JP5949003B2 - ゲートウェイ、システム及び方法 - Google Patents
ゲートウェイ、システム及び方法 Download PDFInfo
- Publication number
- JP5949003B2 JP5949003B2 JP2012059468A JP2012059468A JP5949003B2 JP 5949003 B2 JP5949003 B2 JP 5949003B2 JP 2012059468 A JP2012059468 A JP 2012059468A JP 2012059468 A JP2012059468 A JP 2012059468A JP 5949003 B2 JP5949003 B2 JP 5949003B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- data
- node
- communication
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Safety Devices In Control Systems (AREA)
Description
本発明は、ゲートウェイ、システム及び方法に関し、特に、安全機能処理を行うコントローラとノードを接続するゲートウェイ、システム及び方法に関する。
工作機器や化学プラント等で用いられる、高い安全性の求められる機器についての安全機能の規格を定めた、機能安全規格IEC61508が存在する。当該規格に準ずる「安全機器」を用いることで、安全なシステムを構築することができる。
特許文献1は、複数の安全機器(安全ノード)がLANに直接に接続されるシステムにおいて、非安全ノードと安全ノードの間で、安全情報を送受信する方法を開示する(図17A参照)。
非特許文献1は、ある安全ノードの一方をLANに接続し、他の一方を、他の1つの安全ノードに接続されたシリアルバス(又はデュアルポートRAM)に接続する方法を開示する(図17B参照)。
Training for "PROFIsafe certified designers", February 10-12th, Karlsruhe
しかしながら、特許文献1に記載されている方法では、全ての安全ノードがLANインタフェースを実装する必要があり、安全ノードの製造コストが高くなる。結果として、システム全体のコストが高くなる。
また、非特許文献1に記載されている方法では、1つの安全ノードを介して、他の安全機器が直列に接続される。従って、当該安全機器の故障が、他の安全機器の故障に波及し、可用性が低減する。また、全ての非安全ノードがLANインタフェースを実装する必要があり、非安全ノードの製造コストが高くなる。結果として、やはりシステム全体のコストが高くなる。
一方で、特許文献2では、非安全ノードの接続されるシリアルバスから独立した、安全ノード専用のシリアルバスを設けたコントローラシステムが開示されている。しかしながら、当該システムにおいては、安全ノードがLANを介してコントローラと通信することができない。
本発明は、このような問題に鑑みてなされたものであり、安全通信を行うシステムにおいて、システム全体のコストを抑え、かつ、LANに接続された安全コントローラと各ノードとの間で安全通信を行えるようにすることを目的とする。
上述した課題を解決し目的を達成するため、本発明の一実施形態におけるゲートウェイは、
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信するゲートウェイであって、
LANを通じて前記安全コントローラと通信を行うインタフェースと、
前記インタフェースを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信するゲートウェイであって、
LANを通じて前記安全コントローラと通信を行うインタフェースと、
前記インタフェースを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
また、本発明の一実施形態におけるシステムは、
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと、ゲートウェイを有するシステムであって、
前記安全コントローラは、
LANを通じて前記ゲートウェイと通信を行う第一インタフェース
を有し、
前記ゲートウェイは、
前記安全コントローラと通信を行う第二インタフェースと、
前記第二インタフェースを通じて前記安全コントローラから受信した、所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全ノードは、
前記安全通信路を通じて前記ゲートウェイと通信する第三インタフェース
を有し、
前記非安全ノードは、
前記非安全通信路を通じて前記ゲートウェイと通信する第四インタフェース
