用于過程控制系統的冗余控制的制作方法

專利名稱：用于過程控制系統的冗余控制的制作方法
技術領域：
本發明涉及過程控制系統，具體來說，涉及變電站自動化系統。更具體來說，本發明涉及用于這種過程控制系統的命令重定向裝置、過程控制系統、包括重定向裝置的SCADA 系統、重定向裝置的使用、用于一次系統的過程控制系統的方法、計算機可讀介質和程序元件。
背景技術：
高壓和中壓電力網中的變電站包括一次設備，例如電纜、線路、匯流條、開關、電力變壓器和儀表變壓器，它們一般設置在開關場和/或間隔中。經由過程控制系統、如變電站自動化系統以自動化方式來操作這種一次設備。過程控制系統或變電站自動化系統可包括二次裝置或控制裝置，其中智能電子裝置(IED)可負責一次設備的保護、控制和監測。可將二次裝置指配給分層級，即，站級、間隔級和過程級，后者通過所謂的過程接口與間隔級分隔。變電站自動化系統的站級可包括具有人機接口的操作員工作站以及連到網絡控制中心的網關。間隔級上的智能電子裝置也稱作間隔單元或者保護IED，它們又可在間隔中和/或在站級經由主要用于交換命令和狀態信息的間隔間或站總線相互連接。過程級上的二次裝置可包括用于電壓(VT)、電流(CT)和氣體密度測量的傳感器、 用于感測開關和變壓器抽頭變換器位置的接觸探頭和/或用于改變變壓器抽頭位置或者用于控制例如斷路器或隔離開關等開關設備的致動器(I/O)。由國際電工委員會(IEC)作為標準IEC 61850的一部分(標題為“變電站中的通信網絡和系統”)引入了變電站的智能電子裝置之間的通信的通信標準。對于非時間關鍵消息，IEC 61850-8-1基于簡化開放系統互連(OSI)協議棧來規定制造消息規范(MMS，IS0/IEC 9506)協議，其中具有分別在傳輸和網絡層中的傳輸控制協議(TCP)和因特網協議(IP)以及作為物理介質的以太網。對于時間關鍵消息、如跳閘命令，IEC 61850-8-1規定直接建立于通信棧的以太網鏈路層的面向通用的變電站事件(GOOSE)。對于在過程級的超時間關鍵信號、如測量模擬電壓或電流，IEC 61850-9-2規定也直接建立于以太網鏈路層的取樣值(SV)協議。本發明可涉及使用IEC 61850標準的電力網操作的控制系統的領域。控制操作、 例如閉合或斷開一次開關可由變電站操作員通過站-SCADA系統來執行。這類命令可以不是直接發送給一次設備，而是發送給智能電子裝置，智能電子裝置執行關聯控制功能(例如聯鎖檢驗)，并且然后運行操作(例如斷開斷路器)。典型變電站自動化架構可由用于控制操作的每個間隔一個IED來組成(參見圖1)。控制操作可使用IEC 61850-8-1協議來執行，表示站-SCADA系統與任何IED之間的通信基于MMS用于控制操作。控制操作可基于“操作前選擇” (SBO)原則。操作員首先可發送選擇他想要操作的一次設備的指令，并且然后發送實現/運行命令的第二命令。最后， 命令的執行的確認可回送給操作員。由于SBO原則，控制可以是排他的，即，同時只有一個 IED能夠控制一次設備。因此，并且與保護功能相反，常規變電站自動化中的控制功能一般沒有復制(參見圖2)。保護功能由于安全原因而可以復制。在保護功能故障的情況下，冗余保護功能可接管故障保護功能的任務。過去數十年已經廣泛探索改進系統可靠性。一般來說，可存在四個主要形式的冗余度，它們可以是(1)硬件冗余度，例如雙重或三重冗余度，(2)信息冗余度，例如檢錯和糾錯方法，(3)時間冗余度，包括瞬時故障檢測方法，例如因特網邏輯，以及⑷軟件冗余度，例如N版本編程。在變電站自動化的上下文中，冗余度的通常方式可基于硬件和熱冗余度概念。另一種可能性可以是熱備用冗余度概念。在熱-熱架構中，兩個IED并行運行，而對于熱-備用架構，在熱IED出故障時使備用IED成為活動。兩種方式可按常規通過將兩個IED的輸入端和輸出端硬連線到相應CT/VT (傳感器輸入)和斷路器致動器(I/O)來實現。對軟件虛擬化的技術進步可允許在同一裝置上運行兩個不同的軟件系統，好像它是在兩個不同的物理裝置上運行一樣。能夠考慮將保護和控制功能性組合為一個物理裝置，并且降低IED裝置的數量，以便提供下行連至一次設備的更整潔的冗余鏈。為了充分利用這種新配置，控制功能可能也必須是冗余的(參見圖3)。此外，典型熱-熱冗余度也許是不可能的，因為控制操作必須是排他的，即，它們不應當同時由兩個不同IED來執行(SB0， 參見以上所述)。因此，可能必須使用熱-備用冗余架構。為此，對于冗余控制功能可考慮兩種主要方式對于任何給定間隔，IED可以復制。站-SCADA系統可知道復制IED，并且首先可與原始IED進行交互，并且然后在故障情況下切換到復制IED。這個架構的主要缺點是需要修改SCADA系統，這會是很復雜的任務。另一種方式可以是使復制IED每隔一定間隔檢查原始IED的狀態，并且在故障情況下模仿它，即用原始IED之一來代替它自己的IP地址。雖然這種方式對SCADA系統是透明的，但是它仍然要求在IED級進行模仿的復雜任務。此外，這個任務甚至在技術上對于在 IED上運行的操作系統不是持久的，并且在原始IED沒有釋放其IP地址而“凍結”時甚至會是不可能的。雖然冗余控制是可行的，但是上述主要方式可要求對站-SCADA系統或IED側的復雜修改。

