现场单元和用于运行自动化系统的方法

摘要

本发明涉及一种现场单元，其具有总线节点(4)，所述总线节点被构造用于在外部总线协议和用于与至少一个功能模块(5)通信的内部总线协议之间进行信号转化，使得沿着内部总线系统(5)借助于所述内部总线协议顺序地传输数据包；以及具有功能模块(5)，所述功能模块被构造用于处理数据包以及用于与至少一个下级功能组件(15至19)进行信号传输，其特征在于，总线节点(4)被构造用于区分上级控制装置(2)的数据包，使得在所述总线(4)中，在内部总线系统(7)处处理非面向安全性的数据包(27)，并且将面向安全性的数据包(24)转发给所述内部总线系统(7)，并且与所述内部总线系统(7)连接的至少一个功能模块(5)被构造为安全模块(9)，在所述安全模块中能够执行对面向安全性的数据包(24，30)的处理。

说明书

技术领域

本发明涉及一种现场单元，其具有总线节点，所述节点被构造用于在用于与上级控制装置通信的外部总线协议和用于与至少一个功能模块通信的内部总线协议之间进行信号转化，使得沿着内部总线系统借助于所述内部总线协议顺序地传输数据包，以及具有功能模块，所述功能模块被分配给总线节点，并且被构造用于处理通过内部总线系统传输的数据包以及用于与至少一个下级功能组件进行单向或双向信号传输。本发明还涉及一种用于运行这种自动化系统的方法。

背景技术

在DE 10 2009 042 354 A1中，借助于非安全的通信主机进行通信的协调，该非安全的通信主机创建和管理用于在安全的总线用户之间分派数据包的路由信息。在硬件方面在所连接的模块中预先给定所述路由信息。

在DE 10 2009 054 157 B3中设置在现场总线层面上的安全通信。

在EP 1 927 914 A2中，通过环入(eingeschleift)内部总线中或者单独的总线中的安全模块来保证总线系统控制单元的功能的检验。

发明内容

本发明的任务在于说明一种现场单元以及一种用于运行自动化系统的方法，其中利用简单构建的面向安全性的(sicherheitsgerichtet)组件可以将非面向安全性的以及面向安全性的数据和数据包转发给功能模块。

该任务根据针对具有权利要求1的特征的开头所述类型的现场单元的第一发明方面来解决。在此情况下规定，总线节点被构造用于区分上级控制装置的数据包，使得在总线节点中处理非面向安全性的数据包和/或将其转发给内部总线系统，并且将面向安全性的数据包转发给内部总线系统，以及与内部总线系统连接的至少一个功能模块被构造为安全模块，使得在该功能模块中能够执行对面向安全性的数据包的处理。

因此总线节点必须被设立用于将由控制装置、尤其是也被称为SPS的存储器可编程的控制器通过外部总线系统提供的面向安全性的数据包与同样由该控制装置提供的非面向安全性的数据包进行区分。到达的非面向安全性的数据包可以由总线节点直接处理，并且根据内部总线协议通过内部总线系统转发给要响应的功能模块。

在面向安全性的数据包到达时，总线节点不必对其中所包含的数据进行处理，而是将数据包至少在内容上未改变地转发给内部总线系统。在该转发时，也许可以将数据包的外部形式与内部总线协议的要求相适配，但是在此所述总线节点既不访问该面向安全性的数据包的内容，所述总线节点也不修改所述内容。

由此，根据安全技术中的通常理解，所述总线节点不能被看作是面向安全性的系统组件，并且因此不遭受严格的要求，所述要求根据可预先给定的安全标准应该对面向安全性的系统组件提出。由此对于总线节点的构想、构造和制造得出显著优点，因为虽然该总线节点必须满足对现场单元的组件的通常要求，但是不必满足如为了达到可预先给定的安全标准所要遵循的要求。

优选地，总线节点附加地被设立用于将由功能模块通过内部总线系统提供的面向安全性的数据包通过外部总线系统转发给控制装置。在此情况下规定，通过总线节点在内容上不改变相应的面向安全性的数据包。必要时，总线节点被设立用于将通过内部总线系统提供的面向安全性的数据包与外部总线协议的要求相适配。在此，总线节点在内容上不干预相应的面向安全性的数据包。

