JP2003518356A - 削減された帯域幅要件を有する産業用制御装置用安全ネットワーク - Google Patents

削減された帯域幅要件を有する産業用制御装置用安全ネットワーク

Info

Publication number
JP2003518356A
JP2003518356A JP2001547615A JP2001547615A JP2003518356A JP 2003518356 A JP2003518356 A JP 2003518356A JP 2001547615 A JP2001547615 A JP 2001547615A JP 2001547615 A JP2001547615 A JP 2001547615A JP 2003518356 A JP2003518356 A JP 2003518356A
Authority
JP
Japan
Prior art keywords
data
network
protocol
formatted
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001547615A
Other languages
English (en)
Other versions
JP4307776B2 (ja
Inventor
ジョゼフ エイ. レナー,
デヴィッド エイ. ヴァスコ,
ケリー ダブリュ. ヴァンデスティーグ,
ケンウッド エイチ. ホール,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Teledyne Scientific and Imaging LLC
Original Assignee
Rockwell Technologies LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rockwell Technologies LLC filed Critical Rockwell Technologies LLC
Publication of JP2003518356A publication Critical patent/JP2003518356A/ja
Application granted granted Critical
Publication of JP4307776B2 publication Critical patent/JP4307776B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/08Arrangements for detecting or preventing errors in the information received by repeating transmission, e.g. Verdan system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/14Arrangements for detecting or preventing errors in the information received by using return channel in which the signals are sent back to the transmitter to be checked ; echo systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1867Arrangements specially adapted for the transmitter end
    • H04L1/188Time-out mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/21Pc I-O input output
    • G05B2219/21053Each unit, module has unique identification code, set during manufacturing, fMAC address
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25014Fieldbus general name of bus connected to machines, detectors, actuators
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25153Checking communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25157Checksum CRC
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25158Watchdog
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25163Transmit twice, redundant, same data on different channels, check each channel
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25228Scheduling communication on bus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1803Stop-and-wait protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L2001/125Arrangements for preventing errors in the return channel
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Physics & Mathematics (AREA)
  • Manufacturing & Machinery (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • General Factory Administration (AREA)
  • Error Detection And Correction (AREA)
  • Detection And Prevention Of Errors In Transmission (AREA)
  • Manufacture, Treatment Of Glass Fibers (AREA)
  • External Artificial Organs (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 標準直列プロトコルを実行するネットワークを使用してきわめて信頼性の高い産業用制御システムが作成される。安全プロトコルは、標準直列ネットワークのプロトコルとともに、冗長な特殊エラー検出データを増すことによって標準直列プロトコル内に埋め込まれる。さらに、メッセージのタイミングを含む何よりも重要なプロトコルが、標準直列ネットワーク内の信頼性の必要なレベルを提供するために課される。システムは、相互通信する制御装置構成要素に構成データを対称的に伝送することによって、構成のために標準ネットワークを使用してもよい。構成データは、間違って宛てられるメッセージの可能性を削減するために各構成要素に一意の識別を与え、誤って伝えられるメッセージの確率を削減する構成要素によって使用されるプロトコルを提供する。冗長なデータを伝送し、メッセージ作成者に対する応答メッセージを含むために、2つの接続が使用されてよい。2つのメッセージのデータの比較は、これらの以前の技法によって明白ではないそれ以外の種類の故障を明らかにすることができる。システムは、一致についての入力信号を前処理し、一致信号だけを定期的にまたは状態の変更時のどちらかに送信することによってネットワークを過負荷せずに単一直列ネットワークと同じくらい少ない冗長な制御信号の処理に備える。

