CN110325930A - 安全系统和安全控制器 - Google Patents

Abstract

安全系统具备：存储器；处理器，与存储器连接，执行安全程序；第一通信部，经由第一传输路径而与一个或多个安全组件之间交换数据；以及第二通信部，经由第二传输路径而与一个或多个安全组件之间交换数据。第二通信部和第一通信部相互独立地执行与数据的交换有关的处理。在存储器中相互独立地配置有对由第一通信部交换的数据进行保持的第一数据区域和对由第二通信部交换的数据进行保持的第二数据区域。

Description

安全系统和安全控制器

技术领域

本发明涉及包括安全控制器的安全系统。

背景技术

在各种制造现场，越来越多地引入安全控制器和包含安全控制器的安全系统。安全系统的目的在于防止因机器人等自动动作的装置威胁人的安全。通常，为了安全地使用在制造现场使用的诸多设备或机械，安全系统大多独立于对设备或机械进行控制的控制装置而配置。

以执行安全程序的安全控制器为代表，安全系统典型地包括检测人的存在或进入的检测设备、受理紧急时的操作的输入设备、实际使设备或机械停止的输出设备等。

安全系统必须使用符合国际标准的安全设备(安全组件)。在国际标准中，规定了用于保障安全性的各种规则、章程等。

例如，日本特开2009-146039号公报(专利文献1)公开了具有安全控制器和可编程控制器的安全控制系统。在专利文献1所公开的安全控制系统中，针对安全控制器，配置有应与安全标准的输入设备连通的输入用端子部、应与输出设备连接的输出用端子部、以及用于向外部送出正常/异常信号的诊断结果输出用端子部。即，来自安全标准的输入设备的输入信号经由输入电路直接输入到安全控制器。

现有技术文献

专利文献

专利文献1：日本特开2009-146039公报

发明内容

发明要解决的课题

在上述的专利文献1所公开的安全控制系统中，经由与CPU单元通过系统总线连接的安全接口(I/F)单元，与各种安全设备之间交换数据。

在现实的制造现场，由于空间上的制约、设备布局等，有时难以配置安装有安全接口(I/F)单元的CPU单元。因此，期望能够与安全组件之间更灵活地交换数据的结构。

用于解决发明的技术方案

本发明的一个实施方式的安全系统具备：存储器；处理器，与存储器连接，执行安全程序；第一通信部，经由第一传输路径而与一个或多个安全组件之间交换数据；以及第二通信部，经由第二传输路径而与一个或多个安全组件之间交换数据。第二通信部和第一通信部相互独立地执行与数据的交换有关的处理。在存储器中相互独立地配置有对由第一通信部交换的数据进行保持的第一数据区域和对由第二通信部交换的数据进行保持的第二数据区域。

优选的是，第二通信部和第一通信部以相互独立的周期或事件来交换数据。

优选的是，第一通信部和第二通信部按照互不相同的通信协议，分别与作为对象的安全组件之间交换数据。

优选的是，在存储器中配置有用于供由处理器执行的安全程序参照的存储器区域，该存储器区域包含与第一数据区域和第二数据区域分别建立对应的区域。

本发明的一个实施方式的安全控制器具备：存储器；处理器，与存储器连接，执行安全程序；以及接口，用于将处理器与第一通信部和第二通信部连接。第一通信部经由第一传输路径而与一个或多个安全组件之间交换数据。第二通信部经由第二传输路径而与一个或多个安全组件之间交换数据。第二通信部和第一通信部相互独立地执行与数据的交换有关的处理。在存储器中相互独立地配置有对由第一通信部交换的数据进行保持的第一数据区域和对由第二通信部交换的数据进行保持的第二数据区域。