本发明的有利改进方案是从属权利要求的主题。

优选地，功能模块分别配备有总线接口用于接收和转发数据包，并且安全模块被构造用于接收面向安全性的数据包以及用于处理和根据内部总线协议将经处理的面向安全性的数据包通过内部总线系统转发给尤其是面向安全性的功能模块。

功能模块以及从而还有安全模块利用其总线接口提供电和/或电子功能性用于通过内部总线系统输送数据包。优选地，功能模块中的每一个均装备有至少一个多极插塞连接器和/或无线电模块以及微控制器或微处理器，用于使得能够接收、必要时处理以及转发数据包，用以与其他功能模块通信。相邻布置的功能模块之间的数据连接与此相应地可以电缆连接地和/或无线地来设置。

与此相应地，在至少一个安全模块中的总线接口也能够接收和转发到达的数据包。此外，在安全模块内借助于处理装置处理到达的数据包、尤其是仅仅到达的面向安全性的数据包，以及转发尤其是经处理的数据包，所述处理装置尤其包括为总线通信所设置的微控制器或微处理器。到达的面向安全性的数据包也被称为原始数据包，其由控制装置直接且在内容上未改变地被提供给相应的安全模块，并在那里通过所设置的处理被转换成二次数据包。

安全模块中的处理装置优选地被构造用于从面向安全性的数据包中提取数据，并在其编码方面如此转换，使得所述数据能够由下游布置的面向安全性的功能模块处理。二次面向安全性的数据包通过内部总线系统被转发给下游的功能模块、尤其是转发给面向安全性的功能模块。

另外，安全模块的处理装置还可以被构造用于必要时首先处理下游的功能模块、尤其是面向安全性的功能模块的数据，并且在任何情况下均将数据容纳到相应的数据包中、尤其是容纳到面向安全性的数据包中，以便接着促使通过接口和内部总线系统将所述数据包转发给总线节点，其中当数据包被设置用于转发给控制装置时，所述数据包可以被称为原始数据包，这是通常情况。

适宜的是，安全模块具有输入接口和/或输出接口用于与下级功能组件直接地单向或双向、尤其是电和/或光学耦合。功能组件尤其用于直接确定面向安全性的测量值和/或用于直接执行面向安全性的功能。例如，功能组件可以被构造用于关断安全性相关的致动器的能量供应，和/或包括面向安全性的传感器，例如位置或压力或温度传感器。该面向安全性的传感器例如被用于监控安全性关键的过程，传感器信号在安全模块中被处理以触发安全功能，和/或作为面向安全性的数据包的组成部分被转发给其他安全模块和/或控制装置。

在本发明的改进方案中规定，安全模块被构造用于处理至少两种不同的安全协议。因此可以将包括总线节点和至少一个安全模块的现场单元集成到不同的自动化系统中，所述不同的自动化系统以不同的面向安全性的总线协议诸如CIP-Safety、PROFISafe、FSoE(Fail Safe over EtherCAT(EtherCAT上的防故障))、OpenSafety工作。在相应构造的安全模块中能够处理由属于自动化系统的控制装置提供的至少两种这样编码的面向安全性的数据包。

在本发明的另一扩展方案中，安全模块被构造用于处理可自由预先给定(frei vorgebbaren)的面向安全性的计算机程序和/或用于提供面向安全性的运行时间系统(Laufzeitsystem)。由此可以将相应的安全模块简单地与不同的自动化系统适配。补充地或可替换地，在安全模块中可以通过该可自由预先给定的面向安全性的计算机程序来处理面向安全性的数据包，使得使用者能够将安全模块适配于其特定的需求。特别有利的是，安全模块被构造用于提供面向安全性的运行时间系统，在该运行时间系统中可以运行可预先给定的应用程序用以处理来自面向安全性的数据包的数据。通过提供面向安全性的运行时间系统能够保证至少一个在安全模块中运行的应用程序不会以不允许的方式访问安全模块的其他功能以及不会使其工作方式成为问题，其中所述运行程序是适配于运行时间系统的计算机程序。优选地，所述运行时间系统被构造为使得这些应用程序仅当所述应用程序从定义的源、例如从安全的数据库无线或有线地安装到安全模块上并被存储在那里时才能够在安全模块中运行。

有利的是，安全模块尤其借助于面向安全性的运行时间系统被构造用于处理面向安全性的功能模块和/或功能组件的信号和/或功能模块和/或功能组件的信号。从而，尤其是以传感器信号形式的、来自功能模块和/或功能组件的数据也可以被集成到数据包内，所述数据包作为非面向安全性的或作为面向安全性的数据包通过内部总线系统被转发给下游的功能模块或者被转发给总线节点。