Description

【発明の詳細な説明】
【0001】 本出願は、1999年12月22日に提出された仮出願第60/171,43
9号の利益を主張する。
【0002】 (関連出願に対するクロスリファレンス)
【0003】 (連邦政府により後援された研究開発に関する陳述)
【0004】 (発明の背景) 本発明は、産業プロセスのリアルタイム制御のために使用される産業用制御装
置に関し、特に、人間の生命と健康を守ることを目的とするデバイスで使用する
のに適切な高信頼性産業用制御装置に関する。「高信頼性」とは、一般的には、
エラー状態または障害状態を検出し、それらの発生を信号で知らせる、及び/ま
たは所定の障害状態に入ることによって、誤ったデータまたは信号の伝搬から保
護するシステムを指す。高信頼性システムは、高可用性システムと区別されてよ
いが、本発明は、両方のこのようなシステムで有効であるため、ここに使用され
るように、高信頼性は、高可用性システムを除外すると考えられてはならない。
【0005】 産業用制御装置とは、産業プロセスを制御する上で使用される特殊目的のコン
ピュータである。記憶されているコンピュータプログラムの指令を受けて、産業
用制御装置は、制御されているプロセスのステータスを反映する一連の入力を調
べ、産業用プロセスを制御する一連の出力を変更する。入力及び出力はバイナリ
、すなわちオンまたはオフ、つまりアナログでよく、連続的な範囲内で値を提供
する。入力は、制御されている装置に取り付けられているセンサから得られ、出
力は制御されている装置上のアクチュエータに対する信号であってよい。
【0006】 「安全システム」は、産業プロセスの環境の中で仕事をしている人間の安全を
保証することを目的としている。このようなシステムは、緊急停止ボタン、イン
ターロックスイッチ、及び機械ロックアウトを含んでよい。従来、安全システム
は、該安全システムが関連付けられている産業プロセスを制御するために使用さ
れる産業用制御システムとはまったく別個の回路のセットによって実現されてい
る。このような安全システムは、開閉器と中継器から「結線され」、そのいくつ
かは冗長な信号の比較を可能にし、溶接接点または固着接点などの状態の内部チ
ェックを提供する特殊化した「安全中継器」であってよい。安全システムは、二
重接点付きの開閉器を使用し、接触故障の早期表示を行ってよく、複数の接点は
、複数の接点が閉じる場合にだけアクチュエータが付勢されるようにアクチュエ
ータに結線されてよい。
【0007】 結線されている安全システムは、産業プロセスの完全性が高まるにつれて不適
切であることが判明してきた。これは、部分的には、中継器を設置、配線する費
用のためであり、部分的には、論理回路が、物理的な中継器及び開閉器を配線し
直すことによってのみ変更できる安全システムによって実現されている「プログ
ラム」を障害探索し、保守することの困難のためである。
【0008】 このため、産業用制御装置を使用して安全システムを実現することにかなりの
関心がある。このような制御装置はプログラミングするのがさらに容易であり、
それらが高速直列通信網を使用することにより、ポイントツーポイント配線の長
い引き回し長さを排除するため、設置コストを削減してきた。
【0009】 残念なことに、産業制御で使用されている高速直列通信網は、安全システムに
とっては十分に信頼できない。このため、データの伝送でさらに大きな確実性を
提供する高速直列通信網である「安全ネットワーク」を開発するための作業が着
手されてきた。現在提案されている安全ネットワークは、産業制御で広く使用さ
れているプロトコルとは相容れない。結果的に、これらの新しい安全ネットワー
クが採用される場合、既存の産業用制御装置ハードウェア及び標準技術は使用不
能となることがあり、既存の工場及び新規工場に対して高いコストを課す。この
ようなコストは、高度安全技術の大幅な規模の採用を有害に延期する可能性があ
る。
【0010】 必要とされるのは、従来の産業用制御装置ネットワーク及び構成要素と互換性
のある安全ネットワークである。理想的には、このような安全ネットワークは、
多岐に渡るさまざまな標準通信プロトコルを処理し、信頼性を傷つけなくても標
準的な産業用制御構成要素と安全システム構成要素の混合を可能とするだろう。
【0011】 標準ネットワークで安全システムを実現する上での追加の問題とは、結線され
ているシステムの故障を(それらが一致しないときに)検出するために使用され
る冗長な制御信号が、必ずしもつねに、まったく同時に変化しないという点であ
る。結果的に、信号の一致の欠如が無視される時間のウィンドウが確立される。
理想的には、このウィンドウは、実際の故障が迅速に特定できるように短い。
【0012】 しかしながら、短い一致ウィンドウは、高信頼性システムが、制御システムで
使用されているような標準的な直列ネットワークで実現されるときには問題を生
じさせる。これは、妥当なネットワーク帯域幅のために、メッセージを待ち行列
に入れると、冗長な信号の伝送で歪みが生じ、伝送ウィンドウの望ましくない延
長が必要とされるためである。これは、特に、信号の通信に別個のネットワーク
の伝送による応答メッセージが必要とされるときに当てはまる。
【0013】 やはり必要とされているのは、従来の産業用制御装置直列ネットワーク及び構
成要素と互換性はあるが、冗長な制御信号を使用することにより生じる利益を提
供する安全ネットワークである。理想的には、このような安全ネットワークは、
産業用制御網の現在使用できる帯域幅を使用するだろう。
【0014】 (発明の概要) 本発明は、このような標準的なネットワークの接続済みメッセージ通信プロト
コルの下で冗長な「接続」を開くことによって、及びメッセージ作成者とメッセ
ージ消費者の両者に対しどちらかの接続の失敗を明らかにする、送信されたメッ
セージの反響を採用することによって標準制御ネットワーク上で高信頼性通信を
提供する。二重接続は、このようにして、従来、高信頼性を課すことを既存のネ
ットワーク媒体を用いて可能にするこのようなシステムで使用される二重媒体の
代わりに役立つ。
【0015】 具体的には、本発明は、いくつかが制御されているプロセスから制御信号を受
信する産業用制御装置の構成要素の間で高信頼性通信を確立する方法を提供し、
該構成要素は、標準ネットワーク上で通信する。方法は、指定された受信済み制
御信号と関連付けられた少なくとも二人の冗長な論理メッセージ作成者を確立す
るステップと、該二人の論理メッセージ作成者と対応する論理メッセージ消費者
のそれぞれの間で論理接続を開くステップとを含む。指定された受信済み制御信
号を含むデータは、論理メッセージ作成者から論理メッセージ消費者への接続で
伝送され、各論理メッセージ消費者での破壊されていないデータの受信後に、指
定された受信済み制御信号を含む応答データを、論理メッセージ作成者への接続
で伝送する。論理メッセージ作成者は、所定の安全状態を入力することによって
応答データの伝送の破壊されていない受信の不在に応える。
【0016】 このようにして、標準的な接続済みメッセージ通信プロトコルの元での高信頼
性通信に備えることが、発明の1つの目的である。冗長な接続及び応答メッセー
ジは、検出されていないメッセージ破壊に対する抵抗力を提供する。
【0017】 本発明は、さらに、初期化のために標準ネットワークを利用できる高信頼性通
信システムも提供する。
【0018】 高信頼性システムの1つの要件は、メッセージが誤って宛てられてないという
点である。これは、通常、各通信デバイスにそれ自体を識別し、各デバイスが、
それが通信するそれ以外のすべての関係者のアイデンティティを確立することを
確認する方法を与えることによって保証できる。理想的には、アイデンティティ
は、指定された「接続」、つまり一人のメッセージ作成者と一人のメッセージ消
費者の通信対に一意であるだろう。
【0019】 別の要件とは、すべての関係者が通信のパラメータを知っていることである。
通信パラメータの誤りは、メッセージを誤って解釈させたり、理解できなくする
ことがある。
【0020】 各デバイスにそのアイデンティティを通知し、共通通信パラメータを通信する
必要性は、高信頼性通信システムは初期化されているので、標準ネットワーク上
でデバイスにパラメータ及びアイデンティティを伝送することによって最もよく
満たされる。残念なことに、アイデンティティ及びパラメータの標準ネットワー
ク上での分散は、アイデンティティまたはパラメータが誤って宛てられたり、誤
って伝えられるかなりの確率がある場合、高信頼性通信システムを確立すること
に逆らって作用することがある。
【0021】 本発明は、制御時間中に互いと通信することを目的とする2台のデバイスに構
成データを対称的に通信する構成ツール(おそらく別個のデバイス)を使用する
ことによって、標準ネットワーク上でのきわめて信頼性の高い通信システムの構
成を可能にする。該構成データは、通信関係者に(接続または通信対に一意の)
両方のアイデンティティを与え、通信の重要なパラメータも伝達する。構成デー
タの受信後、2つの相互通信関係者は、構成データを比較し、彼らが正しく通信
の一部であることを確認してよい。
【0022】 具体的には、本発明は、制御されているプロセスと制御信号を交換する産業用
制御システムの構成要素間で高信頼性通信を確立する方法を提供し、該構成要素
は標準ネットワーク上で通信する。方法は、構成ソースからの構成メッセージを
、標準ネットワークプロトコルを使用する標準ネットワーク上で第1構成要素及
び第2構成要素に伝送する第1ステップを含み、該構成メッセージは、標準ネッ
トワークで使用可能な高信頼性通信プロトコルに関係するデータを提供する。次
のステップで、構成ソースは、第1構成要素と第2構成要素から構成応答メッセ
ージを受信し、該構成応答メッセージは、第1構成要素と第2構成要素によって
過去に受信された構成メッセージのデータを記述する。構成メッセージのデータ
によって定義されるように、第1構成要素と第2構成要素間での制御信号の通信
は、構成ソースによって受信される構成応答メッセージが、構成ソースから伝送
される構成メッセージと同じデータを記述する場合にだけイネーブルされる。
【0023】 このようにして、高信頼性通信システムの一部として通信するだろうデバイス
を構成し、特定するために標準ネットワークを使用できるようにすることが、本
発明の1つの目的である。構成データの2つの相互通信デバイスへの対称的な伝
送、及び構成データを反映する応答メッセージに対するニーズは、標準ネットワ
ークが被りやすい多くの種類のエラーを削減する。
【0024】 本発明は、さらに、ネットワーク上で伝送されているデータに、プロトコルの
2つのレベルを課すことによって、ネットワークから独立した高信頼性通信シス
テムを提供する。プロトコルの第1レベルは、安全システムにとって必要な高信
頼性を提供するが、プロトコルの第2レベルは、安全システムのプロトコルをカ
プセル化し、それを標準ネットワークで伝送できるようにする。
【0025】 本発明の安全システムは、多岐に渡る標準ネットワーク及び標準ネットワーク
ハードウェアと互換性があり、標準ネットワークの媒体を通して安全構成要素と
非安全構成要素を混合できるようにもする。安全プロトコルは、エラー検出デー
タを、すべてが標準ネットワークによってデータとして処理される伝送済みデー
タに追加する。安全プロトコルは、確実な伝送を保証するが、標準ネットワーク
のプロトコルにとって可視のままとなることのあるメッセージ伝送のタイミング
要件も追加する。
【0026】 具体的には、本発明は、ネットワークと無関係な、高信頼性通信システムを、
標準直列通信網を利用する産業用制御装置に提供する。通信システムは、産業プ
ロセスの制御用の第1I/O通信回路を含む。このI/Oデータは、入力または
出力データであってよく、回路は産業用制御装置またはそのI/Oモジュールに
あってよい。I/Oデータは、伝送のエラーを削減するようにフォーマットされ
た高信頼性フォーマット済みデータを生成するために、ネットワークとは無関係
なプロトコルの元での伝送のためにそれをフォーマットする第1のネットワーク
とは無関係なプロトコル回路によって受信される。高信頼性フォーマット済みデ
ータは、標準直列通信ネットワークのプロトコルの元での伝送のためにさらにそ
