圖8是從端處的控制器的操作的流程圖�����。其操作與主端的操作互補(bǔ)以實(shí)現(xiàn)全系統(tǒng)范圍的結(jié)果��。
[0056]在初始步驟中�,從端偵聽來自其配對主端、尋址給其的良好單播分組——S200�。該過程繼續(xù)直至發(fā)生超時(shí)或者接收到良好分組一一S201。在接收到良好且及時(shí)的分組時(shí),其被分解成子分組并通過本地多分支總線遞送到各個(gè)I/O模塊S202以用于輸出一一S202����。
[0057]接下來,由控制器依次對I/O模塊進(jìn)行輪詢以獲得其各自的輸入數(shù)據(jù)并組合成分組以用于傳輸一一S203��?�?刂破鲗⒃摲纸M數(shù)據(jù)發(fā)送到無線電模塊��。無線電然后通過無線發(fā)射被尋址到配對主端的分組一一S204����。在發(fā)射之后,從端返回等待步驟���。
[0058]超時(shí)和篡改操作
[0059]發(fā)射分組的序列或順序中的中斷或有效傳輸中的間斷的檢測并不始終是黑白的��,而是能夠涉及到試探法�。比預(yù)期更早或更晚到達(dá)的分組���、具有無序序號的分組或信號強(qiáng)度的變化全部能夠?qū)Υ鄹?�、干擾或技術(shù)故障的懷疑有所貢獻(xiàn)�。雖然并不始終正確,但控制器中的邏輯能夠推斷發(fā)生了第三方篡改或人為干擾嘗試���,已發(fā)生技術(shù)故障或者正常操作正在進(jìn)行����。
[0060]能夠由在控制器中或者可能在單獨(dú)I/O模塊中發(fā)生的這些判定發(fā)起故障保護(hù)或默認(rèn)條件�����。在某些實(shí)施例中�,嘗試區(qū)別“無辜”故障和各種類型的第三方攻擊并使實(shí)施例在不同情況下采取不同行動(dòng)可以是可能且有價(jià)值的。
[0061]圖7和8的流程圖示出了超時(shí)的情況下的退出路徑�����。圖9是從該點(diǎn)出發(fā)的動(dòng)作流程的非常簡化的視圖��,并示出了對超時(shí)事件的響應(yīng)����。其還示出了篡改檢測的情況下的可選步驟��。如果存在過度的無線沖突�����,其可能指示人為干擾的拒絕服務(wù)攻擊,則可以假定篡改檢測��。其可能基于可能來自重放攻擊的無序分組來假定��。某些實(shí)施例還可具有某種形式的物理篡改的檢測����。篡改懷疑是圖9中所示的第二流程。
[0062]來自圖7或8的超時(shí)流程指向圖9中所示的步驟S300�����,并且篡改檢測(在其它流程圖中未示出)將導(dǎo)致也在圖9中所見的步驟S301����。
[0063]將由在控制器中操作的邏輯做出超時(shí)和許多篡改的確定。這些確定需要被通信到各種I/O模塊以指引其采取適當(dāng)動(dòng)作���。針對每個(gè)I/O模塊的分組中的報(bào)頭信息將指示步驟S300中的超時(shí)事件或步驟S301中的懷疑篡改�。每個(gè)模塊能夠?qū)Υ诵畔⒉扇⌒袆?dòng)或者不采取行動(dòng)�。
[0064]對兩個(gè)路徑通用,在步驟S302中丟棄任何可疑分組然后并重新開始操作�。
[0065]附加魯棒性特征
[0066]能夠與操作相干擾的一個(gè)攻擊或錯(cuò)誤涉及進(jìn)入無響應(yīng)狀態(tài)的無線電模塊����?�?刂破鞑糠种械倪壿嬆軌驒z測到此無響應(yīng)并控制信號以執(zhí)行無線電模塊的硬復(fù)位��。替換地����,控制器部分可以控制到無線電模塊的電力并通過對無線電進(jìn)行電力重啟來完成完全重新初始化。
[0067]i/o模塊操作
[0068]圖1OA和1B示出了類似于圖4的流程圖的I/O模塊的高層級操作的流程圖�����。在對于其接收到的輸入被進(jìn)行輪詢時(shí)�����,模塊感測其輸入的狀態(tài)一一S400�����,組合表示該數(shù)據(jù)的分組一一S401���,以及通過本地多分支總線將分組發(fā)送到控制器一一S402�����。
[0069]單獨(dú)地�,當(dāng)I/O模塊通過多分支總線接收到分組時(shí)��,I/O模塊然后確定該分組是否是如在圖1OB中所見的良好分組——S403�����。該分組可包含來自控制器的超時(shí)代碼或篡改代碼�����。并且��,I/O模塊可具有其與其另一端配對物之間的其自己的端到端篡改或問題檢測�。
[0070]如果該分組為良好分組,則在步驟S405中�����,I/O模塊將輸出電路設(shè)置成由分組的數(shù)據(jù)所規(guī)定的電狀態(tài)���??蛇x地,I/o模塊還將此分組存儲為最后已知的良好分組一一S404�����。在具有故障保護(hù)特征的I/O模塊中��,超時(shí)或篡改檢測能夠促使I/O模塊基于設(shè)置來將其各種輸出設(shè)置成故障保護(hù)狀態(tài)�����。在那種情況下�,在步驟S406中,讀取DIP開關(guān)并做出將每個(gè)輸出設(shè)置成預(yù)置電狀態(tài)的終結(jié)���,或者將每個(gè)輸出設(shè)置成最后已知的良好值的終結(jié)�����。假設(shè)那些值在步驟404中本地地存儲在I/0模塊中���,則能夠?qū)⑤敵鲈O(shè)置成那些值。
