав дублированной шины дополнительно введены коммуникационные модули, подключающие к шине резервируемые шлюзы сопряжения, осуществляющие передачу технологических данных и диагностической информации между устройствами низовой автоматики и системой верхнего блочного уровня в соответствие информационной моделью связи оконечных устройств OSI уровней 1, 2, 7 и являющиеся независимыми устройствами с собственными сетевыми адресами и внешним
41
ЗАМЕНЯЮЩИМ ЛИСТ (ПРАВИЛО 26) управлением резервированием со стороны системы верхнего блочного уровня; в коммуникационные модули процессоров автоматизации и шлюзов сопряжения дополнительно к унифицированному прикладному протоколу передачи данных уровня 7 OSI и стандартным протоколам уровней 1, 2 OSI: на уровне 7 OSI установлен сервис резервирования RPM, управляющий синхронной передачей адресных и широковещательных телеграмм по первой и второй шинам дублированной шины по протоколу LLC в режиме 1 с подтверждением доставки адресных телеграмм в сервисе RPM хотя бы по одной из шин и выполняющий формирование индивидуальных номеров адресных телеграмм по модулю L при передаче и анализ порядка выдачи телеграмм относительно номера последней принятой телеграммы при получении с целью приема новых телеграмм и отбрасывания задержанных дубликатов ранее принятых телеграмм; на MAC подуровне уровня 2 OSI в первом и втором каналах процессора автоматизации установлен первый сервис фильтрации TF потоков телеграмм, возникающих при «широковещательном шторме» и состоящих из широковещательных телеграмм и адресных телеграмм, передаваемых в широковещательном режиме при недоступности получателя; на MAC подуровне уровня 2 OSI в первом и втором каналах шлюза сопряжения установлен второй сервис фильтрации TF1 этих потоков телеграмм, предотвращающие перегрузку процессоров коммуникационных модулей, соответственно, процессоров автоматизации и шлюзов сопряжения и исполнение задержанных неактуальных телеграмм при «широковещательном шторме».
42
ЗАМЕНЯЮЩИМ ЛИСТ (ПРАВИЛО 26)
PCT/RU2021/000596 2021-03-03 2021-12-27 Дублированная шина для систем автоматизированного контроля WO2022186723A1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202180053582.8A CN116324746A (zh) 2021-03-03 2021-12-27 用于自动化控制与管理系统的复式总线
EP21929338.8A EP4191424A4 (en) 2021-03-03 2021-12-27 DOUBLE REDUNDANT BUS FOR AUTOMATED MONITORING SYSTEMS
KR1020237007340A KR20230084123A (ko) 2021-03-03 2021-12-27 원자력 발전소 및 기타 산업 시설의 자동 모니터링 및 제어 시스템을 위한 이중 버스

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2021105401 2021-03-03
RU2021105401A RU2760299C1 (ru) 2021-03-03 2021-03-03 Дублированная шина для систем автоматизированного контроля и управления атомных станций и других промышленных объектов

Publications (1)

Publication Number Publication Date
WO2022186723A1 true WO2022186723A1 (ru) 2022-09-09

Family

ID=78719315

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2021/000596 WO2022186723A1 (ru) 2021-03-03 2021-12-27 Дублированная шина для систем автоматизированного контроля

Country Status (5)

Country Link
EP (1) EP4191424A4 (ru)
KR (1) KR20230084123A (ru)
CN (1) CN116324746A (ru)
RU (1) RU2760299C1 (ru)
WO (1) WO2022186723A1 (ru)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090119437A1 (en) * 2005-06-23 2009-05-07 Hilscher Gesellschaft Für Syatemautomation Mbh Method for Data Communication of Bus Users in an Open Automation System
RU2431174C1 (ru) * 2010-08-20 2011-10-10 Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") Комплекс резервируемых программно-аппаратных средств автоматизации контроля и управления
EP2430400A1 (de) 2009-05-15 2012-03-21 Siemens AG Anordnung mit einem die lage eines mechanischen bewegteils erfassenden positionsgebers
EP2450305A1 (de) 2010-11-06 2012-05-09 Jungheinrich Aktiengesellschaft Flurförderzeug mit Verformungssensor im Neigezylinder
RU2450305C1 (ru) * 2010-08-20 2012-05-10 Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") Комплекс программно-аппаратных средств автоматизации контроля и управления
US20160275029A1 (en) * 2015-03-17 2016-09-22 Siemens Aktiengesellschaft Data Bus Coupler and Method of Operation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2430400C1 (ru) * 2010-08-20 2011-09-27 Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") Комплекс резервируемых программно-аппаратных средств автоматизации контроля и управления

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090119437A1 (en) * 2005-06-23 2009-05-07 Hilscher Gesellschaft Für Syatemautomation Mbh Method for Data Communication of Bus Users in an Open Automation System
EP2430400A1 (de) 2009-05-15 2012-03-21 Siemens AG Anordnung mit einem die lage eines mechanischen bewegteils erfassenden positionsgebers
RU2431174C1 (ru) * 2010-08-20 2011-10-10 Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") Комплекс резервируемых программно-аппаратных средств автоматизации контроля и управления
RU2450305C1 (ru) * 2010-08-20 2012-05-10 Федеральное государственное унитарное предприятие "Всероссийский научно-исследовательский институт автоматики им. Н.Л. Духова" (ФГУП "ВНИИА") Комплекс программно-аппаратных средств автоматизации контроля и управления
EP2450305A1 (de) 2010-11-06 2012-05-09 Jungheinrich Aktiengesellschaft Flurförderzeug mit Verformungssensor im Neigezylinder
US20160275029A1 (en) * 2015-03-17 2016-09-22 Siemens Aktiengesellschaft Data Bus Coupler and Method of Operation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP4191424A4

Also Published As

Publication number Publication date
RU2760299C1 (ru) 2021-11-23
KR20230084123A (ko) 2023-06-12
EP4191424A1 (en) 2023-06-07
EP4191424A4 (en) 2024-03-06
CN116324746A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
Schroeder et al. Autonet: A high-speed, self-configuring local area network using point-to-point links
Braden et al. Requirements for Internet gateways
US20030206527A1 (en) Transmitting data between multiple computer processors
EP1675356B1 (en) Notification of failures in a trunk network
US20020159398A1 (en) Spanning tree control unit in the case of trouble or increase and method thereof
GB2462492A (en) Bypassing a faulty link in a multi-path network
US8264954B2 (en) Method and device for operating a network and communication system comprising such device
JPH04165844A (ja) 通信装置
WO2022186723A1 (ru) Дублированная шина для систем автоматизированного контроля
JPH09130408A (ja) ネットワークインタフェース装置
JP3651612B1 (ja) 通信制御システム
EA042350B1 (ru) Дублированная шина для систем автоматизированного контроля и управления атомных станций и других промышленных объектов
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Braden et al. RFC1009: Requirements for Internet gateways
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands
Cisco Source-Route Bridging Commands

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21929338

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 140150140003008756

Country of ref document: IR

Ref document number: 202317013559

Country of ref document: IN

ENP Entry into the national phase

Ref document number: 2021929338

Country of ref document: EP

Effective date: 20230227

NENP Non-entry into the national phase

Ref country code: DE