自动化控制器中的控制硬件和监视系统的独立操作技术方案

本发明专利技术涉及自动化控制器中控制硬件和监视系统的独立操作，并公开了工业控制器及其自监视操作的方法。本文还描述了用于工业控制器(10)的自监视的改进系统。在控制板上设置用于工业控制器(10)的、彼此通信的控制处理器和监视处理器(60、70)。控制处理器(60)执行用于工业控制系统的控制程序。监视处理器(70)验证工业控制器(10)的正确操作。控制处理器(60)周期性地验证监视处理器(70)在操作。若监视处理器(70)停止操作，则控制处理器(60)生成警告并提供工业控制器(10)的延迟关闭。控制处理器(60)可将工业控制器(10)的当前状态复制到存储器(62)。在问题改正后，控制处理器(60)可恢复所存储的工业控制器(10)的状态。

【技术实现步骤摘要】
自动化控制器中的控制硬件和监视系统的独立操作
本文所公开主题通常涉及用于工业控制器的监视系统，更具体地涉及监视工业控制器的处理器并且独立于处理器执行的系统。
技术介绍
工业控制器(例如可编程逻辑控制器(PLC))是用于控制例如工厂环境中的工业过程或机器的专用电子计算机系统。工业控制器在许多方式上与常规计算机不同。物理上，工业控制器被构造成对震动和损坏基本上更加鲁棒并且更好地抵御外部污染和极端环境状况。处理器和操作系统被优化成实时控制和执行使得已经定制的程序能够与各种不同控制器应用相适应的语言。工业控制器可以具有用于例如通过具有键盘、鼠标和显示器的本地连接终端对工业控制器进行访问、配置和/或编程的用户接口。通常，工业控制器具有高度模块化架构，其使得不同数目和类型的模块或适配器能够被用于将控制器连接至用于监视和/或控制工业过程或机器的物理设备。网卡或适配器建立适用于高可靠性和可用性实时通信的专用“控制网络”。在工业控制系统中通常使用的这种控制网络包括例如控制网、设备网或以太网/IP。通过保证最大通信延迟，控制网络不同于标准通信网络，例如以太网。这可以例如通过预先计划网络的带宽和/或提供用于高可用性的冗余通信能力来获得。控制网络还在物理方面彼此不同，例如，介质的类型(例如，同轴线缆、双绞线或光纤)、其操作协议(例如，波特率、信道数、字传输大小或连接消息传递的使用)、如何格式化数据以及如何将其收集在标准消息中。作为其增强的模块化的一部分，工业控制器可以采用专用于特定类型的电气信号和功能(例如检测AC或DC输入信号或者控制AC或DC输出信号)的I/O模块。这些I/O模块中的每一个可以具有使得它们能够连同其它所选的I/O模块一起以不同的组合安装在壳体或机架中以符合特定应用的需求的连接器系统。多个或单个I/O模块可以被定位在接近所控制的过程或机器的方便控制点，以经由专用控制网络与中央工业控制器进行通信。随着工业过程和机器变得更加复杂，工业控制器和相关联的工业控制系统也变得更加复杂。可能会导致系统失效的部件的数目相应地增加。因此，程序员已设计系统来检测是否存在失效。例如，可以在受控机器或过程的设备与I/O模块之间布线冗余的输入和输出。处理器可以监视每个输入或输出的状态，以确保每一个均正常工作。类似地，公知周期性地将状态转变强加于独立的输入或输出，以确保输入和输出仍能够改变状态。恰恰随着工业控制系统中的部件的数目增加，工业控制器中部件的数目也类似地增加。工业控制器包括控制板，控制板可以包括例如微处理器、模数(A/D)转换器以及用于经由许多端口(包括但不限于工业网络、通用串行总线(USB)、光纤连接、通用异步接收器/发送器(UART)和背板)通信的缓冲器和接口。控制板还包括用于数据、地址和在各种设备与对于上述中的每一个在不同控制电压处的电源之间的电力的许多总线。工业控制器中部件的增加数目使其更容易出故障。在工业控制器中检测故障提供了独特的挑战。在控制处理器中执行的程序控制工业控制系统的操作。如果部件中之一失效，则控制处理器会进入这样一种状况，其中程序停止正常工作并且会在未知或无意状态下终止。