对现场总线安全用户的地址分配的制作方法
【专利摘要】本发明涉及一种在安全控制系统内配置连接到现场总线的安全总线用户的方法,其中,已定义的用户地址被分配给安全总线用户。所发明的方法的特征在于以下步骤:把一个地址分配消息从连接到所述现场总线的控制单元发送到所述安全用户,所述地址分配消息包括已定义的用户地址;把已定义的用户地址存储在所述安全总线用户的存储器中,以及把一个确认消息从所述安全总线用户发送到所述控制单元,所述确认消息包括已定义的用户地址。基于存储在所述控制单元中的连接到所述现场总线的安全总线用户的定义数据来发送所述地址分配消息。本发明还涉及一种相应的控制系统。
【专利说明】对现场总线安全用户的地址分配
【技术领域】
[0001]本发明总地来说涉及工业自动化系统,尤其涉及控制系统,并且还涉及用于操作控制系统的方法,其中,所述控制系统包括至少一个具有总线用户的总线系统和中央控制装置,所述总线用户尤其是指连接到所述总线系统的安全总线用户。
【背景技术】
[0002]当今,由于控制和数据传输安装所允许的很高的自动化水平,它们在工业生产和安装控制中占据了显著的位置。用来把多样性的本地输入和输出单元连接到中央控制装置的总线系统被非常广泛地使用。
[0003]为了遵守安全标准,自动化工程主要与以安全为导向的总线部件一起使用现场总线系统,诸如CAN总线、Profibus、或INTERBUS。以下把连接到现场总线的总线部件称作总线用户。
[0004]众所周知,通过把一个单独的用户地址分配给一个总线用户来实现提高安全性,例如,可把所述单独的用户地址直接设置在所述总线用户上。
[0005]EP1206868B1也公开了一种用来配置安全总线用户的方法,还公开了一种具有这种总线用户的控制系统。在EP1206868B1所述的方法的情况下,提供连接到总线的用来分配用户地址的管理单元。为所述管理单元提供一种特殊的维护模式,在该模式下,通过总线发送维护报文。当接收到这种维护报文时,安全总线用户把包括规定的通用地址的注册报文发送到管理单元。当管理单元依次接收到这种包含通用地址的注册报文时,其把具有定义的用户地址的地址分配报文返回给安全总线用户,所述用户地址被存储在所述安全总线用户处。
[0006]EP1206868B1所述的方法的缺点是需要特殊维护模式,以及为了给安全总线用户分配用户地址还需要大量交换报文。另一个缺点是,为了分配在EP1206868B1中被称作通用地址的用于以后的通信的用户地址,所述总线用户必需已经存储了寻址信息。
[0007]DE19934514C1公开了一种用来配置连接到现场总线的总线用户的方法,所述现场总线用来把逻辑和物理地址从地址分配单元传送到总线用户。使用总线用户的实际物理位置来检验所传送的物理地址,并且根据所述检验把逻辑地址存储在所述总线用户的存储器中。
[0008]该方法的一个缺点是总线用户需要关于该总线中实际物理位置的信息。
【发明内容】
[0009]因此,本发明是基于为以下方案提供基于设计的途径的目的,S卩,在避开现有技术的所述缺点的情况下,如何才能够对连接到总线系统的总线用户(尤其是安全总线用户)进行配置、并且尤其是分配已定义的用户地址。
[0010]通过根据所附独立权利要求之一的主题能够以出乎意料的简单方式来实现该目的。在从属权利要求中描述了进一步的实施例和发展。
[0011]因此,提供了配置安全控制系统中连接到现场总线的安全总线用户的发明方法,其中,安全总线用户被分配有已定义的用户地址,并且其中所述现场总线对应于INTERBUS标准,该方法包括以下步骤:
[0012]把一个地址分配消息从连接到现场总线的控制单元发送到安全总线用户,其中所述地址分配消息包括已定义的用户地址,
[0013]把已定义的用户地址存储在安全总线用户的存储器中,
[0014]其特征在于,还包括以下步骤:
[0015]把一个确认消息从安全总线用户发送到所述控制单元,其中,所述确认消息包括已定义的用户地址,其中基于存储在所述控制单元中的用于连接到现场总线的安全总线用户的计划数据来发送所述地址分配消息,其中所存储的计划数据包括现场总线内安全总线用户的物理位置和已定义的用户地址之间的链接。
[0016]优选地是,基于现场总线内的安全总线用户的物理位置在所述控制单元内定义用户地址。
[0017]优选地是,在此,定义用户地址的步骤包括把用于连接到现场总线的安全总线用户的计划数据存储在控制单元中的步骤,所存储的计划数据包括现场总线内安全总线用户的物理位置和已定义的用户地址之间的链接。
[0018]所发明的方法在环形总线系统中实施是特别有利的,在所述环形总线系统中安全总线用户的物理位置由连接到所述环形总线的总线用户的次序内的后面的位置所定义。
[0019]所发明的方法有利之处在于不需要管理单元或特殊维护模式,因此也不需要任何特殊维护报文。因此,在所发明的方法的情况下,所发生的另外的总线负荷不会增加。
[0020]另外,所发明的方法不需要在安全总线用户上进行任何物理位置的设置,因此也就不需要为了确定其物理位置而在总线用户上有位置查找单元。
[0021]为了向安全总线用户分配已定义的用户地址,因此,所发明的方法不需要像开始所述的现有技术的情况那样的在所述安全总线用户的部件上的任何已存在的寻址信息。在EP1206868B1中所述的方法的上下文中,总线用户需要具有规定的通用地址,其中使用注册报文将其传送到管理单元。
[0022]通用地址允许用来把用户地址传送到总线用户的通信,该总线用户的用户地址随后被用于进一步的通信。所发明的方法无需如此,而是依靠控制单元内已知的现场总线内安全总线用户的物理位置来允许传送用户地址的通信,所述用户地址被传送到所述安全总线用户。为此,连接到现场总线的安全总线用户的计划数据被优选地存储在控制单元中,所述计划数据包括安全总线用户的物理位置和已定义的用户地址之间的链接。
[0023]在DE19934514C1中公开的方法的上下文中,总线用户需要具有关于总线系统内其物理位置的信息,以便允许通过使用总线用户已知的物理位置对伴随发送的物理地址的验证来接收逻辑地址。这种由总线用户进行的验证不需要基于所发明的方法。替代的是,本发明优选地包括依靠从所述安全总线用户发送到控制单元的确认消息的优点由控制单元进行验证的性能,所述确认消息包括分配给总线用户的用户地址。
[0024]如上已述,尤其是基于INTERBUS标准,具有环形总线系统的自动化系统特别适合于执行本发明的方法。
[0025]INTERBUS以移位寄存器的方式工作,在所述移位寄存器中,总线用户以环形彼此连接并且在移位寄存器中形成独立的存储位置。该移位寄存器结构意味着INTERBUS不需要任何常规意义上的用户地址。
[0026]通过移位寄存器环对数据进行计时的INTERBUS主控器通常连接到控制单元。在此情况下,控制单元可包括非安全和安全控制器。
[0027]总线用户通常是提供非安装和/或安全输入/输出的输入/输出单元。
[0028]如果安全控制器需要与安全总线用户通信,则使用非安全INTERBUS协议对安全总线用户寻址。为了符合发送安全相关的数据的安全需求,安全相关数据需要被用来允许在通过非安全INTERBUS进行传送期间识别全部系统和随机错误的数据扩展。由安全通信层主控器(SCLM)在INTERBUS主控器上计算和评估数据,由安全通信层受控器(SCLS)在总线用户上计算和评估数据。安全相关数据和保护数据一起产生安全消息,所述安全消息由正常处理数据之类的非安全INTERBUS协议传送。
[0029]通过示例可见,所使用的保护数据可以是诸如CRC的校验和、时间戳、或序列号。在安全INTERBUS协议的优选实施例中,使用CRC24校验和、包括3位的序列号、和优选地包括7位的被称作连接ID的用户地址。
[0030]连接ID的任务是识别非安全INTERBUS中的寻址错误,例如,通过把附加时钟周期馈送到移位寄存器来进行识别。SCLM按照计划的总线设计为每一连接的安全总线用户产生分开的连接ID。
[0031]优选地是,在SCLM和总线用户上的SCLS之间交换的全部安全消息包含各个连接ID。这是由CRC24伴随保护的。SCLM和总线用户上的SCLS检查每个接收到的报文中的连接ID,并且因此能够识别非安全INTERBUS协议中的寻址错误。
[0032]安全通信链接以如下方式启动:
[0033]在初始状态下,非安全INTERBUS可能已经启动,并且非安全数据可能已经被传送。
[0034]一旦具有SCLM的安全控制器已经启动,SCLM就把连接终止消息(Abort_Connect1n消息)传送到全部计划好的安全总线用户。进行该操作不考虑安全总线用户是否存在,是否启动,或者它们对该消息如何反应。依靠把对与安全总线用户的连接的初始化请求发送到SCLM的用来控制SCLM的装置(SRC,安全相关控制器)的优点,该连接脱离该状态(Connect1n_Aborted)。其后,SCLM把一个地址分配消息或一个具有参数“Connect1nID”的参数消息传送到安全总线用户。
[0035]一旦具有其SCLS的安全总线用户已经启动,该SCLS就把错误消息(Safety SlaveError消息)传送到SCLM。进行该操作不考虑安全控制器是否存在,SCLM是否已经启动,或者SCLM对该消息如何反应,除非SCLS从SCLM接收到地址分配消息或者具有参数“Connect1n ID”的安全参数消息。
[0036]一旦安全控制器和安全总线用户已经启动,并且SCLM中的控制器发出命令来设置通信链路(Initiate_RequeSt),该SCLM就把安全参数消息传送到总线用户中的SCLS。该SCLS使用相同类型的消息把接收到的参数返回到SCLM以便确认接收。不需要特殊的维护报文。在此内容中,首先传送的参数是连接ID。SCLS接收并且确认它们。在此使用的消息包含作为其参数值的连接ID。
[0037]仅在传送连接ID已经成功时才传送进一步的参数。进一步在SCLM和SCLS之间传送的全部安全消息包含连接ID。当SCLM或SCLS接收到安全消息时,检查连接ID、CRC校验和、和序列号。如果出现错误连接ID,则清除总线系统中的全部安全连接。
[0038]进一步在事件期间,SCLM从SCLS读取参数,所述SCLS包括例如设备类型、制造商、序列号等等。这些数据证实安全用户是在计划好的安装位置的计划好的设备类型。
[0039]如果这是当前情况,则安全通信链接现在被认为已经设置。传送和检查连接ID现在就保证正确的安全总线用户已经用于通信。
[0040]在进一步的事件期间,可传送诸如关闭时间或过滤时间之类的设备参数。设备参数的数量取决于设备类型。一旦推断出参数化,就传送安全处理数据。
[0041]—种所发明的用于安全关键(safety-critical)处理的安全控制的控制系统,所述控制系统适合于实施上述方法,该控制系统至少包括:
[0042]总线系统,其中所述总线系统是INTERBUS总线系统;
[0043]控制单元,其连接到所述总线系统;以及
[0044]至少一个安全总线用户,其连接到所述总线系统,其中
[0045]所述至少一个安全总线用户包括用来拾取和评估地址分配消息的装置和用来存储分配给所述总线用户的用户地址的存储器,
[0046]用于连接至现场总线的安全总线用户的计划数据存储在所述控制单元中,其中,存储在所述控制单元中的计划数据包括所述总线系统内的所述至少一个安全总线用户的物理位置和分配给所述总线用户的用户地址之间的链接,
[0047]所述控制单元包括用于基于所存储的计划数据产生和发送地址分配消息的装置,其中,所述地址分配消息包括已定义的用户地址,
[0048]其特征在于,
[0049]所述安全总线用户用于向所述控制单元发送确认消息,其中,所述确认消息包括已定义的用户地址。
[0050]优选地是,所述总线系统是环形总线系统形式,尤其是具有多个连接到该总线系统的总线用户的基于INTERBUS标准的形式。在这种总线系统中,优选地是,由连接到所述总线系统的多个总线用户的次序内的后面的位置来定义所述安全总线用户的物理位置。
[0051]安全总线用户有利地是具有用来发送错误消息的装置,如果存储器没有存储有效的用户地址,则该装置被设计来发送错误消息。
【专利附图】
【附图说明】
[0052]以下使用优选实施例并参照附图来以示例的方式更准确地描述本发明。在所述附图中,相同的标号表示相同的或相似的部分,并且:
[0053]图1:示出了包含安全相关数据的处理消息的示意图,
[0054]图2:示意性地示出了 INTERBUS总线系统的和帧(sum frame),来自图1的处理消息已被嵌入到所述和帧中,
[0055]图3:示意性地示出了符合所发明的方法的优选实施例的初始化序列。
【具体实施方式】
[0056]图1示出了处理消息50,其包含安全相关数据20,连同其它数据一起形成了安全数据单元。本示例实施例中被提供来提高安全性的其它数据包括被称作连接ID的用户地址10、包含序列号和时间戳的数据单元30、和24位CRC校验和40。
[0057]当使用基于INTERBUS标准的总线系统时,在和帧100内传送数据。在此示例实施例中,和帧100包含其它数据单元62、64、和66,其还可包含非安全数据单元。
[0058]图3示出了包含3个独立的序列的初始化序列。第一序列被用来传送用户地址或“连接ID”,同时该实施例中的第二和第三序列被用来传送安全总线用户的各个设备参数。
[0059]使用被称作“Write_Parameter_Byte_Req”的消息把参数从SCLM传送到SCLS。由SCLM使用被称作”Read_Parameter_Byte_Req”的消息来从SCLS读取参数。SCLS以被称作“Parameter_Byte_con”的消息来对上述两个消息进行响应,被称作“Parameter_Byte_con”的消息对已写的消息进行镜像或者包含被请求的参数。带有参数“Connect1n ID”的“Write_Parameter_Byte_Req”消息具有对参数“Connect1n ID”和分开的消息标签“Set_Safety_Connect1n_ID_req”的特殊编码。用来返回“Connect1n ID”的用于该消息的来自 SCLS 的“Parameter_Byte_con” 消息被称作“Set_Safety_Connect1n_ID_con,,。在图 3所示的示例性实施例中,“Set_Safety_Connect1n_ID_req”消息被发送到SCLS达到三次。
【权利要求】
1.一种在安全控制系统中配置连接到现场总线的安全总线用户的方法,其中该安全总线用户被分配有已定义的用户地址,并且其中所述现场总线对应于INTERBUS标准,该方法具有以下步骤: 把一个地址分配消息从连接到所述现场总线的控制单元发送到所述安全总线用户,其中所述地址分配消息包括已定义的用户地址, 把已定义的用户地址存储在所述安全总线用户的存储器中, 其特征在于,还包括以下步骤: 把一个确认消息从所述安全总线用户发送到所述控制单元,其中所述确认消息包括已定义的用户地址,其中 基于存储在所述控制单元中的用于连接到所述现场总线的安全总线用户的计划数据来发送所述地址分配消息,其中所存储的计划数据包括现场总线内的安全总线用户的物理位置和已定义的用户地址之间的链接。