發明內容
本發明的一個目的是提供對過程控制系統的冗余控制，而無需對過程控制系統的裝置的主要修改。這個目的通過獨立權利要求的主題來解決。本發明的示范實施例通過從屬權利要求是顯而易見的。本發明的第一方面涉及過程控制系統、特別是變電站自動化系統的命令重定向裝置。按照本發明的一個實施例，過程控制系統包括主要控制裝置，用于控制一次系統的一次設備；備用控制裝置，用于在第一控制裝置的故障情況下控制一次設備，其中命令重定向裝置適合接收送往主要控制裝置的控制命令，并且在主要控制裝置的故障情況下將所述控制命令重定向到備用控制裝置。
通過這種命令重定向裝置，可提供變電站自動化中的控制功能的透明冗余度。例如，可通過在站-SCADA系統的接口的一側引入專用裝置、即命令重定向裝置，來提供對智能電子裝置和站-SCADA系統的控制功能的透明冗余度。又可稱作TCR(透明控制冗余度) 裝置的命令重定向裝置一方面可連接到站-SCADA系統，而另一方面連接到站總線，并且在訪問站總線時充當站-SCADA的代理。命令重定向裝置可負責在故障情況下將站-SCADA控制命令重定向到另一智能電子裝置，使得站-SCADA系統看起來始終與原始智能電子裝置進行通信。由于重定向裝置，可避免對主要和備用控制裝置、如智能電子裝置或者過程控制系統、如站-SCADA系統的修改。因此，冗余控制可無需主要修改而在遺留系統中實現。這種命令重定向裝置可具有低復雜度，并且因此可以可靠并且節省成本地實現控制冗余度。此外，這種重定向裝置可允許易于將二次設備功能性，即主要控制裝置的功能性遷移到冗余控制方案、即備用控制裝置，而無需修改任何現有硬件和/或軟件系統。命令重定向裝置的益處可在于，冗余控制能夠以低成本來實現，而沒有對過程控制系統的其它組件的軟件和/或硬件修改。命令重定向裝置可適合在主要控制裝置的故障情況下將從過程控制系統到主要控制裝置的通信切換到備用控制裝置。例如，在主要控制裝置有故障的情況下，過程控制系統的控制命令重定向到備用控制裝置。過程控制系統無需知道備用控制裝置，并且可以只向主要控制裝置發送控制命令。主要控制裝置可以是智能電子裝置，智能電子裝置可編程為控制可以是中壓或工業變電站的一次系統的一次設備、如開關。按照本發明的一個實施例，命令重定向裝置適合檢測主要控制裝置的故障。例如， 每當命令重定向裝置接收到控制命令時，命令重定向裝置可檢驗主要控制裝置是否正確操作。在檢測到主要控制裝置有故障的情況下，它可將控制命令重定向到備用控制裝置。按照本發明的一個實施例，控制命令包括主要控制裝置的標識，其中對于重定向控制命令，命令重定向裝置適合通過采用備用控制裝置的標識替換主要控制裝置的標識來修改控制命令。例如，控制命令可包含在從過程控制系統發送給主要控制裝置的數據包中。 命令重定向裝置可從數據包中提取主要控制裝置的標識，并且此后可檢查主要控制裝置是否正確工作或者以其它方式可知道主要控制裝置正確工作。如果主要控制裝置有故障，則命令重定向裝置可采用備用控制裝置的標識來替換主要控制裝置的標識。按照本發明的一個實施例，命令重定向裝置適合通過向標識裝置發送主要控制裝置的標識來請求備用控制裝置的標識，并且作為響應而從標識裝置接收所請求備用標識。 在這種情況下，命令重定向裝置無需知道過程控制系統的哪一個裝置是主要控制裝置的備用控制裝置。命令重定向裝置僅必須提取主要控制裝置的標識，并且能夠向標識裝置請求備用控制裝置的標識，標識裝置例如可以是存儲過程控制系統的所有主要控制裝置以及與其關聯的過程控制系統的備用控制裝置的列表的數據庫。命令重定向裝置可以沒有預先知道不同的備用系統或備用控制裝置。而是當檢測到故障時，命令重定向裝置可向中心實體請求特定備用控制裝置、如備用智能電子裝置的地址或標識。這可對命令重定向裝置增加靈活性，如果不同控制裝置的地址發生變化，則會必須對命令重定向裝置重新編程。
按照本發明的一個實施例，命令重定向裝置具有用于連接到命令裝置的第一通信接口，命令裝置適合生成控制命令。例如，命令裝置可以是過程控制系統的另一個裝置。例如，它可以是站-SCADA系統的人機接口。按照本發明的一個實施例，命令重定向裝置適合從命令裝置接收控制命令，其中， 命令重定向裝置具有用于經由數據網絡連接到主要控制裝置和備用控制裝置的第二通信接口，命令重定向裝置適合于向主要控制裝置和備用控制裝置傳送控制命令。換言之，命令重定向裝置可連接以用于與命令裝置進行通信，并且可連接以用于與主要控制裝置和備用控制裝置進行通信。命令重定向裝置可位于命令裝置與連接主要控制裝置和備用控制裝置的通信網絡的交換機之間的通信路徑中。按照本發明的一個實施例，命令重定向裝置可適合采用IEC 61850、具體來說采用 IEC 61850-8協議進行通信。通信可以是與命令裝置和主要及備用控制裝置進行。在這種情況下，命令重定向裝置可與主要和備用控制裝置及過程控制系統、具體來說與智能電子裝置和SCADA系統的廠商無關。按照本發明的一個實施例，命令重定向裝置適合通過采用主要控制裝置的標識替換確認消息中包含的備用控制裝置的標識，來修改確認消息，其中確認消息確認控制命令的執行并且由備用控制裝置傳送。