优选地，给总线节点分配功能模块以及至少一个安全模块，所述功能模块根据可预先给定的安全标准的第一安全等级来构造，所述至少一个安全模块根据可预先给定的安全标准的第二安全等级来构造，其中第二安全等级针对比第一安全等级更高的安全性来设计。

本发明的任务根据第二方面通过用于运行自动化系统的方法而得到解决。对于该自动化系统，在上级控制装置和总线节点之间尤其借助于现场总线系统设置第一数据交换，在总线节点和至少一个功能模块之间尤其借助于内部总线系统设置第二数据交换，并且在至少一个功能模块和至少一个功能组件之间尤其借助于内部总线系统设置第三数据交换，其中由控制装置和/或由至少一个构造为安全模块的功能模块向总线节点提供数据包以及面向安全性的数据包，并且总线节点将面向安全性的数据包在内容上未改变地转发给安全模块或者转发给控制装置，其中在安全模块中处理面向安全性的数据包，使得面向安全性的数据尤其通过内部总线系统被转发给面向安全性的功能模块和/或面向安全性的功能组件，和/或面向安全性的数据由面向安全性的功能模块和/或安全模块中的功能组件接纳(aufgenommen)到面向安全性的数据包中，以便将面向安全性的数据包通过总线节点转发给控制装置。

在该方法的另一扩展方案中规定，在总线节点和至少一个功能模块之间的数据交换借助于内部总线系统实现，其中面向安全性的和非面向安全性的数据包顺序地被传输。

在该方法的另一扩展方案中规定，在面向安全性的数据包到达时，安全模块将在该数据包中所包含的数据在由控制装置预先给定的外部安全协议和面向安全性的功能模块的内部安全协议之间进行转化，并且接着将经修改的面向安全性的数据包发送给面向安全性的功能模块和/或面向安全性的功能组件和/或发送给控制装置。

在该方法的另一扩展方案中规定，安全模块处理或自动识别并处理面向安全性的数据包，所述数据包根据存储在安全模块中的至少两种不同的外部安全协议中的一种被编码。

在该方法的另一扩展方案中规定，安全模块为至少一个尤其是可交换的程序模块提供运行时间环境，所述程序模块被构造用于处理到达的数据包。

附图说明

在附图中示出本发明的有利实施方式。在此：

图1示出自动化系统的示意图，该自动化系统具有上级控制装置、与该控制装置耦合的总线节点和多个与该总线节点耦合的功能模块，以及

图2示出具有用于描述在总线节点和功能模块之间的数据输送的所分配的图解的图1的片断放大。

具体实施方式

在图1中所示的自动化系统1被构造用于运行未更详细示出的复杂设备，例如化学反应器或者装配单元。为此，该自动化系统1包括至少一个控制装置2，所述控制装置尤其可以以也称作SPS的存储器可编程的控制器的形式来构造，并且被设置用于协调一个或多个现场单元。

示范性地，现场单元3被构造为一个总线节点4和多个与该总线节点4耦合的功能模块5的装置。在此，设置外部电通信系统6，用于尤其是电缆连接地在控制装置2和现场单元3之间传输优选电信号，所述外部电通信系统示范性地被构造为现场总线，并且在控制装置2和现场单元3之间根据可预先给定的现场总线协议能够实现双向信号传输。为了在包含在现场单元3中的总线节点4和功能模块5之间传输信号、优选电信号，设置内部电通信系统7，尤其是专有通信总线。

在此，总线节点4用于在外部现场总线协议和内部通信总线协议之间的信号转化，并且由此能够实现在至少一个功能模块5和控制装置2之间的数据交换。外部现场总线协议以及内部通信总线协议优选被构造用于能够实现沿着相应的总线系统6、7顺序地传输数据包。

功能模块5被构造用于不同的功能，并且下面利用给其示范性分配的功能来更详细地予以描述。

第一功能模块被构造为电传动装置15的操控装置，尤其是发动机控制器8，并且使得能够借助于接口13以及电缆连接将控制指令提供给所述传动装置15，以便引起传动杆16以可预先给定的运动方向和/或运动速度线性运动。

第二功能模块被构造为安全模块9，并且用于处理控制装置2的用于下级面向安全性的功能模块的面向安全性的指令。

第三功能模块被构造为输入/输出模块10，用于通过接口13接收传感器信号和/或输出电控制指令，并且在现场单元3中示范性地被用于接收终端开关17的电信号，所述终端开关在传动杆16到达可预先给定的终端时输出信号。

第四功能模块被构造为面向安全性的输入/输出模块11，并且用于接收面向安全性的终端开关18的电信号，所述终端开关在传动杆16到达可预先给定的终端时输出信号。为此，面向安全性的输入/输出模块11装配有面向安全性的接口14。

第五功能模块如第三功能模块那样被构造为输入/输出模块12，用于通过接口13接收传感器信号和/或输出电控制指令，并且在现场单元3中示范性地被用于接收终端开关19的电信号，所述终端开关在传动杆16到达可预先给定的终端时输出信号。

功能模块8至12借助于内部通信系统7彼此通信，其中示范性地在功能模块8至12中的每一个处在第一侧表面20处设置突起地伸出的插头21并且在与第一侧表面20相反的第二侧表面22处设置未示出的插座。插头21以及插口都被构造为电总线接口，并且与在功能模块8至12中的每一个中构造的、未示出的总线控制电路或总线控制器电连接。在图1和2中，出于改善的图示原因，功能模块8至12彼此相间隔地画入，以便能够用画入的箭头阐明在功能模块8至12之间的总线通信。在实际应用中，总线节点4和功能模块8至12形成紧凑的部件，而在总线节点4和与此排成行地布置的功能模块8至12之间无间隙。在未示出的实施方式情况下，总线节点和/或功能模块在空间上彼此分开地布置，并且通过连接电缆和/或无线电区段以传输信号的方式互相连接。

因为自动化系统1示范性地可被用于操控电传动装置15，并且该电传动装置15在出现误操作时根据装入情形对于其环境、必要时也对于自动化系统1的操作者意味着潜在危险，所以控制装置2以及现场单元3均被设立用于面向安全地运行电传动装置15。

为此，由控制装置2向现场单元3提供具有正常的、非面向安全性的数据(诸如控制指令)的正常的或者非面向安全性的数据包以及具有面向安全性的数据、尤其是具有面向安全性的控制指令的面向安全性的数据包。现场单元3被设立用于处理数据包和面向安全性的数据包，并且必要时将数据包、尤其是面向安全性的数据包发送回给控制装置2，例如对于电传动装置15的干扰情况。

为了保证现场单元3的面向安全性的功能，可能考虑将现场单元3的所有组件构造为面向安全性的组件。但是，由于组件、尤其是功能模块具有大的多样性，并且此外为了在不同的控制装置2和现场单元3之间通信可以采用不同的现场总线协议，所以这种将整个现场单元3设计为面向安全性的现场单元3将会意味着巨大的耗费，以及将会总是需要适配于相应的现场总线协议。

如在图1和2示意性示出的面向安全性的自动化系统1基于下列理念，即面向安全性的数据包由被构造为安全模块9的功能模块处理，并被转发给相连接的面向安全性的功能模块，例如面向安全性的输入/输出模块11。在此，总线节点4被设立为使得该总线节点识别到达的面向安全性的数据包，并且至少不处理所述面向安全性的数据包，而是在内容上未改变地转发给内部通信系统7。优选地，总线节点4被设立为使得该总线节点除了面向安全性的数据包之外，也不经处理地转发其他的尤其是相应地被标记的非面向安全性的数据包。

在图2中强烈示意化地再现自动化系统1的该工作方式。在此，内部通信系统7被示为开环，不同地形成的数据包沿着该开环从总线节点4被转发给功能模块5以及从功能模块5又被引回到总线节点4。数据包可以从外部通信系统、例如现场总线系统中通过总线节点4被馈入到内部通信系统7中。此外，借助于该总线节点4，数据包可以由内部通信系统7输出给外部通信系统。

为此，与在图2中未示出的控制装置2连接的外部通信系统6被设立用于传输不同地形成的数据包。由控制装置2输出的控制指令可以以外部数据包23被传输，其被提供给总线节点4。控制装置2的面向安全性的控制指令以外部的面向安全性的数据包24被传输给总线节点4。

在总线节点4中，根据外部通信系统6、尤其是所选择的现场总线协议的编码来处理外部数据包23，并且将其中所包含的数据以内部数据包27通过内部通信系统7转发给要对此响应的功能模块5。在外部的面向安全性的数据包24到达时，总线节点4被设立用于将所述数据包在内容上未改变地转发给内部通信系统7。这在图2中通过以下方式示出，即外部的面向安全性的数据包24也通过内部通信系统7转发。

根据外部和内部通信系统6和7的构型可能需要进行与到达的外部的面向安全性的数据包24的适配，以便能够通过内部通信系统7转发所述数据包。但是，这种适配总是仅涉及相应的面向安全性的数据包24的外部配置，而不涉及其内容。

通过内部通信系统7转发的外部的面向安全性的数据包24首先在到达安全模块9时被打开并且被处理。在此，安全模块9可以被设立用于处理外部的面向安全性的数据包24，其根据不同的现场总线协议和分别所分配的安全协议、诸如CIP-Safety、PROFISafe、FSoE、OpenSafety来编码。

对于安全模块9可以通过至少一种以下可能性来选择要处理的现场总线协议：按硬件的预先给定(Vorgabe)、按软件的预先给定、自动识别。按硬件的预先给定例如可以借助于未示出的选择开关(例如DIP开关)来进行。按软件的预先给定可以通过由外部编程装置激活总线节点4中的相应的处理算法以及在编程装置和总线节点之间有线或无线地传输数据来实现。例如可以借助于外部计算机选择所使用的现场总线协议和与之关联的面向安全性的协议并且将该选择直接或通过内部通信系统7传输给安全模块9，其中在所述外部计算机上运行适当的选择程序。特别有利的是，在安全模块9中存储至少两种不同的安全协议，例如来自组CIP-Safety、PROFISafe、FSoE、OpenSafety中的至少两种安全协议，并且通过安全模块9自动化地识别所使用的安全协议。

在安全模块中处理的、外部的面向安全性的数据包24的数据为了与下游的面向安全性的功能模块5通信而被接纳在内部的面向安全性的数据包28中，并且接着通过内部通信系统7被转发。

在通过内部通信系统7传输时，数据包通过所有功能模块5输送。在此，例如在输入/输出模块10中，可以将从终端开关17的传感器信号中获得的数据接纳到内部数据包27中。在此产生改变的内部数据包29，其通过内部通信系统7被转发。改变的内部数据包29可以在总线节点4中被转换成改变的外部数据包25，以便通过外部通信系统6被转发给控制装置2。

内部的面向安全性的数据包28可以仅由相应配置的面向安全性的功能模块5、例如面向安全性的输入/输出模块11改变，例如通过接纳源出于面向安全性的终端开关18的传感器信号的数据。通过接纳数据，面向安全性的数据包28被变成改变的面向安全性的数据包30，所述改变的面向安全性的数据包30通过内部通信系统7被继续输送给总线节点4。

示范性地规定，所述改变的面向安全性的数据包30在转发时通过安全模块9被转换成改变的外部的面向安全性的数据包26，其从内部通信系统7被继续输送到总线节点4，并在那里被转交给外部通信系统6，以便被引导给控制装置2。

在第一实施方式情况下，安全模块9仅被构造用于将外部的面向安全性的数据包24转换成内部的面向安全性的数据包28。不设置在安全模块9中的超越数据包24、28的这种转换的数据处理。必要时，附加地设置在安全模块9中将内部的面向安全性的数据包28转换成外部的面向安全性的数据包24，其中这里也不发生超越数据包24、28的转换的数据处理。

在第二实施方式情况下，安全模块9被构造既用于转换数据包24、28，也用于处理在数据包24和/或28中所包含的数据，其中用于处理数据所需的算法尤其不可改变地存放在安全模块9的存储器中，并由安全模块9的处理器根据需求地调用。

在第三实施方式情况下，安全模块包括至少一个运行时间系统，即要从外部馈入的计算机程序的运行环境，所述计算机程序也称作“应用程序”或“app”。在此，所述运行时间系统优选地面向安全性地来构造，因此仅允许这样输出数据和/或通过要从外部馈入的计算机程序根据在内部在安全模块9中运行的处理过程访问数据，其中所述处理过程不导致对安全模块9的面向安全性的功能的危害。

在未示出的实施方式情况下，安全模块被构造用于直接与面向安全性的功能组件通信，并且为此配备有相应的接口。