如果控制处理器处于未知或无意的状态下，则工业控制系统会类似地在未知或无意的状态下终止操作，并且会导致对控制系统的损坏。因此，工业控制器通常被配置成如果其检测到故障状况则执行控制系统的硬关闭或者立即关闭。历来，已知除了使用控制处理器来控制工业控制系统之外，还使用控制处理器来监视工业控制器的状况。控制处理器可以执行试图在工业控制器失效之前利用工业控制器检测系统问题的程序。然而，额外的监视程序增加了控制处理器的复杂度，并且还会导致故障。如果监视程序失效，则工业控制器进入故障状况，产生对工业控制系统的硬关闭。强制工业控制系统的硬关闭具有各种缺点。工业控制器保持有包含工业控制系统的当前状态的表。如果硬关闭发生，则控制系统停止工作，这转而会导致表中的许多状态改变。一旦技术人员修理了控制器，则不存在工业控制系统在关闭之前的状态的认知。会需要在重新开始控制系统的操作之前，清理工业控制系统，例如通过从过程流水线移除产品或者通过将驻地移动到已知位置。清理过程导致了在修理过程中的另外时间和费用。因此，期望提供一种用于工业控制器的改进的监视系统。
技术实现思路
本文所公开的主题描述了一种用于工业控制器的自监视的改进的系统。在控制板上设置用于工业控制器的两个处理器。处理器中之一被指定为控制处理器并且执行用于工业控制系统的控制程序。另一处理器被指定为监视处理器并且验证控制器的正确操作。监视处理器接收在工业控制器上存在的控制电压和时钟频率中的每一个作为输入。监视处理器验证电压中的每一个处于正确电位并且验证时钟处于正确频率。如果监视处理器检测到故障，则其关闭工业控制器的操作。监视处理器还与控制处理器进行通信。控制处理器周期性地验证监视处理器在操作。如果监视处理器停止操作，则控制处理器生成警告消息并且提供工业控制器的延迟关闭。通过使工业控制器能够在之后时间关闭而非执行立即关闭，控制处理器可以将受控机器或过程的当前状态复制到存储器，并且提供受控机器或过程的较小破坏性关闭。在技术人员已经利用监视处理器改正问题之后，控制处理器可以恢复受控机器或过程的所存储的状态，从而提供从故障状况的较快速恢复。根据本专利技术的一个实施方式，工业控制器被配置成控制至少部分地限定工业机器或过程的多个设备。工业控制器包括控制板、第一处理器、独立于第一处理器执行的第二处理器以及在第一处理器与第二处理器之间周期性地发送的握手信号。第一处理器操作性地连接至控制板并且被配置成接收多个第一输入信号。每个第一输入信号与所述多个设备中之一的当前状态相对应。第一处理器还执行所存储的程序，以根据多个第一输入信号来生成多个输出信号。每个输出信号控制多个设备中之一的至少部分操作。第二处理器操作性地连接至控制板并且被配置成接收多个第二输入信号。每个第二输入信号与控制板的硬件功能相对应。第二处理器监视多个第二输入信号并且在检测到控制板的硬件功能的错误时生成第一故障。第一故障启动第一处理器的硬关闭。第一处理器监视握手信号并且在检测到握手信号的错误时生成第二故障。第二故障允许第一处理器在被关闭之前继续执行达预定时间。根据本专利技术的另一实施方式，公开了一种工业控制器的自监视操作的方法，该工业控制器被配置成控制至少部分地限定工业机器或过程的多个设备。该方法包括如下步骤：在操作性地连接至控制板的第一处理器处接收多个第一输入信号，并且执行所存储的程序以根据所述多个第一输入信号来生成多个输出信号。每个第一输入信号与多个设备中之一的当前状态相对应。每个输出信号控制多个设备中之一的至少部分操作。在操作性地连接至控制板的第二处理器处接收多个第二输入信号。每个第二输入信号与控制板的硬件功能相对应，并且第二处理器独立于第一处理器执行。以周期性时间间隔在第一处理器与第二处理器之间发送握手信号，并且利用第一处理器来监视握手信号。当第一处理器检测到握手信号的错误时，利用第一处理器生成故障。当生成故障时，在关闭第一处理器之前继续第一处理器的执行达预定时间。根据详细的描述和附图，本专利技术的这些优点和特征以及其它优点和特征对于本领域技术人员将变得明显。然本文档来自技高网...

【技术保护点】
一种工业控制器，所述工业控制器被配置成控制至少部分地限定工业机器或过程的多个设备，所述工业控制器包括：控制板；处理器，所述处理器操作性地连接至所述控制板，并且所述处理器被配置成接收多个第一输入信号，每个第一输入信号与所述多个设备中的一个设备的当前状态相对应，并且所述处理器被配置成执行所存储的程序，以根据所述多个第一输入信号来生成多个输出信号，每个输出信号控制所述多个设备中的一个设备的至少部分操作；逻辑电路，所述逻辑电路独立于所述处理器执行，所述逻辑电路操作性地连接至所述控制板并且被配置成接收多个第二输入信号，每个第二输入信号与所述控制板的硬件功能相对应；以及在所述处理器与所述逻辑电路之间周期性地传输的握手信号，其中：所述逻辑电路监视所述多个第二输入信号，并且在检测到所述控制板的所述硬件功能的错误时生成第一故障，所述第一故障启动所述处理器的硬关闭，以及所述处理器监视所述握手信号，并且在检测到所述握手信号的错误时生成第二故障，所述第二故障允许所述处理器在被关闭之前继续执行达预定时间。

【技术特征摘要】
2013.10.31 US 14/068,2291.一种工业控制器，所述工业控制器被配置成控制至少部分地限定工业机器或过程的多个设备，所述工业控制器包括：控制板；第一处理器，所述第一处理器操作性地连接至所述控制板，并且所述第一处理器被配置成接收多个第一输入信号，每个第一输入信号与所述多个设备中的一个设备的当前状态相对应，所述第一处理器还被配置成执行所存储的程序，以根据所述多个第一输入信号来生成多个输出信号，每个输出信号控制所述多个设备中的一个设备的至少部分操作；以及第二处理器，所述第二处理器被配置成独立于所述第一处理器执行，所述第二处理器操作性地连接至所述控制板并且被配置成接收多个第二输入信号，每个第二输入信号与所述控制板的硬件功能相对应，其中，所述第二处理器还被配置成监视所述多个第二输入信号、并且在检测到所述控制板的所述硬件功能的错误时生成第一故障，所述第一故障启动所述第一处理器的硬关闭，其特征在于，所述工业控制器还被配置成在所述第一处理器与所述第二处理器之间周期性地传输握手信号，并且所述第一处理器还被配置成监视所述握手信号、并且在检测到所述握手信号中的错误时生成第二故障，所述第二故障允许所述第一处理器在被关闭之前继续执行达预定时间。2.根据权利要求1所述的工业控制器，还包括：第一存储器，所述第一存储器被配置成存储动态状态表，其中，所述动态状态表包括多个值，所述多个值中的每一个与所述工业机器或过程的当前操作的状态相对应，并且其中，所述动态状态表中的所述多个值中的每一个在所述状态改变时被更新；以及第二存储器，所述第二存储器被配置成存储所述动态状态表的副本，其中，所述第一处理器还被配置成在所述第二故障生成之后的所述预定时间期间将来自所述动态状态表的所述多个值复制为所述副本。3.根据权利要求2所述的工业控制器，其中，所述第二存储器是能够移除地连接至所述控制板的便携式存储介质。4.根据权利要求2所述的工业控制器，还包括通信接口，所述通信接口操作性地连接在所述第一处理器与网络之间，其中，所述第一处理器还被配置成经由所述通信接口和所述网络将所述多个值复制到所述第二存储器。5.根据权利要求1所述的工...

【专利技术属性】
技术研发人员：丹尼尔·E·基利安，
申请(专利权)人：洛克威尔自动控制技术股份有限公司，
类型：发明
国别省市：美国;US