例如，主要控制裝置可發送關于控制命令所請求的控制功能由連接到主要控制裝置的一次設備已經運行的確認。但是，如果備用控制裝置從主要控制裝置接管了主要控制裝置的功能，則備用控制裝置可發送這個確認。在這種情況下，命令重定向裝置可修改確認，使得接收確認消息的系統、如已經生成控制命令的命令裝置無需知道備用控制裝置已經運行該控制命令而不是主要控制裝置。按照本發明的一個實施例，主要控制裝置適合通過向命令裝置傳送包含主要控制裝置的標識的第一確認來確認控制命令的執行，其中備用控制裝置適合通過向命令裝置傳送包含備用控制裝置的標識的第二確認來確認控制命令的執行，命令重定向裝置適合通過采用主要控制裝置的標識替換備用控制裝置的標識來修改備用控制裝置的第二確認。傳送確認可包括創建確認，并且將確認發送給已經創建控制命令的命令裝置。按照本發明的一個實施例，過程控制系統包括用于控制一次系統的另一個一次設備的另一個主要控制裝置。主要控制裝置可以是第一主要控制裝置，并且過程控制系統可包括另一個第二主要控制裝置。第一主要控制裝置可控制第一一次設備，并且第二控制裝置可控制一次系統的另一個第二一次設備。換言之，過程控制系統可包括至少兩個主要控制裝置。按照本發明的一個實施例，備用控制裝置適合于控制另一個第二一次設備。備用控制裝置可以不僅控制第一一次設備，而且還可控制第二一次設備。在這種情況下，備用控制裝置可以是第一和第二主要控制裝置的備用控制裝置。對于至少兩個主要控制裝置，可以僅存在一個備用控制裝置。按照本發明的一個實施例，命令重定向裝置適合檢測該另一個第二主要控制裝置的故障，其中，如果檢測到該另一個主要控制裝置的故障，則命令重定向裝置適合將該另一個主要控制裝置的控制命令重定向到備用控制裝置。例如，過程控制系統的備用智能電子裝置可組合為可集中所有間隔的控制功能的一個單一站范圍的備用智能電子裝置。在這種情況下，備用控制系統的成本可極大地降低。
本發明的另一方面涉及一次系統的過程控制系統。按照本發明的一個實施例，過程控制系統包括上文和下文所述的命令重定向裝置。按照本發明的一個實施例，過程控制系統還包括用于生成一件一次設備的控制命令的命令裝置。按照本發明的一個實施例，過程控制系統包括主要控制裝置，用于控制一次系統的一次設備；以及備用控制裝置，用于在第一控制裝置的故障情況下控制一次設備。按照本發明的一個實施例，過程控制系統還包括用于生成控制命令的命令裝置。按照本發明的一個實施例，過程控制系統包括另一個第二主要控制裝置。按照本發明的一個實施例，過程控制系統包括一個以上命令重定向裝置。按照本發明的一個實施例，過程控制系統還包括標識裝置，標識裝置適合在由命令重定向裝置進行請求時從主要控制裝置的標識提供備用控制裝置的標識。按照本發明的一個實施例，過程控制系統還包括數據網絡。主要控制裝置和備用控制裝置連接到數據網絡。控制命令可以是由數據網絡所傳送的數據包，主要控制裝置可通過第一網絡地址來標識，并且備用控制裝置可通過第二網絡地址來標識。此外，命令重定向裝置可通過數據網絡向主要控制裝置和備用控制裝置傳送數據包。此外，命令重定向裝置可通過數據網絡從主要控制裝置和備用控制裝置向命令裝置傳送數據包。按照本發明的一個實施例，過程控制系統還包括可以是第二主要控制裝置的另一個主要控制裝置。備用控制裝置可配置成在由命令重定向裝置檢測到主要控制裝置的故障時執行主要控制裝置的控制功能性，而在由命令重定向裝置檢測到另一個主要控制裝置的故障時執行另一個主要控制裝置的控制功能性。例如，第二主要控制裝置可具有不同一次設備的不同功能性(安全性、監測、控制)。備用控制裝置可適合例如從數據庫來下載主要控制裝置和另一個主要控制裝置的控制功能性，并且此后可適合執行相應主要控制裝置的功能性。例如，在智能電子裝置出故障的變電站自動化系統的情況下，空閑智能電子裝置 (備用控制裝置)可從中心服務器來下載位于出故障智能電子裝置中的控制功能，而不是預先下載功能。這個變體允許更大靈活性，并且可具有較低功率的智能電子裝置，因為僅必須運行一組控制功能。本發明的另一方面涉及一種SCADA系統。按照本發明的一個實施例，SCADA系統包括上文和下文所述的命令重定向裝置。 SCADA系統可適合于生成控制命令。例如，SCADA系統包括控制室，人工操作員在其內部監測一次系統。控制命令可通過操作生成，操作員在SCADA系統的控制室中采用人機接口執行這些操作。SCADA系統可以是過程控制系統的一部分，過程控制系統除了 SCADA系統之外還可包括其它控制裝置。按照本發明的一個實施例，命令重定向裝置可實現為SCADA系統的軟件。例如，不是將命令重定向裝置實現為物理裝置，而是可將它實現為SCADA系統正在其上運行的操作系統的軟件組件部分或模塊。這可具有避免對過程控制系統或SCADA系統添加額外的硬件的優點。另一方面，它可以是它在其上運行的各操作系統和網絡卡特定的。本發明的另一方面涉及過程控制系統的命令重定向裝置的使用。命令重定向裝置可以是上文和下方所述的命令重定向裝置。本發明的另一方面涉及一次系統的過程控制系統的方法。