專利名稱:用于控制安全關(guān)鍵的過程的控制系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于通過通信網(wǎng)絡(luò)����、尤其通過總線系統(tǒng)控制自動化設(shè)備中安全 關(guān)鍵的(sicherheitskritisch)過程的控制系統(tǒng)。
背景技術(shù):
為了降低對人或環(huán)境的危險����,尤其是在自動化設(shè)備中實現(xiàn)安全功能。對此的簡 單的例子在按下緊急停止按鍵后切斷機器或者在人進入機器人的安全區(qū)的情況下(其中 例如光電柵欄(Lichtschnmke)中斷或被監(jiān)視機器人安全區(qū)的光點陣(Lichtgitter)采集到) 或者被監(jiān)視的入口門打開的情況下停止機器人��。對于特別安全關(guān)鍵的過程�����,還可以必需 的是��,如果特定的安全功能被激活�,則關(guān)閉復(fù)雜設(shè)備的更多部分或甚至整個設(shè)備。
為此使用防錯的自動化系統(tǒng)���。一般地��,防錯的自動化系統(tǒng)一方面實現(xiàn)實際的安 全功能�����,例如緊急停止切換���、雙手切換(Zweihand-Schaltung)、操作模式選擇開關(guān)等��; 另一方面���,防錯的自動化系統(tǒng)包括錯誤識別和錯誤控制措施�,例如根據(jù)在標(biāo)準(zhǔn)中確定的 機制(例如���,根據(jù)IEC 61508, ISO 13849等)�����。這些機制原則上對于本領(lǐng)域技術(shù)人員是 已知的�。
在已知的設(shè)備中���,根據(jù)設(shè)備的延伸以及根據(jù)自動化程度���,使用連接分布式的輸 入/輸出設(shè)備(E/A-Geraete)和控制器的通信系統(tǒng)����。對于傳輸安全技術(shù)數(shù)據(jù)�,這些網(wǎng)絡(luò) 由安全的網(wǎng)絡(luò)協(xié)議支持。其中���,安全數(shù)據(jù)或者經(jīng)由并行的安全信號接線����、或者集成地通 過該通訊系統(tǒng)被傳輸�。
對于集成的傳輸,所使用的信號流通常從中央安全技術(shù)出發(fā)����,在該中央安全技 術(shù)中,安全的輸入信號被傳輸?shù)桨踩刂破?����,在那里被處?安全的應(yīng)用)���,然后被傳送 到相應(yīng)的執(zhí)行器?���,F(xiàn)在,例如在自動化裝置的硬件和固件中�、在網(wǎng)絡(luò)(例如現(xiàn)場總線���、 以太網(wǎng)等)的基礎(chǔ)設(shè)施組件中以及在數(shù)據(jù)傳輸期間由于外部影響��,例如EMC干擾而可能 出現(xiàn)錯誤��。
例如�����,在DE 10353950A1中描述了一種控制系統(tǒng)���,其中用于控制安全關(guān)鍵的過 程的控制單元不依賴于現(xiàn)場總線地例如連接到總線主設(shè)備(Busmaster)的多端口存儲器接
在自動化技術(shù)中目前有兩種趨勢。一方面是控制功能的分布式設(shè)置���,另一方面 是將安全技術(shù)集成到控制和網(wǎng)絡(luò)技術(shù)中�。對于控制功能的分布式設(shè)置�����,其通常進一步轉(zhuǎn) 移到輸出級。因此���,例如在運行時在有限的范圍內(nèi)集成(非安全的)控制功能�����。
通過將安全技術(shù)集成到控制器和網(wǎng)絡(luò)中����,在應(yīng)用過程中產(chǎn)生強烈的依賴性�����。這 些依賴性導(dǎo)致系統(tǒng)更復(fù)雜的規(guī)劃和編程��。這在于安全技術(shù)的簡便與自動化技術(shù)中生命周 期所有階段的操縱之間不期望的矛盾�����。這一方面導(dǎo)致在基于安全中繼的傳統(tǒng)硬布線的安 全技術(shù)的過渡難以被接受����,另一方面由于安全功能的所謂誤觸發(fā)而導(dǎo)致設(shè)備的錯誤使用 和不足的可用性。
為了防錯的自動化系統(tǒng)的簡單操縱和可模塊化����,設(shè)備的所有安全功能被劃分為小的一目了然的����、可限于本地的����、并且能簡單驗證的模塊��。這對應(yīng)于在設(shè)備自動化中當(dāng) 今熟悉安全技術(shù)的人的方式。此外����,因此可以更簡單地進行設(shè)備改造和擴展��,而不必再 次附加驗證已經(jīng)被驗證過的設(shè)備部件�����。此外�,模塊化和安全功能與標(biāo)準(zhǔn)功能的分離對應(yīng) 于現(xiàn)行安全標(biāo)準(zhǔn)的要求。
