CN105629925B - 用于单线安全通信的时间戳记和同步 - Google Patents
用于单线安全通信的时间戳记和同步 Download PDFInfo
- Publication number
- CN105629925B CN105629925B CN201510819047.5A CN201510819047A CN105629925B CN 105629925 B CN105629925 B CN 105629925B CN 201510819047 A CN201510819047 A CN 201510819047A CN 105629925 B CN105629925 B CN 105629925B
- Authority
- CN
- China
- Prior art keywords
- safety
- value
- counter
- event
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 238
- 230000004044 response Effects 0.000 claims description 112
- 238000000034 method Methods 0.000 claims description 52
- 238000001514 detection method Methods 0.000 claims description 30
- 238000003745 diagnosis Methods 0.000 claims description 23
- 230000015654 memory Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 17
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 9
- 230000004048 modification Effects 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000013508 migration Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 230000005055 memory storage Effects 0.000 claims description 2
- 230000005622 photoelectricity Effects 0.000 claims description 2
- 206010048669 Terminal state Diseases 0.000 claims 1
- 230000001066 destructive effect Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 abstract description 19
- 230000001360 synchronised effect Effects 0.000 abstract description 19
- 230000009977 dual effect Effects 0.000 abstract description 6
- 238000012544 monitoring process Methods 0.000 abstract description 4
- 230000011664 signaling Effects 0.000 abstract description 3
- 238000003860 storage Methods 0.000 description 34
- 238000010586 diagram Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 26
- 238000011144 upstream manufacturing Methods 0.000 description 11
- 230000005611 electricity Effects 0.000 description 8
- 230000001965 increasing effect Effects 0.000 description 7
- 239000013589 supplement Substances 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000009897 systematic effect Effects 0.000 description 4
- 235000014676 Phragmites communis Nutrition 0.000 description 3
- 210000001367 artery Anatomy 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000008034 disappearance Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000001976 improved effect Effects 0.000 description 3
- 238000012797 qualification Methods 0.000 description 3
- 210000003462 vein Anatomy 0.000 description 3
- 208000027418 Wounds and injury Diseases 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000008093 supporting effect Effects 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 208000009043 Chemical Burns Diseases 0.000 description 1
- 208000018380 Chemical injury Diseases 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000001727 in vivo Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000001208 nuclear magnetic resonance pulse sequence Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002285 radioactive effect Effects 0.000 description 1
- 238000013349 risk mitigation Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01M—TESTING STATIC OR DYNAMIC BALANCE OF MACHINES OR STRUCTURES; TESTING OF STRUCTURES OR APPARATUS, NOT OTHERWISE PROVIDED FOR
- G01M99/00—Subject matter not provided for in other groups of this subclass
- G01M99/008—Subject matter not provided for in other groups of this subclass by doing functionality tests
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4184—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by fault tolerance, reliability of production system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Alarm Systems (AREA)
Abstract
提供了用于对工业安全系统中检测到的事件的进行时间戳记的时间戳记层。通过时间戳记层实现的技术使用自主设备计数器和简单算术以通过精确的时间戳来标记检测到的事件(例如,安全切换事件),而无需同步安全电路上的各个安全输入设备与安全继电器的时钟。在一些实施方式中,时间戳记技术在提供了可靠的安全设备监测而无需双冗余信号通道的单线安全系统架构中实现。
Description
技术领域
本文中所公开的主题总体上涉及工业安全系统,并且更特别地涉及用于对工业安全系统上检测到的事件进行时间戳记而没有同步安全电路上的设备的技术。
发明内容
下面给出简要总结以便提供对在本文中所描述的一些方面的基本理解。本总结并不是广泛的概述,也非旨在识别关键/重要要素或限定在本文中所述的各个方面的范围。本总结的目的仅是以简单的形式给出一些概念作为稍后给出的更为详细的描述的前序。
在一个或更多个实施方式中,提供了一种安全继电器设备,该安全继电器设备包括:计数器部件,其被配置成以限定频率周期性地增大计数器;设备诊断部件,其被配置成输出针对工业安全电路上的安全输入设备的诊断请求消息,并且记录与输出诊断请求消息的第一时间对应的计数器的第一值;以及消息处理部件,其被配置成提取包含在响应于诊断请求消息所接收的诊断响应消息中的返回计数器值,并且基于第一值、返回计数器值以及与在安全继电器处接收诊断响应消息的第二时间对应的计数器的第二值,针对安全输入设备检测到的事件生成时间戳。
此外,一个或更多个实施方式提供了一种用于对工业安全电路上的事件进行时间戳记的方法,该方法包括:通过包括至少一个处理器的安全继电器设备针对工业安全电路上的安全输入设备发送诊断请求消息;通过安全继电器设备将保持在安全继电器设备上的周期性增大的计数器的第一值存储在第一寄存器中,其中,第一值与发送诊断请求消息的第一时间对应;响应于诊断请求消息通过安全继电器设备接收诊断响应消息,其中,诊断响应消息至少包括由安全输入设备生成的返回计数器值;通过安全继电器设备将计数器的第二值存储在第二寄存器中,其中,第二值与接收诊断响应消息的第二时间对应;通过安全继电器设备读取包含在诊断响应消息中的返回计数器值;以及通过安全继电器设备基于第一值、第二值以及返回计数器值针对安全输入设备检测到的事件生成时间戳。
此外,根据一个或更多个实施方式,提供了一种其上存储有指令的非暂态计算机可读介质,所述指令响应于执行使系统执行操作,所述操作包括:经由安全继电器设备的安全通道端子针对工业安全电路上的安全输入设备输出诊断请求消息;将保持在安全继电器设备上的周期性增大的计数器的第一值记录在第一寄存器中,其中,第一值与输出诊断请求消息的第一时间对应;响应于诊断请求消息经由安全通道端子接收诊断响应消息,其中,诊断响应消息至少包括由安全输入设备生成的返回计数器值;将计数器的第二值记录在第二寄存器中,其中,第二值与接收诊断响应消息的第二时间对应;从诊断响应消息读取返回计数器值;以及基于第一值、第二值以及返回计数器值针对安全输入设备检测到的事件生成时间戳。
为了实现前述目的以及相关目的,在本文中结合下面的描述以及附图描述了某些说明性方面。这些方面指出了可以实践的各种方式,所有所述各种方式旨在被本文所覆盖。在结合附图考虑的情况下,根据下面的详细描述,其他优点和新颖性特征可以变得明显。
附图说明
图1是利用冗余信号路径来提高安全可靠性的示例性安全电路的框图。
图2是示例性单线安全系统架构的框图。
图3是可以通过安全主设备生成的示例性脉冲信号的时序图。
图4是示例性通信主设备的框图。
图5是示例性SWS+安全设备的框图。
图6是示出了安全设备与通信主站之间的连接的示例性接线示意图。
图7是示出了单线安全输入设备的SWS+输出端子的使能条件的示例性逻辑图。
图8是可以用来确认在通信主设备的SWS+输入端子上接收限定的脉冲信号的示例性广义电气示意图。
图9A至图9D是示出了示例性单线安全系统的安全和诊断模式的框图。
图10A至图10F是示出了在其中多个安全设备切换至其非安全状态的情形下如何进行消息传送的框图。
图11是示出了参与时间戳协议的部件的图。
图12是示出了系统时域的示例性启动序列的时序图。
图13是示出了响应于在安全电路上的安全设备上所检测到的切换事件的在安全电路上的设备之间的消息交换的时序图。
图14是示出了其中GDD响应消息通过中间安全输入设备延迟的GDD消息事务的时序图。
图15是示出了进行修正以解释延迟的延迟的GDD事务的时序图。
图16是用于将CIP服务器与系统链接时域中的主时钟以及与SWS+时域中的安全继电器计数器同步用于时间戳记目的的示例性方法的流程图。
图17是用于处理由工业安全电路的安全输入设备所检测到的事件的示例性方法的流程图。
图18A和图18B是用于对在工业安全电路上所检测到的事件进行时间戳记的示例性方法的流程图。
图19是示例性计算环境。
图20是示例性网络环境。
具体实施方式
现在,参照附图描述本主题公开内容,其中,贯穿全文,相同的附图标记用于指代相同的元件。在以下描述中,为便于说明起见,阐述多个具体细节以提供对以下描述的透彻理解。然而,可以明显的是,在没有这些具体细节的情况下也可以对主题公开内容进行实践。在其他示例中,以框图的形式示出公知的结构和设备,以便有助于对主题公开内容的描述。
如在本申请中所使用的,术语“部件”、“系统”、“平台”、“层”、“控制器”、“端子”、“站”、“节点”、“接口”意在指代计算机相关实体或者与具有一个或更多个具体功能的操作设备有关或作为具有一个或更多个具体功能的操作设备的一部分的实体,其中,这样的实体可以为硬件、硬件和软件的组合、软件或者执行中的软件。例如,部件可以为但不限于处理器上运行的处理、处理器、硬盘驱动器、包括附加固态存储驱动器(螺丝拧紧或螺栓固定的)或者可移除的附加固态存储驱动器(光存储介质或磁存储介质的)的多个存储驱动器、对象、可执行软件、执行的线程、计算机可执行程序和/或计算机。通过例示,服务器上运行的应用和服务器二者均可以为部件。一个或更多个部件可以存在于处理和/或执行的线程内,并且部件可以位于一个计算机上和/或分布在两个或更多个计算机之间。另外,本文中所描述的部件可以从存储有各种数据结构的各种计算机可读存储介质来执行。部件可以例如根据具有一个或更多个数据包(例如,来自与本地系统、分布式系统中的另一部件交互的一个部件的数据和/或来自经由信号跨网络例如因特网与其他系统交互的部件的数据)的信号经由本地处理和/或远程处理进行通信。作为另一示例,部件可以为具有由电路或电子电路操作的机械零件提供的特定功能的设备,电路或电子电路由处理器执行的软件应用或固件应用来操作,其中,处理器可以位于设备内部或设备外部并且执行软件应用或固件应用的至少一部分。作为又另一示例,部件可以为通过没有机械部分的电子部件提供特定功能的设备,电子部件可以包括其中的处理器以执行提供电子部件的至少一部分功能的软件或固件。作为再又另一示例,一个或更多个接口可以包括输入/输出(I/O)部件以及相关联的处理器、应用或者应用程序接口(API)部件。虽然上述示例涉及部件的各个方面,所例示的方面或特征还应用于系统、平台、接口、层、控制器、终端等。