按照本發明的一個實施例，該方法包括下列步驟向主要控制裝置發送控制命令， 主要控制裝置適合于控制一次系統的一次設備；檢測主要控制裝置的故障；如果檢測到主要控制裝置的故障，則將主要控制裝置的控制命令重定向到備用控制裝置，備用裝置適合于控制一次系統的一次設備。按照本發明的一個實施例，該方法還包括下列步驟如果主要控制裝置正確工作， 則在該主要控制裝置上運行控制命令；如果主要控制裝置有故障，則在備用控制裝置上運行控制命令。按照本發明的一個實施例，該方法還包括下列步驟發送控制命令的執行的確認。按照本發明的一個實施例，該方法還包括下列步驟采用確認中的主要控制裝置的標識來替換備用控制裝置的標識。本發明的另一方面涉及一種其中存儲了一次系統的過程控制系統的計算機程序的計算機可讀介質，計算機程序在由處理器運行時適合執行上文和下文所述的一次系統的過程控制系統的方法的步驟。計算機可讀介質可以是軟盤、硬盤、⑶、DVD、USB(通用串行總線)存儲裝置、 RAM(隨機存取存儲器)、R0M (只讀存儲器)和EPROM (可擦可編程只讀存儲器)。計算機可讀介質還可以是允許下載程序代碼的數據通信網絡、如因特網。本發明的另一方面涉及一種用于一次系統的過程控制系統的程序元件，該程序元件在由處理器運行時適合執行上文和下文所述的一次系統的過程控制系統的方法的步驟。例如，用于運行程序元件的處理器可以是命令重定向裝置的處理器。例如，命令重定向裝置可以是包括具有兩個以太網連接的板的物理裝置。板可以是FPGA(現場可編程門陣列)板。一個以太網連接可連接到過程控制系統、如SCADA系統，而另一個以太網連接可連接到站總線，主要控制裝置和備用控制裝置與該站總線連接。板還可包括存儲器，存儲可通過VHDL (超高速集成電路硬件描述語言)來實現的程序元件；以及處理器，可適合運行程序元件。通過參照以下所述實施例進行的說明，本發明的這些方面及其它方面將會顯而易見。


下文中參照附圖示出的示范實施例更詳細地說明本發明的主題。圖1示出變電站自動化系統的一個示范實施例。圖2示出變電站自動化系統的另一個示范實施例。圖3示出變電站自動化系統的另一個示范實施例。圖4示出按照本發明的一個示范實施例的變電站自動化系統。圖5示出按照本發明的一個示范實施例的過程控制系統。圖6示出按照本發明的一個示范實施例的過程監測系統的方法的流程圖。圖7示出按照本發明的一個示范實施例的程序元件。圖8示出按照本發明的一個示范實施例的程序元件。
圖9示出按照本發明的一個示范實施例的程序元件。附圖所使用的參考標號及其含意在參考標號的列表中以概括形式列示。大體上， 附圖中，相同部分提供有相同參考標號。
具體實施例方式圖1示出具有連到SCADA系統14的接口 12的變電站自動化系統10的示意圖。 站-SCADA系統14可運行于具有人機接口(HMI)的站級操作工作站(OWS)。在那里，人工操作員可監測變電站自動化系統10，并且可建議站-SCADA系統14生成變電站自動化系統10 的控制命令。接口 12連接到數據總線16，數據總線16可使用IEC 61850標準來操作。數據總線16連接到包括第一間隔18a和第二間隔18b的多個間隔18a、18b、18c。間隔18a、18b、 18c的每個包括正控制一次設備22a、22b、22c的主要控制裝置20a、20b、20c，例如智能電子裝置20a、20b、20c。例如，第一間隔18a包括用于控制第一一次設備22a的第一 IED 20a, 以及第二間隔18b包括用于控制第二一次設備22b的第二 IED 20b。數據總線16連接到第一 IED 20a、第二 IED 20b和其它IED 20c。來自SCADA系統14的控制命令可作為數據總線16上的數據包通過數據總線16發送給IED 20a、20b、20c。在接收到控制命令之后，相應 IED 20a、20b、20c運行關于一次設備22a、22b、22c的控制功能，一次設備22a、22b、22c例如可以是高功率開關或斷路器，其可對控制命令進行反應而斷開或閉合。在已經運行控制命令之后，相應IED 20a、20b、20c向SCADA系統14回送確認。為此，IED 20a、20b、20c預備確認，該確認是通過數據總線16所發送的、包含SCADA系統14的地址的數據包。變電站自動化系統10的過程控制系統對可包括接口 12、數據總線16和IED 20a、 20b、20c。由過程控制系統M和SCADA系統14控制的一次系統沈可包括一次設備22a、22b、 22c。例如，一次系統沈可以是配電系統，并且站-SCADA系統14可以是操作配電系統 26的電力提供商的網絡管理中心的一部分。圖1所示的變電站自動化系統對每個間隔18a、18b、18c具有一個用于執行相應一次設備22a、22b、22c的控制功能的IED 20a、20b、20c。圖2示出變電站自動化系統10的另一個實施例。在圖2的變電站自動化系統10 中，每個間隔18a、18b中存在保護裝置^aJ8b。間隔18a包括第一保護裝置^a，以及間隔18b包括第二保護裝置^b。保護裝置^aJSb的每個分別連接到第一和第二一次設備 22a、22b，并且能夠與系統的其余部分無關地對保護級起作用。例如，保護裝置^a、28b是連接到檢測一次設備22a、22b的狀態的傳感器的智能電子裝置。