對于用戶的另一優(yōu)點在于這樣一種可能性��,即與網(wǎng)絡(luò)無關(guān)且與控制器無關(guān)地構(gòu) 造分布式的安全模塊����。由此����,這些安全模塊不依賴于特定的控制器提供者�����。這意味著��, 它們在(由目標(biāo)市場的非安全相關(guān)的規(guī)定決定地)必須更換標(biāo)準(zhǔn)控制器和/或網(wǎng)絡(luò)時����,在 使用安全技術(shù)并且驗證了安全模塊的情況下可以保留。
盡管存在對限于本地的安全功能的可能的劃分和分布式設(shè)置���,但是此外還可以 有設(shè)備范圍的(anhgenweit)安全功能��。因此��,例如一單元中安全功能的觸發(fā)也在相鄰單 元中有影響���,如帶來危險的運動的停止。
為了保證這樣的設(shè)備范圍的安全功能���,分布式的安全模塊或者通過上級的中央 安全控制器來防錯地協(xié)調(diào)�����,或者具有相互之間防錯地通信的能力�����。與最初的簡化目的相 反����,這兩種附加技術(shù)導(dǎo)致在網(wǎng)絡(luò)配置時更大的花費�����。發(fā)明內(nèi)容
因此�,發(fā)明的任務(wù)在于提供一種用于控制安全關(guān)鍵的過程的控制系統(tǒng),這個系 統(tǒng)一方面支持兩個�����、即限于本地的安全功能和設(shè)備范圍的安全功能�����,并且另一方面簡化 網(wǎng)絡(luò)配置并避免用戶錯誤。
本發(fā)明的任務(wù)通過獨立權(quán)利要求的主題來實現(xiàn)�。本發(fā)明的有利擴展方案在從屬 權(quán)利要求中限定。
根據(jù)本發(fā)明��,提供一種控制系統(tǒng)����,用于通過通信網(wǎng)絡(luò)控制自動化設(shè)備中安全關(guān) 鍵的過程,該通信網(wǎng)絡(luò)具有用于控制網(wǎng)絡(luò)上非安全通信的尤其是非安全的通信主設(shè)備 (Kommunikationsmaster)和多個網(wǎng)絡(luò)用戶���。網(wǎng)絡(luò)用戶中包括至少一些所謂的安全數(shù)據(jù)輸入 對象6DI對象)和/或安全數(shù)據(jù)輸出對象6D0對象)���。SDI對象(安全數(shù)據(jù)輸入)例 如包括傳感器,SDO對象(安全數(shù)據(jù)輸出)例如包括執(zhí)行器�。
網(wǎng)絡(luò)用戶中的至少一些被構(gòu)造為分布式的安全網(wǎng)絡(luò)用戶,并且每個都包括自己 的用于控制與安全相關(guān)的應(yīng)用的分布式安全控制器�����,例如安全邏輯模塊形式的安全控制 器���,并且每個都具有獨特的安全地址����。分布式的安全網(wǎng)絡(luò)用戶執(zhí)行對于其相關(guān)的安全 功能和/或安全邏輯,并且相互防錯地通信�,其中其各自執(zhí)行與后面的分布式安全網(wǎng) 絡(luò)用戶的自動的防錯的點對點通信。由此���,可以提供分布式安全網(wǎng)絡(luò)用戶之間全局的 (uebergreifend) >尤其是設(shè)備范圍的安全功能���,而不必需要中央安全控制器。
分布式的安全網(wǎng)絡(luò)用戶因此是在一定程度上選定的網(wǎng)絡(luò)用戶����,其包含分布式的 安全組件,這些安全組件通過與其各自的后接組件的自動的防錯的點對點通信而形成具 有限定的數(shù)據(jù)寬度的邏輯的軟件母線(Software-Stromschiene)��。分布式的安全組件或分 布式的安全控制器例如是安全邏輯模塊�����。借助于它們����,自動地在分布式的安全網(wǎng)絡(luò)用戶 之間建立設(shè)備范圍的防錯的通信�����。每個分布式的安全網(wǎng)絡(luò)用戶所具有的獨特的安全地址 用作為在自動建立點對點關(guān)系內(nèi)的聯(lián)網(wǎng)時各自的源地址和目標(biāo)地址。為此��,尤其是沒有 網(wǎng)絡(luò)配置工具是必需的��。用戶可以例如僅僅通過設(shè)置該安全組件的安全地址來配置軟件母線或防錯的點對點通信��。該獨特的安全地址可以例如借助于DIP開關(guān)和/或借助于軟 件在分布式的安全網(wǎng)絡(luò)用戶中被確定�。