发明效果

根据本发明的实施方式，能够提供能够在与安全组件之间更灵活地交换数据的结构。

附图说明

图1是示出本实施方式的安全系统的结构例的示意图。

图2是示出本实施方式的安全系统的结构例的示意图。

图3是示出本实施方式的安全系统的结构例的示意图。

图4是表示本实施方式的安全控制器的结构例的示意图。

图5是表示本实施方式的安全系统的CPU单元中的存储器结构的一例的示意图。

图6是表示用于实现本实施方式的安全系统的CPU单元中的IO数据区域的分配的用户界面的一例的示意图。

具体实施方式

参照附图对本发明的实施方式进行详细说明。此外，对图中的相同或者同等的部分标注相同的附图标记并省略其说明。

<A.安全系统的结构例>

首先，说明本实施方式的安全系统的结构例。本实施方式的安全系统经由一个或多个传输路径，与构成安全系统的检测设备、输入设备、输出设备(以下，也将这些设备统称为“安全组件”)之间交换数据。

在本说明书中，“安全组件”不限于上述的检测设备、输入设备、输出设备，可以包含确保安全所需的任意的设备和装置。

在本说明书中，“传输路径”是指用于在装置间或单元间交换信号或数据的任意的通信路径和通信单元。作为传输路径，可以使用金属线路、光线路、无线信号等任意的通信介质。也可以对这些通信介质中的2种以上进行任意组合。作为具体的传输路径，可以包括总线和网络。作为总线，例如也可以采用菊花链方式。作为网络，典型地可以采用任意的固定周期网络。作为这样的固定周期网络，也可以采用EtherCAT(注册商标)、EtherNet/IP(注册商标)、DeviceNet(注册商标)、CompoNet(注册商标)等公知的网络。

本实施方式的安全系统能够经由多个传输路径分别与安全组件之间交换数据，各个传输路径相互独立。即，在某一个传输路径中产生的异常等事件不会对其他传输路径中的数据的交换造成任何影响。后面将描述用于实现这种功能的结构。

图1～图3是示出本实施方式的安全系统的结构例的示意图。

图1表示经由总线和现场网络分别与安全组件之间交换数据的结构。具体而言，图1所示的安全系统1包括安全控制器11和一个或多个远程IO(Input Output：输入输出)装置21。安全控制器11与一个或多个远程IO装置21之间经由现场网络148连接。

安全控制器11包括CPU(Central Processing Unit：中央处理单元)单元100、电源单元110、上位通信单元130、现场通信单元140、总线主控单元160和一个或多个安全IO单元200。

安全IO单元200是安全组件的一例，收集供安全程序参照的来自现场的数据(输入数据)和/或将通过安全程序的执行而计算出的数据(输出数据)输出至现场。安全IO单元200是除了输入输出信号的功能之外，还具有安全特性的功能的IO单元。以下，作为安全组件的典型例，着眼于安全IO单元200进行说明。但是，也能够将包括与安全IO单元200连接的各种安全开关、安全检测器等在内的整体视为安全组件。

CPU单元100是包括执行安全程序的处理器在内的运算装置。需要说明的是，“CPU单元”的名称是为了方便起见，只要是能够使用例如GPU(Graphic Processing Unit：图形处理单元)等任意的处理器来执行安全程序的运算装置，就可以包含任意的实现方式，而并非仅仅是CPU。

电源单元110向CPU单元100和其他单元供给具有所需电压的电源。

上位通信单元130对与PLC(可编程控制器)等之间的数据交换进行管理和控制。现场通信单元140对经由现场网络148的与其他装置之间的数据进行管理和控制。总线主控单元160对CPU单元100与安全IO单元200之间经由本地总线168的数据交换进行管理和控制。后面将叙述经由这些传输路径进行数据传输的单元的详细情况。

远程IO装置21包括通信连接器单元300和一个或多个安全IO单元200。通信连接器单元300经由现场网络148与安全控制器11的CPU单元100以及其他远程IO装置21的通信连接器单元300连接。

在图1所示的结构中，CPU单元100能够经由本地总线168与安全IO单元200之间交换数据，并且经由现场网络148与连接于远程IO装置21的通信连接器单元300的安全IO单元200之间交换数据。