由傳感器所生成并且由保護裝置觀&、2汕所收集的數據可通過總線16發送給站-SCADA系統14。圖2的間隔18a、18b的每個還包括冗余保護裝置30a、30b。S卩，第一間隔18a包括第一冗余保護裝置30a，以及第二間隔1 包括第二冗余保護裝置30b。在保護裝置^a、 28b的故障情況下，冗余保護裝置30a、30b能夠接管出故障的保護裝置^a、28b的保護功能性。在圖2所示的變電站自動化系統中，IED 20a、20b的控制功能性沒有復制，但是保護裝置^aJSb的保護功能性由冗余保護裝置30a、30b來復制。圖2的變電站自動化系統 10對每個間隔具有冗余保護功能和一個控制功能。圖2所示的智能電子裝置20aJ8a、30a、20bJ8b、30b可以是不同的物理裝置，其中的每個例如具有其自己的處理器。此外，由于軟件虛擬化，有可能在同一裝置上運行不同的軟件系統，好像它是在兩個不同的物理裝置上運行一樣。圖3示出其中冗余保護和控制功能合并到一個IED的變電站自動化系統10的另一個實施例。圖3的間隔18a、18b的每個包括主要控制裝置20a、20b和冗余主要控制裝置32a、 32b。主要控制裝置20a、20b和備用控制裝置32a、32b全部可以是智能電子裝置。主要控制裝置20a、20b以及還有備用控制裝置32a、32b連接到數據總線16。此夕卜，第一間隔18a的第一主要控制裝置20a和第一備用控制裝置3 連接到第一一次設備 22a,并且均適合于控制第一一次設備22a。類似地，間隔18b中的主要控制裝置20b和備用控制裝置32b適合控制一次設備22b。在圖3所示的變電站自動化系統10中，保護和控制功能合并到一個IED中。例如， 主要控制裝置20a或IED 20a具有保護模塊3 和控制模塊36a。備用控制裝置3 或冗余IED 3 也具有保護模塊3 和控制模塊36a。類似地，IED 20b、32b具有保護模塊34b 和控制模塊36b。由于控制裝置20a、20b具有與備用控制裝置32a、32b相同的功能性，所以位于各間隔中的裝置的保護模塊34a、34b和冗余保護模塊36a、36b可具有相同的功能性， 因為它們分別正控制相同的一次設備2 和22b。但是，如果例如主要控制裝置20a出故障，則連到SCADA系統14的接口 12或者 SCADA系統14本身必須知道第一控制裝置20a已經出故障，并且須將其控制命令送往備用控制裝置32a。圖4示出變電站自動化系統10的另一個實施例。圖4所示的變電站自動化系統 10與圖3所示的變電站自動化系統10的不同之處在于耦合在接口 12與數據總線16之間的命令重定向裝置38。命令重定向裝置38適合在用于控制和/或保護操作的主要控制裝置20a、20b、20c與備用控制裝置32a、32b、32c之間透明地切換。命令重定向裝置38可以是連接在數據總線16 (可以是站總線16)與SCADA系統14之間的物理裝置。SCADA系統14 和接口 12可配置成使得它們僅知道主要IED 20a、20b、20c或主要控制裝置20a、20b、20c。 主要控制裝置20a、20b、20c與備用控制裝置32a、32b、32c之間的切換由命令重定向裝置38 進行。甚至在主要控制裝置20a、20b、20c其中之一的故障情況下，SCADA系統14和接口 12 也無需知道備用控制裝置32a、32b、32c。命令重定向裝置38的目標是監控主要控制裝置20a、20b、20c的狀態、即工作還是有故障，以便修改控制通信、即控制命令，因此站-SCADA系統14和接口 12甚至在故障情況下也看起來是與相同的主要控制裝置20a、20b、20c進行通信。更準確來說，對于各主要控制裝置20a、20b、20c，命令重定向裝置38能夠按照以下將針對間隔18a中的控制裝置20a、32b所述的兩種不同狀態來建模。必須理解，相同或相似情況對于間隔1 和18c中的主要控制裝置20b、20c、32b、32c也成立。命令重定向裝置38的第一狀態是“正常”狀態。在這種情況下，第一主要控制裝置20a是有效的或者正確工作。在這種狀態中，站-SCADA系統14通過用于控制操作的命令重定向裝置38與第一主要控制裝置20a進行通信，S卩，向主要控制裝置20a發送控制命令。命令重定向裝置38每隔一定間隔檢查主要控制裝置20a的有效性。命令重定向裝置38的第二狀態是“有故障”狀態。在這種狀態中，主要控制裝置 20a停機或者已經出故障。在這種狀態中，命令重定向裝置38檢測到主要控制裝置20a的故障，并且在主控制裝置20a出故障的情況下識別備用控制裝置32a。當站-SCADA系統14 發出控制命令時，控制命令的目標地址仍然是指向主要控制裝置20a的地址。命令重定向裝置38截取控制控制命令，并且將其重定向到備用控制裝置32a。當備用控制裝置32a回送命令執行的確認時，命令重定向裝置38截取通過數據總線16所發送的數據包，并且按照主要控制裝置20a對它進行修改。在這種狀態中，站-SCADA系統14看起來是接收由主要控制裝置20a所發送的確認。在有故障狀態期間，命令重定向裝置38保持對主要控制裝置20a進行試通，即， 定期檢查主要控制裝置20a的故障，因此，例如在它由維護技術人員更換時，重定向能夠停止，并且命令重定向裝置38能夠回到正常狀態。