根據(jù)本發(fā)明的一特別實施方式,分布式的安全網(wǎng)絡(luò)用戶與分配的(常規(guī))SDI 和/或SDO對象關(guān)聯(lián)(verknuepfen)�,并以這些分配的SDI和SDO對象分組為安全島 (Sicherheitsinseln),這些SDI和/或SDO對象每一個都不具有自己的用于控制安全相關(guān)的 應(yīng)用的分布式安全控制器�����,其中每個安全島具有至少一個分布式的安全網(wǎng)絡(luò)用戶����,相應(yīng) 的沒有自己的分布式安全控制器的SDI和SDO對象作為衛(wèi)星連接到該分布式的安全網(wǎng)絡(luò) 用戶。分布式的安全網(wǎng)絡(luò)用戶或其安全邏輯模塊控制島內(nèi)部的防錯的通信以及跨島的防 錯的通信���,以提供設(shè)備范圍的安全功能���。分布式的安全組件因而是附加配備有用于防錯 的橫向通信(Querkommunikation)的裝置的安全島的邏輯模塊。分布式的安全網(wǎng)絡(luò)用戶還 可以自己被構(gòu)造為具有附加的安全邏輯模塊的SDI和/或SDO對象。因此����,一方面在安 全島內(nèi)進行SDI對象和SDO對象與防錯的控制裝置的防錯的通信,并且另一方面���,如果 碰到設(shè)備范圍的安全功能��,則可以借助于防錯的點到點通信可以連續(xù)地關(guān)閉整個設(shè)備�。
因此���,在配置各自安全島的安全邏輯時對于用戶還存在通過整個設(shè)備轉(zhuǎn)發(fā)防錯 的信號的附加可能性���。在這里能想到多種策略。例如��,為每個安全島提供自己的數(shù)據(jù) 線���,并且每個安全島固定地占用軟件母線的正好一條為其分配的數(shù)據(jù)線(獨占寫權(quán)限)���, 并且通過電平向其他安全島(僅閱讀權(quán)限)通知危險的設(shè)備狀態(tài)�。同樣,在對設(shè)備范圍 的軟件母線的各個信號的訪問權(quán)限的情況下,其他策略也是可能的��,從而例如能實現(xiàn)小 的子環(huán)�����。
為了實現(xiàn)防錯的點對點通信�,尤其使用安全的通信協(xié)議。
如已經(jīng)描述的那樣����,分布式的安全網(wǎng)絡(luò)用戶之間(島)全局的或設(shè)備范圍的防錯 的通信借助于防錯的點到點通信自動地建立,而不使用網(wǎng)絡(luò)配置工具���。因此提到軟件母 線��,其借助于在安全的邏輯模塊之間自動建立的數(shù)據(jù)流而代替硬件技術(shù)構(gòu)造的信號線路 或疊加的用于防錯的通信的安全控制器�����。軟件母線表示智能安全模塊(邏輯單元�、支持 網(wǎng)絡(luò)的安全開關(guān)裝置����、安全控制器)之間自動生成的具有定義的數(shù)據(jù)寬度的數(shù)據(jù)流。其 以多個安全的點到點通信關(guān)系的成行排列(Aneinanderreihung)的形式而實現(xiàn)。這些成行 排列的點到點關(guān)系的建立可以在標(biāo)準(zhǔn)網(wǎng)絡(luò)主設(shè)備Mtandard-Netzwerkmaster)中自動地��、 且在不附加使用網(wǎng)絡(luò)配置工具的情況下實現(xiàn)�����。軟件母線從而使得能夠?qū)崿F(xiàn)多個安全的網(wǎng) 絡(luò)用戶的簡單的全局的或設(shè)備范圍的安全通信����。
換句話說,安全島的分布式的安全網(wǎng)絡(luò)用戶相互之間設(shè)備范圍防錯地����、尤其 是經(jīng)由防錯的電報業(yè)務(wù)(Telegrammverkehr)進行通信,以便除了島內(nèi)的安全功能之外 還能夠提供設(shè)備范圍的安全功能���。為此��,分布式的防錯的邏輯模塊自動地�����、在沒有上 級中央安全控制器的情況下通過邏輯軟件母線機制聯(lián)網(wǎng)��。用于對多個安全島(英文 為“Safety-Inseln”)進行聯(lián)網(wǎng)的軟件母線方法可以例如在本申請人的所謂安全橋系統(tǒng) (SafetyBridge-System)中從步驟2開始被應(yīng)用���。