を有し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと、ゲートウェイを有するシステムであって、
前記安全コントローラは、
LANを通じて前記ゲートウェイと通信を行う第一インタフェース
を有し、
前記ゲートウェイは、
前記安全コントローラと通信を行う第二インタフェースと、
前記第二インタフェースを通じて前記安全コントローラから受信した、所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全ノードは、
前記安全通信路を通じて前記ゲートウェイと通信する第三インタフェース
を有し、
前記非安全ノードは、
前記非安全通信路を通じて前記ゲートウェイと通信する第四インタフェース
を有し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
また、本発明の一実施形態における方法は、
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信する方法であって、
LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離段階と、
安全通信路を通じて前記安全ノードと通信する安全データ通信段階と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信段階と、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合する結合段階と、
結合された前記データを前記安全コントローラに送信する送信段階と、
を有し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信する方法であって、
LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離段階と、
安全通信路を通じて前記安全ノードと通信する安全データ通信段階と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信段階と、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合する結合段階と、
結合された前記データを前記安全コントローラに送信する送信段階と、
を有し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する。
また、本発明の一実施形態における方法は、
安全機能処理を行う安全ノードを制御する安全コントローラから受信したデータに基づいて異常状態を検知する方法であって、
ゲートウェイが、LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、安全ノード宛のデータ又は非安全ノード宛のデータに分離する、受信データ分離段階と、
前記ゲートウェイが、前記安全ノード宛のデータを複製する複製段階と、
前記ゲートウェイが、複製した前記データを、前記非安全ノードが接続された非安全通信路と異なる安全通信路を通じて、複数の安全ノードに夫々送信するデータ送信段階と、
前記複数の安全ノードの一が、前記ゲートウェイから受信した前記データと、該安全ノードと異なる他の安全ノードが受信した前記データとを照合する照合段階と、
前記複数の安全ノードの一が、前記照合の結果に基づいて異常状態を検出する検出段階と、
を有する。
安全機能処理を行う安全ノードを制御する安全コントローラから受信したデータに基づいて異常状態を検知する方法であって、
ゲートウェイが、LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、安全ノード宛のデータ又は非安全ノード宛のデータに分離する、受信データ分離段階と、
前記ゲートウェイが、前記安全ノード宛のデータを複製する複製段階と、
前記ゲートウェイが、複製した前記データを、前記非安全ノードが接続された非安全通信路と異なる安全通信路を通じて、複数の安全ノードに夫々送信するデータ送信段階と、
前記複数の安全ノードの一が、前記ゲートウェイから受信した前記データと、該安全ノードと異なる他の安全ノードが受信した前記データとを照合する照合段階と、
前記複数の安全ノードの一が、前記照合の結果に基づいて異常状態を検出する検出段階と、
を有する。
本発明によれば、安全通信を行うシステムにおいて、システム全体のコストを抑え、かつ、LANに接続された安全コントローラと各ノードとの間で安全通信を行うことができる。
以下、本発明の実施形態を図面に基づいて説明する。
1.概要
2.ハードウェア構成
3.機能構成
4.通信伝文
5.通信経路
6.データ管理テーブル
7.処理フロー
7.1 受信データ分離処理
7.2 非安全データ通信処理
7.3 安全データ分配・通信処理
7.4 送信振分処理
7.5 送信データ結合処理
7.6 通信インタフェース処理