為了使控制裝置20a、20b、20c的冗余度對站-SCADA系統14是透明的，只有重定向裝置38a必須放置在SCADA系統14與間隔18a、18b、18c的控制裝置之間的通信路徑中。 命令重定向裝置38僅必須知道不同的控制裝置20a、20b、20c，并且必須知道哪一個備用控制裝置32a、32b、32c是相應主要控制裝置20a、20b、20c的備用控制裝置。由站-SCADA系統14或其它命令裝置所發出和接收的所有控制命令均經過命令重定向裝置38，使得如果它們必須被重定向到備用控制裝置32a、32b、32c或者由這些控制裝置32a、32b、32c其中之一發出，則它們能夠由命令重定向裝置38來修改。也許有可能的是，如果主要控制裝置20a、20b、20c其中之一就在它已經獲取操作一次設備22a、22b、22c的權限之后出故障，則站-SCADA系統14或命令裝置的操作員必須重新發出控制命令。在這種情況下，也許有可能的是，備用控制裝置32a、32b、32c不能對它進行操作，因為它不能獲取操作一次設備的權限。在這種情況下，必須第二次發送控制命令，使得備用控制裝置能夠獲取操作一次設備的權限。為了使命令重定向裝置38的邏輯保持為簡單，也許有可能的是，命令重定向裝置不執行如以上所述的狀態轉移。例如，有可能的是，每次命令重定向裝置38接收到控制命令時，它對相應主要控制裝置20a、20b、20c進行試通，以便檢查相應控制裝置20a、20b、20c 是否有故障，并且此后在需要時重定向該控制命令。在這個備選實施例中，命令重定向裝置 38可以是無狀態裝置。圖5示出用于控制一次系統26’的過程控制系統24’的另一個實施例。過程控制系統對’包括命令重定向裝置38，并且可從命令裝置40接收控制命令。例如，命令裝置40 可以是站-SCADA系統14，但是還可包括適合無需人工操作員的干預來生成控制命令的控制邏輯。另一方面，命令重定向裝置38連接到數據總線或數據網絡16。過程控制系統24’包括第一主要控制裝置20a，用于控制一次系統26’的第一一次設備22a;以及第二主要控制裝置20b，用于控制一次系統沈’的第二一次設備22b。主要控制裝置20a和20b連接以用于與數據總線16進行通信。過程控制系統24’還包括備用控制裝置32’，備用控制裝置32’連接到數據總線16，并且適合控制第一一次設備2 和第二一次設備22b。在主要控制裝置20a、20b其中之一出故障的情況下，備用控制裝置32’ 可從主要控制裝置20a、20b的每個來接管控制和保護功能性。為此，備用控制裝置32’可例如經由數據總線16從數據庫42下載相應控制模塊34a、34b和相應保護模塊36a、36b。 對于與命令裝置40的通信，命令重定向裝置38包括第一接口 44，以及對于與過程控制系統 24’的其它組件、即主要控制裝置20a、20b、備用控制裝置32’和數據庫42的通信，命令重定向裝置38具有連接到數據總線16的第二接口 46。第二接口可適合采用IEC 61850、具體來說采用IEC 61850-8協議進行通信。命令重定向裝置38還包括用于執行命令重定向裝置38的功能性的控制邏輯48。 例如，接口 44和46可以是以太網卡，控制邏輯48可以是處理器，以及具有所存儲程序代碼的存儲器，或控制邏輯48可以是FPGA 48。數據庫42還可以是標識裝置42。例如，如果存在一個以上備用控制裝置32’或者命令重定向裝置38不知道備用裝置32’的網絡地址，則命令重定向裝置38可向數據庫42 請求備用控制裝置32’的地址。數據庫42’中可存在查找表，并且命令重定向裝置能夠采用主要控制裝置20a、20b其中之一的地址來請求備用控制裝置32，的地址。圖6示出用于過程控制系統對、24’的方法。在步驟S10，命令裝置40、14向第一主要控制裝置20a發送控制命令。在步驟S12，命令重定向裝置38通過第一接口 44來接收控制命令。在步驟S14，命令重定向裝置38的控制邏輯48從控制命令中提取第一主要控制裝置20a的地址(或者在控制命令發送給另一個主要控制裝置的情況下，從另一個主要控制裝置提取第一主要控制裝置20a的地址)。在步驟S16，命令重定向裝置38對第一主要控制裝置20a (或者相應的另一個主要控制裝置)進行試通。為此，命令重定向裝置38通過數據總線16發送具有第一主要控制裝置20a的地址的試通命令。如果第一主要控制裝置20a應答該試通命令，則命令重定向裝置將其解釋為主要控制裝置20a正在工作。在第一主要控制裝置20a沒有應答來自命令重定向裝置38的試通命令時，在步驟 S18，命令重定向裝置向數據庫42請求備用控制裝置32’的標識或地址。在步驟S20，命令重定向裝置38采用備用控制裝置32’的地址來替換第一主要控制裝置20a的地址。另外，在步驟S20，命令重定向裝置38可請求備用控制裝置32’下載數據庫42中存儲的第一主要控制裝置20a的控制和保護功能性。此后，在兩種情況下，無論第一主要控制裝置20a是否出故障，命令重定向裝置均經由第二接口 46發送最終修改的控制命令。在步驟S24，主要控制裝置20a或者備用控制裝置32’接收控制命令并且運行該控制命令。