れをフォーマットする、標準ネットワークプロトコル回路によって受信される。
このようにして、それは、標準直列通信網での伝送のために二重にフォーマット
されたデータを生成する。標準直列通信網用にプロトコルをフォーマットすると
、伝送のエラーも削減する。標準直列通信網での伝送後、二重にフォーマットさ
れたデータは、標準直列通信網のプロトコルに従って高信頼性フォーマット済み
データを抽出する第2標準ネットワークプロトコル回路によって受信される。そ
れから、データは、高信頼性フォーマット済みデータから原I/Oデータを抽出
する第2のネットワークに無関係なプロトコル回路によって受信される。第2I
/O通信回路は、産業プロセスの制御のためにI/Oデータを受け取る。
【0027】 このようにして、それにも関わらず、共通した十分に開発され、市販されてい
る直列通信網の標準回路構成要素及びプロトコルを使用してよい高信頼性通信シ
ステムに備えることが、本発明の1つの目的である。安全性フォーマットは、フ
ォーマットされた安全性データを伝送される通常データとして処理する、直列ネ
ットワークの標準プロトコルに埋め込まれている。
【0028】 最後に、本発明は、ネットワーク上での制御信号の伝送の前に、一致検出ステ
ップをメッセージ作成者に移動することによって、標準直列ネットワーク上での
冗長な制御信号の伝送及び使用を容易にする。その後ネットワーク上で冗長に伝
送されてよい単一の一致信号は、短い一致ウィンドウを使って作成される。一致
は伝送の前に解決されるため、ネットワーク歪みは、一致ウィンドウの延長を必
要としない。
【0029】 具体的には、本発明は、制御装置を有する高信頼性産業用制御システムに、共
用されている直列ネットワークに対する第1ネットワークインタフェースを提供
する。産業用制御システムは、少なくとも2つの冗長入力信号を受信するための
少なくも2つのインタフェース回路付きの入力モジュールも含み、インタフェー
ス回路は、内蔵バスを介して少なくとも1台のプロセッサと通信する。プロセス
は、さらに、共用される直列ネットワークに対する第2ネットワークインタフェ
ースと通信し、インタフェース回路によって処理される冗長な入力信号を受信す
るため、事前に定められた時間期間のウィンドウ内で冗長な入力信号の一致を判
断するため、及びウィンドウ内に一致がある場合にだけ、第2ネットワークイン
タフェースを介して、冗長入力信号の一致状態を示す少なくとも1つの一致信号
を制御装置に伝送するために、記憶されているプログラムを実行する。
【0030】 このようにして、入力信号のネットワークの歪みの影響を排除することによっ
て、一致ウィンドウに対する相対的に短い事前に定められた時間期間の使用を可
能にすることが、発明の1つの目的である。
【0031】 発明の前記及びそれ以外の目的及び優位点は、以下の説明から明らかになるだ
ろう。説明中、この一部を形成し、発明の好ましい実施形態が図によって示され
ている添付図面が参照される。しかしながら、このような実施形態は、必ずしも
発明の完全な範囲を表さず、発明の範囲を解釈するためにはクレームが参照され
なければならない。
【0032】 (発明の詳細な説明) 本発明は、産業用環境において人間の生命及び手足を保護するために使用され
る「安全システム」の一部となることがある。それにも関わらず、ここに使用さ
れるような用語「安全」は、本発明が産業プロセスを安全にするだろう、あるい
はそれ以外のシステムが安全ではない動作を生じさせるだろうという表現ではな
い。産業プロセスにおける安全は、安全システムの設計、安全システムの構成要
素の設置及び保守、及び安全システムを使用する個人の協力と訓練を含む、本発
明の範囲外にある多岐に渡る要因に依存している。本発明は、高信頼性であるこ
とを目的としているが、すべての物理的なシステムは故障を受けやすく、このよ
うな故障に対して準備がなされなければならない。
【0033】 ここで図1を参照すると、本発明を用いた安全システムを実現するための産業
用制御システム10は、遠隔入力モジュール14及び遠隔出力モジュール16付
きの直列ネットワーク15で通信している制御装置12を含む。ネットワーク1
5は、イーサネット(Ethernet)、デバイスネット(DeviceNe
t)、コントロールネット(ControlNet)、ファイヤワイヤ(Fir
ewire)またはフィールドバス(FieldBus)を含むが、それらに限
られない標準的且つ一般的に入手可能な高速直列ネットワークであってよい。ネ
ットワーク15は、オプションで前記標準的なプロトコルまたはそれ以外のプロ
トコルの異なったの間で変換するブリッジ17を含んでよい。以下から理解され
るように、本発明はアプリケーションを架橋するように容易に適応されてよい。
【0034】 入力モジュール14は、産業用制御装置12にネットワーク15上で通信され
る(類似して称されるライン上の)入力信号18を受け入れてよい。産業用制御
装置12では、信号18は、(機械ロックアウトまたは緊急停止などの)安全シ
ステムを実現する制御プログラムの元で処理され、追加信号が、アクチュエータ
22への(類似して称されるライン上の)出力信号20を生成してよい出力モジ
ュール16に送信されてよい。
【0035】 入力信号18は、緊急停止開閉器、インターロック開閉器、光カーテン、及び
その他の近接検出器を含むが、それらに限られない、安全入力信号を生成する多
岐に渡るデバイスのどれかであってよい開閉器19から生じる。アクチュエータ
22は、中継器、ソレノイド、モータ、エナンシエータ(enunciator
)、ランプ、または安全機能を実現するその他のデバイスであってよい。
【0036】 やはりネットワーク15に接続されているのは、その目的が後述されるだろう
構成端末24として使用されてよい標準コンピュータである。
【0037】 冗長システムハードウェア ここで図2を参照すると、開閉器19は、冗長な信号18aと18bを生成し
、信号18aは、例えば開閉器19内の第1接点から、信号18bは開閉器19
内の第2の独立した接点からである。該接点は、両方とも通常開かれている(例
えば、プッシュボタン26を作動すると閉じられる)同じ論理回路(図示されて
いない)を有してよいか、あるいは1つの接点が通常は開かれ、1つの接点が通
常は閉じられている反転論理回路であってよい。いずれのケースでも、冗長信号
18aと18bは、開閉器19の状態の判断でより高い信頼性に備えるように生
成される。
【0038】 入力モジュール14は、信号18aを受信する冗長インタフェース回路構成要
素28a、及び信号18bを受信するインタフェース回路構成要素28bを含ん
でよい。代わりに、図示されていないが、インタフェース回路構成要素28a及
び28bは、それぞれ(内部比較のために)信号18aと18bの両方を受信し
てよいか、あるいは単一接点から信号18aと18bを受信してよい。信号18
aと18bを生成する上で、接点には、入力回路構成要素28aと28bから、
または1つの共通した電圧ソース(図示されていない)からそれぞれ別個の電圧
が提供されてよい。技術で既知であるこれらの配線システムでのその他の冗長な
変形も使用されてよい。
【0039】 インタフェース回路構成要素28aと28bのそれぞれは、結果的に、関連付
けられたマイクロコントローラ30aと30bに信号を提供してよい。マイクロ
コントローラ30aと30bは、後述されるように、コンピュータプロセッサ、
メモリ、及び安全プロトコルを実行するために記憶されているプログラムを提供
する。代わりに、あるいは加えて、安全プロトコルは、マイクロコントローラ3
0aと30bが通信する安全プロトコル回路32によって実行されてよい。この
ケースでは、安全プロトコル回路28aと28bは、特定用途向け集積回路(A
SIC)である。技術において、ハードウェアまたはソフトウェア、あるいはそ
れぞれの組み合わせによってプロトコルを実現することは周知であるので、ここ
に及び請求項で使用されているような「プロトコルデバイス」は、一般的に、示
されている機能を実現するソフトウェア及びハードウェアの構成要素の任意の組
み合わせを包含すると解釈されるべきである。
【0040】 マイクロコントローラ30a及び30bは、記述されるように、信号18aと
18bを比較するために内蔵バス34を通して互いと通信してよい。
【0041】 マイクロコントローラ30aと30b、あるいは安全プロトコル回路28aと
28bは、結果的に、標準ネットワーク15の低レベルプロトコルを処理するた
めに、技術で周知である型の標準ネットワークプロトコル回路36aと36bに
接続する。典型的には、標準ネットワークプロトコル回路36aと36bは、そ
のインプリメンテーションがかなりの開発時間を表し、容易に修正することので
きないASICによって実現される。
【0042】 標準ネットワークプロトコル回路36aと36bは、類似した標準ネットワー
クプロトコル回路38aと38bを通して制御装置12で受信される、ネットワ
ーク15上の入力モジュール14からの信号を伝送する。これらの信号は、標準
ネットワークプロトコル回路38によって処理され、前述の安全プロトコル回路
32aと32bに類似している、冗長安全プロトコル回路40aと40bに提供
される。これらの安全プロトコル回路40aと40bは、それぞれ、周知の冗長
性技法に従って別個のメモリシステム及び制御プログラムを含み、内蔵バス34
’上で相互通信するプロセッサ42aと42bと通信する。プロセッサ42aと
42bによって生成される出力信号は、後述されるように、安全プロトコルを実
現するために安全プロトコル回路40aと40bを通して通信しなおされてよく
(あるいは、代わりに安全プロトコルは、プロセッサ42aと42bによって処
理されてよく)、出力信号は、出力モジュールへの再びネットワーク15上での
伝送のために標準ネットワークプロトコル回路38aと38bに通信される。
【0043】 出力モジュール16は、標準ネットワークプロトコル回路36aと36b、及
び38aと38bに類似している標準ネットワークプロトコル回路44aと44
bを通して出力データを受信してよい。標準ネットワークプロトコル回路44a
と44bは、データを、結果的にそれらを冗長コントローラ48aと48bに提
供する安全プロトコル回路46aと46bに提供する。前述されたように、代わ
りに、安全プロトコルは、その代わりとして制御装置48aと49bによって処
理されてよい。制御装置48aと48bは、内蔵バス34”によって通信し、結
果的に信号を、出力信号20aと20bを提供する出力インタフェース回路50
aと50bに提供する。出力信号は、アクチュエータ22が電力を供給されるた
めに出力がイネーブルされなければならないように、アクチュエータ22に接続
されてよい。この意味において、プロセッサ48aと48bの間で受信される信
号の間に一貫性がない場合に、(アクチュエータ22に電力が供給されない)デ
フォルトの安全状態が生じる。配線を並列構成に変更すると、プロセッサ48a
と48bによって受信される両方の信号ともイネーブルされるとアクチュエータ
が作動される安全状態を生じさせることができるだろう。
【0044】 代わりに、及び説明されるように、安全状態は、制御装置12または入力モジ
ュール14から出力モジュール16のマイクロコントローラ48aと48bに伝
送される安全状態信号によって施行されてよく、後者は、さらに後述されるよう
に、構成端末24を通してプログラミングされる所望の安全状態の記憶されてい
る値によって求められる出力インタフェース回路50aと50bへの出力を生じ
させることによって応答してよい。
【0045】 本発明によるブリッジ回路17は、入力モジュール14に示される基本的な構
造を仕様できるが、入力モジュール14のインタフェース回路構成要素28aと
28bを、ネットワークプロトコル回路38aと38b、ならびに40aと40
bの安全プロトコル回路で置換する(この場合、ネットワークプロトコル回路3
8と36は別のプロトコル用であり、それによって後述される技法による安全デ
ータのシームレスな伝送を可能にする)。
【0046】 ここで図3を参照すると、本発明の専門化された冗長入力モジュール14は、
2つの標準入力モジュール14aと14bで置換されてよく、入力モジュール1
4aは、前述されたインタフェース回路構成要素28a、マイクロコントローラ