如本文中所使用的,术语“进行推断”和“推断”大体是指根据如经由事件和/或数据捕获的观察的集合推理或推断系统、环境和/或用户的状态的过程。推断可以用于识别具体内容或动作,或者可以生成例如针对状态的可能性分布。推断可以为或然性的,即是说基于数据和事件的考虑对所关注的状态的可能性分布的计算。推断也可以指从事件和/或数据的集合组成较高水平的事件所采用的技术。这样的推断导致从所观察的事件和/或存储的事件数据的集合构建新的事件或动作,无论事件在时间上是否密切相关、事件和数据是否来自一个或若干个事件和数据源。
此外,术语“或者”意在指包括“或者”而非排除“或者”。也就是说,除非特别指出,或者文本中明确说明,短语“X采用A或者B”意在指自然包括排列中的任何一个。也就是说,下述示例中任何示例均满足短语“X采用A或者B”:X采用A;X采用B;或者X采用A和B二者。此外,除非特别指出或者文本中明确说明是指单数形式,否则本申请及所附权利要求中所使用的词语“一个(a)”和“一个(an)”通常应当理解为意指“一个或更多个”。
此外,本文中所使用的术语“集合”不包括空集,例如其中没有元素的集合。因此,主题公开内容中的“集合”包括一个或更多个元素或实体。作为例示,控制器的集合包括一个或更多个控制器;数据源的集合包括一个或更多个数据源等。类似地,本文中所使用的术语“组”是指一个或更多个实体的聚集,例如,一组节点是指一个或更多个节点。
将根据可以包括许多设备、部件、模块等的系统来给出各个方面或特征。应当理解和明白的是,所述各种系统可以包括附加的设备、部件、模块等,和/或可以不包括结合附图讨论的所有设备、部件、模块等,还可以使用这些方法的组合。
现代工业自动系统通常包括多个有害的机器接入点,如果这些接入点被不恰当地破坏则可能造成操作者损伤。这些接入点可以使操作者暴露于与危险的机器部件相关的风险之下,这些风险包括但不限于通过移动部件造成的挤压、通过与露出的高压线或部件接触造成触电、化学烧伤、被移动的叶片割伤或肢解、辐射暴露或其他这样的害处。
为了减轻与这些接入点相关的风险,工厂工程师通常实施被设计成保护与接入点互动的操作者的安全系统。这些安全系统通常包括安全继电器或控制器,安全继电器或控制器监测各个安全输入设备的状态,并且如果安全输入设备中的任何一个指示潜在的不安全情况则对有害的机器部件断电。示例性安全输入设备可以包括安装在安全门上的提供访问有害的机器的接近开关。接近开关的输出可以被提供作为安全继电器的输入,当接近开关指示安全门是打开的时,安全继电器操作接触器使电源与机器隔离。在另一示例中,使操作者能够在冲压区域中载入部件的接入点可以由检测身体(例如,操作者的手臂)已穿过接入点的光幕保护。如同上述示例性接近开关,光幕的输出可以被联系于安全继电器作为输入,使得安全继电器在光幕被所检测的身体断开的同时使电源与冲压机隔离。其他示例性安全输入设备可以包括但不限于紧急停止按钮、基于重量检测来检测存在于特定区域处的人员的工业安全垫、紧急拉线设备、基于光电或激光的传感器、或者其他这样的安全检测设备。
针对有害的接入点所实施的功能性安全解决方案必须与现有的行业细分的功能性安全标准(例如由国际标准化组织(ISO)或国际电工委员会(IEC)定义的标准)相符合。这样的标准可以定义用于确定与机器相关的风险水平的正式方法,以及提供用于设计安全系统以减轻风险的法定准则。这些安全标准规定了必须被实施以对有害物的具体类型进行计数的安全系统类型和配置。
为了确保即使在一个或更多个安全输入设备失效的情况下仍然高度可靠的安全响应,安全系统通常被设计成具有用于传送安全信号的双冗余通道。图1示出了利用冗余信号路径来提高安全可靠性的示例性安全电路。在该示例中,安全设备102被串联连接至安全继电器104。安全设备102包括基于其相应的接入点来验证安全继电器是否应进入安全状态的设备,这些设备包括但不限于确定安全门处于闭合位置中的接近开关、紧急停止按钮、安全垫、光幕等。安全设备102中的每一个装配有双冗余接触器112a和112b,112a和112b被设计成在设备处于安全状态时闭合,以使得相应的24VDC信号110能够通过。
安全继电器104包括至少一个控制机器电源108与至少一个机器、电动机或工业设备的连接的可重置接触器114。如果检测到两个24VDC信号,则安全继电器104将仅允许接触器114重置,以指示所有的安全设备102已经证实了它们的安全功能。如果安全设备102中的任何一个切换至安全状态(例如,光幕破坏,紧急停止按钮被按下,安全门打开等),则至安全继电器104的电路被破坏,并且安全继电器104使电源与机器隔离,以通过防止有害的运动使工业系统处于安全状态。
即使在安全设备的内部接触器之一已经失效的情况下,在安全设备切换至安全状态时,通过确保安全继电器104断开机器电源,使用通过安全设备的两个不同的路径提高了安全可靠性。也就是说,即使安全设备内的两个接触器之一熔断闭合,第二接触器将仍然响应于对安全状态的检测而接通,以确保安全继电器104将看到24VDC的损失并且将电源与机器断开。虽然提供了程度增强的安全可靠性,但是实施双冗余信号路径消耗了额外的端子空间,并且使接线要求相对于单线解决方案加倍。此外,两个不同的通道的存在引入了在两条线之间可能的横断层,这可能妨碍安全继电器检测到安全电路中的开路。
在另外的问题中,多设备系统通常要求构成系统的分布式设备之间的精确的事件协调。这样的协调要求设备的内部系统时钟彼此同步至高度精确。由于内部系统时钟易于漂移(由此,多个设备的时钟因时钟率之差而逐渐无法同步),所以多设备系统通常包括时钟同步子系统,该子系统确保设备时钟在合适的容差内保持同步。对于要求纳秒或微秒分辨率的系统,时钟同步技术可能是复杂的,并且因需要不断地调整时钟计数以保持在精确的误差内所以需要大量的处理开销。对于具有较低的精确度要求(例如,数十毫秒)系统,这样的同步技术可能是不必要地复杂和处理强度。
为了解决这些和其他问题,本公开内容的一个或更多个实施方式涉及包括轻量时间戳记和同步协议层的工业安全系统。时间戳记层可以确定并且报告安全系统上的事件(例如,需求事件、切换事件、失效事件等)相对于位于安全系统外部的实时系统时钟的时序。包括安全系统的设备利用自主计数器或计时器连同简单的数学来实施时间戳记功能,产生了轻量、低复杂性的时间戳记系统,尽管如此该系统仍然提供了适合于被监测的事件的类型的分辨率水平。
虽然本文中描述的时间戳记功能可以被实施在基本上包括多种安全输入设备的任何类型的工业安全系统上,但是本文中的时间戳记技术和示例被描述于单线安全系统架构的背景中,该单线安全系统架构提供了可靠的安全设备监测而不需要双冗余信号通道。图2示出了根据一个或更多个实施方式的示例性单线安全系统架构202。安全系统架构202包括用作通信主站208(本文中被称为“通信主站”)的安全继电器和与安全继电器串联连接的三个安全设备204(虽然在不脱离本公开内容的范围的情况下可以向安全电路添加任何数量的安全设备)。安全设备被配置成用于符合单线安全通信协议,在本文中将对此进行更详细地描述。在通信链中距通信主站208最远的安全设备2041用作安全主站。用作安全主站的安全设备生成限定的脉冲串206,脉冲串206穿过链中的每个安全设备至通信主站208(安全继电器),只要限定的脉冲串206被识别,通信主站208就保持为操作模式。安全主站2041与通信主站208之间的总路径包括由电路上的相邻安全设备之间的多个子链路214构成的单线安全加(SWS+)链路212。在安全设备204之一识别到其安全功能的损失(例如,安全门打开,紧急停止按钮按下等)并且进入安全状态时,该设备停止使脉冲串206通过至下游设备,以防止信号到达通信主站208。当检测到脉冲串信号的损失时,通信主站208使电源与工业系统部件(例如,机器、工业设备、电动机等)隔离。
在一些实施方式中,为了在不使用双冗余信号通道的情况下确保高度的安全可靠性,电路上的每个安全设备被配置成进行对脉冲信号的双通道评估。此外,生成脉冲串206的安全主设备2041可以被配置成监测输出信号的双通道反馈,使得可以检测到信号与24VDC、0VDC或与其他时钟信号的短路。
该架构在单线安全通道上实施双定向通信协议,以使得链中的设备能够经由在其上发送脉冲信号的同一通道共享信息,这些信息包括但不限于状态数据、地址信息、存在指示等。单线协议使得安全设备能够在通道上交换请求和响应消息210,同时利用脉冲串206的传输协调这些消息的发送和接收。
图3是可以通过安全主设备生成的示例性脉冲信号302的时序图。图3中示出的脉冲图案不意图进行限制,而是应理解为在不脱离本公开内容的一个或更多个实施方式的范围的情况下可以实施任何脉冲图案。在该示例中,脉冲信号302具有总共4ms的周期,包括1ms的接通信号、0.7ms的断开信号、0.5ms的接通信号、以及1.8ms的断开信号。符合单线协议的安全设备和通信主站可以被配置成识别和生成该脉冲图案。通信主站可以被配置成当该脉冲图案是从最接近安全电路上的通信主站的安全设备接收到的时使安全继电器能够输出。
图4是根据本公开内容的一个或更多个实施方式的示例性通信主站设备的框图。本公开内容中说明的系统、设备或处理器的各个方面可以构成在机器内实施(例如,在与一个或更多个机器相关联的一个或更多个计算机可读介质(或媒介)中实施)的机器可执行部件。当通过一个或更多个机器(例如,计算机、计算设备、自动设备、虚拟机等)执行时,这样的部件可以使一个或更多个机器执行所描述的操作。
通信主站设备402可以包括脉冲验证部件404、继电器控制部件406、设备诊断部件408、单线通信部件410、消息处理部件412、计数器部件414、CIP服务器通信部件416、一个或更多个处理器418、以及存储器420。在各个实施方式中,脉冲验证部件404、继电器控制部件406、设备诊断部件408、单线通信部件410、消息处理部件412、计数器部件414、CIP服务器通信部件416、一个或更多个处理器418、以及存储器420中的一个或更多个可以彼此电耦接和/或通信耦接以执行通信主站设备402的功能中的一个或更多个。在一些实施方式中,部件404、406、408、410、412、414、416可以包括存储在存储器420上并且通过一个或更多个处理器418执行的软件指令。通信主站设备402还可以与图4中未描绘的其他硬件和/或软件部件交互。例如,一个或更多个处理器416可以与一个或更多个外部用户接口设备(例如,键盘、鼠标、显示监测器、触摸屏或其它这样的接口设备)交互。
脉冲验证部件404可以被配置为经由单线安全输入端子接收脉冲信号,并且识别通过信号传送的限定脉冲图案(例如,图3中示出的示例脉冲图案或另一脉冲图案)。继电器控制部件406可以被配置为基于由脉冲验证部件404对限定脉冲图案的检测来控制一个或更多个安全继电器的状态。设备诊断部件408可以被配置为结合从设备收集的故障或状态信息与安全设备交换消息信号。单线通信部件410可以被配置为协调信号线通道上的双向数据业务。消息处理部件412可以被配置为对在单线安全输入端子上接收的输入消息进行处理,以及在单线安全输出端子上发送输出消息以在单线安全通道上进行传输。经由单线安全输入端子发送和接收的消息可以包括但不限于:设备信息请求和响应消息、指示通信主站设备是活动的的消息、时间戳信息以及其他这样的消息。应当理解的是,本文所描述的时间戳记技术不限于由使用单线通信的安全设备使用,而且还可以在其中安全设备经由其他类型的通道进行通信的安全系统上实施。因此,在不使用单线通信的一些实施方式中可以省略单线通信部件410。
计数器部件416可以被配置为以限定速率(例如,每1毫秒计数)周期性地增加计数器值,计数值用来确定被检测事件的时间戳信息。CIP服务器通信部件416可以被配置为与单独的控制和信息协议(CIP)服务器交换消息,所述单独的控制和信息协议(CIP)服务器在通信主站设备402上查询与单线安全通信链路有关的信息,以及向一个或更多个更高级别的设备提供服务信息。一个或更多个处理器418可以执行文中参照公开的系统和/或方法所描述的功能的一个或更多个。存储器420可以是存储用于执行文中参照公开的系统和/或方法所描述的功能的计算机可执行指令和/或信息的计算机可读存储介质。
图5是根据本公开的一个或更多个实施方式的示例安全设备502的框图。安全设备502基本上可以包括任何类型的安全输入设备,包括但不限于:紧急停止按钮、光幕、光传感器、安全垫、安全门开关(例如,接近开关或簧片开关)、紧急拉绳设备、激光扫描器或其他类型的安全输入设备。
安全设备502可以包括安全主模式部件504、脉冲生成部件506、设备寻址部件508、安全状态检测部件510、脉冲检测部件512、安全信号中继部件514、状态字控制部件516、单线通信部件518、消息处理部件520、计数器部件522、一个或更多个处理器524以及存储器526。在各种实施方式中,安全主模式部件504、脉冲生成部件506、设备寻址部件508、安全状态检测部件510、脉冲检测部件512、安全信号中继部件514、状态字控制部件516、单线通信部件518、消息处理部件520、计数器部件522、一个或更多个处理器524以及存储器526中的一个或更多个可以是彼此电耦接和/或通信耦接以执行安全设备502的功能的一个或更多个。在一些实施方式中,部件504、部件506、部件508、部件510、部件512、部件514、部件516、部件518、部件520和部件522可以包括存储在存储器526上且由一个或多个处理器524执行的软件指令。安全设备502还可以与图5中未示出的其他硬件和/或软件部件进行交互。例如,一个或多个处理器524可以与一个或更多个外部用户接口设备如键盘、鼠标、显示监测器、触摸屏或其他这样的接口设备进行交互。
安全主模式部件504可以被配置为对安全设备502是否操作为单线安全系统内的安全主设备进行控制。如果安全设备502在安全主模式下操作,那么设备502将生成要被放在单线通信通道上的脉冲安全信号。另外,如果安全设备502不在安全主模式下操作,那么设备502将经由单线通信通道接收来自上游安全设备的脉冲安全信号,以及如果安全设备502不处于安全状态,那么将脉冲信号中继至安全电路上的下一下游设备。在一个或更多个实施方式中,安全主模式部件504可以响应于在设备的单线安全通道输入端子上检测到终止器的存在来将SWS+安全设备切换到安全主模式。
脉冲生成部件506可以被配置为生成脉冲图案(例如,图3的脉冲信号302或另一图案)并且如果设备502在安全主模式下操作,那么在设备的单线安全通道输出端子上输出脉冲图案。设备寻址部件508可以被配置为设置安全设备502的地址,并且经由通过单线通信通道发送的消息来向安全电路上的其他设备报告该地址。安全状态检测部件510可以被配置为确定安全设备502是否处于其安全状态。用于识别SWS+安全设备的安全状态的条件取决于安全设备的类型。例如,当开关未接近其相应的磁体时,门上安装的簧片开关被认为处于其安全状态,指示在其上安装有开关的安全门被打开。在另一示例中,当在光幕的发送器和接收器光阵列之间检测物体时,光幕被认为处于其安全状态。