此后，主要控制裝置20a或者備用控制裝置32’向命令裝置40回送控制命令的執行的確認。該確認由命令重定向裝置38采用第二接口 46來接收。控制邏輯48再次檢查消息是來自主要控制裝置20a、20b還是來自備用控制裝置32’。在確認是來自備用控制裝置32’的情況下，控制邏輯48采用主要控制裝置20a、20b的相應地址來替換備用控制裝置的地址，并且此后經由第一接口 44向命令裝置40發出最終修改的消息。圖7示出可由命令重定向裝置38的控制邏輯48來運行的程序元件。具體來說，圖7示出用于試通任務或試通步驟的命令重定向裝置38的邏輯。命令重定向裝置38定期地向主要控制裝置20a、20b、20c發送心跳信號。對于圖7的程序元件，假定了控制裝置是 IED 20a、20b、20c。圖7的程序元件包含對于過程控制系統對、24’的多個IED的每個IED并行運行的循環。IED的地址存儲在列表“ListlEDS”中。在循環期間，命令重定向裝置38對IED “ied”進行試通，并且此后在預定義時間段“ t ime_out ”期間等待試通命令的應答。如果命令重定向裝置38在時間段“time_0ut”之后沒有接收到試通命令的應答， 則命令重定向裝置設置重定向。在這種情況下，命令重定向裝置38例如借助于數據庫42 來檢索備用IED，并且將連接從具有地址“ied”的IED重定向到具有地址“ied_backup”的 IED。命令重定向裝置38對于IED “ ied”處于“有故障”狀態。如果重定向裝置38接收來自被試通IED “ied”的應答，則為具有地址“ied”的 IED設置直接連接。命令重定向裝置38對于IED “ ied”處于“正常”狀態圖8示出可由命令重定向裝置38的控制邏輯48來運行的程序元件。圖8表示正常狀態和有故障狀態中的控制命令的情況下的邏輯。當命令重定向裝置38接收到包含控制命令“command”的數據包時，功能“sendToIED”被運行。在命令重定向裝置38處于有故障狀態(“redirect == true”)的情況下，控制命令“command”的目標地址或目標IP被修改。此后，在兩種情況下，即有故障狀態和該狀態中，將命令轉發到數據總線16。圖9示出可由命令重定向裝置38的控制邏輯48來運行的另一個程序元件。圖9 表示命令重定向裝置38的正常狀態和有故障狀態中的控制操作或控制命令的確認的情況下的邏輯。當命令重定向裝置38接收到包含控制裝置20a、20b、20C、30a、30b、30C、32，其中之一的控制操作的確認的數據包“confirmation”時，功能“sendToSCADA”被運行。如果命令重定向裝置38處于有故障狀態，則確認的源地址或源IP經過修改，即，備用控制裝置的地址由相應主要控制裝置的地址來替換。此后，在兩種狀態中，確認經由接口 44轉發給命令裝置40。功能模塊可分別實現為編程軟件模塊或過程；但是，本領域的技術人員將會理解， 功能模塊能夠完全或部分通過硬件來實現。雖然在附圖和以上描述中詳細說明和描述了本發明，但是這種說明和描述被認為是說明性或示范性而不是限制性的；本發明并不局限于所公開的實施例。通過研究附圖、本公開和所附權利要求書，對所公開的實施例的其它變更是本領域的并且實施要求保護的本發明的技術人員可以理解和實施的。在權利要求書中，詞語“包括”并不排除其它元件或步驟，以及不定冠詞“一”、并不排除多個。單個處理器或控制器或者其它單元可完成權利要求書中所述的若干項的功能。在互不相同的從屬權利要求中陳述某些量度的純粹的事實并不表示這些量度的組合不能用于產生良好效果。權利要求書中的任何參考標號不應當理解為限制范圍。參考標號列表10變電站自動化系統12連到SCADA系統的接口
14 SCADA 系統16數據總線，數據網絡18a, 18b, 18c 間隔20a, 20b, 20c IED (主要控制裝置)22a，22b，22c —次設備24,24'過程控制系統26,26' 一次系統28a，2 保護裝置30a, 30b冗余保護裝置3 , 32b，32c冗余IED (備用控制裝置)3 ，34b保護模塊36a，36b冗余保護模塊38命令重定向裝置40命令裝置32'備用控制裝置42數據庫44 第一接口46 第二接口48控制邏輯
權利要求
1.一種用于過程控制系統(24)、具體用于變電站自動化系統(10)的命令重定向裝置 (38)，所述過程控制系統(24)包括主要控制裝置(20a)，用于控制一次系統(26)的一次設備(22a)， 備用控制裝置(30a)，用于在所述第一控制裝置(20a)的故障情況下控制所述一次設備(22a)，其中所述命令重定向裝置(38)適合接收送往所述主要控制裝置(20a)的控制命令，并且在所述主要控制裝置(20a)的故障情況下將所述控制命令重定向到所述備用控制裝置 (30a)。
2 如權利要求1所述的命令重定向裝置(38)，其中，所述命令重定向裝置(38)適合檢測所述主要控制裝置(20a)的故障。
3.如權利要求1所述的命令重定向裝置(38)，其中，所述控制命令包括所述主要控制裝置(20a)的標識，對于重定向所述控制命令，所述命令重定向裝置(38)適合通過采用所述備用控制裝置(30a)的標識替換所述主要控制裝置(20a)的標識，來修改所述控制命令。
4.如權利要求3所述的命令重定向裝置(38)，其中，所述命令重定向裝置(38)適合通過向標識裝置(42)發送所述主要控制裝置 (20a)的標識來請求所述備用控制裝置(30a)的標識，并且作為響應而從所述標識裝置接收所請求備用標識。
5.如權利要求1所述的命令重定向裝置(38)，其中，所述命令重定向裝置(38)具有用于連接到命令裝置(40)的第一通信接口(44)， 所述命令裝置(40)適合生成所述控制命令，所述命令重定向裝置(38)適合從所述命令裝置(40)接收所述控制命令， 所述命令重定向裝置(38)具有用于經由數據網絡(16)連接到所述主要控制裝置 (20a)和所述備用控制裝置(30a)的第二通信接口(46)，所述命令重定向裝置(38)適合于向所述主要控制裝置(20a)和所述備用控制裝置 (30a)傳送所述控制命令。
6.如權利要求1-5中的任一項所述的命令重定向裝置(38)，其中，所述命令重定向裝置(38)適合通過采用所述主要控制裝置(20a)的標識替換所述確認消息中包含的所述備用控制裝置(30a)的標識，來修改確認消息，其中所述確認消息確認所述控制命令的執行并且由所述備用控制裝置(30a)傳送。
7.如權利要求1所述的命令重定向裝置(38)，其中，所述過程控制系統(24’)包括用于控制所述一次系統(26’)的另一個一次設備 (22b)的另一個主要控制裝置(20b)，所述備用控制裝置(32’ )適合于控制所述另一個一次設備(22b)， 所述命令重定向裝置(38)適合檢測所述另一個主要控制裝置(22b)的故障， 所述命令重定向裝置(38)適合在檢測到所述另一個主要控制裝置(20b)的故障時，將所述另一個主要控制裝置(20b)的控制命令重定向到所述備用控制裝置(32’)。
8.一種用于一次系統(26)的過程控制系統(24)，包括 命令裝置(14)，用于生成一件一次設備(22a)的控制命令，主要控制裝置(20a)，用于控制所述一次系統(26)的所述一件一次設備(22a)， 備用控制裝置(30a)，用于在所述第一控制裝置(20a)的故障情況下控制所述一件一次系統設備(22a)，如權利要求1至7中的任一項所述的命令重定向裝置(38)。
9.如權利要求8所述的過程控制系統(24)，還包括 數據網絡(16)，其中，所述主要控制裝置(20a)和所述備用控制裝置(30a)連接到所述數據網絡(16)， 所述控制命令是由所述數據網絡(16)所傳送的數據包， 所述主要控制裝置(20a)通過第一網絡地址來標識， 所述備用控制裝置(30a)通過第二網絡地址來標識，所述命令重定向裝置(38)通過所述數據網絡(16)向所述主要控制裝置(20a)和所述備用控制裝置(30a)傳送所述數據包。
10.如權利要求8和9中任一項所述的過程控制系統(24’)，還包括 另一個主要控制裝置(20b)，其中，所述備用控制裝置(38)配置成在由所述命令重定向裝置(38)檢測到所述主要控制裝置(20a)的故障時執行所述主要控制裝置(20a)的控制功能性，而在由所述命令重定向裝置(38)檢測到所述另一個主要控制裝置(20b)的故障時執行所述另一個主要控制裝置(20b)的控制功能性。
11.一種SCADA系統(24)，包括如權利要求1至7中的任一項所述的命令重定向裝置(38)， 其中，所述SCADA系統(24)適合于生成所述控制命令。
12.如權利要求1至7中的任一項所述的命令重定向裝置(38)在過程控制系統(24) 中的用途。
13.一種用于一次系統(26)的過程控制系統(24)的方法，所述方法包括下列步驟 向主要控制裝置(20a)發送控制命令，所述主要控制裝置(20a)適合于控制所述一次系統(26)的一次設備(22a)；檢測所述主要控制裝置(20a)的故障；如果檢測到所述主要控制裝置(20a)的故障，則將所述主要控制裝置(20a)的所述控制命令重定向到備用控制裝置(30a)，所述備用控制裝置(30a)適合于控制所述一次系統 (26)的所述一次設備(22a)。
14.一種其中存儲了一次系統的過程控制系統的計算機程序的計算機可讀介質，所述計算機程序在由處理器運行時適合執行如權利要求13所述的方法的步驟。
15.一種用于一次系統的過程控制系統的程序元件，在由處理器運行時適合執行如權利要求13所述的方法的步驟。
全文摘要
過程控制系統(24)包括主要控制裝置(20a)，用于控制一次系統(26)的一次設備(22a)；以及備用控制裝置(30a)，用于在第一控制裝置(20a)的故障情況下控制一次設備(22a)。用于過程控制系統(24)、具體來說用于變電站自動化系統(10)的命令重定向裝置(38)適合接收送往主要控制裝置(20a)的控制命令，并且在主要控制裝置(20a)的故障情況下將所述控制命令重定向到備用控制裝置(30a)。
文檔編號G05B9/03GK102483611SQ201080039706
公開日2012年5月30日 申請日期2010年8月19日 優先權日2009年9月2日
發明者J-C·圖尼耶, T·維爾納 申請人:Abb研究有限公司