本申请要求于2005年3月18日提交的、题为“Safety I/O Modular and BlockSystem(安全性I/O模块和块系统)”的美国专利临时申请第60/663,329号的优先权,其整体通过引用包含在此。
具体实施方式
图1示出了可接收和/或发送与安全性和非安全性相关的数据并相应地处理这种数据的通用安全性块(USB)10。USB 10包括处理组件12和安全性I/O电路14。处理组件12还包括逻辑控制组件16和安全性数据表18。标准消息桥20可以用于将非安全性(例如标准)数据发送到一个或多个控制组件。
处理组件12可以确认接收到的数据的类型、格式、源等以及基于一个或多个因素确定处理这种数据的适当方法。处理组件12基本上可以是诸如ASIC、处理器、离散逻辑设备等任一类型的逻辑结构。此外,处理组件12可以包括用于存储、编辑、操作和检索期望数据的存储器(未示出)。逻辑控制组件16可以用于确定接收到的数据是否与安全性或非安全性相关,并将相应的数据传递给预定的接收方。可以基于与数据一起接收到的信息、数据的格式、数据的源等作出这种判断。
一方面,逻辑控制组件16可以将安全性数据发送到安全性数据表18。安全性数据表18可以与安全性I/O电路14通过接口连接以便应用到一个或多个输入和/或输出。安全性数据表18可以经由安全性I/O电路14在每次循环、预定的时间增量等更新一个或多个输入和/或输出。
安全性I/O电路14基本上可以是任一硬件和/或软件接口,其中数据可以发送到USB 10和/或从USB 10发送。安全性I/O电路14可以包括一个或多个特征以便满足特定的安全性标准。在一个示例中,安全性I/O电路14利用冗余数据路径来防止单点故障。在另一个示例中,使用诊断来维护数据的完整性。
基本上可以在任何控制环境(例如机器、进程、安全性等)中使用USB 10,且USB 10基本上可以使用任一协议和/或标准通信。此外,USB 10可以采用任意数目的介质来从一个或多个源发送和/或接收数据,所述源包括广域网(WAN)、机器局域网(MAN)、控制局域网(CAN)、宽域网(LAN)、底板等。可以在诸如网络接口、可扩展安全性块、独立安全性块、底板模块等基本上控制体系结构内的任一位置使用USB 10。
为了与基本上控制体系结构中任一位置通信,可以采用网络接口22、底板接口24和底板扩展26。网络接口22可以包括可从网络接收数据的插头、插孔、螺旋式接线柱等组成。这样,USB 10可以直接与一个或多个网络通信。底板接口24可允许USB 10通过底板与网络接口或其它设备通信。底板扩展可允许USB经由底板与一个或多个耦合到USB 10的设备通信。在一个实施例中,USB 10可使用网络接口22从网络接收数据,并使用底板扩展24将接收到的网络数据经由底板传播到一个或多个I/O组件。在另一示例中,当USB 10用作独立块时,只使用网络接口。
参考图2,示出了包括控制器52、USB 10、扩展端口和模块化非安全性I/O组件(MNIC)32的控制系统。USB 10经由网络34与控制器52通信。USB 10可使用任意数量的协议和/或标准通信。在一个示例中,USB 10可以与Ethernet/IP网络通信。在另一示例中,USB 10可以与DeviceNet网络通信。在又一示例中,USB10可基本上同时与Ethernet/IP、DeviceNet和ControlNet网络通信。
控制器52可包括任意数量的处理器、齿条(rack)、模块和/或接收一个或多个输入并允许处理这种输入的各种硬件和软件之一。可以在输入数据上执行各种数学、布尔等函数,并提供一个或多个输出作为结果。此外,控制器10可以包括存储器(未示出)以存储用于随后的配置和/或检索的数据处理的数据值和/或算法。
控制器52可以使用任意数量的协议通信。在一个示例中,控制器52可以采用诸如DeviceNet、ControlNet、Ethernet/IP等一个或多个工业自动化协议。为了便于使用给定的网络协议通信,网络34可以包含适当的介质。在一个示例中,网络34时从控制器52到USB 10的硬连线连接。在另一示例中,网络34包括经由无线Ethernet、红外线、蓝牙或其他通信协议的无线传输。