脉冲检测部件512可以被配置为识别限定脉冲图案在设备的单线安全通道输入端子上的存在。如果满足某些限定条件,那么安全信号中继部件514可以被配置为将脉冲安全信号从单线安全通道输入端子中继至单线通信输出端子以传输到下一下游设备。限定条件可以至少包括对在安全输入端子处接收的安全信号上的有效脉冲图案的检测(如由脉冲检测部件512确定),以及验证SWS+安全设备不处于其安全状态(如由安全状态检测部件510确定)。
状态字控制部件516可以被配置为基于检测到的SWS+安全设备的状态来设置状态位和字,并且经由单线通信通道将状态位和字发送至安全电路上的其他设备。单线通信部件518可以被配置为对利用单线通信的安全设备的单线通信通道上的双向通信进行协调。消息处理部件520可以被配置为对在单线安全通道输入端子或单线安全通道输出端子上接收到的输入消息进行处理,并且在输入端子或输出端子上发送输出消息。如将在本文中更详细描述的,经由单线通道在输入端子或输出端子上接收的输入消息可以包括但不限于:请求提供设备状态或事件信息、对安全设备签名的请求、枚举消息或其他这样的输入消息。输出消息可以包括但不限于:包括安全设备的签名或设备信息的响应消息、枚举消息、设备存在消息、对另一设备的信息的中继请求或其他这样的消息。
计数器部件522可以被配置为以限定速率周期性地增加计数器值。一个或更多个处理器524可以执行文中参照公开的系统和/或方法所描述的功能的一个或更多个。存储器526可以是存储用于执行文中参照公开的系统和/或方法所描述的功能的计算机可执行指令和/或信息的计算机可读存储介质。
图6是示出安全设备与通信主站之间的连接的示例布线示意图。在该示例中,安全设备502包括用于0V和24VDC电源的端子、SWS+输入端子以及SWS+输出端子。在正常操作(SWS模式)期间,SWS+输入端子在线616上接收来自上游安全设备的脉冲安全信号,以及SWS+输出端子在线610上将安全信号发送至下一下游设备(在图示的示例中,下一下游设备是通信主站402;在本公开内容中,术语“上游”和“下游”是相对于从安全主站到通信主站的脉冲安全信号的方向)。如果有效脉冲图案存在于SWS+输入端子且安全设备502处于安全状态,那么安全设备502将在SWS+输出端子上仅发送出脉冲信号。如将在本文中更详细描述的,在诊断或配置模式期间,安全设备502使用SWS+输入端子和SWS+输出端子通过线616和线610(单线通道)以双向方式与相邻设备交换配置或诊断信息。
图6描绘了针对正常操作是有线的安全设备502,从而安全设备502驻留在安全电路上的两个其他设备之间。然而,如果安全设备502是安全电路上的最后一个设备以使得没有从其接收安全信号的其他上游设备,那么终止器可以连接至SWS+输入端子。如将在本文中更详细描述的,当在SWS+输入端子上检测到终止器时,安全设备502被配置为在安全主模式下操作,从而安全设备生成用于安全电路的脉冲安全信号。
通信主站402包括用于0V和24VDC电源的端子、用于接收线610上的脉冲信号的SWS+输入端子以及用于将脉冲信号发送至另一设备的SWS+输出端子618(例如,膨胀继电器模块或其他设备)。由于通信主站402通常是被配置为符合文中所描述的单线通信协议的安全继电器,所以通信主站402还包括用于对将机器功率应用于一个或更多个工业机器或设备进行控制的一个或更多个安全接触器606。
在一些实施方式中,通信主站402还可以包括补充输出端子,该补充输出端子用于在与SWS通道分开的专用线608上将补充消息发送至安全电路上的安全设备。可以经由安全设备502上的补充输入端子接收这些消息。例如,通信主站402可以使用补充输出端子将锁定命令发送至具有集成机械锁的安全设备;例如,包括接近开关以确定门何时处于闭合位置的远程致动门锁。在这样的情况下,通信主站可以被编程以响应于限定条件致动锁来防止门在危险操作期间被打开。在另一示例中,通信主站402可以被配置为在补充输出端子上输出信号,当由安全输入设备接收到该输出信号时,强制使安全输入设备从操作模式切换到安全状态(配置或诊断模式)。
图7是示出用于在安全设备502的SWS+输出端子上输出安全信号的启用条件的示例逻辑图。例如,可以通过图5中示出的安全信号中继部件514实现示出的逻辑图。在该示例中,假设安全设备是使用接近开关或簧片开关以确定安全门或门何时处于闭合位置的安全门开关。逻辑与块704确定在安全设备的SWS+输入端子上是否检测到安全信号,以及安全设备注册其安全功能是否有效(在该示例中,当门为闭合时安全状态是活动的),以及补充输出是否正在请求设备处于安全状态。安全侧逻辑与块702确定任何内部设备的故障是否是活动的,以及设备的通信栈是否变为活动的。如果没有(a)检测到内部故障,(b)通信栈是活动的,(c)门是闭合的,(d)补充输出没有正在请求安全状态,以及(e)在SWS+输入端子上检测到安全信号,那么安全设备启用SWS+输出端子上的安全信号,从而将所接收的脉冲安全信号传递给单线安全通道的下一子链路。
图8是可以用于确认在通信主站402的SWS+输入端子上接收到限定脉冲图案的示例通用电气示意图。示例示意图可以使用独立冗余验证来可靠地验证脉冲信号。为了清楚起见,从8图中省略用于控制诊断和配置消息通信的电路系统,并且示出的示意图仅包括用于确认接收到限定脉冲信号的元件。应当理解的是,图8中所描绘的示意图仅是示例性的,并且用于基于指定脉冲图案的存在或不存在控制安全继电器输出端的任何合适的电气设计在本公开的一个或更多个实施方式的范围内。
通信主站402经由SWS+输入端子接收脉冲安全信号,并且将所接收的信号在能量存储电容器CS(例如,电解质电容器)与两个微控制器μC1和μC2之间分割。连接至存储电容器CS的DC/DC转换器808根据输入端24V脉冲序列信号产生具有5V供电电压的供电。0V端子接收0V地电位。当安全电路上的所有安全输入设备都处于其各自的安全状态时,通信主站402经由二极管D1、存储电容器CS和DC/DC转换器808被提供有供电电压,表示需要的操作电压。当由DC/DC转换器808的输出端供电时,微控制器μC1和微控制器μC2被激活。如果这些微处理器现在在其I/O端子处另外检测到有效脉冲代码,那么驱动器单元804a和驱动器单元804b受到控制以触发继电器对806a和806b用于设置安全继电器输出端的接通状态。因此,SWS+输入必须接收不同于0V的电压,其另外必须具有有效脉冲图案以使通信主站402输出有效输出信号。
使用这种安全设备拓扑结构,可以使用仅单通道连接来满足安全标准的类别4的要求。由于通过信号传送的预定脉冲图案和使用两个微处理器对信号的双通道评估,所以实现高安全类别。此外,通过以平行方式向两个微处理器反馈驱动器单元804a和驱动器单元804b的输出信号,可以执行可行性检查以确保微处理器无故障操作。
当安全电路上的任何安全输入设备进入安全状态(例如,光幕被破坏、紧急停止按钮被按压等)时,在通信主站402的SWS+输入端子处不再接收脉冲信号,以使得继电器对806a和806b打开,从而断开电源与由安全继电器输出端馈电的工业设备。当满足两个标准中任一个标准时,触发安全继电器输出端的开口,所述两个标准为微控制器μC1和微控制器μC2的一个或两个在其输入端子上没有检测到有效脉冲图案,或者微控制器不接收来自DC/DC转换器808电源电压。因此,微控制器中之一的故障、驱动器单元804a和驱动器单元804b中之一的故障、或者继电器对806a和806b中之一的故障不妨碍通信主站402的安全操作。
图9A至图9D是示出了根据一个或更多个实施方式的示例单线安全电路的安全性和诊断模式的框图。如图9A所示,示例单线安全电路902包括通信主站906和五个安全设备904a至904e,其中,安全设备904a在安全的主模式下工作和安全设备904b至904e在正常模式下工作。安全设备904a至904e可包括与单线通信协议兼容的任何类型的安全输入设备,包括但不限于安全门开关、光幕、光电传感器、激光扫描仪、安全垫、紧急停止按钮或拉绳设备、或其他这样的安全设备。安全电路上的每个设备的SWS+输出终端(在图9A至9D中以黑色描绘)接线到下一下游设备的SWS+输入端子(灰色)。作为安全电路上的最后设备的安全设备904a,在其SWS+输入端子上配备有终结器910。作为最后设备,安全设备904a通过生成要置于安全通道上的脉冲安全信号908来操作作为单线安全电路的安全主站。安全主设备(安全设备904a)和通信主站906充当单线安全电路的锚。
在安装安全设备之后和正常工作之前,安全电路上的设备进入启动模式,在此期间,包括安全电路的设备执行自动发现和设备寻址(枚举)操作。起动模式从上电开始,在上电期间,电力被施加到安全输入设备904a至904e和包括单线安全电路的通信主站906。当电路上的设备加电时,系统进入自动检测阶段,在自动检测阶段期间,每个设备初始化,识别电路上的相邻设备,并向相邻设备报告其存在。设备之间的通信通过使用合适的消息传输协议经由单线通道进行。例如,设备可以通过在单线通道上交换“我在这里”(IAH)的消息向相邻设备报告其存在。当两个相邻设备检测到彼此时,进入子链接阶段,在子链接阶段期间,建立两个相邻设备之间的通信子链路。在一些实施方式中,建立相邻设备之间的子链路可以异步地进行,并且在两个相邻的安全输入设备可以建立彼此的子链路之前,通信主站906不需要加电。当相邻设备被加电和识别时,通过允许相邻设备异步地建立子链接,而不考虑通信主站906的状态,可以迅速建立总SWS+链路(包括相邻设备之间的所有子链路)。
当至少通信主站906与其相邻的安全输入设备904e之间的子链路已经建立时,系统进入链路枚举阶段,在此期间,通信主站906对系统上的每个设备进行寻址;例如,通过经由单线通道交换“我正在枚举”(IAE)的消息来进行寻址。通信主站可以在电路上的所有子链路已被建立之前开始枚举设备,只要在通信主站与至少一个安全输入设备之间存在建立的子链路的路径即可。链路枚举阶段之后,系统进入链路识别阶段,在此期间,通信主站906从电路上的每个安全输入设备904a至904e收集的设备信息,包括但不限于设备类型或型号信息,销售商的信息,硬件和软件版本信息,设备数据签名等。例如,通信主站906可以针对每个单独的安全输入设备在单线通道上发送“获得设备信息”(GDI)消息。在接收到的GDI消息时,每个安全输入设备可以使用包含所请求的设备信息的GDI响应消息进行响应。通信主站906经由单线通道接收该设备信息,并将该信息记录在本地存储器中。
当如上所述的自动检测、子链路、链路枚举和链路识别阶段完成时,系统可以进入正常工作(运行模式)。在诊断模式期间,系统确定脉冲安全信号908是否存在于通信主站906处,安全信号908指示电路上的所有安全的输入设备904a至904e都处于各自的工作状态。如果检测到安全信号(“安全信号开”),则系统进入工作模式,在此期间,通信主站906允许其继电器(例如,图8的继电器对806a和806b)关闭,从而将电力提供给连接到安全继电器输出的工业机器和设备。如果在通信主站906处不再检测到安全信号(“安全信号关”),这指示安全输入设备904a至904e中的一个或更多个已进入安全状态,则系统过渡回诊断模式,在此期间,通信主站906开始分别轮询安全输入设备904a至904e,以确定哪个设备已经切换,并收集其他诊断信息,如将在本文更详细地描述的。设备之间在诊断模式期间的消息交换通过在其上发送脉冲安全信号的相同的单线通信通道进行。如果电路上的安全设备被复位(例如,电力在设备上循环),则针对该设备重复进行自动检测、子链路、链路枚举和链路识别阶段。
作为安全主站,安全设备904a生成被置于单线安全通道上的脉冲安全信号908。在所有的安全设备904a至904e都处在各自的工作状态的工作模式期间,脉冲安全信号908由各自的安全设备沿单线通道中继并且在通信主站906的SWS+输入端子处被接收。在其SWS+输入端子上接收脉冲安全信号908的每个安全设备验证所接收的脉冲图案与所限定的脉冲图案是否匹配(例如,脉冲信号302或另一限定的脉冲图案)。根据图7中示出的启用块,每个安全设备在满足以下条件的情况下在其SWS+输出端子上输出脉冲安全信号:(a)脉冲图案符合正确的脉冲图案,(b)安全功能有效(例如,门关闭,紧急停止按钮脱开,光幕不间断等),(c)安全设备上没有内部故障,以及(d)用于安全设备的通信栈是活动的。因此,脉冲安全信号908通过安全设备904a至904e经由单线通道中继至通信主站906的SWS+输入端子。
通信主站906检测并验证在安全信号上接收的的脉冲图案与限定的脉冲图案(例如,脉冲信号302或另一限定的脉冲图案)是否匹配。只要在其SWS+输入端子上识别出限定的脉冲图案,通信主站906允许其安全接触器切换到关闭状态,从而将电力提供给连接到其安全继电器输出的工业机器和/或设备(工作模式)。
图9B示出了以下情况,其中安全设备904d-对应于门安全开关-切换到其非安全状态(例如,相应的安全门已打开)。当切换到安全状态时,安全设备904停止向安全电路上的下一下游设备(安全设备904e)中继脉冲安全信号,以防止脉冲安全信号到达通信主站906。当检测到安全信号的损失时,通信主站906打开其安全接触器并隔离来自连接的工业机器和/或设备的电力(安全状态)。除了阻止安全信号之外,安全设备904d还设置“最后设备”(LastDev)标记,该标记表示其是能够从安全主站904a接收到安全信号的安全电路上的最后设备。该安全设备还执行与事件的时间戳有关的其他初步功能,这将在下文中更加详细地描述。
在检测到安全信号的损失时,通信主站906发起诊断模式,并开始从安全设备收集信息。通信主站可以通过对以设备(01)开始的特定设备进行寻址来检索数据或可以发送(FF)的广播地址,以从所有设备检索数据。下面将要描述对特定设备进行寻址。如图9C所示,通信主站906通过经由单线通道发送用于对01(安全设备904e)进行寻址的“获取设备诊断”(GDD)消息而开始(例如,通过在其SWS+输入端子上输出GDD消息)。GDD消息(在图9C中被标记为“1”)包括其状态信息被请求的地址(01)。当在其SWS+输出端子上接收到GDD消息并且确定包含在GDD消息中的地址对应于其自己的地址时,安全设备904e通过发送包括其地址编号(01)和诊断状态数据(DATA)的GDD响应消息(在图9C标记为“2”)来进行响应,如将在下面更详细地描述的,GDD响应消息还包括用来生成事件的时间戳的信息。安全设备904e在其SWS+输出端子上输出此DIAG响应消息,经由单线通道发送该响应。
由安全设备发送的状态数据可以包括安全设备上可用的任何合适的诊断信息,诊断信息至少包括安全设备的LastDev标记的值。例如,诊断数据可以包括被划分成预定义状态位和寄存器的预格式化的状态字,其中位和寄存器的值由状态字控制部件516设置。由于安全设备904仍处于其安全状态,因此其LastDev标记没有被设置。因此,来自安全设备904e的GDD响应消息报告了LastDev=FALSE的值。GDD响应消息除包括LastDev标记之外,还可以包括安全设备的其他状态和故障信息。这可以包括所有SWS安全设备常见的错误代码以及设备特定的状态和故障信息二者。可以包括在GDD响应消息中的示例设备特定的状态信息,可以包括但不限于,门打开和关闭状态(针对门安全开关),光束打开和关闭状态以及光束强度的警告(针对光幕),按钮打开和关闭状态(针对紧急停止按钮和拉绳),或其他这样的信息。此外,如果在安全输入设备处发生了事件(例如,使得设备防止脉冲安全信号通过的切换事件,或者不影响设备的安全打开状态的非切换事件),则GDD响应消息可以包括计数器值,该计数器值指定在事件发生时该设备的内部计数器的值。如将在下面更详细地描述的,通信主站可以使用该计数器值,以产生事件的时间戳。