[0071]構(gòu)造的容易性
[0072]存在對所謂的“零構(gòu)造”系統(tǒng)有所貢獻(xiàn)的多個(gè)因素�����。一個(gè)因素是點(diǎn)到點(diǎn)系統(tǒng)的使用����。這避免了復(fù)雜網(wǎng)絡(luò)的問題,并且特別地其消除了許多構(gòu)造問題����。另一個(gè)是知道相互地址的單元配對的簡單方法。這能夠通過在制造期間編程并將其提供在預(yù)配對單元中來完成����。其還能夠通過在下面展示的領(lǐng)域中的其它方法來完成。由于此系統(tǒng)是模塊化的���,具有支持多個(gè)插入式I/o模塊的一個(gè)控制器��,所以還需要為控制器提供指向每個(gè)I/O模塊和直接來自每個(gè)I/o模塊的機(jī)制����。在當(dāng)前展示的實(shí)施例中���,這是由被設(shè)置成唯一值的I/O模塊上的旋轉(zhuǎn)開關(guān)來完成的���。
[0073]類似于展示的實(shí)施例的某些系統(tǒng)支持用于每個(gè)輸出的默認(rèn)����、故障保護(hù)的輸出狀態(tài)�。為了以豐富的方式完成此操作,能夠通過軟件設(shè)置來完成����。在本實(shí)施例中,這些狀態(tài)由I/O模塊上的機(jī)械開關(guān)來設(shè)置�,避免了軟件設(shè)置。
[0074]故障的指示還能夠是用于構(gòu)造的區(qū)域�����。用當(dāng)前描述的實(shí)施例來完成此操作的一個(gè)非常簡單的方法是將遠(yuǎn)端處的一個(gè)輸入端接地�,或者如果信號類型允許的話將其置于開路狀態(tài)。在控制室端處�,信號正常地將持續(xù)地為低。然而�,如果該輸出的“故障保護(hù)”狀態(tài)被設(shè)置為高,則故障或攻擊將通過系統(tǒng)的正常操作而迫使其為高狀態(tài)�。能夠使用試探法來嘗試將篡改嘗試與其它條件區(qū)別開。
[0075]變化
[0076]在本實(shí)施例的版本中��,可無線電電路可能與控制器電路集成而不是作為模塊化的可替換單元。在本實(shí)施例的版本中��,模塊可以不符合DIN 15安裝規(guī)范�����。各版本可能使用模塊之間的菊鏈總線而不是無源底板�。
[0077]單元的配對和主/從作用的分配能夠在現(xiàn)場而不是通過出廠設(shè)置來完成��。各版本能夠完全不要求軟件設(shè)置����,或者包括軟件設(shè)置和本地物理開關(guān)設(shè)置兩者。
[0078]I/O模塊能是智能的而不僅僅在一定距離處再現(xiàn)信號�。例如,I/O模塊能夠具有用于直接連接到特定傳感器的電路���?;蛘逫/O模塊可以包括PID����。在智能輸出模塊的情況下,故障保護(hù)的概念將更加復(fù)雜����,但是仍組成有價(jià)值的特征�����。
[0079]替換實(shí)施例
[0080]替換實(shí)施例具有控制器和被共同地封裝而不是模塊化的輸入/輸出功能��。關(guān)于本實(shí)施例的變化將使無線電被單獨(dú)地封裝并用電纜將其敷設(shè)到主單元��。
【主權(quán)項(xiàng)】
1.一種無線至有線子系統(tǒng)(100)��,包括: (a)控制器(500)�����,所述控制器(500)具有適合于連接到無線電模塊(101)的無線電模塊端口(501)���,所述控制器包括用于通過所述無線電模塊端口來接收數(shù)據(jù)分組的序列的邏輯電路(102),所述數(shù)據(jù)分組進(jìn)一步包括將信號值進(jìn)行編碼的至少一個(gè)數(shù)據(jù)字段;所述控制器包括用于檢測所述數(shù)據(jù)分組的序列的中斷的邏輯��,并且所述控制器進(jìn)一步包括子系統(tǒng)互連總線(103); (b)至少第一I/O模塊(502)����,所述第一 I/O模塊(502)包括至少一個(gè)物理開關(guān)(132)和用于發(fā)出至少一個(gè)電輸出信號(125M)的電路(135),所述第一 I/O模塊適合于經(jīng)由所述子系統(tǒng)互連總線來與所述控制器通信����,其中����,通信包括所述第一I/O模塊從所述控制器接收所述數(shù)據(jù)分組的序列的所述數(shù)據(jù)字段的至少一部分�; 所述第一 I/O模塊進(jìn)一步包括邏輯電路(130),該邏輯電路(130)被構(gòu)造成:將第一數(shù)據(jù)字段中的被編碼值反映到第一輸出信號����,以及隨著接收到數(shù)據(jù)分組而重復(fù)地更新所述第一輸出信號的值;以及 進(jìn)一步地����,所述子系統(tǒng)被構(gòu)造成,在由所述控制器檢測到所述數(shù)據(jù)分組的序列的中斷時(shí)迫使所述第一輸出信號處于與所述第一輸出信號相關(guān)聯(lián)的默認(rèn)狀態(tài);與所述第一輸出信號相關(guān)聯(lián)的所述默認(rèn)狀態(tài)由所述至少一個(gè)物理