30a、安全プロトコル回路32a及び標準ネットワークプロトコル回路36a
と同等なものを保持し、入力モジュール14bは、インタフェース回路構成要素
28b、マイクロコントローラ30b、安全プロトコル回路32b、及び標準ネ
ットワークプロトコル回路36bの同等なものを保持する。このケースでは、安
全プロトコル回路32aと32bの動作はマイクロコントローラ30aと30b
のファームウェア内で実現され、内蔵バス34よりむしろネットワーク15上で
通信されるメッセージを介して実施される。
【0047】 同様に、図4を参照すると、出力モジュール16の冗長性は、別個の出力回路
16aと16bによって実現されてよく、出力モジュール16aは、標準ネット
ワークプロトコル回路44の相当物、安全プロトコル回路46a、マイクロコン
トローラ48a、及び出力インタフェース回路50aを含み、出力モジュール1
6bは、44’としての標準ネットワークプロトコル回路44の相当物、安全プ
ロトコル回路46b、マイクロコントローラ48b、及び出力インタフェース回
路50bを含む。後述されるように、本発明は、ネットワーク15でアドレスを
有する物理装置の間での安全構成要素の正確なパーシングに無関心であるプロト
コルを提供する。
【0048】 ここで図5及び図2を参照すると、入力回路内での安全プロトコル回路32及
び標準ネットワークプロトコル回路36の動作とは、説明されるように、ネット
ワーク15で送信されるメッセージの添付される追加データとして、及びそのデ
ータの管理においての両方で実現される安全ネットワークプロトコル54内に線
路18bからの入力データ52を埋め込むことである。安全ネットワークプロト
コル54は、結果的に、ネットワーク15上でのシームレス伝送のために標準ネ
ットワークプロトコル56内でカプセル化される。
【0049】 安全ネットワークプロトコル ここで図5及び図2を参照すると、標準ネットワークプロトコル回路36、3
8及び44と関連した安全プロトコル回路32、40及び46の動作とは、ネッ
トワーク15上で送信されるI/Oデータ52に添付される追加データとして、
及びそのI/Oデータ52の伝送の詳細の管理においての両方で実現される安全
ネットワークプロトコル54の中に(例えば、ライン18bからの)I/Oデー
タ52を埋め込むことである。安全ネットワークプロトコル54は、結果的に、
ネットワーク15上でのシームレス伝送のために標準ネットワークプロトコル5
6内でカプセル化される。
【0050】 それから、安全ネットワークプロトコル54及び標準ネットワークプロトコル
56でカプセル化されるデータは、その基本的な状態でI/Oデータ52を提供
するために、標準ネットワークプロトコル回路36、38及び44、ならびに安
全プロトコル回路32、40及び46の連続動作を通して(例えば、制御装置1
2によって)受信し、抽出することができる。図5がプロセスを表象するだけで
あること、及び安全ネットワークプロトコル54が、単に、例えば、安全データ
ヘッダ内のデータ52のカプセル化したものではなく、むしろ安全プロトコルは
、安全ネットワークプロトコル54が、ネットワーク15または標準ネットワー
クプロトコル回路36,38及び44を修正しないで、標準ネットワークプロト
コル56内で動作できるように、標準ネットワークプロトコル56と順番で実行
されてよいタイミング制約を含むことに注意する。
【0051】 この二重レベルのカプセル化(encapsulation)及び非カプセル
化(de−encapsulation)は、安全システムに釣り合った高レベ
ルの信頼性を必要とするネットワーク15でI/Oデータ52が伝送されるたび
に実行される。非安全システムデータについて、標準ネットワークプロトコル5
6は、産業用制御システム10の非安全要素との通信のために、安全ネットワー
クプロトコル54を使用せずに単独で使用されてよい。ネットワーク15で伝送
されるすべてのデータは標準ネットワークプロトコル56に埋め込まれているた
め、それらがI/Oデータ52に適したデータ伝送容量を有し、後述されるよう
に、安全ネットワークプロトコル54の追加された安全エラー検出データ58を
受け入れるのに十分な容量を有するのであれば、安全ネットワークプロトコル5
4は、多岐に渡るネットワーク15とシームレスに動作するだろう。
【0052】 安全メッセージフォーマット化 ここで図6を参照すると、安全ネットワークプロトコル54の第1態様とは、
I/Oデータ52が、ネットワークメッセージ61を作成するために標準ネット
ワークプロトコル回路36、38及び44に提供されるデータを形成する安全メ
ッセージ60を形成するために安全エラー検出データ58に添付されるという点
である。安全エラー検出データ58は、安全メッセージの早期伝送に関して、安
全メッセージ60が伝送される局所的な順序を示すシーケンスカウントを含んで
よい。該シーケンスカウントは、説明されるように単一のメッセージだけの損失
を検出することが意図されるので、通常、範囲(0−3)に限られる。
【0053】 やはりI/Oデータ52及び安全エラー検出データ58の部分に添付されるの
は、好ましい実施形態では、12ビットであるために選択される巡回冗長符号(
CRC)である。該巡回冗長符号は、CRCが受信側デバイスによって再計算さ
れ、一致しないときに、それらのデータ要素のどれかの伝送でのエラーが検出で
きるようにI/Oデータ52及びシーケンスカウントから機能的に生成される。
技術で理解されるように、12ビットのエラーコードは、ビットエラーの奇数、
全2ビットエラー、12ビットまでの全バーストエラー、及び安全メッセージ6
0のデータの2047ビットまで、12ビットより大きなバーストエラーの99
.951%を含むエラーの検出を可能にするだろう。
【0054】 安全メッセージ60は、ネットワーク15の標準ネットワークプロトコル56
に応じて変化するネットワークヘッダとフッタ62と64に埋め込まれている。
ネットワーク15に応じて、ネットワークヘッダとフッタ62と64は、CRC
コードとその他のシーケンスカウント、及び安全エラー検出データ58と冗長に
動作するそれ以外の類似した安全エラー検出データ58を含んでよい。それにも
関わらず、安全メッセージ60は、可能な程度まで完全にネットワークから独立
するように、独自の安全エラー検出データ58を含む。
【0055】 接続されたメッセージ通信 前述されたように、安全エラー検出データ58は、安全ネットワークプロトコ
ル54の一部だけを形成する。安全ネットワークプロトコル54は、接続された
メッセージ通信方式の元での適切な通信を保証する構成ステップも含む。ここで
図9を参照すると、制御装置12、入力モジュール14(つまり入力モジュール
14aと14b)、及び出力モジュール16(つまり出力モジュール16aと1
6b)の間の通信が、接続されたメッセージ通信システムを提供してよい。技術
で理解されるように、接続されたメッセージ通信は、一方がメッセージの「作成
者」としての役割を果たし、一方がメッセージの「消費者」としての役割を果た
す論理装置の対の間で接続を開くことを必要とする。接続を開くプロセスは、ネ
ットワークの帯域を確保し、接続のデータが確実に伝送、受信されることを保証
するために、作成者と消費者における必要な処理リソースとバッファリングリソ
ースを確保する。
【0056】 接続されたメッセージ通信プロトコルは、安全ネットワークプロトコル54の
一部として、または標準ネットワークプロトコル56の一部として実現されてよ
く、後者のオプションは、使用されてよい標準ネットワーク15の種類をいくぶ
ん制限する。接続されるメッセージ通信をサポートするいくつかの標準ネットワ
ークプロトコルは、デバイスネットとコントロールネット、イーサネット、及び
ATMである。
【0057】 ここで図9を参照すると、接続されたメッセージ通信プロトコルの元で、入力
モジュール14は、2つの接続を開く二人の作成者80に、信号18aと18b
のそれぞれのために一人づつ、制御装置12の二人の消費者82を与える。実際
問題として、これらの2つの接続とは、2つの別個のネットワークメッセージ6
1がネットワーク15上を送信され、両方のメッセージの損失の確率を引き下げ
ることを意味する。
【0058】 別個の入力モジュール14aと14bがある図3のインプリメンテーションに
ついて、二人の作成者80も提供される。作成者80が現在(ネットワーク15
で異なるアドレスを有する)別のデバイス内にいるにしても、安全システムを実
現する制御プログラムの動作は、接続レベルより上で、インプリメンテーション
内のこれらの変更によって変更される必要はない。接続されたメッセージ通信は
、このようにして、安全システムを、単一ネットワーク、つまり複数のリンク上
で自然な冗長性に備えるようなトポロジにたいてい無関心にさせる。
【0059】 制御装置12は、同様に、図2による単一出力モジュール16内または図4の
実施形態による別個の出力モジュール16aと16bのどちらかで、消費者82
とデータを交換している二人の作成者80を含む。2つの矢印が、それぞれの作
成者80と消費者82の間に図示され、図9に従って、後述されるように、安全
プロトコル54の元で肯定応答メッセージによる各メッセージのパーシングを示
す。
【0060】 図9に図示されていないが前述されるように、ブリッジ回路17は、当業者に
理解されるように、四人の消費者と四人の作成者(ネットワーク側ごとに二人)
を実現するだろう。
【0061】 安全構成データ及びプロトコル ここで図10を参照すると、安全プロトコルは、さらに一般的には、第1ステ
ップがプロセスブロック66によって示されるように構成データを作成すること
である、初期化状態を含む。
【0062】 構成プロセスは、構成端末24で構成データを作成することと、構成データが
入力モジュール14、制御装置12、及び出力モジュール16のそれぞれにある
ことを保証することを必要とする。構成データは各接続に一意であり、安全プロ
トコルの必須構成要素を提供し、安全システムの中にスプリアスデータを注入す
る不適切な接続の可能性を削減するために相互通信関係者を特定する。これは、
安全ネットワークプロトコル54を観察するシステム構成要素と、標準ネットワ
ークプロトコルだけを観察する標準構成要素の混合を可能とする上で特に重要で
ある。デバイスは、複数の接続をサポートしてよく、そのケースでは、各接続に
特定的な複数の構成データが使用されるだろう。
【0063】 一般的には、構成データは、入力モジュール14、制御装置12、及び構成デ
ータを保持する出力モジュール16の特定のデバイス及び特にそのデバイスの連
続番号を識別するデータを含む。連続番号は物理装置の一意の不変の一部であり
、このようにして(独立した接続を確立してよい)物理装置内の論理装置の内部
アドレスとともに、連続番号は各接続に一意のアイデンティティを与え、いった
ん構成データが適切に広められると、異なるデバイス間での交差接続の可能性を
排除する。連続番号を強化するために、構成データは、すべてが技術で既知であ
り、特定のデバイスを識別するデバイスの論理アドレス、物理アドレスを含むネ
ットワークデータだけではなく、ベンダ識別番号、デバイスコード、製品コード
、主要改訂、マイナー改訂も含んでよい。同様に、デバイス内の構成データは、
それが接続されるデバイスの連続番号を含んでよい。
【0064】 言及されたように、接続データは、「定期時間間隔」、「応答タイマ間隔」、
「フィルタカウント」及び「再試行限度」という変数を含む、さらに説明されな
ければならない安全プロトコルの他の態様のインプリメンテーションに必要なデ
ータも含んでよい。構成データは、ネットワークエラーの発生時にデバイスが復
旧するだろう安全状態、及び現在の接続がエラーを有する場合に安全状態に復旧
しなければならない(その他の接続に関係する)その他のI/O点を示す関連I
/O点のリストも含む。このもっと後の特徴が、説明されるように、通信時の安
全システムの選択的及びインテリジェントなディスエーブルを可能にする。文脈
から明らかとなるように、このデータのいくらかは、デバイスに依存しており、
システムプログラマはいくつかを開発しなければならない。
【0065】 図7を参照すると、構成端末24の中に保持される構成データは、メッセージ
66a、66b、及び66cとして、入力モジュール14、制御装置12、及び
出力モジュール16のそれぞれに送信される。
【0066】 受信側入力モジュール14、制御装置12、及び出力モジュール16は、構成
を記憶し、同じではあるが、受信される構成データの(単に別のバイナリコーデ
ィングである)一つの(one’s)補間的な形式に従って変更される構成メッ
セージで応答する。この一つの補間的なメッセージは、メッセージ66d、66
e及び66fによって、それぞれの入力モジュール14、制御装置12、及び出
力モジュール16から戻される。メッセージ66a、66b及び66cの構成が
正確に(補間後に)メッセージ66d、66e及び66fの構成データに一致す
る場合、構成は成功した。
【0067】 構成データは、確認のために人間のオペレータに見せられてよい。オペレータ
が、構成が正しいことを認めると、構成は、構成端末24からそれぞれの入力モ
ジュール14、制御装置12、及び出力モジュール16へ、メッセージ68a、
68b、及び68cを通して図10に図示されるプロセス68によって示される
ように適用される。デバイスは、所定の時間間隔内にメッセージ68d、68e
及び68fを介してこれらのメッセージを肯定応答しなければならないか、でな
ければ構成はクリアされ、どの構成も発生したとみなされないだろう。メッセー
ジ66と68の構成データは、標準ネットワークプロトコル56だけを使用して
送信されてよい。
【0068】 いったん構成が完了すると、安全プロトコルは、通常、図8と図10に示され
る起動段階に入る。起動段階中、必要な安全接続が確立され、構成データが、予
想される接続が、実際行われる接続であることを検証するために使用される。構
成の起動部分の目的は、(1)安全システム内のデバイスと安全システム内のそ
れ以外の誤ったデバイス、及び(2)安全システムのデバイスと、混合システム
内の安全システム内にないその他のデバイスの間で誤った接続が開かれるのを防
ぐことである。
【0069】 図10のプロセスブロック70で示されるこの起動プロセスでは、接続は、制
御装置12から入力モジュール14と出力モジュール16に確認される。特に(
図9に図示される)制御装置12内の作成者80は、それぞれ、入力モジュール
14と出力モジュール16に開放接続メッセージ70aと70bを送出する。適
切な消費者82は、それぞれ接続肯定応答メッセージ70cと70dで応答する
。それから、制御装置12及び入力モジュール14内の作成者80は、メッセー
ジ70eと70fによって示されるように、制御装置12内の消費者82に構成
データを送信する。制御装置の消費者82は、構成データがそれらの構成データ
に一致することを確かめるためにチェックしてから、肯定応答メッセージ70f
と70gを送信し、その一致を承認する。その後、メッセージ72aと72bで
、従来のI/Oデータは送信し始められてよい。
【0070】 図10を再び参照すると、データ72aと72bは、前述されたように、ネッ
トワークメッセージ61の中に安全エラー検出データ58を組み込む安全メッセ
ージ60の形成を含むプロセスブロック72によって示される安全プロトコルの
部分に従って、及びここで説明されるだろう安全メッセージ60のコンテンツと
は無関係に、及び関連して動作しているメッセージ処理プロトコル74に従って
伝送されるだろう。
【0071】 メッセージ処理安全プロトコル (1)通常の伝送 通常、図10と図11を参照すると、メッセージ処理プロトコル74は、メッ
セージ時間測定に備え、実行時中に安全エラー検出データ58内のエラーに応え
る。これらのメッセージ処理プロトコル74は、安全プロトコル回路32、40
及び46内で実現されるか、あるいはソフトウェア内で実現されてよく、作成者
と消費者に対して異なる。
【0072】 ここで、通常の実行時伝送のための図11と図19を参照すると、作成者80
は、実行時に、図11に従って消費者82に(前述されたように、安全メッセー
ジ60に従って標準ネットワークメッセージ61にカプセル化される)安全メッ
セージ84を送信するだろう。この送信は、通常、図19に示される。メッセー
ジ84を送信する直前に、定期的なタイマが、プロセスブロック89に従って起
動され、応答タイマは、メッセージ84がプロセスブロック91に従って伝送さ
れる瞬間に伝送される。定期的なタイマ間隔86は、前述された構成プロセスに
設定されるように、応答タイマ間隔88より長い。
【0073】 ここで図9、図11、及び図20を参照すると、消費者82は、メッセージ8
4を受信する前に、(最後のメッセージ84を消費者が受信した時点で起動され
た)独自の定期タイマの定期的な時間間隔86’が、決定ブロック92で示され
るように期限切れとなったかどうかを確かめるために絶えずチェックしている。
定期的なタイマ値86’は、通常、定期タイマ値86に同一である。
【0074】 定期タイマが期限切れになると、故障が示され、プログラムは、後述されるよ
うに、プロセスブロック134、安全状態に進む。
【0075】 タイマ値86が期限切れになっていない場合には、決定ブロック90で、消費
者82は、メッセージ84が到達したかどうかを確かめるためにチェックする。
メッセージ84が到達していない場合、プログラムは決定ブロック92に戻り、
定期タイマ86が期限切れとなったかどうかを再び確かめる。
【0076】 メッセージ84が定期タイマ86の期限切れの前に到達したと仮定し、プログ
ラムは決定ブロック112に進み、メッセージ84のCRCをチェックする。
【0077】 CRCが正しいと仮定して、プログラムは決定ブロック96に進み、シーケン
スカウントが受信された最後のメッセージのシーケンスカウントより1つ大きい
ことを確認するためにチェックする。
【0078】 シーケンスカウントが正しい場合には、プログラムは、プロセスブロック94
に進み、定期タイマ86がリセットされる。プロセスブロック95では、データ
は、例えば、出力にまたは更新変数に適用されてから、プロセスブロック98で
、肯定応答メッセージ100が作成者80に戻される。
【0079】 再び図19を参照すると、決定ブロック102で肯定応答メッセージを受信し
た作成者80は決定ブロック106に進み、定期タイマ86が期限切れとなった
かどうかを判断する。
【0080】 定期タイマが期限切れになっていないと仮定して、プログラムは決定ブロック
124に進み、肯定応答メッセージ100のCRCをチェックする。冗長巡回符
号は、伝送された安全メッセージ60のデータに一致しなければならない。
【0081】 再び、CRCが正しいと仮定し、プログラムは決定ブロック125に進み、肯
定応答メッセージ100のシーケンスカウントが、送信されたメッセージ84の
シーケンスカウントに一致するかどうかを判断する。
【0082】 一致する場合には、決定ブロック127で、メッセージ84で送信されたデー
タが肯定応答メッセージ100のデータに比較される。一致がある場合には、プ
ログラムは、それが、定期タイマが期限切れになるまでループする決定ブロック
129に進んでから、プロセスブロック110に進み、新しいメッセージ84を
作成する。
【0083】 このプロセスは、安全メッセージ84及び肯定応答メッセージ100の複数の
伝送について繰り返される。
【0084】 (2)受信されたが破壊されているメッセージ ここで図11を参照すると、1つの潜在的なエラーの中で、安全メッセージ8
4は、例えば電磁干渉85によって破壊されている。このケースでは、メッセー
ジは、プロセスブロック92によって測定されるような定期タイマ値内で、プロ
セスブロック90に従って、図20によって示されるように、消費者82におい
て受信されるが、決定ブロック112によって判断されるようにCRCデータに
はエラーがある。このケースでは、プログラムはプロセスブロック114に進み
、処置は講じられず、特に、肯定応答メッセージ100は戻されない。
【0085】 図19を参照すると、このケースでは、プロセスブロック102で、作成者8
0によって受信される肯定応答メッセージ100はないだろう。プログラムは決
定ブロック116に進み、定期時間間隔86が期限切れになったかどうかを判断
する。期限切れになっている場合、故障が示され、プログラムはプロセスブロッ
ク126の安全状態に進む。
【0086】 定期タイマ間隔86が期限切れになっていない場合、プログラムは決定ブロッ
ク118に進み、さらに短い応答時間間隔88が期限切れになったかどうかを確
かめる。期限切れになっていない場合、プログラムはプロセスブロック102に
折り返すだろう。期限切れになっている場合、プログラムはプロセスブロック1
20に進み、再試行限度が超えられたかどうかを確かめる。最初に、これは、当
てはまらない可能性があり、プログラムはプロセスブロック122に進み、同じ
シーケンスカウントを有する反復メッセージ84’が、やはり図12によって示
されるように、プロセスブロック84で送信されるだろう。再試行限度が超えら
れた場合、プログラムは安全状態126に進む。
【0087】 この反復メッセージ84’は、図20のプロセスブロック90によって示され
るように、消費者82で受信され、それが正しいこと、及びそれが過去の誤りの
ないメッセージに基づいて定期時間間隔86’内に到達したと仮定して、このメ
ッセージ84’は、前述されたステップに従って、プロセスブロック98で肯定
応答メッセージ100の送信を生じさせる。
【0088】 典型的には、ただ1回の見失われた伝送が発生すると、肯定応答メッセージ1
00は、作成者の定期タイマ間隔86内で発生し、メッセージは、図11に関し
て前述されたように、通常に交換され続けるだろう。
【0089】 (3)受信されなかったメッセージ ここで、図13を参照すると、前記例においては、安全メッセージ84は、エ
ラー付きであるにも関わらず、検出される消費者82に到達した。低レベルネッ
トワークプロトコルの元ではメッセージとして認識できないこのような極端な干
渉の結果として、あるいは間欠的な性質の作成者と消費者間の構成要素の故障の
結果として、安全メッセージ84が消費者82に到達しないことが考えられる。
この状況下では、作成者80は、メッセージ84を送信するが、消費者は図20
のプロセスブロック90でメッセージを受信しない。
【0090】 (前述されたように)消費者の図20の「処置なし」ブロック114は、この
ようにして遭遇されないが、結果はいずれにせよ同じである。つまり、消費者8
2は、処置を講じない。
【0091】 このようにして、作成者80における応答タイマ期限切れ時の図12に関して
前述されたように、作成者80は、受信されると、通常の通信の文字列を開始す
る肯定応答メッセージ100を生じさせるだろう第2メッセージ84を作成する
だろう。
【0092】 (4)受信されたが破壊されている肯定応答メッセージ ここで、図14を参照すると、安全メッセージ84は、エラーなしで無事に消
費者82に達するが、肯定応答メッセージ100は電磁干渉85により生じるエ
ラーを有することがある。このケースでは、作成者80は、定期的なタイマ間隔
86内で肯定応答メッセージ100の受信を検出するために決定ブロック106
によって図19に図示されるように反応する。しかし、肯定応答メッセージ10
0のデータにはエラーがある。
【0093】 CRCが、決定ブロック124によって判断されるように正しく、プロセスブ
ロック124に従って間違っているのがシーケンスカウントである場合には、プ
ログラムは、消費者82の出力と入力が構成データの事前に定められた安全状態
に設定される安全状態126に入る。同様に、シーケンスカウントが正しいが、
肯定応答データが決定ブロック127に従って一致しない場合、プログラムは安
全状態126に進む。消費者82が制御装置12である場合には、メッセージは
、それらにも安全状態に移るように信号で知らせる構成データ内で示される他の
I/Oデバイスに送信されてよい。
【0094】 プロセスブロック124で、CRC符号が、誤った重複メッセージよりむしろ
安全メッセージ内の破壊を示す安全メッセージ60に一致しないと仮定して、プ
ログラムは決定ブロック118に進み、応答タイマが前述されたように期限切れ
になっているかどうかを確かめる。応答タイマが期限切れになると、プログラム
は前述されたようにプロセスブロック120に進み、再試行限度が超えられてい
