具有多通道切换能力的输入/输出模块的制作方法

具有多通道切换能力的输入/输出模块的制作方法
【专利摘要】本公开内容针对输入/输出模块。在一些实施例中，输入/输出模块包括：多个通信通道，该多个通信通道中的每个通道被配置为连接一个或多个现场设备；交换结构，被配置为经由该多个通信通道来选择性地促进外部控制模块与该一个或多个现场设备之间的连通性；串行通信端口，被配置为以与第二输入/输出模块并联的方式将输入/输出模块连接到控制模块，串行通信端口被配置为在输入/输出模块与控制模块之间传输信息；以及并行通信端口，被配置为分别将输入/输出模块连接到控制模块，并行通信端口被配置为在输入/输出模块与控制模块之间传输信息，以及在输入/输出模块与第二输入/输出模块之间传输信息。
【专利说明】具有多通道切换能力的输入/输出模块
[0001] 相关申请的交叉引用
[0002] 本申请根据35 U.S.C.§119(e)请求于2015年2月9日提交的、名称为"INPUT/ OUTPUT MODULE WITH MULTI-CHANNEL SWITCHING CAPABILITY." 的美国临时申请序号62/ 114,030的优先权。本申请还是于2013年8月6日提交的、名称为"SECURE INDUSTRIAL CONTROL SYSTEM."的国际申请号PCT/US2013/053721的部分继续申请。本申请还是根据35 U.S.C.§120、于 2014年 8 月27 日提交的、名称为"SECURE INDUSTRIAL CONTROL SYSTEM?"的 美国专利申请序号14/469,931的部分继续申请。本申请还是根据35 U.S.C.§120、于2014年 7月30日提交的、名称为"INDUSTRIAL CONTROL SYSTEM CABLE."的部分继续申请，该申请根 据35U ? S ? C ? §119(e)请求于2014年7 月7 日提交的、名称为 "INDUSTRIAL CONTROL SYSTEM CABLE."的美国临时申请序号62/021,438的优先权。本申请还是根据35 U.S.C. §120、于 2014 年 10 月20 日提交的、名称为"OPERATOR ACTION AUTHENTICATION IN AN INDUSTRIAL CONTROL SYSTEM."的美国专利申请序号14/519,066的部分继续申请。本申请还是根据35 U.S.C.§120、于2014年 10月20日提交的、名称为"INDUSTRIAL CONTROL SYSTEM REDUNDANT C0MMUNICATI0NS/C0NTR0L MODULES AUTHENTI CAT I ON ? " 的美国专利申请序号 14/519，047 的 部分继续申请。本申请还是根据35 U . S . C . § 1 20、于201 5年1月15日提交的、名称为 "ELECTROMAGNETIC CONNECTOR"的美国专利申请序号14/597，498的部分继续申请，该申请 是根据35 U.S.C.§120、于2011 年 12月30 日提交的、名称为"ELECTROMAGNET1 IC CONNECTOR" 的美国专利申请序号13/341，143的继续申请。本申请还是于2012年12月28日提交的（优先 权日为2011 年 12月30 日）、名称为"ELECTROMAGNETIC CONNECTOR AND COMMUNICATIONS/ CONTROL SYSTEM/SWITCH FABRIC WITH SERIAL AND PARALLEL COMMUNICATIONS INTERFACES."的国际申请号PCT/US2012/072056的部分继续申请。本申请还是根据35 U.S.C.§120、于2014年9月30 日提交的、名称为"SWITCH FABRIC HAVING A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE" 的美国专利申 请序号14/501,974的部分继续申请，该申请是根据35 U.S.C.§120、于2011年12月30日提交 的、名称为 "SWITCH FABRIC HAVING A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL C0MMUNI CAT 10NS INTERFACE. "的美国专利申请序号13/341，161的继续申请。本 申请还是根据35 U.S.C.§120、于2014年9月30日提交的、名称为"COMMUNICATIONS CONTROL SYSTEM WITH A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE"的美国专利申请序号14/502，006的部分继续申请，该申请是根据35 U. S. C. § 120、于2011 年 12月30 日提交的、名称为 "COMMUNICATIONS CONTROL SYSTEM WITH A SERIAL COMMUNICATIONS INTERFACE AND A PARALLEL COMMUNICATIONS INTERFACE" 的美国专利申 请序号13/341，176的继续申请。
[0003] 以上交叉引用的专利申请中的每一个专利申请通过引用的方式将其全部内容并 入本文。
【背景技术】
[0004] 诸如为标准工业控制系统（ICS)或可编程自动化控制器(PAC)的工业控制系统包 括工业生产中使用的各种类型的控制设备，诸如监控与数据采集系统(SCADA)、分布式控制 系统(DCS)、可编程逻辑控制器(PLC)以及被诸如IEC1508的安全标准认证的工业安全系统。 这些系统用于包括电、水、污水、油和气生产以及提炼、化学、食品、制药和机器人的工业领 域。将从各种类型的传感器采集的信息用于测量过程变量，来自工业控制系统的自动和/或 操作员驱动的监控命令能够被传送到诸如为控制阀、液压致动器、磁致动器、电气开关、电 动机、螺线管等之类的各种致动器设备。这些致动器设备从传感器和传感器系统采集数据、 打开及关闭阀和断路器(breaker)、调节阀和电动机、监控用于警报情况的工业过程等。
[0005] 在其它示例中，SCADA系统能够使用具有可以广泛地在地理上分离的过程现场的 开环控制。这些系统使用远程终端单元(RTU)向一个或多个控制中心发送监控数据。部署有 RTU的SCADA应用包括流体管道、配电及大型通信系统。DCS系统通常用于使用高带宽、低延 迟的数据网络的实时数据采集和连续控制，以及被应用在诸如油气、提炼、化学、制药、食品 及饮料、水及污水、纸浆及造纸、公用电力、以及采矿和金属的大型园区的工业过程工厂中。 PLC更为典型地提供布尔及连续的逻辑操作，以及定时器，还有连续控制，并且经常用于独 立的机械和机器人中。此外，ICE和PAC系统能够应用于用于建筑、机场、轮船、空间站等之类 的设施过程(例如，用于监视及控制暖通空调(HVAC)设备和能量消耗）。随着工业控制系统 的发展，新技术结合这些各种类型的控制系统的方面。作为例子，PAC可以包括SCADA、DCS和 PLCA的方面。
[0006] 工业控制系统内，通信/控制模块典型地经由输入/输出模块与现场设备(例如，致 动器、传感器等)通信。技术的进步已经产生了对在现场设备与高级企业及工业系统之间的 增强的连通性的要求，以及对设备自身之间的连通性的更大需求。在这一方面，工业系统正 在以相似的方式向"物联网"发展，并且具有更高的安全性、可靠性以及吞吐量的要求。需要 稳健和安全的输入/输出模块以适应工业通信及控制系统中出现的需要。

【发明内容】

[0007] 本公开内容针对具有多通道切换能力、可以被安全嵌入工业控制系统的通信背板 中的输入/输出模块。在一些实施例中，输入/输出模块包括多个通信通道，其中通道中的每 一个被配置为连接到一个或多个现场设备。输入/输出模块内的交换结构经由通信通道选 择性地促进外部控制模块和该一个或多个现场设备之间的连通性。为了经由通信背板促进 互联性，输入/输出模块还可以包括串行通信端口和并行通信端口。串行通信端口可以以与 至少一个额外(第二)输入/输出模块并联的方式将输入/输出模块连接到控制模块，其中串 行通信端口在输入/输出模块和控制模块之间传输信息。并行通信端口可以分别将输入/输 出模块连接到控制模块，其中并行通信端口在输入/输出模块与控制模块之间传输信息，并 且还在输入/输出模块与第二输入/输出模块之间传输信息。
[0008] 以简化的形式提供本
【发明内容】
以介绍在以下的【具体实施方式】部分中进一步描述 的构思的选择。本
【发明内容】
不意在标识要求保护的主题的关键特征或必要特征，也不意在 用于辅助确定要求保护的主题的范围。
【附图说明】
【具体实施方式】 [0009] 参考附图进行描述。在和附图中的不同例子中使用相 同的附图标记可以指示相似或相同项目。
[0010] 图1是示出了根据本公开内容的实施例的输入/输出模块的方框图。
[0011] 图2是示出了根据本公开内容的实施例的工业控制系统的方框图。
[0012] 图3是示出了根据本公开内容的实施例的交换结构的方框图。
[0013] 图4是示出了根据本公开内容的实施例的工业控制系统的等距视图。
[0014] 图5是耦合到图4中示出的工业控制系统的支撑框架的输入/输出模块的等距视 图。
[0015] 图6是图4中示出的输入/输出模块的等距视图。
[0016] 图7是图4中不出的输入/输出模块的侧视图。
[0017]图8是图4中示出的输入/输出模块和工业控制系统的支撑框架的横截面侧视图。
[0018] 图9是图4中示出的用于工业控制系统的具有附接电路板的支撑框架的等距视图。