網(wǎng)絡(luò)用戶之間的非安全通信由尤其是非安全的通信主設(shè)備控制。通信網(wǎng)絡(luò)尤其 是總線系統(tǒng)�����,例如具有非安全的標(biāo)準(zhǔn)總線主設(shè)備(有時也被稱為K主設(shè)備)的現(xiàn)場總線�����。 沒有自己的分布式安全控制器的SDI和/或SDO對象同樣是網(wǎng)絡(luò)或總線用戶�����,所謂的K 從設(shè)備����。
為了自動形成邏輯的軟件母線,防錯的分布式網(wǎng)絡(luò)或總線用戶提供媒介�����,借助 于該媒介例如在上級標(biāo)準(zhǔn)控制器中或在上級尤其是非安全的網(wǎng)絡(luò)主設(shè)備或通信主設(shè)備中 或者在其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件中能夠設(shè)置防錯的分布式網(wǎng)絡(luò)用戶之間電報的自動路由����。
由于電報的自動路由而可能產(chǎn)生的所有錯誤被端點中的安全協(xié)議識別出����。
防錯的電報業(yè)務(wù)的保障機制尤其僅在通信的防錯的端點中進行(所謂的黑 色通道原理Black-ChanneHPrinzip)�。 時間戳、冗余�、校驗和、序列號(laufende Nummern)���、以及發(fā)送者和接收者標(biāo)識是典型的錯誤識別措施��。其主要用于保證電報的源 與目的地的對應(yīng)的唯一性以及識別標(biāo)準(zhǔn)通信網(wǎng)內(nèi)的“錯誤指向”(黑色通道)�����。
黑色通道的原理源于標(biāo)準(zhǔn)網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施組件中電報的任意錯誤�,如替換��、 破壞�,偽造。防錯的通信協(xié)議的錯誤識別措施不是在標(biāo)準(zhǔn)網(wǎng)絡(luò)中同樣存在的錯誤識別措 施的保證���。
因此�,本發(fā)明以有利的方式使得能夠在不使用網(wǎng)絡(luò)配置工具的情況下實現(xiàn)分布 式的安全網(wǎng)絡(luò)用戶之間(島)全局或設(shè)備范圍的防錯的通信的自動建立�。此外�,通過本 發(fā)明可以簡化應(yīng)用程序并且避免使用者錯誤����。
下面將借助于實施例參考附圖更詳細(xì)地介紹本發(fā)明�。
附圖中
圖1示出了自主工作的獨立安全島的示意圖,
圖2示出了具有多個由軟件母線串行地(inReihe)聯(lián)網(wǎng)的安全島的另一實施方式 的示意圖���,
圖3示出了圖2中軟件母線內(nèi)的點到點關(guān)系的示意圖��,
圖4示出了分布式的安全網(wǎng)絡(luò)用戶LPSDO的內(nèi)部結(jié)構(gòu)的示意圖��,
圖5示出了連接到軟件母線的分布式的安全網(wǎng)絡(luò)用戶的示意圖���。
具體實施方式
參考圖1說明自主工作的獨立的安全島1、2和可選的緊湊的安全小型控制器18 的布置����。
圖la)從網(wǎng)絡(luò)角度示出了用于控制安全關(guān)鍵的過程的控制系統(tǒng)10。第一安全島 1包括3個SDI對象12和兩個SDO對象14�,第二安全島包括三個SDI對象12,它們都 沒有分布式的安全邏輯模塊�����。SDI和SDO對象12、14各自的數(shù)量應(yīng)當(dāng)被理解為是示例 性的�����。
SDI對象設(shè)置安全相關(guān)的協(xié)議�����,該協(xié)議被分布式的安全網(wǎng)絡(luò)用戶LPSDO 16的安 全邏輯模塊17(參見圖4和5)處理���,以便借助于SDO對象14觸發(fā)安全相關(guān)的功能�。分布 式的安全網(wǎng)絡(luò)用戶LPSD016所包括的安全邏輯模塊17也可以被稱為安全分析器�����。分布式 的安全網(wǎng)絡(luò)用戶16執(zhí)行應(yīng)用程序���,并且在這個例子中包括安全數(shù)據(jù)輸出模塊(LPSDO)���。 但是,分布式的安全邏輯模塊也可以由具有安全數(shù)據(jù)輸入模塊或具有組合SDIO模塊的網(wǎng) 絡(luò)用戶具有���。分布式的安全網(wǎng)絡(luò)用戶16的安全邏輯單元17轉(zhuǎn)換(umsetzen)安全功能���, 并在可能的情況下切斷設(shè)備部件����。安全功能根據(jù)要求轉(zhuǎn)換在島內(nèi)部和/或島全局地安全相關(guān)的功能���。