7.7 安全通信処理
7.8 受信照合処理
7.9 アプリケーション処理
2.ハードウェア構成
3.機能構成
4.通信伝文
5.通信経路
6.データ管理テーブル
7.処理フロー
7.1 受信データ分離処理
7.2 非安全データ通信処理
7.3 安全データ分配・通信処理
7.4 送信振分処理
7.5 送信データ結合処理
7.6 通信インタフェース処理
7.7 安全通信処理
7.8 受信照合処理
7.9 アプリケーション処理
(1.概要)
最初に、図1を用いて、本発明の一実施形態におけるシステムの概要を説明する。図1は、本発明の一実施形態におけるシステムの概要を表す。本発明の一実施形態におけるシステムは、安全コントローラと安全ノード又は非安全ノードとの間に安全/非安全ゲートウェイを設け、安全コントローラと安全/非安全ゲートウェイとの間でLANによる通信を行う。
最初に、図1を用いて、本発明の一実施形態におけるシステムの概要を説明する。図1は、本発明の一実施形態におけるシステムの概要を表す。本発明の一実施形態におけるシステムは、安全コントローラと安全ノード又は非安全ノードとの間に安全/非安全ゲートウェイを設け、安全コントローラと安全/非安全ゲートウェイとの間でLANによる通信を行う。
図1に示される本発明の一実施形態におけるシステムは、安全通信処理を行う安全コントローラと、安全コントローラのLANインタフェースであるLAN通信ノードと、安全通信処理を行う安全ノードと、安全通信処理を行わない非安全ノードと、安全/非安全ゲートウェイを有する。
当該システムは、図1に示したように、必要に応じて、安全ノード間の通信手段も有する。当該通信手段は、冗長化のために設けられた複数の安全ノード間で、それぞれが受信したデータの照合を行うために用いられる。詳細については後述する。
安全/非安全通信ゲートウェイは、安全コントローラから送信された通信フレ−ムを抽出し、通信プロトコルを変換して、安全/非安全ノードに送信する。ここで、IEC61508で定められるブラックチャネルの要件を満たすために、安全通信フレームには手を加えない。安全/非安全ゲートウェイは、必要に応じ、安全ノードと非安全ノードとの間にも通信手段を設ける。
以上の構成により、安全ノード及び非安全ノードのLAN通信ノードが不要となり、システム全体のコスト削減が可能となる。また、安全ノード及び非安全ノードの増設が容易となる。
(2.ハードウェア構成)
次に、図2Aを用いて、本発明の一実施形態におけるゲートウェイのハードウェア構成について説明する。図2Aに示されるゲートウェイは、CPU200と、RAM202と、ROM204と、LANインタフェース206と、シリアルバスインターフェース208と、同期インタフェース210と、バス212を有する。
次に、図2Aを用いて、本発明の一実施形態におけるゲートウェイのハードウェア構成について説明する。図2Aに示されるゲートウェイは、CPU200と、RAM202と、ROM204と、LANインタフェース206と、シリアルバスインターフェース208と、同期インタフェース210と、バス212を有する。
CPU200は、当該ゲートウェイの動作制御を行うプログラムを実行する。RAM202は、CPU200のワークエリアを構成する。ROM204は、CPU200が実行するプログラムやプログラムが使用するデータを記憶する。LANインタフェース206は、例えばイーサネット(登録商標)のネットワークインターフェースを有する装置である。シリアルバスインターフェース208は、シリアル通信のためのインタフェースを有する装置である。デュアルポートインタフェース210は、デュアルポートRAMを介して通信するためのインタフェースを有する装置である。バス212は、上記装置を電気的に接続する。
上記構成を有するゲートウェイによって、LANに接続された安全コントローラと、シリアルバスに接続された安全ノードとが、安全通信を行うことができる。また、当該ゲートウェイを通じて、異なる通信路に接続された安全ノードと非安全ノードとが、通信することができる。
なお、シリアルバスインターフェース208及び/又はデュアルポートインタフェース210は、LANインタフェースで置き換えられてもよい。これによって、LAN通信のみによって、安全通信を行うことができる。
次に、図2Bを用いて、本発明の一実施形態における安全コントローラのハードウェア構成について説明する。図2Bに示される安全コントローラは、CPU220と、RAM222と、ROM224と、LANインタフェース226と、入力インタフェース228と、バス230を有する。
CPU220は、当該安全コントローラの動作制御を行うプログラムを実行する。RAM222は、CPU220のワークエリアを構成する。ROM224は、CPU220が実行するプログラムやプログラムが使用するデータを記憶する。LANインタフェース226は、例えばイーサネット(登録商標)のネットワークインターフェースを有する装置である。入力インタフェース228は、例えば外部の非常停止スイッチのような入力装置とのインタフェースを有する装置である。バス230は、上記装置を電気的に接続する。