2.如权利要求1所述的方法,还具有以下步骤: 激活所述控制单元和所述安全总线用户之间的通信,在激活所述通信之后发送所述地址分配消息。
3.如权利要求2所述的方法,其中在激活所述通信之前,从所述控制单元把连接终止消息发送到所述安全总线用户。
4.如上述任一权利要求所述的方法,其中,在从所述控制单元接收到地址分配消息之前,从所述安全总线用户向所述控制单元发送错误消息。
5.如上述任一权利要求所述的方法,还具有以下步骤: 把参数传送消息从所述安全总线用户发送到所述控制单元。
6.如权利要求5所述的方法,还具有以下步骤: 通过与所述安全总线用户发送的参数进行比较来检验存储在所述控制单元中的所述安全总线用户的计划数据。
7.如上述任一权利要求所述的方法,还具有以下步骤: 把处理消息从所述控制单元发送到所述安全总线用户,并且/或者 把处理消息从所述安全总线用户发送到所述控制单元, 其中,所述处理消息至少包含用来控制处理的处理数据和已定义的用户地址。
8.如上述任一权利要求所述的方法,还具有以下步骤: 由所述安全总线用户或由所述控制单元来检查参数传送消息或处理消息包含的已定义的用户地址。
9.如权利要求8所述的方法,其中,在识别出错误的已定义的用户地址时产生错误信号。
10.如权利要求8所述的方法,其中,在识别出错误的已定义的用户地址时,断开所述控制单元和连接到所述现场总线的全部安全总线用户之间的连接。
11.如上述任一权利要求所述的方法,其中,所述控制单元构成所述现场总线的总线主控器,和/或连接到所述现场总线的总线主控器。
12.如上述权利要求1至11中任一所述的方法,还包括以下步骤: 基于所述现场总线中的所述安全总线用户的物理位置来在所述控制单元中定义用户地址。
13.如权利要求12所述的方法,其中定义所述用户地址的步骤包括以下步骤:把用于连接到现场总线的安全总线用户的计划数据存储在所述控制单元中。
14.如权利要求12或13所述的方法,其中所述现场总线形成为环形总线,所述环形总线具有与其连接的多个总线用户,并且安全总线用户的物理位置由其在连接到所述环形总线的所述多个总线用户的次序内的位置所定义。
15.一种用于安全关键处理的安全控制的控制系统,所述控制系统适合于实施如上述任一权利要求所述的方法,该控制系统至少包括: 总线系统,其中所述总线系统是INTERBUS总线系统; 控制单元,其连接到所述总线系统;以及 至少一个安全总线用户,其连接到所述总线系统,其中 所述至少一个安全总线用户包括用来拾取和评估地址分配消息的装置和用来存储分配给所述总线用户的用户地址的存储器,其中 用于连接至现场总线的安全总线用户的计划数据存储在所述控制单元中,其中,存储在所述控制单元中的计划数据包括所述总线系统内的所述至少一个安全总线用户的物理位置和分配给所述总线用户的用户地址之间的链接, 所述控制单元包括用于基于所存储的计划数据产生和发送地址分配消息的装置,其中,所述地址分配消息包括已定义的用户地址, 其特征在于, 所述安全总线用户用于向所述控制单元发送确认消息,其中,所述确认消息包括已定义的用户地址。
16.如权利要求15所述的控制系统,其中所述至少一个安全总线用户包括用于发送错误消息的装置,其中如果存储器没有存储有效的用户地址,则该装置被设计来发送错误消肩、O
17.如权利要求15或16所述的控制系统,其中所述总线系统是环形系统。
18.如权利要求17所述的控制系统,其中,所述环形系统具有多个与其连接的总线用户,并且所述至少一个安全总线用户的物理位置由其在连接到所述环形系统的多个总线用户的次序内的位置来定义。
【文档编号】G05B19/042GK104253880SQ201410502543
【公开日】2014年12月31日 申请日期:2006年4月27日 优先权日:2005年4月27日
【发明者】乔基姆·施密特 申请人:菲尼克斯电气公司