SDI和SDO對象12�����、14以及分布式的安全網(wǎng)絡(luò)用戶16分別作為網(wǎng)絡(luò)用戶在網(wǎng)絡(luò) 中聯(lián)網(wǎng),該網(wǎng)絡(luò)由非安全的網(wǎng)絡(luò)主設(shè)備或通信主設(shè)備22 (所謂K主設(shè)備)控制�����。此外����, 安全小型控制器(Sicherheitskleinsteuerung) 18也連接到該網(wǎng)絡(luò)。在這個例子中��,該網(wǎng)絡(luò) 被構(gòu)造為總線系統(tǒng)20�����,使得網(wǎng)絡(luò)主設(shè)備是總線主設(shè)備22。非安全的數(shù)據(jù)業(yè)務(wù)因此由總線 主設(shè)備22控制��,并且對象12�、14、16��、18是K從設(shè)備�。總線系統(tǒng)20不承擔(dān)任何安全相 關(guān)的任務(wù)����,而是僅僅作為傳輸介質(zhì)工作。通過該方式����,非安全的組件也可以連接到網(wǎng)絡(luò) 纜線。
圖lb)從數(shù)據(jù)流角度示出了控制系統(tǒng)���。邏輯的數(shù)據(jù)流M從SDI對象或輸入模塊 12經(jīng)由分布式的安全網(wǎng)絡(luò)用戶16的安全邏輯模塊17到達SDO對象或輸出模塊14�。
圖Ic)從裝置角度示出了控制系統(tǒng)�����。在裝置角度,安全島1�、2以及安全小型控 制器18對于使用者而言在所謂的工程工具中顯示(在那里,網(wǎng)絡(luò)是不可見的)�����。在這個 例子中��,安全島1代表具有機器緊急停機功能(Nothalt-Funktion)的安全的機器控制�����,安 全島2代表艙門監(jiān)測�����。
圖2涉及另一控制系統(tǒng)10的數(shù)據(jù)流視圖���,其中該控制系統(tǒng)具有多個分布式的安 全網(wǎng)絡(luò)用戶16或安全島1、2�����、3...j以及表示第η個網(wǎng)絡(luò)用戶的安全小型控制器18����。安全 島1-3被明確顯示����,而點則暗示進一步的網(wǎng)絡(luò)用戶或安全島����。根據(jù)本發(fā)明,安全的分布 式網(wǎng)絡(luò)用戶16或安全島1-3以及安全小型控制器是總線用戶��。安全島每一個都包括分布 式的安全網(wǎng)絡(luò)用戶LPSDO 16���,其中多個SDI和/或SDO對象12��、14作為衛(wèi)星在邏輯上 與LPSDO 16關(guān)聯(lián)�。分布式的安全網(wǎng)絡(luò)用戶16借助于軟件母線30串行地聯(lián)網(wǎng)�����,以便執(zhí) 行島全局或設(shè)備范圍的安全功能(參見圖4和5)���。
參考圖3�,安全島1的分布式的安全網(wǎng)絡(luò)用戶16形成與后一安全島2的分布式的 安全網(wǎng)絡(luò)用戶16的安全通信的主設(shè)備32 (所謂的F主設(shè)備)���,后一安全島2的分布式的安 全網(wǎng)絡(luò)用戶16對此作為從設(shè)備33 (所謂的F從設(shè)備)���。安全島2的分布式的安全網(wǎng)絡(luò)用 戶16又形成與后一安全島3的分布式的安全網(wǎng)絡(luò)用戶16的安全通信的主設(shè)備34 (所謂的 F主設(shè)備)����,后一安全島3的分布式的安全網(wǎng)絡(luò)用戶16對此作為從設(shè)備35 (所謂的F從設(shè) 備)����,以此類推。
為此�,每個分布式的安全網(wǎng)絡(luò)用戶16都具有獨特的安全地址,所謂的F地址���。 其在自動建立分布式的安全網(wǎng)絡(luò)用戶16之間點到點關(guān)系36內(nèi)的聯(lián)網(wǎng)時用作相應(yīng)的源和目 標(biāo)地址�。
參考圖4說明分布式的安全網(wǎng)絡(luò)用戶LPSDO 16的內(nèi)部結(jié)構(gòu)�����,該LPSDO 16連接 到軟件母線30�。示例性地只示出了軟件母線30的一條線路38��。但是也可以設(shè)置多條“軟件線路” 38����,例如對于每個安全島38設(shè)置一條自己的軟件線路38���。此外還顯示了 輸入側(cè)或輸出側(cè)的安全通信層FSss(F主機母線F-HostStromschiene)和PSTss(PROFI安 全設(shè)備驅(qū)動器母線PROFIsafeDeviceT^reiberStromschiene)。
參照圖4a)說明當(dāng)時沒有安全要求的邏輯模塊17�,而在圖4b)中存在對邏輯模塊 17的安全要求。如果一個安全相關(guān)的全局錯誤情況發(fā)生��,則安全相關(guān)的數(shù)據(jù)(例如緊急 停止命令)從安全邏輯模塊17然后經(jīng)由點到點關(guān)系36的鏈連續(xù)地傳輸?shù)胶竺娴姆植际桨?全網(wǎng)絡(luò)用戶16的后續(xù)安全邏輯模塊��。這些安全相關(guān)的數(shù)據(jù)可以然后自動地被同樣連接到軟件母線30的后續(xù)安全邏輯模塊17分析�,并且在可能的情況下在那里導(dǎo)致切斷。安全 相關(guān)數(shù)據(jù)的這個連續(xù)傳輸可以被解釋為在錯誤情況(Fehlerfall)中“拉”軟件母線的一條 線路���。這觸發(fā)在其他分布式的安全網(wǎng)絡(luò)用戶16中的切斷���,其中對經(jīng)由點到點關(guān)系傳輸?shù)?安全相關(guān)的數(shù)據(jù)的分析位于后面的負(fù)責(zé)相應(yīng)安全邏輯模塊17的分布式的安全網(wǎng)絡(luò)用戶16 中。
參考圖5說明控制系統(tǒng)��,該系統(tǒng)包括具有安全地址(F地址)1��、2���、3...n的η個 連接到軟件母線30的分布式的安全網(wǎng)絡(luò)用戶16��。
在F地址2的網(wǎng)絡(luò)用戶的安全邏輯模塊17中識別出錯誤或安全要求�。該邏輯模 塊17觸發(fā)全局的或設(shè)備范圍的安全功能,并似乎“拉”軟件母線30的線路38�,以便將 該安全要求也傳輸給其他分布式的安全網(wǎng)絡(luò)用戶16。這樣的“拉”線路在軟件技術(shù)上在 每個分布式的安全網(wǎng)絡(luò)用戶16的安全邏輯或邏輯模塊17中被轉(zhuǎn)換�。分布式的安全的前 一網(wǎng)絡(luò)用戶的進入的信號例如與自己的安全島的狀態(tài)邏輯地進行“與”關(guān)聯(lián)。一旦識別 出安全要求��,到分布式的安全的后一網(wǎng)絡(luò)用戶的輸出信號就被規(guī)定地拉到0����。
換句話說,邏輯模塊17鏈接在軟件母線30上����,并且自動地由提高的F地址串行 地相互關(guān)聯(lián)。軟件母線30可以通過回路31環(huán)形地封閉�����。
根據(jù)本發(fā)明的用于控制安全關(guān)鍵的過程的控制系統(tǒng)10因此基于以下事實��,即代 替一個中央的安全控制器��,分布式的安全邏輯模塊17執(zhí)行對于其相關(guān)的安全功能和關(guān) 聯(lián)��。分布式的安全網(wǎng)絡(luò)用戶16的安全邏輯模塊17自動地����、并且在沒有通信主設(shè)備22中 的上級中央安全控制器或單獨連接到總線20的中央安全控制裝置的情況下借助于邏輯的 軟件母線30以限定的數(shù)據(jù)寬度聯(lián)網(wǎng)。對于設(shè)備范圍的安全功能����,這些分布式的安全邏輯 模塊17防錯地相互通信。分布式的安全網(wǎng)絡(luò)用戶16 —方面監(jiān)視安全島1�、2、3...內(nèi)的 防錯的通信���,并且另一方面執(zhí)行與后一安全島的其各自的后續(xù)者的防錯的通信1- > 2�、 2->3等�����。在作為所謂黑色通道的部件的非安全通信主設(shè)備22中��,標(biāo)準(zhǔn)電報在分布式的 安全邏輯模塊之間被相應(yīng)地路由���。例如�,這采取特殊拷貝命令(Kopier-Befehlen)或拷貝 構(gòu)件(Kopier-Bausteinen)形式的應(yīng)用程序�����。它們根據(jù)分布式的網(wǎng)絡(luò)或總線用戶的尋址和 總線配置而被配置和/或參數(shù)化。但是��,路由也可以在通信主設(shè)備22中例如通過處理路 由表而實現(xiàn)�。
在本發(fā)明的意義上,這個配置和/或參數(shù)化花費可以被明顯減少��,其中應(yīng)用程 序本身或者位于其下面的路由層分析包含在防錯的通信協(xié)議中的媒介(信息)����,并自動地 將電報從源路由到相應(yīng)的目標(biāo)地址。這個鏈接的表的順序可以自動地例如借助于模塊的 所設(shè)置的安全地址得到�。為此,可以例如借助于DIP開關(guān)或借助于分布式的安全網(wǎng)絡(luò)用 戶16的相應(yīng)安全邏輯模塊17中的軟件確定安全地址�。例如,非安全的通信主設(shè)備22如 前所述可以生成路由表���,該路由表被自動地加載到網(wǎng)絡(luò)用戶中�。聯(lián)網(wǎng)結(jié)構(gòu)或拓?fù)浣Y(jié)構(gòu)也 可以例如在網(wǎng)絡(luò)變化時被動態(tài)改變�。
分布式的安全網(wǎng)絡(luò)用戶16的安全邏輯模塊的聯(lián)網(wǎng)結(jié)構(gòu)或通信網(wǎng)絡(luò)20的拓?fù)浣Y(jié)構(gòu) 于是尤其僅僅基于分布式的安全網(wǎng)絡(luò)用戶16的安全模塊的所設(shè)置的安全地址而得到。
根據(jù)本發(fā)明的一特殊構(gòu)造方式��,通信網(wǎng)絡(luò)20的聯(lián)網(wǎng)結(jié)構(gòu)或拓?fù)浣Y(jié)構(gòu)取決于所使 用的自動關(guān)聯(lián)算法。在這里�,例如環(huán)形網(wǎng)絡(luò)也是可能的。
控制系統(tǒng)的一個示例性應(yīng)用是高架倉庫的自動控制���。
本領(lǐng)域技術(shù)人員能夠清楚地理解,前面描述的實施方式應(yīng)當(dāng)被理解為是示例性 的�,并且本發(fā)明不限于此,而是可以以多種方式變化而不背離本發(fā)明����。此外能夠清楚地 理解,即使特征與其他特征一起被描述���,但是其也定義本發(fā)明的單獨的主要組成部分�, 而不管其是在說明書�、權(quán)利要求書、附圖還是其他地方被公開的���。
權(quán)利要求
1.一種控制系統(tǒng)(10)��,用于通過通信網(wǎng)絡(luò)(20)控制自動化設(shè)備中安全關(guān)鍵的過程��, 其中所述通信網(wǎng)絡(luò)(20)具有通信主設(shè)備(22)和多個網(wǎng)絡(luò)用戶(12���,14����,16���,18)��,其中所 述通信主設(shè)備用于控制所述網(wǎng)絡(luò)(20)上的通信��,至少一些所述網(wǎng)絡(luò)用戶被構(gòu)造為分布式的安全網(wǎng)絡(luò)用戶(16)���,并且所述至少一些所 述網(wǎng)絡(luò)用戶中每一個都具有自己的分布式安全控制器(17),用于控制安全相關(guān)的應(yīng)用���,所述分布式的安全網(wǎng)絡(luò)用戶(16)每一個都具有獨特的安全地址�����,分布式的安全網(wǎng)絡(luò)用戶(16)執(zhí)行對于其相關(guān)的安全功能和/或安全關(guān)聯(lián)本身�����,分布式的安全網(wǎng)絡(luò)用戶(16)防錯地相互通信�����,其中它們各自執(zhí)行與所述分布式的安 全網(wǎng)絡(luò)用戶(16)中另一安全網(wǎng)絡(luò)用戶的自動的防錯的點到點通信(36)����,以便能夠提供所 述分布式的安全網(wǎng)絡(luò)用戶(16)之間全局的安全功能。
2.根據(jù)權(quán)利要求1所述的控制系統(tǒng)(10)����,其中所述分布式的安全網(wǎng)絡(luò)用戶(16)與所分配的安全數(shù)據(jù)輸入和/或安全數(shù)據(jù)輸出 對象(12�,14)關(guān)聯(lián),使得所述分布式的安全網(wǎng)絡(luò)用戶(16)以所分配的安全數(shù)據(jù)輸入和 /或安全數(shù)據(jù)輸出對象(12�,14)被分組為安全島(1,2����,3),其中每個安全島包括至少 一個分布式的安全網(wǎng)絡(luò)用戶(16)�,所述所分配的安全數(shù)據(jù)輸入和/或安全數(shù)據(jù)輸出對象 (12,14)每一個都不具有自己的用于控制安全相關(guān)應(yīng)用的分布式安全控制器����。
3 .根據(jù)權(quán)利要求2所述的控制系統(tǒng)(10) 其中所述分布式的安全網(wǎng)絡(luò)用戶(16)具有用于所述安全島(1,2����,3)內(nèi)防錯的橫向 通信的裝置�。
4.根據(jù)權(quán)利要求2或3所述的控制系統(tǒng)(10)�����,其中提供島全局的安全功能�����,其中所述安全島(1��,2��,3)的所述分布式的安全網(wǎng)絡(luò) 用戶(16)借助于防錯的點到點通信(36)而島全局防錯地相互通信����。
5.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10),其中借助于防錯的點到點通信(36)自動地建立所述分布式的安全網(wǎng)絡(luò)用戶(16)之間 設(shè)備范圍的防錯的通信����。
6.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10),其中借助于所述分布式的安全網(wǎng)絡(luò)用戶之間通過防錯的點到點通信(36)自動建立的 數(shù)據(jù)流�����,軟件母線(30)被構(gòu)造為對硬件連接的替代,并且尤其地�,每個安全島(1, ����, 3)占用所述軟件母線(30)的正好一條數(shù)據(jù)線路(38)。
7.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10)���,其中為所述分布式的安全網(wǎng)絡(luò)用戶(16)之間防錯的點到點通信(36)使用安全的通信 協(xié)議�。
8.根據(jù)權(quán)利要求7所述的控制系統(tǒng)(10)���,其中由應(yīng)用程序自身或位于其下的路由層來i)分析包含在防錯的通信協(xié)議中的數(shù)據(jù),以及ii)將所述位于其下的路由層的電報自動地從源路由到相應(yīng)的目標(biāo)地址����。
9.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10),其中所述安全地址能借助于開關(guān)和/或借助于所述分布式的安全網(wǎng)絡(luò)用戶(16)中的 軟件確定���。
10.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10)����,其中在非安全的通信主設(shè)備(22)中路由所述分布式的安全網(wǎng)絡(luò)用戶(16)之間的標(biāo)準(zhǔn) 電報����。
11.根據(jù)權(quán)利要求10所述的控制系統(tǒng)(10)�����,其中所述標(biāo)準(zhǔn)電報的路由由拷貝命令形式的應(yīng)用程序執(zhí)行�����,這些拷貝命令根據(jù)所述 分布式的安全網(wǎng)絡(luò)用戶(16)的尋址而被配置和/或參數(shù)化�����。
12.根據(jù)權(quán)利要求10所述的控制系統(tǒng)(10)��,其中所述通信主設(shè)備(22)生成路由表�,并且借助于所述路由表自動地將電報路從源 由到目標(biāo)地址����。
13.根據(jù)前述權(quán)利要求之一所述的控制系統(tǒng)(10),其中所述網(wǎng)絡(luò)用戶之間由非安全的通信主設(shè)備(22)控制的電報業(yè)務(wù)中的數(shù)據(jù)寬度對 于所述分布式的安全網(wǎng)絡(luò)用戶(16)之間的所有點到點連接是相同的��。
全文摘要
本發(fā)明涉及通過通信網(wǎng)絡(luò)(20)控制自動化設(shè)備中安全關(guān)鍵過程的控制系統(tǒng)(10)�,通信網(wǎng)絡(luò)(20)具有控制網(wǎng)絡(luò)(20)上通信的通信主設(shè)備(22)和多個網(wǎng)絡(luò)用戶(12,14��,16,18)����,至少一些網(wǎng)絡(luò)用戶構(gòu)造為分布式安全網(wǎng)絡(luò)用戶(16)且每一個都具有自己的控制安全相關(guān)應(yīng)用的分布式安全控制器(17),分布式安全網(wǎng)絡(luò)用戶(16)每一個都具有獨特安全地址�,分布式安全網(wǎng)絡(luò)用戶(16)執(zhí)行對于其相關(guān)的安全功能和/或安全關(guān)聯(lián)本身,分布式安全網(wǎng)絡(luò)用戶(16)防錯地相互通信�,它們各自執(zhí)行與另一分布式安全網(wǎng)絡(luò)用戶(16)的自動的防錯的點到點通信(36),以便能夠提供分布式安全網(wǎng)絡(luò)用戶(16)之間全局的安全功能�����。
文檔編號G05B19/048GK102025582SQ201010290449
公開日2011年4月20日 申請日期2010年9月20日 優(yōu)先權(quán)日2009年9月23日
發(fā)明者J·施密特, S·霍恩 申請人:菲尼克斯電氣公司