[0019] 图10是示出了根据本公开内容的实施例的用于工业控制系统的动作认证路径的 方框图。
[0020] 图11是进一步示出了根据本公开内容的实施例的图10中示出的动作认证路径的 方框图。
[0021]图12是示出了经由诸如图10或图11中示出的动作认证路径的动作认证路径来认 证动作请求的过程的示例的流程图。
[0022]图13是不出了根据本公开内容的实施例的第一输入/输出模块与第二输入/输出 模块执行认证序列的方框图。
[0023]图14是示出了由与第二输入/输出模块进行认证的第一输入/输出模块执行的认 证序列的示例的流程图。
[0024]图15是示出了响应于由第一输入/输出模块执行的认证序列（例如，图14所图示）、 由第二输入/输出模块执行的响应认证序列的示例的流程图。
【具体实施方式】 [0025] 概述
[0026] 工业控制系统中使用输入/输出（I/O)模块以在通信/控制模块与现场设备(例如， 致动器、传感器等)之间建立通信。技术的进步已经产生了对在现场设备与高级企业及工业 系统之间的增强的连通性的要求，以及对现场设备自身之间的连通性的更大需求。在这一 方面，工业系统正在以相似的方式向"物联网"发展，并且具有更高的安全性、可靠性以及吞 吐量要求。其它其中，多端口交换机可以用于安全地促进TCP/IP通信协议。然而，交换机(例 如，多端口以太网交换机)典型地位于工业控制系统通信背板的外部，并且可以是更加易受 到安全威胁的，从而，可能危及经由交换机通信地耦合到工业控制系统的设备以及潜在地 将工业控制系统整个置于危险之中。
[0027] 公开了一种具有多通道切换能力的I/O模块，其中I/O模块被配置为安全地嵌入工 业控制系统的通信背板内。在一些实施例中，输入/输出模块包括可以被配置为适应诸如 (但不限于）以太网总线、H1现场总线、过程现场总线(PR0FIBUS)、可寻址远程传感器高速通 道(HART)总线、Modbus、以及过程控制统一架构的对象链接和嵌入(OPC UA)通信标准的多 种通信协议的多个通信通道。在一些实施例中，在各个通信通道中的相应的通信通道上可 以同时运行两个或更多不同的通信标准。例如，在第二通道在运行PROFIBUS时，第一通道可 以运行OPC UA协议，等等。
[0028] 示例性实现
[0029] 图1示出了根据本公开内容的实施例的I/O模块100。1/0模块100可以包括多个通 信通道102,诸如以太网通道等。通信通道102可以被用于连接到诸如图2中示出的并在下文 中进一步详细描述的工业控制系统200的分布式控制系统内的现场设备。例如，该多个通信 通道中的每个通道可以被配置为连接到一个或多个现场设备217,诸如致动器设备218和传 感器设备220,包括但不限于，控制阀、液压致动器、磁致动器、电动机、螺线管、电气开关、发 送器、输入传感器/接收器(例如，照明、辐射、气、温度、电、磁、和/或声传感器）、通信子总线 等。I/O模块内的交换结构104可以被配置为经由多个通信通道102在外部控制模块(例如， 通信/控制模块214)与该一个或多个现场设备217之间选择性地促进连通性(例如，信息/数 据的传送）。
[0030] 在实施例中，I/O模块100包括被配置为控制交换结构104的控制器106,诸如微处 理器、微控制器、ASIC、FPGA，或其它单或多核处理单元。例如，控制器106可以被配置为设置 针对交换结构的仲裁规则或优先级等。控制器106可以被配置为从通信地耦合到控制器106 的非瞬态介质1〇8(例如，闪存或固态存储器设备)运行/执行交换逻辑110(例如，程序指令） 以控制交换结构104。在一些实施例中，I/O模块100可操作为OPC UA客户端和/或服务器。例 如，控制器106可以被配置为运行/执行使控制器106实现OPC UA客户端或服务器通信/控制 协议的交换逻辑110。
[0031] 在一些实施例中，控制器106被配置为适应在相应的通道102上同时运行的多个通 信标准。例如，第一通道102可以由控制器106配置为利用PROFIBUS协议来发送和接收信息， 而同时可操作的第二通道102可以由控制器106配置为利用OPC UA协议来发送和接收信息。 一般，两个或更多通信标准可以经由相应的通道102同时实现，其中通信标准可以包括但不 限于，以太网总线、H1现场总线、PROFIBUS、HART总线、Modbus、以及OPC UA通信标准。
[0032] I/O模块100可以进一步被配置为根据诸如为IEEE 1588精确时钟协议(PTP)的定 时协议来同步所连接的现场设备217的定时。在这一方面，I/O模块100可以实现时间分发系 统，其中I/O模块100为同步主设备或中间同步设备，现场设备217在定时控制等级中低于1/ 〇模块100。
[0033] 除了经由通信通道102建立至现场设备217的连通性以外，I/0模块100可以被进一 步配置为向现场设备217供电。在一些实施例中，例如，I/O模块100包括以太网供电(P0E)电 路120,其被配置为向通信通道102中的一个或多个分配输入电功率。功率可以经由电源背 板连接端口 112 (例如，E-芯连接端口）或输入插口 118供应到I/0模块。例如，输入插口 118可 以耦合到外部电源(例如，本地发电机、备份电源等）。在实施例中，控制器106可以被配置为 经由通信通道102选择性地实现功率传送。例如，可以为耦合到具有P0E能力的现场设备217 (例如，低电压致动器218、传感器220、或通信设备）的通信通道102来实现P0E功能。在设备 217被配置为由另一源(例如，到电源背板234的连接、内部/外部电池、或其它内部/外部电 源)供电的情况下，控制器106可以被配置为禁用与设备217耦合的相应的通信通道102的 P0E功能。
[0034] I/O模块100还包括经由通信背板(例如，交换结构202)促进与至少一个通信/控制 模块214的互联性的一个或多个连接端口（例如，I-芯连接端口）。在一些实施例中，I/O模块 100包括至少一个串行通信端口 114和至少一个并行通信端口 116。串行通信端口 114可以将 I/O模块100以与至少一个额外的(第二)1/〇模块100并联的方式连接到通信/控制模块214。 例如，第一和第二I/O模块100可以经由相应的串行接口连接204被同时连接到通信/控制模 块214，其中，各I/0模块100可以经由相应的串行接口 204接收来自通信/控制模块214的信 息以及向通信/控制模块214发送信息。并行通信端口 116可以经由并行通信接口 206分别将 I/O模块100连接到通信/控制模块214,其中I/O模块100可以经由并行通信接口 206接收来 自通信/控制模块214的信息以及向通信/控制模块214发送信息。I/O模块100还可以经由并 行通信端口 116和接口 206与其它I/O模块100通信。
[0035]在实施例中，I/O模块的一个或多个端口（例如，串行通信端口 114、并行通信端口 116、电源背板输入112、和/或输入插口 118)包括连接器构件208的电磁连接器207或与连接 器构件208的电磁连接器207耦合，诸如美国专利申请序号13/341，143(公开号为US 2013/ 0170258)和 14/597,498、以及国际申请号PCT/US2012/072056(国际公开号为W0/2013/ 102069)中所描述的那些，这里通过引用的方式将其整体都并入本申请。电磁连接器207可 以应用于期望将电路耦合在一起以从一个电路向另一个电路发送电信号和/或电功率、同 时保持电路之间的隔离的任何应用中。电磁连接器207可以应用于包括但不一定限于以下 的应用:工业控制系统/过程控制系统(例如，用于使用功率和/或通信信号传输电路连接1/ 0模块100)、通讯(例如，用于音频、宽带、视频、和/或语音传输）、信息/数据通信(例如，用于 连接计算机联网设备，诸如以太网设备、调制解调器等）、计算机硬件互连(例如，用于连接 外围设备，诸如操纵杆、键盘、鼠标、监视器等）、游戏控制台、测试/测量仪器、电功率连接器 (例如，用于来自AC电源的功率传输)等。
[0036]电磁连接器207中的每一个被配置为形成磁路部分，该磁路部分包括磁芯组件和 布置磁芯组件（例如，在磁芯组件周围或内部）的线圈。为本公开内容的目的，应该注意到 "磁芯组件"用来指磁芯的不完整的部分，其在电磁连接器207被耦合在一起时由另一个磁 芯组件使其完整。每个电磁连接器207被配置为与连接器构件208的另一个电磁连接器207 配对以在经由电磁连接器207连接的部件之间发送功率和/或通信信号。例如，在第一电磁 连接器207与第二电磁连接器207配对时，电磁连接器207的第一磁芯组件可以被配置为接 触另一个电磁连接器207的第二磁芯组件。以此方式，第一电磁连接器207的线圈能够利用 由第一电磁连接器207的磁路部分和第二电磁连接器207的磁路部分形成的磁路来与第二 电磁连接器207的另一线圈紧密耦合。磁路被配置为在另一个线圈被激励时感应线圈中的 一个线圈中的信号，允许功率和/或通信信号在经由电磁连接器207连接的部件之间传输。 在实现中，线圈可以被紧耦合(例如，使用铁芯提供约为一（1)的耦合系数）、临界耦合(例 如，在通带中的能量传送是优化的情况下）、或过耦合（例如，在次级线圈足够靠近初级线 圈、使初级线圈的磁场衰减的情况下）。
[0037] 在第一电磁连接器207与第二电磁连接器207配对时，第一磁芯组件可以不一定被 配置为与第二磁芯组件接触。因而，电磁连接器构件208可以被配置为在经由使用例如干涉 配合配置的电磁连接器207连接的部件之间发送电力和/或通信信号，其中一个线圈被布置 为围绕第一磁芯组件，而另一个线圈被布置在第二磁芯组件内。干涉配合可以使用具有包 括但不一定限于以下的几何形状的连接器来建立：圆锥形、同轴、偏心、几何、倾斜以用于摩 t祭配合、等等。