接着，在图2中示出分别经由相互独立的两个现场网络与安全组件之间交换数据的结构。具体而言，图2所示的安全系统2包括安全控制器12和多个远程IO装置21。安全控制器12与多个远程IO装置21之间分别经由现场网络148、158连接。

安全控制器12包括CPU单元100、电源单元110、上位通信单元130、现场通信单元140、150、一个或多个安全IO单元200。

CPU单元100、电源单元110、上位通信单元130和现场通信单元140与在上述安全控制器11中说明的单元相同。现场通信单元150基本上具有与现场通信单元140相同的结构，对经由现场网络158的与其他装置之间的数据进行管理和控制。

远程IO装置21与在上述安全控制器11中说明的装置相同。

在图2所示的结构中，CPU单元100能够经由现场网络148与远程IO装置21的连接于通信连接器单元300的安全IO单元200之间交换数据，并且经由现场网络158与远程IO装置21的连接于通信连接器单元300的安全IO单元200之间交换数据。

接着，图3表示分别经由总线和现场网络与安全组件之间交换数据，并且经由上位网络138与PLC等之间交换数据的结构。具体而言，图3所示的安全系统3包括安全控制器11、一个或多个远程IO装置21、一个或多个PLC400和网络集线器136。CPU单元100与安全IO单元200之间经由本地总线168连接，并且安全控制器11与一个或多个远程IO装置21之间经由现场网络148连接。并且，安全控制器11与一个或多个PLC400之间经由上位网络138连接。

安全控制器11包括：CPU单元100、电源单元110、上位通信单元130、现场通信单元140和一个或多个安全IO单元200。

CPU单元100、电源单元110、上位通信单元130和现场通信单元140与在上述安全控制器11中说明的单元相同。现场通信单元150基本上具有与现场通信单元140相同的结构，对经由现场网络158的与其他装置之间的数据进行管理和控制。

远程IO装置21与在上述安全控制器11中说明的装置相同。

在图3所示的结构中，CPU单元100能够经由现场网络148与远程IO装置21的连接于通信连接器单元300的安全IO单元200之间交换数据，并且经由现场网络158与远程IO装置21的连接于通信连接器单元300的安全IO单元200之间交换数据。进而，安全控制器11能够经由上位网络138与一个或多个PLC400之间交换数据。

安全控制器11与参照上述图1说明的安全控制器相同。安全控制器11的上位通信单元130与网络集线器136的一个端口连接。在网络集线器136的其他端口连接有一个或多个LC300。由此，安全控制器11与一个或多个PLC400连接。

在图3所示的结构中，CPU单元100能够经由本地总线168与安全IO单元200之间交换数据，并且能够经由现场网络148与远程IO装置21的连接于通信连接器单元300的安全IO单元200交换数据。进而，安全控制器11能够经由上位网络138与一个或多个PLC400之间交换数据。

图1～图3所示的结构只不过是一个例子，能够根据安全系统的应用目的地采用任意的结构。如上所述，本实施方式的安全系统能够经由多个传输路径与多个安全组件之间交换数据。此时，采用了在各传输路径中产生的影响不会波及到其他传输路径的结构。详细后述。

需要说明的是，在图1～图3中示出了CPU单元、电源单元、上位通信单元、现场通信单元、总线主控单元分别作为独立的单元来构成的例子，但不限于此，也可以将一部分单元或全部单元一体化而构成，还可以将任意单元的功能进一步分离。

<B.安全控制器的结构例>

接着，说明本实施方式的安全系统所包含的安全控制器11、12的结构例。

图4是表示本实施方式的安全控制器的结构例的示意图。参照图4，安全控制器11、12包括CPU单元100、上位通信单元130、现场通信单元140、150和总线主控单元160。这些单元经由内部总线109连接。需要说明的是，为了便于说明，未图示安全IO单元200。安全控制器11、12典型地也可以以PLC为基础而构成。

CPU单元100包括处理器102、存储器(Memory)104和存储装置(Storage)106作为主要组件。

处理器102与存储器104和存储装置106连接，将存储于存储装置106的系统程序107和安全程序108读出至存储器104并执行，由此实现后述的各种处理。存储器104由DRAM(Dynamic Random Access Memory：动态随机存取存储器)、SRAM(Static Random AccessMemory：静态随机存取存储器)等易失性存储装置构成。存储装置106由闪存、硬盘等非易失性存储装置构成。在存储装置106中，除了用于控制CPU单元100和关联的单元的各部的系统程序107以外，还存储有根据对象设备等而设计的安全程序108。

上位通信单元130提供用于CPU单元100经由上位网络138与其他装置(PLC400等)之间交换数据的接口。上位通信单元130主要包含接收电路(RX)131、接收缓冲器132、接收发送控制器133、发送缓冲器134和发送电路(TX)135。

接收电路131接收在上位网络138上传输的数据包，并将接收到的数据包中储存的数据写入到接收缓冲器132。接收发送控制器133依次读出写入到接收缓冲器132的接收包，并且仅将该读出的数据中的CPU单元100中的处理所需的数据输出到处理器102。接收发送控制器133按照来自于处理器102的指令，将应向其他装置发送的数据或者数据包依次写入到发送缓冲器134。发送电路135根据在上位网络138上转发数据包的定时，依次发送存储在发送缓冲器134中的数据。

现场通信单元140提供用于CPU单元100经由现场网络148与一个或多个安全IO单元200之间交换数据的接口。现场通信单元140包括接收电路(RX)141、接收缓冲器142、接收发送控制器143、发送缓冲器144和发送电路(TX)145作为主要的组件。这些组件的功能与上位通信单元130的对应的组件的功能实质上相同或者类似，因此不重复详细的说明。

同样地，现场通信单元150提供用于CPU单元100经由现场网络158与一个或多个安全IO单元200之间交换数据的接口。现场通信单元150包括接收电路(RX)151、接收缓冲器152、接收发送控制器153、发送缓冲器154和发送电路(TX)155作为主要的组件。这些组件的功能与现场通信单元140的对应的组件的功能实质上相同或类似，因此不重复详细的说明。

总线主控单元160提供用于在安装于CPU单元100的一个或多个安全IO单元200之间经由本地总线168交换数据的接口。总线主控单元160包括接收电路(RX)161、接收缓冲器162、接收发送控制器163、发送缓冲器164和发送电路(TX)165作为主要组件。这些组件的功能与上位通信单元130或现场通信单元140、150的对应的组件的功能实质上相同或类似，因此不重复详细的说明。

在以下的说明中，将上位通信单元130、现场通信单元140、150、总线主控单元160统称为“通信单元”。在本说明书中，“通信单元”相当于经由对应的传输路径负责数据交换的通信部。相当于通信部的“通信单元”经由对应的传输路径与一个或多个组件(典型的是安全组件)之间交换数据。在此，图4所示的内部总线109作为用于将处理器102与一个或多个通信单元(通信部)连接的接口来发挥功能。

如图4所示，在本实施方式的安全系统的CPU单元100中，各通信单元能够不受其他通信单元的影响而独立地进行通信。即，各个通信单元(通信部)相互独立地执行与数据的交换有关的处理。为了实现这样的处理，也可以采用后述的存储器结构。

上述的各通信单元内的接收发送控制器133、143、153、163可以通过ASIC(Application Specific Integrated Circuit：专用集成电路)、FPGA(Field-Programmable Gate Array：现场可编程门阵列)等硬件安装来实现，也可以通过微处理器和固件等软件安装来实现。或者，处理器102也可以负责各发送接收控制器的全部或一部分处理的工作。

需要说明的是，在安全系统的CPU单元100中，也可以采用根据性能要求而将处理器102、存储器104和存储装置106等主要组件中的全部或一部分分别设为双重的结构。

<C.存储器结构>

接着，说明本实施方式的安全系统的CPU单元100中的存储器结构的一例。本实施方式的安全系统中，在某一个传输路径中产生的异常等事件不会对其他传输路径中的数据交换产生任何影响。为了实现这样的功能，在CPU单元100中，对在各传输路径中负责数据交换的单元分别分配独立的数据区域，并且提供使安全程序容易对这些数据区域访问的环境。即，在实施方式的安全系统的CPU单元100的存储器104中，保持某一通信单元(通信部)交换的数据的数据区域和保持其他通信单元(通信部)交换的数据的其他数据区域相互独立地配置。以下，对各个数据区域独立配置的结构的一例进行说明。

图5是表示本实施方式的安全系统的CPU单元100中的存储器结构的一例的示意图。图5表示对CPU单元100安装有四个通信单元(上位通信单元130、现场通信单元140、150、总线主控单元160)的结构。

在CPU单元100的存储器104中设置有对各个通信单元分配的IO数据区域1041～1445。在各个IO数据区域1041～1445中，每次存储和更新经由对应的通信单元接收的数据(输入数据)和从对应的通信单元送出的数据(输出数据)。在本说明书中，“IO数据”包含输入数据和输出数据中的至少一个。

在图5所示的例子中，将IO数据区域1041分配给上位通信单元130，将IO数据区域1042分配给现场通信单元140，将IO数据区域1043分配给现场通信单元150，将IO数据区域1044分配给总线主控单元160。在此，IO数据区域1045是备用的。

这样的IO数据区域与各通信单元的对应是通过IO数据收集设定来定义的，能够任意地设定。即，能够任意地设定向各通信单元分配的IO数据区域。

图6是表示用于实现本实施方式的安全系统的CPU单元100中的IO数据区域的分配的用户界面的一例的示意图。图6所示的用户界面500由与CPU单元100连接的支持装置(未图示)等提供。在用户界面500中，提供有与CPU单元100连接的通信单元的种类显示501～504，对种类显示501～504分别提供表示分配哪个IO数据区域的选择对话框511～514。

用户通过操作选择各个对话框511～514，来设定将各通信单元分配给哪个IO数据区域。通过提供这样的用户界面500，在任意的通信单元安装于CPU单元100的情况下，用户能够容易地设定对该安装的通信单元分配的IO数据区域。

这样，通过能够沿着IO数据收集设定灵活地执行IO数据区域与各通信单元之间的对应，能够对CPU单元100安装任意种类和任意数量的通信单元。即，即使在采用任意的通信单元作为安全控制器的组件的情况下，也能够在CPU单元100中相互不受通信单元的影响而访问经由各通信单元交换的IO数据。

更具体而言，处理器102通过执行系统程序107和安全程序108，以规定周期或规定事件重复执行一个或多个系统任务1021和一个或多个应用程序任务1022。在存储器104内形成用于这些任务参照数据的工作存储器区域1046。

工作存储器区域1046包含与IO数据区域1041～1445建立对应的IO变量区域1047、内部变量区域1048和系统变量区域1049。配置于存储器104的工作存储器区域1046相当于供由处理器102执行的安全程序参照的存储器区域。工作存储器区域1046包含分别与分配给各个通信单元(通信部)的IO数据区域1041～1445相对应的IO变量区域1047。

IO变量区域1047是用于由处理器102执行的任务参照IO数据或者更新IO数据的区域。IO变量区域1047被划分为IO数据区域1041～1445，各个被划分的区域被管理为与IO数据区域1041～1445的对应的区域同步。IO变量区域1047的各个被划分的区域和IO数据区域1041～1445通过变量分配设定来定义。

变量分配设定定义用于参照在IO数据区域1041～1445中存储的数据(值)的变量名以及变量范围等。关于用于参照这样的数据的变量名，可以在预先决定的条件下任意地设定。需要说明的是，不一定需要定义用于参照的变量，也可以直接指定IO数据区域1041～1445的地址本身。

内部变量区域1048是用于保持处理器102中执行任务所需的各种变量的区域。例如，在内部变量区域1048中存储执行任务所需的变量值(实例值)等。

系统变量区域1049是用于保持表示CPU单元100中的任务的执行、表示CPU单元100的各部的状态的值的区域。例如，存储表示CPU单元100是否正常动作的标志值等。

在处理器102中执行的系统程序107和安全程序108参照存储在工作存储器区域1046中的必要的值，并根据处理结果等更新必要的值。

需要说明的是，在图5中示出了在共用的存储器104内分别独立地配置了多个IO数据区域的结构例，但也可以准备与各个IO数据区域对应的单独的存储器，或者，也可以准备用于与各通信单元交换IO数据的单独的电路。

这样，根据本实施方式的安全系统，针对每个通信单元准备IO数据区域和对应的IO变量区域，因此即使在任意种类的通信单元安装任意数量的情况下，也能够进行相互独立的处理。因此，能够防止在任一个通信单元中发生的故障等对其他通信单元造成影响。

<D.传输路径中的通信处理的管理>

在本实施方式的安全系统中，安装于CPU单元100的各通信单元(上位通信单元130、现场通信单元140、150、总线主控单元160等)对各传输路径中的通信处理进行管理。通信处理的管理包括在各传输路径中可能发生的某些异常的检测、传输的数据的损失、在发送目的地或发送源的装置或单元中可能产生的异常的检测等。

关于各通信单元在对应的传输路径交换数据的周期、定时等，也能够与其他通信单元独立地执行。即，安装于同一CPU单元100的多个通信单元(通信部)能够以相互独立的周期或事件来交换数据。这通过利用对各通信单元预先分配的专用的IO数据区域1041～1445来实现。

此时，用于各个通信单元(通信部)经由传输路径交换数据的通信协议也能够相互独立地确定。即，各个通信单元(通信部)也可以按照彼此不同的通信协议，与各自作为对象的安全组件之间交换数据。

另一方面，通过同时执行工作存储器区域1046的IO变量区域1047与IO数据区域1041～1445之间的同步处理(刷新处理)，也能够减少执行安全程序108时的IO数据的时间偏差等。当然，也可以在独立的定时分别执行IO变量区域1047与IO数据区域1041～1445之间的同步处理(刷新处理)。

从上述的安全程序看，将现场侧、即来自安全IO单元200的输入数据以怎样的通信路径获取到CPU单元100、以及由CPU单元100计算出的输出数据以怎样的通信路径发送到安全IO单元200的情况进行抽象化。因此，无论采用哪种传输路径和通信协议，都能够采用相同的安全程序。

即，在本实施方式的安全系统中，能够提高安全程序的通用性和再利用性。

在上述的图1～图3所示的安全系统的结构例中，例如，作为现场网络148，也可以采用遵循EtherCAT(注册商标)的网络，作为现场网络158，也可以采用遵循EtherNet/IP(注册商标)的网络。这两个方式都是以以太网(注册商标)为基础的通信协议，可以采用类似的硬件。通过一台CPU单元100能够支持这样的不同的通信协议，从而能够在同一安全控制器中利用支持的通信方式互不相同的安全IO单元，例如，能够减轻导入安全系统时的成本负担。

在上述的实施方式中，例示了经由传输路径在CPU单元100与安全组件之间交换数据的例子，但不需要经由传输路径交换数据的对象全部都是安全组件。例如，也可以构成为对同一CPU单元100连接多个通信单元，一个通信单元经由对应的传输路径与安全组件交换数据，另一方面，其他通信单元经由对应的传输路径与通常的控制组件(例如，各种操作开关或各种检测器等)交换数据。即，在本实施方式的安全系统中，能够相互独立地实施经由各个传输路径的数据交换，因此也可以在各个传输路径中传输目的、特性不同的数据。

这样，根据本实施方式，能够容易地构建与对象设备相应的系统。

<E.总结>

根据本实施方式，能够对CPU单元100安装任意数量的任意种类的通信单元。关于应安装的通信单元的数量和种类，可以根据设置对象的安全系统的环境而适当选择。借助这样的通信单元的灵活性，例如在需要超过能够与从总线主控单元延伸的本地总线连接的最大数量的安全IO单元的情况下等，能够适当地应对采用任意的现场总线等。相反，在通过从总线主控单元延伸的本地总线进行连接的方法中，在能够确保充分的设置空间的情况下，不使用现场总线等，而仅由本地总线构成，从而能够降低成本。

这样，根据本实施方式的安全系统，能够根据可设置面积、成本等制约而采用灵活的系统结构。

另外，在本实施方式的安全系统中，能够在CPU单元上安装一个或多个通信单元，但这些通信单元能够不相互干扰地经由自己的传输路径交换数据。因此，在采用了包括多个通信单元和与各个通信单元对应的多个传输路径的系统结构等的情况下，既能够分别采用不同的通信协议，也能够采用全部相同的通信协议。进而，也可以是经由某一个通信单元与安全组件之间交换数据，另一方面，经由其他通信单元交换通常的控制所需的数据的使用方式。

通过采用这样的能够安装相互独立的通信单元的结构，即使在某一个通信单元或与其连接的传输路径中发生了某些异常的情况下等，也继续进行其他通信单元中的数据交换，因此能够提高包含安全系统在内的整体系统的操作速率和运转率，有助于设备的稳定运转。

本次公开的实施方式在所有方面都是例示而不应被认为是限制性的。本发明的范围不是由上述的说明来表示，而是由权利要求书来表示，旨在包括与权利要求书等同的意思和范围内的所有变更。

附图标记说明

1、2、3：安全系统；11、12：安全控制器；21：远程IO装置；100：CPU单元；102：处理器；104：存储器；106：存储装置；107：系统程序；108：安全程序；109：内部总线；110：电源单元；130：上位通信单元；131：接收电路；132、142、152、162：接收缓冲器；133、143、153、163：接收发送控制器；134、144、154、164：发送缓冲器；135：发送电路、136：网络集线器；138：上位网络；140、150：现场通信单元；148、158：现场网络；160：总线主控单元；168：本地总线、200：IO单元；300：通信耦合器单元；400：PLC；1021：系统任务；1022：应用程序任务；1041、1042、1043、1044、1045、1445：数据区域；1046：工作存储器区域；1047：变量区域；1048：内部变量区域；1049：系统变量区域。

Claims (5)

1.一种安全系统，其特征在于，具备：

存储器；

处理器，与所述存储器连接，执行安全程序；

第一通信部，经由第一传输路径而与一个或多个安全组件之间交换数据；以及

第二通信部，经由第二传输路径而与一个或多个安全组件之间交换数据，

所述第二通信部和所述第一通信部相互独立地执行与数据的交换有关的处理，

在所述存储器中相互独立地配置有对由所述第一通信部交换的数据进行保持的第一数据区域和对由所述第二通信部交换的数据进行保持的第二数据区域。

2.根据权利要求1所述的安全系统，其特征在于，

所述第二通信部和所述第一通信部以相互独立的周期或事件来交换数据。

3.根据权利要求1或2所述的安全系统，其特征在于，

所述第一通信部和所述第二通信部按照互不相同的通信协议，分别与作为对象的安全组件之间交换数据。

4.根据权利要求1～3中任一项所述的安全系统，其特征在于，

在所述存储器中配置有用于供由所述处理器执行的安全程序参照的存储器区域，该存储器区域包含与所述第一数据区域和所述第二数据区域分别建立对应的区域。

5.一种安全控制器，其特征在于，具备：

存储器；

处理器，与所述存储器连接，执行安全程序；以及

接口，用于将所述处理器与第一通信部和第二通信部连接，

所述第一通信部经由第一传输路径而与一个或多个安全组件之间交换数据；

所述第二通信部经由第二传输路径而与一个或多个安全组件之间交换数据；

所述第二通信部和所述第一通信部相互独立地执行与数据的交换有关的处理，

在所述存储器中相互独立地配置有对由所述第一通信部交换的数据进行保持的第一数据区域和对由所述第二通信部交换的数据进行保持的第二数据区域。