るかどうか確かめるために再試行カウンタをチェックする。超えられている場合
、プログラムは安全状態126に進むが、多くの場合、これは発生せず、プログ
ラムはプロセスブロック122に進み、再試行メッセージ84’が図14に示さ
れるように作成される。
【0095】 この再試行メッセージが破壊されていない肯定応答メッセージ100’を引き
起こすと仮定して、通信は通常の様式で続行する。
【0096】 (15)受信されなかった肯定応答メッセージ ここで、図15を参照すると、肯定応答メッセージ100が、干渉を通して、
あるいは一時的な通信障害を通して、完全に失われることが考えられる。そのケ
ースでは、前述されたように、重複メッセージ84が作成者80から送信される
が、シーケンスカウントは、消費者82によって過去に受信されたメッセージ8
4のシーケンスカウントに同一となるだろう。図20に図示されるようなこのケ
ースでは、プロセスブロック112で、CRCは正しいだろうが、それ以降の決
定ブロック96で試験されると、シーケンスコードは間違っているだろう。この
ケースでは、プログラムはシーケンスコードが予想されるより1少ないかどうか
をチェックするためにプロセスブロック130に進む。しかしながら、1少ない
場合、消費者82は、肯定応答メッセージ100が失われたと結論付けなければ
ならず、過去のメッセージの肯定応答が、プロセスブロック132で消費者によ
って再送される。
【0097】 (6)受信メッセージなし 最後に、図15に示されるように、作成者が、消費者の定期間隔86’内で消
費者と接続できない可能性がある。そのケースでは、プログラムは、図20に図
示されるように、決定ブロック92から直接的に安全状態134に進む。
【0098】 ネットワークにより誘導される歪みの削減 図2、図17及び図18を参照すると、重複入力信号18aと18bが、入力
モジュール14内のその関連付けられた入力回路18aと28bのサンプリング
での差異に対処するために濾波されなければならない。図17に示されるように
、ライン18a上の信号は、(点線で図示される)間隔140aでサンプリング
されてよいが、(おそらく18aのそれと同一の)ライン18bの入力信号は、
実線で示される間隔140bでサンプリングされてよい。サンプリング速度のこ
の差異は、時間tで、インタフェース回路構成要素28aによって処理される
信号18b’が高状態にあるが、インタフェース回路構成要素28aによって処
理されるような信号18aが高状態にあることを意味する。歪み信号18a’と
18b’は、二重接点システムのわずかな機械的な遅延によっても引き起こされ
ることがある。
【0099】 補正されない場合、ゆがみは時間tとtの間の瞬間的なエラー状態を生じ
させ、故障を示唆する。これらの偽エラー表示は排除されなければならず、これ
は典型的には、その間信号18aと18bの一致の欠如が無視されるウィンドウ
150を確立することによって行われる。
【0100】 ネットワークシステムにおいて、これは、ネットワークメッセージを介してそ
れぞれのプロセッサ42aと42bへ信号18a’と18b’を送信することを
必要とすることがある。ネットワーク15上での伝送のために待ち行列に入れた
結果生じたこれらのメッセージの伝送での歪みは、ウィンドウ150を増加する
ことを必要とする可能性がある。このようなアプローチにおける追加の問題は、
ウィンドウ処理プロセスが、各入力18aと18bの繰り返されるサンプルを必
要とするという事実で生じる。例えば、(信号18aとの一致が欠如している)
信号18bで変化があると、ウィンドウ150内で信号18aのそれ以降の値を
監視(し、伝送)し続ける必要がある。結果的に、ネットワーク15は各入力の
複数のサンプルの追加伝送で酷使される。高応答時間に対するニーズがサンプル
数を増やすにつれて、ネットワークトラフィックも増加する。
【0101】 結果的に、本発明では、図2に図示される構成を使用して、マイクロコントロ
ーラ30aと30bは、18aと18bの共通の値を求めるためにウィンドウ濾
波を使用して一致の欠如を解決するため、及びプロセッサ42に、「事前に濾波
された状態」の別々のメッセージでこの共通の値を送信するために、バス34上
で通信する。プロセッサ42は、同期して動作するため、追加の歪みは生じない
、あるいはニーズは排除される。その結果、歪みウィンドウは大きく削減され、
ネットワークトラフィックは大きく削減される。
【0102】 特に、図18を参照すると、マイクロコントローラ30aと30bは、2つの
入力が一致するかどうか、決定ブロック142で試験するフィルタプログラムを
動作する。つまり、2つの入力(例えば、信号18aと18b)は同じであるか
、あるいは所定の規約に従って、一方は他方の逆転である。一致がある場合には
、それらの入力の出力状態は、プロセスブロック144によって示されるように
、その一致した値に設定される。これは、概して図17の領域146に相当する
【0103】 プロセスブロック144の共通出力は、定期的に伝送されるか、あるいは状態
が変更する瞬間だけに伝送されてよい。
【0104】 図17の領域148によって示されるように一致が発生しない場合には、プロ
グラムはプロセスブロック145に進み、例えば現在開始し、2つのサンプルを
前方に進めるウィンドウ150内で、一致を見つけることができるのかを確かめ
るためにサンプリングする。プロセスブロック152によって示されるように、
一致をウィンドウ150内で見つけることができる場合には、ウィンドウ一致値
は、プロセスブロック154によって示されるように出力として使用される。
【0105】 一致を見つけることができない場合には、プログラムは安全状態136に進む
【0106】 マイクロコントローラ30aと30bは、多数の入力状態をさらに少ない数の
伝送状態の中に写像することによって入力データをさらに濾波してよい。(より
少ない伝送済みデータによって表されてよいような)これらのより少ない数の伝
送状態が、高信頼性システムによってネットワーク帯域幅に課される重荷を削減
する。さらに、伝送状態の変化だけが伝送されるケースでは、より少ない数の状
態は、より少ない伝送を生じさせるだろう。このようにして、例えば、二重ボタ
ン安全ロックアウトからなどの2つの入力は、2つの状態「実行」または「停止
」に分解されてよい。入力データの2つのビットは、伝送されたデータの1つの
ビットに濾波されてよい。この圧縮は、前述されたウィンドウ処理と関連して動
作してよい。
【0107】 前記説明は、本発明の好ましい実施形態の説明であり、当業者は、本発明の精
神及び範囲を逸脱することなく多くの修正が加えられてよいことを思い浮かべる
だろう。本発明の範囲内に該当してよい多様な実施形態を一般に知らせるために
、以下の請求がなされる。
【図面の簡単な説明】
【図1】 中央制御装置を、遠隔入力回路と出力回路と、及び本発明で使用されてよいよ
うな遠隔構成端末とリンクする標準直列通信網を使用する簡略化された産業用制
御装置の斜視図である。
【図2】 入力開閉器から図1の入力回路への冗長な配線を示す図1の制御システムの概
略ブロック図であり、入力回路は通信網上で図1の制御装置に信号を送信するた
めに入力開閉器からの信号を処理してよいような冗長な構成要素を有し、制御装
置は、通信網上で図1の出力回路に信号を送信するための冗長なプロセッサを有
し、出力回路はアクチュエータに出力を提供するために冗長な構成要素を有する
【図3】 冗長な構成要素のない従来の制御入力回路を使用する図2の入力回路の代替構
成を示す、図2に類似する断片的な図である。
【図4】 冗長な構成要素のない従来の制御出力回路を使用する図2の出力回路の代替構
成を示す、図2に類似する断片的な図である。
【図5】 データが、直列ネットワークと互換性を持つために、最初に安全プロトコルで
、次にネットワークプロトコルで符号化される本発明によって提供される二重通
信プロトコルの代表的な図である。
【図6】 標準直列ネットワークによって提供されるフォーマットの中でのI/Oデータ
による安全性フォーマットデータの埋め込みを示す、標準直列ネットワーク上で
伝送されるデータワードの概略表現である。
【図7】 入力回路、制御装置、及び出力回路への構成メッセージの伝送を示し、本発明
の安全プロトコルの基礎を形成する、垂直軸に時間、水平軸にネットワークに沿
った距離を有するグラフィック表現である。
【図8】 ネットワークの起動段階及び実行時段階の間の構成プロセス後のメッセージの
伝送を示す、図7の図に類似した図である。
【図9】 入力回路、制御装置及び出力回路の間の通信を、単一のネットワーク上での冗
長な通信及び図2、図3、及び図4のインプリメンテーションの変化したトポロ
ジを提供する作成者−消費者対に分割することを示す、産業用制御装置のブロッ
ク図である。
【図10】 初期化、起動、及び実行時の安全プロトコルの原則段階を示すフローチャート
である。
【図11】 実行時中の本発明の安全プロトコルの元での通常のプロトコル動作を示す、図
7の図に類似した図である。
【図12】 作成者メッセージが破壊されたプロトコル動作を示す、図11の図に類似した
図である。
【図13】 作成者メッセージが失われたプロトコル動作を示す、図11の図に類似した図
である。
【図14】 消費者からの肯定応答メッセージが破壊されたプロトコル動作を示す、図11
に類似した図である。
【図15】 消費者肯定応答メッセージが失われたプロトコル動作を示す、図11に類似す
る図である。
【図16】 作成者と消費者間の接続が分裂したプロトコル動作を示す、図11に類似する
図である。
【図17】 2つの冗長な入力回路の異なるサンプリング点から生じる歪みを示す、経時的
な典型的な入力信号のグラフである。
【図18】 ネットワーク伝送の前に、図17の歪みを排除するために、図1の入力回路に
よって実行されてよいプログラムである。
【図19】 安全プロトコルを実現する上で図9の作成者によって実行されるプログラムの
フローチャートである。
【図20】 本発明の安全プロトコルを実現する上で図9の消費者によって実行されるプロ
グラムのフローチャートである。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE,TR),OA(BF ,BJ,CF,CG,CI,CM,GA,GN,GW, ML,MR,NE,SN,TD,TG),AP(GH,G M,KE,LS,MW,MZ,SD,SL,SZ,TZ ,UG,ZW),EA(AM,AZ,BY,KG,KZ, MD,RU,TJ,TM),AE,AL,AM,AT, AU,AZ,BA,BB,BG,BR,BY,CA,C H,CN,CR,CU,CZ,DE,DK,DM,EE ,ES,FI,GB,GD,GE,GH,GM,HR, HU,ID,IL,IN,IS,JP,KE,KG,K P,KR,KZ,LC,LK,LR,LS,LT,LU ,LV,MD,MG,MK,MN,MW,MX,NO, NZ,PL,PT,RO,RU,SD,SE,SG,S I,SK,SL,TJ,TM,TR,TT,UA,UG ,UZ,VN,YU,ZA,ZW (72)発明者 レナー, ジョゼフ エイ. アメリカ合衆国 オハイオ州 44056 ハ ドソン, ベンドルトン ドライブ 7578 (72)発明者 ヴァスコ, デヴィッド エイ. アメリカ合衆国 オハイオ州 44056 マ セドニア, ウッドビュー ドライブ 9480 (72)発明者 ヴァンデスティーグ, ケリー ダブリ ュ. アメリカ合衆国 オハイオ州 44022 シ ャグリン フォールズ, ウェスト ベル メドウ 75 (72)発明者 ホール, ケンウッド エイチ. アメリカ合衆国 オハイオ州 44236 ハ ドソン, イースト サファイア ドライ ブ 1768 Fターム(参考) 3C100 AA56 CC02 CC16 5J065 AA01 AB01 AC02 AD04 AE01 AF02 AG04 5K014 AA01 CA03 EA05 EA07 5K033 AA07 BA08 CB02 CC01 5K034 AA05 EE10 HH01 HH02 HH10 HH11 HH12 HH65 MM01 NN26 【要約の続き】 号を前処理し、一致信号だけを定期的にまたは状態の変 更時のどちらかに送信することによってネットワークを 過負荷せずに単一直列ネットワークと同じくらい少ない 冗長な制御信号の処理に備える。

Claims (10)

    【特許請求の範囲】
  1. 【請求項1】 標準直列通信網を使用する産業用制御装置用のネットワーク
    から独立した高信頼性通信システムであって、 産業プロセスの制御のためにI/Oデータを受信する第1I/O通信回路と、 I/Oデータを受信し、検出されていない伝送ループエラーを削減するために
    フォーマットされた高信頼性フォーマット済みデータを作成するために、ネット
    ワークから独立したプロトコルの元での伝送のためにそれをフォーマットする第
    1のネットワークから独立したプロトコルデバイスと、 高信頼性フォーマット済みデータを受信し、さらにそれを、標準直列通信網で
    の伝送のために二重にフォーマットされたデータを生じさせるために、標準直列
    通信網のプロトコルの元での伝送のためにフォーマットし、標準直列通信網のプ
    ロトコルが検出されていない伝送ループエラーを削減するためのデータもフォー
    マットする第1標準ネットワークプロトコルデバイスと、 標準直列通信網から二重にフォーマットされたデータを受信し、標準直列通信
    網のプロトコルに従って高信頼性フォーマット化データを抽出する第2標準ネッ
    トワークプロトコルデバイスと、 高信頼性フォーマット化データを受信し、I/Oデータを抽出する第2のネッ
    トワークから独立したプロトコルデバイスと、 第2のネットワークから独立したプロトコルデバイスから、産業プロセスの制
    御のためにI/Oデータを受信する第2I/O通信回路と、 を備え、 それにより高信頼性伝送が、任意の標準直列通信網プロトコルで簡略に得られ
    る通信システム。
  2. 【請求項2】 第1と第2I/O通信回路が、産業用制御装置、産業用制御
    装置用入力回路、ブリッジ、及び産業用制御装置用出力回路から成り立つグルー
    プから選択される、請求項1に記載の産業用制御装置。
  3. 【請求項3】 第1のネットワークから独立したプロトコルデバイスが、I
    /Oデータに関係する冗長巡回符号及び伝送されているその他のI/Oに関して
    I/Oデータの伝送の局所的な順序に関係するシーケンスカウントから成り立つ
    エラー検出データを追加することによりI/Oデータをフォーマットする、請求
    項1に記載の産業制御装置。
  4. 【請求項4】 第2のネットワークから独立したプロトコルデバイスが、さ
    らにそれを、I/Oデータの受信時に肯定応答メッセージを作成し、高信頼性フ
    ォーマット化肯定応答データを生じさせるために、ネットワークから独立したプ
    ロトコルの元でフォーマット化し、 第2標準ネットワークプロトコルデバイスが高信頼性フォーマット化肯定応答
    データを受信し、さらにそれを、標準直列通信網上での伝送のために二重にフォ
    ーマットされた肯定応答データを生じさせるために、標準直列通信網のプロトコ
    ルの元での伝送のためにフォーマットし、 第1標準ネットワークプロトコルデバイスが標準直列通信網から二重にフォー
    マットされた肯定応答データを受信し、標準直列通信網のプロトコルに従って高
    信頼性フォーマット化肯定応答データを抽出し、 高信頼性フォーマット化肯定応答データを受信する第1のネットワークから独
    立したプロトコルデバイスが、伝送ループエラーを検出するためにデータをチェ
    ックする、 請求項1に記載の産業用制御装置。
  5. 【請求項5】 肯定応答データが、I/Oデータを含み、第1のネットワー
    クから独立したプロトコルデバイスが、I/Oデータを肯定応答データに比較す
    ることによってエラーを検出する、請求項4に記載の産業用制御装置。
  6. 【請求項6】 第1のネットワークから独立したプロトコルデバイスが、I
    /Oデータの受信時にタイマを起動するために動作し、第1のネットワークから
    独立したプロトコルデバイスが、肯定応答メッセージの受信時に許容時間に、タ
    イマ上の時間を突き合わせることによりエラーを検出する、請求項1に記載の産
    業用制御装置。
  7. 【請求項7】 第1のネットワークから独立したプロトコルデバイスが、定
    期的な間隔でI/Oデータを伝送し、第2のネットワークから独立したプロトコ
    ルデバイスが、最後のI/Oデータが受信された時間を時間間隔に突き合わせて
    比較することによってエラーを検出する、請求項1に記載の産業用制御装置。
  8. 【請求項8】 第2のネットワークから独立したプロトコルデバイスが、I
    /Oデータの伝送ループエラーを検出するために高信頼性フォーマット化データ
    を評価し、I/Oデータについてエラーの検出時に、I/Oデータのデフォルト
    の安全状態を受け入れる、請求項1に記載の産業用制御装置。
  9. 【請求項9】 第1のネットワークから独立したプロトコルデバイスが、I
    /Oデータの伝送ループエラーを検出するために、高信頼性フォーマット化デー
    タを評価し、I/Oデータについてエラーの検出時に、I/Oデータのデフォル
    トの安全状態を受け入れる、請求項4に記載の産業用制御装置。
  10. 【請求項10】 標準直列通信網が、イーサネット(登録商標)、デバイス
    ネット、コントロールネット、ファイヤワイヤ及びフィールドバスから成り立つ
    ネットワークのグループから選択される、請求項1に記載の産業用制御装置。
JP2001547615A 1999-12-22 2000-12-22 削減された帯域幅要件を有する産業用制御装置用安全ネットワーク Expired - Fee Related JP4307776B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US17143999P 1999-12-22 1999-12-22
US60/171,439 1999-12-22
US09/664,154 2000-09-18
US09/664,154 US6721900B1 (en) 1999-12-22 2000-09-18 Safety network for industrial controller having reduced bandwidth requirements
PCT/US2000/035258 WO2001046765A1 (en) 1999-12-22 2000-12-22 Safety network for industrial controller having reduced bandwidth requirements