[0038] 在实现中，磁芯组件和/或线圈中的一个或二者可以至少部分地（例如，全部或部 分)被机械地容纳在保护层内。保护层可以由非导电/绝缘材料制成，诸如薄膜塑料材料覆 盖层。保护层(例如，非导电/绝缘材料)可以使用包括但不一定限于以下的技术来应用：涂 覆、喷涂、沉积等。作为例子，包括在I/O模块100内的第一电磁连接器207的磁芯组件和线圈 可以部分地由封套封闭，而包括在电力或通信背板202/234内的第二电磁连接器207可以包 括被配置为与封套配对的轴。以此方式，封套和轴可以被配置为确保第一电磁连接器207与 第二电磁连接器207的适当对齐，同时保护第一电磁连接器207的磁芯组件和/或线圈免受 腐蚀和机械损害(例如，断裂)等。当磁芯组件由易碎材料制成时封闭可能是特别有用的。作 为例子，磁芯组件可以被紧密地包装在由塑料材料形成的保护层中。以此方式，当磁芯组件 (例如，磁芯组件内的破裂或断裂)发生损坏时，在包装内材料碎片能够维持彼此基本接触， 因而，磁芯材料的损坏不会显著降低性能。
[0039]当电磁连接器207被配对时，电力或通信背板202/234的磁芯组件和I/O模块100的 磁芯组件可以被配置为经由磁路来耦合线圈。当电力或通信背板202/234的相应的线圈被 激励(例如，使用来自DC/AC转换器的AC信号）时，磁路可以在I/O模块100的线圈中感应信 号。I/O模块100的线圈中感应的信号可以用于对模块100的电路供电和/或提供与模块100 的电路的通信。应当注意的是，尽管电力或通信背板202/234被描述为在I/O模块100中感应 信号，仅是以示例的方式提供该实现并且该实现不意在限制本公开内容。磁路还可以用于 当I/O模块100的线圈被激励时，在电力或通信背板202/234的线圈中感应信号，以对电力或 通信背板202/234供电和/或提供与电力或通信背板202/234的通信（例如，经由交换结构 202传输与通信/控制模块214的通信）。此外，可以以交替地顺序(例如，一个接着一个)来激 励配对的电磁连接器207所包括的线圈以提供双向通信等。
[0040] 图2-9示出了根据本公开内容的各实施例的工业控制系统200。在实施例中，工业 控制系统200可以包括工业控制系统(ICS)、可编程自动化控制器(PAC)、监控与数据采集系 统（SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及被诸如IEC1508之类 的安全标准认证的工业安全系统。如图2中所示，工业控制系统200使用通信控制架构来实 现包括由遍布在系统中的一个或多个控制元件或子系统控制或驱动的一个或多个工业元 件(例如，输入/输出模块、功率模块、现场设备、交换机、工作站、和/或物理互连设备）的分 布式控制系统。例如，一个或多个I /〇模块1 〇〇可以被连接到一个或多个通信/控制模块214。
[0041] 工业控制系统200被配置为传输去往或来自I/O模块100的数据。I/O模块100可以 包括输入模块、输出模块、和/或输入及输出模块。作为例子，输入模块可以用于从输入现场 设备217(例如，传感器218)接收信息，而输出模块可以用于向输出现场设备217(例如，致动 器220)发送指令。例如，I/O模块100可以连接到过程传感器以测量用于煤气厂和提炼厂等 的管道内的压力和/或连接到过程致动器以控制阀门、双态或多态开关、发送器等。现场设 备217直接或经由网络连接与I/O模块100通信地耦合。例如，现场设备217可以经由适应一 个或多个TCP/IP标准的通信通道102而是连接的。这些设备217可以包括控制阀、液压致动 器、磁致动器、电动机、螺线管、电气开关、发送器、输入传感器/接收器(例如，照明、辐射、 气、温度、电、磁、和/或声传感器）、通信子总线等。
[0042]工业控制系统200包括促进通信背板的互联性的交换结构202。在实施例中，交换 结构202包括用于提供与多个I/O模块100进行通信的串行通信接口 204和并行通信接口 206。如图2-图9中所示，可以使用一个或多个电磁连接器207将I/O模块100连接到工业控制 系统200。作为例子，每个I/O模块100可以包括或可以耦合到具有贯穿线圈的磁芯组件的一 个或多个电磁连接器207或连接器构件208。在一些实施例中，线圈能够被实现为电路板上 的平面绕组。当被包括在I/O模块100中时，电路板可以被"浮"于部分弹簧负载上，以允许与 磁芯组件的平面垂直的电路板的某一移动，例如，来补偿电路板上的偏差。例如，可以在模 块中提供自保持弹簧加载机制来提供恒定的向下的压力以促进电磁连接的配对，补偿模 块、PCB、和底板/支撑框架的堆叠偏差，以及确保电磁连接器构件的两半的恒定配对。
[0043]在一些实施例在，可以使用提供三个平面内的内在固定和支撑的"舌榫"配置。例 如，I /〇模块1 〇〇内的印刷电路板可以被配置为沿着与磁芯组件的平面垂直的方向上的两个 轨道段并在该两个轨道之间滑动。此外，磁芯组件可以与电路板机械地隔离（例如，不接 触）。应该注意的是，具有平面初级和次级绕组的实现仅作为示例提供并且不一定意在限制 本公开内容。因而，其它实现可以使用其它线圈配置，例如绕线线圈等。例如，初级线圈可以 包括平面绕组，而次级线圈可以包括绕线线圈。此外，初级线圈可以包括绕线线圈，而次级 线圈可以包括平面绕组。在其它实现中，初级和次级线圈均可以包括绕线线圈。
[0044] 图3示出了交换结构202的实施例。交换结构202可以被配置为与任何系统技术一 起使用，诸如，电信网络技术、计算机网络技术、过程控制系统技术等。例如，交换结构202可 以与包括控制器兀件和子系统的分布式控制系统一起使用，其中子系统由分布在整个系统 中的一个或多个控制器控制。交换结构202包括串行通信接口 204和并行通信接口 206以提 供与多个从设备的通信。
[0045] 串行通信接口204可以使用彼此并联连接的一组连接器实现。在一些实施例中，连 接器可以被配置为电磁连接器207/连接器构件208(例如，之前描述的）。例如，串行通信接 口 204可以使用多点总线210等来实现。在实现中，多点总线210可以用于I/0模块100/从设 备的配置和诊断功能。并行通信接口 206允许在多个专用高速并行通信通道上同时传输多 个信号。作为例子，并行通信接口 206可以使用交叉开关212等来实现。
[0046] 在图3中所示的实施例中，并行通信接口 206可以使用具有到每个I/O模块100/从 设备的专用连接的四（4)线全双工交叉开关212来实现。在实现中，可以使用一个或多个电 磁连接器207/连接器构件208(例如，如之前所描述的）来提供每个连接。交叉开关212可以 被实现为连接对等总线并允许I/O模块100/从设备之间的业务的可编程交叉开关。交叉开 关212可以由诸如通信/控制模块214的主设备来配置。例如，通信/控制模块214/主设备可 以配置交叉开关212中包括的一组或多组寄存器以控制I/O模块100/从设备之间的业务。在 实现中，通信/控制模块214/主设备可以包括指示I/O模块100/从设备如何互连的规则集。 例如，通信/控制模块214/主设备可以包括一组寄存器，其中每个寄存器定义特定开关的操 作（例如，关于如何转发分组等）。因而，交叉开关212可以不一定自动配置，相反实现由通 信/控制模块214/主设备提供的配置。然而，该配置仅以示例的方式提供并且不意在限制本 公开内容。因而，在其它实现中，交叉开关212可以自动配置。
[0047]并行通信接口 206可以用于从I/O模块100/从设备的数据采集。此外，由于每个I/O 模块100/从设备各自具有至通信/控制模块214/主设备的专用总线，因而每个I/O模块100/ 从设备可以在相同的时间处与通信/控制模块214进行通信。因而，工业控制系统200/交换 结构202的总响应时间可以被限制为最慢的I/0模块100/从设备的响应时间，而非全部从设 备的响应时间的总和，如在典型的多点总线的情况下的。
[0048]在实现中，交换结构202、串行通信接口 204、以及并行通信接口 206可以用单个、单 片电路板216实现，例如，如图9中所示，具有电磁连接器207的多个E型磁芯组件贯穿电路板 216。在实现中，磁芯组件可以机械地与电路板216(例如，不接触电路板216)隔离。然而，该 配置仅是以示例的方式提供并不意在限制本公开内容。因而，串行通信接口 204和并行通信 接口 206可以使用多个部件的不同布置实现，诸如，分别实现串行通信接口 204和并行通信 接口 206的多个分立的半导体设备等。
[0049] 交换结构202可以被配置用于连接一个或多个I/O模块100(例如，作为从设备）以 及传输去往和来自I/O模块1〇〇的数据。I/O模块1〇〇可以包括输入模块、输出模块、和/或输 入及输出模块。作为例子，输入模块可以用于从过程或现场中的输入仪器接收信息，而输出 模块可以用于向现场中的输出仪器发送指令。例如，I/O模块100可以被连接到过程传感器， 诸如，用于测量煤气厂和提炼厂等的管道内的压力的传感器218。在实现中，I/O模块100可 以用于工业控制系统200采集应用中的数据，所述应用包括但不一定限于关键基础设施和/ 或工业过程，诸如，产品制造和生产、公电发电、油、气、以及化学提炼;制药、食品和饮料、纸 浆及造纸、金属及采矿、以及用于建筑、机场、轮船、以及空间站的设施和大型园区工业过程 (例如，用于监视及控制暖通空调(HVAC)设备和能源消耗）。
[0050] 在实现中，I/O模块100可以被配置为将从传感器接收的模拟数据转换成数字数据 (例如，使用模数转换器(ADC)电路，等等）。1/0模块100还可以连接到一个或多个过程致动 器220,诸如为电动机或调节阀或继电器以及其它形式的致动器，I/O模块100还可以被配置 为控制电动机的一个或多个操作特性，诸如电动机速度、电动机扭矩、以及调节阀的位置或 继电器的状态，等等。此外，I/O模块100可以被配置为将数字数据转换成模拟数据以传输给 致动器220(例如，使用数模(DAC)电路，等等）。在实现中，I/0模块100中的一个或多个可以 包括通信模块，其被配置成经由通信子总线来进行通信，诸如以太网总线、H1现场总线、 PR0FIBUS、HART总线、Modbus、0PC UA总线，等等。此外，两个或更多I/O模块100可以用于为 各种现场设备217提供容错和冗余连接，诸如控制阀、液压致动器、磁致动器、电动机、螺线 管、电开关、发送器、输入传感器/接收器(例如，照明、辐射、气、温度、电、磁、和/或声传感 器)通信子总线等。
[0051 ]每个I/0模块100可以提供有用于区别一个I/0模块100与另一个I/0模块100的唯 一标识符。在实现中，当I/O模块100被连接到工业控制系统200时，I/O模块100可以通过它 的ID被识别。多个I/O模块100可以与工业控制系统200-起使用以提供冗余。例如，两个或 更多I/O模块100可以被连接到传感器218、致动器220、或任何其它现场设备217,如图2中所 示。每个I/O模块100可以包括一个或多个端口 222，其提供到I/O模块100包括的硬件和电路 的物理连接，诸如印刷电路板(PCB) 224，等等。
[0052] I/O模块100中的一个或多个可以包括用于连接到其它网络的接口，所述网络包括 但不一定限于:广域蜂窝电话网络，诸如，3G蜂窝网络、4G蜂窝网络、或全球移动通信(GSM) 网络;无线计算机通信网络，诸如Wi-Fi网络（例如，使用IEEE 802.11网络标准操作的无线 LAN(WLAN));个人局域网络（PAN)(例如，使用IEEE 802.15网络标准操作的无线PAN (WPAN));广域网(WAN);企业内部网；企业间网络;互联网；因特网等。此外，I/O模块100中的 一个或多个可以包括用于将I/O模块100连接到计算机总线等的连接。
[0053]通信/控制模块214可以用于监视及控制I/O模块100,以及将两个或更多I/O模块 100连接在一起。在本公开内容的实施例中，当I/O模块100被连接到工业控制系统200时，通 信/控制模块214可以基于I/O模块100的唯一 ID来更新路由表。此外，当使用多个冗余I/O模 块100时，每个通信/控制模块214可以实现关于I/O模块100的信息数据库的镜像，以及在从 I/O模块100接收到数据和/或向I/O模块100发送数据时更新它们。在一些实施例中，使用两 个或更多通信/控制模块214来提供冗余。为了增加的安全性，通信/控制模块214可以被配 置为在预定的事件或时间处执行认证序列或握手以彼此认证，所述预定的事件或时间包括 诸如启动、复位、安装新控制模块214、更换通信/控制模块214、周期地、按调度时间等。I/0 模块100还可以被配置为执行如图10-图15所示并在下文中进一步详细描述的认证序列或 "握手"。
[0054]使用交换结构202发送的数据可以被分组化，即，离散的数据部分可以被转换成包 括数据部分和网络控制信息等的数据分组。工业控制系统200/交换结构202可以使用用于 数据传输的一个或多个协议，包括诸如高级数据链路控制(HDLC)的面向比特的同步数据链 路层协议。在特定例子中，工业控制系统200/交换结构202可以根据国际标准化组织（ISO) 13239标准等来实现HDLC。此外，两个或更多通信/控制模块214可以用于实现冗余HDLC。然 而，应该注意的是，HDLC仅是通过示例的方式提供并且不意在限制本公开内容。因而，工业 控制系统200可以根据本公开内容使用其它各种通信协议。
[0055] 通信/控制模块214中的一个或多个可以被配置为与用于监视和/或控制经由I/O 模块100连接到交换结构202的仪器的部件交换信息，诸如，一个或多个控制回路反馈机制/ 控制器226。在实现中，控制器226可以被配置为微控制器/可编程逻辑控制器(PLC)、比例积 分微分(PID)控制器等。通信/控制模块214中的一个或多个可以包括用于经由网络230将工 业控制系统200连接到控制器226的网络接口 228。在实现中，网络接口 228可以被配置为用 于将交换结构202连接到局域网络(LAN)的千兆以太网接□。此外，两个或更多通信/控制模 块214可以用于实现冗余千兆以太网。然而，应该注意的是，千兆以太网仅以示例的方式提 供并不意在限制本公开内容。因而，网络接口 228可以被配置为将工业控制系统200连接到 其它各种网络，包括但并不一定限于:广域蜂窝电话网络，例如3G蜂窝网络、4G蜂窝网络、或 全球移动通信(GSM)网络;无线计算机通信网络，诸如Wi-Fi网络(例如，使用IEEE 802.11网 络标准操作的无线LAN(WLAN));个人局域网络(PAN)(例如，使用IEEE 802.15网络标准操作 的无线PAN(WIAN));广域网（WAN);企业内部网；企业间网络;互联网；因特网等。此外，网络 接口 228可以使用计算机总线实现。例如，网络接口 228可以包括外设部件互连(PCI)卡接 口，诸如Mini PCI接口等。此外，网络230可以被配置为包括单个网络或跨不同的接入点的 多个网络。
[0056] 工业控制系统200可以包括用于经由I/0模块100向现场设备供电的一个或多个功 率模块232。一个或多个功率模块232可以包括AC-DC(AC/DC)转换器，用于将交流(AC)(例 如，由AC电源供应的，等)转换为直流(DC)，用于传输给诸如电动机220(例如，在电动机220 包括DC电动机的实现中）的现场设备。两个或更多功率模块232可以用于提供冗余。例如，如 图2中所示，两个功率模块232可以使用用于每个功率模块232的分别(冗余)的电力背板234 连接到I/O模块100中的每个I/O模块。在实现中，电力背板234可以使用电磁连接器207/连 接器构件208 (例如，如之前所描述的)连接到I/O模块100中的一个或多个I/O模块。在实现 中，电力背板234与串行通信接口204和并行通信接口206-起可以被包括在电路板216上。 [0057] 工业控制系统200可以从多个源接收电功率。例如，AC功率可以由电网供应(例如， 使用来自AC电源的高压电）。还可以使用本地发电设备(例如，现场涡轮机或柴油本地发电 机)供应AC功率。电源可以将来自电网的电功率分配给工业控制系统200的自动化设备，诸 如控制器、I/O模块等。电源还可以用于将来自本地发电机的电功率分配给工业控制系统设 备。工业控制系统200还可以包括被配置为使用多个电池模块存储并返回DC功率的额外（备 份）的电源。例如，电源可以作为UPS。在一些实施例中，可以在工业控制系统200内分布（例 如，物理上分散化)多个电源。
[0058] 工业控制系统200可以使用支撑框架236实现。支撑框架236可以用于支撑和/或互 连通信/控制模块214、功率模块232、交换结构202、电力背板234、和/或I/O模块100。例如， 交换结构202可以由电路板216构成。电路板216可以使用诸如例如双面胶带(double sided tape)、黏合剂或机械紧固件(例如，螺钉、螺栓等)的紧固件安装在支撑框架236上。此外，电 磁连接器207的磁芯组件可以使用诸如例如双面胶带(double sided tape)、黏合剂、或机 械紧固件(例如，螺钉、螺栓等）的紧固件安装在支撑框架236上。在一些实现中，模板可以用 于在支撑框架236的通道中定位磁芯组件。在实现中，磁芯组件的顶面可以与电路板216的 顶面基本平齐。在其它实现中，磁芯组件的顶面可以在电路板216的顶面的下方凹进一定距 离(例如，大约1毫米(1_))和/或可以在电路板216的顶面上方延伸。
[0059]支撑框架236可以包括插槽238以为I/O模块100提供对准(registration)，诸如用 于将I /〇模块1 〇〇的连接器(例如，电磁连接器207)与电路板216包括的连接器(例如，电磁连 接器207)和/或电力背板234的连接器(例如，电磁连接器207)对准。例如，I/0模块100可以 包括连接器240,连接器240具有用于插入插槽238并提供1/0模块100相对于电路板216的对 准的标记/标杆242。在实现中，连接器240中的一个或多个可以由连接到PCB 224的导热面 的导热材料(例如，金属）构成以将由PCB224的部件产生的热从PCB 224传导走并传到支撑 框架236，支撑框架236自身可以由导热材料(例如，金属)制成。此外，工业控制系统200可以 将每个物理插槽238与唯一物理ID进行关联以唯一识别与特定插槽238耦合的每个1/0模块 100。例如，特定插槽238的ID可以与与插槽238耦合的1/0模块100和/或与1/0模块100唯一 关联的第二ID相关联。此外，在1/0模块100与插槽238耦合时，特定1/0模块100的ID可以用 作插槽238的ID。可以构建支撑框架236用于机柜式安装、机架式安装和壁式安装等。
[0060] 应该注意的是，尽管工业控制系统200在附图中被描述为包括一个交换结构202， 但是工业控制系统200可以提供有多于一个的交换结构202。例如，两个或更多的交换结构 202可以与工业控制系统200-起使用（例如，以在冗余交换结构202之间提供物理分离等）。 交换结构202中的每个交换结构可以被提供有自己的支撑框架236。此外，尽管将串行通信 接口204和并行通信接口206描述为包括在单个交换结构202中，但是将意识到的是，可以提 供物理上分离的交换结构，其中一个交换结构包括串行通信接口 204，而另一个交换结构包 括并彳丁通彳目接口 206。
