阅读说明：本技术 用于控制平面网络中的冗余连接的控制设备和方法 (Control device and method for redundant connections in a control plane network ) 是由 J-J.阿德拉尼亚 K.巴比尔 A.布鲁克 A.埃罗吉劳 F.加西亚马丁 Y.比谢 于 2020-01-23 设计创作，主要内容包括：本发明涉及一种控制设备,该控制设备具有集成交换机,并且被配置为逻辑上启用和禁用集成交换机的以太网端口。还公开了一种由至少两个现场设备、主控制设备和主交换机、辅控制设备和辅交换机组成的设备网络,该至少两个现场设备、主控制设备和主交换机、辅控制设备和辅交换机以菊花链环路拓扑连接。并且其中,辅控制设备被配置为逻辑上启用和禁用辅交换机的以太网端口。还公开了由这种设备网络组成的平面网络。还公开了一种用于控制平面网络中的冗余连接的方法,该方法包括：检测主控制设备的故障,发起故障转移,启用辅交换机的以太网端口,以及禁用主交换机的以太网端口。(The present invention relates to a control device having an integrated switch and configured to logically enable and disable an ethernet port of the integrated switch. Also disclosed is a device network comprised of at least two field devices, a primary control device and switch, a secondary control device and a secondary switch, the at least two field devices, the primary control device and switch, the secondary control device and switch being connected in a daisy chain loop topology. And wherein the secondary control device is configured to logically enable and disable the ethernet port of the secondary switch. A planar network consisting of such a network of devices is also disclosed. Also disclosed is a method for redundant connectivity in a control plane network, the method comprising: detecting a failure of the primary control device, initiating a failover, enabling an Ethernet port of the secondary switch, and disabling an Ethernet port of the primary switch.)

用于控制平面网络中的冗余连接的控制设备和方法

技术领域

本发明涉及一种用于控制平面网络中的冗余连接的方法以及实现这种控制的系统架构。

背景技术

工业自动化系统被提供来执行、控制和监督工业过程。这些自动化系统从多个设备构建而成，诸如可编程逻辑控制器(Programmable Logic Controller，PLC)、可编程自动化控制器(Programmable Automation Controller，PAC)、输入/输出设备(I/O设备)、现场设备(例如，传感器和致动器)，这些设备经由运行技术OT网络(即工业设备网络)、使用工业协议(诸如Modbus、ODVA以太网/IP、Profinet等)互连。这种自动化系统还通常连接到企业信息技术IT网络，即控制室网络，控制室网络使用TCP/IP和以太网IEEE 802.3上的公共IT协议来与例如ERP系统或其他数据管理系统交换数据和信号。通常从控制室来结合和监督这些工业自动化系统和企业系统。

参考图1，示出了配置100的第一示例，其中控制室网络110与工业设备网络120连接。控制室网络110包括主计算机系统111和层2交换机112。设备网络包括两个现场设备123、124、主PLC 121、辅PLC 122、以及层2交换机125。PLC 121、122和现场设备123、124以菊花链环路拓扑(daisy chain loop topology)连接。在图中由方形端口和电缆链路指示。辅PLC 122是在主PLC 121发生故障的情况下出于冗余度的原因而提供的，并且旨在促进控制系统的高可用性。除了用于在网络内交换数据的连接之外，两个PLC121、122还经由专用链路128连接以处理故障转移(failover)。

设备网络120使用已知的工业协议之一，诸如Modbus，而控制网络110使用IEEE802.3以太网上的公共IT协议。对于控制网络110的交换机112和设备网络的交换机125之间的连接，使用以太网协议。交换机125然后提供设备网络120内的通信。由于两个PLC是同一菊花链的一部分，所以交换机125提供环路检测以防止其中通信消息被连续转发的所谓的广播风暴。如现场设备123的端口中的黑色X所示。

一般来说，交换机在OSI模型的层2运行，并且配备有多个端口以用于在局域网LAN内的各种设备之间提供连接。各种协议可用于通过IEEE 802.3(通常称为以太网)传输消息。因此，交换机的端口可以被称为以太网端口。

