专利名称:具有自动地址恢复的与安全有关的自动化系统的制作方法
技术领域:
本发明涉及一种工业自动化系统。
技术背景 在一种与安全有关的自动化系统中,这样使数据在至少一个与安全有关的中央单 元和现场用仪表之间传输,从而保证了数据的时间和内容的一致性,以防止误传。这既关系 到防止对人身的伤害,也关系到设备安全。采用了失效保护的现场总线系统,其使数据以失 效保护的方式在相应的失效保护的组成部分之间进行交换,或者能够以可靠的方式识别错 误,例如具有的残错率小于10-9/小时,或者说相当于用于通信部分的规格SIL3。这样的现 场总线系统的标准尤其是IEC61508,IEC61784-3,EN954-1和EN13849-1。与安全有关的、 联网的这种类型的自动化系统典型地使用在工厂自动化和过程自动化中,例如汽车制造/ 机器制造/设备制造/或者运输技术中,例如在轨道运输/索道运输中。在一种与安全有关的现场总线系统中,首先必须以高的发现率识别出分布在总线 系统中的组成部分的寻址错误,从而在存在有错误时,可以与安全有关地进行反应。尤其是 失效保护模块和站作为组成部分在现场总线系统的一个或多个子网中联接起来,并且通过 失效保护的、也是与安全有关的所述的中央单元来控制,尤其是通过失效保护的存储可编 程控制装置来控制。在此,模块是通至技术过程的运行设备的接口,特别是通至分散地布置的激励器 和传感器的接口。根据运行设备的种类和配置的不同,这些设备必须分配有一个或多个不 同类型的模块。因此例如提供供使用的有具有数字式或者模拟式输入端、具有数字式或者 模拟式输出端的模块、具有数字式和模拟式输入端或输出端的混合式模块、具有不同数量 的输入或输出通道或不同的输入和/或输出电压范围的模块,以及其他类型的模块。通过 模块将由自动化系统的中央单元所产生的调整信号输出给技术过程或者读入在那里附加 产生的测量信号,也就是说交换过程数据。作为补充,站配备有多个插槽用来接纳模块,并 且可以设计成插入壳体。每个站都配备有一个站头部(Stationskopf),用于与现场总线连 接。因此,每个插入在站中的模块都可以与失效保护的中央单元交换数据。此外,站组可以在子网中联接起来,这些子网在技术过程方面分别形成一个工艺 技术单元,并由中央单元来管理。该中央单元是上级的处理单元,尤其是失效保护的存储可 编程控制装置,该装置借助于现场总线主机来组织与各个不同的子网的数据交换。在中央 单元和子网中的站或模块之间的数据交换一般借助于一种特定的、失效保护的通信协议来 进行,例如根据 IEC61784-3-3 的 PROFISafe。子网可以看作为整个网络的一部分,以及也看作为闭合的地址空间,在其中每个 站和每个模块都分派有一个唯一的地址,用于通过现场总线进行数据交换。这些地址是各 自子网的设计数据的一个重要的部分。它们此外还在失效保护的中央单元中进行管理,并 在以后称作为地址关系。在失效保护的自动化系统中每一个模块的地址关系都具有特别的 意义。这里理解为整套的地址体系,中央单元可以使用该地址体系通过现场总线以数据技术方式到达在某一个子网中的模块。因此,这样的地址关系至少包括模块在各自子网之内的精确的、拓扑学地址和上 级的中央单元的地址。此外在地址关系中也可以包含各自模块类型的识别码,并在必要时 包含附加的签名。为了发现传输和存储器故障,可以通过地址关系生成签名并附加地存储 在地址关系中。模块的拓扑学地址至少具有包含模块的站的地址和模块在各自站中的插槽 的地址。如果一些站在现场总线处编组成不同的子网,那么地址关系也可以附加地包含所 属的站的子网地址。模块的地址关系既存储在各自模块自身中的剩余存储器(remanenten Speicher)中,也存储在中央单元中。地址关系的正确性通过由中央单元实施的、失效保护 的通信协议,在每次数据传输时被检查。总结而言例如模块的地址关系=模块的拓扑学地址+中央单元的地址+(模块识别码+签名); 模块的拓扑学地址=(子网地址+)站地址+插槽地址。在一种与安全有关的自动化系统中,模块的调换或补充是一种特别危险的情况。 由于对模块进行机械化操作,也就是说例如取走、重新装载或者调换可能造成地址空间受 到损害并且因此变为无效,因此可能损害自动化系统的完整性。因此必须在恢复运行由与 安全有关的自动化系统来控制的技术设备之前确保尤其是在自动化系统中所管理的所有 模块的地址关系都正确,或者至少明确地识别出可能的错误。这些错误必须被识别出,这是因为否则的话在与安全有关的技术设备继续运行 时,自动化系统就可能会对逻辑错误分配的输入或输出做出反应。在最极端情况下,一个由 操作者已经认定为是停止了的运行设备可能被出乎意料地激活。如果按此方式例如使电动 机起动的话,但是在该电动机上正好在进行维护作业,那么可能无法避免人员伤害。在模块的地址关系中的特别危险的错误例如是地址偏移。在这样一种情况下,一 个或多个模块的地址关系受损,因此它们错误地与站中相邻模块的地址相互协调,这些相 邻模块有可能也还具有相互一致的模块性能。这样的错误在所属技术设备运行时可能引起 糟糕的后果。另外一种危险的错误例如在于,自动化系统的整个寻址机构,也就是说按照规 则的地址分配通过自动化系统和参与的组成部分而错误地工作。这可能引起,在设备运行 时一个模块按另一个错误模块的地址在自动化系统中发信号,而自动化系统由于其余参数 相互一致没有注意到这种错连。上面所述类型的错误可能具有系统的或者偶然的起因。它 们可能由于人工的操纵错误而引起,例如像现场总线中的电缆连接错误,站中的端口的错 连,或者由于硬件错误,例如像在网络组成部分中,后连线总线中、开关中以及其它组成部 分中的偶然的故障。已经得知有各种不同的解决办法来避免上面所述类型的问题。例如可以采用一种 现场总线,其本身具有用于安全技术的性能,用以确保地址关系、尤其是站和模块的地址关 系的一致性并通报错误。在其它系统中必须手动地调整地址关系或者在更换模块时手动地 进行匹配。为此例如可以通过拨码开关调整或者在中央单元和各自组成部分之间临时构成 一种点对点的数据连接,而在现场手动地调整例如用于每个站或者每个模块的地址关系。 在有些系统中,在更换了模块之后要求对所有运行设备进行功能检查,以便能够发现可能 的寻址错误。这种类型的系统是不利的,这是因为必须采用费用高的失效保护现场总线,或 者必需要求通过工作人员手动地采取投入运行措施或维护措施。
发明内容
因此,本发明的目的是提出一种自动化系统,因此可以在联网的自动化系统中实 现模块的地址关系的可靠的自动恢复,或者说可以至少可靠地发现可能在此出现的、不能 自动排除的错误。该目的通过权利要求1中所说明的自动化系统来实现。本发明其它有利的实施方 式在从属权利要求中说明。 根据本发明的自动化系统具有以下特别的优点特别是失效保护模块可以实现可 靠的自动的地址关系的恢复。由于在过去,例如在设计期间就已经认为是适合的在站级上 的地址关系有剩余的(remanenten)、也就是说防止电源失效的备份,因此尤其是在更换模 块时,新模块就可以从在站中的备份装置中在一定程度上重新装载已经不再存在的旧模块 的正确的地址关系。例如在更换模块之后,但也可以是在由于供电的临时中断而造成的自动化系统的 自动重新起动之后,地址关系的这种恢复可能是必要的。本发明也可以应用在一种自动化 系统中,在该系统中,在一个唯一的现场总线上运行有不同的自给自足的与安全有关的中 央单元,也就是说主机,而且在站中的这些模块被分配于各个不同的中央单元。本发明还可以应用在一种自动化系统中,在该系统中,站的头部已经起到了中央 单元的作用。在这种情况下,地址关系通过站的后连线总线被分配到已经插接到站中的模 块上。根据本发明的自动化系统还有另外的优点,即在不采用附加的辅助装置、例如编 程设备的情况下也可以更换模块。此外,还可以同时地更换多个模块,而不必对地址分配的 功能进行检查。此外,尽管要同时地更换站头部或者模块,还是检测到了总线连接电缆的可 能有的错连。最后,由于根据本发明几乎将每个地址关系都以冗余的方式备份在模块的站 级上,那么在调换模块之后就无需执行布线测试或功能测试。
以下根据附图所示的实施例对本发明和其它有利的实施方式详细加以说明。图中 示出图1示例性地示出了具有两个中央单元的、联网的自动化系统的拓扑结构,这两 个中央单元分配有分布地连接于现场总线的站中的模块;图2示出了本发明的第一实施方式,其中每个模块分配有一个自身的附加的存储 器,尤其是在终端模块中;和图3示出了本发明的第二实施方式,其中为站的所有模块都设有一个中央的附加 的存储器,尤其是在站头部中或者说总线终端模块中。
具体实施例方式图1举例示出了根据本发明的联网的自动化系统的拓扑结构。在此,例如存在两 个独立的、失效保护的自动化系统H1,H2,它们也可以简称为主机。这些自动化系统分别通 过各自配属的现场总线主机HlF或H2F和联网的现场总线F尤其与未详细示出的技术过程 (technischen Prozess)交换过程数据。在图1中也只用符号表示了现场总线F,而没有示出具体的各个组成部分。在现场总线F上例如以数据技术(datentechnischen)方式连接 了两个站A或B,这两个站分别提供了许多插槽,用来接纳模块。为了更加一目了然,没有示 出用于将模块与技术过程的运行设备连接在一起的信号电缆。 例如站A通过站头部AK以数据技术方式向外与现场总线F,而向内与后连线总线 AR连接。站A示范地提供五个插槽AP1-AP5用于接纳模块,后连线总线AR穿过这些模块构 成闭合电路。在图1实例中,插槽AP2,AP3装有失效保护模块AF1,AF2,插槽AP5装有总线 终端模块AB,而插槽AP1,AP4则空着。站B以可比较的方式,通过站头部BK以数据技术方 式向外与现场总线,而向内与后连线总线BR连接。站B示范性地提供六个插槽BP1-BP6用 来接纳模块,后连线总线BR穿过这些模块构成闭合电路。在图1的例子中,插槽BP1,BP5 装有标准模块BS1,BS2,并且插槽BP2,BP4装有失效保护模块BF1,BF2,而且插槽BP6装有 总线终端模块BB,而插槽BP3则空着。如图1中通过虚线箭头所示那样,失效保护模块AF2例如分配给中央单元H2,也就 是说主机H2,而失效保护模块AF1,BF1,BF2则分配给中央单元Hl,也就是说主机HI。也就 是说毫无困难地可以使各个失效保护模块分布在各个不同的站A,B上。每个模块分配有一 个自身的地址关系,该地址关系可以通过现场总线F实现与各自的上级的中央单元的可靠 的数据交换。在地址关系方面,从地址技术来说,在站和插槽中的各自拓扑定位和必要时与 子网的对应关系都被编码。其它的数据,例如像用于识别各自模块类型的识别码,或者是用 于确保无错误地传输地址关系的签名都可以有利地存储起来。根据本发明尽可能将站中的每一个模块的全面分级的地址关系剩余地、也就是说 以防止电源失效的方式存储在一个附加的、与各自模块独立无关的、在站级上的存储器中, 并且即使在更换模块时也保留该地址关系。其优点在于,如果一个模块要在站的某一个插 槽上占用一个旧的、可能已经损坏的模块的位置的话,则可在该模块的内部的非易失性存 储器中重新装载正确的地址关系。如上所述,地址关系有利地包括有模块的完整的拓扑地址,以及还包括了所属中 央单元的地址和必要时各自模块类型的识别码。由于完整的地址关系这样冗余地备份在站 级上的至少一个附加的存储器中,在直到现在所分配的模块或者一个任意的网络组成部分 更换之后,可以全自动地以所要求的安全性,例如通过中央单元使在新模块中的地址关系 实现恢复,而现场总线本身不必具有用于安全技术的性能。根据本设计的一种规定的地址 关系的可用性,就又可以实现与主机的可靠的数据交换。该主机通过一种失效保护通信协 议检查在每次数据传输时的地址关系。本发明具有以下特别的优点,即在恢复时自动发现 了可能在此期间发生的寻址错误并将其校正。这可能涉及到硬件故障,例如在后连线总线 或者其它的总线组成部分中,或者涉及到安装错误,例如总线电缆的错连。这样可以对应于 规定,例如IEC61508满足了安全性要求。根据本发明的第一实施方式,在站级上每个失效保护模块都分配有一个附加的非 易失性存储装置,用于备份自身的地址关系。在实践中在站中的插槽常常通过终端模块来 代表,后连线总线穿过该终端模块构成闭合电路并且这些模块为每个单独的模块提供一种 载体。除了物理地连接至后连线总线之外,终端模块还为模块提供了通至I/O-端子的连 接,在这些端子上布设有过程信号电缆。根据本发明的一种特别有利的实施方式,站的每个 终端模块配有自身的非易失性存储器,或者说可以简单地附加装配有一个这样的存储器。在该存储器中根据本发明备份了插入的模块的地址关系。地址关系可以通过签名附加地得 到保护,以便可以在读回时发现可能出现的错误。如果各自站的后连线总线未配有这样的 装置,而用该装置可以避免由后连线总线本身引起的寻址错误或者说至少可以发现这些错 误时,那么每一个地址关系在自身的存储器中的这种类型的单独和直接的在本地分配的备 份就是尤其有利的,其中该存储器在各自的终端模块中几乎直接安放在模块之下。在站C的实例中,在图2中示出了一种这样的实施方式,该站C通过站头部CK以 数据技术方式与现场总线F连接。数据信号在内部通过后连线总线CR穿过插槽CP0-CP5。 其中插槽CPO装有站头部CK,插槽CP2,CP3装有失效保护模块CF1,CF2,插槽CP4装有标 准模块CS1,而插槽CP5装有总线终端模块CB。插槽CPl空着。根据本发明,插槽CP2,CP3 装有附加的剩余存储器CP2S,CP3S,相邻的失效保护模块CF1,CF2的地址关系备份在该剩 余存储器中,例如用于在模块CF1,CF2的剩余存储器CF1S,CF2S中进行恢复的情况。在这 种情况下,在图2中缩写NV-RAM的意义是“非易失性存储器”。在需要时其它的插装位置也 可以装设附加的存储器,这通过虚线表示的NV-RAM框块来表示。在终端模块中的附加的非易失性存储器优选是读写存储器。如果只是关系到读存 储器,那么根据本发明的另外一种设计方案可以在其中存入一个识别码,例如组成部分的 唯一的序号。该识别码可以在各自的中央单元中用来管理附加的参照列表。这种参照列 表包含一种用于每个模块的项目,该项目可以实现序号与模块地址关系的对应。借助于参 照列表可以自动地确定地址关系是否正确,而地址关系本身不必存储在终端模块的存储器 中。在附图中未示出的本发明的另一个实施方式中,当失效保护模块第一次插入时, 附加的存储装置能够几乎以捎带确认的方式被转交(uebergeben)给配属的终端模块。如 果更换模块,那么存储装置保留在终端模块中,从而就可以插入一个没有存储装置的替换 模块。在本发明的另外一种实施方式中,站的所有模块的地址关系也可以中央地备份在 一个唯一的附加存储器模块中。该存储器模块可以放置在站头部或者总线终端模块中。也 可以将附加的存储器模块直接集成在后连线总线中,或者借助于一个特定的模块通过插槽 与后连线总线连接。在通过中央单元或所配属的现场总线主机下载了地址关系之后,站的每个模块将 其完整的地址关系经过后连线总线发送给中央存储器。如果站配有不同的或冗余的地址机 构的话,例如借助于在中央存储器中的地址列表对用于站的所有模块的这样一种中央备份 就可以有利地实现。因此确保了 自动地为每个插槽分派正确的地址,而且这因此可以推测 出,当站头部分配地址时未出现错误。在这样一种情况下,所涉及的模块从附加的存储器中 的地址列表中只是取出缺少的数据以用于使自身的地址关系变完整,而这就是足够的,这 是因为自身的插槽的地址可以认为是无错误的。在实践中,如果在使地址关系变完整之后, 模块使该地址关系在另一个步骤里再次与设计数据相比较。这些设计数据或者被重新接收 或者以备份的方式存储。只有当这种比较的结果是正确的,那么模块开始可靠地运行并将 更新的地址关系接收在自身的非易失性存储器中。通过站D的实例在图3中示出了一种这 样的实施方式,该站通过站头部DK以数据 技术方式连接至现场总线F。数据信号在内部通过后连线总线CR穿过插槽DP0-DP5。其中插槽DPO装有站头部DK,插槽DP2,DP3装有失效保护模块DFl,DF2,插槽DP4装有标准模块 DS1,而插槽DP5装有总线终端模块DB。插槽DPl空着。根据本发明,总线终端模块DB装有 附加的剩余存储器DBS,站D的失效保护模块CF1,CF2的地址关系中央地备份在该存储器 中。可替换地,站头部DK也可以配有一个这样的存储器,这通过虚线表示的NV-RAM(非易 失性存储器)框块来表示。因此模块DF1,DF2的剩余存储器DF1S,DF2S的内容可以利用来 自于总线终端模块DB的剩余存储器DBS的有效的地址关系来更新。
如果总线终端模块或站头部必须更换,并且中央地备份在那里的第二存储器中的 所有模块的地址关系的地址列表都已经丢失,那么图3中示出的实施例也可以有效起作 用。一个新的总线终端模块则从所有插在站中的模块要求有地址关系,以便在内部重新建 立地址列表。为了安全起见在这种情况下可以提出,只是这样一些模块将地址关系通知给 总线终端模块或站头部,在这些模块中,在内部存储器中的本地地址关系与中央存储在主 机中的设计数据之间的在前的对比得出了一种肯定的结果 。
权利要求
一种工业自动化系统,用于对技术过程的运行设备进行控制,所述工业自动化系统具有-失效保护模块(CF1,CF2;DF1,DF2),用于与所述运行设备交换过程数据、尤其是调整-和测量信号;-站(C,D),所述站具有通过后连线总线(CR,DR)连接的、用于所述失效保护模块(CF1,CF2;DF1,DF2)的插槽(CP0-CP5;DP0-DP5);以及-中央单元(H1,H2),至少用于处理所述技术过程的过程信号,其特征在于,-用于通过所述中央单元(H1,H2)进行唯一的数据技术寻址的所述失效保护模块(CF1,CF2;DF1,DF2)的地址关系剩余地存储在所述失效保护模块的第一存储器(CF1S,CF2S;DF1S,DF2S)中,并且-站(C,D)的所述失效保护模块(CF1,CF2;DF1,DF2)的所述地址关系剩余地备份。
2.根据权利要求1所述的自动化系统,其特征在于,为了备份所述地址关系,站(C, D)的失效保护模块(CF1,CF2)分配有在站级(C)上的附加的非易失性的存储装置(CP2S, CP3S)。
3.根据权利要求2所述的自动化系统,其特征在于,所述存储装置(CP2S,CP3S)直接 分配给所述失效保护模块(CFl,CF2)的所述插槽(CP0-CP5 ;DP0-DP5)。
4.根据权利要求3所述的自动化系统,其特征在于,所述存储装置(CP2S,CP3S)被装 入所述失效保护模块(CF1,CF2)的属于所述插槽(CP0-CP5 ;DP0-DP5)的终端模块中。
5.根据权利要求4所述的自动化系统,其特征在于,在插入所述失效保护模块(CF1, CF2)时,所述存储装置(CP2S,CP3S)被转交给属于所述插槽(CP0-CP5 ;DP0-DP5)的所述终 端模块。
6.根据权利要求1所述的自动化系统,其特征在于一种在站级(D)上的中央的非易失 性的存储装置(DKS,DBS),用于备份所述站⑶的所有的失效保护模块(DF1,DF2)的所述 地址关系。
7.根据权利要求6所述的自动化系统,其特征在于,所述中央的非易失性的存储装置 (DKS)布置在所述站(D)的头部(DK)中。
8.根据权利要求6所述的自动化系统,其特征在于,所述中央的非易失性的存储装置 (DBS)布置在用于所述站⑶的所述后连线总线(DR)的终端模块(DB)中。
9.根据权利要求6所述的自动化系统,其特征在于,所述中央的非易失性的存储装置 (DBS)布置在一个特定的模块中,所述特定的模块通过插槽与所述后连线总线通信。
10.根据权利要求6所述的自动化系统,其特征在于,所述中央的非易失性的存储装置 (DBS)布置在所述站⑶的所述后连线总线(DR)中。
全文摘要
一种工业自动化系统,用于控制技术过程的运行设备。该系统具有失效保护模块,用于与运行设备交换过程数据、尤其是调整-和测量信号;站,具有通过后连线总线连接的用于模块的插槽;中央单元,至少用于处理技术过程的过程信号;现场总线,用于在中央单元和站之间传输数据。用于通过现场总线借助中央单元对失效保护模块进行数据技术寻址的地址关系剩余地存储在各自模块的第一存储器中,并附加剩余地备份在所属站中。本发明优点是能可靠自动恢复特别是失效保护模块的地址关系。由于将例如在设计时已被认为有效的地址关系剩余地防止电源失效地备份在站级上,在更换模块时新模块可将来自备份装置的不再存在的旧模块的正确地址关系重新装载到站中。
文档编号G05B19/418GK101846997SQ20101014049
公开日2010年9月29日 申请日期2010年3月25日 优先权日2009年3月25日
发明者安德烈亚斯·申克, 理查德·利斯特, 赫伯特·巴特尔, 马丁·迈尔, 马里奥·迈尔 申请人:西门子公司