[0061] 控制元件/子系统和/或工业元件(例如，1/0模块100、通信/控制模块214、功率模 块232等)可以由一个或多个背板连接在一起。例如，如上所述，通信/控制模块214可以由通 信背板(例如，交换结构202)连接到I/O模块100。此外，功率模块232可以由电力背板234连 接到I/O模块100和/或通信/控制模块214。在一些实施例中，物理互连设备(例如，开关、连 接器、或线缆，诸如，但不限于美国专利申请序号14/446,412中所描述的那些，通过引用的 方式将其全部内容并入本申请)被用于连接到I/O模块100、通信/控制模块214、功率模块 232、以及其它可能的工业控制系统设备。例如，一线缆可以用于将通信/控制模块214连接 到网络230,另一线缆可以用于将功率模块232连接到电网，另一线缆可以用于将功率模块 232连接到本地发电机等。
[0062]在一些实施例中，工业控制系统200实现安全控制系统，如美国专利申请序号14/ 469,931和国际申请号?〇71^2013/053721中所描述的，这里通过引用的方式将其全部内容 并入本申请。例如，工业控制系统200包括安全凭证源（例如，工厂）和安全凭证执行者（例 如，密钥管理实体）。安全凭证源被配置为生成唯一安全凭证(例如，密钥、证书等，诸如，唯 一的识别符和/或安全凭证）。安全凭证执行者被配置为将由安全凭证源生成的唯一的安全 凭证提供给控制元件/子系统和/或工业元件(例如，线缆、设备217、1/0模块100、通信/控制 模块214、功率模块232等）。
[0063]工业控制系统200的多个（例如，每一个）设备217、I/O模块100、通信/控制模块 214、功率模块232、物理互连设备等可以被提供有安全凭证以提供工业控制系统200的多个 (例如，全部)级别处的安全性。此外，包括传感器和/或致动器等的控制元件/子系统和/或 工业元件可以在制造期间（例如，生产时)被提供有唯一的安全凭证(例如，密钥、证书等）， 并且可以从产生起就由工业控制系统200的密钥管理实体管理以增强工业控制系统200的 安全性。
[0064]在一些实施例中，工业控制系统200的包括传感器和/或致动器等的控制元件/子 系统和/或工业元件之间的通信包括认证过程。认证过程可以被执行以用来认证工业控制 系统200中实现的包括传感器和/或致动器等的控制元件/子系统和/或工业元件。此外，认 证过程可以利用与元件和/或物理互连设备相关联的安全凭证来认证该元件和/或物理互 连设备。例如，安全凭证可以包括加密密钥、证书（例如，公钥证书、数字证书、身份证书、安 全证书、非对称证书、标准证书、非标准证书)和/或标识号码。
[0065]在实现中，工业控制系统200的多个控制元件/子系统和/或工业元件被提供有它 们自己的唯一安全凭证。例如，在元件被制造时，工业控制系统200的每个元件可以被提供 有它自己的唯一的证书、加密密钥和/或标识号码的集合(例如，在元件生产时定义独立的 密钥和证书集）。证书、加密密钥和/或标识号码的集合被配置以提供/支持强加密。加密密 钥可以通过诸如美国国家安全局(NSA)算法、美国国家标准与技术研究院(NIST)算法等之 类的标准(例如，商用现成品(C0TS))加密算法实现。
[0066]基于认证过程的结果，被认证的元件可以被激活，可以在工业控制系统200内启用 或禁用元件的部分功能，可以在工业控制系统200内启用元件的全部功能，和/或可以在工 业控制系统200内完全禁用元件的功能（例如，不在该元件和工业控制系统200的其它元件 之间促进通信）。
[0067]在实施例中，与工业控制系统200的元件相关联的密钥、证书和/或标识号码可以 指定该元件的原始设备制造商(OEM)。如这里所使用的，术语"原始设备制造商"或"OEM"可 以被定义为物理地制造该设备(例如，元件）的实体和/或该设备的供应商，诸如从物理制造 商采购该设备并销售该设备的实体。因而，在实施例中，设备可以由作为该设备的物理制造 商和供应商二者的OEM制造并发布(销售）。然而，在其它实施例中，设备能够由作为供应商 而不是物理制造商的OEM发布。在这样的实施例中，OEM可以使设备由物理制造商制造(例 如，OEM可以从物理制造商对该设备进行采购、签订合同、订购等）。
[0068]此外，在OEM包括不是设备的物理制造商的供应商的情况下，设备可以载有供应商 的商标，而非物理制造商的商标。例如，在实施例中，在元件(例如，通信/控制模块214或I/O 模块100)与作为供应商而非物理制造商的特定OEM相关联的情况下，元件的密钥、证书和/ 或标识号码可以指定该来源。在工业控制系统200的元件的认证期间，在确定被认证的元件 是由不同于工业控制系统200的一个或多个其它元件的OEM的实体制造或供应的时，则在工 业控制系统200内可以至少部分地禁用该元件的功能。例如，可以在该元件与工业控制系统 200的其它元件之间的通信（例如，数据传输)上设置限制，使得元件不能在工业控制系统 200内工作/起作用。在工业控制系统200的元件中的一个元件需要更换时，该特征能够防止 工业控制系统200的用户不知就里地使用非同源元件(例如，具有与工业控制系统200的剩 余元件不同的源（不同的OEM)的元件）替换该元件并在工业控制系统200中实现该元件。以 此方式，这里所描述的技术能够防止将其它OEM的元件替换到安全工业控制系统200中。在 一个示例中，由于替换的元件不能在源OEM的系统内认证和操作，因此能够防止对用于提供 代替由源OEM提供的元件的相似功能的元件的替换。在另一个示例中，第一分销商可以由源 OEM提供具有第一物理及加密标签集的元件，并且第一分销商的元件可以被安装在工业控 制系统200中。在这个示例中，第二分销商可以由相同的源OEM提供具有第二(例如，不同的） 物理及加密标签集的元件。在该示例中，由于第二分销商的元件不能与第一分销商的元件 认证和操作，因此可以防止第二分销商的元件在工业控制系统200内操作。然而，还应该注 意的是，第一分销商和第二分销商可以缔结相互协定，其中第一和第二元件可以被配置为 在相同的工业控制系统200内认证和操作。此外，在某些实施例中，还可以实现允许互操作 的分销商之间的协定，因此，该协定仅应用于特定客户、客户群、设施等。
[0069]在另一个例子中，用户可能试图在工业控制系统200内实现未正确指定的（例如， 错误标记的）元件。例如，错误标记的元件可以具有在它上面标记的物理记号，该物理记号 错误地指示该元件与和工业控制系统200的其它元件的OEM相同的OEM相关联。在这样的例 子中，由工业控制系统200实现的认证过程可以警告用户该元件是伪造的。该过程还可以促 进改善的工业控制系统200的安全性，因为伪造元件经常是会将恶意软件引入工业控制系 统200的传播媒介(vehicle)。在实施例中，认证过程为工业控制系统200提供安全气隙，确 保安全工业控制系统与不安全的网络物理隔离。
[0070] 在实现中，安全的工业控制系统200包括密钥管理实体。密钥管理实体可以被配置 为管理加密系统中的加密密钥(例如，加密密钥）。该加密密钥的管理(例如，密钥管理)可以 包括密钥的生成、交换、存储、使用和/或更换。例如，密钥管理实体被配置为充当安全凭证 源，为工业控制系统200的元件生成唯一的安全凭证(例如，公共安全凭证、秘密安全凭证）。 密钥管理涉及用户和/或系统级(例如，用户间或系统间）的密钥。
[0071] 在实施例中，密钥管理实体包括安全实体，诸如位于安全设施内的实体。可以距1/ 0模块100、通信/控制模块214、以及网络230远程安置密钥管理实体。例如，防火墙可以将密 钥管理实体与控制元件或子系统以及网络230(例如，企业网络）分离。在实现中，防火墙可 以是基于软件和/或基于硬件的网络安全系统，通过基于规则集来分析数据分组以及确定 数据分组是应当被允许通过还是不通过来控制进和出的网络业务。因而防火墙建立了受信 的、安全的内部网络(例如，网络230)与不被假定为安全和受信的另一个网络(例如，云和/ 或互联网）之间的屏障。在实施例中，防火墙允许密钥管理实体与一个或多个控制元件或子 系统和/或网络230之间的选择性(例如，安全）的通信。在示例中，可以在工业控制系统200 内的各个位置处实现一个或多个防火墙。例如，防火墙可以被集成到网络230的交换机和/ 或工作站中。
[0072]安全的工业控制系统200可以进一步包括一个或多个生产实体(例如，工厂）。生产 实体可以与工业控制系统200的元件的原始设备制造商(OEM)相关联。密钥管理实体可以经 由网络(例如，云)与生产实体通信地耦合。在实现中，在工业控制系统200的元件是在一个 或多个生产实体处制造的时，密钥管理实体可以与元件通信地耦合(例如，可以具有到元件 的加密的通信管道）。密钥管理实体可以使用通信管道在生产中向元件提供安全凭证(例 如，将密钥、证书和/或标识号码插入元件）。
[0073]此外，在元件被使用(例如，被激活)时，密钥管理实体可以通信地耦合(例如，经由 加密的通信管道)到全球范围内每个独立元件并且可以确认及标记对特定代码的使用，撤 销(例如，删除)对任何特定代码的使用，和/或启用对任何特定代码的使用。因而，密钥管理 实体可以与原始生产(例如，产生)元件的工厂处的每个元件通信，使得元件从产生时起具 有受管理的密钥。包括用于工业控制系统200的每个元件的全部加密密钥、证书和/或识别 号码的主数据库和/或表可以由密钥管理实体维护。密钥管理实体通过其自身与元件的通 信被配置用于撤销密钥，由此促进认证机制防盗以及重复使用部件的能力。
[0074]在实现中，密钥管理实体可以经由另一个网络(例如，云和/或互联网）和防火墙与 一个或多个控制元件/子系统、工业元件、和/或网络230通信地耦合。例如，在实施例中，密 钥管理实体可以是集中式系统或分布式系统。而且，在实施例中，密钥管理实体可以被本地 地或远程地管理。在一些实现中，密钥管理实体可以位于(例如，集成到）网络230和/或控制 元件或子系统内。密钥管理实体可以以各种方式提供管理和/或被管理。例如，密钥管理实 体可以取决于层级、通过以下各项来在不同的位置处被实现/管理：中央位置处的客户、独 立工厂位置处的客户、外部第三方管理公司和/或工业控制系统200的不同层级处的客户。
[0075] 可以由认证过程提供变化的安全级别（例如，可扩展的、用户配置的安全量）。例 如，可以提供基础安全级别，其中认证元件并保护元件内的代码。还可以增加其它安全层。 例如，可以实现安全到这样的程度，其中诸如通信/控制模块214或I/O模块100的部件不能 在未发生适当的认证的情况下被上电。在实现中，代码中的加密是在元件中被实现的，而安 全凭证(例如，密钥和证书)是在元件上被实现的。安全可以被分发通过(例如，流经)工业控 制系统200。例如，安全可以流经工业控制系统200-直到达终端用户，终端用户知道在此实 例中将模块设计成控制什么。在实施例中，认证过程提供用于系统硬件或软件组件的安全 通信和认证的设备的加密、识别(例如，经由数字签名）。
[0076] 在实现中，可以实现认证过程以提供和/或实现在由不同的制造商/销售商/供应 商(例如，OEM)制造和/或供应的元件的安全工业控制系统200内的互操作性。例如，可以实 现由不同的制造商/销售商/供应商制造和/或供应的元件之间的选择性(例如，某些)互操 作性。在实施例中，在认证期间实现的唯一的安全凭证(例如，密钥)可以形成分级结构，由 此允许由工业控制系统200的不同元件执行的不同功能。
[0077]连接工业控制系统200的部件的通信链路可以进一步采用在其中放置(例如，引入 的/填充的）诸如甚小分组(例如，小于六十四（64)字节的分组）的数据分组，提供增加的安 全等级。对甚小分组的使用增加了外部信息(例如，诸如错误消息、恶意软件(病毒）、数据挖 掘应用等的恶意内容)能够被引入通信链路上的难度等级。例如，甚小分组可以在经由通信 通道102中的一个或多个从I/O模块100向一个或多个现场设备217发送的数据分组之间的 间隙内被引入通信链路，以阻碍外部实体向通信链路引入恶意内容的能力。
[0078] 如图10和图11中所示，I/O模块100或任何其它工业元件/控制器306(例如，通信/ 控制模块214、现场设备217、物理互连设备、开关、功率模块232等)可以至少部分地根据来 自动作发起者302的请求/命令进行操作。在实现中，动作发起者302包括操作者接口 308(例 如SCADA或HMI)、包括编辑器312和编译器314的工程接口 310、本地应用320、远程应用316 (例如，经由本地应用320通过网络318通信）等。在图10和图11中示出的认证路径300中，仅 当动作请求已经由动作认证器304签名和/或加密时，工业元件/控制器306(例如，I/O模块 100)处理动作请求(例如，对数据、控制命令、防火墙/软件更新、设置点控制、应用图像下载 等的请求）。这防止来自有效用户配置文件的未认证的动作请求并且进一步保护系统免于 来自无效(例如，黑客攻击的)配置文件的未认证的动作请求。在实施例中，动作认证过程实 现为美国专利申请序号14/519,066中所描述，这里通过引用的方式将其全部内容并入本申 请。
[0079]动作认证器304可以与动作发起者302-起安置在现场（例如，直接连接的设备生 命周期管理系统（"DLM"）322或者安全工作站326)或者远程安置(例如，经由网络318连接的 DLM 322)。通常，动作认证器304包括在其上存储有私钥的存储介质和被配置为用私钥签名 和/或加密由动作发起者302生成的动作请求的处理器。私钥被存储在不能经由标准操作者 登录来访问的存储器中。作为例子，安全工作站326可以要求用于访问的物理密钥、便携式 加密装置(例如，智能卡、RFID标签等）、和/或生物输入。
[0080] 在一些实施例中，动作认证器304包括诸如智能卡324(其可以包括安全微处理器） 的便携式加密设备。使用便携式加密设备的优点在于整个设备(包括秘密存储的密钥和与 其通信的处理器)可以由已经授权访问动作发起者302的接口的操作者或用户携带。不管动 作认证节点304经由安全还是不安全的工作站访问认证路径300,来自动作发起者302的动 作请求都可以在便携式加密设备的架构内被安全地签名和/或加密，而不是潜在的不那么 安全的工作站或基于云的架构内。这保护了工业控制系统200免于未认证的动作。作为例 子，未认证的个人在能够认证经由动作发起者302发送的任何动作请求之前必须物理地拥 有智能卡324。
[00811 而且，可以部署多个安全层级。例如，动作认证器304可以包括仅对于经由智能卡 访问等来签名和/或加密动作请求而言是可访问的安全工作站326。此外，安全工作站326可 以经由生物的或多因子的加密设备328(例如，指纹扫描仪、虹膜扫描仪、和/或面部识别设 备)来访问。在一些实施例中，多因子加密设备328在使得智能卡324或其它便携式加密装置 能够对动作请求签名之前要求有效的生物输入。
[0082]由动作发起者302驱动的I/O模块100或任何其它工业元件/控制器306被配置为接 收被签名的动作请求，验证被签名的动作请求的真实性，以及在验证了被签名的动作请求 的真实性时执行所请求的动作。在一些实施例中，工业元件/控制器306包括被配置为存储 动作请求(例如，应用图像、控制命令、和/或任意其它由动作发起者发送的数据）的存储介 质330(例如，SD/微iSD卡、HDD、SSD、或者任何其它非瞬态存储设备）。1/0模块100或任何其 它工业元件/控制器306还包括在验证了签名后执行/运行动作请求（即，执行所请求的动 作）的处理器332(例如，控制器106)。在一些实施例中，动作请求由动作发起者302和/或动 作认证器332加密并且在所请求的动作可以被执行之前还必须由处理器332解密。在实现 中，I/O模块100或任何其它工业元件/控制器306包括虚拟密钥开关334(例如，运行在处理 器332上的软件模块），其使得处理器332仅在验证了动作请求签名之后和/或在解密了动作 请求之后能够执行所请求的动作。在一些实施例中，每一个或各个动作或者所选择的关键 动作中的每一个在I/O模块100或任何其它工业元件/控制器306上运行之前必须清除认证 路径。
[0083]图12示出了经由诸如本文所描述的动作认证路径300的动作认证路径来认证动作 请求的示例性过程400的流程图。在实现中，方法400可以被工业控制系统200和/或工业控 制系统200的认证路径300来体现。方法400包括：（402)发起动作请求(例如，经由操作者/工 程接口 308/310或远程/本地应用接口 316/320); (404)使用动作认证器304对动作请求签 名；（412)可选地，使用动作认证器304加密动作请求；（406)发送或下载签名的动作请求给 I/O模块100或任何其它工业元件/控制器306; (408)验证签名的动作请求的真实性；（414) 可选地，使用I/O模块100或任何其它工业元件/控制器306解密动作请求；以及(410)在验证 了签名的动作请求的真实性时使用I/O模块100或任何其它工业元件/控制器306来执行所 请求的动作。
[0084]为了增强安全性，I/O模块100或任何其它工业元件/控制器306可以进一步被配置 为，在所请求的动作由I/O模块100或任何其它工业元件/控制器306运行之前，使用动作认 证器304(例如，使用智能卡324等)来执行认证序列。例如，所谓的"握手"可以在步骤410之 前或者甚至在步骤406之前执行。在一些实施例中，签名和验证步骤404和408可以全部被替 换为更复杂的认证序列。可替代地，认证序列可以作为额外的安全措施来执行以加强更简 单的签名验证和/或解密措施。
[0085]在一些实施例中，由I/O模块100或任何其它工业元件/控制器306实现的认证序列 可以包括：向动作认证器304发送请求数据报，该请求数据报包括第一随机数(nonce)、第一 设备认证密钥证书(例如，包含设备认证密钥的第一认证证书）、以及第一身份属性证书;接 收来自动作认证器304的响应数据报，该响应数据报包括第二随机数、与第一和第二随机数 相关联的第一签名、第二设备认证密钥证书(例如，包含设备认证密钥的第二认证证书）、以 及第二身份属性证书;通过验证与第一和第二随机数相关联的第一签名、第二设备认证密 钥证书、以及第二身份属性证书来确认响应数据报有效；以及在响应数据报有效时向动作 认证器304发送认证数据报，该认证数据报包括与第一和第二随机数相关联的第二签名。 [0086]可替代地，动作认证器304可以发起握手，在该情况下，由I/O模块100或任何其它 工业元件/控制器306实现的认证序列可以包括:接收来自动作认证器304的请求数据报，该 请求数据报包括第一随机数、第一设备认证密钥证书、以及第一身份属性证书;通过验证第 一设备认证密钥证书和第一身份属性证书来确认请求数据报有效；以及在请求数据报有效 时向动作认证器304发送响应数据报，该响应数据报包括包括第二随机数、与第一和第二随 机数相关联的第一签名、第二设备认证密钥证书、以及第二身份属性证书;接收来自动作认 证器304的认证数据报，该认证数据报包括与第一和第二随机数相关联的第二签名；以及通 过验证与第一和第二随机数相关联的第二签名来确认认证数据报有效。
[0087] 可以由I/O模块100或任何其它工业元件/控制器306和动作认证器304实现的握手 或认证序列进一步在美国专利申请序号14/519,047中进行了描述，这里通过引用的方式将 其全部内容并入本申请。本领域技术人员将意识到冗余通信/控制模块106之间的握手对本 文所描述的I/O模块100或任何其它工业元件/控制器306与动作认证器304之间握手的适应 性。
[0088]动作发起者302、动作认证器304、以及I/O模块100或任何其它工业元件/控制器 306中的每一个可以包括能够执行本文所描述的功能或操作（例如，方法400的块和认证序 列）的电路和/或逻辑。例如，动作发起者302、动作认证器304、以及I/O模块100或任何其它 工业元件/控制器306中的每一个可以包括一个或多个处理器，其用于执行由诸如但不限于 硬盘驱动器(HDD)、固态盘(SDD)、光盘、磁存储设备、闪存驱动器、或SD/微SD卡的非瞬态机 器可读介质永久性、半永久性或临时性存储的程序指令。
[0089] 如上文中所描述的，两个或更多I/O模块100可以彼此以并联的方式连接，并且可 以能够彼此通信。在一些实施例中，为进一步的安全性，I/O模块1〇〇被配置为在包括诸如启 动、重置、安装新的I/O模块100、更换I/O模块100、周期性、按调度时间等的预定的事件或时 间处执行认证序列或握手来彼此认证。通过使I/O模块100彼此认证，可以避免伪造或恶意 引入的I/O模块100。
[0090] 图13示出了在认证序列的执行中在两个I/O模块100(例如，第一 I/O模块100A和第 二I/O模块100B)之间传输的示例性数据报500。为发起认证序列，第一I/O模块100A被配置 为向第二I/O模块100B发送请求数据报502。在实现中，请求数据报502包括第一明文随机数 (NonceA)、包含第一设备认证密钥(DAKA)的第一设备认证密钥证书(CertDAKA)、以及第一 身份属性证书（IACA)。在一些实施例中，第一I/O模块100A被配置为使用真随机数生成器 (下文中称为"TRNG"）生成第一随机数(NonceA)并且串接或以其它方式组合第一随机数 (NonceA)、第一设备认证密钥证书(CertDAKA)以及第一身份属性证书（IACA)以生成请求数 据报502。在一些实施例中，第一设备认证密钥证书(CertDAKA)和第一身份属性证书（IACA) 由第一 I/0模块100A本地存储。例如，证书可以被存储在第一 I/0模块100A的本地存储器(例 如，R0M、RAM、闪存或者其它非瞬态存储介质）中。
[0091] 第二I/O模块100B被配置为通过使用由设备生命周期管理系统(DLM)生成的或者 利用密码库函数导出的公钥来验证第一设备认证密钥证书(CertDAKA)和第一身份属性证 书(IACA )，确认请求数据报有效。在该方面，公钥可以被存储在I/O模块100的SRAM或另一个 本地存储器中并且可以与密码库函数一起使用以对交换的数据进行验证或密码签名，诸如 在I/O模块1 〇〇之间交换的随机数。在一些实施例中，第二I/〇模块100B可以使用椭圆曲线数 字签名算法(下文中称为"E⑶SA"）或其它验证操作来验证证书。在一些实施例中，第二I/O 模块100B可以进一步地被配置为通过验证如下各项来确认来自明文值的证书值有效:证书 类型是每个证书的设备认证密钥(下文中称为"DAK"）或身份属性证书(下文中称为"IAC"）； IAC名称匹配，DAK证书模块类型匹配模块类型参数;和/或消息有效负载中的每个证书的微 处理器序列号（下文中称为"MPSN"）彼此匹配。在一些实施例中，第二I/O模块100B可以进一 步被配置为验证DAK和IAC证书不在本地撤销的列表(例如，包括已取消的和/或已无效的证 书的列表或数据库）中。在第二I/O模块100B确认请求数据报失败时，第二I/O模块100B可以 生成错误消息，部分地或完全地禁用第一 I/O模块100A，和/或停止或限制去往/来自第一 1/ 0模块100A的通信。
[0092]响应于有效的请求数据报502,第二I/O模块100B被配置为向第一 I/O模块100A发 送响应数据报504。在实现中，响应数据报504包括第二明文随机数(NonceB)、与第一和第二 随机数相关联的第一签名（SigB[N 0nceA | | NonceB])、包含第二设备认证密钥(DAKB)的第二 设备认证密钥证书（certDAKB)、以及第二身份属性证书（IACB)。在一些实施例中，第二I/O 模块100B被配置为使用TRNG生成第二随机数(NonceB)，串接或以其它方式组合第一随机数 (NonceA)和第二随机数(NonceB)，以及使用由第二I/O模块100B本地存储的私钥（例如， DAK)对所串接/组合的随机数签名。第二1/0模块100B进一步被配置为串接或以其它方式组 合第二随机数（NonceB)、与第一和第二随机数相关联的第一签名（SigB[N 0nceA| NonceB])、第二设备认证密钥证书（certDAKB)、以及第二身份属性证书（IACB)以生成响应 数据报504。在一些实施例中，第二设备认证密钥证书（CertDAKB)和第二身份属性证书 (IACB)由第二1/0模块100B本地存储。例如，证书可以被存储在第二1/0模块100B的本地存 储器(例如，R〇M、RAM、闪存、或其它非瞬态存储介质）中。
[0093]第一 1/0模块100A被配置为通过使用本地存储的或利用ECDSA或另一个验证操作 从密码库检索的公钥来验证第二设备认证密钥证书（CertDAKB)和第二身份属性证书 (IACB)，来确认响应数据报有效。在一些实施例中，第一 1/0模块100A可以进一步被配置为 通过验证下列各项来确认来自明文值的证书值有效：IAC&DAK证书具有匹配的MPSN，IAC名 称匹配，双方证书（IAC&DAK)的证书类型正确，双方证书上具有正确的发布者名称，DAK模块 类型是正确的类型（例如，检查以确定是否模块类型=通信/控制模块）。在一些实施例中， 第一 1/0模块100A可以进一步被配置为验证DAK和IAC证书不在本地撤销列表中。
[0094]为确认响应数据报有效，第一 1/0模块100A可以被进一步配置为验证与第一和第 二随机数相关联的第一签名（sigB[NonceA| iNonceB])。在一些实施例中，第一 1/0模块100A 被配置为，通过串接第一本地存储的随机数(NonceA)和从第二1/0模块100B接收的第二明 文随机数(NonceB)，使用公共设备认证密钥(例如，使用来自certDAKB的DAKB)验证第一密 码签名（sigB[N 0nceA| iNonceB])，以及将本地生成的第一随机数和第二随机数的串接与密 码验证的第一随机数和第二随机数的串接相比较，来验证第一签名（sigB[N 0nCeA| NonceB])。在第一 1/0模块100A确认响应数据报失败时，第一 1/0模块100A可以生成错误消 息，部分地或全部地禁用第二1/0模块100B，和/或停止或限制去往/或来自第二1/0模块 100B的通信。
[0095]在响应数据报504有效时，第一 1/0模块100A进一步被配置为向第二1/0模块100B 发送认证数据报506。在实现中，认证数据报506包括与第一和第二随机数相关联的第二签 名（sigA[NonceA | | NonceB])。在一些实施例中，第一 1/0模块100A被配置为将本地生成的第 一和第二随机数的串接签上由第一I/〇模块100A本地存储的私钥(例如，DAK)。在响应数据 报无效时，认证数据报506可以使用包括由第一 1/0模块100A生成的与第二随机数和错误报 告(例如，"失败"）消息相关联的签名（sigA[NonceB | | Error])的"失败的"认证数据报506来 替换。
[0096] 响应于认证数据报506,第二I/O模块100B可以进一步被配置为向第一 I/O模块 100A发送响应认证数据报508。在实现中，响应认证数据报508包括由第二I/O模块100B生成 的与第一随机数和错误报告（例如，"成功"或"失败"）消息相关联的签名（sigB[Non CeA| Error])。在一些实施例中，第二I/O模块100B被配置为通过验证与第一和第二随机数相关 联的第二签名（sigA[NonceA| |NonceB])来确认认证数据报506有效。在一些实施例中，第二 1/0模块100B被配置为通过串接从第一 1/0模块100A接收的第一明文随机数(NonceA)和第 二本地存储的随机数(NonceB)，使用公共设备认证密钥(例如，使用来自certDAKA的DAKA) 来验证第二密码签名（sigA[N 0nceA | | NonceB])，以及将本地生成的第一随机数和第二随机 数的串接与密码验证的第一随机数和第二随机数的串接相比较，来验证第二签名（sigA [NonceA | | NonceB])。除了错误报告消息以外，在第二1/0模块100B确认认证数据报失败时， 第二1/0模块100B可以部分地或全部地禁用第一 1/0模块100A，和/或停止或限制去往/来自 第一 1/0模块100A的通信。
[0097] 在1/0模块100根据"主设备-从设备"配置来布置的实现中，主设备(例如，第一 1/0 模块100A)可以被配置为认证每个从设备。在认证失败的事件中，主设备可以至少部分地被 禁用或限制去往/来自未认证的从设备的通信。可替代地，在没有主设备的情况下，以并行 方式操作的两个或更多从1/0模块100和/或两个或更多1/0模块100可以彼此认证。认证失 败可以导致两个设备或伪次级设备(例如，非发起1/0模块)被部分或全部禁用。例如，两个 或更多冗余1/0模块100可以被禁用，应该是它们在启动或另一个预定的时间/事件时未成 功完成认证序列。
[0098] 每个1/0模块100可以包括能够执行本文中描述的功能的电路和/或逻辑。例如，控 制器106可以被配置为执行由诸如硬盘驱动器(HDD)、固态盘(SDD)、光盘、磁存储设备、闪存 驱动器等之类的非瞬态机器可读介质108永久、半永久或临时存储的程序指令。因此，控制 器106可以被配置为分别执行图14和图15中示出的认证发起者序列600和/或认证响应者序 列 700〇
[0099] 参见图14,由第一 1/0模块100A(即，发起者)实现的认证发起者序列600可以包括： (602)向第二1/0模块100B(即，响应者)发送请求数据报，该请求数据报包括第一随机数、第 一设备认证密钥证书、以及第一身份属性证书；（604)接收来自第二1/0模块100B的响应数 据报，该响应数据报包括第二随机数、与第一和第二随机数相关联的第一签名、第二设备认 证密钥证书、以及第二身份属性证书；（606)通过验证与第一和第二随机数相关联的第一签 名、第二设备认证密钥证书、以及第二身份属性证书来确认响应数据报有效；以及(610)在 响应数据报有效时向第二1/0模块100B发送认证数据报，该认证数据报包括与第一和第二 随机数相关联的第二签名；或(608)在响应数据报无效时向第二1/0模块100B发送认证失败 数据报，该认证失败数据报包括与第二随机数和错误消息相关联的签名。
[0100] 参见图15,认证响应者序列700(例如，由第二1/0模块100B实现)可以包括：（702) 接收来自第一 1/0模块100A的请求数据报，该请求数据报包括第一随机数、第一设备认证密 钥证书、以及第一身份属性证书；（704)通过验证第一设备认证密钥证书和第一身份属性证 书来确认请求数据报有效；（706)在请求数据报有效时向第一 1/0模块100A发送响应数据 报，该响应数据报包括第二随机数、与第一和第二随机数相关联的第一签名、第二设备认证 密钥证书、以及第二身份属性证书；（708)接收来自第一 1/0模块100A的认证数据报，该认证 数据报包括与第一和第二随机数相关联的第二签名；（710)通过验证与第一和第二随机数 相关联的第二签名来确认认证数据报有效；以及(712)向第一I/O模块100A发送响应认证数 据报，该响应认证数据报包括与第一随机数和成功或失败消息相关联的签名。
[0101] 在一些实施例中，I/O模块1〇〇可以被进一步配置为认证工业控制系统200的其它 元件和/或由工业控制系统200的其它元件认证，诸如，通信/控制模块214、现场设备217(例 如，传感器218或致动器220 )、功率模块232、物理互连设备、交换机等。工业控制器/元件可 以被配置为通过执行诸如上文中描述(在冗余I/O模块100之间）的认证序列的序列或握手 来彼此认证或认证其它设备。例如，I/O模块100可以被配置为与通信/控制模块214或现场 设备217执行认证序列（例如，如上所述的）。进一步被预期的是，通信耦合的现场设备217 (例如，传感器218或致动器220)还可以被配置为以与上文中描述的认证过程相似的方式来 彼此认证。
[0102] 应当理解的是，本文描述的功能中的任意功能可以使用硬件(例如，诸如集成电路 的固定逻辑电路）、软件、固件、手动过程或它们的组合来实现。因而，上述公开内容中讨论 的块、操作、功能或步骤通常表现为硬件(例如，诸如集成电路的固定逻辑电路）、软件、固件 或它们的组合。在硬件配置的例子中，上述公开内容中讨论的各块与其它功能体一起可以 被实现为集成电路。这样的集成电路可以包括给出的块、系统或电路的全部功能，或者块、 系统或电路的功能中的部分功能。此外，块、系统或电路的元件可以跨多个集成电路来实 现。这样的集成电路可以包括各种集成电路，包括但并不一定限于:单片集成电路、倒装芯 片集成电路、多芯片模块集成电路、和/或混合信号集成电路。在软件实现的例子中，上述公 开内容中讨论的各块表现为可执行指令(例如，程序代码），在处理器上被执行时执行特定 任务。这些可执行指令可以被存储在一个或多个有形的计算机可读介质中。在一些这样的 例子中，整个系统、块、或电路可以使用其软件或固件等同物来实现。在其它例子中，给出的 系统、块、或电路的一部分可以以软件或固件的形式来实现，而其它部分以硬件的形式来实 现。
[0103]尽管已经以特定于结构特征和/或过程操作的语言描述了主题，应当理解的是由 所附权利要求限定的主题不一定限于上文中描述的特定特征或动作。相反，上文中描述的 特定特征和动作描述作为实现权利要求书的示例性形式而公开。
【主权项】
1. 一种控制系统，包括： 控制模块； 输入/输出模块，其与所述控制模块耦合，所述输入/输出模块包括多个通信通道，所述 多个通信通道中的每个通道被配置为连接到一个或多个现场设备，所述输入/输出模块还 包括交换结构，所述交换结构被配置为经由所述多个通信通道来选择性地促进所述控制模 块和所述一个或多个现场设备之间的连通性； 串行通信接口，被配置用于将所述输入/输出模块连接到所述控制模块，所述串行通信 接口以与第二输入/输出模块并联的方式连接所述输入/输出模块，所述串行通信接口被配 置用于在所述输入/输出模块与所述控制模块之间传输信息；以及 并行通信接口，被配置用于分别将所述输入/输出模块连接到所述控制模块，所述并行 通信接口被配置用于在所述输入/输出模块与所述控制模块之间传输信息，以及在所述输 入/输出模块与所述第二输入/输出模块之间传输信息。2. 如权利要求1所述的控制系统，其中，所述串行通信接口包括多点总线。3. 如权利要求1所述的控制系统，其中，所述并行通信接口包括交叉开关。4. 如权利要求1所述的控制系统，其中，所述控制模块被配置为给所述输入/输出模块 分配唯一标识符，所述唯一标识符与所述输入/输出模块物理连接到所述控制模块的物理 位置相关联。5. 如权利要求1所述的控制系统，其中，所述串行通信接口被配置用于将所述输入/输 出模块并联地连接到冗余控制模块，以及所述并行通信接口被配置为分别地将所述输入/ 输出模块连接到所述冗余控制模块。6. 如权利要求1所述的控制系统，还包括功率模块，其用于为所述输入/输出模块提供 电功率。7. 如权利要求8所述的控制系统，其中，所述输入/输出模块被配置为经由所述多个通 信通道中的相应的通道来为至少一个现场设备提供电功率。8. 如权利要求1所述的控制系统，其中，所述多个通信通道包括多个以太网通道。9. 如权利要求1所述的控制系统，其中，所述输入/输出模块还包括耦合到所述交换结 构的控制器，所述控制器被配置为适应同时在所述多个通信通道的相应的通道上运行的多 个通信标准，所述通信标准包括下列标准中的至少两个：以太网总线、Hl现场总线、过程现 场总线(PROFIBUS)、可寻址远程传感器高速通道(HART)总线、Modbus、以及过程控制统一架 构的对象链接和嵌入(OPC UA)总线。10. 如权利要求1所述的控制系统，其中，所述输入/输出模块可操作为过程控制统一架 构的对象链接和嵌入(OPC UA)客户端或OPC UA服务器中的至少一个。11. 如权利要求1所述的控制系统，其中，所述输入/输出模块被配置为按照IEEE 1588 定时协议来同步所述一个或多个现场设备。12. 如权利要求1所述的控制系统，还包括与所述输入/输出模块通信的设备寿命管理 系统，其中，所述设备寿命管理系统被配置为认证所述一个或多个现场设备。13. -种输入/输出模块，包括： 多个通信通道，所述多个通信通道中的每个通道被配置为连接到一个或多个现场设 备； 交换结构，被配置为经由所述多个通信通道来选择性促进外部控制模块与所述一个或 多个现场设备之间的连通性； 串行通信端口，被配置为以与第二输入/输出模块并联的方式将所述输入/输出模块连 接到所述控制模块，所述串行通信端口被配置用于在所述输入/输出模块与所述控制模块 之间传输信息；以及 并行通信端口，被配置为分别将所述输入/输出模块连接到所述控制模块，所述并行通 信端口被配置用于在所述输入/输出模块与所述控制模块之间传输信息，以及在所述输入/ 输出模块与所述第二输入/输出模块之间传输信息。14. 如权利要求13所述的输入/输出模块，其中，所述多个通信通道包括多个以太网通 道。15. 如权利要求14所述的输入/输出模块，其中，所述输入/输出模块被配置为经由所述 多个以太网通道中的相应的以太网通道为至少一个现场设备提供电功率。16. 如权利要求13所述的输入/输出模块，还包括耦合到所述交换结构的控制器，所述 控制器被配置为适应同时在所述多个通信通道中的相应的通道上运行的多个通信标准，所 述通信标准包括下列标准中的至少两个：以太网总线、Hl现场总线、过程现场总线 (PROFIBUS )、可寻址远程传感器高速通道(HART)总线、Modbus、以及过程控制统一架构的对 象链接和嵌入(OPC UA)总线。17. 如权利要求13所述的输入/输出模块，其中，所述控制器被配置为运行过程控制统 一架构的对象链接和嵌入(OPC UA)客户端通信/控制协议或OPC UA服务器通信/控制协议 中的至少一个。18. 如权利要求13所述的输入/输出模块，其中，所述串行通信端口或所述并行通信端 口中的至少一个包括形成第一磁路部分的电磁连接器，包括： 第一磁芯组件；以及 第一线圈，其被布置在所述第一磁芯组件，所述电磁连接器被配置为与第二电磁连接 器配对，所述第二电磁连接器被配置为形成第二磁路部分并且包括第二磁芯组件、以及布 置在所述第二磁芯组件的第二线圈，所述第一磁芯组件和所述第二磁芯组件被配置为在所 述电磁连接器与所述第二电磁连接器配对时通过由所述第一磁路部分和所述第二磁路部 分形成的磁路将所述第一线圈与所述第二线圈耦合，所述磁路被配置为在所述第二线圈被 激励时在所述第一线圈中感应信号。19. 如权利要求18所述的输入/输出模块，其中，所述第一线圈包括布置在印刷电路板 上的平面绕组。20. 如权利要求18所述的输入/输出模块，其中，所述第一磁芯组件包括E型磁芯组件。21. 如权利要求18所述的输入/输出模块，其中，由所述第一磁芯组件和所述第二磁芯 组件形成的所述磁路具有气隙。
【文档编号】G05B19/042GK105929726SQ201610236358
【公开日】2016年9月7日
【申请日】2016年2月14日
【发明人】C·马尔科维奇, A·鲁亚科斯, J·G·加尔文
【申请人】基岩自动化平台公司