使用仅交换机互连的图1的配置通常被称为平面网络架构，其具有提供透明度和易于控制管理的益处。没有分层结构，并且也没有用于路由流量的装置。图1的配置100的缺点在于，网络之间只有一个连接，并且在不增加复杂性以解决路由需求的情况下，不能增加用于提高冗余度的进一步连接。

参考图2，示出了配置200的第二示例，其中控制网络210与设备网络220连接。同样，控制网络210包括主计算机系统211和交换机212。设备网络包括两个现场设备223、224、主PLC 221和辅PLC 222。PLC 221、222和现场设备223、224以菊花链环路拓扑连接。同样，为了促进控制系统的高可用性，在主PLC 221发生故障的情况下，出于冗余度的原因而提供辅PLC 222。并且两个PLC 121、122经由专用链路228进一步链接以处理故障转移。

设备网络中不存在交换机，并且主PLC 221和辅PLC 222独立地连接到控制室交换机212，增加了冗余度水平并减少了所需的设备数量。在这种配置中，现在需要在交换机212中提供环路检测，以防止广播风暴。因此，这需要交换机212提供环路检测，诸如例如，通过生成树协议STP(Spanning Tree Protocol)来提供。生成树协议旨在通过禁用不是树的部分的链路来为以太网网络创建无环路逻辑拓扑。然而，这带来了不必要的复杂性和成本。

发明内容

本发明的目的是在平面网络架构中提供设备网络和控制网络之间的冗余连接。

根据本发明，该目的是通过提供一种包括至少两个现场设备、主控制设备和主交换机、辅控制设备和辅交换机的设备网络来实现的，该至少两个现场设备、主控制设备和主交换机、辅控制设备和辅交换机以菊花链环路拓扑连接。并且其中，辅控制设备被配置为逻辑上启用和禁用辅交换机的以太网端口。

根据一个方面，提供了一种由所公开的设备网络和控制室网络组成的平面网络，该控制室网络包括主计算机系统的和具有至少两个以太网端口的控制室交换机。并且其中，主交换机的以太网端口和辅交换机的以太网端口分别连接到控制室交换机的至少两个以太网端口。

根据另一方面，提供了一种具有集成交换机的控制设备，并且其中，该控制设备被配置为逻辑上启用和禁用集成交换机的以太网端口。

根据又一方面，提供了一种用于控制平面网络中的冗余连接的方法，该方法包括：检测主控制设备的故障、发起故障转移、启用辅交换机的以太网端口以及禁用主交换机的以太网端口。

参考附图，本发明的特定实施例的进一步的目的、方面、效果和细节将在以下对多个示例性实施例的详细描述中描述。

附图说明

仅作为示例，将参考附图描述本公开的实施例，其中：

图1示意性示出了平面网络配置的现有技术示例；

图2示意性示出了平面网络配置的另一现有技术示例；

图3示出了根据本发明的平面网络配置的示例；和

图4示出了根据本发明的方法的示例。

具体实施方式

参考图3，示出了根据本发明的IT-OT配置300的示例。IT-OT配置300包括控制网络310和设备网络320。控制网络310包括主计算机系统311和层2交换机312。设备网络包括两个现场设备323、324、主PLC 321和主交换机326、以及辅PLC 322和辅交换机327。在该示例中，交换机被示为独立的设备，在其他示例中，它们可以分别集成在主PLC 321和辅PLC 322内。主PLC 321和交换机326、辅PLC 322和交换机327、以及现场设备323、324以菊花链环路拓扑连接。除了用于控制网络的连接之外，PLC还通过专用连接328连接，诸如基于冗余点对点光纤的连接、背板总线、专有以太网链路或现场总线。

辅PLC 322是在主PLC 321发生故障的情况下出于冗余度的原因而提供的，并且旨在促进控制系统的高可用性。这被称为具有热备用(hot-standby)配置的高可用性系统，意味着两个PLC 321、322都通电，但是只有一个实际执行应用程序。在主PLC 321发生故障的情况下，将发起故障转移过程，以使辅PLC 322接管应用程序的执行。故障的检测可以包括使用例如心跳信号(heartbeat signal)或其他已知手段来监控运行。此外，在正常运行期间，主PLC 321的活动数据通常与辅PLC 322交换，以确保辅PLC 322能够在故障转移时立即接管应用程序的执行。在图3的示例中，高可用性系统被认为是热备用的，因为冗余PLC已经在运行并且被提供有当前有效的数据。在其他示例中，配置可以是例如在故障转移的情况下首先需要为冗余PLC实现数据的温备用(warm-standby)，或者可以是在故障转移的情况下首先需要启动冗余PLC的冷备用(cold-standby)。

控制网络310和设备网络320经由两个独立的连接而连接，即层2交换机312和交换机326、327之间的链路：交换机312和主交换机326之间的一个主链路以及交换机312和辅交换机327之间的一个辅链路。这增加了冗余度水平，并减少了所需的复杂、智能、昂贵装备的量。

设备网络320使用已知的工业协议之一，诸如Modbus，而控制网络310使用IEEE802.3以太网上的公共IT协议。由于仅使用根据OSI模型在数据链路层2处运行的交换机326、327，而不是根据OSI模型在网络层3处运行的更智能的网关，并且由于菊花链环路拓扑，所以存在广播风暴的风险。

因此，辅PLC 322被布置用于逻辑上启用和禁用辅交换机327的端口327a，端口327a连接到控制网络310的交换机312。优选地，辅PLC 322还被布置用于逻辑上启用和禁用主交换机326的端口326a。端口326a主要适用于具有PLC外部的交换机的配置。因此，辅PLC322控制辅交换机以太网端口327a的运行。并且优选地，还控制主交换机以太网端口326a的运行。逻辑上启用或禁用一个端口可以例如通过控制相应交换机或其他相关寄存器的MAC数据库来建立。

注意，交换机326、327和层2交换机312之间的主链路和辅链路都可以被衔接，而对于交换机326、327中的仅一个，启用逻辑连接。

因此，同时参考图4，在检测401到主PLC 321的故障的情况下，发起402故障转移过程，并且启用403辅交换机的以太网端口，以及禁用404主交换机的以太网端口。该方法还可以包括通知405控制网络：故障转移过程已经结束。

更一般地，如果故障是软件或逻辑性质的，诸如是由于错误的计算或用户命令而引起的，则故障的PLC可以进入用户所定义的回落(fall back)或安全状态。在其他示例中，故障的PLC可以自行复位。此外，故障的PLC还可以重置主交换机。此后，它可以作为热备用中的辅PLC。或者它可以发起过程以再次成为主PLC。如果故障具有硬件性质，则需要发送警报，以便允许操作员来更换有缺陷的设备。

将理解的是，一旦故障转移过程完成，并且备用的辅PLC接管了功能和任务，辅PLC就将作为主PLC而运行。并且一旦原来的主PLC的故障被修复，原来的主PLC就可以开始作为辅PLC而运行。

除了主PLC 321自身的故障之外，主交换机326或到交换机312的主链路也可能发生故障。为了监控这种情况，主PLC 321和辅PLC 322可以使用例如简单网络管理协议SNMP(Simple Network Management Protocol)用于监控交换机326、327以及它们到交换机312的链路。因此，无论是交换机还是链路，主连接中的故障都可以被主PLC检测到，并且该主PLC可以决定开始故障转移过程。因此，可以发生：主PLC 321或辅PLC 322或两个PLC 321、322都可能决定发起故障转移过程。更一般地，这取决于每个PLC的状态，在这些状态下，它们作为彼此的对等体而运行。

一般地，集线器或交换机可以通过存储在特定端口上接收的传入帧中提到的每个源MAC地址来获知其运行的网络；从而创建将端口和MAC地址进行关联的MAC数据库。如果数据库中还不知道目的地MAC地址，则传入帧将被泛洪到交换机的所有其他端口，接收到传入帧的那一个端口除外。由于通常只有一个设备会响应并提到它的源MAC地址，所以可以存储端口和MAC地址的新关联。在存在物理环路的情况下，传入帧将经由一个或多个端口发送，但也会由于环路而被再次传入。当帧被再次重复发送时，该帧将重复地循环该环路，从而降低容量，直到交换机最终开始丢弃帧并变得不可靠为止。