控制器52可以利用和执行各种硬件、固件和/或软件以维护与一个或多个安全性标准(例如IEC61508)的一致性,所述安全性标准按需定义所要求最大可容许故障率。可复制内部硬件组件(未示出)以便满足各种安全性冗余要求。类似地,可使用冗余处理器(未示出)基本上同时处理基本上相同的数据。此外,固件可被配置成提供对接收到的数据的冗余处理算法等。通过在整个系统上提供这种冗余,可以减少单点故障。
在一个实施例中,从现场组件(例如驱动器、照明幕(light curtain)、发动机、开关、安全性联锁等)对信号的接收没有由控制网络在控制设备(例如USB 10、MNIC 32、扩展端口30等)检测到,发送警告信号和/或消息到一个或多个处理器(例如在控制器52、USB 10、扩展端口30等内)以指示这种有缺陷的状况。在一个示例中,可以基于数据值、接收到数据的时间间隔、丢失的信息等确定缺陷状况。可以在工业控制网络中的一个或多个设备中执行对有缺陷的数据的监控。在一种方法中,在控制器52、USB 10、扩展端口30和MNIC 32处监控数据质量。这样,可以快速地检测和定位有缺陷的数据以便补救这种状况。
当定位了有缺陷的数据情况状态时,可以将一个或多个数据值保持在预定的安全性状态。为了响应这种状况,控制器52可提供对一个或多个控制设备(例如控制进程的设备和/或从控制器52接收指示的机器)的适当响应。在一个示例中,控制设备是摆动的机器人臂,其中预定的安全性状态是立刻“切断电源”的状况。在另一个示例中,控制设备是排风扇,其中预定的安全性状态是“通电”,以确保有害物质不能积累的,如果存在则被驱散。
控制网络可以是确定性的用于监控所有安全性消息以预定和可预测时间量来发送。可以定制控制网络内的每个设备(例如USB 10、MNIC 32、扩展端口30等)使其具有其自己的周期性的响应时间。自此,控制网络中的每种设备可以具有被保证的消息传递的期望值。在一种方法中,一个或多个安全性消息包括时戳,检查时戳以确保一个或多个安全性消息在预定时间期望值内到达。在超出时间期望值到达的安全性消息可引起所影响的连接及相关联的设备进入其预定的安全性状态。
控制网络上的设备(例如USB 10、MNIC 32、控制器52等)可以要求双通道设计,用于在安全性消息到达时对其交叉校验。例如,网络协议可以要求所有的安全性数据被发送两次;一次正常的,以及一次反向数据。因为数据冗余被构建到网络协议中,双通道将各自获取信息并交叉校验结果以最小化误差。
网络34可以是正确运作(具有相对高置信度)或进入预定义状态的具有高度完整性的通信网络。标准网络达到对于多数控制应用程序而言足够但对于安全性应用程序而言不够的按需故障概率。在网络34上使用的安全性协议可以要求特殊的附加措施以确保从一个设备发送的安全性数据以比标准网络更高度的完整性到达另一设备。而将标准联网系统构建成容许特定数目的错误、安全性系统陷阱错误。可以通过维持与一个或多个第三方标准(例如IEC 61508)的一致性来获取对网络完整性的验证。
USB 10经由网络34接收从控制器52发送的通信。USB 10可以包括任意数量的各种输入和/或输出终端。这种数据可以包括模拟、数字、热电偶、应变仪、编码器信号等。在一个示例中,USB 10包括8位输出终端和8位输入终端。在另一示例中,USB 10包括6个模拟输出和2个热电偶输入。应该理解USB 10可用于以基本上任意期望的格式和/或协议接收和/或输出数据。
扩展端口30用于允许在网络34上追加额外的I/O点。扩展端口30可包括维持与一个或多个安全性标准的一致性所需的硬件、固件和/或软件。在一个实例中,固件随着数据从USB 10发送到MNIC 32控制如何完成数据桥接。数据桥接可以随着数据在安全性控制网络内从一个设备发送到另一个设备控制处理该数据的方式。
MNIC 32通过扩展端口14接收到数据,且可以包括可以处理基本上任意数据类型的任意数目的输入和/或输出终端。每个终端可以利用基本上任何期望的通信协议和/或标准通信。MNIC 32可以跨底板(未示出)通信,其中可以按所需添加额外的模块I/O组件。单独的模块化I/O组件允许根据所需添加额外的I/O,诸如当扩大和/或重新配置机器和/或进程时。这样,可以通过避免购买不需要的I/O组件来降低不必要的成本。
