專利名稱:自動化設(shè)備的通信網(wǎng)絡(luò)中涉及安全的通信的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及自動化設(shè)備及其自動化總線系統(tǒng)���。具體地說���,本發(fā)明涉及在 這種自動化設(shè)備的通信網(wǎng)絡(luò)中在涉及安全的(sicherheitsgerichtet)模塊之間的通信��。
背景技術(shù):
為了減少對人或環(huán)境的風(fēng)險(xiǎn)�����,經(jīng)常要求在自動化總線系統(tǒng)中或在與自動化總線 系統(tǒng)連接的用戶中設(shè)置安全功能���。一種示例是在操作了緊急開關(guān)之后切斷連接到自動化 總線系統(tǒng)的機(jī)器�。為此目的,越來越多地采用防錯(cuò)的自動化系統(tǒng)���。一般來說�����,這些防 錯(cuò)的自動化系統(tǒng)一方面實(shí)現(xiàn)了實(shí)際的安全功能���,例如雙手切換(Zweihand-Schaltung)、噪 聲抑制(Muting)��、運(yùn)行模式選擇開關(guān)等,另一方面還實(shí)現(xiàn)了識別錯(cuò)誤以及阻止錯(cuò)誤的措 施�,如其例如在標(biāo)準(zhǔn)IEC61508和IS013849中規(guī)定的那樣。在目前的自動化系統(tǒng)中���,依據(jù)自動化程度以及依據(jù)設(shè)備的擴(kuò)展而采用連接分布 式輸入/輸出設(shè)備(E/A設(shè)備)和控制裝置的通信系統(tǒng)��。為了傳輸安全技術(shù)的數(shù)據(jù)�����,在 此已知通過安全的網(wǎng)絡(luò)協(xié)議來支持該網(wǎng)絡(luò)�。所采用的信號流到目前為止來自中央安全技 術(shù)�����,其中安全的輸入信號被傳輸?shù)桨踩目刂蒲b置�����,并在該控制裝置那里被處理���,然后 被傳輸?shù)较鄳?yīng)的執(zhí)行器���。這種安全處理也稱為安全應(yīng)用�。通信中的錯(cuò)誤可能在自動化設(shè)備的硬件和固件中�����、在網(wǎng)絡(luò)的基礎(chǔ)部件(例如現(xiàn) 場總線部件或以太網(wǎng)部件)中以及在數(shù)據(jù)傳輸期間因?yàn)橥獠坑绊懚嬖诨虍a(chǎn)生�。外部影 響例如可能是電磁場對數(shù)據(jù)傳輸?shù)母蓴_。在自動化技術(shù)中���,目前可以看到兩個(gè)趨勢��。一方面存在對控制功能分布式布置 的追求�。另一方面存在將安全技術(shù)集成到控制和網(wǎng)絡(luò)技術(shù)中的興趣�。在分布式布置中,控制功能越來越廣地被轉(zhuǎn)移到輸出層中�����。從而����,例如可以在 運(yùn)行時(shí)在有限范圍內(nèi)集成控制功能�。但是,通過將安全技術(shù)集成到控制裝置和網(wǎng)絡(luò)中���,在應(yīng)用過程中產(chǎn)生強(qiáng)烈的依 賴性��。這種依賴性導(dǎo)致系統(tǒng)更為復(fù)雜的規(guī)劃和編程�。這與期望安全技術(shù)處理簡單性的 愿望在某種程度上相反。涉及安全的應(yīng)用的規(guī)劃復(fù)雜性目前是傳統(tǒng)的固定連線的安全技 術(shù)����、尤其是基于安全中繼的固定連線的安全技術(shù)的過渡很難被接受的主要原因之一。而 且在目前的安全自動化總線系統(tǒng)中由于上述困難可能會因?yàn)樗^的誤觸發(fā)而導(dǎo)致對受控 設(shè)備的錯(cuò)誤使用以及不足的可提供性�。
發(fā)明內(nèi)容
本發(fā)明所基于的任務(wù)是簡化自動化網(wǎng)絡(luò)中對涉及安全的模塊的安裝和規(guī)劃。本發(fā)明用于解決該任務(wù)的基本思想在于��,將一個(gè)設(shè)備的安全功能劃分為小的��、 一目了然的���、能局限于本地的以及能簡單驗(yàn)證的模塊組�����。為了執(zhí)行涉及安全的動作而設(shè) 置的模塊組因此表示整個(gè)通信網(wǎng)絡(luò)內(nèi)或多或少自主的島�。該體系對應(yīng)于目前熟悉安全技術(shù)的人員在設(shè)備自動化時(shí)的思維方式�����。另外,通過這種方式��,設(shè)備的修改和擴(kuò)展可能更為簡單�����,而不必再次重新驗(yàn)證已被驗(yàn)證過的設(shè)備 部件�����。此外�,安全功能的模塊化以及與標(biāo)準(zhǔn)功能的分離最大程度地迎合了對如上所述標(biāo) 準(zhǔn)IEC61508以及IS013849這樣的當(dāng)前安全標(biāo)準(zhǔn)的要求。對使用者來說的另一個(gè)優(yōu)點(diǎn)在于以下可能性必要時(shí)與網(wǎng)絡(luò)無關(guān)地和與控制無 關(guān)地構(gòu)成分布式安全模塊�。由此還給出與控制裝置的提供者的無關(guān)性。這也意味著����,在 例如由于非與安全相關(guān)的要求而更換標(biāo)準(zhǔn)控制裝置或網(wǎng)絡(luò)時(shí)可以保留所采用的安全技術(shù) 和經(jīng)過驗(yàn)證的安全模塊。根據(jù)本發(fā)明����,用于保證整個(gè)安全功能的分布式安全模塊至少在有限范圍內(nèi)相互 防錯(cuò)地通信�。為了使得能夠與基礎(chǔ)的物理介質(zhì)無關(guān)地實(shí)現(xiàn)該通信,傳輸對符合安全要求 的傳輸?shù)臋z查到進(jìn)行接收的用戶����。由此不需要在若干公知系統(tǒng)中設(shè)置的安全主設(shè)備�����。對于島的模塊或用于執(zhí)行涉及安全的動作的模塊組的通信����,電報(bào)被發(fā)送到通信 主設(shè)備��,并在那里被路由到接收者����。數(shù)據(jù)流的自動路由通過以下方式實(shí)現(xiàn)防錯(cuò)的通信 協(xié)議和/或防錯(cuò)的通信用戶提供可由路由層分析的信息或媒介。分析在此的意思是�����,可 以在初始化階段中獨(dú)立地建立復(fù)制或路由表����,而使用者不必借助網(wǎng)絡(luò)配置工具預(yù)先給定 該通信用戶的地址。該媒介或信息在此既可以一次性地在初始化階段期間又可以在系統(tǒng) 的運(yùn)行時(shí)期間被提供和分析�����。具體地,本發(fā)明為了解決上述任務(wù)提供一種自動化設(shè)備�����,具有尤其是非安全的 通信主設(shè)備和多個(gè)分布式模塊�����,其中-分布式模塊被構(gòu)造為網(wǎng)絡(luò)用戶�����,并且-借助通信網(wǎng)絡(luò)與所述通信主設(shè)備聯(lián)網(wǎng)�,其中-在通信網(wǎng)絡(luò)中,分布式模塊之間的通信通過電報(bào)實(shí)現(xiàn)����,其中_至少兩個(gè)模塊是安全模塊,在這些安全模塊之間傳輸涉及安全的數(shù)據(jù)����,以及-這些安全模塊形成用于執(zhí)行涉及安全的功能的模塊的邏輯組,并且其中_優(yōu)選為非安全的通信主設(shè)備具有路由表�����,在該路由表中保存分布式安全模塊之 間對應(yīng)于涉及安全的功能的邏輯連接����,其中-該通信主設(shè)備被設(shè)置用于借助路由表受控地將數(shù)據(jù)從進(jìn)行發(fā)送的安全模塊自動 路由到進(jìn)行接收的安全模塊,_使得屬于一個(gè)邏輯組的安全模塊之間的通信分別通過兩個(gè)點(diǎn)對點(diǎn)連接進(jìn)行���, 即從進(jìn)行發(fā)送的安全模塊到通信主設(shè)備以及進(jìn)一步從該通信主設(shè)備到進(jìn)行接收的安全模 塊�����,_其中進(jìn)行接收的安全模塊被設(shè)置用于對應(yīng)于所接收的數(shù)據(jù)執(zhí)行涉及安全的動 作���,并且該通信網(wǎng)絡(luò)具有用于向安全模塊查詢用于建立路由表的信息并且借助該信息建 立路由表的裝置。優(yōu)選地�,用于建立路由表的裝置被實(shí)施在通信主設(shè)備自身中。但是也可以想 到��,路由表由外部裝置����,例如由另外的與網(wǎng)絡(luò)連接的模塊產(chǎn)生,然后被傳輸?shù)酵ㄐ胖髟O(shè) 備��。由此,利用自動化設(shè)備的該特征�����,相應(yīng)地使得能夠?qū)崿F(xiàn)一種用于監(jiān)控設(shè)備中安 全功能的方法���,該設(shè)備具有尤其是非安全的通信主設(shè)備和多個(gè)分布式模塊�,其中
5
-所述分布式模塊被構(gòu)造為網(wǎng)絡(luò)用戶��,并且-借助通信網(wǎng)絡(luò)與所述通信主設(shè)備聯(lián)網(wǎng)����,其中-在通信網(wǎng)絡(luò)中,分布式模塊之間的通信通過電報(bào)實(shí)現(xiàn)���,其中_至少兩個(gè)模塊是安全模塊����,在這些安全模塊之間傳輸涉及安全的數(shù)據(jù)�����,以及-這些安全模塊形成用于執(zhí)行涉及安全的功能的模塊的邏輯組�����,并且其中-優(yōu)選為非安全的通信主設(shè)備具有路由表,在該路由表中保存分布式安全模塊之 間對應(yīng)于涉及安全的功能的邏輯連接�����,其中-該通信主設(shè)備借助路由表將數(shù)據(jù)從進(jìn)行發(fā)送的安全模塊自動路由到進(jìn)行接收的 安全模塊���,_使得屬于一個(gè)邏輯組的安全模塊之間的通信分別通過兩個(gè)點(diǎn)對點(diǎn)連接進(jìn)行, 即從進(jìn)行發(fā)送的安全模塊到通信主設(shè)備并且進(jìn)一步從該通信主設(shè)備到進(jìn)行接收的安全模 塊�,-其中進(jìn)行接收的安全模塊對應(yīng)于所接收的數(shù)據(jù)執(zhí)行涉及安全的動作,并且其中 由該通信網(wǎng)絡(luò)的裝置��,優(yōu)選由通信主設(shè)備向安全模塊查詢用于建立路由表的信息并且借 助該信息建立路由表����。路由表的概念不僅限于表格形式的精確對應(yīng)。在本發(fā)明的含義下���,這個(gè)概念應(yīng) 當(dāng)被理解為以任意形式存在的對應(yīng)規(guī)則���,其中安全模塊或安全模塊的地址對應(yīng)于待建立 的邏輯連接而相互關(guān)聯(lián)(verknuepfen)。根據(jù)本發(fā)明的一實(shí)施方式����,路由表可以是復(fù)制列表�����。復(fù)制尤其可以是以在通信 主設(shè)備的通信固件或使用者程序內(nèi)復(fù)制整個(gè)電報(bào)或該電報(bào)的數(shù)據(jù)的形式進(jìn)行�����。非安全的通信主設(shè)備的特征意思是�����,該通信主設(shè)備本身不需要被構(gòu)造為用于借 助安全的網(wǎng)絡(luò)協(xié)議進(jìn)行的防錯(cuò)通信和/或不必具有特殊的冗余硬件��。本發(fā)明的一個(gè)巨大優(yōu)點(diǎn)主要在于�����,可以完全不需要用于配置安全模塊及其涉及 安全的動作的中央配置工具��。在涉及安全的通信中��,需要快速傳輸數(shù)據(jù)��。在此�����,本發(fā)明的方法采用通過非安 全的通信主設(shè)備進(jìn)行路由乍看起來是麻煩的��,因?yàn)槊總€(gè)電報(bào)必須通過兩個(gè)點(diǎn)對點(diǎn)連接傳 輸并且在此過程中還必須進(jìn)行路由�����。但是已經(jīng)表明�,該通信在速度方面與具有通過總線 的通信的其它安全系統(tǒng)是相當(dāng)?shù)?��,從而對快速響?yīng)時(shí)間的要求得到滿足����。作為通信網(wǎng)絡(luò)中數(shù)據(jù)通信的基礎(chǔ)��,可以采用標(biāo)準(zhǔn)網(wǎng)絡(luò)通信����。在此還已知 INTERBUS系統(tǒng)、PROFIBUS系統(tǒng)��、PROFINET系統(tǒng)����、DeviceNet系統(tǒng)和以太網(wǎng)IP系 統(tǒng)����。對于安全模塊之間的安全通信����,可以采用相應(yīng)的安全網(wǎng)絡(luò)協(xié)議INTERBUS-Safety、 PROFIsafe或CIP-Safety�。這些防錯(cuò)的網(wǎng)絡(luò)協(xié)議根據(jù)“黑色通道(Black-Channel) ”原理 工作,其中防錯(cuò)的電報(bào)被嵌入到標(biāo)準(zhǔn)電報(bào)中����。在此,通信用戶承擔(dān)安全的通信主設(shè)備的 角色��,例如借助主設(shè)備安全層(Master-Safety-Layer)或以F主機(jī)的形式�。
下面借助附圖詳細(xì)解釋本發(fā)明。在此相同的附圖標(biāo)記表示相同或相應(yīng)的元件�。圖1示出自動化制造設(shè)備的自動化網(wǎng)絡(luò)的示意連接圖,圖2示出用于圖1所示自動化網(wǎng)絡(luò)的路由表的一實(shí)施例�,
圖3示出具有輸入模塊和輸出模塊的一個(gè)實(shí)施例。
具體實(shí)施例方式圖1中示出自動化設(shè)備1 (優(yōu)選為自動化制造設(shè)備)的通信網(wǎng)絡(luò)的框圖��。根據(jù)本發(fā)明的自動化設(shè)備1包括通信主設(shè)備(例如作為中央控制裝置的組成部 分)以及多個(gè)分布式模塊。在圖1的示例中����,設(shè)置通信主設(shè)備3作為中央控制裝置或作 為中央控制裝置的組成部分。分布式模塊70�、80、81����、82、83��、90���、91連接到通信網(wǎng)絡(luò) 2。分布式模塊70��、80�����、81����、82、83����、90���、91被構(gòu)造為網(wǎng)絡(luò)用戶并且借助通信網(wǎng)絡(luò) 2與通信主設(shè)備3聯(lián)網(wǎng)。通信網(wǎng)絡(luò)2中分布式模塊70�、80、81�����、82����、83、90���、91之間的 通信通過電報(bào)實(shí)現(xiàn)����。例如����,通信網(wǎng)絡(luò)2可以具有以太網(wǎng)作為物理層,并且通信相應(yīng)地以 以太網(wǎng)電報(bào)來實(shí)現(xiàn)。此外����,至少兩個(gè)模塊是安全模塊,在這些安全模塊之間傳輸涉及安全的數(shù)據(jù)�����。 在圖1的示例中�,具體地說,模塊80��、81����、82、83���、90、91被構(gòu)造為安全模塊�����。這些安 全模塊形成用于執(zhí)行涉及安全的功能的模塊的一個(gè)或多個(gè)邏輯組�����。通信主設(shè)備3具有路由表,在該路由表中存儲分布式安全模塊80��、81��、82��、 83�、90、91之間對應(yīng)于涉及安全的功能的邏輯連接��。通信主設(shè)備3被設(shè)置為受控地借助 路由表將數(shù)據(jù)從各自的進(jìn)行發(fā)送的安全模塊自動路由到進(jìn)行接收的安全模塊��。進(jìn)行接收 的安全模塊被設(shè)置為對應(yīng)于所接收的數(shù)據(jù)執(zhí)行涉及安全的功能�����。尤其地����,通信主設(shè)備3本身不需要在上述標(biāo)準(zhǔn)的含義中是安全的。而是中央控 制裝置可以是標(biāo)準(zhǔn)控制裝置�����。在圖1所示的示例中,在通信主設(shè)備3與安全模塊80���、81��、82�、83���、90�����、91之 間存在點(diǎn)對點(diǎn)連接10��、11���、12、13����、14�����、15。在路由表中����,還存儲了為了執(zhí)行不同的涉 及安全的功能而使用的邏輯連接16、17��、18����、19。借助該路由表�����,通信主設(shè)備3將由各 自的進(jìn)行發(fā)送的安全模塊所發(fā)送的數(shù)據(jù)自動路由到對應(yīng)的進(jìn)行接收的安全模塊�����。用所述 邏輯連接關(guān)聯(lián)的安全模塊分別形成用于執(zhí)行涉及安全的功能的模塊的邏輯組�。因此在圖1 所示的示例中,用安全模塊80����、81、82��、83形成一個(gè)邏輯組,在該邏輯組中通過邏輯連 接16��、17�����、18將安全模塊81�、82、83分別與安全模塊80關(guān)聯(lián)����。此外,安全模塊90�����、91 的邏輯組通過邏輯連接19被關(guān)聯(lián)����。例如,安全模塊之一可以分析光電柵欄(Lichtschnmke)的數(shù)據(jù)���。然后例如可以 規(guī)定�,必須關(guān)斷利用該光電柵欄監(jiān)視通路的裝置�����。然后����,相應(yīng)的關(guān)斷裝置由另一安全模 塊響應(yīng)于由該光電柵欄所連接的安全模塊發(fā)送并被通信主設(shè)備3路由到該另一安全模塊 的電報(bào)來操作。由此�,該邏輯連接被分為來自以及去往通信主設(shè)備3的兩個(gè)點(diǎn)對點(diǎn)連接�����。例 如����,圖1所示實(shí)施例中的邏輯連接16通過點(diǎn)對點(diǎn)連接10和11實(shí)現(xiàn)。由此�����,對于所基于 的通信,可以采用任意的點(diǎn)對點(diǎn)協(xié)議。一個(gè)優(yōu)選的基礎(chǔ)是以太網(wǎng)網(wǎng)絡(luò)�����。在電報(bào)中傳輸涉及安全的數(shù)據(jù)尤其可以通過電信網(wǎng)絡(luò)上的非安全信道來進(jìn)行。 換句話說�,采用與用于過程控制的標(biāo)準(zhǔn)數(shù)據(jù)的通信媒介相同的通信介質(zhì)。這尤其是有利 的,以降低硬件花費(fèi)以及簡化在現(xiàn)有自動化設(shè)備中的實(shí)施�����。為了在此實(shí)現(xiàn)涉及安全的數(shù)
7據(jù)的傳輸?shù)母呖煽啃?��,采用“黑色通道”原理�����。由此��,對電?bào)錯(cuò)誤的識別被完全傳輸 到進(jìn)行接收的安全模塊上����。據(jù)此��,在本發(fā)明的該擴(kuò)展方案中,為了防錯(cuò)地傳輸涉及安全 的數(shù)據(jù)��,進(jìn)行接收的安全模塊被構(gòu)造為針對電報(bào)的更換、偽造���、誤傳導(dǎo)或破壞來識別錯(cuò)誤�。為此��,可以由進(jìn)行接收的安全模塊在所接收的電報(bào)中檢查至少一個(gè)以下特征���, 優(yōu)選檢查所有以下特征-時(shí)間戳�����,_ 冗余��,-校驗(yàn)和��,-當(dāng)前電報(bào)號(eine laufende Telegrammnummer),-發(fā)送者標(biāo)識�,_接收者標(biāo)識。借助電報(bào)的發(fā)送者標(biāo)識和接收者標(biāo)識�����,尤其可以通過進(jìn)行接收的安全模塊確定 電報(bào)的源和目標(biāo)的對應(yīng)是否正確和唯一。“黑色通道”的原理源于任意錯(cuò)誤�����,如通信網(wǎng)絡(luò)2中電報(bào)的更換����、破壞和偽造。 用于安全模塊之間通信的防錯(cuò)通信協(xié)議的識別錯(cuò)誤的措施在此尤其不是在可能的情況下 在標(biāo)準(zhǔn)通信中也存在的識別錯(cuò)誤的措施的保證。在圖2中示出用于圖1所示邏輯連接的一個(gè)示例性路由表20����。在第一列中存儲邏輯連接。第二列排列主設(shè)備地址�����,第三列排列從設(shè)備地址�����。 主設(shè)備地址和從設(shè)備地址在此表示各輸出模塊和輸入模塊的地址���。優(yōu)選地,采用輸出模 塊作為主設(shè)備,但是也可以考慮相反的配置�����。分為主安全模塊和從安全模塊在此尤其涉 及防錯(cuò)的通信��。從而,主設(shè)備例如可以被設(shè)置為檢查電報(bào)的連續(xù)的號碼并且借助該號碼 確定從模塊以及這些模塊與主安全模塊的通信是否按規(guī)定工作���。由于在圖1所示的具有安全模塊80的示例中存在多個(gè)邏輯連接����,因此還可以為 該安全模塊分配多個(gè)端口形式的地址���。具體地說,具有端口 0的地址80:0分配給至安全 模塊82的邏輯連接16�����,具有端口 1的地址80:1分配給至安全模塊83的邏輯連接17,具 有端口 2的地址80:2分配給至安全模塊83的邏輯連接18���。此外����,為了降低在初始化或規(guī)劃安全功能時(shí)的花費(fèi),有意義的還有,中央控制 裝置被設(shè)置為向安全模塊查詢用于建立路由表的信息���,并且借助該信息建立路由表���。相 應(yīng)地,在此安全模塊也被設(shè)置為提供所需要的信息��。因此,根據(jù)本發(fā)明�����,涉及安全的通信分別通過通信主設(shè)備進(jìn)行���,其中進(jìn)行發(fā)送 的安全模塊(在圖1的示例中為安全模塊80和90)總是向通信主設(shè)備3或中央控制裝置 發(fā)送��,然后具有所獲得的信息的電報(bào)被通信主設(shè)備3或中央控制裝置發(fā)送到具有路由表 中所限定的目標(biāo)地址的安全模塊。這提供了以下優(yōu)點(diǎn)進(jìn)行發(fā)送的安全模塊和進(jìn)行接收 的安全模塊都不需要關(guān)于哪個(gè)其它安全模塊分配給它以執(zhí)行邏輯組中涉及安全的功能的 fn息o—種參照路由表的產(chǎn)生初始化非安全的中央控制裝置的實(shí)施方式如下所示-首先確定所連接的網(wǎng)絡(luò)配置。-然后確定所連接的安全模塊的地址,或一般性地確定其標(biāo)識信息�。
-必要時(shí)進(jìn)行可信性檢驗(yàn)(Plausibilitaetspruefung)��。_借助來自最前面兩個(gè)步驟的信息,在周期性運(yùn)行時(shí)設(shè)置用于電報(bào)路由的分配列 表(Anweisungslist)或復(fù)制列表。作為用于自動建立路由表或復(fù)制列表的安全模塊的標(biāo)識信息����,尤其可以使用-標(biāo)識碼�����,-裝置ID,-裝置名稱�,-安全地址����,該安全地址例如可以是在安全模塊上借助開關(guān)能設(shè)置的?����?傊?,初始化可以借助實(shí)施在通信主設(shè)備中的算法如下進(jìn)行首先算法在網(wǎng)絡(luò) 中識別安全模塊����,例如識別其ID碼,然后從這些模塊中讀出安全地址?�,F(xiàn)在可以借助安 全地址識別出自動路由應(yīng)當(dāng)在島內(nèi)或邏輯組內(nèi)進(jìn)行�����,也就是在圖1的示例中在模塊80-83 與模塊90�、91之間進(jìn)行。對應(yīng)于第一島內(nèi)的邏輯連接16至18建立參考或復(fù)制作業(yè) (Kopierauftrag)��,并且根據(jù)第二島的邏輯連接19建立參考或復(fù)制作業(yè)�。根據(jù)本發(fā)明的另一實(shí)施方式���,安全模塊的分配也可以通過在安全模塊上設(shè)置通 信主設(shè)備的地址信息來進(jìn)行�。這在通信網(wǎng)絡(luò)中具有多個(gè)通信主設(shè)備3并且應(yīng)當(dāng)向每個(gè)通 信主設(shè)備3分配一個(gè)島或安全模塊的邏輯組的情況下是有利的����。轉(zhuǎn)到圖3所示的示例,在這種情況下通信主設(shè)備3例如具有號碼8或相應(yīng)的地 址。該號碼或地址在安全模塊80��、81的地址選擇開關(guān)21上設(shè)置。通信主設(shè)備3然后在 初始化階段查詢在安全模塊上設(shè)置的號碼或相應(yīng)的地址���,并且因此識別出模塊80�、81被 分配給它并且應(yīng)當(dāng)形成用于執(zhí)行安全功能的邏輯組�����。分配或復(fù)制列表在此是路由表的一種可能形式�。根據(jù)本發(fā)明一實(shí)施方式����,將信 息轉(zhuǎn)發(fā)到進(jìn)行接收的安全模塊可以通過在通信主設(shè)備3的通信固件內(nèi)或使用者程序中復(fù) 制完整的電報(bào)來進(jìn)行���。為此可以建立復(fù)制列表(表格等),然后在周期運(yùn)行中處理該復(fù)制 列表���。在通信主設(shè)備中保持的路由表是否正確��,并且因此還有消息是否被路由到正確 的用戶同樣可以通過各自進(jìn)行接收的安全模塊借助防錯(cuò)的網(wǎng)絡(luò)協(xié)議來確定��。復(fù)制列表對于復(fù)制作業(yè)優(yōu)選總是包含源地址(源指針)����、目標(biāo)地址(目標(biāo)指針) 和待復(fù)制數(shù)據(jù)的長度。在自動建立路由表(如在圖2中示例性示出的那樣)時(shí)�����,重要的是沒有多余的或 甚至錯(cuò)誤的連接,或只有正確的連接被登記。錯(cuò)誤的連接例如是不同邏輯組的安全模塊 之間的那些連接�����。這可能導(dǎo)致針對一臺機(jī)器的緊急開關(guān)的信號將切斷另一機(jī)器����。為了在建立路由表時(shí)正確地分配屬于安全模塊的邏輯組的連接,通信主設(shè)備3 在本發(fā)明的擴(kuò)展方案中被設(shè)置為查詢連接到通信網(wǎng)絡(luò)的安全模塊的信息并且借助所查詢 到的信息確定哪些安全模塊屬于一個(gè)邏輯組���,并且在路由表中對應(yīng)于安全模塊的分配進(jìn) 行連接。為此存在多種可能�����。一種簡單的可能在于�,分析安全模塊的地址信息。為此可 以配置安全模塊的地址����,使得這些地址分別已經(jīng)反映或表示對一個(gè)邏輯組的同一從屬性 (zusammenhoerigkeit)。一種可能在于�,通信主設(shè)備向邏輯組分別分配特定的地址空間��。 另一種可能在于�,安全模塊被設(shè)置為通過通信網(wǎng)絡(luò)應(yīng)要求而提供表征對特定邏輯組的從屬性(zugehoerigkeit)的信息��。該信息也可以被考慮為地址的組成部分���。在圖1所示的示例中��,安全模塊例如可以具有對應(yīng)于所分配的附圖標(biāo)記的地 址。從而通信主設(shè)備可以被設(shè)置為在路由表中通過相應(yīng)的連接作業(yè)映射相應(yīng)于地址空間 50-59����、60-69����、70-79、80-89�、90-99 等的邏輯組����。如借助圖1看出的����,例如一個(gè)邏輯組的模塊全都具有地址空間80-89中的地址�����, 另一邏輯組的安全模塊具有在地址空間90-99中的地址�。相應(yīng)地,在路由表中然后錄入 模塊80�、81����、82���、83之間的連接作為一方以及模塊90和91之間的連接作為另一方。為了實(shí)現(xiàn)很多安全功能���,例如響應(yīng)于輸入信號而輸出斷開信號,有意義的是一 個(gè)組的安全模塊中,至少一個(gè)安全模塊具有輸入模塊�,且至少一個(gè)安全模塊具有輸出模 塊�����。輸入模塊于是通過具有兩個(gè)點(diǎn)對點(diǎn)連接的邏輯連接在通信主設(shè)備參與下向輸出模塊 發(fā)送電報(bào),該輸出模塊然后響應(yīng)于該電報(bào)而觸發(fā)涉及安全的動作?�,F(xiàn)在為了例如在安裝自動化設(shè)備時(shí)標(biāo)識屬于一個(gè)邏輯組的安全模塊,可以為這 些安全模塊配置地址選擇開關(guān)���。合適的是,例如在外殼上設(shè)置Dip開關(guān)�。這樣設(shè)置或通過其它方式為安全通信確定的地址不必與一般的網(wǎng)絡(luò)地址一致。 而是在此可以是特殊的安全地址��。如下面借助圖3示例性解釋的那樣����,對安全地址的給 定或者還有對其它個(gè)體地址信息的給定可以被進(jìn)行為使得實(shí)施在通信主設(shè)備中的算法識 別安全模塊對一個(gè)邏輯組的從屬性�����,并且在錄入這些安全模塊的連接的情況下相應(yīng)地建 立路由表���。為此圖3示出了具有輸入和輸出模塊形式的安全模塊的實(shí)施例�。在圖1所示示例中的安全模塊80����、81��、82����、83的邏輯組中�,為簡單起見僅示出 安全模塊80和81�����。安全模塊80是輸出模塊�����,并且從被構(gòu)造為輸入模塊的進(jìn)行發(fā)送的安 全模塊81接收消息�。這兩個(gè)安全模塊80�、81具有用于與傳感器或執(zhí)行器連接的連接端23��。作為輸入 模塊的安全模塊81在此與傳感器27通過纜線26連接��,而安全模塊80作為輸出模塊通過 纜線26與執(zhí)行器29連接。在圖3所示的示例中���,傳感器27是光電柵欄30的傳感器。 執(zhí)行器29在此示例中是安全繼電器,該安全繼電器關(guān)斷由自動化網(wǎng)絡(luò)控制的機(jī)器31����,例 如車床����。因此,涉及安全的動作在該示例中是在光電柵欄30被中斷的情況下自動關(guān)斷機(jī) 器31���。由此應(yīng)當(dāng)保證人員不能接近運(yùn)行的機(jī)器31并且不會陷入危險(xiǎn)���。如果光電柵欄30中斷���,則通過傳感器27的信號觸發(fā)從安全模塊81發(fā)送電報(bào)到 通信主設(shè)備3。該通信主設(shè)備借助其路由表確定電報(bào)被轉(zhuǎn)發(fā)到安全模塊80并且相應(yīng)地路 由該電報(bào)。進(jìn)行接收的安全模塊80響應(yīng)于包含在該電報(bào)中的關(guān)于觸發(fā)光電柵欄的信息而 經(jīng)由連接端23啟動執(zhí)行器29���,或在此特別是啟動繼電器形式的執(zhí)行器29,該繼電器響應(yīng) 于連接端23上的信號而接通并由此將機(jī)器31轉(zhuǎn)換到安全狀態(tài)?�,F(xiàn)在應(yīng)當(dāng)避免在安全設(shè)備時(shí)費(fèi)事地配置涉及安全的動作�����。尤其地��,應(yīng)當(dāng)以簡單 的方式使得能夠?qū)儆谝粋€(gè)邏輯組的各個(gè)安全模塊與其功能結(jié)合。在傳統(tǒng)的安全技術(shù) 中���,這通過各個(gè)模塊之間的纜線連接來實(shí)現(xiàn)。為了對根據(jù)本發(fā)明的自動化設(shè)備進(jìn)行該配置,安全模塊可以分別具有地址開關(guān) 21���。安全模塊對一邏輯組的同一從屬性由此可以簡單地通過根據(jù)預(yù)定機(jī)制給定地址來進(jìn) 行���。在根據(jù)圖3的示例中���,可以用地址開關(guān)21分別選擇地址空間,其中通過選擇相同的地址空間來分配給一個(gè)邏輯組�����。在所示示例中,利用地址選擇開關(guān)21可以選擇地址空間 40-49(開關(guān)位置 4)���、50-59(開關(guān)位置幻、60-69�����、70-79���、80-89���、90-99���。為了將兩個(gè) 安全模塊80和81邏輯地聯(lián)接到一個(gè)組����,在所示示例中在兩個(gè)安全模塊中通過將地址選擇 開關(guān)21置于數(shù)字“8”來選擇地址空間80-89��。
在初始化階段,向連接到通信網(wǎng)絡(luò)的安全模塊查詢其地址�。然后這些安全模塊 返回地址信息�����。然后借助所識別的該安全模塊與一個(gè)邏輯組的對應(yīng)關(guān)系����,通信主設(shè)備可 以建立具有相應(yīng)邏輯關(guān)聯(lián)的路由表���。
地址信息不必必須是完整的�。例如�,兩個(gè)安全模塊80��、81可以將分配給它們的 地址空間80-89通知給通信主設(shè)備����。該通信主設(shè)備然0后在第二步驟中為安全模塊80�����、 81分配完整的地址���。但優(yōu)選地���,查詢完整的安全地址���,其中除了完整的安全地址之外還 給定通過地址選擇開關(guān)21設(shè)置的地址,或者通過地址選擇開關(guān)21設(shè)置的地址是該完整地 址的組成部分�����。
與上述地址給定類似,例如還可以設(shè)置由進(jìn)行接收的安全模塊80使用的端口。 為此可以設(shè)置相應(yīng)的選擇開關(guān)���,利用這些選擇開關(guān)設(shè)置用于安全模塊相互之間通信的端 口����。只要特定端口對特定輸入模塊的對應(yīng)關(guān)系對于識別和執(zhí)行涉及安全的動作不是必要 的�����,就也可以在初始化階段中自動給定端口地址。
對本領(lǐng)域技術(shù)人員來說明顯的是,本發(fā)明不限于圖中所示的示例����,而是可以更 多樣化地在下面權(quán)利要求的范圍內(nèi)改變���。
權(quán)利要求
1.一種自動化設(shè)備��,具有尤其是非安全的通信主設(shè)備(3)和多個(gè)分布式模塊(70�����, 80-83�,90���,91)�,其中-所述分布式模塊(70��,80-83,90�����,91)被構(gòu)造為網(wǎng)絡(luò)用戶并且借助于通信網(wǎng)絡(luò)與所 述通信主設(shè)備(3)聯(lián)網(wǎng)��,其中-在所述通信網(wǎng)絡(luò)中��,所述分布式模塊之間的通信通過電報(bào)實(shí)現(xiàn)��,其中 -至少兩個(gè)所述模塊是安全模塊��,在這些安全模塊之間傳輸涉及安全的數(shù)據(jù)����,并且 -這些安全模塊形成用于執(zhí)行涉及安全的功能的模塊的邏輯組���, 并且其中_優(yōu)選為非安全的通信主設(shè)備(3)具有路由表�,在該路由表中存儲所述分布式安全模 塊之間對應(yīng)于涉及安全的功能的邏輯連接����,其中-該通信主設(shè)備被設(shè)置為受控地借助于所述路由表將所述數(shù)據(jù)從進(jìn)行發(fā)送的安全模塊 自動路由到進(jìn)行接收的安全模塊,-使得屬于一個(gè)邏輯組的安全模塊之間的通信分別通過兩個(gè)點(diǎn)對點(diǎn)連接進(jìn)行,即從所 述進(jìn)行發(fā)送的安全模塊到所述通信主設(shè)備(3)以及進(jìn)一步從該通信主設(shè)備(3)到所述進(jìn)行 接收的安全模塊��,_其中所述進(jìn)行接收的安全模塊被設(shè)置為對應(yīng)于所接收的數(shù)據(jù)執(zhí)行涉及安全的動作,并且_其中該通信網(wǎng)絡(luò)具有用于向安全模塊查詢用于建立路由表的信息并且借助該信息建 立路由表的裝置。
2.根據(jù)權(quán)利要求1所述的自動化設(shè)備��,其中所述通信主設(shè)備被設(shè)置為為了初始化所述 路由表執(zhí)行以下步驟a)確定所連接的網(wǎng)絡(luò)配置��,b)確定所連接的安全模塊的標(biāo)識信息,c)在必要時(shí)進(jìn)行可信性檢驗(yàn),d)借助于步驟a)和b)所得到的信息在周期性運(yùn)行時(shí)建立用于電報(bào)路由的分配列表或 復(fù)制列表�����。
3.根據(jù)權(quán)利要求1或2所述的自動化設(shè)備����,其中所述通信主設(shè)備(3)被設(shè)置為查詢連 接到所述通信網(wǎng)絡(luò)的安全模塊的信息�����,并且借助于所查詢到的信息確定所述安全模塊中 哪些屬于一個(gè)邏輯組���,并且在所述路由表中進(jìn)行對應(yīng)于所述安全模塊的分配的連接��。
4.根據(jù)前述權(quán)利要求之一所述的自動化設(shè)備�,其特征在于��,所述安全模塊的地址被 配置為使得這些地址分別反映對一個(gè)邏輯組的同一從屬性���。
5.根據(jù)前述權(quán)利要求之一所述的自動化設(shè)備��,其中涉及安全的數(shù)據(jù)在電報(bào)中的傳送 通過非安全的信道進(jìn)行,并且為了防錯(cuò)地傳輸涉及安全的數(shù)據(jù)��,所述進(jìn)行接收的安全模 塊被構(gòu)造為針對電報(bào)的更換�、偽造�、誤傳導(dǎo)或破壞識別錯(cuò)誤���。
6.根據(jù)權(quán)利要求5所述的自動化設(shè)備���,其特征在于,由進(jìn)行接收的安全模塊在所接收 的電報(bào)中檢查至少一個(gè)以下特征�,優(yōu)選檢查所有以下特征-時(shí)間戳�, -冗余�����, -校驗(yàn)和,_當(dāng)前電報(bào)號�, “發(fā)送者標(biāo)識����, _接收者標(biāo)識。
7.根據(jù)權(quán)利要求6所述的自動化設(shè)備���,其特征在于���,所述通信主設(shè)備(3)被設(shè)置為分 別為邏輯組分配特定的地址空間�����。
8.根據(jù)前述權(quán)利要求之一所述的自動化設(shè)備�,其中一個(gè)邏輯組的安全模塊中��,至少 一個(gè)安全模塊具有輸入模塊���,并且至少一個(gè)安全模塊具有輸出模塊,其中該輸出模塊被 設(shè)置為響應(yīng)于輸入模塊的電報(bào)而觸發(fā)安全功能��。
9.一種用于監(jiān)控自動化設(shè)備中安全功能的方法,該自動化設(shè)備具有尤其是非安全的 通信主設(shè)備(3)和多個(gè)分布式模塊���,其中-所述分布式模塊被構(gòu)造為網(wǎng)絡(luò)用戶,并且借助于通信網(wǎng)絡(luò)與所述通信主設(shè)備聯(lián)網(wǎng),其中-在所述通信網(wǎng)絡(luò)中�,所述分布式模塊之間的通信通過電報(bào)實(shí)現(xiàn),其中 -至少兩個(gè)所述模塊是安全模塊��,在所述安全模塊之間傳輸涉及安全的數(shù)據(jù),并且 _所述安全模塊形成用于執(zhí)行涉及安全的功能的模塊的邏輯組�, 并且其中_優(yōu)選為非安全的通信主設(shè)備(3)包含路由表����,在該路由表中存儲所述分布式安全模 塊之間對應(yīng)于涉及安全的功能的邏輯連接����,其中-該通信主設(shè)備借助于所述路由表將所述數(shù)據(jù)從進(jìn)行發(fā)送的安全模塊自動路由到進(jìn)行 接收的安全模塊�����,-使得屬于一個(gè)邏輯組的安全模塊之間的通信分別通過兩個(gè)點(diǎn)對點(diǎn)連接進(jìn)行��,即從所 述進(jìn)行發(fā)送的安全模塊到所述通信主設(shè)備(3)以及進(jìn)一步從該通信主設(shè)備(3)到所述進(jìn)行 接收的安全模塊,-其中所述進(jìn)行接收的安全模塊對應(yīng)于所接收的數(shù)據(jù)執(zhí)行涉及安全的動作�,并且其中 -由該通信網(wǎng)絡(luò)的一個(gè)裝置,優(yōu)選是由所述通信主設(shè)備�����,向所述安全模塊查詢用于建 立路由表的信息并且借助該信息建立路由表。
全文摘要
本發(fā)明涉及自動化設(shè)備的通信網(wǎng)絡(luò)中涉及安全的模塊之間的通信。本發(fā)明在此所基于的任務(wù)是����,簡化自動化網(wǎng)絡(luò)中對涉及安全的模塊的安裝和規(guī)劃。為此將一個(gè)設(shè)備的安全功能劃分為小的�、一目了然的、局限于本地的以及可簡單驗(yàn)證的模塊組��。
文檔編號H04L29/06GK102025610SQ20101029044
公開日2011年4月20日 申請日期2010年9月20日 優(yōu)先權(quán)日2009年9月23日
發(fā)明者J·施密特, S·霍恩 申請人:菲尼克斯電氣公司