如同图2的示例，可以应用生成树协议或环路检测协议。然而，这将再次带来类似的网段隔离和网络安全的风险。此外，这种生成树协议在大型、更复杂的基础架构中可能运行得太慢。

因此，将至少辅PLC或者主PLC和辅PLC两者配置为能够逻辑上启用和禁用各自的交换机的端口，这允许防止广播风暴。并且它消除了借由协议、管理和/或更智能、更昂贵的设备来采取进一步措施的需要。以这种方式，根据OSI模型而在数据链路层2运行的简单的、受管理的交换机可以用于使辅链路能够提高冗余度。

所公开的IT-OT平面网络配置和方法增加了单个故障发生的冗余度，这意味着在IT、控制网络310与OT、设备网络320之间的链路中仅一个链路发生故障。双重故障的发生，意味着两条链路同时发生故障，尽管可能性不大，但是当然可以通过扩大IT和OT网络之间的链路的数量来解决。

取决于设置，即所使用的配置和装备，辅PLC 322可以使用几种不同的方式来配置交换机端口327a，如下所述。

1.使用基于端口的网络访问控制协议，诸如IEEE 802.1X

基于端口的网络访问控制用于只允许特定端口上的某些流量，基本上只允许与认证协议相关的流量，所有其他流量都被封锁。例如，对于IEEE802.1X，这需要请求者，在图3的示例中，该请求者(即交换机312)想要连接充当守卫的认证者(图3中的辅交换机327)与验证请求者的凭证的认证服务器(图3中的辅PLC 322)。如果发起故障转移过程，则交换机312所链接到的辅交换机327的端口327a将通过验证交换机312的凭证来启用。

2.使用专有协议远程配置交换机

一些网络设备制造商为远程配置网络装备提供专有协议。例如，这种专有协议可以使用以太网帧来传输新的设定。在这种情况下，装备被配备有专用硬件以用于处理在传输的以太网帧中所包括的远程命令；响应于该远程命令，网络设备的设定被适配。

3.使用具有集成交换机的PLC

在交换机与PLC集成在一起的情况下，PLC可以直接读取&写入交换机的集成电路IC寄存器。因此，在故障转移时，辅PLC可以通过在注册表中启用辅交换机端口来更改该辅交换机端口的逻辑设定。由于在这种配置中，主PLC的故障也会影响主交换机，所以主交换机可能不需要被禁用。

在上面结合图3描述的示例中，可编程逻辑控制器PLC充当控制设备。在其他示例中，可以部署其他合适的控制设备，诸如可编程自动化控制器(PAC)或嵌入式控制器。

尽管在以上结合图3描述的示例中，控制设备321、322可以在功能上相同，但是可以理解，不同类型的控制设备可以被部署在同一设备网络内。例如，辅控制设备包括具有主控制设备的集成交换机，该辅控制设备被配置为使用以太网帧或基于端口的网络访问控制来启用和禁用主交换机的端口。因此，不管控制设备和交换机的具体类型如何，在设备网络和控制室网络之间具有冗余连接的平面网络架构都得以保留。

如上所述，主交换机和辅交换机可以分别集成在主控制设备和辅控制设备中。在其他实施例中，主交换机和辅交换机可以集成在一个控制设备中，要么是主辅控制设备，要么是辅控制设备。当在设备网络中使用这种控制设备时，控制设备可以被配置为启用和禁用主交换机和辅交换机的端口。

尽管上面已经参照特定实施例描述了本发明，但是本发明并不意图局限于本文阐述的特定形式。相反，本发明仅受所附权利要求的限制，在这些所附权利要求的范围内，除了上述具体实施例之外的其他实施例同样是可能的。

此外，尽管以上已经在组件和/或功能的一些示例性组合中描述了示例性实施例，但是应当理解，在不脱离本公开的范围的情况下，可替换的实施例可以由构件和/或功能的不同组合来提供。此外，特别考虑的是，单独描述的或作为实施例的一部分描述的特定特征可以与其他单独描述的特征或其他实施例的部分进行组合。