在接收到该GDD响应消息并且确定安全设备904e不是电路上的最后可用的设备时(基于LastDev标记的值),通信主站906接着发送GDD消息,以对02(对应于安全设备904d)进行寻址,如图9D中所示。响应于确定包含在该消息中的地址与其自身的地址不匹配,安全设备904e在其SWS+输出端子上接收该GDD消息,通过在其SWS+输入端子上输出GDD消息将该GDD消息中继至下一上游设备(安全设备904d)。安全设备904d使用GDD响应消息进行响应,该GDD响应消息包括其地址(02)以及至少包括其LastDev标记的值(LastDev=TRUE(真))的诊断数据。该GDD响应消息经由安全设备904e中继至通信主站906,以向通信主站906通知以02寻址的安全设备是安全电路上的最后可访问设备。基于该信息,通信主站906确定安全设备904d处于其非安全状态,并且可以向用户报告该信息(例如,经由显示器的指示,通过向指定用户的移动设备发送通知等)。在一些实施方式中,通信主站906也可以从之前注册的设备识别信息来检索关于所识别的安全设备的信息,并且也将该信息提供给用户。例如,基于已注册的设备信息,通信主站906获知与地址02对应的安全设备是安全门开关,因此非安全状态对应于检测到的门打开状态。因此,通信主站906可以生成以下通知,即安全状态是由于与安全输入设备02对应的安全门被打开引起的。通信主站还使用下面将更加详细地描述的技术来生成与检测到的切换事件发生的时间对应的时间戳。
当能够从安全主站904a接收到安全信号的最后设备被发现时(即,当其LastDev标记被设置为TRUE的设备被识别时),通信主站906随后将发送下一GDD消息请求。通信主站906将GDD消息仅发送给直到阻止安全信号的设备为止的设备,以减轻安全主站904a和负责阻止安全信号的安全设备之间的活动设备的不必要的轮询。
虽然通信主站的安全状态是由于处于安全状态的安全设备904d引起,但是安全主站904a继续沿单线通道发送脉冲安全信号。然而,安全信号仅被中继远至安全设备904d的SWS+输入端子。当返回到其安全状态(当与安全设备904d对应的安全门已关闭)时,安全设备904d将在其SWS+输入端子上检测脉冲安全信号并恢复中继安全信号。如果设备904e还没有进入安全状态,则其也将脉冲信号中继至通信主站906。随后,通信主站906在其SWS+输入端子上检测安全信号,并将工作模式切换返回到打开,使安全接触器能够被关闭,并且使电力能够被提供至安全继电器输出端。
图10A至图10F是示出了在多个安全设备由于其门被打开而切换至其安全状态的场景中怎样执行消息传送的框图。首先,如图10A中所示,安全电路工作在操作模式,其中,所有安全设备904a至904e在其相应的操作状态并且将脉冲安全信号908中继至通信主站。然后,如图10B中所示,在与安全设备904c对应的安全门之后,打开与安全设备904d对应的安全门。如在之前的示例中所述,当安全设备904d切换至其安全状态时,安全设备904d首先将其LastDev(最后设备)标记设置成TRUE(真)。然而,当安全设备904c随后切换至其安全状态并且停止中继安全信号时,安全设备904d检测在其SWS+输入端子上的安全信号的损失并且将其LastDev标记重设成FALSE(假)。同时,安全设备904c将其LastDev标记设置成TRUE。总体上,如果(a)给定的安全设备处于其安全状态,以及(b)如果该安全设备仍检测在其SWS+输入端子上的安全信号,则该安全设备将其LastDev标记设置成TRUE。当这两个条件是真时,安全设备变得认识到:最后设备能够接收安全信号以及将其LastDev标记设置成TRUE。
当通信主站响应于安全设备904d切换至其安全状态而从操作状态切换至安全状态时,通信主站906通过发送广播消息或者通过以循环的方式分别地向每个设备询问信息,针对诊断信息开始轮询设备。所示出的示例假定通信主站分别地轮询设备;然而,还使用了以上描述的广播技术。如在图10D中所示,安全设备904e报告LastDev的值=0,因此通信主站906等待更多的响应。尽管安全设备904d(与地址02对应)处于其安全状态,但是安全设备904d不是能够接收由安全主站904a生成的安全信号的最后设备,因此报告LastDev=0。因此,如在图10E中所示,通信主站906进行至轮询地址03,轮询地址03报告LastDev=1。在该阶段,通信主站906报告安全设备904c、904d以及904e的状态(例如,门打开或者门关闭)。
当确定安全设备904c是用于安全信号的停止点时,通信主站906将继续向设备904e、904d以及904c发送DIAG请求。如果设备904a或者设备904b进入安全状态,则设备904a或者904b也将开始响应请求,并且LastDev=TRUE指示符在门打开的情况下将移动至最靠近安全主站的安全设备。
如在图10F中所示,当关闭与安全设备904c对应的安全门时,安全设备904c在其安全信号启用SSE=TRUE的情况下回应下一诊断请求。安全设备904d和安全设备904e将该信息原样地中继至通信主站。此外,安全设备904d向安全设备904c发送回告知收到SSE=TRUE比特的确认消息。然后,安全设备904c将继续中继安全信号。同时,由于安全设备904d仍处于安全状态(门打开)但是现在检测在其SWS+输入端子上的安全信号的存在,该设备将其LastDev标记设置成TRUE。因此,当接收到指向地址02的下一个GDD消息时,安全设备904发送包括LastDev=TRUE的值的GDD响应信息,并且将不试图向上游中继信息。通信主站906继续发送GDD请求直到已经确认所有安全设备在其诊断消息响应中发送了其SSE=TRUE比特为止,安全信号被中继至通信主站。
前面的示例描述了可以经由单线安全信道在SWS+安全设备之间进行交换的一些消息类型(IAH、IAE、GDI、GDD等)。本文中描述的SWS安全设备的一些实施方式可以支持另外的消息传送的类型。例如,在一个或更多个实施方式中,通信主站可以被配置成经由单线信道向选择的设备发送远程重启命令。这些远程重启命令可以包括待重启的安全设备的地址,使得当目标设备接收在其SWS+输出端子上的命令以及验证匹配的地址时,安全设备将发起重启序列。
如在前面的示例中所述,被指定为安全主站的安全输入设备根据限定的脉冲模式(例如,在图3中描绘的脉冲模式)来调制安全信号,通过将该安全信号通过单线信道从安全主站中继至通信主站。在一些实施方式中,可以限定一个或更多个另外的脉冲模式以供安全系统设备用于其他目的的使用。例如,可以限定两个不同脉冲模式以传达相应的两种不同的安全状态类型(例如,“门关闭”状态以及“门锁着”状态)。通信主站可以被配置成识别限定的模式中的哪个模式存在于单线通道上,并且根据与所检测的脉冲模式(这可以取决于下载至通信主站的用户定义的编制程序)对应的特定的安全状态来工作。例如,通信主站可以被编程为仅使得如果检测到第一限定模式(例如,与“门关闭但是未锁”状态对应的模式),则启用其安全中继输出的限定子集;以及使得如果检测到第二限定模式(与“门关闭并且锁着”状态对应),则启用剩余的安全中继输出。
上述单线安全架构的实施方式可以被配置成生成用于在安全电路上检测的事件的时间戳。这些事件可以包括切换事件和非切换事件,切换事件使得安全输入设备在安全接通模式和安全断开模式(例如,门打开或门关闭事件,紧急停止按钮事件,光幕破坏或者重新发送事件等)之间切换,非切换事件没有引起安全输入设备的安全模式的切换。这两个不同类型的事件可以存储在安全设备中的单独的事件先入先出(FIFO)栈中,同时在与通信主站GDD消息互换期间等待检索。由单线安全架构使用的时间戳协议可以标记相对于位于单线安全系统外(例如,通信主站和安全输入设备外)的实时系统时钟的事件发生的时间。由于用于这样的事件要求的事件分辨率是相对较低的(例如,几十毫秒而不是几十微秒),则可以使用轻量型时间戳和同步协议来生成时间戳,轻量型时间戳和同步协议使用简单的算法和自主计数器或者计时器。
图11是示出了根据一个或更多个实施方式参与时间戳协议的部件的图。如在之前的示例中所述,单线安全电路1104可以包括通信主站1108和安全设备1102a至安全设备1102c(在该示例中,仅示出了三个安全输入设备)。CIP服务器1110被配置成按照要求向较高层级设备供给信息。CIP服务器1110还可以向通信主站1108查询与单线安全链路有关的信息。相对于时间戳,安全设备1102a至安全设备1102c负责识别现实世界事件的发生(例如,切换和非切换事件),确定在这些事件发生时其内部计数器的计数器值,以及使该事件和计数器信息对于通信主站当请求时可以得到。通信主站1108——除了上述功能之外——负责从在单线安全电路上的安全设备1102a至安全设备1102c收集事件信息,对在SWS+时域的事件加时间戳,以及使加时间戳的事件数据对于CIP服务器1110可以得到,这可以将时间戳转化成系统链路时域(以下更详细地描述这些域)。CIP服务器1110可以存储加时间戳得事件数据以用于稍后查看或者检索,或者将事件数据推送至外部系统。尽管在图11中CIP服务器1110被描绘为独立的服务设备,但是在一个或更多个实施方式中,CIP服务器1110的功能可以被集成在通信主站1108中。
主机时钟所有者(MCO)1106作为主机时钟的监护者。在该示例中,MCO是控制与安全电路1104关联的工业系统或者处理的至少一部分的工业控制器(例如,可编程路基控制器(PLC)或者其他类型的工业控制器)。例如,PLC可以控制工业机器或者工作单元,安全电路1104向工业机器或者工作单元提供安全功能和风险缓解。在一些实施方式中,除非需要实时加时间戳(也就是说,相对于主机时钟加时间戳),否则不需要MCO。如果不使用MCO1106,则时间戳将指示与在单线安全链路上的其他参与者有关的事件的定时。
在图11中描绘的单线安全架构使用用于事件的时间戳的两个时域。系统时域包括由MCO 1106和CIP服务器1110共享的时域,MCO 1106和CIP服务器1110的时钟在指定的精确度内相对于彼此同步。用于系统时域的时间格式可以是任何标准日期/时间格式(例如,dd/mm/yyyy HH:MM:SS)。由在单线安全电路1104上的设备(通信主站1108和安全设备1102a至安全设备1102c)使用SWS+链路时域。通常,SWS+链路时域将与通信主站1108有关。用于SWS+链路时域的格式可以是例如与由在单线安全电路上的每个设备维护的单个计数器对应的16位或者32位计数器值。计数器可以被配置成以限定的频率(例如,由在图4和图5中描绘的计数器部件414和计数器部件522控制)在电路上的每个设备中周期性地并且自主地增加。时间戳的分辨率是计数器的大小与增加的频率的函数(例如,16位计数器在给定的增加频率下可以提供大约一秒的分辨率,然而,32位计数器在给的增加频率下可以提供30毫秒至50毫秒范围内或者更高的分辨率)。
总体上,设备时钟可以由于跨设备的晶体振荡中的变化而从同步中偏移。如果两个不同的设备时钟以稍微不同的频率振荡,则两个时钟之间的差随着时间变得更大。由于针对在安全电路上的事件的时间戳仅需要在几十毫秒范围中的分辨率,则不需要高精度的时钟同步,并且因此可以将时钟同步技术保持简单。在本文中描述的时间戳协议考虑两个偏移区——在主机时钟所有者1106与CIP服务器1110之间的时钟偏移同步区,以及在CIP服务器与安全主站1102a(在安全电路1104上的最后一个安全输入设备)之间的时钟同步“不考虑(don’t care)”区。
在主机时钟所有者1106与CIP服务器1110之间的时钟偏移同步区,时间在允许容差的程度内必须与系统保持同步。鉴于此,CIP服务器1110将容纳偏移调整以减少随着时间的偏移。图12是示出了用于系统时域的示例初始化序列的定时图。要理解的是,在图12中描绘的序列仅意为示例性的,以及该序列可以在不偏离本公开内容的一个或更多个实施方式的范围的情况下而改变。在该示例中,通信主站1108在CIP服务器之前上电。首先,主机时钟所有者1106向CIP服务器发送命令以打开连接(消息1)。这可以包括例如以太网/IP 1级向前打开命令;然而,其他协议在本公开内容的一个或更多个实施方式的范围内。在CIP服务器1110上电后,主机时钟所有者1106发送包括从在主机时钟所有者1006上维护的时钟读取的当前系统时间的另一向前打开命令(消息2)。CIP服务器接收该消息,将其时钟设置成与在来自主机时钟所有者的打开消息中包括的系统时间相匹配(可选地,将与来自主机时钟所有者的传输延迟对应的较小的偏移时间增加至CIP服务器),以及对包括从CIP服务器的内部时钟读取的CIP服务器时间的向前打开响应消息(消息3)进行响应。
在通信主站1108已经上电并且已初始化其通信栈之后,通信主站1108向CIP服务器1110发送报告其通信栈是联网的消息(消息4)。在该消息发送后的一段时间,通信主站1108读取其内部计数器(由计数器部件414维护)的当前值,并且将随后的报告该当前值(计数器=x)的消息(消息5)发送至CIP服务器1110。当接收到通信主站的当前计数器值时,CIP服务器1110计算CIP服务器的当前时间(从内部时钟读取)与通信主站的计数器值之间的偏移。CIP服务器1110使用该偏移值作为参考以将其时钟时间与通信主站的计数器进行关联,使得可以将CIP服务器计数器值转化成主机时钟时间。CIP服务器1110还可以向主机时钟所有者1106发送指示通信主站1108联网并且报告偏移值的另一响应消息(例如,1级或者3级以太网/IP消息)(消息6)。
在初始偏移计算之后,通信主站1108将响应于切换事件或者非切换事件(如将在下面更详细地描述的)而报告其当前计数器值,使得CIP服务器能够验证:之前计算的偏移对于加时间戳的目的仍足够精确。也就是说,除了为了加时间戳目的而支持由通信主站提供的计数器值之外,CIP服务器将验证:计数器值在与CIP服务器时钟有关的原始计算的偏移的限定的容差内,以及在确定新的计数器值在容差之外时,对偏移进行任何需要的调整。如果在限定时间段(例如,z秒)没有发生任何事件,则通信主站1108可以读取其当前计数器值,以及向CIP服务器1110发送报告该新的计数器值的之后的消息(消息7),该消息由CIP服务器1110发出以验证偏移。用这种方式,即使在安全电路上没有检测出事件,也在最小频率下保证该偏移被检查和校正。
在CIP服务器1110与安全主站1102a之间的时钟同步“不考虑”区,由于由安全设备1102a至安全设备1102c所检测的切换事件被立刻报告至CIP服务器1110,并且每个时间戳与来自通信主站1008的最后请求有关,因此对于切换事件的加时间戳不需要同步。
现在联系图13来描述时间戳计算,图13是示出了响应于在安全电路上的安全设备上检测的切换事件1302而在安全电路的设备之间的消息交换的定时图。在该示例中,在来自通信主站1108的第三安全设备上检测切换事件(例如,门打开或者关闭事件,光幕破坏或者复位事件等),发起如上联系图9A至图10F描述的GDD消息的交换。通信主站和三个安全设备的相应的内部计数器在该示例场景开始时具有不同的计数值,通信主站首先具有计数330,同时安全设备分别具有计数100、计数230以及计数70。如以下将讨论的,由于相对于通信主站定时生成时间戳,所以不需要在安全电路上的设备之间的计数器同步。在该示例中,设备计数器都以1ms的时段增加。