在另一实施例中,MNIC 32和USB 10在网络上交换。在这种方法中,MNIC32直接耦合到网络34,扩展端口30用于允许从USB 10到网络34的通信。在该示例中,可以向系统添加任意数量的额外的模块化I/O组件。同样,可使用一个或多个扩展端口来允许将向网络添加额外的块I/O组件和/或模块化I/O组件。
在一个示例中,可以更新USB 10和/或扩展端口30,使得它可以处理安全性和非安全性相关数据两者。在这种方法中,网络消息可以由USB 10识别为安全性消息或非安全性消息,并作相应的处理。如果消息被识别为安全性消息,那么消息被路由到安全性数据表18,其中由USB 10分析和处理消息。或者,如果消息被识别为非安全性消息,消息会被桥接到MNIC 32以作处理。这种数据处理可以与一个或多个安全性标准(IEC 61508)和/或安全性完整性级别(例如SIL 3、SIL 4等)一致。这些标准可以防止配置和/或操纵安全性数据,以确保当这些数据在整个控制网络上传输时不受损害。
MNIC 32经由USB 10接收来自网络34的数据,并处理一个或多个非安全性数据分组。MNIC 32可以包括一个或多个模块化设备,其中每个设备可包括一个或多个与任意数量的各种数据类型相关的终端。在一个示例中,模块化设备包括两个数字输出和两个数字输入。在另一示例中,模块化设备包括四个模拟输出。应该理解构想了任意数量、类型的输入和/或输出以及它们的组合。在一种方法中,采用安全性和非安全性模块化设备的组合。可以根据所需向MNIC 32添加额外的模块化设备。
MNIC 32和USB 10可以被包含在任意数字形状因数、外壳、轮廓等中。在一个示例中,USB 10和MNIC 32被包含在形状因数中,该形状因数基本上防止灰尘以及在15厘米至1米之间液体中的沉浸(例如满足IP 67要求)。在另一方法中,MNIC 32和USB 10被密封地封装以防止污染物和/或其它特定物质干扰这些I/O设备的操作。
网络可以使用任何协议、标准等通信。在一个实施例中,网络利用诸如DeviceNet、ControlNet和EtherNet/IP等一个或多个工业自动化协议通信,以无缝地集成I/O控制、设备配置以及数据收集。利用工业自动化协议在一个标准网络上传递安全性数据可以是节省成本的方法,它减少了电缆敷设、改进了生产率并降低了安全性风险。工业自动化协议和/或网络可允许用户从办公室环境或系统中的任一点查看控制网络,深入到底层的设备级别信息并可以提供跨网络的无缝通信。这样,用户可以控制、配置和收集整个企业内数据。
使用一个或多个工业自动化协议传递安全性数据可以允许在单个控制网络内组合安全性和非安全性数据。此外,可以更新先前存在的网络以符合各种安全性标准地处理安全性和非安全性数据。因此,用户可以组合安全性和非安全性网络,而无需对安全性专用网关和桥接器投资,无需额外的程序设计语言,也无需与新的网络或软件相关联的附加训练和维护。这种技术可以利用现有电缆并构建在已经使用的程序设计和训练上,这可以提供更简单的安装和维护。这也可使得用户能够升级他们的网络,而同时保护他们的最初投资并维护现有功能(例如非安全性数据的处理)。
采用一个或多个工业自动化协议在控制网络上通信的一个优势是,无论是否需要安全性控制器,都能够将同一网络或连线上连接安全性设备和标准设备。例如,使用DeviceNet安全性,安全性联锁开关可以与变速传动,安全性网络监视器可与照亮幕,安全性可编程逻辑控制器可与标准可编程逻辑控制器(PLC)的一起操作。这样,安全性控制回路的完整性不会受到任何标准控制设备的影响,而无论采用了何种设备的组合。
因此,通过使用工业自动化协议(例如DeviceNet、EtherNet/IP等),控制体系结构的安全性方面可以以与标准控制环境相同的方式自动化。不论安全性和标准控制维持独立还是集成,用户也可以将对非安全性设备使用DeviceNet所获得的好处应用到安全性应用程序,诸如降低工程和安装成本、增加诊断信息以及增加体系结构的灵活性。
在另一实施例中,安全性回路可以被构建成无需控制器。在这种方式中,对等通信可允许传感器使用无缝桥接和路由直接与制动器或安全继电器通信,所述无缝桥接和路由可允许控制网络的一个分段上的安全继电器连接到另一个分段上的安全性垫(mat)或照明幕。由此,“端到端”安全性允许这样的回路由标准、商业开关和桥接技术来关闭。
对安全性回路的复杂连续控制可以类似地使用安全性控制器技术来实现,后者中PLC连接到不同工业自动化协议段(例如一个EtherNet/IP和另一个DeviceNet),响应于本地网络段或利用工业自动化协议桥接和路由能力的一个或多个远程段上的在场传感安全性设备和控制安全性制动器。这样,将网络体系结构分割成多个DeviceNet安全性段可优化对时间要求严格的安全性回路。这种对多个网络段的可缩放集成可以产生更短的回路闭合时间从而以及更严密的安全性禁区。在一种方式中,独立式单元(cell)级的工业安全性协议(例如DeviceNet、EtherNet/IP等)段可以在EtherNet/IP底板上集成,以允许跨多个单元对等通信。
现在参考图3,它示出了其中USB 10被用作底板模块和独立式安全性块两者的控制系统。安全性控制器52与包含MNIC 32、扩展端口30以及USB 10的现场I/O组件54通信。桥接元件62经由扩展端口30将安全性数据发送到USB 10。如现场I/O组件54中所使用的,USB 10被用作底板模块。此外,USB 10作为独立的安全性模块直接经由控制网络60与安全性控制器52通信。
经由控制网络(例如,DeviceNet、ControlNet等)60提供现场I/O组件(FIOC)54、USB 10和安全性控制器52之间的通信。MNIC 32标识接收到的消息,并基于它们是安全性消息还是标准消息来处理它们。如果数据被确定为非安全性,它经由MNIC 32被导出到标准数据表以供处理。然而,如果数据被确定为安全性,该安全性数据经由桥接元件62被桥接至USB 10和/或从USB 10桥接以用于处理。桥接元件62可以用于适当地处理接收到的和/或发送的数据,且可以包括用于将数据从安全性网络60传输到FIOC 54内的MNIC 32和USB 10的硬件、软件和/或固件。此外,可以周期性地更新固件和/或软件来指定在MNIC 32和/或USB 10内对特定数据的处理。
虽然在该控制系统中所示的实施例示出了网络60连接到模块化非安全性I/O组件32并进而连接到USB 10,但构想了控制设备基本上任意组合。此外,标准(例如非安全性)和安全性I/O可以如所期望的排序。例如,两个模块化标准(例如非安全性)I/O组件可以被耦合到MNIC 32。USB 10可以被耦合到前两个模块化标准I/O组件,一个或多个标准I/O组件(未示出)可以被耦合到四个模块化安全性组件。因此,构想了安全性和标准I/O模块的基本上任意组合以及相应的数据类型(例如数字、模拟、应变仪、热电偶、线性换能器等)。
MNIC 26和USB 10可以沿着共用底板与控制网络(例如DeviceNet、ControlNet等)通信。经由网络接口(未示出)便于从控制网络60到底板的连接。该底板可以包括在控制系统内通信的每个I/O设备的形状因数中。这样,每当向系统添加额外的模块化I/O设备和/或块I/O设备时,将追加底板。可使用底板接口24便于跨底板到USB 10的通信。
相反地,USB 10可以使用网络接口22直接与控制网络60通信。在一个实施例中,网络接口22可以是插入式插孔,它接收DeviceNet安全性网络电缆与作为控制体系结构中的独立安全性块的USB 10交互。网络接口22可以包含用于提供从USB 10到控制网络60的电连接的一个或多个螺旋式接线柱、插座等。应该理解以上描述仅是说明性的,USB 10可以使用基本上任何协议和/或标准与网络直接通信。
在独立方式中,USB 10可以接收、处理和发送安全性相关数据。额外的I/O模块可以追加到USB 10上以便提供灵活的控制体系结构。在一个示例中,将额外的I/O模块被添加到独立USB 10中,以容纳额外的控制系统。在另一方法中,网络接口提供直接通信,其中独立USB 10被用作底板模块(如FIOC 54中所示)。
图4示出了其中USB 10被用在控制I/O的三个不同方面中的控制体系结构。第一方面中,USB 10用于FIOC 54作为底板模块。第二方面中,USB 10在FIOC 56内用作可扩展安全性块,其中一个或多个额外的I/O模块可以被耦合到USB 10用于扩展的I/O性能。第三方面中,USB 10被用作可与控制网络60直接通信的独立安全性块。
USB 10可以与一个或多个控制设备通信,且可以用在整个控制体系结构中的任意数量的位置中。可以经由网络接口22、底板接口24和底板扩展26以便于这种灵活性。因此,网络接口22可以便于USB 10和控制网络60之间的通信。USB10也可以使用网络接口22和底板扩展26在基本上相同的时间与控制网络和底板上的各种I/O通信。当USB 10被用作底板模块时,底板接口可以用于与底板通信。
图5示出了其中现场I/O组件(FIOC)54经由第一通信协议(例如DeviceNet、ControlNet、Ethernet/IP等)网络72被耦合到控制器52和模块化安全性I/O组件56的控制网络。此外,第二FIOC 56和独立USB 10经由第一通信协议被耦合到控制器52。
第三FIOC 74经由第二通信协议(例如DeviceNet、ControlNet、Ethernet/IP等)网络76被耦合到控制器52。第四FIOC 78经由第三通信协议(例如DeviceNet、ControlNet、Ethernet/IP等)网络80被耦合到控制器52。在一种方法中,三个网络72、76和80中的每一个使用不同的协议。
FIOC 54、56、74和78的各自包括MNIC 26、桥接元件62、扩展端口14以及USB 10。应该理解USB 10可以包括任意数量的输入和/或输出终端,其中每个终端可以任意类型和/或格式的数据。类似地,MNIC 26可以包括基本上任意数量的各种格式的非安全性数据。MNIC 32可以处理从协议网络72、76和80的每一个接收到的非安全性数据。桥接元件62将安全性数据导出到USB 10以供处理。
为了与各种控制网络72、76和80通信,网络接口可以采用人工智能(AI)组件(未示出)以确定由网络接口接收到的协议的类型。例如,AI组件可以确定对这种协议中数据的适当处理。在本发明的一个方面中,可以使用机器学习来确定接收到的数据的适当格式和/或对其的处理,其中可以使用带有所期望结果和/或非期望结果的数据格式和/或处理技术的示例的一个或多个训练数据集来训练系统。在另一方面中,可以基于指示期望结果的一个或多个特征使用初始条件。这种初始条件可以随时间并响应于与返回结果相关联的用户动作调整以便改进鉴别力。
此外,如这里所使用的,术语“推断”通常是指从经由事件和/或数据捕捉的一组观察值推出或推断系统、环境和/或用户状态的过程。推断可用于标识特定的上下文或动作,或者例如可以生成状态上的概率分布。推断可以指的是用于从一组事件和/或数据中组成更高级事件的技术。结合本发明,可以使用各种分类方案和/或系统(例如支持向量机、神经网络(例如,反向传播、前馈反向传播、径向基(radialbase)以及模糊逻辑)、专家系统、贝叶斯网络以及数据融合)用于执行自动化和/或推断动作。
工业自动化现场总线和相关联的协议可以允许控制、配置和数据收集,并提供各种好处,诸如:介质独立性、多数据交换选项、无缝、多跳式(multi-hop)路由以及生产者/消费者服务。工业自动化现场总线的典型应用(例如协议网络72、76和80)可以包括例如按钮控制、机器人焊接单元控制、传输线(transfer line)、打包机器、燃烧器管理、紧急停机和/或吊索装置。此外,工业自动化协议可以轻易地集成到现有的标准工厂范围系统的各种制造设置中,诸如汽车、半导体、娱乐和食品和饮料行业。
工业自动现场总线网络可以基于现有网络中的实现,并向用户提供实现安全性解决方案的显著灵活性。一个优势是如果用户一开始安装了“仅安全性”体系结构,那么用户可以通过在网络上添加标准设备,在将来轻易地升级到集成系统网络(例如安全性和标准)。可以执行这种集成,同时在整个网络中维护安全性和非安全性数据的完整性时。
一种工业自动化协议,EtherNet/IP标准允许来自多个供应商的诸如I/O和控件等各种设备在运行EtherNet协议的网络上通信。这种方法与独占(proprietary)方法形成对比,在后者中运行来自特定供应商的Ethernet协议的控制器仅可以与该供应商的Ethernet I/O协同工作。
EtherNet/IP允许来自不同供应商的设备之间的互操作性,因为Ethernet仅定义了物理介质、用于共享物理介质的方案以及用于跨网络移动数据分组的简单帧格式和解决方法。Ethernet未定义的上层协议确定网络的功能以及设备如何在一个或多个工业自动化协议网络72、76和80上彼此通信。上层协议必须运行在Ethernet的顶部,且EtherNet/IP协议可使用这种上层协议来提供工业设置中所采用的标准。
普通Ethernet中的上层之一是TCP/IP,即传输控制协议/因特网协议,它提供了使得设备彼此传送消息的服务。然而,TCP/IP不能保证设备知道如何处理它们接收到的消息。相反,可以使用应用层协议使连接的设备理解接收到的消息。
典型的应用层协议是用于万维网的HTTP以及用于电子邮件的SNMP。然而,工业设备在应用层不具有这样的协议。EtherNet/IP定义几个这种层次中的一个。EtherNet/IP使用称为TCP/IP封装的方法使得这些协议的消息通过Ethernet网络。在一个例子中,运行DeviceNet的设备可以将DeviceNet消息封装成Ethernet消息的数据部分。接着可以使用运行Ethernet数据链路层的芯片来处理和/或传递该消息。
EtherNet/IP协议网络也采用UDP/IP(用户数据报协议/IP)以允许通过隐式的消息通信来进行多点传送。源将消息发送到一组目的地(相比单点传送:发送不同的消息到每个目的地)是多点传送的代表。隐式的消息通信仅将实时I/O信息置于Ethernet消息的数据段中,而无协议信息。多点传送的目的在于最小化网络通信量,隐式消息通信的目的在于最小化在接收消息的节点处处理消息所需的时间。好处在于这种消息可以是简短的、涉及少量处理开销且促进控制所需的对于时间要求严格的性能。
消息封装和其他技术的使用使得源自诸如DeviceNet等一个工业自动化现场总线上的消息传递到诸如EtherNet/IP等另一网络,而无需使用应用层协议。此外,该方案允许网络桥接设备(例如桥接元件62)在网络端口之间转发消息内容,而无需作用于消息的内容。
另一工业自动化协议是DeviceNet,它允许设备为了精确的系统性能同步,它也可以用于一个或多个安全性系统。这种特征包括自动检查重复的节点地址、数据链路层内嵌式重试、通过配置建立优先级、在受压力时大约≤107的比特差错率(即大约在完全载荷系统上每150年发送一个错误)。DeviceNet也对每个到网络的连接采用错误计数器,并使用基于连接的消息通信,使得生产者和消费者都能标识处数据故障。同样,标准的DeviceNet介质和拓扑要求当用在安全性实现中时无改变,这意味着当前DeviceNet用户可通过向现有网络添加DeviceNet安全性设备继续使用现有的布线来实现安全性系统,这自动化对于其他的工业自动化协议也适用。这样,最终用户可以在单个网络上集成标准和安全性控制。该特征可以带来大量成本节省,因为通常硬连接到安全性控制器的安全性设备现在可以在现有的DeviceNet上直接连接,与其它安全性和标准设备共享网络。
DeviceNet安全性协议确保标准设备不妨碍安全性设备的功能,反之亦然。使用常规的安全性协议,要求制造商运行仅用于安全性控制分开的网络,这给系统增加了不必要的复杂程度。此外,并非紧密地集成到标准控制系统体系结构中的分开的网络通常阻止系统唯一地响应于每种类型的故障。
当涉及多个网络时,考虑如何关闭安全性回路是重要的。有两种关闭输入和输出设备之间回路的方法。第一种是以控制器为中心的方法,它命令所有的安全性回路通过安全性PLC,诸如控制器52。第二种是安全性网络控制器方法,它无需安全性PLC成为安全性回路的一部分。后面的方法可以被分类成对常规继电器的替换,且通常被用于非常严密的回路闭合中。
两种方法具有各自优势,且不互相排斥,这意味着制造商可以使用它们的组合。DeviceNet安全性系统通过允许任何设备与网络体系结构中同一段或另一分段上任何其它的安全性点会话来支持两种方法。
使用DeviceNet安全性协议,诊断通过允许应用程序测试整个回路的完整性而超越了对连接到网络的单个节点的状态检查。输入和输出模块可以具有诸如“脉冲测试”和“数据回音”等特征,所述“脉冲测试”验证输入和输出电路是运作的而非短路,“数据回音”使用反馈来检查输出模块接收到了命令并且按照命令行动。
高级诊断也可以检查外部负载以验证电压被应用到制动器上,且输入和输出模块具有检测开路或短路电线以及功率损失的能力。工业自动化协议可以自动地继承由EtherNet/IP、ControlNet和DeviceNet的用户所使用的桥接和路由能力。因此,从工厂范围的角度而言,DeviceNet安全性用户受益于多重链路体系结构。在一个示例中,单个DeviceNet安全性网络可以包括64个之多的设备,但是由于DeviceNet安全性是基于无缝、多重链路体系结构的,最大设备计数实际上是无限的。在另一示例中,多个DeviceNet安全性段可以使用高速EtherNet/IP底板互相连接,其上所有节点就像它们是在同一段上一样无缝地通信。
当设计安全性系统时,不仅必须考虑传感器和制动器的数量,也必须考虑从传感器到制动器的最大响应时间。实际上,控制网络设计者一般会最小化单个段上的节点数量,以最大化每个节点可用的网络带宽。由于安全性协议开销,在安全性网络上可以连接到单个节点的传感器的数量比标准网络上小得多,这种减少变得更加重要。作为补救,工程师可以将DeviceNet安全性解决方案分成分开的网络,其中每个网络被配置成提供所需的精确响应时间,同时只发送所需的信息给其它网络,从而最大化带宽。除了分开的网络之外,多回路特征以及安全性控制器也有助于确保性能。
这种特征允许原始设备制造商(OEM)设计各自具有其自己的分开子网的独立的机器,以确保可以访问一台机器上的安全性回路,而不受其它机器的负面影响。从OEM的观点来看,确保和负责诸如它们机器的安全性禁区等性能输出的能力是关键性的。同时,最终用户也会受益,因为多个机器可以使用EtherNet/IP底板交叉联锁,而不必危及任何单个机器的设置参数或性能完整性。
集成对标准的应用程序是有益的,但是最终用户可能会谨慎于利用安全性应用程序中的特征,因为需要(如IEC 61508中所述)将标准和安全性控制系统作为独立实体来维护。IEC 61508标准要求两种方法之一:对于安全性和标准控制功能的物理分隔或逻辑分隔。DeviceNet安全性支持两种方法,但是最好是强制逻辑分隔。这种逻辑分隔确保了安全性操作,并且相比实现物理分隔提供了以较低的成本改进生产力的较大的机会。单个控制器平台可以用于强制逻辑分隔,这简化了对安全性系统的配置,并且减少了训练。此外,它通过最小化维护系统所需的专业知识的程度最少来增强系统的整体安全性性。
尽管,为了简化说明起见,图6和图7的方法作为顺序地执行来示出和描述的,但应该理解和领会本发明不受所述顺序的限制,依照本发明,某些方面可以以不同的顺序和/或与这里所示出和描述的其他方面同时发生。此外,并不是所有示出的特征对实现依照本发明的一方面的方法都是必需的。
现在参考图6,示出了确定接收到的数据与安全性还是非安全性相关以及相应地处理这种数据的方法。在100处,经由网络接口从控制网络接收到数据。接收到的数据可以使用诸如CAT-5、同轴电缆、双绞线等适当的介质通过网络传输。此外,数据可以经由诸如DeviceNet、ControlNet、EtherNet/IP等一个或多个协议传输。网络接口可以经由一个或多个有线或无线装置耦合到控制网络。此外,可以在周期性基础上、基于条件或在持续基础上接收数据。
在102处,一个或多个处理组件确定这种数据是与安全性还是非安全性相关。在一个示例中,将数据与已知安全性数据查找表作比较。如果接收到的数据匹配列表上的数据,那么认为该数据是安全性数据。在另一示例中,安全性表被耦合到AI组件(未示出),并基于一个或多个因素对接收到的数据的类型(例如安全性或非安全性)作出推断。这样的因素可以包括数据值、数据源、数据格式、关联元数据、开销等。当接收到数据时,数据可以通过接口传输到安全性表,或者可以首先在存储器(未示出)中累积,然后周期性通过接口传输至安全性表。
在104处,一旦作出数据不是与安全性相关的判断之后,数据就被桥接到标准数据表。标准数据表可以包括标准(例如非安全性)数据列表和/或基于如上所述的推断确定这种数据是非安全性的。或者,在102处与安全性表比较之后,可以默认地将数据指定为非安全性的。
在106处,从标准数据表将数据传输到非安全性I/O组件。非安全性I/O组件可以与任意类型的外形或形状因数相关联。可将这种形状因数另外地设计成遵循一个或多个标准(例如IP67),防止灰尘和/或液体侵入。此外,非安全性I/O组件可以是块设计,其中指定了多个预定的I/O终端。在另一实施例中,非安全性I/O组件可以是模块化设计,其中根据所需将I/O终端添加到控制系统中。应该理解,尽管讨论了单个非安全性I/O组件,但是构想了使用基本上任意的外形和/或形状系数设计(例如块、模块等)的任意数量的非安全性I/O组件。
在108处,经由非安全性I/O组件处理数据。这种数据处理可涉及分析和操纵一个或多个与数据相关联的参数。在一个示例中,数据分组被打开,各种参数被提取以供在控制系统中使用。例如,可以分析诸如与特定控制设备相关联的位串、开销错误检验信息、元数据等各种信息。在处理数据之后,非安全性I/O组件可以执行任意数量的功能,诸如返回到空闲模式以等待进一步的指令、处理其他接收到的数据等。
在110处,在作出接收到的数据是与安全性相关的判断后,从安全性数据表将这种数据发送到安全性I/O组件。如所述的,安全性I/O组件可以按照任何形状因素、设计、布局或外形。此外,安全性I/O组件可以是块设计和/或模块化设计的。此外,可以使用基本上任意数量的终端、数据类型、格式等。
在112处,经由安全性I/O组件处理数据。对这种数据的处理可包括确定数据源、特定数据串的值、数据格式、相关联的安全性级别、紧急级别等。这样,可以分析安全性数据以确定是否要采取动作。在一个示例中,动作可以是将一个或多个数据值放到安全性状态中。这种安全性状态可以是预定的,诸如断电、通电、开关(toggle)数据值等。
图7示出了混合分块和模块化I/O组件的方法。除了混合I/O组件之外,可以混合信号,其中安全性和非安全性信号都被发送给I/O组件。在120处,控制器通过接口连接到通用安全性块。基于任何数量的因素,控制器可以用于接收、存储和/或发送数据。此外,存储器可以与控制器相关联,用于数据和/或算法存储。处理器可用于执行一个或多个与数据操纵相关的命令和/或一个或多个附加进程和/或任务。
控制器可以被配置成使用特定语言或协议通信。在一个示例中,控制器可以在DeviceNet网络上通信,并可以硬连接到网络接口。通过进一步的示例,控制器可以从特定体系结构中的多个各异的控制组件接收多个进程控制数据。例如,可以从一个或多个驱动器、螺线管、传感器、测量系统、热电偶、编码器等收集数据。
在122处,模块化非安全性I/O组件经由扩展端口被连接到通用安全性块。模块化非安全性I/O组件可以接收、存储、处理和/或输出从扩展端口发送的非安全性数据。扩展端口用于允许一个或多个模块化I/O组件耦合到块I/O组件以便为控制体系结构提供灵活的I/O能力。应该理解可以使用任意数量的扩展端口将一个或多个块I/O组件耦合到一个或多个模块化I/O组件。此外,I/O组件可以被特定地用于所有的安全性数据、非安全性数据以及安全性和非安全性数据的任何期望的组合。在126处,经由网络接口从控制网络接收到数据。在128处,基于数据是与安全性还是非安全性相关的来排序和处理数据。
参考较佳实施例描述了示例性实施例。显然,在阅读和理解前述详细描述时,可对其它作出修改和变更。旨在将示例性实施例解释为包括落入所附权利要求书及其等效实施方式范围内所有这样的修改和变更。