专利名称:用于自动化设备的输入和/或输出安全模块的制作方法
技术领域:
本实用新型涉及一种输入和/或输出安全模块,用于连接到自动化系统或自动化 设备上,其中自动化系统设置用于控制多个安全关键及非安全关键的进程和/或设备组 件。输入/输出安全模块可以不仅是一种输入安全模块、一种输出安全模块,也可以是一种 输入及输出安全模块。
背景技术:
对于用于控制技术性进程或技术性设备的自动化系统来说,通常要求对多个安全 关键的进程或设备组件与多个非安全关键的组件分开地控制。例如在DE 10 2004061 013 Al中公开了为此所需要的组件,如安全设置的控制器和其上连接的安全输入/输出模块 (也称为输入/输出安全模块)。在那里所描述的输入/输出组件除了控制接口之外还具有 额外的用于监控集成在输入/输出组件中冗余设置的现场设备连接组件,其中现场设备连 接组件通过多个接口中的一个接口连接到监控装置上,并且监控装置通过其他的控制接口 与一个控制器进行通讯。现场设备连接组件例如被设置为用于获取进程数据的标准组件。在EP 1 703 346 A2和US 7319 406 B2中描述了其他的安全输入/输出模块。在 那里所示出的作为输入/输出单元工作的安全模块不具有其他的非安全设置的通讯主板, 该通讯主板用于往返传输安全的及非安全的数据。由此,在上述这些系统中缺乏一种简单 的可行性方案,即对用于安全的及非安全的输入/输出模块的标准接口进行限定。通常,要 对安全关键功能与非安全功能进行明确地区别,也是比较困难的。例如在DE 102004056363 Al中描述了前述的安全设置的控制系统不能应用在模 块化构架的控制系统,或者只能通过额外的硬件成本和开发成本集成在现有的模块化构架 的控制系统中。
实用新型内容因此,本实用新型的目的在于,提出一种安全的输入和/或输出模块,其优选能够 应用到模块化构架的、用于控制安全关键及非安全关键的进程和/或设备组件的自动化系 统中,并且避免了上述现有技术的缺陷。尤其是,根据本实用新型的输入和/或输出安全模 块(下文也称为输入/输出安全模块)对此而适用于,以简单而成本低廉的方式提供一种 现存的具有输入/输出安全模块的模块化构架的非安全控制系统。该目的根据本实用新型的输入/输出安全模块来实现。根据本实用新型提出一种 输入和/或输出安全模块,用于连接到自动化系统或自动化设备上,所述自动化系统设置 用于控制多个安全关键及非安全关键的进程和/或设备组件,所述输入和/或输出安全模 块具有通讯主板,其处理单元通过输入/输出总线次设备和在其上连接的外部输入/输出 总线连接到中央单元上,其特征在于,所述通讯主板具有串行的通讯主设备,所述串行主设 备通过至少一个其上连接的通讯连接装置与一个或多个安全的处理单元这样连接,所述处 理单元设置在具有用于安全设置功能的安全设置输入/输出电路的一个或多个印刷电路板上,即所述至少一个印刷电路板为此而设置,即所述印刷电路板接收由所述通讯主板发 送的电报,在用于安全设置功能的印刷电路板上分别设有至少一个内部通讯次设备,所述 内部通讯次设备通过内部通讯连接装置与串行的通讯主设备连接,在安全设置的输入/输 出电路上通过接口连接其他的用于安全关键进程和/或安全关键设备组件的现场设备,所 述安全处理单元之间的同步通过同步连接装置进行,并且仅在用于安全设置功能的印刷电 路板上的处理单元通过用于两者之间往返传输安全设置电报的至少一个第二内部通讯连 接装置与所述通讯主板的处理单元连接。在安全设置的输入/输出电路上还可以通过相应的接口连接用于安全关键进程 和/或设备组件的现场设备。在安全的处理单元之间,为了相互间的同步或数据协调设有同步连接装置,由此 安全的处理单元相互之间进行监控和同步。监控及同步机制可以例如根据“PROFIsafe-PROFIBUS DP安全技术概况以及 PROFINET IO概况部分,参见 I3ROFIBUS 及 PR0FINET 的 IEC 61784-3-3 说明书。2. 4 版,2007 年3月,文档编号3. 192b”或类似的方式来进行。根据本实用新型还设置,即仅通过多个设置在印刷电路板上的、用于安全设置功 能的安全处理器中的一个安全处理器以及相应的内部通讯次设备,并且借助于内部通讯主 设备上的至少一个第二内部通讯连接装置来传输安全设置的电报。由此而确保了,安全设 置的电报仅通过多个安全处理器中的一个安全处理器发送到通讯主板的内部通讯主设备。在根据本实用新型的输入/输出安全模块的设计方案中,第二内部通讯连接装置 这样设置,即此外也能够接收由通讯主板发送的电报。以有利的方式,通讯主板在使用所谓的黑色通道通讯原理下将通过设置在中央单 元上的外部输入/输出总线主设备进行对印刷电路板的内部串行通讯次设备的通讯,该印 刷电路板(下文中也称为安全控制主板)具有安全设置的功能。在此,通讯主板为了与安全控制主板进行通讯承担的任务是,通过集成的安全镀 层将安全设置的电报发送到设置在中央单元上的外部输入/输出总线主设备。为此使用到所谓的“黑色通道通讯原理”,其例如在“PROFIsafe-PROFIBUS DP安全 技术概况以及PROFINET 10概况部分,参见PR0FIBUS及PROFINET的IEC 61784-3-3说明 书。2. 4版,2007年3月,文档编号3. 192b”中公开。通过对通讯主板和安全组件上的区分以有利的方式实现了,输入/输出安全模块 中安全设置部分与非安全关键通讯进行严格地区分。以此而明显地降低新型输入/输出安 全模块的开发成本,并且能够严格地区分安全关键功能和非安全关键功能。在另一有利的设计方案中设计出,输入/输出安全模块由此而构成,即现有的安 全控制主板通过前述的通讯主板进行改进,并且还只是在安全控制主板和通讯主板之间添 加上内部的通讯连接装置。在优选的实施例中,输入/输出安全模块具有冗余的内部1οο2 (2选1)安全架构, 该安全架构由两个安全处理器构成并且带有相应的用于彼此数据交换的单元。为了在安全 处理器之间实现快速的同步和/或监控,用于数据交换的单元优选设置为双端口内存。双 端口内存这样设置,即在其两个访问端上能够同时进行读取访问和/或写入访问,从而能 够实现对于两个处理共同数据的分立系统的同时访问,而分开的系统不会受到访问速度上的限制。因此明显地提高了待传输的安全设置电报上的访问时间。但是,输入/输出安全模块也可以构架在一个不同于1οο2(2选1)安全架构的安 全架构中,例如是一种1οο3架构等等。在前述的1οο2架构中,能够直接与通讯主板交换 电报的安全处理器不可能确认出一种循环冗余检验(CRC- —种用于确定数据的校验值的 方法,以使得在传输或存储中能够识别出故障),该循环冗余检验在内部通讯连接装置上有 效生成电报时是必须的。这种CRC确认可以仅通过冗余的处理器执行并且报告给第一处理 器。以此而确保,两个处理器在多个有效的电报上进行协作。这样的要求将使得,在安全控 制器的两个处理器中的一个出现故障或者错误的功能时确保系统的安全性。具有优选两个冗余的处理单元(用于安全关键的输入和输出电路)的输入/输出 安全模块能够根据安全设置的输入/输出电路在安全控制主板上的设置,作为安全的模拟 和/或数字输入/输出电路灵活地用于不同的功能,例如用于与现场设备的模拟和/或电 子输入和输出端进行连接。输入/输出安全模块也可以作为输入和/或输出设备应用于大型的自动化系统, 作为分散的输入和/或输出设备应用于这样分散的大型自动化系统,或者在独立自动化设 备中作为可本地连接的输入和/或输出设备使用。根据本实用新型的输入和/或输出设备的另一优点在于,一种用于非安全关键应 用的优选模块化构架的控制系统也能够以简单而成本低廉的方式且无需外围的硬件成本 着力于安全关键的应用。
本实用新型及本实用新型有利的设计方案及改进方案将通过在附图中示出的实 施例来详细描述及说明。其中图1示出了一种模块化构架的控制系统的实施例,该系统用于控制安全设置及非 安全设置的进程,具有根据本实用新型的输入和/或输出安全模块,图2示出了根据本实用新型的输入和/或输出安全模块在1οο2架构中的详细实 施例,并且示出了在安全模块中并且通过外部输入/输出总线对于中央单元的通讯,和/或 通过总线联接器对于其他分散单元的通讯,并且图3示出了基于1οο2安全架构的输入和/或输出安全模块的硬件结构。
具体实施方式
图1示出了一种模块化构架的控制或自动化系统,其具有第一控制单元1,其设 置用于控制非安全关键的进程和/或非安全关键的设备组件;多个中央输入/输出单元 11、21的与其连接的模块,该输入/输出单元通过优选设置为后台总线的内部输入/输出 总线IOBl以及集成在第一控制单元中的输入/输出总线主设备Ia分别与第一控制单元1 连接;以及可选的至少一个设置为现场总线_主设备联接器的通讯联接器模块5、6,其将控 制通过现场总线FB与多个现场总线_次设备7、8以及在其之上连接的输入/输出单元71、 72、81、82的通讯。总线主设备联接器5、6例如分别通过内部联接器总线(其与通讯联接器5、6构造 相同)与第一控制单元1连接。[0028]还设有至少一个第二控制单元2(也称为安全控制器),用于控制安全关键进程 和/或安全关键设备组件。安全控制器2为了提供安全设置的功能包括至少两个处理器以 及第一、优选设置为双端口内存的接口,其中两个处理器中仅一个处理器与双端口内存连 接。安全控制器2通过双端口内存与第一控制单元1连接。输入及输出单元不仅包括带有安全设置功能的安全单元21、72、82,也包括不带有 安全设置功能的非安全单元11、71、81。第一控制单元1通过安全控制器2、电源单元和显示和/或操作单元构成一个用于 控制或自动化系统的中央单元CL的模块。中央输入/输出单元11、21的直接与中央单元CL模块连接的模块和分散单元71、 72、81、82的模块都能够如前文所述那样根据其功能设置为安全设置与非安全设置的设备。在图1中示出的分散单元71、72、81、82也分别通过另一优选设置为后台总线的输 入/输出总线I0B2、I0B3相互连接,其中各个输入/输出总线I0B2、I0B3通过集成在现场 总线次设备7、8中的输入/输出总线主设备lb、lc连接到现场总线上。在输入/输出单元11、21、71、72、81、82中优选分别集成有三个印刷电路板LP1、 LPS1、LPS2,其通过至少一个内部通讯连接装置IKB、IKB1、IKB2相互进行数据交换。在此, 通过第一通讯连接装置IKBl仅将数据发送给安全控制主板。通过第二通讯连接装置IKB2 能够将数据往返发送给安全控制主板。为此,在安全控制主板上分别设有至少一个内部通 讯次设备,其与内部通讯连接装置连接。通讯连接装置1KB仅应用于用以非安全设置数据 传输的非安全设置的输入/输出单元11、71、81。例如,输入/输出设备的电气和/或机械实施方式符合DE 10 2008058 090中描 述的输入/输出模块的结构。基于图1中示出的控制系统的优选的1οο2架构,安全单元21、72、82除了用于非 安全设置通讯的第一印刷电路板LPl之外,还包括用于安全关键或安全设置功能的另外两 个印刷电路板LPS1、LPS2。其他的印刷电路板LPS1、LPS2之间的通讯借助于同步连接装置 IF2进行。为此,在其他的印刷电路板LPS1、LPS2上设有至少两个设置为安全处理器的处 理单元,其具有对应的存储器和时钟发生器。多个安全处理器相互间进行同步。安全处理 器的构造及其功能在现有技术中是已知的。中央单元CL也可以像输入/输出单元11、21和通讯联接器5、6 —样通过模块载 体设置在不同架构的基板上,其中输入/输出单元11、21能够直接连接到中央单元CL和通 讯联接器5、6上。基板还具有用于分散单元7、8和/或分散基站的标准现场总线连接的现 场总线端口。在特别的设计方案中,基板卡到标准支承轨道上,其中至少一个输入/输出单元 11、21也可以卡到支承轨道上并且通过相应的基板电气及机械一同插接。还证实了有利的是,中央单元CL的模块、输入/输出单元11、21和通讯联接器5、 6彼此之间所有都能够通过插塞连接无线地进行电气连接或被连接。优选的,中央单元CL、 输入/输出单元11、21和通讯联接器5、6分别通过插塞和/或卡锁装置可解除地彼此连接 或被连接。图2示出了根据本实用新型的输入和/或输出安全模块在1οο2架构中的详细实 施例,该模块具有两个冗余的印刷电路板LPS 1、LPS2,并且示出了在安全模块中且通过输入/输出总线IOBl和其上连接的输入/输出总线主设备1的通讯。输入/输出安全模块包括设置为通讯主板的第一印刷电路板LP1,其用于提供通 过输入/输出总线次设备12和其上连接的、优选设置为后台总线的输入和输出总线IOBl 与内部通讯主设备10和其上连接的、优选设置为串行接口的内部通讯连接装置IKB1、IKB2 的非安全关键的通讯。输入和输出总线IOBl为此而设置,即根据本实用新型的输入/输出模块通过在中 央单元中集成的输入/输出总线主设备Ia与中央单元CL(根据图1的图示)进行连接。通过内部通讯连接装置IKB1、IKB2,通讯主板LPl与带有安全设置的输入/输出 电路(用于安全设置功能)的两个印刷电路板LPS1、LPS2(也称为安全控制主板)连接。 安全控制主板的安全设置功能例如是在输入/输出安全模块中的自我监控措施,如同通道 之间的协调检测、自我检测、合理性检测,但也可以是在电压降、短路、过电压或局部过载上 的一种监控。在安全控制主板LPS1、LPS2上设有一种安全设置的应用程序25、35,其用于处理 在安全输入/输出单元中的安全信号。为了数据交换或同步,在安全控制主板LPS1、LPS2之间设有同步连接装置IF2。图3示出了基于1οο2安全架构的输入和/或输出安全模块的硬件结构。在此示出的基于1οο2安全架构的输入和/或输出安全模块的硬件结构,该硬件结 构包括设置在通讯主板LPl上的第一处理单元14以及分别设置在安全控制主板LPS1、LPS2 上的安全处理器24、34,这些安全处理器在下文中表示,设置在第一安全控制主板LPSl上 的第一安全处理器24,和设置在第二安全控制主板LPS2上的第二安全处理器34。设置为安全处理器的处理单元24、34分别匹配于相应的存储器和时钟发生器。安 全处理器24、34这样设置,即其相互之间进行监控。为此,处理器24、24彼此间通过同步连 接装置IF2进行同步。两个安全处理器24、34中的一个(例如第一安全控制主板LPSl的第一安全处理 器24)通过单独的内部通讯通道(也称为第二内部通讯连接装置IKB2)与通讯主板LPl这 样连接,即通讯主板LPl能够与安全控制主板LPSl交换安全设置的电报。为了例如对于过电压或电压降来监控电压而设有监控单元40,其优选设置在通讯 主板上,并且分别与设置在安全控制主板LPSl、LPS2上的输入/输出电路23、33通过连接 装置ΚΙ、K2连接,从而能够实现在输入/输出安全模块中的电压监控。通过安全处理器24、34的冗余设置,在本实施例中,第一安全控制主板LPSl的第 一安全处理器24仅为此而设置,即使安全设置的电报通过内部通讯连接装置IKB2传输给 通讯主板LPl的处理单元14。在前述1οο2架构中,直接与通讯主板LPl交换电报的安全处理器24不可能计算 出循环冗余检验(CRC- —种用于确定数据的校验值的方法,以使得在传输或存储中能够识 别出故障),该循环冗余检验在双端口内存DPRl的接口上有效生成电报时是必须的。这种 CRC计算可以仅由冗余的处理器34来执行并且通过内部连接装置IF2报告给第一处理器 24。以此而确保,两个处理器在多个有效的电报上进行协作。这样的要求将使得,在安全控 制器2的两个处理器22a、22b中的一个出现故障或者错误的功能时确保系统的安全性。在安全控制主板LPS1、LPS2上,多个用于安全关键的进程和/或设备组件的现场设备(也称为安全设置现场设备)能够借助于相互监控的安全输入/输出电路23、33通过 接口 50进行连接,并且例如通过输入/输出总线次设备12和其上连接的外部输入和输出 总线IOBl连接中央单元CL。 具有接口 50的安全输入和/或输出通道在两个安全印刷电路板LPSl、LPS2上冗 余分布,并且通过安全电路23、33通过安全处理单元24、34进行处理。
权利要求一种输入和/或输出安全模块,用于连接到自动化系统或自动化设备上,所述自动化系统设置用于控制多个安全关键及非安全关键的进程和/或设备组件,所述输入和/或输出安全模块具有通讯主板(LP1),其处理单元(14)通过输入/输出总线次设备(12)和在其上连接的外部输入/输出总线(IOB1)连接到中央单元(CL)上,其特征在于,所述通讯主板(LP1)具有串行的通讯主设备(10),所述串行主设备通过至少一个其上连接的通讯连接装置(IKB1)与一个或多个安全的处理单元(24、34)这样连接,所述处理单元设置在具有用于安全设置功能的安全设置输入/输出电路(23、33)的一个或多个印刷电路板(LSP1、LSP2)上,即所述至少一个印刷电路板(LSP1、LSP2)为此而设置,即所述印刷电路板接收由所述通讯主板发送的电报,在用于安全设置功能的印刷电路板(LSP1、LSP2)上分别设有至少一个内部通讯次设备(20、30),所述内部通讯次设备通过内部通讯连接装置(IKB1)与串行的通讯主设备(10)连接,在安全设置的输入/输出电路(23、33)上通过接口(50)连接其他的用于安全关键进程和/或安全关键设备组件的现场设备,所述安全处理单元(24、34)之间的同步通过同步连接装置(IF2)进行,并且仅在用于安全设置功能的印刷电路板(LSP1、LSP2)上的处理单元(24)通过用于两者之间往返传输安全设置电报的至少一个第二内部通讯连接装置(IKB2)与所述通讯主板(LP1)的处理单元(14)连接。
2.根据权利要求1所述的输入和/或输出安全模块,其特征在于,所述安全处理单元 (24,34)分别通过所述内部通讯次设备(20、30)和所述内部通讯连接装置(IKB1、IKB2)与 所述通讯主板(LPl)的串行的通讯主设备(10)连接。
3.根据权利要求1或2所述的输入和/或输出安全模块,其特征在于,所述安全模块通 过输入/输出总线主设备(Ia)上的输入/输出总线(IOB)连接用于控制非安全关键的进 程和/或非安全关键的设备组件且控制安全关键的进程和/或安全关键的设备组件的控制 单元。
4.根据权利要求3所述的输入和/或输出安全模块,其特征在于,安全设置的电报通过 所述外部输入/输出总线主设备(Ia)和所述用于安全设置功能的印刷电路板(LPS1、LPS2) 的内部串行通讯次设备(20、30)往返传输给所述印刷电路板(LPS1、LPS2)。
5.根据权利要求1所述的输入和/或输出安全模块,其特征在于,第二内部通讯连接装 置(IKB2)这样设置,即另外也接收由所述通讯主板(LPl)发送的电报。
6.根据权利要求1所述的输入和/或输出安全模块,其特征在于,所述安全处理单元 (24,34)相互间的同步和/或监控通过至少一个同步连接装置(IF2)进行。
7.根据权利要求1所述的输入和/或输出安全模块,其特征在于,仅由所述安全处理单 元(24、34)中的一个安全处理单元通过所述第二内部通讯连接装置(IKB2)将安全设置的 电报直接发送给所述通讯主板(LPl)的通讯主设备(10)。
专利摘要本实用新型涉及一种输入和/或输出安全模块,用于连接到自动化系统或自动化设备上,所述自动化系统设置用于控制多个安全关键及非安全关键的进程和/或设备组件,根据本实用新型,即至少一个印刷电路板为此而设置,即印刷电路板接收由通讯主板发送的电报,在用于安全设置功能的印刷电路板上分别设有至少一个内部通讯次设备,所述内部通讯次设备通过内部通讯连接装置与串行的通讯主设备连接,并且仅通过一个位于用于安全设置功能的印刷电路板上的处理单元借助于至少一个其他的内部通讯连接装置将安全设置的电报往和/或返传输给通讯主板的处理单元。
文档编号G05B9/02GK201740999SQ20092027458
公开日2011年2月9日 申请日期2009年12月21日 优先权日2009年11月23日
发明者彼得·埃勒尔, 格尔德·格勒克纳, 海因里希·纽帕特尔, 米夏埃尔·格尔茨, 罗伯特·伯恩 申请人:Abb股份有限公司