在切换事件1302之前的一些时间,主机时钟所有者将向设定当前时间的CIP服务器发送(例如,利用如结合图12所描述的向前打开命令)消息(消息1)。这使得在系统链接时间域中所使用的时间同步,并且确保事件时间戳与在主机时钟所有者上运行的时钟相关。
当在安全设备3处检测事件1302时,设备切换至安全断开模式,将当前计数器值(计数=120)连同事件FIFO栈中的事件的记录一起记录在内部寄存器(EVT_READ_0)中,阻挡脉冲安全信号的通路(或者,如果安全设备3是安全主站,则安全设备将停止生成脉冲安全信号),并且等待接收来自通信主站的请求安全设备的诊断消息的GDD消息。响应于检测在其SWS+输入端子上的脉冲安全信号的损失,通信主站发起诊断模式并且开始经由单线通道以循环方式发送GDD消息以收集来自安全设备的诊断消息,如结合图9A至图10F所述。当向安全设备1发送第一GDD消息(消息2)时,通信主站记录在GDD消息被发送时在内部寄存器(CM_EVT_READ_0)中的当前计数器值(计数=380)。安全设备1用GDD响应消息(消息3)响应,在这个示例中GDD响应消息(消息3)是在20ms之后在通信主站处接收的(在图13中GDD询问消息被标记为“RQ”,而GDD响应消息被标记为“RP”)。这个GDD响应消息可以包含与以上结合图9A至图10F所描述的那些信息相似的信息。因为安全设备1不是目前处于安全断开模式并且不具有存储在其事件FIFO中的事件的设备,所以该设备不记录任何记录的或计算的计数器值。
因为安全设备1报告其LastDev值为FALSE(因为其不是处于安全断开模式的设备),所以通信主站针对安全设备2发送另一GDD消息(消息4)。通信主站丢弃先前保存在CM_EVT_READ_0中的计数器值,并且用与这个第二GDD消息被发送的时间对应的当前计数器值替换旧的计数器值。因为这个GDD消息和来自安全设备2的响应必须通过安全设备中继,所以来自安全设备2的GDD响应消息(消息5)花费约两倍的时间以在通信主站的SWS+输入端子处看到(发送GDD消息4与接收GDD响应消息5之间,40ms)。
因为来自安全设备2的响应消息还报告LastDev值为FALSE,所以通信主站针对安全设备3发送另一GDD消息(消息6)。通信主站也丢弃之前保存在CM_EVT_READ_0中的计数器值,并且用在第三GDD消息被发送的时间对应的当前计数器值(计数=560)替换旧的计数器值。因为安全设备3是目前处于安全断开模式的设备,所以该设备处理GDD消息不同于安全设备1和安全设备2。具体地,安全设备3在从安全设备2接收GDD消息时(计数=330)在另一寄存器(EVT_READ_1)中记录其当前计数器值,然后通过确定在GDD消息(消息7)被接收时的计数器值的计数器值(计数=330,存储在EVT_READ_1中)与在切换事件被检测时的计数器值(计数=120,存储在EVT_READ_0中)之间的差异来计算返回计数器值C。该返回计数器值被放置在寄存器EVT_ACTUAL中:
返回计数器值(C)=EVT_READ_1-EVT_READ_0=330-120=210ms→EVT_ACTUAL(1)
为了增加安全性,安全设备还可以添加在GDD消息的接收与GDD响应消息(消息8)的发送之间的往返时间X期间将逝去的预料的计数器增量的一半。然而,如果该往返时间X足够小,则附加的往返因子可以被忽略。
来自安全设备3的GDD响应消息(消息8)指定LastDev的值为TRUE(与之前的示例相似)并且包括返回计数器值C(210ms)。这个值代表在切换事件的检测与来自通信主站的GDD消息7的接收之间的时间,即在安全设备3计数器增量中(在这个示例中,1ms增量)。这个GDD消息通过单线通道(经由安全设备1和2)被返回至通信主站。在通信主站处、在GDD消息6的发送与GDD响应消息9的接收之间的消逝的时间为约60ms(为在通信主站与安全设备1之间相似的交换所需要的持续时间的三倍)。一旦接收这个GDD响应消息,则通信主站将从安全设备3接收的返回计数器值C(代表在安全设备3计数器增量中测量的相对时间持续时间)转换成对应于在切换事件发生时刻的绝对通信主站计数器值。通常,通信主站通过如下步骤确定与切换事件对应的计数器值:估计与安全设备3接收GDD消息7时的时间(通过线1304表示)对应的计数器值、确定在这个时间与事件的时间之间的计数器增量Y的消逝的数目以及逆向工作以确定在安全设备3处事件被检测时的绝对通信主站计数器值。
为了确定与事件1302对应的通信主站计数器值,通信主站首先将在接收GDD响应消息9时的当前计数器值(计数=620)记录在寄存器CM_EVT_READ_1中。然后,通信主站确定在这个计数器值与在GDD消息6被发送时取得的先前记录的计数器值CM_EVT_READ_0(计数=560)之间的差异。这代表在向安全设备3发送GDD消息与接收其GDD响应消息之间的消逝的时间(在通信主站计数器增量中)。然后,通信主站将这个值除以2以提供(yield)所估计的消逝时间(在从通信主站发送GDD消息6与在安全设备3处接收中继的GDD消息7之间的时间(在通信主站计数器增量中))。在本示例中,持续时间为:
(CM_EVT_READ_1-CM_EVT_READ_0)/2=(620-560)/2=30ms (2)
在知道这个持续时间的情况下,通信主站可以通过将这个30ms的持续时间增加至先前记录的在GDD消息6被发送时的时间处的计数器值560,估计与在安全设备3处接收GDD消息7时的时间对应的通信主站计数器值,所述时间可以如下获得:
CM_EVT_READ_0+30=560+30=590ms (3)
这是与图13的线1304对应的通信主站计数值,其被认为与安全设备3接收GDD消息7时的时间基本对准,并且因此基本与通过安全设备3从其测量返回计数器值的安全设备3计数器值(计数=330)对应。最后,为了获得与切换事件本身对应的通信主站计数值,通信主站从利用式(3)获得的值中减去在GDD响应消息9中报告的返回计数器值C:
590-C=590-210=380ms (4)
如图13所示,这个值与在响应于脉冲安全信号的损失而发送GDD消息2时的通信主站计数值对应,脉冲安全信号的损失是由在安全设备3处切换事件1302的检测引起的。因为在安全设备3处事件1302的检测与在通信主站处的安全信号的损失的检测之间的消逝时间是可忽略的,所以这个计算的通信主站计数值在分辨率可接受的程度内与事件的时间基本同时发生。在确定与事件对应的绝对计数值之后,通信主站向报告事件和计算的通信主站计数值380的CIP服务器发送推送事件消息(消息10)。为了将这个通信主站计数器值转换成绝对的时钟时间,CIP服务器用与通信主站计数器的计数值380对应的主机时钟时间对事件的记录进行时间戳记(根据先前确定的在CIP服务器与通信主站之间的偏移,如结合图12所描述的)。CIP服务器可以本地储存事件记录用于之后查看或检索,或者向外部系统或设备发送事件的通知。
总结上面执行的计算,当接收到包含LastDev=TRUE的值并且报告在相应安全设备处切换事件的发生的GDD响应消息,则通信主站根据下面的式确定与事件(CM_EVENT)的时间对应的绝对计数器值:
CM_EVENT=([CM_EVT_READ_1-CM_EVT_READ_0]/2)+CM_EVT_READ_0-EVT_ACTUAL(5)
在上述示例中,时间戳计算将通信主站持续时间Y看作与通过安全设备3报告的返回计数器值C相等,尽管这些持续时间相差X/2,其中X/2为在安全设备3处接收GDD消息7与发送GDD响应消息8之间的往返时间的一半。如果这个往返时间X小(例如,几百微秒),则在没有牺牲可接受的精确度的情况下X/2的差异可以被忽略。可替选地,时间戳协议的一些实施方式可以通过在GDD响应消息8中向通信主站发送返回计数器值之前将X/2添加至在安全设备3处的返回计数器值C来在该往返时间值中作为影响因素。
上述时间戳技术可以得到在多设备工业安全电路上检测的事件的准确的时间戳而在将要与另一电路同步的电路上不需要安全设备和安全继电器。如在上述示例中所示出的,通过单个的安全设备(例如,安全设备904a-904e和1102a-1102))检测的事件是通过安全继电器(单线安全系统的通信主站)准确地进行时间戳记的,即使安全设备和安全继电器的计数器自主地工作并且彼此不同步。上述的相关计算技术与记录的单线安全系统上的切换事件优选地在通过通信主站记录和加时间戳之前不老化的事实一起,减轻了对考虑到漂移对同步在安全输入设备与安全继电器之间的计数器的需求。
通过式(5)表示的计算技术产生了提供往返时间在关于安全设备的预料的往返时间(或事务时间)的合理容差内的可接受的准确结果,该往返时间为在从通信主站向安全设备发送GDD消息与接收来自安全设备的对应的GDD响应消息之间的时间。这是因为式(5)假设在合理的容差内,在GDD消息的发送与响应的接收之间的半程时间(例如,通过在图13中的线1302表示的时间)与通过安全设备的EVT_READ_1值的读数是基本同步的。然而,在GDD响应消息的返回过程中不期望的延迟可能引起时间戳准确度的损失,因为通过线1304表示的半程时间可能不再对应于EVT_READ_1值。图14为示出这个问题的示例性时序图。如在先前的示例中,通过安全设备3检测切换事件1402。一些时间之后,通信主站针对安全设备3发送GDD消息(消息1),记录关于CM_EVT_READ_0的计数值1080。如在先前的示例中所描述的GDD消息通过单线通道被中继至安全设备3,并且安全设备3用包括返回计数器值60(在GDD消息被接收时的安全设备计数器值720与在事件发生时的计数器值660之间的差,代表在事件的检测与GDD消息的接收之间的通过安全设备3测量的消逝时间)的GDD响应消息(消息2)进行响应。
然而,在该示例中,安全设备2在向安全设备1中继GDD响应消息时经历了延迟1410。然而,安全设备2将在通过消息箭头1406表示的最坏情况响应时间内正常地中继GDD响应消息2,在超过关于安全设备2的预料的最坏情况传输时间的情况下在不期望的时间延迟1410之后安全设备2代替地发送中继的GDD响应消息(消息3)。因此,在计数=1180时在通信主站处接收来自安全设备1的最终的中继的GDD响应消息(消息4),在预料的最坏情况往返持续时间之后的一些时间用于与安全设备3的消息交换。如果不考虑这个延迟,则通过式(5)计算的通信主站计数值可以在需要的准确度内不与事件1402的实际时间对准。
可以通过比较在根据线1408估计式(5)时所产生的结果与根据线1404估计式(5)时所产生的结果看出通过这个偏移引入的误差。如果消息3没有通过安全设备2被延迟的话,则线1408代表在发送GDD消息1与接收GDD响应消息4之间的半程点(与图13的线1304类似)。这个线基本上与安全设备3接收GDD消息并且记录EVT_READ_1值(计数=720)时的时间对应,返回的计数器值60基于上述时间。减去在GDD响应消息中报告的60ms的返回的计数器值,产生1030的安全主站计数值(CM_事件),其基本上与事件1402的实际时间对准。
然而,因为GDD响应消息4的接收被延迟直到通信主站的计数1180,所以由于延迟诱导的偏移在通信主站计数1180和1108之间的半程线1404不再与在安全设备3接收GDD消息时的时间对准(在可接受的容差内)。因此,从这个偏移半程时间中减去60ms的返回的计数器值产生估计的事件时间,其晚于计数=1030的实际的事件时间。在事件的时间处的实际的通信主站计数值(计数=1030)与这个偏移结果之间的差基本等于在关于在通信主站和安全设备之间的消息交换的预料的往返时间与实际的往返时间之间的差。例如,如果在通过通信主站针对安全设备3发送GDD消息与以通信主站接收来自安全设备3的GDD响应消息之间的预料的最坏情况往返时间持续时间为60ms,并且实际测量的往返时间持续时间为100ms(如通过计算在CM_EVT_READ_1与CM_EVT_READ_0之间的差确定),则利用式(5)计算的CM_事件值将比与事件对应的实际的通信主站计数值超过约40ms。
为了识别和改正异常延迟,通信主站的一些实施方式可以被配置成知晓用关于在单线安全电路上的每个安全设备处理GDD消息的预料的最坏情况往返时间。如在图13的时序流程图所示,针对在单线安全电路上的安全设备的GDD消息的往返时间根据电路上的安全设备的位置部分地变化。例如,参照图11的安全电路1104,用安全设备3(地址1)(最靠近电路上的通信主站的安全输入设备)处理GDD可以具有预料的最坏情况的往返时间X ms,而用安全设备2(地址2)处理GDD可以具有约2X的最坏情况事务时间,以及转发GDD消息和通过安全设备3响应所需要的附加时间,2X给定在通信主站与安全设备2之间的较长的距离。
对于给定安全设备的示例性最坏情况GDD事务时间与设备数目n之间的关系可以通过下面的式给出:
Tn=((MR×n)+(MP×n)+((n-1)×2d)+b)×f (6)
其中:
Tn为用安全设备n处理GDD的总时间,
MR为消息请求数据包时间,
MP为消息响应数据包时间
d为转发消息的中间安全设备所需要的时间(端口-端口传输时间),
b为安全设备处理GDD消息并且发送GDD响应GDD消息所需要的时间(获得和往返时间),以及
f为缓冲值。
在一个或更多个实施方式中,通信主站可以预先配置有用于计算Tn作为安全设备的地址的函数的预期值的式(例如,用于导出预期事务时间的式(6)或另一式)。利用这些信息,通信主站可以识别GDD事务中的过度延迟,并且对所计算的时间戳进行适当的修改。图15是示出图14的延迟的GDD事务在考虑到安全设备2的延迟1410所做的修改的情况下的时序图。由于在前面的示例中,在通过安全设备3检测到事件1402后通信主站在计数器=1080时发送GDD消息1。一旦接收到来自安全设备2的GDD消息2,安全设备3就计算返回计数器值60(在检测到事件1402与接收GDD消息2之间的持续时间),并且发送包含该返回计数器值的GDD响应消息3(以及任何附加的特征信息)。安全设备2在其SWS+INPUT端子接收GDD响应消息3,但是延迟了GDD响应消息4通过到SWS+INPUT端子,如通过延迟1410所表示的。因此,通信主站在发送其初始GDD消息1100ms后(在计数器=1180)接收来自安全设备1的GDD响应消息5。
一旦接收GDD响应消息5,通信主站就确定在发送GDD消息1与接收GDD响应消息5之间的总事务时间是否在安全设备3的预期最坏情况事务时间的所限定的容差内。在本示例中,通信主站预期安全设备3的事务时间为60ms(例如,基于用于确定预期事务时间的式(6)或另一式);也就是说,通信主站预期GDD响应消息5在计数器=1140时到达。因此延迟W被计算为
W=(实际事务时间)-(预期事务时间)=100–60=40 (7)
由于这40ms的延迟在所限定的容差外,所以通信主站使用校正此延迟的式(5)的修改版来计算CM_EVENT的值:
CM_EVENT=([CM_EVT_READ_1–CM_EVT_READ_0]/2)+CM_EVT_READ_0–EVT_ACTUAL–W (8)