Publications (2)

Publication Number Publication Date
JP2003518356A true JP2003518356A (ja) 2003-06-03
JP4307776B2 JP4307776B2 (ja) 2009-08-05

Family

ID=26867110

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001547615A Expired - Fee Related JP4307776B2 (ja) 1999-12-22 2000-12-22 削減された帯域幅要件を有する産業用制御装置用安全ネットワーク

Country Status (7)

Country Link
US (1) US6721900B1 (ja)
EP (1) EP1240561B1 (ja)
JP (1) JP4307776B2 (ja)
AT (1) ATE507516T1 (ja)
AU (1) AU2598101A (ja)
DE (1) DE60045896D1 (ja)
WO (1) WO2001046765A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8867369B2 (en) 2010-03-16 2014-10-21 Fujitsu Limited Input/output connection device, information processing device, and method for inspecting input/output device
US11677495B2 (en) 2019-04-16 2023-06-13 Mitsubishi Electric Corporation Safety communication device, safety communication system, safety communication method, and computer readable medium

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane
US7707319B2 (en) * 2000-09-18 2010-04-27 Rockwell Automation Technologies, Inc. Noninvasive testing of network interface error codes for safety network
US6618628B1 (en) * 2000-10-05 2003-09-09 Karl A. Davlin Distributed input/output control systems and methods
DE10053763C2 (de) * 2000-10-30 2002-10-17 Pilz Gmbh & Co Feldbussystem zum Steuern von sicherheitskritischen Prozessen sowie Busanschaltmodul zur Verwendung in einem solchen Feldbussystem
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
US7325162B2 (en) 2002-03-28 2008-01-29 Siemens Energy & Automation, Inc. Configurable multiple channel discrete output module
US7330768B2 (en) * 2003-01-28 2008-02-12 Fisher-Rosemount Systems, Inc. Integrated configuration in a process plant having a process control system and a safety system
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
KR100596755B1 (ko) * 2003-05-30 2006-07-04 엘지전자 주식회사 홈 네트워크 시스템
KR100605216B1 (ko) * 2003-05-30 2006-07-31 엘지전자 주식회사 네트워크 디바이스
KR100605218B1 (ko) 2003-05-30 2006-07-31 엘지전자 주식회사 홈 네트워크 시스템
KR100638017B1 (ko) * 2003-05-30 2006-10-23 엘지전자 주식회사 네트워크 디바이스
JP2006526305A (ja) * 2003-05-30 2006-11-16 エルジー エレクトロニクス インコーポレイティド ホームネットワークシステム
JP2006040122A (ja) * 2004-07-29 2006-02-09 Toyoda Mach Works Ltd プログラマブルコントローラ
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
US8942834B2 (en) * 2005-06-27 2015-01-27 Rockwell Automation Technologies, Inc. Method and apparatus for communicating transactions between an industrial controller and a programming interface
US7319406B2 (en) * 2005-09-30 2008-01-15 Rockwell Automation Technologies, Inc. System and method of channel serialization in a safety I/O product
AT504739B1 (de) * 2007-01-08 2013-09-15 Bernecker & Rainer Ind Elektronik Gmbh Anordnung und ein verfahren zur sicheren datenkommunikation über ein nicht sicheres netzwerk
US8500706B2 (en) 2007-03-23 2013-08-06 Allegiance Corporation Fluid collection and disposal system having interchangeable collection and other features and methods relating thereto
US9889239B2 (en) * 2007-03-23 2018-02-13 Allegiance Corporation Fluid collection and disposal system and related methods
US7941229B2 (en) * 2007-06-06 2011-05-10 Rockwell Automation Technologies, Inc. High-speed sequential sampling of I/O data for industrial control
US7914821B2 (en) * 2008-03-07 2011-03-29 KO DA Pharmaceuticals Co., Ltd. Pharmaceutical composition for prevention and/or treatment of bone loss
EP2109244A1 (de) * 2008-04-09 2009-10-14 Siemens Aktiengesellschaft Verfahren zur sicherheitsgerichteten Übertragung Sicherheitsschaltgerät und Kontrolleinheit
WO2011008961A1 (en) 2009-07-15 2011-01-20 Allegiance Corporation Fluid collection and disposal system and related methods
CH704209A1 (de) 2010-12-15 2012-06-15 Ferag Ag Vorrichtung und Verfahren zur Steuerung des Transports und der Bearbeitung von, insbesondere flächigen, Produkten.
US8278779B2 (en) 2011-02-07 2012-10-02 General Electric Company System and method for providing redundant power to a device
US8643225B2 (en) 2011-03-14 2014-02-04 Rockwell Automation Technologies, Inc. Lock-out, tag-out system using safety network
US8688247B2 (en) 2011-04-06 2014-04-01 Rockwell Automation Technologies, Inc. Lock-out, tag-out system using safety programmable logic controller
DE102011107323A1 (de) * 2011-07-06 2013-01-10 Abb Ag Verfahren zur Übertragung eines Prozessabbildes über ein Gateway-Gerät
DE102011081804B4 (de) * 2011-08-30 2015-02-12 Siemens Aktiengesellschaft Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage
DE102011081803A1 (de) * 2011-08-30 2013-02-28 Siemens Aktiengesellschaft Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
US10042354B2 (en) 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures
US9817391B2 (en) 2015-06-02 2017-11-14 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure
US9898607B2 (en) 2015-06-02 2018-02-20 Rockwell Automation Technologies, Inc. Rapid configuration security system for industrial control infrastructure
US9904785B2 (en) 2015-06-02 2018-02-27 Rockwell Automation Technologies, Inc. Active response security system for industrial control infrastructure
US10102700B2 (en) * 2017-01-26 2018-10-16 Jean Hugues Wendling System and method for entry access control using radio frequency communication
DE102018212557A1 (de) * 2018-07-27 2020-01-30 Dr. Johannes Heidenhain Gmbh Verfahren zur sicheren Datenkommunikation an einer numerisch gesteuerten Werkzeugmaschine
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4995040A (en) * 1989-02-03 1991-02-19 Rockwell International Corporation Apparatus for management, comparison, and correction of redundant digital data
US5155729A (en) * 1990-05-02 1992-10-13 Rolm Systems Fault recovery in systems utilizing redundant processor arrangements
US5508910A (en) * 1994-09-26 1996-04-16 Forney International, Inc. Redundant analog I/O board system
WO1997011565A2 (en) 1995-09-21 1997-03-27 Motorola Inc. Embedded protocol
US6167547A (en) * 1996-06-20 2000-12-26 Ce Nuclear Power Llc Automatic self-test system utilizing multi-sensor, multi-channel redundant monitoring and control circuits
US6560202B1 (en) 1998-07-27 2003-05-06 Lucent Technologies Inc. Control architecture using a multi-layer embedded signal status protocol
US6148414A (en) * 1998-09-24 2000-11-14 Seek Systems, Inc. Methods and systems for implementing shared disk array management functions
US6473660B1 (en) * 1999-12-03 2002-10-29 The Foxboro Company Process control system and method with automatic fault avoidance

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8867369B2 (en) 2010-03-16 2014-10-21 Fujitsu Limited Input/output connection device, information processing device, and method for inspecting input/output device
US11677495B2 (en) 2019-04-16 2023-06-13 Mitsubishi Electric Corporation Safety communication device, safety communication system, safety communication method, and computer readable medium

Also Published As

Publication number Publication date
EP1240561A1 (en) 2002-09-18
ATE507516T1 (de) 2011-05-15
AU2598101A (en) 2001-07-03
EP1240561B1 (en) 2011-04-27
DE60045896D1 (de) 2011-06-09
US6721900B1 (en) 2004-04-13
WO2001046765A1 (en) 2001-06-28
JP4307776B2 (ja) 2009-08-05

Similar Documents

Publication Publication Date Title
JP2003518356A (ja) 削減された帯域幅要件を有する産業用制御装置用安全ネットワーク
US6891850B1 (en) Network independent safety protocol for industrial controller
US6909923B2 (en) Safety communication on a single backplane
US6631476B1 (en) Safety network for industrial controller providing redundant connections on single media
US6701198B1 (en) Safety network for industrial controller allowing initialization on standard networks
US6915444B2 (en) Network independent safety protocol for industrial controller using data manipulation techniques
EP2262152B1 (en) Bridge for an industrial control system using data manipulation techniques
US8209594B2 (en) Sending device, receiving device, communication control device, communication system, and communication control method
US7076715B2 (en) Safety network using phantom address information
EP3772841A1 (en) A security module for a can node
CN109120430A (zh) 一种保证数据通信可靠性的方法
US20080091819A1 (en) Ethernet Ping Watchdog
JP3850841B2 (ja) データパケットの安全送信の監視方法および装置
US7802150B2 (en) Ensuring maximum reaction times in complex or distributed safe and/or nonsafe systems
EP4199435B1 (en) Apparatus for a controller area network
EP4213448A1 (en) Controller area network module and method for the module
JP4468354B2 (ja) ネットワークにおいて通信をモニタする方法
JPS63267039A (ja) ネツトワ−クシステム
JP2541492B2 (ja) マイクロプロセッサ遠隔リセット方式
JPS61163760A (ja) 端末用通信インタフエイス
CN117203945A (zh) 用于通信网络的方法和系统
JPH0569334B2 (ja)
JP2001126166A (ja) アナンシエータ制御装置
JPS6394733A (ja) 信号伝送装置
JPH0683186B2 (ja) デ−タ通信方式

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050927

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20051226

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060112

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060613

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061011

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070209

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20070223

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090430

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120515

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120515

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130515

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees