控制和数据传输系统、网关模块、输入/输出模块和过程控制方法转让专利
申请号 : CN201580038578.9
文献号 : CN106716275B
文献日 : 2019-04-26
发明人 : 克拉斯·赫尔曼 , 维克托·奥斯特
申请人 : 菲尼克斯电气公司
摘要 :
为了灵活满足对自动化系统提出的安全要求,本发明提出一种控制安全关键的过程的控制和数据传输系统(10),其至少包含输入/输出模块(201,202),其通过第一通信网络(510)与网关模块(100)连接,其中网关模块(100)与等级高于第一通信网络的第二通信网络(520)连接并用作第一和第二通信网络间的网关。输入/输出模块(201,202)包含用于产生状态数据的诊断单元(400)。此外网关模块(100)和输入/输出模块(201,202)通过第一通信网络(510)故障保险地通信。此外网关模块(100)用于进行数据的安全处理。本发明此外提出用于在这种控制和传输系统(10)中使用的网关模块(100)和输入/输出模块(201,202)以及用于安全的过程控制的方法。
权利要求 :
1.一种用于控制安全关键的过程的控制和数据传输系统(10),所述控制和数据传输系统具有多个输入/输出模块(201,202),所述输入/输出模块通过第一通信网络(510)与网关模块(100)连接,其中-所述网关模块(100)与等级高于第一通信网络(510)的第二通信网络(520)连接并且用作第一通信网络和第二通信网络之间的网关,-至少其中一个输入/输出模块(201,202)包含诊断单元(400),所述诊断单元用于产生关于连接过程装置的输入/输出模块的输入端的和/或输出端的功能状态的状态数据、和/或关于连接到输入/输出模块的输入端或输出端的过程装置的功能状态的状态数据,-所述网关模块(100)与输入/输出模块(201,202)通过第一通信网络(510)以安全无误的方式通信,以便于传输状态数据和输入和/或输出数据,并且-所述网关模块(100)成型为用于对状态数据和/或输入和/或输出数据进行安全相关的处理。
2.根据权利要求1所述的控制和数据传输系统,其中由单通道的输入模块检测安全相关的输入数据和/或由单通道的输出模块输出安全相关的输出数据。
3.根据权利要求1或2所述的控制和数据传输系统,其中所述网关模块(100)为了状态数据的和/或输入和/或输出数据的安全相关的处理的执行而包括安全逻辑(110)。
4.根据权利要求3所述的控制和数据传输系统,其中所述安全逻辑是冗余地设计的。
5.根据权利要求1所述的控制和数据传输系统,其中,状态数据的和/或输入和/或输出数据的安全相关的处理包括执行至少一个安全功能。
6.根据权利要求1所述的控制和数据传输系统,其中所述第一通信网络(510)是本地总线并且所述输入/输出模块(201,202)成型为模块化的输入和输出设备。
7.根据权利要求1所述的控制和数据传输系统,其中,通过与第二通信网络连接的控制装置和/或通过网关模块进行过程控制。
8.根据权利要求1所述的控制和数据传输系统,其中,为了安全无误的通信,所述网关模块(100)和所述输入/输出模块(201,202)成型为用于交换数据电文,所述数据电文包含校验和和/或至少一个计数器值,其中在每次成功地传输数据电文之后,计数器值递增。
9.根据权利要求8所述的控制和数据传输系统,其中,对于每个连接到第一通信网络(510)的输入/输出模块(201,202),相应的数据电文具有不同的、单独的计数器值。
10.根据权利要求1所述的控制和数据传输系统,其中,至少一个输入/输出模块(201,
202)的诊断单元(400)与对应的诊断单元交换数据,所述对应的诊断单元设置在连接到所述输入/输出模块(201,202)的输入端或输出端的过程装置中。
11.根据权利要求1所述的控制和数据传输系统,其中,所述输入/输出模块(201,202)的诊断单元(400)和/连接到输入/输出模块的过程装置的诊断单元能够通过由网关模块发送的控制数据控制。
12.一种用于在根据权利要求1至10中任一项所述的控制和数据传输系统中使用的网关模块,所述网关模块包括:-用于连接到第一通信网络和第二通信网络的多个接口,其中所述网关模块能够通过所述第一通信网络连接到多个输入/输出模块(201,202),并且其中所述网关模块(100)成型为用于与输入/输出模块(201,202)通过所述第一通信网络(510)以安全无误的方式通信,以便于传输输入和/或输出数据并且从至少一个输入/输出模块(201,202)接收状态数据,所述状态数据是关于连接过程装置的输入/输出模块的输入端的和/或输出端的功能状态、和/或关于连接到输入/输出模块的输入端或输出端的过程装置的功能状态,和-安全控制单元(130),所述安全控制单元成型为用于执行状态数据和/或输入和/或输出数据的安全处理。
13.根据权利要求12所述的网关模块,其中所述安全控制单元成型为安全逻辑电路。
14.一种用于在根据权利要求1至10中任一项所述的控制和数据传输系统(10)中使用的输入/输出模块(201,202),所述输入/输出模块包括:-至少一个用于连接过程装置的输入端和/或输出端,
-诊断单元,其用于生成连接过程装置的所述输入端的和/或输出端的功能状态相关的状态数据、和/或连接到所述输入端和/或输出端的过程装置的功能状态相关的状态数据,-用于连接到通信网络(510)的接口(210),其中所述输入/输出模块(201,202)成型为用于以安全无误的方式通过所述通信网络(510)与网关模块(100)通信。
15.根据权利要求14所述的输入/输出模块,其中过程装置成型为传感器或执行器。
16.一种用于在控制和数据传输系统中安全的过程控制的方法,所述控制和数据传输系统具有多个通过第一通信网络(510)与网关模块(100)连接的输入/输出模块(201,202),其中所述网关模块(100)与等级高于所述第一通信网络(510)的第二通信网络(520)连接并且用作所述第一通信网络和第二通信网络之间的网关,所述方法包括以下步骤:-通过设置在至少其中一个所述输入/输出模块中的诊断单元生成状态数据,其中所述状态数据包括关于连接过程装置的所述输入/输出模块的输入端和/或输出端的功能状态的信息、和/或关于连接到输入/输出模块的输入或输出端的处理装置的功能状态的信息,-通过所述第一通信网络(510)执行在所述网关模块(100)与所述输入和/或输出模块(201,202)之间的安全无误的通信,以便于传输状态数据和输入和/或输出数据,并且-通过所述网关模块(100)对状态数据和/或输入和/或输出数据进行安全相关的处理。
17.根据权利要求16所述的方法,所述方法还包括以下步骤:
-通过从所述网关模块(100)向所述诊断单元传输控制数据,通过所述网关模块(100)远程控制所述诊断单元。
说明书 :
控制和数据传输系统、网关模块、输入/输出模块和过程控制
方法
技术领域
[0001] 本发明总体上涉及一种自动化技术,并且特别是一种用于控制安全关键的过程的控制和数据传输系统,其包含多个输入和/或输出模块,这些模块通过通信网络与网关模块连接,本发明还涉及一种用于安全的过程控制的方法。
背景技术
[0002] 在自动化技术中,过程控制常常通过控制装置进行,该控制装置通过通信系统与分散的输入和输出模块(或者缩写为输入/输出模块)连接。通过分别连接到相应的输入/输出模块上的传感器和执行器来实现到待控制的过程的连接,其中输入/输出模块从传感器接收输入数据并且将输出数据发给执行器。
[0003] 通信系统可以例如成型为现场总线系统。也可以设置分级的通信结构,其中不同的通信网络能够通过网关模块互相连接。例如已知使用多个模块化的站,这些站包括总线耦合器和多个例如成型为电子的可拆式的模块的输入/输出模块,其中总线耦合器和输入/输出模块之间的通信通常通过本地的总线的进行并且总线耦合器具有到重叠的现场总线的接口。本地总线内的连接在此可以是无线的通过触点进行,其中为了这个目的,总线耦合器和输入/输出模块卡合到支承导轨、特别是DIN支承导轨上。包含总线耦合器并且将本地总线与更高级的通信网络连接的网关模块在这种背景下也称为总线端子。
[0004] 通常必需实现用于对人、机器或环境的保护的安全功能,例如在打开保护门或者操纵急停开关之后关闭机器。安全功能处理的或产生的和因此关乎安全的输入和输出数据通常通过故障保险的输入/输出模块处理并且通过使用故障保险的传输协议在控制器和输入/输出模块之间交换。
[0005] 对于电气的、电子的和可编程的电子系统的发展而言已知的发挥安全功能的标准例如是IEC61508和ISO13849。
[0006] 为了检测到与安全相关的信号,当前使用特定的、安全的输入和输出模块,这些模块中信号冗余地得以检测并且在设备内部检查似真性和故障。为此需要至少两个通常装有微处理器的核芯或通道,其中检测的数据可以在两个通道内处理并且互相比较。另外,安全通信在每个模块中分开地进行转换。在具有多个模块的模块化构造的站中,通常使用多个这种安全的输入和输出模块,这些模块互相独立地工作并且由重叠的控制器单独地作用。
[0007] 此外,模块化构造的站通常也包含用于检测与安全无关的信号的通常成型为单通道的模块以及至少一个用于将站耦合到相应使用的更高级的网络的网关模块。网关模块同样就此而言是在智能设备,因为在该设备中来自本地的输入/输出模块的数据调整到适合于使用的网络并且相应地换算。
[0008] 因此,不同的输入/输出模块用于安全相关的和安全无关的信号。由此,提高了研发、制造、物流、培训和所有与自动化相关的方面的花费。此外,增多了在这种具有每个其他的模块的站中设有微处理器的芯的数量,这同样使得在技术上和经济上花费更多。额外地,根据为了传输安全的信号使用的网络实施不同的安全的协议。这进一步提高了模块的差异。
发明内容
[0009] 因此,本发明的目的在于指出一种途径,该途径相对于现有技术可以以改善、优化或者以更灵活的方式满足对自动化系统提出的安全要求。
[0010] 上述技术目的一方面通过权利要求1的特征实现。
[0011] 因此,本发明提出了一种用于控制安全关键过程的控制和数据传输系统,其至少包括多个输入/输出模块,这些模块通过第一通信网络与网关模块连接,其中网关模块与等级高于第一通信网络的第二通信网络连接并且用作第一通信网络和第二通信网络之间的网关。输入/输出模块中的至少一个包括用于产生关于输入端的和/或输出端的和/或连接到输入端或输出端的过程装置的功能状态的状态数据的诊断单元。此外,网关模块和输入/输出模块成型为用于以故障保险的方式通过第一通信网络进行通信,以便于传输状态数据和输入和/或输出数据。网关模块还成型为用于对状态数据和/或输入和/或输出数据进行安全相关的处理。
[0012] 有利地,通过网关模块对状态数据和/或输入和/或输出数据的进行的安全相关的处理也可以包括执行至少一个安全功能。在此优选地,安全功能根据安全相关的输入数据并且根据传输的状态数据产生安全相关的输出数据。安全功能还可以包括安全关联,这例如用于冗余地提供的信号或数据的安全相关的关联。
[0013] 输入/输出模块可以有利地成型为输入和/或输出模块,也即,具有用于连接例如传感器和/或执行器这样的过程设备的输入端和/或输出端。
[0014] 网关模块优选地以这种方式和方法处理输入模块的输入数据和状态数据,即,使输入数据符合安全标准的要求。然后,可以将安全的输入数据传输到上层的安全的控制器和/或上层的标准控制器。额外地或替换性地,可以在网关模块以内安全地处理这些数据并且可以将结果传输到输出端。
[0015] 在输出侧,网关模块优选地进行输出数据的传输和输出电路的诊断,从而监测输出模块的状态,以便于能够在故障情况下相应地作出反应。
[0016] 例如,可以这样控制输出端,即,控制两个输出模块,它们一起构成了安全的双通道的输出端。然而例如也可以使用被监控的标准输出端,其中仅设置一个上游的安全的输出模块,该输出模块在故障的情况下切断对标准输出模块的供电。
[0017] 本发明的核心思想在于,将安全逻辑转移到网关模块中,而不是将其设置在单独的输入/输出模块中,其中以有利的方式使用通常仅成型为用于非安全相关的信号的输入/输出模块、特别是单通道的输入/输出模块来监测安全相关的信号输入/输出。因为通用信号在安全相关的输入/输出模块的情况下和物理端的非安全相关的输入/输出模块的情况下是相同的,根据本发明特别设置用相同的输入/输出模块检测安全相关的和非安全相关的信号,这增加了灵活性,因为需要使用更少的不同的输入/输出模块,由此也可以大幅减少研发花费。因此优选地,安全导向的输入数据也通过单通道的输入模块检测和/或安全导向的输出数据也通过单通道的输出模块输出。
[0018] 根据现有技术为了安全相关信号在双通道输入/输出模块中进行的数据的检查和交叉检查根据本发明在网关模块中的中央位置进行。为此目的,网关模块优选地包括特别地冗余地设计的安全逻辑,该安全逻辑成型为用于进行状态数据和/或输入数据和/或输出数据的安全导向的处理和/或用于执行安全功能。
[0019] 在控制和数据传输系统的特别有利的实施方式中,第一通信网络是本地总线并且输入/输出模块成型为模块化的输入和输出设备。本地总线优选地支持至少一个选择的总线协议,例如现场总线协议,如INTERBUS或Profibus。然而,原则上可以使用每种合适的总线协议。由于有利地通过接触件卡合到支承轨道上而以没有电缆的方式进行本地总线内的连接,所以在包括网关模块和输入/输出模块的站内的本地范围受到限制。发明人已经发现,在该实方式中不需要像是从为了传输安全相关的数据的现有技术中已知的那样的完全明确的安全协议,而是通过少数针对在数据传输过程中针对数据篡改和不规则性的技术手段可以确保足够的安全性。仅需要从也称为总线端子的网关模块到上层的、第二通信网络的安全通信。例如,第二通信网络可以成型为现场总线。
[0020] 通常地,通过与第二通信网络连接的控制装置来进行过程控制,该控制装置例如成型为可编程的控制器(SPS)。由于安全相关的逻辑处理由网关模块执行并且因此网关模块成型为用于处理安全相关数据和非安全相关的数据,因此可以考虑,网关模块进行针对本地站的过程控制,也即,对连接到第一通信网络的输入/输出模块的输入端和输出端的完全控制。
[0021] 如发明人已经发现的,在输入/输出模块中,取代根据现有技术使用的安全逻辑,仅需要少量的诊断扩展,以便于以无误的方式检测安全相关的物理信号并将它们传输到网关模块。这些扩展特别用于诊断从输入/输出模块到网关模块的传输路径以及用于诊断外围设备和输入端和输出端。
[0022] 因此,网关模块和输入/输出模块成型为用于安全无误的通信。特别有利地,模块成型为用于为了安全无误的通信而交换数据电文,这些数据电文包括校验和和/或至少一个计数器值,其中计数器值在每个数据电文成功地传输之后递增。校验和可以成型为例如循环冗余校验(CRC)。通过动态,也即计数器值的变化,可以检测数据传输过程中的错误,特别是丢失或重复发送的数据电文。
[0023] 此外,在特别有利的实施方式中设置,对于每个连接到第一通信网络的输入/输出模块,相应数据电文包括不同的单独的计数器值。针对于每个输入/输出模块而在数据电文中具有相应不同的数值的单独的计数器的使用特别有利地能够诊断站内的单个的输入/输出模块的定址。有利地可以设置,共同的数据电文经过所有连接到第一通信网络的输入/输出模块并且包括针对于输入/输出模块的相应的单独的计数器值。
[0024] 与现有技术相反,在单个的输入/输出模块中仅使用简单的诊断实例,这些诊断实例支持在故障检测中在网关模块中的安全逻辑。为此目的,至少一个输入/输出模块、通常所有输入/输出模块具有诊断单元,该诊断单元用于诊断各个输入/输出模块的输入端和/或输出端和/或用于诊断连接到各个输入/输出模块的输入端或输出端的过程设备,以及用于生成相应的状态数据。输入端或输出端的可诊断的故障例如可以是已经发生的接地故障。
[0025] 为了诊断外围设备,即连接的过程设备,例如传感器或执行器,有利地设置,在各个输入/输出模块中的诊断单元与相对应的、设置在连接到输入/输出模块的输入端或输出端的处理装置中的诊断单元。以这种方式,可以识别外围设备中的错误并且通过输入/输出模块中的诊断单元查询外围设备中的错误。
[0026] 特别有利的是,至少一个输入/输出模块的诊断单元和/或连接到该输入/输出模块的过程装置的诊断单元可以通过从网关模块传输的控制数据控制。为此,可以在输入/输出模块中和/或连接的外围设备中的诊断单元内提供不同的诊断实例,这些诊断实例由设置于网关模块中的安全逻辑电路作用并且通过期望检查在安全逻辑中检查错误行为。因此,输入/输出模块和/或处理装置中的诊断单元由网关模块遥控。因此,不需要在输入/输出模块中进行单独的保护和诊断评估。只在网关模块中进行输入/输出数据和诊断数据的处理。
[0027] 上述技术问题还通过权利要求11的特征解决。
[0028] 对此,设置一种用于在描述的控制和数据传输系统中使用的网关模块,该网关模块包括用于连接到第一通信网络和第二通信网络的多个接口,其中网关模块可通过第一通信网络与多个输入/输出模块连接,并且其中网关模块成型为用于以安全无误的方式通过第一通信网络与输入/输出模块通信,以便于传输输入和/或输出数据并且从至少一个输入/输出模块接收状态数据。此外,网关模块包括特别成型为安全逻辑电路的安全控制单元,其成型为用于执行安全处理,也即对状态数据和/或对输入和/或输出数据的安全导向的处理。
[0029] 根据网关模块中的安全相关的处理,可以有利地在上层的安全控制器中执行安全功能。然而在一种有利的实施方式中还可以设置,网关模块成型为用于执行至少一个安全功能,该安全功能优选地根据安全相关的输入数据并且根据所接收的状态数据生成安全相关的输出数据。在这个实施例中,有利地可以省去在上层的安全控制器中执行安全功能,然而同样也可以,在上层的安全控制器中执行额外的安全功能。
[0030] 此外,所有在上面结合控制和数据传输系统描述的网关模块的实施方式也同样在本发明的范围内。
[0031] 上述技术问题还通过权利要求12的特征解决。
[0032] 对此,设置了一种用于在控制和数据传输系统中使用的输入/输出模块,该输入/输出模块包括用于连接特别是成型为传感器或执行器的过程装置、用于生成与输入端的和/或输出端的和/或连接到输入和/或输出端的过程装置的功能状态有关的状态数据的诊断单元,和用于连接到通信网络的接口,其中输入/输出模块成型为用于通过通信网络以安全无误的方式与网关模块通信。
[0033] 此外,所有在上面结合控制和数据传输系统描述的输入/输出模块的实施方式也同样在本发明的范围内。
[0034] 上述技术问题还通过权利要求13的特征解决。
[0035] 对此,提出了一种用于在具有多个输入/输出模块的控制和数据传输系统中安全的过程控制的方法,其中输入/输出模块通过第一通信网络连接到网关模块,并且其中网关模块与等级高于第一通信网络的第二通信网络连接并且用作第一通信网络和第二通信网络之间的网关。该方法包括通过设置在其中至少一个输入/输出模块中的诊断单元产生状态数据,该状态数据包括关于输入/输出模块的输入端和/或输出端的和/或连接到该输入/输出模块的输入和/或输出端的过程装置的功能状态的信息,为了传输状态数据和输入和/或输出数据通过第一通信网络在网关模块和输入/输出模块之间执行安全无误的通信、并且通过网关模块对状态数据和/或输入和/或输出数据进行安全导向的处理。
[0036] 安全导向的处理可以有利地包括由网关模块执行至少一个安全功能,其中安全功能根据安全导向的输入数据并且根据状态数据产生安全导向的输出数据。
[0037] 优选地,该方法包括用于运作控制和数据传输系统的上述实施方式或者其组合的所有必需的方法步骤。
[0038] 此外,该方法可以有利地设置,通过网关模块远程控制设置在输入/输出模块之一中的诊断单元,其中为了这个目的将控制数据从网关模块传输到诊断单元。
附图说明
[0039] 下面通过示例性的优选的实施方式参考附图更详细地描述本发明。在此,附图中相同的附图标记表示相同或类似的部件。在附图中:
[0040] 图1示出了现有技术中已知的控制和数据传输系统的示意图;
[0041] 图2示出了根据本发明的控制和数据传输系统的优选实施方式的示意图;
[0042] 图3示出了通过图2中所示的控制和数据传输系统的输入/输出模块交换的数据的示意图,并且
[0043] 图4示出了在数据电文内传输的输入/输出模块个别的计数器值的随时间曲线的示意图。
具体实施方式
[0044] 图1示意性地示出了现有技术中已知的控制和数据传输系统20,其包括多个输入/输出模块40,45,50和55,这些输入/输出模块分别通过总线接口70连接到设置在网关模块30中的总线主控器60。网关模块30还包括用于连接到上层的网络的网络耦合器90。通常,将图1中未示出的控制单元连接到这个上层的网络,控制装置个别地作用于互相独立工作的输入/输出模块40,45,50和55。输入/输出模块40和50成型为输入模块并且输入/输出模块
45和55成型为输出模块,其中输入/输出模块50和55成型为特殊的安全的输入/输出模块,这些模块中信号检测两次并且在设备内检查可信度和错误,其中为了这个目的设置两个以微处理器构造的内核80和81或85和86。
45和55成型为输出模块,其中输入/输出模块50和55成型为特殊的安全的输入/输出模块,这些模块中信号检测两次并且在设备内检查可信度和错误,其中为了这个目的设置两个以微处理器构造的内核80和81或85和86。
[0045] 图2示意性地示出了根据本发明的控制和数据传输系统10的优选的实施方式,其中省略了从现有技术已知的用于检测安全相关的信号的双通道的输入/输出模块。
[0046] 控制和数据传输系统10包括网关模块100以及能够经本地总线510互相通信的输入/输出模块201和202。在所示的示例性实施例中,本地总线510成型为环形总线,其中为了与输入/输出模块201和202通信,本地总线主控器120在网关模块中产生数据电文,该数据电文以移位寄存器的方式经过所有连接到总线510的输入/输出模块。为了简化图示,仅示出了两个输入/输出模块201和202。然而,也可以设置显著更多的输入/输出模块。作为环形总线的本地总线510的所示实施例仅作为示例,也可以使用任何其它合适的总线拓扑。此外,为了经由本地总线510的通信,优选地使用选择的总线协议,优选是现场总线协议。然而,原则上可以使用任何合适的通信协议。
[0047] 根据本发明,安全逻辑从输入/输出模块转移到网关模块100中。这在图2中通过虚线箭头象征。网关模块100因此包括与本地总线主控器120连接的安全控制单元130。有利地,安全控制单元130包括两个冗余的以微处理器构造的内核131和132,将这两个内核的结果互相比较。安全控制单元130特别成型为用于执行安全功能,该安全功能根据安全导向的输入数据产生安全导向的输出数据。
[0048] 额外地根据由诊断单元400在输入/输出模块中产生并且传输到网关模块100的状态数据来进行由网关模块100对安全功能的执行。
[0049] 网关模块100与输入/输出模块201和202之间的通信以故障保险的方式进行,其中为了这个目的,输入/输出模块包括通信诊断单元300,该通信诊断单元通过用于输入和输出数据的寄存器220和225与总线接口210连接,其中通信诊断单元300包括成型为用于执行安故障保险的通信的单元310。有利地可以设置将以单元310成型为芯片。此外有利的是,通信诊断单元300和用于执行故障保险的通信的单元310可以额外地与寄存器220和225和/或总线接口210设置在共同的芯片中。通信诊断单元300与设计用于诊断输入端的和/或输出端的和/或连接到输入端或输出端的过程装置的以及用于生成相应的状态数据的诊断单元400连接。有利地,诊断单元400还可以成型为芯片,或者也可以与通信诊断单元300一起设置在共同的芯片上。在所示的示例性实施例中,诊断单元400包括SPI(Serial Peripheral Interface(串行外围接口))主机420,其经由输入/输出接口410与包括输入端和输出端以及可能设置的定时器的输入/输出单元430连接。输入/输出接口410连接到通信诊断单元
300的单元310。例如实施为通用的输入端和/或输出端(英语:GPIOGeneral Purpose Input/Output)的输入端和/或输出端通过接口450与一个或多个过程设备连接,也即与例如传感器或执行器这样的外围设备连接。例如,通过接口450可以进行信号适配或A/D转换。
300的单元310。例如实施为通用的输入端和/或输出端(英语:GPIOGeneral Purpose Input/Output)的输入端和/或输出端通过接口450与一个或多个过程设备连接,也即与例如传感器或执行器这样的外围设备连接。例如,通过接口450可以进行信号适配或A/D转换。
[0050] 网关模块100还包括用于连接到上层的网络520的网络网关110。在网关模块100中,将内部信号转换到使用的网络520并且额外地将安全协议适配于上层的网络520,从而使用同一物理接口时,网关模块也仅在网络协议方面不同或者能够支持多个协议,从而针对不同的网络和安全协议可以使用相同的网关模块100。
[0051] 为了以无误的方式检测物理信号并将其发送到网关模块,因此根据本发明,只需要诊断从输入/输出模块到网关模块的传输路径并且诊断外围设备和输入端/输出端。
[0052] 在所示的实施例中,网关模块100和输入/输出模块201和202成型为端子,由此限制本地范围,从而不需要完全明确的安全协议,而是仅需要少数的针对数据传输中的数据伪造和不规则性的技术手段。仅需要从网关模块100到上层的网络520的安全通信。
[0053] 因此,所有输入/输出模块201和202无关于在上层的网络520中所使用那些安全协议并且可以总是相同地构造。网关模块100内的安全逻辑负责确保到单个的输入/输出模块的数据通信并且负责输入/输出模块内的单个诊断实例。
[0054] 图3以示意性和简化的方式示出示例性选择的输入/输出模块201从网关模块100接收了哪些数据,如何转发这些数据以及将哪些数据传输回到网关模块100。
[0055] 使用CRC保障网关模块100的安全逻辑电路与输入/输出模块之间的安全通信。另外,每个输入/输出模块优选地与例如8位的计数器作用,该计数器对于每个本地输入/输出模块是不同的并且在每个成功的通信连接之后递增。输入/输出模块通过镜像的计数器值进行响应。该计数器构成用于对单个输入/输出模块的寻址的诊断方法。通过计数器值的变化所产生的动态,在数据传输中可以检测到额外的错误。
[0056] 如图4所示,每个输入/输出模块都与不同的计数器作用。在每次成功的通信连接后,所有计数器都会递增直到最大值。一旦达到最大值之后,每个计数器将复位为初始值。以这种方式,单个输入/输出模块的计数器值在每次数据传输时,例如在时间t0时是不同的。图4中所示的连续的曲线仅仅象征性地反映离散的计数器值的走向。
[0057] 再次参考图3,传递所有接收到的数据,这些数据包括计数器、输出数据、控制数据以及通信诊断单元300的CRC,通信诊断单元检查CRC和计数器。输出数据直接输出到外围设备600。控制数据输送给诊断单元400并且用于远程地控制诊断单元400,也即,例如用于确定应该由诊断单元400提供哪些状态数据。
[0058] 待发送到网关模块100的数据包括镜像的计数器、输入数据,状态数据和CRC。将由外围设备提供的输入数据以及由诊断单元400产生的状态数据输送到用于生成CRC的通信诊断单元300。为了由诊断单元400产生状态数据,特别在诊断单元400和外围设备600之间进行通信。
[0059] 通信装置(状态机)的处理仅在网关模块100的安全逻辑电路中进行。在这些单独的输入/输出模块中仅使用在故障识别中支持在网关模块100中的安全逻辑电路的简单诊断实例。
[0060] 可以在诊断单元400中以及在外围设备600中设置不同的诊断实例,这些实例由网关模块100的安全逻辑电路作用并且通过安全逻辑电路中的期望(Erwartungshaltung)来检测错误行为。因此,不再需要在这些输入/输出模块中进行单独的保障和诊断评估。输入/输出数据和诊断数据的处理仅由网关模块100进行。
[0061] 由于网关模块100能够执行逻辑处理并且既能够处理标准数据又能够处理安全相关数据,还可以考虑,网关模块100为了本地站,也即本地输入/输出模块进行输入端和输出端的完全控制。因此可能的是,网关模块100在独立模式中用作本地控制器并且额外地为上层的网络520提供必要的数据或者可以作为本地的智能站而被控制。网关模块中的处理具有的优点在于,其可以比在上层的控制器中进行得更快,因为本地站能够对本地输入/输出数据更有效和更快地访问。因此,可以实现更短的响应时间。另外,减轻了上层的控制单元的负担。
[0062] 相对于当前的现有技术,本发明的方案提供了一系列优点。实现了对用于非安全相关信号的现有输入/输出模块的更灵活的使用以及系统内不同的输入/输出模块的数量的减少。此外,所有输入/输出模块都可以无关于上层的网络地设计。此外,简化了输入/输出模块,因为其不再用于安全相关的信号的检测。因此,在包括网关模块和输入/输出模块的站内需要很少或不需要微处理器并且整体上降低了站内的复杂性。研发、制造、测试和维护方面的花费也因此减少。此外,根据本地通信系统,也可以省略对于用于安全相关的信号的模块的分开的寻址。此外,在系统中仅需要一个逻辑处理。此外,网关模块能够作为单独的站而完全履行安全任务,而不需要连接到上层网络,也就是说,不仅可以检测输入端和输出端,而且可以实现对本地站内的控制。在此,既可以使用安全信号又可以使用标准信号。网关模块中的本地输入/输出数据的处理比在高层的控制器中的处理快得多。此外可以考虑,中央的安全处理不只是在网关模块中,而是也在其他的位置上进行,例如,在高层的安全控制器中或者在本地站内的任意位置上并且网关模块仅用作网关。在这种情况下,网关模块必须提供向设备进行的数据传输并且提供不同服务,这些服务是为了控制单个的本地设备的诊断单元和输入/输出数据所必需的。