在图15所描述的示例中,这被估计为:
CM_EVENT=((1180–1080)/2)+1080–60–40=1030
如图15可以看到,这个通信主站计数器值基本上与通过安全设备3检测到事件1402的时间一致。该通信主站计数器值连同事件1402的记录一起推送到CIP服务器,并且CIP服务器标记对应于通信主站计数器值1030的日期/时间戳的事件记录。
以上描述的技术提供了用于在包括在系统设备之间不需要时钟同步的多个串联连接的设备的系统中准确时间戳记事件的简单轻便的方法。相对于所述主设备(安全继电器用作通信主站)确定通过系统上的从动设备检测到的事件的时序并且基于消息事务时间使用简单的算术对通过在系统中的从动设备检测到的事件的时序进行计算,所以不需要复杂的同步方法或硬件。
尽管已经结合单线安全电路对时间戳技术进行了以上描述,但是这些技术适用于包括用于需要事件时间戳的串联连接设备的任何多设备系统。
图16至图18示出了根据本申请的一个或更多个实施方式的各套方法。然而,为了简化说明的目的,本文中示出的一套或更多套方法被示出并描述为一系列动作,应当理解并且认识到本创新不受动作顺序限制,因为据此一些动作可以以不同的顺序发生和/或与来自本文中示出的和描述的其他动作同时发生。例如,本领域的技术人员将理解并且认识,一套方法可以替代地表示为一系列相互关联的状态或事件,例如在状态图中。此外,根据创新并非所有示出的动作都是必需实施的方法。此外,根据本公开内容当不同的实体规定方法中的不同部分时,交互图可以表示一套方法或方法。另外,两个或更多个公开的示例性方法可以彼此组合来实施,以实现本文中所描述的一个或更多个特征或优点。
图16示出用于时间戳目的将CIP服务器与在系统链接时域中的主时钟和与在SWS+时域中的安全继电器计数器同步的一套示例性方法1600。最初,在1602处,对CIP服务器进行通电。在1604处,在CIP服务器处接收来自主时钟所有者的系统时间。主时钟所有者可以是,例如,工业控制器如PLC,或保持其自己的时钟值的另一种类型的外部设备。在1606处,基于从主时钟所有者接收的系统时间对通信主站时间进行设定。
在1608处,从工业安全电路的安全继电器接收当前计数器值。安全继电器用作安全电路上的通信主站,这可以是具有本文中所描述的体系结构和协议的单线安全电路。计数器值是保持在安全继电器的计数器的值,所述计数器值在所限定的时间(例如,每毫秒一次)增大。在1610处,对在步骤1608处接收到的计数器值与当前系统时间(基于通信主站时间所确定的,在步骤1606中已与主时钟所有者同步)之间的偏移进行计算。此偏移存储在CIP服务器上并且作为在安全电路的SWS+时域中的安全继电器计数器值至在CIP服务器和主时钟所有者的系统链接时域中的日期/时间值的转换因子。
在1612处,从安全继电器接收随后的计数器值。当在继电器上循环通电时安全继电器可以读取并且发送随后的当前计数器值,作为同步验证程序的一部分,由此在周期性基础上或响应于其他触发条件,继电器将其当前计数器值发送到CIP服务器。在1614处,(使用类似于在步骤1610中使用的技术)对在步骤1612处接收的随后的计数器值与CIP服务器的当前系统时间之间的偏移进行计算。在1616处,确定新偏移与先前计算出的在所限定的容差内的偏移是否匹配。如果新偏移与先前计算的偏移匹配,那么该套方法返回到步骤1612,并且等待接收来自安全继电器的另一计数器值。可替代地,如果新偏移与先前计算出的偏移不匹配,那么用在步骤1618处的新偏移替换先前的偏移,并且该套方法返回到步骤1612以等待接收来自安全继电器的另一计数器值。
图17示出用于处理由工业安全电路(例如,本文所述的单线安全电路,或另一种工业安全系统体系结构)的安全输入设备检测到的事件的一套示例性方法1700。最初,在1702处,在安全输入设备上检测事件。该事件依赖于安全输入设备的类型。例如,如果安全输入设备是光幕,那么该事件可能是光幕破坏或重置事件。如果是安全门开关,那么该事件可能是开门或关门事件。在1704处,读取该安全输入设备上的周期性地增大的计数器的当前值,并且将当前值存储在具有事件的记录的第一寄存器中。在一些实施方式中,计数器可以被配置为每毫秒增大;然而,其他的增大的频率也在一个或更多个实施方式的范围之内。在第一寄存器中的计数器值表示在检测到事件时的安全设备的计数器值。
在1706处,确定在安全输入设备处是否接收到“获取设备诊断”(GDD)消息。对于单线安全系统,可以经由安全输入设备的SWS+OUTPUT端子接收GDD消息。该GDD消息是来自安全继电器(作为安全电路的通信主站)用于从安全输入设备诊断信息的请求。如果没有接收到GDD消息,一套方法继续等待直到接收到GDD消息。如果接收到GDD消息,一套方法进行到步骤1708,其中读取计数器的当前值并且存储在第二寄存器中。这个值表示在接收到GDD信息时安全设备的计数器的值。
在1710处,确定在第一寄存器中的计数器值与第二寄存器中的计数器值之间的差。这表示自从检测到事件之后在安全设备计数器中所测量的持续时间在增大。在1712处,通过安全输入设备(例如,经由单线系统的SWS+OUTPUT端子)输出GDD响应消息。GDD响应消息包括用于安全输入设备的诊断信息,以及在步骤1710中所确定的差值。该差值表示安全继电器随后使用的用于计算事件发生的绝对时间的返回计数器值,其在安全继电器设备计数器中增大。
图18A示出用于对工业安全电路上检测到的事件进行时间戳的一套示例性方法1800a的第一部分。最初,在1802处,在安全继电器的SWS+INPUT端子对具有所限定的脉冲图案的安全信号的损失进行检测。安全继电器可以用作在单线工业安全系统上的通信主站,使得安全信号的损失表明在安全电路上的安全输入设备中的一个已经切换到安全关闭模式。在1804处,安全继电器的安全继电器输出响应于所述安全信号的所检测的损失而失效。
在1806处,将表示设备信息待收集的安全输入设备的地址的变量N设定为01。在1808处,读取保持在安全继电器上的周期性地增大的计数器(例如,每毫秒增大的计数器)的当前值并且存储在第一寄存器中。在1810处,经由安全继电器的SWS+INPUT端子输出针对安全输入设备N的“获取设备诊断”(GDD)消息。
在1812处,安全继电器等待在SWS+INPUT端子待接收的GDD响应消息。当接收到GDD响应消息时,确定包含在GDD响应消息中的LastDev标志是否设定为1。LastDev指示表明对应于地址N的安全设备是在单线安全电路上能够接收安全信号的最后一个设备。如果确定LastDev指示为0,那么该套方法转移到步骤1816,其中N增大1。该套方法然后返回到步骤1808,其中再次读取计数器的当前值(替换先前读取的计数器值)并且存储在第一寄存器,并且在步骤1810处输出指向下一个地址的另一诊断消息。可替代地,如果确定LastDev=1,那么安全设备N被确定为处于安全关闭模式,并且该套方法转移到步骤1818,其中再次读取计数器的当前值并且存储在第二寄存器。存储在第一寄存器中的计数器值表示在GDD消息被发送到安全设备N的时间,其在安全设备计数器中增大,并且存储在第二寄存器中的计数器值表示接收相应的GDD响应消息的时间。
在图18B中继续该套方法。在1820处,读取并且存储包括在步骤1812处接收的GDD响应消息的返回计数器值。返回计数器值表示通过安全输入设备检测到事件与在安全输入设备处接收GDD消息之间的持续时间,其是在以在安全设备N中保持的周期性地增大的计数器的增量所测量的。在1822处,确定存储在第一寄存器中的计数器值与第二寄存器中的计数器值之间的差。这个差值表示在步骤1810处发送GDD消息与在步骤1812处接收GDD响应消息之间的总事务时间。在1824处,将在步骤1822中所确定的差的一半加给第一寄存器中存储的计数器值以产生第一结果。在1826处,在步骤1824中所确定的第一结果减去在步骤1820处读取的返回计数器值以产生事件的导出的通信主站计数器值。此值表示在安全继电器计数器增大的单位内发生事件时的所计算的绝对时间。
在1828处,确定在步骤1822中所确定的差值是否在安全设备N的预期事务时间所限定的容差内。在此方面,为了确定步骤1828,安全继电器可以配置有用于比较目的在安全电路上每个设备N的预期的事务时间。预期的事务时间可以明确限定为在安全继电器的存储器中的每个设备N,或者可以基于存储在安全继电器上的式(例如,式(6))进行限定。比预期事务时间超出超过所限定的容差的事务时间表明GDD消息事务的延迟足以过度导致所计算的事件时间戳的不准确性。
如果在步骤1828中确定该差在预期的事务时间的限定的容差内,则方法进行至步骤1832,在步骤1832中,将与在步骤1826中确定的所获得的通信主计数器值对应的时间戳与该事件的记录一起存储。(例如,使用图16的方法1600)可以基于先前确定的在安全继电器计数器与主时钟之间的偏移量来将该通信主计数器值转换成主时钟的数据/时间格式。可替代地,如果在步骤1828中确定该差不在所限定的容差内,则方法进行至步骤1830,在步骤1830中,通过所获得的通信主计数器值减去该差值来修改在步骤1826中确定的所获得的通信主计数器值。该修改对由过大的GDD事务延时而造成的时间戳计算偏移量进行修正。如与步骤1832相关的上文所述,然后将与该修改的值对应的时间戳与事件的记录一起存储。
本文中所描述的实施方式、系统和部件以及其中可以执行本说明书所阐述的各个方面的工业控制系统和工业自动化环境可以包括能够通过网络进行交互的计算机或网络部件,例如,服务器、客户端、可编程逻辑控制器(PLC)、自动化控制器、通信模块、移动计算机、无线部件、控制部件等。计算机和服务器包括一个或更多个处理器(采用电信号来进行逻辑操作的电子集成电路),所述一个或更多个处理器被配置成执行存储在以下介质中的指令:例如,随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器以及可以包括记忆棒、存储卡、闪存驱动器、外部硬盘驱动器等的可移除存储设备。
类似地,如本文所使用的术语PLC或自动化控制器可以包括可以跨多个部件、系统和/或网络共享的功能。作为示例,一个或更多个PLC或自动化控制器可以跨网络与各种网络设备进行通信和协作。这基本上可以包括经由包括控制网络、自动化网络和/或公共网络的网络进行通信的任意类型的控制、通信模块、计算机、输入/输出(I/O)设备、传感器、执行器以及人机接口(HMI)。PLC或自动化控制器还可以与以下各种其他设备进行通信并控制各种其他设备:例如包括模拟、数字、编程/智能I/O模块、其他可编程控制器、通信模块、传感器、执行器、输出设备等的标准或安全级I/O模块。
所述网络可以包括:公共网络,例如因特网、内联网;以及自动化网络,例如包括DeviceNet、ControlNet和以太网/IP的控制和信息协议(CIP)网络。其他网络包括以太网、DH/DH+、远程I/O、现场总线、Modbus、过程现场总线(Profibus)、CAN、无线网、串行协议等。另外,网络设备可以包括各种可能性(硬件和/或软件部件)。这包括以下部件:例如具有虚拟局域网(VLAN)能力的接线器(switch)、LAN、WAN、代理、网关、路由器、防火墙、虚拟专用网(VPN)设备、服务器、客户端、计算机、配置工具、监控工具和/或其他设备。
为了提供用于所公开的主题的各个方面的境况,图19和图20以及以下讨论旨在提供对在其中可以实现所公开的主题的各个方面的适合的环境的简要、概括的描述。
参照图19,用于实现上述主题的各个方面的示例环境1910包括计算机1912。计算机1912包括处理单元1914、系统存储器1916和系统总线1918。系统总线1918使得包括但不限于系统存储器1916的系统部件耦接至处理单元1914。处理单元1914可以是各种可用的处理器中任意一个。也可以使用多核微处理器和其他多处理器架构作为处理单元1914。
系统总线1918可以是包括存储器总线或存储器控制器、外围总线或外部总线、和/或局部总线的若干类型的一个或更多个总线结构中的任意一类,局部总线使用以下任意多种可用总线架构,总线架构包括但不限于8位总线、工业标准架构(ISA)、微通道架构(MSA)、扩展型ISA(EISA)、智能驱动电子设备(IDE)、VESA局部总线(VLB)、外围部件互连(PCI)、通用串行总线(USB)、高级图形端口(AGP)、个人计算机存储卡国际协会总线(PCMCIA)以及小型计算机系统接口(SCSI)。
系统存储器1916包括易失性存储器1920和非易失性存储器1922。在非易失性存储器1922中存储有包括例如在启动期间用于在计算机1912内的元件之间传送信息的基本例程的基本输入/输出系统(BIOS)。作为说明而非限制,非易失性存储器1922可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除PROM(EEPROM)或闪速存储器。易失性存储器1920包括作为外部高速缓冲存储器的随机存取存储器(RAM)。作为说明而非限制,RAM可以以许多形式获得,例如同步RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、Synchlink DRAM(SLDRAM)和直接Rambus RAM(DRRAM)。
计算机1912还包括可移除/不可移除计算机存储介质、易失性/非易失性计算机存储介质。图19示出例如磁盘存储器1924。磁盘存储器1924包括但不限于诸如磁盘驱动器、软盘驱动器、磁带驱动器、Jaz驱动器、Zip驱动器、LS-100驱动器、闪存卡、或记忆棒。另外,盘式存储1924可以单独包括存储介质或者以与其他存储介质组合的方式包括存储介质,所述其他存储介质包括但不限于光盘驱动器,例如压缩盘式ROM设备(CD-ROM)、CD可记录驱动器(CD-R驱动器)、CD可复写驱动器(CD-RW驱动器)或数字多功能盘ROM驱动器(DVD-ROM)。为便于磁盘存储器1924与系统总线1918连接,通常使用可移动或不可移动接口例如接口1926。
应当理解的是,图19描述了在适合的操作环境1910中用作拥护与所描述的基本计算机资源之间的媒介的软件。这样的软件包括操作系统1928。操作系统1928可以被存储在磁盘存储器1924上,操作系统1928用作对计算机1912资源进行控制和分配。系统应用程序1930通过存储在系统存储器1916中或磁盘存储器1924上的程序模块1932和程序数据1934经由操作系统1928利用资源管理。应当理解的是,可以利用多个操作系统或操作系统的组合来实现本主题公开内容的一个或更多个实施方式。
用户通过一个或更多个输入设备1936将命令或信息输入到计算机1912中。输入设备1936包括但不限于指向设备,例如鼠标、跟踪球、触控笔、触摸垫、键盘、麦克风、操纵杆、游戏垫、卫星天线、扫描仪,TV调谐卡、数码相机、数码摄像机,网络摄像头等。这些和其它输入设备通过系统总线1918经由一个或更多个接口端口1938与处理单元1914连接。一个或更多个接口端口1938包括例如,串行端口、并行端口、游戏端口和通用串行总线(USB)。一个或更多个输出设备1940使用一些与一个或更多个输入设备1936相同类型的端口。因此,例如,USB端口可以用来向计算机1912提供输入,并从计算机1912向输出设备1940输出信息。设置输出适配器1942用以说明存在一些需要特殊适配器的输出设备1940诸如监测器、扬声器和打印机以及其他输出设备1940。输出适配器1942包括作为举例说明而非限制的使输出设备1940与系统总线1918之间连接的装置的显卡和声卡。应当注意的是,其他设备和/或设备的系统提供了输入和输出两种能力,例如一个或更多个远程计算机1944。
计算机1912可以在网络化环境中操作以利用逻辑连接至一个或更多个远程计算机例如一个或更多个远程计算机1944。一个或更多个远程计算机1944可以为个人计算机、服务器、路由器、网络PC、工作站、基于微处理器的装置、对等设备或其他公共网络节点等,并且远程计算机1944通常包括许多或所有所描述的关于计算机1912的元件。为了简明起见,仅记忆存储设备1946与一个或更多个远程计算机1944一起进行说明。一个或更多个远程计算机1944通过网络接口1948被逻辑地连接至计算机1912,然后经由通信连接1950物理地连接。网络接口1948包括通信网络例如局域网连接(LAN)和广域网(WAN)。LAN技术包括光纤分布式数据接口(FDDI)、铜分布式数据接口(CDDI)、以太网/IEEE 802.3、令牌环/IEEE802.5等。WAN技术包括但不限于点对点链路、电路交换网诸如整合服务数位网(ISDN)及其变体、包交换网络以及数字用户线路(DSL)。
通信连接1950指的是用于使网络接口1948与系统总线1918连接的硬件/软件。尽管为了清楚说明起见,通信连接1950被示出在计算机1912的内部,但通信连接1950也可以在计算机1912的外部。必要,用于连接至网络接口1948的必要的硬件/软件包括仅作示例的内部和外部技术例如,包括常见电话级调制解调器、电缆调制解调器和DSL调制解调器、ISDN适配器和以太网卡的调制解调器。
图20是可以与所公开的主题进行交互的示例计算环境2000的示意性框图。示例计算环境2000包括一个或更多个客户端2002。一个或更多个客户端2002可以为硬件和/或软件(例如线程、进程、计算设备)。示例计算环境2000还包括一个或更多个服务器2004。一个或更多个服务器2004也可以为硬件和/或软件(例如线程、进程、计算设备)。例如,服务器2004可以通过利用本文中所描述的一个或更多个实施方式的来容纳线程以进行转换。客户端2002和服务器2004之间的一种可能的通信可以是适于在两个或更多个计算机进程之间传送的数据包的形式。示例计算环境2000包括可以被用来便于一个或更多个客户端2002与一个或更多个服务器2004之间的通信的通信框架2006。一个或更多个客户端2002可操作地连接至可以用于存储客户端2002局域的信息。类似地,一个或更多个服务器2004可操作地连接至可以用来存储一个或更多个客户端2002局域的信息的一个或更多个服务器数据存储器2010。
上述内容包括本发明的示例。当然,不可能为了描述所公开的主题而描述部件或方法的所有可想到的组合,但是,本领域技术人员可以认识到,本发明的很多另外的组合和置换是可能的。因此,所公开的主题意在包括落入所附权利要求的精神和范围内的所有这样的替选、修改和变化。
具体地,关于由上述部件、设备、电路、系统等执行的各种功能,用于描述这样的部件的术语(包括涉及“装置”)除非另行指出,否则意在对应于执行所述部件的具体功能的任意部件(例如,功能上的等同),该部件即使结构上不等同于所公开的结构,但执行所公开的主题的本文中示出的示例性方面中的功能。关于这点,还应当认识到,所公开的主题包括系统以及具有计算机可执行指令的计算机可读介质,这些计算机可执行指令用于执行所公开的主题的各种方法的动作和/或事件。
此外,尽管可能只关于若干实现中的一个实现公开了所公开的主题的具体特征,然而,在有利于特定或具体应用或者被特定或具体应用所需要的情况下,这样的特征可以与可以想到的其它实现的一个或更多个其它特征相组合。此外,就术语“包括(includes)”和“包括(including)”及其变体在详细描述或权利要求中的使用而言,这些术语意在以类似于术语“包括(comprising)”的方式是包括性的。
在本申请中,词语“示例性”用于表示用作示例、例子或说明。本文中描述为“示例性”的任意方面或设计并不一定要被理解为相比于其它方面或设计是优选的或有利的。相反,词语“示例性”的使用意在以具体的方式表示概念。
本文中所描述的各种方面和特征可以实现为方法、装置、或使用标准编程和/或工程技术的制造物。本文中所使用的术语“制造物”意在包括能够从任意计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于磁存储设备(例如,硬盘、软盘、磁条……)、光盘(例如,致密盘(CD)、数字多功能盘(DVD)……)、智能卡和闪存设备(例如,卡、条、键驱动器……)。
Claims (17)
1.一种安全继电器设备,包括:
存储器,所述存储器存储计算机可执行部件;
处理器,所述处理器可操作地耦接至所述存储器,执行所述计算机可执行部件,所述计算机可执行部件包括:
计数器部件,所述计数器部件被配置成以限定频率周期性地增大计数器;
设备诊断部件,所述设备诊断部件被配置成输出针对工业安全电路上的安全输入设备的诊断请求消息,并且记录与输出所述诊断请求消息的第一时间对应的所述计数器的第一值;以及
消息处理部件,所述消息处理部件被配置成提取被包含在响应于所述诊断请求消息所接收的诊断响应消息中的返回计数器值,并且基于所述第一值、所述返回计数器值以及与在所述安全继电器处接收所述诊断响应消息的第二时间对应的所述计数器的第二值,针对被所述安全输入设备检测到的事件生成时间戳,
其中,所述消息处理部件被配置成通过如下方式生成所述时间戳:
确定所述计数器的第二值与所述计数器的第一值之间的差;
将所述差的一半加给所述计数器的第一值以产生第一结果;
从所述第一结果减去所述返回计数器值以产生事件计数器值;以及
生成与所述事件计数器值对应的时钟值作为所述时间戳 。
2.根据权利要求1所述的安全继电器设备,其中,所述诊断部件被配置成响应于所述安全继电器设备的安全通道端子上的安全信号的所检测到的损失或者所述安全通道端子上的所述安全信号的所检测到的修复,经由所述安全通道端子输出所述诊断请求消息。
3.根据权利要求2所述的安全继电器设备,其中,所述诊断部件被配置成经由所述安全通道端子接收所述诊断响应消息。
4.根据权利要求1所述的安全继电器设备,其中,所述消息处理部件进一步被配置成确定所述计数器的第二值与所述计数器的第一值之间的所述差是否在与所述安全输入设备相关联的限定的预期事务时间的容差内;以及
响应于确定所述差不在所述容差内:
从所述差减去所述预期事务时间以产生第二结果;
从所述事件计数器值减去所述第二结果以产生修改的事件计数器值;以及
生成所述时间戳作为与所述修改的事件计数器值对应的另一时钟值。
5.根据权利要求1所述的安全继电器设备,其中,所述消息处理部件进一步被配置成基于主时钟的时间与所述计数器之间的预定偏移生成所述时间戳。
6.根据权利要求2所述的安全继电器设备,还包括继电器控制部件,所述继电器控制部件被配置成基于所述安全通道端子上的所述安全信号的存在或不存在来控制一个或更多个安全继电器的状态。
7.根据权利要求2所述的安全继电器设备,还包括脉冲验证部件,所述脉冲验证部件被配置成确定验证脉冲式安全信号符合限定的脉冲图案。
8.根据权利要求1所述的安全继电器设备,还包括通信接口部件,所述通信接口部件被配置成向外部设备发送所述事件和所述时间戳的指示。
9.根据权利要求1所述的安全继电器设备,其中,所述事件为紧急停止按钮按压事件、紧急停止按钮重置事件、光幕破坏事件、光幕重置事件、安全门打开事件、安全门关闭事件、安全垫状态事件、紧急拉绳拉动事件、紧急拉绳重置事件、激光扫描仪对象检测事件或光电传感器对象检测事件中的至少之一。
10.一种用于对工业安全电路上的事件进行时间戳记的方法,包括:
通过包括至少一个处理器的安全继电器设备发送针对所述工业安全电路上的安全输入设备的诊断请求消息;
通过所述安全继电器设备将保持在所述安全继电器设备上的周期性增大的计数器的第一值存储在第一寄存器中,其中,所述第一值与发送所述诊断请求消息的第一时间对应;
通过所述安全继电器设备响应于所述诊断请求消息接收诊断响应消息,其中,所述诊断响应消息至少包括由所述安全输入设备生成的返回计数器值;
通过所述安全继电器设备将所述计数器的第二值存储在第二寄存器中,其中,所述第二值与接收所述诊断响应消息的第二时间对应;
通过所述安全继电器设备读取包含在所述诊断响应消息中的所述返回计数器值;以及
通过所述安全继电器设备基于所述第一值、所述第二值以及所述返回计数器值针对所述安全输入设备检测到的事件生成时间戳,
其中,所述的生成包括:
确定所述计数器的第二值与所述计数器的第一值之间的差;
将所述差的一半加给所述计数器的第一值以产生第一结果;
从所述第一结果减去所述返回计数器值以产生事件计数器值;以及
生成与等于所述事件计数器值的所述计数器的值对应的时钟值作为所述时间戳。
11.根据权利要求10所述的方法,还包括:
通过所述安全继电器设备检测所述安全继电器设备的安全输入端子上的安全信号的损失或者修复中的至少之一,
其中,所述的发送包括响应于检测经由所述安全输入端子发送所述诊断请求消息。
12.根据权利要求11所述的方法,其中,所述的接收包括经由所述安全输入端子接收所述诊断响应消息。
13.根据权利要求10所述的方法,其中,所述的生成还包括:
确定所述计数器的第二值与所述计数器的第一值之间的差是否在针对所述安全输入设备限定的预期事务时间的限定范围内;以及
响应于确定所述差不在所述限定范围内:
从所述差减去所述预期事务时间以产生第二结果;
从所述事件计数器值减去所述第二结果以产生修改的事件计数器值;以及
生成与等于所述修改的事件计数器值的所述计数器的值对应的另一时钟值作为所述时间戳。
14.根据权利要求10所述的方法,其中,生成所述时钟值包括基于主时钟与所述计数器之间的预定偏移生成所述时钟值。
15.根据权利要求11所述的方法,还包括通过所述安全继电器设备基于所述安全输入端子上的所述安全信号的损失或者修复中的至少之一来控制一个或者更多个安全继电器的状态。
16.根据权利要求11所述的方法,还包括通过所述安全继电器设备基于所述安全信号是否包括与限定脉冲图案匹配的脉冲图案的确定来检测所述安全信号的损失或者修复。
17.一种其上存储有指令的非暂态计算机可读介质,所述指令响应于执行使包括处理器的安全继电器设备执行操作,所述操作包括:
经由所述安全继电器设备的安全通道端子输出针对工业安全电路上的安全输入设备的诊断请求消息;
将保持在所述安全继电器设备上的周期性增大的计数器的第一值记录在第一寄存器中,其中,所述第一值与输出所述诊断请求消息的第一时间对应;
响应于所述诊断请求消息经由所述安全通道端子接收诊断响应消息,其中,所述诊断响应消息至少包括由所述安全输入设备生成的返回计数器值;
将所述计数器的第二值记录在第二寄存器中,其中,所述第二值与接收所述诊断响应消息的第二时间对应;
从所述诊断响应消息读取所述返回计数器值;以及
基于所述第一值、所述第二值以及所述返回计数器值针对由所述安全输入设备检测到的事件生成时间戳,
其中,所述的生成包括:
确定所述计数器的第二值与所述计数器的第一值之间的差;
将所述差的一半加给所述计数器的第一值以产生结果;
从所述结果减去所述返回计数器值以产生事件计数器值;以及
生成与等于所述事件计数器值的所述计数器的值对应的时钟值作为所述时间戳。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/550,833 | 2014-11-21 | ||
| US14/550,833 US9891142B2 (en) | 2014-11-21 | 2014-11-21 | Time-stamping and synchronization for single-wire safety communication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105629925A CN105629925A (zh) | 2016-06-01 |
| CN105629925B true CN105629925B (zh) | 2018-04-10 |
Family
ID=54770793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510819047.5A Active CN105629925B (zh) | 2014-11-21 | 2015-11-23 | 用于单线安全通信的时间戳记和同步 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9891142B2 (zh) |
| EP (1) | EP3023848B1 (zh) |
| CN (1) | CN105629925B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9891142B2 (en) | 2014-11-21 | 2018-02-13 | Rockwell Automation Technologies, Inc. | Time-stamping and synchronization for single-wire safety communication |
| US9797552B2 (en) * | 2014-12-22 | 2017-10-24 | Rockwell Automation Technologies, Inc. | Diagnostics and enhanced functionality for single-wire safety communication |
| EP3260936B1 (en) * | 2016-06-21 | 2022-01-12 | Rockwell Automation Technologies, Inc. | Single-wire industrial safety system with safety device diagnostic communication |
| EP3260935B1 (en) * | 2016-06-21 | 2020-04-08 | Rockwell Automation Technologies, Inc. | Smart taps for a single-wire industrial safety system |
| DE102016215772B4 (de) * | 2016-08-23 | 2018-03-08 | Siemens Aktiengesellschaft | Diagnoseverfahren und Diagnoseanordnung für ein Fahrzeug |
| DE102017200520A1 (de) * | 2017-01-13 | 2018-07-19 | Siemens Aktiengesellschaft | Diagnoseverfahren und Diagnosesystem für ein Fahrzeug |
| US10305282B2 (en) * | 2017-04-20 | 2019-05-28 | Rockwell Automation Technologies, Inc. | Initiating a control function based on real time available fault current measurement |
| DE102017218134B3 (de) | 2017-10-11 | 2019-02-14 | Volkswagen Aktiengesellschaft | Verfahren und Vorrichtung zum Übertragen einer Botschaftsfolge über einen Datenbus sowie Verfahren und Vorrichtung zum Erkennen eines Angriffs auf eine so übertragene Botschaftsfolge |
| JP7336707B2 (ja) * | 2020-01-24 | 2023-09-01 | パナソニックIpマネジメント株式会社 | 安全スイッチ及びスイッチシステム |
| US20210231782A1 (en) * | 2020-01-27 | 2021-07-29 | Sense Photonics, Inc. | Dram-based lidar pixel |
| US11281191B2 (en) | 2020-04-29 | 2022-03-22 | Rockwell Automation Germany Gmbh & Co. Kg | Global e-stop in an industrial safety system with local and global safety input devices |
| US20220035319A1 (en) * | 2020-07-28 | 2022-02-03 | Rockwell Automation Germany Gmbh & Co. Kg | Method of fast switching between devices |
| CN114503963B (zh) * | 2022-01-25 | 2023-06-16 | 广州隆昇科技有限公司 | 一种红火蚁智能诱集装置及方法 |
| EP4318256A1 (en) * | 2022-08-03 | 2024-02-07 | Baker Hughes Holdings LLC | Relay reflash detection and propagation in a boolean relay logic on a fpga relay system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1521145A1 (en) * | 2003-09-30 | 2005-04-06 | Rockwell Automation Technologies, Inc. | Safety controller with safety response time monitoring |
| CN100392410C (zh) * | 2002-04-17 | 2008-06-04 | 施魏策尔工程实验公司 | 供电功率系统使用的有同步的相量测量能力的保护继电器 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10216226A1 (de) | 2002-04-08 | 2003-10-30 | Pilz Gmbh & Co | Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen |
| US7496099B2 (en) * | 2004-07-30 | 2009-02-24 | Fisher-Rosemount Systems, Inc. | Communication controller for coordinating transmission of scheduled and unscheduled messages |
| DE602007008313D1 (de) * | 2006-05-10 | 2010-09-23 | Inside Contactless | Verfahren zur Weiterleitung von aus- und eingehenden Daten in ein NFC-Chipset |
| FR2929780A1 (fr) | 2008-04-08 | 2009-10-09 | St Microelectronics Rousset | Detection de donnees recues par un dispositif maitre dans un protocole de communication unifilaire |
| JP5824457B2 (ja) | 2009-11-23 | 2015-11-25 | ピルツ ゲーエムベーハー アンド コー.カーゲー | 運動変数のフェールセーフモニタリングのための安全回路およびモニタリング方法 |
| JP4817084B2 (ja) | 2010-03-30 | 2011-11-16 | 株式会社安川電機 | モータ駆動システム及びモータ制御装置 |
| EP3174082B1 (en) | 2010-04-30 | 2018-07-25 | Rockwell Automation Germany GmbH & Co. KG | Single-channel safety output |
| EP2383623B1 (en) | 2010-04-30 | 2012-12-05 | Rockwell Automation Germany GmbH & Co. KG | Modular safety switching device system with optical link |
| US9003220B2 (en) * | 2012-09-07 | 2015-04-07 | National Instruments Corporation | Switch for clock synchronization over a switched fabric |
| EP2720098B1 (de) | 2012-10-10 | 2020-04-15 | Sick Ag | Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad |
| EP2720094B1 (de) | 2012-10-10 | 2015-05-20 | Sick Ag | Sicherheitssystem |
| EP2720051B1 (de) | 2012-10-10 | 2015-01-21 | Sick Ag | Sicherheitssystem |
| US9891142B2 (en) | 2014-11-21 | 2018-02-13 | Rockwell Automation Technologies, Inc. | Time-stamping and synchronization for single-wire safety communication |
| US9797552B2 (en) | 2014-12-22 | 2017-10-24 | Rockwell Automation Technologies, Inc. | Diagnostics and enhanced functionality for single-wire safety communication |
| US9841142B2 (en) | 2014-12-22 | 2017-12-12 | Rockwell Automation Technologies, Inc. | Single-wire industrial safety system with safety device diagnostic communication |
| US9846423B2 (en) | 2014-12-22 | 2017-12-19 | Rockwell Automation Technologies, Inc. | Smart taps for a single-wire industrial safety system |
-
2014
- 2014-11-21 US US14/550,833 patent/US9891142B2/en active Active
-
2015
- 2015-11-20 EP EP15195659.6A patent/EP3023848B1/en active Active
- 2015-11-23 CN CN201510819047.5A patent/CN105629925B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100392410C (zh) * | 2002-04-17 | 2008-06-04 | 施魏策尔工程实验公司 | 供电功率系统使用的有同步的相量测量能力的保护继电器 |
| EP1521145A1 (en) * | 2003-09-30 | 2005-04-06 | Rockwell Automation Technologies, Inc. | Safety controller with safety response time monitoring |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105629925A (zh) | 2016-06-01 |
| US20160146710A1 (en) | 2016-05-26 |
| EP3023848A1 (en) | 2016-05-25 |
| US9891142B2 (en) | 2018-02-13 |
| EP3023848B1 (en) | 2018-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105629925B (zh) | 用于单线安全通信的时间戳记和同步 | |
| CN105717786B (zh) | 用于单线安全通信的诊断和增强功能 | |
| Eckhart et al. | A specification-based state replication approach for digital twins | |
| US9841142B2 (en) | Single-wire industrial safety system with safety device diagnostic communication | |
| US9846423B2 (en) | Smart taps for a single-wire industrial safety system | |
| CN104976402B (zh) | 用于控制阀的系统和方法 | |
| CN103795617A (zh) | 一种协议自适应物联网网关系统 | |
| US10652767B1 (en) | System, method and apparatus for managing disruption in a sensor network application | |
| JP2019515375A (ja) | オートメーションシステムの運用のための接続ユニット、モニタリングシステム、および運用方法 | |
| EP3748811B1 (en) | A method for configuring an intelligent electronic device and a system therof | |
| CN102292682B (zh) | 用于在自动化控制系统中传输数据的方法、系统及分布式外围设备 | |
| Leonardi et al. | Towards the smart grid: substation automation architecture and technologies | |
| CN103814501B (zh) | 用于goose通信的诊断 | |
| CN102809953A (zh) | 用于告警捕获和传输的系统及方法 | |
| CN108369403A (zh) | 现场总线耦合器、系统和用于配置故障保险模块的方法 | |
| CN103825889A (zh) | 一种基于离散化编址技术的iec104安全遥控方法 | |
| EP3506034B1 (en) | Control system | |
| US10356198B2 (en) | Data transmission between at least one safe producer and at least one safe consumer | |
| Mahmood et al. | Remote Fault‐Tolerant Control for Industrial Smart Surveillance System | |
| EP3260936B1 (en) | Single-wire industrial safety system with safety device diagnostic communication | |
| Toma et al. | Application of SCADA System in an Electrical Substation and Remote Terminal Unit Parametrization | |
| RU150636U1 (ru) | Контроллер телемеханики | |
| US20220035319A1 (en) | Method of fast switching between devices | |
| US11281191B2 (en) | Global e-stop in an industrial safety system with local and global safety input devices | |
| Otani et al. | A plug‐and‐play method in an ICT system for monitoring and diagnosing power equipment conditions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: ohio Applicant after: Rockwell automation technologies Address before: ohio Applicant before: Rockwell Automation Tech Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |