DE10316649A1

DE10316649A1 - Sicherheitskommunikation auf einer einzigen Rückebene

Info

Publication number: DE10316649A1
Application number: DE10316649A
Authority: DE
Inventors: David A Vasko; Joseph Lenner
Original assignee: Rockwell Automation Technologies Inc
Current assignee: Rockwell Automation Technologies Inc
Priority date: 2002-04-17
Filing date: 2003-04-11
Publication date: 2003-11-27
Anticipated expiration: 2023-04-12
Also published as: DE10316649B4; US20030208283A1; US6909923B2

Abstract

Eine Sicherheitsniveau-Fehlerdetektion, die mit derjenigen vergleichbar ist, die mit redundant verdrahteten Sicherheitsrelais vorhanden ist, wird auf einer Rückebene einer programmierbaren Logiksteuerung oder dergleichen durch eine Kombination von Fehlerdetektionsmethoden erreicht, die zusammen das notwendige Niveau der erforderlichen Fehlerdetektion vorsehen, ohne daß eine besondere Hardware-Anforderung oder duplikative Nachrichtenübertragungen notwendig sind.

Description

Die Erfindung betrifft Industriesteuerungen, die zur Echtzeitsteuerung industrieller Prozesse verwendet werden, und sie betrifft insbesondere hoch zuverlässige Industriesteuerungen, die zur Verwendung in Gerätschaften geeignet sind, welche dazu dienen sollen, das Leben und die Gesundheit von Menschen zu schützen. "Hoch zuverlässig" bezieht sich im allgemeinen auf Systeme, die gegen die Ausbreitung von fehlerhaften Daten oder Signalen durch Erfassen von Fehler- oder Störungszuständen einen Schutz vorsehen und das Auftreten solcher Zustände signalisieren und/oder in einen vorbestimmten Störungszustand eintreten. Hoch zuverlässige Systeme können von hoch verfügbaren Systemen unterschieden werden, jedoch kann die Erfindung in beiden derartigen Systemen nützlich sein, und deswegen sollte die hier vorgenommene Bezugnahme auf hoch zuverlässige Systeme nicht so aufgefasst werden, daß dadurch hoch verfügbare Systeme ausgeschlossen sind.

Industriesteuerungen sind Spezialzweckrechner, die zur Steuerung industrieller Prozesse eingesetzt werden. Unter der Leitung eines gespeicherten Steuerprogramms überprüft eine Industriesteuerung eine Reihe von Eingaben, die den Zustand des gesteuerten Prozesses reflektieren, und ändert eine Reihe von Ausgaben, die den industriellen Prozess steuern. Die Eingaben und Ausgaben können binär, das heißt, ein oder aus, oder sie können analog sein, also einen Wert innerhalb eines kontinuierlichen Bereiches vorsehen. Die Eingaben können von Sensoren gewonnen werden, die an den gesteuerten Einrichtungen angebracht sind und die Ausgaben können Signale für Aktoren an den gesteuerten Einrichtungen sein.

"Sicherheitssysteme" sind Systeme, die die Sicherheit von Menschen gewährleisten sollen, die in der Umgebung eines industriellen Prozesses arbeiten. Solche Systeme können beispielsweise Elektronik enthalten, die Not-Aus-Tastern, Verriegelungsschaltern und Maschinenaussperrungen zugeordnet ist. Traditionell sind Sicherheitssysteme durch eine Gruppe von Schaltungen implementiert worden, die von dem Industriesteuerungssystem vollständig getrennt sind, das zur Steuerung des industriellen Prozesses verwendet wird, dem das Sicherheitssystem zugeordnet ist. Solche Sicherheitssysteme sind aus Schaltern und Relais "fest verdrahtet", und bei einigen dieser Systeme kann es sich um spezielle "Sicherheitsrelais" handeln, die den Vergleich von redundanten Signalen gestatten und eine interne Überprüfung von Zuständen vorsehen, wie beispielsweise verschweißte oder festsitzende Kontakte. Ein Merkmal solcher Sicherheitssysteme ist die Verwendung von wenigstens zwei redundanten Verdrahtungsgruppen, die jeweils die selben Signale tragen, so daß die Signale auf den Drähten verglichen werden können, um sicherzustellen, daß irgend ein Signal nicht verloren gegangen oder gestört worden ist. In dieser Hinsicht können Sicherheitssysteme Schalter mit dualen Kontakten und Betätigungsgliedern verwenden, die derart verdrahtet sind, daß nur dann ein Einschalten erfolgt, wenn mehrfach nicht gestörte Signale empfangen werden.

Fest verdrahtete Sicherheitssysteme mit duplizierter Verdrahtung haben sich bei Zunahme der Komplexität der industriellen Prozesse als hinderlich erwiesen. Dies ist teilweise auf die Installationskosten der Komponenten und redundanten Verdrahtung und teilweise auf die Schwierigkeit der Fehlersuche und Aufrechterhaltung des "Programms" zurückzuführen, das durch das Sicherheitssystem implementiert ist, in welchem die Logik nur durch Neuverdrahtung körperlicher Relais und Schalter geändert werden kann.

Aus diesem Grunde besteht ein beträchtliches Interesse an einer Implementierung von Sicherheitssystemen unter Verwendung von Industriesteuerungen. Solche Steuerungen sind leichter zu programmieren und haben geringere Installationskosten, weü in ihnen ein Seriellkommunikationsnetzwerk hoher Geschwindigkeit verwendet wird, das eine Punkt-zu-Punkt-Verdrahtung mit langen Wegen eliminiert.

Standardprotokolle für Seriellkommunikationsnetzwerke hoher Geschwindigkeit, wie sie im allgemeinen in Industriesteuerungen verwendet werden, sind für Sicherheitssysteme nicht hinreichend zuverlässig. Aus diesem Grunde wurden Anstrengungen unternommen, um ein "Sicherheitsnetzwerkprotokoll" zur Hochgeschwindigkeit-Seriellkommunikation zu entwickeln, das bei der Übertragung von Daten eine größere Gewißheit vorsieht. Setzt man diese neuen Sicherheitsnetzwerkprotokolle ein, mag die Industriesteuerungshardware (beispielsweise Netzwerkschnittstellenkarten, die Standardnetzwerkprotokolle implementieren) nicht mehr verwendbar sein, so daß auf existierende und neue Fabriken hohe Kosten zukommen. Solche Kosten können eine weitverbreitete Anwendung fortschrittlicher Sicherheitstechnologie nachteilig verzögern.

Eine Lösung für dieses Problem ist beschrieben in einer anhängigen US-Anmeldung Nr. 091666,438, angemeldet am 21. September 2000 mit dem Titel "Sicherheitsnetzwerk für eine Industriesteuerung mit redundanten Verbindungen auf einem einzigen Medium", übertragen auf den selben Rechtsnachfolger wie die vorliegende Erfindung und hiermit durch Inbezugnahme eingeschlossen, in welcher Anmeldung ein Sicherheitsnetzwerkprotokoll beschrieben ist, das in ein Standardnetzwerkprotokoll "eingekapselt" werden kann und die Verwendung von standardisierten Netzwerken und Netzwerkhardware gestattet. In einem derartigen Sicherheitsnetzwerk werden duplizierte Nachrichten übertragen, um die duplizierte Verdrahtung zu imitieren, die in einem standardisierten "fest verdrahteten" Sicherheitssystem verwendet wird, das zwei Pfade für die Datenkommunikation vorsieht. Die Software-Implementation von redundanter physikalischer Verdrahtung ist sowohl weniger kostspielig als auch flexibler.

Die Implementation eines Sicherheitsnetzwerks auf einer Rückebene der Industriesteuerung als eine Erweiterung oder Ausdehnung auf ein Netzwerk ist ferner beschrieben in einer US-Anmeldung Nr. 10/034,387, angemeldet am 27. Dezember 2001 mit dem Titel "Programmierbare Logiksteuerung für Sicherheitssysteme mit verminderter Querverdrahtung", ebenfalls übertragen auf den selben Rechtsnachfolger wie die vorliegende Erfindung und hiermit durch Inbezugnahme eingeschlossen. In diesen beiden Sicherheitsnetzwerk-Protokollsystemen dienen mehrfach "verbundene" Nachrichten als Ersatz für separate physikalische Drähte, die verwendet werden, um redundante Sicherheitsinformation zu tragen, wobei eine flexible Neukonfiguration möglich ist, ohne die Notwendigkeit einer tatsächlichen Neuverdrahtung des Sicherheitssystems.

Kurze Darlegung der Erfindung

Der Erfinder hat erkannt, daß ein Sicherheitsprotokoll unter Verwendung eines Standardnetzwerks oder einer Rückebene einen Sicherheitsbetrieb mit einer breiten Vielfalt von Fehlerdetektionsprotokollen vorsehen kann, deren Fehlerdetektionsfähigkeiten gegeneinander aufgewogen werden können, um das gewünschte Fehlerdetektionsniveau bereitzustellen.

Diese Fähigkeit, Fehlerdetektionsmethoden zu mischen und anzupassen, gestattet es, beispielsweise redundante Information in einem Sicherheitssystem mit einer einzigen Nachricht zu übertragen, die Konstruktion einer programmierbaren Logiksteuerung stark zu vereinfachen, die aus einer Vielzahl modularer Komponenten zusammengebaut werden soll, welche miteinander arbeiten müssen. Diese Fähigkeit, eine einzige Nachricht zu benutzen, erkennt teilweise, daß die durch unabhängige Verdrahtung gewonnenen Vorteile der Netzwerkintegrität durch andere Schritte realisiert werden können, die die Nachrichtenintegrität erhöhen. Diese Fähigkeit, eine einzige Nachricht zu verwenden, erkennt teilweise auch, daß redundante Nachrichten eine Zunahme in der Verfügbarkeit des Netzwerks vorsehen, die unabhängig und unwesentlich für die Sicherheit ist.

Gemäß einem Ausführungsbeispiel sieht die Erfindung speziell ein Rückebenesystem vor, um Komponenten einer Industriesteuerung zum Sicherheitsbetrieb miteinander zu verbinden, enthaltend und aufweisend eine Eingabekomponente, die redundante Eingabesignale an einem ersten und zweiten dedizierten Drahtleiter vorsieht, und eine Ausgabekomponente, die redundante Ausgabesignale an einem ersten und zweiten dedizierten Drahtleiter empfängt. Vorgesehen ist eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten wie digitalen Nachrichten und mit wenigstens zwei Industriesteuerungskomponenten, die Verbinder haben, welche eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene gestatten, und die Anschlüsse haben, welche verbindbar sind, um die redundanten Signale der Eingabe- und Ausgabegeräte an den dedizierten Drahtleitern zu empfangen und unter Verwendung wenigstens einer Nachricht für jede Gruppe von redundanten Signalen zwischen den Eingabe- und Ausgabegeräten zu kommunizieren. Eine Sicherheitsprotokolleinrichtung bringt ein Kommunikationsprotokoll über Nachrichten zur Geltung, die über die Rückebene zwischen industriellen Steuerungskomponenten kommuniziert werden, um bei der Übertragung von Nachrichten zwischen dem Eingabegerät und dem Ausgabegerät unter Verwendung der Rückebene eine Fehlerrate vorzusehen, die nicht größer als die Fehlerrate ist, die man bei einer direkten Verbindung der dedizierten Drahtleiter der Eingabe- und Ausgabekomponenten direkt zwischen den Eingabe- und Ausgabekomponenten erhält.

Ein Ziel der Erfindung ist es somit, ein Sicherheitssystem auf Protokollbasis anstatt auf Hardware-Basis vorzusehen.

Die industriellen Steuerungskomponenten können zwischen den Eingabe- und Ausgabegeräten unter Verwendung von lediglich einer Nachricht für jeden Satz redundanter Signale kommunizieren.

Es ist somit ein anderes Ziel der Erfindung, die mit redundanten Signalen erreichbaren Vorteile zum Vermindern von Fehlern auszunutzen, ohne die Notwendigkeit der Komplexität redundanter digitaler Nachrichten auf der Rückebene.

Allgemeiner ausgedrückt, die Erfindung gestattet das Erreichen eines arbiträren Niveaus an Sicherheit durch Kombination einer Vielfalt von Techniken. Dies bedeutet, die Erfindung sieht vor ein Rückebenesystem zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb bestehend aus einer Rückebene mit wenigstens einem Leiter zum Leiten von Daten in Form digitaler Nachrichten und mit wenigstens zwei industriellen Steuerungskomponenten, die Leiter haben, welche eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene für die Kommunikation von Nachrichten darauf gestatten. Ein Sicherheitsprotokollmechanismus, der in Software oder in Hardware implementiert werden kann, drückt den über die Rückebene zwischen den industriellen Steuerungskomponenten kommunizierten Nachrichten ein Kommunikationsprotokoll auf, um beim Auftreten irgendeines der folgenden Ereignisse eine Fehleranzeige vorzusehen: (i) Verlust einer von einer ersten Komponente zu einer zweiten Komponente gesendeten Nachricht; (ii) Störung einer von einer ersten Komponente zu einer zweiten Komponente gesendeten Nachricht; und (iii) Fehlleitung einer von einer ersten Komponente gesendeten Nachricht, die für eine zweite Komponente gedacht ist, zu einer dritten Komponente. Wenn irgend eine vorbestimmte Kombination dieser Fehleranzeigen auftritt, bringt die Sicherheitsprotokolleinrichtung die Industriesteuerung in einen vorbestimmten Sicherheitszustand.

Es ist somit eine Ziel der Erfindung, unter Verwendung einer Vielfalt unterschiedlicher Protokolle, die zur Implementation auf einer Rückebene unabhängig von einer spezifischen Hardware geeignet sind, eine Sicherheitssystem-Fehlerdetektion vorzusehen.

Das Sicherheitsprotokoll kann ferner vorsehen eine Anzeige für (iv) eine Wiederholung einer zuvor von einer ersten Komponente zu einer zweiten Komponente gesendeten Nachricht; (v) eine Einfügung einer von irgendeiner Komponente zu einer zweiten Komponente nicht gesendeten Nachricht; und (vi) eine Änderung in der Folge mehrerer Nachrichten, die von einer ersten Komponente vor Empfang durch eine zweite Komponente gesendet werden.

Es ist somit ein anderes Ziel der Erfindung, eine sekundäre Fehlerquelle zu adressieren, deren Detektion zu dem notwendigen Gesamtfehler-Detektionsniveau, das benötigt wird, beitragen kann.

Die vorstehenden und andere Ziele und Vorteile der Erfindung treten aus der folgenden Beschreibung in Erscheinung. In der Beschreibung wird auf die beigefügten Zeichnungen Bezug genommen, die ein Teil der Beschreibung darstellen und in denen ein bevorzugtes Ausführungsbeispiel der Erfindung erläutert ist. Dieses Ausführungsbeispiel repräsentiert notwendigerweise nicht den vollen Schutzumfang der Erfindung, sondern es muß vielmehr zur Interpretation des Schutzumfangs der Erfindung auf die hier vorliegenden Ansprüche Bezug genommen werden.

Kurze Beschreibung der Zeichnungen

Fig. 1 ist eine perspektivische Ansicht einer vereinfachten Industriesteuerung, die ein Standardkommunikationsprotokoll auf einer Rückebene benutzt, das eine Zentralsteuerung mit Eingabe- und Ausgabeschaltungen und mit einem Fernkonfigurationsterminal verbindet, die man in der Erfindung benutzen kann;
Fig. 2 ist ein schematische Blockschaltbild des Steuerungssystems von Fig. 1 und zeigt redundante Verdrahtung von einem Eingabeschalter zu der Eingabeschaltung von Fig. 1, wobei die Eingabeschaltungen redundante Komponenten haben, und zwar wie von einer Art, die Signale vom Eingabeschalter verarbeiten kann, um Signale über die Rückebene zu der Steuerung von Fig. 1 zu senden, wobei die Steuerung redundante Prozessoren hat, um Signale über die Rückebene zu der Ausgabeschaltung von Fig. 1 zu senden, und wobei die Ausgabeschaltung redundante Komponenten hat, um Ausgänge für einen Aktor vorzusehen;
Fig. 3 ist eine Teilansicht, die zu der Fig. 2 ähnlich ist und eine alternative Konfiguration der Eingabeschaltung von Figur, 2 unter Verwendung herkömmlicher Steuereingabeschaltungen ohne redundante Komponenten zeigt;
Fig. 4 ist eine Teilansicht, die zu der Fig. 2 ähnlich ist und eine alternative Konfiguration der Ausgabeschaltung von Fig. 2 unter Verwendung herkömmlicher Steuerausgabeschaltungen ohne redundante Komponenten zeigt;
Fig. 5 ist eine erläuternde Darstellung der dualen Kommunikationsprotokolle, die nach der Erfindung vorgesehen sind, wonach Daten zunächst mit einem Sicherheitsprotokoll und dann mit einem Netzwerkprotokoll codiert werden, um mit der Rückebene kompatibel zu sein;
Fig. 6 ist eine schematische Darstellung eines Datenworts, das über die Rückebene übertragen wird, und zeigt das Einbetten von sicherheitsformatierenden Daten mit E/A-Daten innerhalb der von der Rückebene vorgesehenen Formatierung;
Fig. 7 ist eine graphische Darstellung mit der Zeit auf der vertikalen Achse und der Distanz längs des Netzwerks auf der horizontalen Achse und zeigt die Übertragung von Konfigurationsnachrichten zu der Eingabeschaltung, der Steuerung und der Ausgabeschaltung, unter Bildung des einen Schritts des Sicherheitsprotokolls der Erfindung;
Fig. 8 ist eine Figur, die zu der Fig. 7 ähnlich ist und die Übertragung von Nachrichten im Anschluß an den Konfigurationsprozess von Fig. 7 während einer Start- und Laufzeitphase des Netzwerks zeigt;
Fig. 9 ist ein Blockschaltbild der Industriesteuerung von Fig. 1 und zeigt in einem Ausführungsbeispiel die Aufteilung von Kommunikationen zwischen der Eingabeschaltung, der Steuerung und der Ausgabeschaltung in Erzeuger-Verbraucher-Paare unter Vorsehung redundanter Kommunikation über ein einziges Netzwerk und die variierten Topologien der Implementationen von Fig. 2, 3 und 4;
Fig. 10 ist ein Flußdiagramm und zeigt die prinzipiellen Stufen des Sicherheitsprotokolls der Initialisierung, des Startens und der Laufzeit;
Fig. 11 ist eine Figur, die zu der Fig. 7 ähnlich ist und den normalen Protokollbetrieb unter dem Sicherheitsprotokoll der Erfindung während der Laufzeit zeigt;
Fig. 12 ist eine Figur, die zu der Fig. 11 ähnlich ist und die Protokolloperation mit einer gestörten Erzeugernachricht zeigt;
Fig. 13 ist eine Figur, die zu der Fig. 11 ähnlich ist und den Protokollbetrieb mit einer verlorenen Erzeugernachricht zeigt;
Fig. 14 ist eine Figur, die zu der Fig. 11 ähnlich ist und den Protokollbetrieb mit einer gestörten Bestätigungsnachricht von dem Verbraucher zeigt;
Fig. 15 ist eine Figur, die zu der Fig. 11 ähnlich ist und den Protokollbetrieb mit einer verlorenen Verbraucherbestätigungsnachricht zeigt;
Fig. 16 ist eine Figur, die zu der Fig. 11 ähnlich ist und den Protokollbetrieb mit Unterbrechung der Verbindung zwischen dem Erzeuger und Verbraucher zeigt;
Fig. 17 ist ein Flußdiagramm eines Programms, das durch die Erzeuger von Fig. 9 unter Implementierung des Sicherheitsprotokolls ausgeführt wird; und
Fig. 18 ist eine Flußdiagramm eines Programms, das von den Verbrauchern von Fig. 9 unter Implementierung des Sicherheitsprotokolls der Erfindung ausgeführt wird.

Detaillierte Beschreibung der Erfindung

Die Erfindung kann Teil eines "Sicherheitssystems" sein, das verwendet wird, um das Leben und Körperteile von Menschen in industrieller Umgebung zu schützen.
Der Ausdruck "Sicherheit", wie er hier verwendet wird, soll nicht eine Darstellung dafür sein, daß die Erfindung einen industriellen Prozess sicher macht oder daß andere Systeme einen unsicheren Betrieb hervorbringen. Die Sicherheit eines industriellen Prozesses hängt von einer Vielfalt von Umständen ab, die außerhalb der Reichweite der Erfindung liegen, einschließlich: Ausführung des Sicherheitssystems, Installation und Wartung der Komponenten des Sicherheitssystems sowie Kooperation und Training der das Sicherheitssystem benutzenden einzelnen Personen. Obgleich die Erfindung hoch zuverlässig sein soll, sind alle physikalischen Systeme gegenüber Störungen anfällig, und gegenüber derartigen Störungen muß Vorsorge getroffen werden.
Es wird jetzt auf Fig. 1 Bezug genommen. Ein Industriesteuerungssystem 10 zum Implementieren eines Sicherheitssystems mit der Erfindung enthält ein Chassis 11, das ein Steuermodul 12 trägt, welches über eine Rückebene 15 des Chassis 11 mit einem Eingabemodul 14 und einem Ausgabemodul 16 kommuniziert. Alternativ kann die Rückebene 15 ein Seriellnetzwerk sein, das mit Fernkomponenten gemäß Methoden kommuniziert, die nach dem Stand der Technik allgemein bekannt sind. Die Rückebene 15 kann mehrere parallele Spuren 17 oder eine einzige serielle Spur aufweisen, die mit einer Anzahl elektrischer Leiter 13 in Verbindung stehen, beziehungsweise steht, die mit entsprechenden Leitern 13' auf der Rückseite der Module 12, 14 und 16 eine Verbindung herstellen können. Die Rückebene 15 kann auf diese Weise an die unten beschriebene verbundene Nachrichtenübermittelung angepaßt sein. Obgleich elektrische Kommunikation für Netzwerke oder Rückebenen üblich ist, können auch faseroptische oder drahtlose Kommunikationstechnologien die Basis für die Rückebene der Erfindung bilden.
Die Rückebene 15 kann auch ein standardisiertes und allgemein übliches Seriellprotokoll hoher Geschwindigkeit benutzen, einschließlich, aber nicht begrenzt auf: Ethernet, DeviceNet, ControlNet, Firewire oder FieldBus. Die Rückebene 15 kann optional mit einer Brücke 21 in Verbindung stehen, die zwischen verschiedenen der obigen Standards oder anderen Protokollen auf einem Seriellnetzwerk 23 eine Übersetzung vorsieht. Wie aus dem Nachfolgenden hervorgeht, kann die Erfindung sehr leicht an Brückenanwendungen angepaßt werden.
Das Eingabemodul 14 kann Eingabesignale 18 (an in gleicher Weise bezeichneten Leitungen) annehmen, die über die Rückebene 15 zur Industriesteuerung 12 kommuniziert werden. Bei der Industriesteuerung 12 können die Signale 18 unter einem Steuerprogramm verarbeitet werden, das ein Sicherheitssystem implementiert (wie beispielsweise eine Maschinenaussperrung oder ein Not-Stop), und weitere Signale können zum Ausgabemodul 16 gesendet werden, das Ausgabesignale 20 (an in gleicher Weise bezeichneten Leitungen) für einen Aktor 22 erzeugen kann.
Die Eingabesignale 18 können von einem Schalter 19 kommen, bei dem es sich um irgendeines einer Vielzahl von Geräten handeln kann, die Sicherheitseingabesignale erzeugen, einschließlich, aber nicht begrenzt auf Not-Aus-Schalter, Verriegelungsschalter, Lichtschranken und andere Näherungsdetektoren. Der Aktor 22 kann ein Relais, ein Solenoid, ein Motor, ein Enunziator, eine Lampe oder ein Gerät sein, das eine Sicherheitsfunktion implementiert.
Mit der Rückebene 15 ist auch ein Standardcomputer verbunden, der als ein Konfigurationsterminal 24 (nicht gezeigt) verwendet werden kann, dessen Zwecke weiter unten noch beschrieben werden.

Redundante Systemhardware

Es wird jetzt auch auf Fig. 2 Bezug genommen. Der Schalter 19 kann redundante Signale 18a und 18b hervorrufen, wobei das Signal 18a beispielsweise von einem ersten Kontakt innerhalb des Schalters 19 und das Signal 18b von einem zweiten unabhängigen Kontakt innerhalb des Schalters 19 stammt. Die Kontakte können die selbe Logik (wie gezeigt) haben, nämlich (wie gezeigt) beide normalerweise geöffnet (beispielsweise bei Betätigung einer Drucktaste 26 geschlossen), oder sie können eine invertierte Logik haben, bei der ein Kontakt normalerweise geöffnet und ein Kontakt normalerweise geschlossen ist. In jedem der beiden Fälle werden redundante Signale 18a und 18b erzeugt, um bei der Bestimmung des Zustands des Schalters 19 eine höhere Zuverlässigkeit zu erreichen.
Das Eingabemodul 14 kann redundante Schnittstellenschaltungen 28a und 28b zum Empfangen des Signals 18a beziehungsweise zum Empfangen des Signals 18b aufweisen. Alternativ, obgleich nicht gezeigt, können die Schnittstellenschaltungen 28a und 28b jeweils beide Signale 18a und 18b (für einen internen Vergleich) empfangen, oder sie können Signale 18a und 18b von einem einzigen Kontakt empfangen. Zum Erzeugen der Signale 18a und 18b kann jeder der Kontakte von der Eingabeschaltung 28a und 28b oder von einer gemeinsamen Spannungsquelle (nicht gezeigt) mit einer separaten Spannung versorgt werden. Andere redundante Abwandlungen von diesen Verdrahtungssystemen, die allgemein gut bekannt sind, können ebenfalls angewendet werden.
Jede der Schnittstellenschaltungen 28a und 28b kann wiederum Signale für zugeordnete Mikrosteuerungen 30a und 30b vorsehen. Die Mikrosteuerungen 30a und 30b sehen einen Computerprozessor, Speicher und ein gespeichertes Programm zum Ausführen von Sicherheitsprotokollprogrammen vor, wie es unten beschrieben wird. Alternativ oder zusätzlich kann das Sicherheitsprotokoll von Sicherheitsprotokollschaltungen 32 ausgeführt werden, mit denen die Mikrosteuerungen 30a und 30b kommunizieren. In diesem Fall können die Sicherheitsprotokollschaltungen 32a und 32b anwendungsspezifische integrierte Schaltungen (ASIC) sein. Wie es allgemein gut bekannt ist, können Protokolle durch Hardware oder Software oder Kombinationen von beiden implementiert werden. Der Begriff "Protokollgerät" oder "Protokolleinrichtung", wie er hier und in den Ansprüchen benutzt wird, ist deshalb so zu verstehen, daß darunter im allgemeinen irgendeine Kombination aus Software- und Hardwarekomponenten zu verstehen ist, die die angegebenen Funktionen implementieren.
Die Mikrosteuerungen 30a und 30b können miteinander über einen internen Bus 34 kommunizieren, um die Signale 18a und 18b zu vergleichen, wie es beschrieben wird.
Die Mikrosteuerungen 30a und 30b und die Sicherheitsprotokollschaltungen 28a und 28b sind wiederum an Standardnetzwerk-Protokollschaltungen 36a und 36b angeschlossen, die allgemein bekannt sind und das Low-Level-Protokoll der Standardrückebene 15 handhaben. Die Standardnetzwerk-Protokollschaltungen 36a und 36b sind typischerweise durch einen ASIC implementiert, dessen Implementation eine beträchtliche Entwicklungszeit darstellt und der nicht leicht modifiziert werden kann. Die Standardnetzwerk-Protokollschaltungen 36a und 36b übertragen Signale vom Eingabemodul 14 auf die Rückebene 15 zum Empfang durch die Steuerung 12 über ähnliche Standardnetzwerk-Protokollschaltungen 38a und 38b.
Alternativ kann das Eingabemodul 14 redundante Schnittstellenschaltungen 28a und 28b enthalten, die die Signale 18a und 18b empfangen und über einen Bus mit einer einzigen zugeordneten Mikrosteuerung 30a verbunden sind, die das Sicherheitsprotokoll in Software implementiert und mit einer einzigen Standardnetzwerk-Protokollschaltung 36a verbunden ist, und zwar gemäß einer herkömmlichen Eingabemodularchitektur. Der kritische Umstand ist, daß die nicht redundante Hardware ein hinreichendes Niveau von Integrität vorsieht. Im Falle der Übertragung mehrfacher Nachrichten werden diese Nachrichten von der Standardnetzwerk-Protokollschaltung 38 verarbeitet und den redundanten Sicherheitsprotokollschaltungen 40a und 40b anvertraut, die ähnlich zu den zuvor beschriebenen Sicherheitsprotokollschaltungen 32a und 32b sind. Diese Sicherheitsprotokollschaltungen 40a und 40b kommunizieren mit Prozessoren 42a beziehungsweise 42b, die separate Speichersysteme und Steuerprogramme in Übereinstimmung mit allgemein bekannter Redundanztechnik enthalten und die miteinander über einen internen Bus 34' kommunizieren. Von den Prozessoren 42a und 42b erzeugte Ausgabesignale können durch die Sicherheitsprotokollschaltungen 40a und 40b zurück kommuniziert werden, um das Sicherheitsprotokoll zu implementieren, wie es unten beschrieben wird (oder alternativ kann das Sicherheitsprotokoll von den Prozessoren 42a und 42b gehandhabt werden), und die Ausgabesignale können zur Übertragung wiederum auf der Rückebene 15 zum Ausgabemodul 16 zu den Standardnetzwerk-Protokollschaltungen 38a und 38b kommuniziert werden.
Im Falle der Übertragung einer einzigen Nachricht wird diese Nachricht von der Standardnetzwerk-Protokollschaltung 38 verarbeitet und wird nach einer Version direkt einem einzigen Prozessor 42a zugeführt, der ein Ausgabesignal erzeugt, das zur Übertragung wiederum über die Rückebene 15 zum Ausgabemodul 16zurück durch die Standardnetzwerk-Protokollschaltungen 38a kommuniziert wird. Das Sicherheitsprotokoll kann direkt vom Prozessor 42a gehandhabt werden. Die anderen Komponenten, wie der Prozessor 42b werden weggelassen. Bei Verwendung redundanter Nachrichten kann das Ausgabemodul 16 Ausgabedaten über Standardnetzwerk-Protokollschaltungen 44a und 44b empfangen, die ähnlich zu den Standnetzwerk-Protokollschaltungen 36a und 36b und 38a und 38b sind. Die Standardnetzwerk-Protokollschaltungen 44a und 44b liefern die Daten zu Sicherheitsprotokollschaltungen 46a und 46b, die sie wiederum redundanten Steuerungen 48a und 48b zuführen. Wie zuvor kann statt dessen alternativ das Sicherheitsprotokoll von den Steuerungen 48a und 48b gehandhabt werden. Die Steuerungen 48a und 48b kommunizieren über einen internen Bus 34" und sehen wiederum Signale für Schnittstellenschaltungen 50a und 50b vor, die dann Ausgabesignale 20a und 20b liefern. Die Ausgabesignale können mit dem Aktor 22 verbunden sein, so daß Ausgaben für den mit Energie zu versorgenden Aktor 22 freigegeben werden müssen. In diesem Sinne wird ein voreingestellter Sicherheitszustand erzeugt (keine Energie zum Aktor 22), wenn zwischen den von den Prozessoren 48a und 48b empfangenen Signalen eine Inkonsistenz besteht. Eine Änderung in der Verdrahtung zu Parallelkonfigurationen könnte einen Sicherheitszustand hervorrufen, bei dem der Aktor betätigt ist, falls nicht beide von den Prozessoren 48a und 48b empfangenen Signale nicht freigegeben sind.
Alternativ, und wie es beschrieben wird, kann ein Sicherheitszustand durch ein Sicherheitszustandssignal erzwungen werden, das von der Steuerung 12 oder dem Eingabemodul 14 zu den Mikrosteuerungen 48a und 48b des Ausgabemoduls 16 übermittelt wird, das durch Erzeugen von Ausgaben zu Ausgabeschnittstellenschaltungen 50a und 50b antworten kann, und zwar festgelegt durch gespeicherte Werte von erwünschten Sicherheitszuständen, die durch das Konfigurationsterminal 24 programmiert worden sind, wie es weiter unter noch beschrieben wird.
Wenn eine einzige Nachricht über die Rückebene 15 verarbeitet wird, kann das Ausgabemodul 16 Ausgabedaten über eine einzige Standardnetzwerk-Protokollschaltung 44a empfangen und sie direkt der Steuerung 48a zuführen, und das Sicherheitsprotokoll kann von den Steuerungen 48a gehandhabt werden. Die Steuerung 48a kann wiederum zwei Signale für Ausgabeschnittstellenschaltungen 50a und 50b vorsehen, die die Ausgabesignale 20a und 20b liefern.
Eine Brückenschaltung 17 könnte nach der Erfindung die im Eingabemodul 14 dargestellte Grundstruktur verwenden, wobei aber die Schnittstellenschaltung 28a und 28b des Eingabemoduls mit den Netzwerkprotokollschaltungen 38a und 38b und den Sicherheitsprotokollschaltungen von 40a und 40b ersetzt werden (wobei die Netzwerkprotokollschaltungen 38 und 36 für unterschiedliche Protokolle sind, wodurch eine nahtlose Übertragung von Sicherheitsdaten gemäß den unten beschriebenen Techniken zugelassen wird).
Alternativ, wenn eine einzige Nachricht verwendet wird, könnte die Brückenschaltung 17 eine einzige Netzwerkprotokollschaltung für ein Netzwerk verwenden, die direkt über einen einzigen Prozessor mit einer einzigen Netzwerkprotokollschaltung für das zweite Netzwerk nach der Art von Standardbrückenschaltungen kommuniziert.
Eine von der Erfindung in Betracht gezogene alternative Ausführung gestattet eine direkte Kommunikation zwischen dem Eingabemodul 14 und dem Ausgabemodul 16 ohne das Eingreifen der Steuerung 12 oder für Systeme ohne Steuerungen 12. In diesem Fall kommunizieren die Netzwerkprotokollschaltungen 36 (oder eine einzige Netzwerkprotokollschaltung 36) direkt mit Netzwerkprotokollschaltungen 44 (oder einer einzigen Netzwerkprotokollschaltung 44).
Es wird jetzt auf Fig. 3 Bezug genommen. Das spezialisierte redundante Eingabemodul 14 in der Erfindung kann ersetzt werden durch zwei Standardeingabemodule 14a und 14b, wobei das Eingabemodul 14a die Entsprechung der zuvor beschriebenen Schnittstellenschaltung 28a, Mikrosteuerung 30a, Sicherheitsprotokollschaltung 32a und Standardnetzwerk-Protokollschaltung 36a enthält und das Eingabemodul 14b die Entsprechung der Schnittstellenschaltung 28b, Mikrosteuerung 30b, Sicherheitsprotokollschaltung 32b und Standardnetzwerk-Protokollschaltung 36b enthält. In diesem Fall wird der Betrieb der Sicherheitsprotokollschaltungen 32a und 32b durch die Firmware der Mikrosteuerungen 30a und 30b implementiert und über Nachrichten, die über die Rückebenen 15 anstatt über den internen Bus 34 kommuniziert werden, bewirkt. Wird eine einzige Nachricht verwendet, kann ein spezialisiertes redundantes Eingabemodul 14 durch ein Standardeingabemodul 14a ersetzt werden.
Gleichermaßen kann unter Bezugnahme auf Fig. 4 die Redundanz des Ausgabemoduls 16 durch separate Ausgabeschaltungen 16a und 16b implementiert werden, wobei das Ausgabemodul 16a die Entsprechung der Standardnetzwerk- Protokollschaltungen 44, Sicherheitsprotokollschaltung 46a, Mikrosteuerung 48a und Ausgabeschnittstellenschaltung 50a enthält und das Ausgabemodul 16b die Entsprechung der Standardnetzwerk-Protokollschaltungen 44 als 44', Sicherheitsprotokollschaltung 46b, Mikrosteuerung 48b und Ausgabeschnittstellenschaltung 50b enthält. Oder, wenn einzige Nachricht verwendet wird, kann eine spezialisiertes redundantes Ausgabemodul 16 durch ein Standardausgabemodul 16a ersetzt werden.
Wie unten beschrieben wird, sieht die Erfindung ein Protokoll vor, das gegenüber dem exakten Parsing der Sicherheitskomponenten unter physikalischen Geräten mit Adressen auf der Rückebene 15 indifferent ist.
Es wird jetzt auf Fig. 5 und 2 Bezug genommen. Der Betrieb der Sicherheitsprotokollschaltungen 32 (oder ihrer Software-Implementation) und der Standardnetzwerk-Protokollschaltung 36 in der Eingabeschaltung 14 ist es, Eingabedaten 52 von den Leitungen 18b innerhalb eines Sicherheitsnetzwerkprotokolls 54 einzubetten, das implementiert ist sowohl als zusätzliche Daten, die an über die Rückebene 15 übermittelte Nachrichten angebracht sind, als auch im Management dieser Daten, wie es beschrieben wird. Das Sicherheitsnetzwerkprotokoll 54 ist wiederum in das Standardnetzwerkprotokoll 56 zur nahtlosen Übertragung über die Rückebene 15 eingekapselt.

Das Sicherheitsnetzwerkprotokoll

Es wird jetzt auf Fig. 5 und 2 Bezug genommen. Die Betriebsweise der Sicherheitsprotokollschaltungen 32, 40 und 46 (oder ihrer Software-Implementationen, wie es von jetzt an ohne weitere Wiederholung verstanden werden soll) ist in Verbindung mit den Standardnetzwerk-Protokollschaltungen 36, 38 und 44 für irgendeine dieser Ausführungsformen derart, daß Sicherheitsdaten 52 (beispielsweise von Leitungen 18b) innerhalb eines Sicherheitsnetzwerkprotokolls 54 eingebettet werden, das sowohl als zusätzliche Daten, die an über die Rückebene 15 übermittelten Sicherheitsdaten 52 angebracht sind, und im Management der Besonderheiten der Übertragung dieser Sicherheitsdaten 52 implementiert ist. Das Sicherheitsnetzwerkprotokoll 54 ist seinerseits in das Standardnetzwerkprotokoll 56 zur nahtlosen Übermittlung über die Rückebene 15 eingekapselt.
Die in das Sicherheitsnetzwerkprotokoll 54 und Standardnetzwerkprotokoll 56 eingekapselten Daten können dann empfangen werden (beispielsweise durch die Steuerung 12) und durch den aufeinanderfolgenden Betrieb der Standardnetzwerk-Protokollschaltungen 36, 38 und 44 und der Sicherheitsprotokollschaltungen 32, 40 und 46 extrahiert werden, um die Sicherheitsdaten 52 in ihrem Grundzustand vorzusehen. Es sei bemerkt, daß Fig. 5 lediglich eine symbolische Darstellung des Prozesses und daß das Sicherheitsnetzwerkprotokoll 54 nicht einfach eine Einkapselung der Daten 52 innerhalb beispielsweise der Sicherheitsdatenkopfabschnitte ist, sondern daß vielmehr das Sicherheitsprotokoll zeitliche Beschränkungen enthält, die sequentiell mit dem Standardnetzwerkprotokoll 56 ausgeführt werden können, so daß das Sicherheitsnetzwerkprotokoll 54 innerhalb des Standardnetzwerkprotokolls 56 ohne Modifikation der Rückebene 15 oder der Standardnetzwerk-Protokollschaltungen 36, 38 und 44 betrieben werden kann. Diese Dual-Level-Einkapselung und -Entkapselung werden für jede Übertragung von Sicherheitsdaten 52 auf der Rückebene 15 durchgeführt, die ein Sicherheitssystemen entsprechendes hohes Niveau an Zuverlässigkeit erfordern. Für Nicht- Sicherheitssystemdaten kann man das Standardnetzwerkprotokoll 56 alleine ohne das Sicherheitsnetzwerkprotokoll 54 für die Kommunikation mit Nicht-Sicherheitselementen des Industriesteuerungssystems 10 verwenden. Weil alle über die Rückebene 15 übertragenen Daten in das Standardnetzwerkprotokoll 56 eingebettet sind, arbeitet das Sicherheitsnetzwerkprotokoll 54 nahtlos mit einer Vielzahl von Netzwerken 15 unter der Voraussetzung, daß sie eine Datenübertragungskapazität haben, die für Sicherheitsdaten 52 geeignet ist, und hinreichend Kapazität haben, um einige zusätzliche Sicherheitsfehler-Detektionsdaten 58 des Sicherheitsnetzwerkprotokolls 54 zu akzeptieren, wie es beschrieben wird.

Sicherheitsnachrichtenformatierung

Generell kann das Sicherheitsprotokoll eine Vielfalt unterschiedlicher Mechanismen vorsehen, um sicherzustellen, daß übertragene Daten frei von nicht detektierten Fehlern sind. Ein Standard für eine nicht detektierte Fehlerrate, der nach der Erfindung wünschenswerter Weise erreicht werden soll, ist weniger als 10^-7 nicht entdeckte Fehler pro Stunde oder weniger als 10^-3 nicht entdeckte Fehler pro Anforderung oder Nachfrage. Die besonderen Typen von Fehlern und die besonderen Methoden zum Detektieren dieser Fehler können unterschiedlich sein, solange die Zuverlässigkeit der über die Brücke/Rückebene übertragenen Daten mit derjenigen eines theoretischen fest verdrahteten Sicherheitssystems oder der durch anwendbare Vorschriften geforderten Fehlerrate übereinstimmt.
Zu den Kommunikationsfehlern, die detektiert werden können, gehören:
(1) Nachrichtenwiederholung, (2) Nachrichtenverlust einschließlich Nachrichtenverzögerung, (3) Nachrichteneinfügung, (4) unrichtige Nachrichtenfolge, (5) Nachrichtenstörung und (6) Nachrichtenfehlleitung. Die Mechanismen, die zum Detektieren dieser Fehler verwendet werden, können umfassen: (a) Zeitstempelung der Nachrichten, (b) Senden der Nachrichten nach einem regulären Plan und Anwenden eines Watchdog- oder Überwachungszeitgebers hinsichtlich des Nachrichtenempfangs, (c) positive Identifikation des Senders und des Empfängers, die in die Nachrichten einbezogen sind, (d) zyklische Redundanzcodierung (CRC) oder andere Fehlerkorrekturcodes, die in die Nachricht eingebettet sind, einschließlich Senden des Komplements der Nachricht, (e) mehrfaches Senden der Nachricht, (f) Rücksenden der Nachricht vom Empfänger und (g) Verwendung einer Nachrichtenfolgenummer. Diese Mechanismen bilden das Sicherheitsnachrichtenprotokoll.
Eine Nachrichtenwiederholung kann durch den Betrieb einer Brücke verursacht werden und stellt notwendigerweise keinen Fehler dar, da die E/A-Schaltung ein Überschreiben von Daten gestatten kann. Eine wiederholte Nachricht wird allerdings keinen aktualisierten Zeitstempel haben, weil lediglich der ursprüngliche Erzeuger den Zeitstempel aktualisieren kann und somit einen Fehler registrieren kann.
Ein Nachrichtenverlust rührt von Nachrichten, die niemals empfangen worden sind, oder von denjenigen, die später als im Zeiterfordernis empfangen worden sind. Frühzeitig empfangene Nachrichten werden nicht als Fehler behandelt. Nachrichtenverzögerungen ergeben sich aus dem Empfang von Nachrichten jenseits eines erwarteten Zeitintervalls und sind ein Spezialfall eines Nachrichtenverlustes.
Eine Nachrichteneinfügung ist eine Extranachricht, die sonst nicht der Buchführung unterliegt. Sie kann durch einen unerwarteten Wert des Zeitstempels oder eine eindeutige Identifikation des Senders und Empfängers erfaßt werden, wie es unten beschrieben wird (wenn sie das Ergebnis eines Adressierungsfehlers ist).
Eine unrichtige Sequenz oder Folge wird dadurch verursacht, daß Nachrichten ihre relative Reihenfolge zwischen der Zeit, in der sie ausgesendet werden, und der Zeit, in der sie empfangen werden, ändert, was aus Netzwerkverzögerungen resultieren kann. Solche Nachrichten können durch ihre unerwarteten Zeitstempel detektiert werden.
Eine Nachrichtenstörung resultiert aus der Änderung eines oder mehrerer Nachrichtenbits in der Nachricht (beispielsweise verursacht durch Interferenz oder Hardware-Probleme) während der Übertragung und kann durch einen Fehlerkorrekturcode detektiert werden, wie es unten beschrieben wird, und durch Aussenden des Komplements der ursprünglichen Daten zusammen mit den ursprünglichen Daten.
Fehlgeleitete Nachrichten sind Nachrichten, die zu der falschen Adresse gelangen. Sie erzeugen detektierbare Fehler, wie Nachrichtenverlust, Nachrichteneinfügung, Nachrichtenwiederholung, Zeitstempelfehler und Nachrichtenverzögerung. Es wird jetzt auf Fig. 6 Bezug genommen. Ein erster Aspekt des Sicherheitsnetzwerkprotokolls 54 ist, daß die Sicherheitsdaten 52 (typische E/A-Daten, die auf eine Sicherheitsanwendung bezogen sind) an den Sicherheitsfehlerdetektionsdaten 58 angebracht sind, um eine Sicherheitsnachricht 60 zu bilden, die die Daten bildet, welche für die Standardnetzwerk-Protokollschaltungen 36, 38 und 44 vorgesehen sind, um eine Netzwerknachricht 61 zu erzeugen. Die Sicherheitsfehlerdetektionsdaten 58 können einen Zeitstempel (nicht gezeigt) beinhalten, der die Zeitübertragung der Sicherheitsdaten 52 anzeigt und einen Folge- oder Sequenzzählwert, der die örtliche Reihenfolge angibt, in welcher die Sicherheitsnachricht 60 in Bezug auf vorangegangene Übertragungen von Sicherheitsnachrichten übertragen wird. Der Sequenzzählwert ist normalerweise auf einen Bereich (0 bis 3) begrenzt, um, wie es beabsichtigt ist, den Verlust von nur einer einzigen Nachricht zu detektieren.
Ebenfalls angehängt an die Sicherheitsdaten 52 und ein Teil der Sicherheitsfehlerdetektionsdaten 58 ist ein zyklischer Redundanzcode (CRC), der bei der bevorzugten Ausführungsform derart ausgewählt ist, daß er acht bis 16 Bits in Abhängigkeit von der Größe der Nachricht ausmacht. Der zyklische Redundanzcode wird aus den Sicherheitsdaten 52 funktionell so erzeugt, daß ein Fehler in der Übertragung detektiert werden kann, wenn der CRC vom Empfangsgerät wieder berechnet wird und nicht übereinstimmt. Ein separater CRC kann für die anderen Parameter der Nachricht verwendet werden, beispielsweise den Zeitstempel und die Sequenznummer der Sicherheitsfehlerdetektionsdaten 58.
Die Sicherheitsdaten 52 können an den komplementären Sicherheitsdaten (nicht gezeigt) in der selben Sicherheitsnachricht 60 angebracht sein, wobei bei den komplementären Sicherheitsdaten jeweils eine "1" der Sicherheitsdaten 52 durch eine "0" ersetzt ist und umgekehrt. Ein separater CRC ist für diese komplementären Sicherheitsdaten vorgesehen. Die komplementären Daten helfen bei der Detektion von Low-Level-Hardwarefehlern oder Hardwarefehlern auf unterer Ebene, wie beispielsweise in Zwischenspeichern "steckengebliebene Bits" und dergleichen. Zusätzliche Modus- und Zeitgabedaten können an der Nachricht 60 angebracht werden, um ihren Zustand als Einzelwurf- oder Mehrwurfnachricht anzuzeigen, um verschiedenartige Fehlerzustände anzuzeigen und/oder einen Pingzähler vorzusehen, der verwendet wird, um Netzwerkverzögerungen zu messen.
Die Sicherheitsnachricht 60 ist in Netzwerkkopf- und -fußabschnitte 62 und 64 eingebettet, die sich in Abhängigkeit vom Standardnetzwerkprotokoll 56 der Rückebene 15 ändern. In Abhängigkeit von der Rückebene 15 können die Netzwerkkopf- und -fußabschnitte 62 und 64 einen CRC-Code und Sequenzzählwert und andere ähnliche Sicherheitsfehlerdetektionsdaten 58 enthalten, die mit den Scherheitsfehlerdetektionsdaten 58 redundant arbeiten. Dennoch enthält die Sicherheitsnachricht 60 ihre eigenen Sicherheitsfehlerdetektionsdaten 58, daß sie bis zu dem möglichen Grad vollständig netzwerkunabhängig ist.
Die obigen Maßnahmen gestatten die Detektion von (1) einer Nachrichtenwiederholung, (2) einem Nachrichtenverlust, (3) einer Nachrichteneinfügung, (4) einer unrichtigen Nachrichtenfolge und (5) einer Nachrichtenstörung, wie es unten beschrieben wird.

Verbundene Nachrichtenübermittlung

Wie oben erwähnt, bilden die Sicherheitsfehlerdetektionsdaten 58 nur einen Teil des Sicherheitsnetzwerkprotokolls 54. Das Sicherheitsnetzwerkprotokoll 54 enthält auch einen Konfigurationsschritt, der unter einem Verbunden-Nachrichtenübermittlungsschema oder Konnektionsnachrichtenübermittlungsschema eine geeignete Kommunikation sicherstellt. Unter Bezugnahme auf Fig. 9 können die Kommunikationen zwischen der Steuerung 12, dem Eingabemodul 14 (oder den Eingabemodulen 14a und 14b) und dem Ausgabemodul 16 (oder den Ausgabemodulen 16a und 16b) ein Verbunden-Nachrichtenübermittlungssystem oder Konnektionsnachrichtenübermittlungssystem vorsehen. Wie es allgemein bekannt ist, umfaßt eine Verbunden-Nachrichtenübermittlung das Eröffnen einer Verbindung zwischen Paaren von Logikgeräten, von denen das eine als "Erzeuger" einer Nachricht und das andere als "Verbraucher" einer Nachricht wirkt. Der Prozess des Eröffnens der Verbindung reserviert Bandbreite des Netzwerks und reserviert notwendige Verarbeitungs- und Zwischenspeicherresourcen beim Erzeuger und Verbraucher, um sicherzustellen, daß Daten der Verbindung zuverlässig ausgesendet und empfangen werden.
Das Verbunden-Nachrichtenübermittlungsprotokoll kann implementiert werden als ein Teil des Sicherheitsnetzwerkprotokolls 54 oder als ein Teil des Standardnetzwerkprotokolls 56, wobei die zuletzt genannte Option die Typen von Standardnetzwerken 15, die man verwenden kann, etwas begrenzt. Einige Standardnetzwerkprotokolle, die Verbunden-Nachrichtenübermittlung unterstützen, sind DeviceNet und ConrolNet, Ethernet und ATM.
Bezugnehmend auf Fig. 9 sieht unter einem Verbunden-Nachrichtenübermittlungsprotokoll und nach einem ersten Ausführungsbeispiel mit Verwendung redundanter Nachrichtenübermittlung das Eingabemodul 14 zwei Erzeuger (P) 80 vor, die zwei Verbindungen mit zwei Verbrauchern (C) 82 der Steuerung 12 eröffnen, und zwar jeweils eine für jede der Signale 18a und 18b. Aus praktischer Sicht bedeuten diese beiden Verbindungen, daß zwei separate Netzwerknachrichten 61 über die Rückebene 15 gesendet werden, wodurch die Chance des Verlustes beider Nachrichten vermindert wird.
Für die Implementation von Fig. 3 mit separaten Eingabemodulen 14a und 14b sind auch zwei Erzeuger 80 vorgesehen. Obgleich die Erzeuger 80 jetzt in unterschiedlichen Geräten (mit unterschiedlichen Adressen auf der Rückebene 15) sind, muß der Betrieb des Steuerprogramms, das das Sicherheitssystem implementiert, oberhalb der Verbindungsebene durch diese Änderungen in der Implementation nicht geändert werden. Verbunden-Nachrichtenübermittlung macht somit das Sicherheitssystem weitgehend unempfindlich gegenüber Topologien wie das Vorsehen einer natürlichen Redundanz über ein einziges Netzwerk oder Mehrfach-Verbindungen oder -Links.
Gleichermaßen enthält die Steuerung 12 zwei Erzeuger 80, die Daten mit Verbrauchern 82 entweder in einem einzigen Ausgabemodul 16 nach Fig. 2 oder in separaten Ausgabemodulen 16a und 16b nach dem Ausführungsbeispiel nach Fig. 4 austauschen. Zwei Pfeile sind zwischen jedem Erzeuger 80 und Verbraucher 82 dargestellt, die das Paaren jeder Nachricht mit einer Bestätigungsnachricht unter dem Sicherheitsprotokoll 54 anzeigen, wie es unten beschrieben wird, nach Fig. 9.
Die Brückenschaltung 17, in Fig. 9 nicht gezeigt, aber wie oben beschrieben, würde vier Verbraucher und vier Erzeuger (zwei für jede Netzwerkseite) implementieren, wie es für einen Fachmann augenscheinlich ist.
Alternativ kann das Eingabemodul 14 einen Erzeuger 80 vorsehen, der eine Verbindung mit einem Verbraucher 82 der Steuerung 12 eröffnet, und zwar für ein einziges hoch zuverlässiges Signal 18a, so daß lediglich eine Netzwerknachricht für jedes Eingabesignal übermittelt wird. Gleichermaßen kann die Steuerung 12 einen einzigen Erzeuger 80 enthalten, der Daten mit einem einzigen Verbraucher 82 für jedes der Ausgabesignale austauscht. Diese Möglichkeit vereinfacht in einem hohen Maße die Implementation des Sicherheitssystems.

Sicherheitskonfigurationsdaten und -protokoll

Es wird jetzt auf Fig. 10 Bezug genommen. Das Sicherheitsprotokoll umfaßt im allgemeinen einen Initialisierungszustand, dessen erster Schritt die Entwicklung von Konfigurationsdaten ist, wie es durch einen Prozessblock 66 angedeutet ist. Der Konfigurationsprozess umfaßt die Entwicklung von Konfigurationsdaten beim Konfigurationsterminal 24 und die Sicherstellung, daß genaue Kopien dieser Konfigurationsdaten jeweils beim Eingabemodul 14, der Steuerung 12 und dem Ausgabemodul 16 vorliegen. Die Konfigurationsdaten sind eindeutig für jede Verbindung, sehen wesentliche Komponenten des Sicherheitsprotokolls vor und identifizieren miteinander kommunizierende Parteien, um die Möglichkeit ungeeigneter Verbindungen zu vermindern, die falsche Daten in das Sicherheitssystem (Nachrichtenfehlleitung) injizieren. Dies ist insbesondere wichtig, wenn das Mischen von Systemkomponenten, die das Sicherheitsnetzwerkprotokoll 54 observieren, mit Standardkomponenten, die lediglich das Standardnetzwerkprotokoll observieren, zugelassen wird. Geräte können Mehrfachverbindungen unterstützen, in welchem Fall Mehrfachkonfigurationsdaten, die für jede Verbindung spezifisch sind, verwendet werden.
Die Konfigurationsdaten enthalten generell Daten (das heißt, einen Sicherheitskonfigurationskonsistenzwert (SCCV)), die das besondere Gerät des Eingabemoduls 14, der Steuerung 12 und des Ausgabemoduls 12, das die Konfigurationsdaten hält, identifiziert, und insbesondere die Seriennummer dieses Geräts. Die Seriennummer ist ein eindeutiger und unveränderlicher Teil der physikalischen Geräte, und die Seriennummer sieht deshalb zusammen mit einer internen Adresse der logischen Geräte innerhalb des physikalischen Geräts (das unabhängige Verbindungen erstellen kann) jede Verbindung mit einer eindeutigen Identität vor, die die Möglichkeit von Querverbindungen zwischen unterschiedlichen Geräten eliminiert, sobald die Konfigurationsdaten sich in geeigneter Weise verbreitet haben. Um die Seriennummer zu erweitern, können die Konfigurationsdaten auch eine Händleridentifikationsnummer, einen Gerätecode, einen Produktcode, eine Hauptrevision, eine Nebenrevision sowie auch Netzwerkdaten enthalten, einschließlich der logischen, physikalischen Adresse des Geräts, wie es allgemein bekannt ist und zur Identifikation des besonderen Geräts dient. Gleichermaßen können die Konfigurationsdaten innerhalb eines Geräts die Seriennummer des Geräts, mit dem es verbunden ist, enthalten.
Wie erwähnt, können die Verbindungsdaten auch Daten enthalten, die zur Implementation der anderen Aspekte des Sicherheitsprotokolls notwendig sind, welche noch zu beschreiben sind, einschließlich Variabler vom "Periodenzeitintervall", vom "Erwiderungszeitgeberintervall", von der "Filterzahl" und von der "Wiederholungsgrenze". Die Konfigurationsdaten enthalten auch den Sicherheitszustand, in den das Gerät im Falle eines Netzwerkfehlers zurückgeht, und eine Liste verwandter oder bezogener E/A-Punkte, die andere E/A-Punkte anzeigt (bezogen auf andere Verbindungen), die zum Sicherheitszustand zurückkehren müssen, wenn die derzeitige Verbindung einen Fehler hat. Die zuletzt beschriebene Maßnahme gestattet eine selektive und intelligente Deaktivierung des Sicherheitssystems aufgrund eines Kommunikationsfehlers, wie es beschrieben werden wird. Wie es aus dem Kontext augenscheinlich ist, hängen einige dieser Daten von den Geräten ab und einige muß der Systemprogrammierer entwickeln.
Es wird auf Fig. 7 Bezug genommen. Die Konfigurationsdaten, die innerhalb des Konfigurationsterminals 24 gespeichert sind, werden jeweils zum Eingabemodul 14, der Steuerung 12 und dem Ausgabemodul 16 als Nachrichten 66a, 66b und 66c übermittelt.
Das empfangende Eingabemodul 14, die empfangende Steuerung 12 und das empfangende Ausgabemodul 16 speichern die Konfiguration und antworten mit derselben Konfigurationsnachricht. Wenn die Konfigurationen der Nachrichten 66a, 66b und 66c genau mit den Konfigurationsdaten von Nachrichten 66d, 66e und 66f übereinstimmen, war die Konfiguration erfolgreich.
Die Konfigurationsdaten können einem menschlichen Operateur oder Bediener zur Bestätigung angezeigt werden. Falls der Bediener die Konfiguration für richtig erachtet, wird die Konfiguration angewendet, wie es in einem in Fig. 10 dargestellten Prozess 68 gezeigt ist, und zwar durch Nachrichten 68a, 68b und 68c vom Konfigurationsterminal 24 jeweils an das Eingabemodul 14, die Steuerung 12 und das Ausgabemodul 16. Die Geräte müssen diese Nachrichten durch Nachrichten 68d, 68e und 68f innerhalb eines vorbestimmten Zeitintervalls bestätigen, oder die Konfiguration wird gelöscht und es wird davon ausgegangen, daß keine Konfiguration aufgetreten ist. Die Konfigurationsdaten der Nachrichten 66 und 68 können übermittelt werden, lediglich unter Verwendung des Standardnetzwerkprotokolls 56.
Sobald die Konfiguration vervollständigt ist, tritt das Sicherheitsprotokoll in eine Anlauf- oder Startphase ein, die in Fig. 8 und 10 allgemein dargestellt ist. Während der Startphase werden die notwendigen Sicherheitsverbindungen erstellt, und die Konfigurationsdaten werden verwendet, um zu verifizieren, daß die erwarteten Verbindungen auch tatsächlich ausgeführt worden sind. Der Zweck des Startabschnittes der Konfiguration besteht darin, das Eröffnen von fehlerhaften Verbindungen zu vermeiden, und zwar zwischen: (1) Geräten im Sicherheitssystem und anderen fehlerhaften Geräten im Sicherheitssystem, und (2) Geräten im Sicherheitssystem und anderen Geräten nicht im Sicherheitssystem in einem gemischten System.
In diesem Startprozess, der durch einen Prozessblock 70 in Fig. 10 angezeigt ist, werden die Verbindungen von der Steuerung 12 zum Eingabemodul 14 und Ausgabemodul 16 bestätigt. Insbesondere die Erzeuger 80 in der Steuerung 12 (in Fig. 9 gezeigt) senden Verbindungseröffnungsnachrichten 70a und 70b an das Eingabemodul 14 beziehungsweise das Ausgabemodul 16 aus. Die geeigneten Verbraucher 82 antworten mit einer Verbindungsbestätigungsnachricht 70c beziehungsweise 70d. Die Erzeuger 80 in der Steuerung 12 und im Eingabemodul 14 senden dann die Konfigurationsdaten an den Verbraucher 82 in der Steuerung 12, wie es durch Nachrichten 70e und 70f angezeigt ist. Die Verbraucher 82 der Steuerung nehmen eine Überprüfung dahingehend vor, ob die Konfigurationsdaten mit ihren Konfigurationsdaten übereinstimmen, und senden dann im Falle der Übereinstimmung Bestätigungsnachrichten 70f und 70g aus, die die Übereinstimmung bestätigen. Bei Nachrichten 72a und 72b kann dann mit der Aussendung herkömmlicher E/A-Daten begonnen werden.
Es wird wieder auf Fig. 10 Bezug genommen. Die Daten 72a und 72b werden übermittelt gemäß den Abschnitten des Sicherheitsprotokolls, die durch Prozessblöcke 72 angezeigt sind, umfassend die Ausbildung der Sicherheitsnachricht 60 unter Einbeziehung der Sicherheitsfehlerdetektionsdaten 58 in die Netzwerknachricht 61, wie es oben beschrieben worden ist, und gemäß Nachrichtenhandhabungsprotokollen 74, die unabhängig von und in Verbindung mit dem Inhalt der Sicherheitsnachricht 60 arbeiten und jetzt erläutert werden.

Nachrichtenhandhabungssicherheitsprotokolle

(1) Normale Übermittlung

Es wird jetzt allgemein auf Fig. 10 und 11 verwiesen. Die Nachrichtenhandhabungsprotokolle 74 sehen Nachrichtenzeitmessungen vor und sprechen auf Fehler in den Sicherheitsfehlerdetektionsdaten 58 während der Laufzeit an. Die Nachrichtenhandhabungsprotokolle 74 sind in den Sicherheitsprotokollschaltungen 32, 40 und 46 implementiert oder können in Software implementiert sein und sind unterschiedlich für Erzeuger und Verbraucher.
Bezüglich einer normalen Laufzeitübermittlung wird jetzt auf Fig. 11 und 17 Bezug genommen. Der Erzeuger 80 wird bei Laufzeit Sicherheitsnachrichten 84 (die in der Standardnetzwerknachricht 61 pro Sicherheitsnachricht 60 eingekapselt sind, wie es oben beschrieben worden ist) an den Verbraucher 82 nach Fig. 11 aussenden. Diese Aussendung ist allgemein in Fig. 17 angezeigt. Unmittelbar vor dem Aussenden der Nachricht 84 wird wahlweise nach Prozessblock 89 ein Periodenzeitgeber gestartet, und ein Erwiderungszeitgeber wird in dem Moment gestartet, zu dem die Nachricht nach Prozessblock 91 übermittelt wird. Das Periodenzeitgeberintervall 86 ist länger als das Erwiderungszeitgeberintervall 88, wie es im oben beschriebenen Konfigurationsprozess eingestellt worden ist.
Generell werden Nachrichten mit einer erwarteten Paketrate ausgesendet, die gleich dem periodischen Zeitgeber ist.
Es wird jetzt auf Fig. 9, 11 und 18 Bezug genommen. Vor dem Empfang der Nachricht 84 nimmt der Verbraucher 82 kontinuierlich eine Überprüfung dahingehend vor, ob das Periodenzeitintervall 86' seines eigenen Periodenzeitgebers (der beim Empfang der letzten Nachricht 84 beim Verbraucher gestartet wird) abgelaufen ist, wie es in einem Entscheidungsblock 92 angezeigt ist. Der Periodenzeitgeberwert 86' ist im allgemeine größer als der Periodenzeitgeberwert 86.
Wenn der Periodenzeitgeber abgelaufen ist, wird eine Fehler angezeigt und das Programm schreitet zu einem Prozessblock 134, einem Sicherheitszustand voran, wie es unten beschrieben wird. Wenn der Zeitgeberwert 86 nicht abgelaufen ist, überprüft bei einem Entscheidungsblock 90 der Verbraucher 82, ob die Nachricht 84 angekommen ist. Falls keine Nachricht 84 angekommen ist, kehrt das Programm zurück zum Entscheidungsblock 92, um erneut zu prüfen, ob der Periodenzeitgeber 86 abgelaufen ist.
Unter der Annahme, daß eine Nachricht 84 vor dem Ablauf des Periodenzeitgebers 86 angekommen ist, schreitet das Programm zu einem Entscheidungsblock 112 voran, um den CRC der Nachricht 84 zu überprüfen und festzustellen, ob das Nachrichtenziel nach SCCV dem empfangenden Gerät übereinstimmt. Für den Fall, daß zwei Nachrichten gesendet worden sind, kann man sie an dieser Stelle vergleichen, um festzustellen, ob: Die Daten in den beiden Nachrichten übereinstimmen, zwei entsprechende Nachrichten vorhanden sind und der Zeitgeberstempel einen vorbestimmten Wert nicht überschreitet. Falls die Nachricht fehlgeleitet worden ist, dann kann auch dies an dieser Stelle festgestellt werden.
Unter der Annahme, daß der CRC korrekt ist, schreitet das Programm zu einem Entscheidungsblock 96 voran und überprüft, um sicherzustellen, daß die Sequenzzahl oder der Sequenzzählwert (oder alternativ der Zeitstempel) größer als die Sequenzzahl der zuletzt empfangenen Nachricht ist.
Wenn die Sequenzzahl richtig ist, dann schreitet das Programm zu einem Prozessblock 94 voran und der Periodenzeitgeber 86 wird zurückgesetzt. Beim Prozessblock 95 werden die Daten angewendet, beispielsweise auf eine Ausgabe oder zum Aktualisieren von Variablen, und dann bei einem Prozessblock 98 wird wahlweise eine Bestätigungsnachricht 100 zum Erzeuger 80 zurückgesendet.
Es wird wieder auf Fig. 17 Bezug genommen. Der Erzeuger 80, der bei einem Entscheidungsblock 102 die Bestätigungsnachricht empfängt, schreitet zu einem Entscheidungsblock 106 voran, um festzustellen, ob der Periodenzeitgeber 86 abgelaufen ist, sofern eine solche Bestätigungsnachricht ausgewählt worden ist und ihre Daten mit dem übereingestimmt haben, was gesendet wurde.
Unter der Annahme, daß der Periodenzeitgeber nicht abgelaufen ist, schreitet das Programm zu einem Entscheidungsblock 124 voran, um die CRC's der Bestätigungsnachricht 100 zu überprüfen. Der zyklische Redundanzcode muß mit den Daten der übermittelten Sicherheitsnachricht 60 übereinstimmen, und die komplementären Daten (wenn invertiert) müssen mit den Sicherheitsdaten 52 übereinstimmen.
Ferner, unter der Annahme, daß der CRC und die Daten korrekt sind, schreitet das Programm zu einem Entscheidungsblock 125 voran, um festzustellen, ob die Sequenzzahl der Bestätigungsnachricht 100 mit der derjenigen der Nachricht 84 übereinstimmt, die ausgesendet worden war.
Trifft dies zu, dann werden bei einem Entscheidungsblock 127 die in der Nachricht 84 gesendeten Daten mit den Daten der Bestätigungsnachricht 100 verglichen. Liegt eine Übereinstimmung vor, schreitet das Programm zu einem Entscheidungsblock 129 voran, wo es in einer Schleife umläuft, bis der Periodenzeitgeber abgelaufen ist, und es schreitet dann zu einem Prozessblock 110 voran, um eine neue Nachricht 84 vorzubereiten.
Dieser Prozess wird bei mehrfacher Übermittlung der Sicherheitsnachrichten 84 und der Bestätigungsnachrichten 100 wiederholt. Ein Fehler von irgendeinem der obigen Tests führt wahlweise dazu, daß die Steuerung in den Sicherheitszustand eintritt.

(2) Nachricht empfangen, jedoch gestört

Es wird jetzt auf Fig. 11 Bezug genommen. Bei einem potentiellen Fehler wird die Sicherheitsnachricht 84 gestört, beispielsweise durch elektromagnetische Interferenz 85. In diesem Fall wird eine Nachricht beim Verbraucher 82 empfangen, wie es in Fig. 18 einem Prozessblock 90 gezeigt ist, und zwar innerhalb des Periodenzeitgeberwerts 86', wie gemessen durch einen Prozessblock 92, jedoch befindet sich ein Fehler in CRC-Daten, wie es von einem Entscheidungsblock 112 festgestellt wird. In diesem Fall schreitet das Programm zu einem Prozessblock 114 voran, und es wird keine Aktion veranlaßt, und insbesondere wird keine Bestätigungsnachricht 100 zurück übermittelt. Dieser letztere Zustand führt dazu, daß ein Sicherheitszustand eingenommen wird, wenn der Periodenzeitgeber beim Verbraucher abgelaufen ist. Auf diese Weise kann die Empfindlichkeit des Systems gegenüber Fehlern eingestellt und gemildert werden. In einer ähnlichen Weise kann eine Anzahl von Fehlern eines vorbestimmten Typs, Kombination oder Frequenz verwendet werden, um den Sicherheitszustand zu triggern.
Es wird jetzt auf Fig. 17 Bezug genommen. In diesem Fall wird bei einem Prozessblock 102 keine Bestätigungsnachricht 100 vom Erzeuger 80 empfangen. Das Programm schreitet zu einem Entscheidungsblock 116 voran, um festzustellen, ob das Periodenzeitgeberintervall 86 abgelaufen ist. Trifft dies zu, wird der Fehler angezeigt, und das Programm geht bei einem Prozessblock 126 in den Sicherheitszustand über.
Wahlweise, wenn das Periodenzeitgeberintervall 86 nicht abgelaufen ist, schreitet das Programm zu einem Entscheidungsblock 118 voran, um nachzusehen, ob das kürzere Erwiderungszeitgeberintervall 88 abgelaufen ist. Falls nicht, gelangt das Programm in eine Schleife zurück zum Verarbeitungsblock 102. Falls zutreffend, schreitet das Programm zu einem Prozessblock 120 voran, um zu überprüfen, ob die Wiederholungsgrenze überschritten worden ist. Anfangs mag dies nicht der Fall sein, und das Programm schreitet zu einem Prozessblock 122 voran, und eine Wiederholungsnachricht 84' mit derselben Sequenzzahl wird ausgesendet bei einem Prozessblock 84, wie es auch in Fig. 12 dargestellt ist. Falls die Wiederholungsgrenze überschritten worden ist, tritt das Programm in den Sicherheitszustand 126 ein.
Diese Wiederholungsnachricht 84' wird beim Verbraucher 82, wie angezeigt, bei einem Prozessblock 90 nach Fig. 18 empfangen, und unter der Annahme, daß sie richtig ist und daß sie innerhalb des Periodenzeitgeberintervalls 86' angekommen ist, resultiert diese Nachricht 84' aufgrund der vorangegangenen nicht fehlerbehafteten Nachricht darin, daß bei einem Prozessblock 98 eine Bestätigungsnachricht 100 nach den oben beschriebenen Schritten ausgesendet wird.
Typischerweise, falls nur eine verloren gegangene Übermittlung aufgetreten ist, tritt die Bestätigungsnachricht 100 innerhalb des Periodenzeitgeberintervalls 86 des Erzeugers auf, und es wird damit fortgefahren, Nachrichten in normaler Weise auszutauschen, wie es zuvor unter Bezugnahme auf Fig. 11 beschrieben worden ist.

(3) Nachricht nicht empfangen

Es wird auf Fig. 13 Bezug genommen. Im vorangegangenen Beispiel kam die Sicherheitsnachricht 84 beim Verbraucher 82 als detektiert, jedoch mit Fehlern an. Es ist möglich, daß die Sicherheitsnachricht 84 beim Verbraucher 82 nicht ankommt und zwar entweder aufgrund einer derart extremen Interferenz, daß sie als eine Nachricht unter Low-Level-Netzwerkprotokollen nicht erkennbar ist, oder als Ergebnis von Komponentenstörungen zwischen dem Erzeuger und dem Verbraucher von intermittierender Natur. In dieser Situation sendet der Erzeuger 80 die Nachricht 84, der Verbraucher empfängt jedoch keine Nachricht, nach einem Prozessblock 90 von Fig. 18.
Der "keine Aktion"-Block 114 von Fig. 18 des Verbrauchers (wie oben beschrieben) ist somit nicht eingetreten, jedoch ist das Ergebnis in jedem Fall das gleiche:
Der Verbraucher 82 veranlaßt keine Aktion.
Somit, wie zuvor unter Bezugnahme auf Fig. 12 beim Ablauf des Erwiderungszeitgebers beim Erzeuger 80 beschrieben, erzeugt der Erzeuger 80 eine zweite Nachricht 84', die, sofern sie empfangen wird, in einer Bestätigungsnachricht 100 resultiert, welche eine Reihe normaler Kommunikationen initiiert.

(4) Bestätigungsnachricht empfangen, aber gestört

Es wird jetzt auf Fig. 14 Bezug genommen. Die Sicherheitsnachricht 84 mag erfolgreich den Verbraucher ohne Fehler erreicht haben, jedoch kann die Bestätigungsnachricht 100 Fehler haben, die durch elektromagnetische Interferenz verursacht worden sind. In diesem Fall reagiert der Verbraucher, wie es in Fig. 17 bei einem Entscheidungsblock 106 gezeigt ist, derart, daß er einen Empfang einer Bestätigungsnachricht 100 innerhalb des Periodenzeitgeberintervalls 86 detektiert. In den Daten der Bestätigungsnachricht 100 ist allerdings ein Fehler vorhanden.
Wenn der CRC richtig ist, wie es bei einem Entscheidungsblock 124 festgestellt wird, ist es die Sequenzzahl, die nach einem Prozessblock 124 falsch ist, woraufhin das Programm in den Sicherheitszustand 126 eintritt, in welchem Eingaben und Ausgaben des Verbrauchers 82 auf einen vordefinierten Sicherheitszustand der Konfigurationsdaten gesetzt werden. Der vordefinierte Sicherheitszustand, wie er zuvor als Teil der Konfigurationsdaten vorgesehen war, definiert den Zustand (Ausgaben und internen Zustand), auf den das Gerät im Falle eines Netzwerkfehlers zurückkehrt. Der Sicherheitszustand kann kommuniziert werden mit der Liste verwandter oder bezogener E/O-Punkte, die andere E/A-Punkte (bezogen auf andere Verbindungen) anzeigen, die auf den Sicherheitszustand zurückgefahren werden müssen, wenn die derzeitige oder vorliegende Verbindung einen Fehler hat. Diese Liste war auch als Teil der oben beschriebenen Konfigurationsdaten vorgesehen. Der Sicherheitszustand und die Liste bezogener E/A-Punkte kann durch den Systemprogrammierer bezeichnet werden, und zwar auf der Grundlage der besonderen Anwendung des Steuersystems und der Zustände und der bezogenen Gruppierungen von Geräten, die am besten Fehler individueller Geräte oder Verbindungen vorsehen.
Gleichermaßen, wenn die Sequenzzahl korrekt ist, jedoch die Bestätigungsdaten nach dem Entscheidungsblock 127 nicht passend sind, geht das Programm in den Sicherheitszustand 126 über. Wenn der Verbraucher 82 die Steuerung 12 ist, können Nachrichten zu anderen E/A-Geräten gesendet werden, die in den Konfigurationsdaten angegeben sind, um ihnen mitzuteilen, ebenso in den Sicherheitszustand einzutreten.
Unter der Voraussetzung, daß beim Prozessblock 124 der CRC-Code nicht zu der Sicherheitsnachricht 60 paßt, wodurch eine Störung in der Sicherheitsnachricht anstelle einer fehlerhaften Duplikatnachricht angezeigt wird, schreitet das Programm zu einem Entscheidungsblock 118 voran, um festzustellen, ob der Erwiderungszeitgeber abgelaufen ist, wie oben beschrieben. Wenn der Erwiderungszeitgeber abläuft, schreitet das Programm zum Prozessblock 120 voran, wie oben beschrieben, und überprüft den Wiederholungszähler, um festzustellen, ob die Wiederholungsgrenze überschritten worden ist. Trifft dies zu, geht das Programm in den Sicherheitszustand 126 über, jedoch wird dies oft nicht der Fall sein, und das Programm schreitet zum Prozessblock 122 voran, und es wird eine Wiederholungsnachricht 84' vorbereitet, wie es in Fig. 14 angegeben ist.
Unter der Annahme, daß diese Wiederholungsnachricht eine nicht gestörte Bestätigungsnachricht 100' hervorruft, wird die Kommunikation in normaler Art und Weise weitergeführt.

(5) Bestätigungsnachricht nicht empfangen

Es wird jetzt auf Fig. 15 Bezug genommen. Es besteht die Möglichkeit, daß die Bestätigungsnachricht 100 vollständig verloren gegangen ist, entweder durch Interferenz oder eine zeitweilige Kommunikationsstörung. In diesem Fall wird, wie es zuvor beschrieben worden ist, eine Duplikatnachricht 84 vom Erzeuger 80 ausgesendet, wobei jedoch die Sequenzzahl identisch mit der Sequenzzahl einer zuvor vom Verbraucher 82 empfangenen Nachricht 84 ist. In diesem Fall wird, wie es bei einem Prozessblock 112 in Fig. 18 gezeigt ist, der CRC richtig sein, jedoch wird, wie es bei einem nachfolgenden Entscheidungsblock 96 überprüft wird, der Sequenzcode falsch sein. In diesem Fall schreitet das Programm zum Prozessblock 130 weiter, um zu überprüfen, ob der Sequenzcode um die Zahl 1 geringer ist als erwartet. Trifft dies nicht zu, geht das Programm in den Sicherheitszustand 134 über. Trifft dies aber zu, muß der Verbraucher 82 daraus folgern, daß die Bestätigungsnachricht 100 verloren gegangen war und eine Bestätigung der vorangegangen Nachricht von dem Verbraucher beim Prozessblock 132 erneut ausgesendet worden ist.

(6) Keine Nachrichten empfangen

Als letztes, wie es in Fig. 15 dargestellt ist, kann der Erzeuger unfähig sein, mit dem Verbraucher innerhalb des Periodenintervalls 86' des Verbrauchers eine Verbindung herzustellen. In diesem Fall geht das Programm vom Entscheidungsblock 92 direkt in den Sicherheitszustand 134 über, wie es in Fig. 18 dargestellt ist.
Die obige Beschreibung stellt ein bevorzugtes Ausführungsbeispiel der Erfindung dar. Für einen Fachmann ist es augenscheinlich, daß viele Modifikationen vorgenommen werden können, ohne dabei das Wesen und den Schutzumfang der Erfindung zu verlassen. Um die Öffentlichkeit über die verschiedenartigen Ausführungsformen zu unterrichten, die in den Schutzumfang der Erfindung fallen können, wird auf die nachstehenden Ansprüche verwiesen.

Zusammenfassend sieht die Erfindung vor

Eine Sicherheitsniveau-Fehlerdetektion, die vergleichbar zu derjenigen ist, die redundant verdrahtete Sicherheitsrelais vorsehen, wird auf einer Rückebene einer programmierbaren Logiksteuerung oder dergleichen durch eine Kombination von Fehlerdetektionsmethoden erreicht, die zusammen das erforderliche Niveau der benötigten Fehlerdetektion vorsehen, ohne daß besondere Hardware-Anforderungen oder duplikative Nachrichtenübermittlungen notwendig sind.

Claims

1. Rückebenesystem zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb, enthaltend:

a) eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten als digitale Nachrichten;

b) wenigstens zwei industrielle Steuerungskomponenten mit Verbindern, die die Verbindung der industriellen Komponenten mit dem Leiter der Rückebene zur Kommunikation von Nachrichten darüber gestatten;

c) eine Sicherheitsprotokolleinrichtung, die den über die Rückebene zwischen industriellen Steuerungskomponenten kommunizierten Nachrichten ein Kommunikationsprotokoll auferlegt, um eine Fehleranzeige beim Auftreten irgend eines der folgenden Umstände vorzusehen:

a) Verlust einer von einer Komponente zu einer zweiten Komponente übermittelten Nachricht;

b) Störung einer von einer Komponente zu einer zweiten Komponente übermittelten Nachricht; und

c) Fehlleitung einer von einer Komponente übermittelten Nachricht, die für eine zweite Komponente gedacht ist, an eine dritte Komponente;

d) wobei die Sicherheitsprotokolleinrichtung die Industriesteuerung aufgrund einer vorbestimmten Fehleranzeige in einen vorbestimmten Sicherheitszustand bringt.

2. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung den Verlust einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

a) Aussenden von mehrfachen Nachrichten und Detektieren der Ankunft von weniger als allen Nachrichten,

b) Aussenden von Nachrichten nach einem vorbestimmten Plan und Detektieren einer bezogen auf den Plan fehlerhaften Ankunft der Nachrichten,

c) Vorsehen einer Bestätigung der Nachrichten durch die zweite Komponente und Detektieren eines Fehlers der Bestätigung.

3. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung die Störung einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

a) Aussenden von mehrfachen Nachrichten und Detektieren eines Fehlers der Nachrichten in Bezug auf Zusammenpassen,

b) Aussenden von Nachrichten mit Fehlerkorrekturcodes, und

c) Vorsehen, daß die zweite Komponente Nachrichten mit einer Kopie der ursprünglichen Nachricht bestätigt und daß die beiden miteinander verglichen werden.

4. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung eine Fehlleitung einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines ldentifizierers des beabsichtigten Empfängers in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit dem Identifizierer der zweiten Komponente,

b) Einbetten einer Nachrichtsequenznummer in jede Nachricht und Vergleichen derselben bei der zweiten Komponente mit der Nachrichtsequenznummer der zuvor empfangenen Nachricht,

c) Ansprechen auf Fehler, die bei anderen Komponenten aufgrund des Verlustes einer Nachricht bei diesen Komponenten detektiert worden sind.

5. Rückebenesystem nach Anspruch 1, bei dem das Sicherheitsprotokoll ferner eine Anzeige vorsieht für:

a) eine Wiederholung einer zuvor von einer Komponente zu einer zweiten Komponente übermittelten Nachricht;

b) ein Einfügen einer von irgendeiner Komponente zu einer zweiten Komponente nicht übermittelten Nachricht; und

c) eine Änderung in der Sequenz von mehrfachen von einer ersten Komponente übertragenen Nachrichten, vor Empfang durch eine zweite Komponente.

6. Rückebenesystem nach Anspruch 5, bei dem die Sicherheitseinrichtung eine Wiederholung einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines Zeitstempels der Übermittlungszeit auf der Rückebene in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit den Zeitstempeln von allen Nachrichten für eine Duplizierung, und

b) Einbetten einer Nachrichtsequenznummer in jede Nachricht und Vergleichen derselben bei der zweiten Komponente mit der Nachrichtsequenznummer der zuvor empfangenen Nachricht.

7. Rückebenesystem nach Anspruch 5, bei dem die Sicherheitseinrichtung eine Einfügung einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines Zeitstempels der Übermittlungszeit auf der Rückebene in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit den Zeitstempeln von allen Nachrichten für eine Duplizierung,

c) Einbetten eines Identifizierers des beabsichtigten Empfängers in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit dem Identifizierer der zweiten Komponente.

8. Rückebenesystem nach Anspruch 5, bei dem die Sicherheitseinrichtung eine Änderung in der Sequenz einer Nachricht unter Verwendung eines Protokolls detektiert, das aus der nachstehenden Gruppe ausgewählt ist:

9. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung in Hardware implementiert ist.

10. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung in Software implementiert ist.

11. Rückebenesystem nach Anspruch 1, bei dem die Sicherheitseinrichtung eine nicht detektierte Fehlerrate von weniger als 107 pro Stunde vorsieht.

12. Rückebenesystem nach Anspruch 1, bei dem die vorbestimmte Fehleranzeige eine Funktion vom Typ der Fehleranzeige und der Anzahl der Fehleranzeigen ist.

13. Rückebenesystem nach Anspruch 1, bei dem die vorbestimmte Fehleranzeige der Rückebene ein Standardnetzwerkprotokoll verwendet.

14. Rückebenesystem nach Anspruch 13, bei dem die vorbestimmte Fehleranzeige ein Standardnetzwerkprotokoll, ausgewählt aus der nachstehenden Gruppe verwendet: DeviceNet und ControlNet, Ethernet und ATM.

15. Rückebenesystem zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb, enthaltend:

a) eine Eingabekomponente, die redundante Eingabesignale an einem ersten und zweiten dedizierten Drahtleiter vorsieht;

b) eine Ausgabekomponente, die Ausgabesignale an einem ersten und zweiten dedizierten Drahtleiter empfängt;

c) eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten als digitale Nachrichten;

d) wenigstens zwei industrielle Steuerkomponenten mit Verbindern, die eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene gestatten, und mit Anschlüssen, die verbindbar sind, um redundante Signale der Eingabe- und Ausgabegeräte an den dedizierten Drahtleitern zu empfangen und zwischen den Eingabe- und Ausgabegeräten zu kommunizieren, und zwar unter Verwendung wenigstens einer Nachricht für jede Gruppe von redundanten Signalen;

e) eine Sicherheitsprotokolleinrichtung, die den über die Rückebene zwischen industriellen Steuerkomponenten kommunizierten Nachrichten eine Kommunikationsprotokoll auferlegt, um bei der Übertragung von Nachrichten zwischen dem Eingabegerät und dem Ausgabegerät unter Verwendung der Rückebene eine Fehlerrate vorzusehen, die nicht größer als die Fehlerrate ist, die man bei einer direkten Verbindung der dedizierten Drahtleiter der Eingabe- und Ausgabekomponenten direkt zwischen den Eingabe- und Ausgabekomponenten erhält.

16. Rückebenesystem nach Anspruch 15, bei dem die industriellen Steuerungskomponenten zwischen den Eingabe- und Ausgabegeräten unter Verwendung lediglich einer Nachricht für jede Gruppe von redundanten Signalen kommunizieren.

17. Rückebenesystem zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb, enthaltend:

a) einen Schalter, der redundante Kontakte zum Verbinden mit Drähten vorsieht;

b) ein Ausgabegerät, das redundante Eingänge zum Verbinden mit Drähten vorsieht;

d) wenigstens zwei industrielle Steuerungskomponenten mit Verbindern, die eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene gestatten, und mit Anschlüssen, die mit Drähten des Schalters und des Ausgabegerätes verbindbar sind, wobei die industriellen Steuerungskomponenten eine Schnittstelle zwischen den Anschlüssen und der Rückebene vorsehen, um die Kommunikation eines Signals von dem Schalter zu einer ersten industriellen Steuerungskomponente über die Rückebene zu einer zweiten industriellen Steuerungskomponente zu dem Ausgabegerät zu gestatten;

e) eine Sicherheitsprotokolleinrichtung, die ein Kommunikationsprotokoll Nachrichten auferlegt, welche über die Rückebene zwischen industriellen Steuerungskomponenten kommuniziert werden, um bei der Übertragung von Nachrichten zwischen dem Schalter und dem Ausgabegerät unter Verwendung der Rückebene eine Fehlerrate vorzusehen, die nicht größer als die Fehlerrate ist, die man bei einer direkten Drahtverbindung zwischen dem Schalter und dem Ausgabegerät erhält.

18. Verfahren zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb, enthaltend die Schritte:

a) Kommunizieren von Nachrichten über eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten als digitale Nachrichten zwischen wenigstens zwei industriellen Steuerungskomponenten mit Verbindern, die eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene für die Kommunikation von Nachrichten gestatten;

b) Auferlegen eines Sicherheitsprotokolls bei der Übertragung von Nachrichten zum Vorsehen einer Fehleranzeige bei irgendeinem der folgenden Umstände:

c) Fehlleitung einer von einer Komponente übermittelte, für eine zweite Komponente gedachte Nachricht, an eine dritte Komponente; und

c) Plazieren der Industriesteuerung in einen vorbestimmten Sicherheitszustand aufgrund einer vorbestimmten Fehleranzeige.

19. Verfahren nach Anspruch 18, bei dem das Sicherheitsprotokoll den Verlust einer Nachricht unter Verwendung einer Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist;

a) Aussenden von mehrfachen Nachrichten und Detektieren der Ankunft von weniger als allen Nachrichten;

b) Aussenden von Nachrichten nach einem vorbestimmten Plan und Detektieren einer gegenüber dem Plan fehlerhaften Ankunft von Nachrichten; und

c) Vorsehen, daß die zweite Komponente Nachrichten bestätigt, und Detektieren eines Fehlers der Bestätigung.

20. Verfahren nach Anspruch 18, bei dem das Sicherheitsprotokoll eine Störung einer Nachricht unter Verwendung eines Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist:

a) Aussenden mehrfacher Nachrichten und Detektieren eines Fehlers der Nachrichten in Bezug auf Zusammenpassen,

b) Aussenden von Nachrichten mit Fehlerkorrekturcodes, und

c) Vorsehen, daß die zweite Komponente Nachrichten mit einer Kopie der ursprünglichen Nachricht bestätigt, und Vergleichen der beiden Nachrichten.

21. Verfahren nach Anspruch 18, bei dem das Sicherheitsprotokoll eine Fehlleitung einer Nachricht unter Verwendung eines Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines Identifizierers des beabsichtigten Empfängers in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit dem Identifizierer der zweiten Komponente,

c) Ansprechen auf Fehler, die bei anderen Komponenten aufgrund eines Verlusts einer Nachricht bei diesen Komponenten detektiert sind.

22. Verfahren nach Anspruch 18, bei dem das Sicherheitsprotokoll ferner eine Anzeige vorsieht für:

a) Wiederholung einer zuvor von einer Komponente zu einer zweiten Komponente übermittelten Nachricht;

b) Einfügen einer von irgendeiner Komponente nicht zu einer zweiten Komponente übermittelten Nachricht; und

c) Ändern der Sequenz von mehrfachen von einer ersten Komponente übermittelten Nachrichten vor Empfang durch eine zweite Komponente.

23. Verfahren nach Anspruch 22, bei dem das Sicherheitsprotokoll eine Wiederholung einer Nachricht unter Verwendung eines Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines Zeitstempels der Übertragungszeit auf der Rückebene in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit den Zeitstempeln von allen Nachrichten für eine Duplizierung,

24. Verfahren nach Anspruch 22, bei dem das Sicherheitsprotokoll ein Einfügen einer Nachricht unter Verwendung eines Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist:

a) Einbetten eines Zeitstempels der Übermittlungszeit auf der Rückebene in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit den Zeitstempeln von allen Nachrichten für eine Duplizierung;

b) Einbetten einer Nachrichtsequenznummer in jede Nachricht und Vergleichen derselben bei der zweiten Komponente mit der Nachrichtsequenznummer der zuvor empfangenen Nachricht; und

c) Einbetten eines ldentifizierers des beabsichtigten Empfängers in jede Nachricht und Vergleichen desselben bei der zweiten Komponente mit dem Identifizierer der zweiten Komponente.

25. Verfahren nach Anspruch 22, bei dem das Sicherheitsprotokoll eine Änderung in der Sequenz einer Nachricht unter Verwendung eines Schritts detektiert, der aus der nachstehenden Gruppe ausgewählt ist:

26. Verfahren nach Anspruch 18, bei dem das Sicherheitsprotokoll eine nicht detektierte Fehlerrate von weniger als 10^-7 pro Stunde vorsieht.

27. Verfahren nach Anspruch 18, bei dem die vorbestimmte Fehleranzeige eine Funktion vom Typ der Fehleranzeige und der Anzahl von Fehleranzeigen ist.

28. Verfahren zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb aufweisend eine Eingabekomponente, die redundante Eingabesignale auf einem ersten und zweiten dedizierten Drahtleiter vorsieht;
eine Ausgabekomponente, die redundante Ausgabesignale auf einem ersten und zweiten dedizierten Drahtleiter empfängt;
eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten als digitale Nachrichten; und
wenigstens zwei industriellen Steuerungskomponenten mit Verbindern, die eine Verbindung der industriellen Komponenten zu dem Leiter der Rückebene gestatten, und mit Anschlüssen, die verbindbar sind, um die redundanten Signale der Eingabe- und Ausgabegeräte auf den dedizierten Drahtleitern zu empfangen und zwischen den Eingabe- und Ausgabegeräten unter Verwendung wenigstens einer Nachricht für jede Gruppe von redundanten Signalen zu kommunizieren;
enthaltend die folgenden Schritte:
Auferlegen eines Sicherheitsprotokolls auf über die Rückebene zwischen industriellen Steuerungskomponenten kommunizierten Nachrichten, um bei der Übertragung von Nachrichten zwischen dem Eingabegerät und dem Ausgabegerät unter Verwendung der Rückebene eine Fehlerrate vorzusehen, die nicht größer als diejenige Fehlerrate ist, die man bei einer direkten Verbindung der dedizierten Drahtleiter der Eingabe- und Ausgabekomponenten direkt zwischen den Eingabe- und Ausgabekomponenten erhält.

29. Verfahren nach Anspruch 28, bei dem die industriellen Steuerungskomponenten zwischen den Eingabe- und Ausgabegeräten unter Verwendung nur einer Nachricht für jede Gruppe von redundanten Signalen kommunizieren.

30. Verfahren zum Miteinanderverbinden von Komponenten einer Industriesteuerung für einen Sicherheitsbetrieb aufweisend:
einen Schalter, der redundante Kontakte zum Verbinden mit Drähten vorsieht;
ein Ausgabegerät, das redundante Eingänge zum Verbinden mit Drähten vorsieht;
eine Rückebene mit wenigstens einem Leiter zum Leiten von Daten als digitale Nachrichten;
wenigstens zwei industrielle Steuerungskomponenten mit Verbindern, die eine Verbindung der industriellen Komponenten mit dem Leiter der Rückebene gestatten, und mit Anschlüssen, die mit Drähten des Schalters und des Ausgabegerätes verbindbar sind, wobei die industriellen Steuerungskomponenten eine Schnittstelle zwischen den Anschlüssen und der Rückebene vorsehen, um die Kommunikation eines Signals von dem Schalter zu einer ersten industriellen Steuerungskomponente über die Rückebene zu einer zweiten industriellen Steuerungskomponente zu dem Ausgabegerät zu gestatten;
welches Verfahren den folgenden Schritt enthält:
Auferlegen eines Sicherheitsprotokolls auf über die Rückebene zwischen den industriellen Steuerungskomponenten kommunizierten Nachrichten, um bei der Übermittlung von Nachrichten zwischen dem Schalter und dem Ausgabegerät unter Verwendung der Rückebene eine Fehlerrate vorzusehen, die nicht größer als diejenige Fehlerrate ist, die man bei einer direkten Drahtverbindung zwischen dem Schalter und dem Ausgabegerät erhält.