上記構成を有するコントローラは、LANを介して安全ノードと安全通信を行うことができる。また、コントローラは、LANを介して非安全ノードと通信を行うこともできる。
次に、図2Cを用いて、本発明の一実施形態における安全ノードのハードウェア構成について説明する。図2Cに示される安全ノードは、CPU240と、RAM242と、ROM244と、第一シリアルバスインターフェース246と、第二シリアルバスインターフェース248と、バス250を有する。
CPU240は、当該安全ノードの動作制御を行うプログラムを実行する。RAM242は、CPU240のワークエリアを構成する。ROM244は、CPU240が実行するプログラムやプログラムが使用するデータを記憶する。第一シリアルバスインターフェース246及び第二シリアルバスインターフェース248は、シリアル通信のためのインタフェースを有する装置である。バス250は、上記装置を電気的に接続する。
上記構成を有する安全ノードは、ゲートウェイを介して、LANに接続された安全コントローラと、安全通信を行うことができる。また、安全ノードは、ゲートウェイを介して、非安全ノードと通信を行うことができる。また、安全ノードは、冗長構成として設けられた他の安全ノードとのシリアル通信を通して、安全コントローラと送受信したデータの照合を行うことができる。
なお、第二シリアルバスインターフェース248は任意の構成要素である。
また、第一シリアルバスインターフェース246及び/又は第二シリアルバスインターフェース248は、LANインタフェース又はデュアルポートインタフェースで置き換えられてもよい。
次に、図2Dを用いて、本発明の一実施形態における非安全ノードのハードウェア構成について説明する。図2Dに示される非安全ノードは、CPU260と、RAM262と、ROM264と、デュアルポートインタフェース266と、バス268を有する。
CPU260は、当該非安全ノードの動作制御を行うプログラムを実行する。RAM262は、CPU260のワークエリアを構成する。ROM264は、CPU260が実行するプログラムやプログラムが使用するデータを記憶する。デュアルポートインタフェース266は、デュアルポートRAMを介して通信するためのインタフェースを有する装置である。バス268は、上記装置を電気的に接続する。
上記構成を有する非安全ノードは、ゲートウェイを介して、LANに接続された安全コントローラと通信することができる。また、非安全ノードは、ゲートウェイを介して、安全ノードと通信を行うことができる。
なお、デュアルポートインタフェース266は、LANインタフェース又はシリアルバスインタフェースで置き換えられてもよい。
(3.機能構成)
次に、図3を用いて、本発明の一実施形態におけるシステムの機能ブロックについて説明する。当該システムは、安全コントローラ1と、LAN通信ノード2と、LAN3と、安全/非安全ゲートウェイ4と、安全ノード5と、安全通信路6と、非安全通信路7と、非安全ノード8と、データ管理テーブル9と、データ管理・照合テーブル10と、受信データ分離手段11と、非安全データ通信手段12と、安全データ分配・通信手段13と、送信振分手段14と、送信データ結合手段15と、通信インタフェース手段16と、安全通信手段17と、受信照合手段18と、アプリケーション19と、LAN通信インタフェース手段20を有する。
次に、図3を用いて、本発明の一実施形態におけるシステムの機能ブロックについて説明する。当該システムは、安全コントローラ1と、LAN通信ノード2と、LAN3と、安全/非安全ゲートウェイ4と、安全ノード5と、安全通信路6と、非安全通信路7と、非安全ノード8と、データ管理テーブル9と、データ管理・照合テーブル10と、受信データ分離手段11と、非安全データ通信手段12と、安全データ分配・通信手段13と、送信振分手段14と、送信データ結合手段15と、通信インタフェース手段16と、安全通信手段17と、受信照合手段18と、アプリケーション19と、LAN通信インタフェース手段20を有する。
安全コントローラ1は、LANを介して接続された安全/非安全ゲートウェイ4を通じて、安全ノード5及び非安全ノード8と通信する。安全コントローラ1は、IEC61784−3又はIEC62280に規定される、安全通信処理を行う。
LAN通信ノード2は、当該ノード宛のLAN通信フレームを受け取る。また、LAN通信ノード2は、当該ノードから発信するデータに基づいて、LAN通信フレームを作成する。
LAN3は、任意の通信プロトコルを使用可能なネットワークである。
安全/非安全ゲートウェイ4は、LAN通信インタフェース手段20を介して、LANと接続される。また、安全/非安全ゲートウェイ4は、シリアル通信、バス結合又はプロトコルの異なるLAN通信等により、安全ノードと接続される。また、安全/非安全ゲートウェイ4は、シリアル通信、バス結合又はプロトコルの異なるLAN通信等により、非安全ノードと接続される。
安全ノード5は、安全に関連するアプリケーションを実行する。また、安全ノード5は、シリアル通信、バス結合又はプロトコルの異なるLAN通信等により、安全/非安全ゲートウェイ4及び他の安全ノードと接続される。安全ノード5は、他の安全ノードとは、安全/非安全ゲートウェイ4を経由しないで接続されてもよい。
安全通信路6は、異なる安全ノードの間、又は安全ノード5と安全/非安全ゲートウェイ4との間に設けられる通信路である。安全通信路6には、シリアル通信、バス結合又はプロトコルの異なるLAN通信等を使用することができる。
非安全通信路7は、異なる非安全ノード間、又は非安全ノード8と安全/非安全ゲートウェイ4との間に設けられる通信路である。非安全通信路7には、シリアル通信、バス結合又はプロトコルの異なるLAN通信等を使用することができる。
非安全ノード8は、安全に関連しないアプリケーションを実行する。非安全ノード8は、シリアル通信、バス結合又はプロトコルの異なるLAN通信等により、安全/非安全ゲートウェイ4又は他の非安全ノードと接続される。
データ管理テーブル9は、安全/非安全ゲートウェイ4の処理に使用するデータを管理する。詳しくは後述する。
データ管理・照合テーブル10は、安全ノード5内の処理に使用するデータを管理する。詳しくは後述する。
受信データ分離手段11は、LAN通信インタフェース20を通じて受信した、安全/非安全ゲートウェイ4宛の受信データの内容を、safetyデータとnon−safetyデータに分離する。safetyデータは、安全データ分配・通信手段13に渡され、non−safetyデータは、非安全データ通信手段12に渡される。
非安全データ通信手段12は、受信データ分離手段11から渡されたデータと、送信振分手段14から渡されたデータを、予め定められたプロトコルを用いて、非安全ノード8に送信する。また、非安全データ通信手段12は、非安全ノード8から受信したデータを、送信振分手段14に渡す。
安全データ分配・通信手段13は、受信データ分離手段11から渡されたデータと、送信振分手段14から渡されたデータを、予め定められたプロトコルを用いて、安全ノード5に送信する。また、安全データ分配・通信手段13は、所定のアドレスから送信されたデータを複製して、複製されたデータをそれぞれ複数の安全ノード5に送信する。また、安全データ分配・通信手段13は、安全ノード5から受信したデータを、送信振分手段14に渡す。
送信振分手段14は、非安全データ通信手段12から受け取ったデータを、指定された宛先アドレスに基づいて、安全データ分配・通信手段13又は送信データ結合手段15に振り分ける。また、送信振分手段14は、安全データ分配・通信手段13から受け取ったデータを、指定された宛先アドレスに基づいて、非安全データ通信手段12又は送信データ結合手段15に振り分ける。
送信データ結合手段15は、送信振分手段14から受け取ったデータを結合して、LAN通信データを作成し、LAN通信インタフェース20に渡す。
通信インタフェース手段16は、全て通信処理に関するデータ、又は全てのアプリケーションに関するデータを、予め定められたプロトコルを用いて、安全ノード5又は安全/非安全ゲートウェイ4に送信する。また、通信インタフェース手段16は、安全ノード5又は安全/非安全ゲートウェイ4から受信したデータのうち、safetyデータを、安全通信手段17に渡し、non−safetyデータをアプリケーションに渡す。ここで、safetyデータの通信インタフェース手段と、non−safetyデータの通信インタフェ−ス手段は、安全通信の安全性を保つために、分離される。また、安全ノード5と安全/非安全ゲートウェイ4との間の安全通信路と、安全ノード間の安全通信路を分離する場合には、当該通信インタフェース手段16は、二つに分離されて設けられる。これによって、異なる通信のハードウェアインタフェースや通信プロトコルを使用することができる。
安全通信手段17は、safetyデータに対し、IEC61784−3又はIEC62280で規定される、安全通信処理を行う。なお、安全/非安全ゲートウェイ4との間で行われる安全通信処理と、他の安全ノードとの間で行われる安全通信処理は、安全通信路の安全度の柔軟性を保つため(すなわち、夫々の故障率が異なり、安全コードの式やビット数が異なるため)、分離され得る。
受信照合手段18は、受信したsafetyデータを、所定の他の安全ノードに転送する。また、受信照合手段18は、受信したsafetyデータを、所定の他の安全ノードで受信され、当該安全ノード5に転送されたsafetyデータと照合して、一致しているか確認する。照合結果は、アプリケーションに通知される。
アプリケーション19は、安全通信手段17から受け取ったsafetyデータや、受信照合手段18から受け取った照合結果や、通信インタフェース手段16から受け取ったnon−safetyデータを入力として、安全機能又は非安全機能を実行する。そして、アプリケーション19は、その結果を、safetyデータについては安全通信手段17に、non−safetyデータについては通信インタフェース手段16に出力する。
LANインタフェース手段20は、LAN通信伝文から安全/非安全ゲートウェイ4宛の伝文を取り出し、受信データ分離手段11に渡す。また、LANインタフェース手段20は、送信データ結合手段15から受け取ったデータに基づいてLAN通信伝文を作成し、宛先アドレスを安全コントローラ1のLAN通信ノード2に指定して、送信する。
以上の構成により、LANに接続された安全コントローラと、安全ノード及び非安全ノードとが、ゲートウェイを介して通信することができる。また、安全ノードと非安全ノードとが、ゲートウェイを介して通信することができる。また、安全ノードと非安全ノードとの通信として、シリアル通信、バス結合又はプロトコルの異なるLAN通信を用いることができ、通信の柔軟性が拡大する。また、安全通信路と非安全通信路を分離することにより、安全通信路が、非安全通信路の故障による影響を受けない利点がある。
(4.通信伝文)
次に、図4A−4Cを用いて、安全通信システムで用いられる通信伝文について説明する。
次に、図4A−4Cを用いて、安全通信システムで用いられる通信伝文について説明する。
図4Aは、LAN3で用いられる、LAN通信伝文の構成を表す。ヘッダ1は、通し番号のような、通信プロトコルで決められたデータを表す。宛先アドレスは、当該LAN通信伝文の送信先となる、ノード又はLAN通信インタフェースのアドレスを表す。送信元アドレス1は、当該LAN通信伝文の送信元となる、ノード又はLAN通信インタフェースのアドレスを表す。データ識別情報1は、フレームの識別番号を表す。通信データは、安全機能に関連しないnon−safetyデータ、及び安全機能に関連するsafetyデータの配列で構成される。フッタ1は、当該伝文のCRCコードを表す。
図4Bは、安全通信路6で用いられる、安全通信伝文の構成を表す。ヘッダ2は、通し番号のような、通信プロトコルで決められたデータを表す。宛先アドレス2と送信元アドレス2は、それぞれ、当該安全通信伝文の送信先アドレスと送信元アドレスを表す。データ識別情報2は、当該伝文が、安全通信伝文であることを示すコードである。宛先アドレス1、送信元アドレス1及びデータ識別情報1は、LAN通信伝文で指定された情報をそのまま格納することができる。宛先アドレス1、2、送信元アドレス1、2及びデータ識別情報1、2の詳細については、後述する。safetyデータは、データ部と安全情報で構成される。安全情報は、宛先アドレス、シーケンス番号、タイムスタンプ、安全コードを含む。フッタ2は、当該伝文の巡回冗長検査(CRC、Cyclic Redundancy Check)コードを表す。
図4Cは、安全通信路6又は非安全通信路7で用いられる、非安全通信伝文の構成を表す。基本的な構成は、図4Cで示した安全通信伝文と同様である。ここでは、データ識別情報2は、当該伝文が、非安全通信伝文であることを示すコードである。また、当該非安全通信伝文に含まれるnon−safetyデータには、安全情報が格納されない。
本発明の一実施形態における安全コントローラ1、安全/非安全ゲートウェイ4、安全ノード5及び非安全ノード8は、上記のような通信伝文を用いて、互いに通信を行うことができる。
(5.通信経路)
次に、図5A−5Cを用いて、安全コントローラ1と複数の安全ノードとの間の通信経路について説明する。
次に、図5A−5Cを用いて、安全コントローラ1と複数の安全ノードとの間の通信経路について説明する。
図5Aは、安全コントローラ1から安全ノード3へ送信される、safetyデータの通信経路を表す。安全/非安全ゲートウェイ4は、安全コントローラ1から受信したsafetyデータを、複数の安全ノードに振り分けて送信する。各安全ノードは、受信したsafetyデータを互いに照合し、一致しない場合には、異常が生じたものとして安全機能を実行する。図5Aの例では、安全コントローラ1は、個別の安全ノードに対して、safetyデータを送信する必要がない。このため、安全コントローラ1側が、安全ノードの数やアドレスの変更の影響を受けないという利点がある。
図5Bは、安全コントローラ1から安全ノード3へ送信される、safetyデータの通信経路の別の例を表す。図5Aの例と異なり、安全/非安全ゲートウェイ4は、複数の安全ノードへのsafetyデータを振り分けは行わない。代わりに、安全コントローラ1は、複数の安全ノードの宛先を指定する。図5Bの例では、安全/非安全ゲートウェイ4の負荷が抑えられるという利点がある。各安全ノードは、受信したsafetyデータを互いに照合し、一致しない場合には、異常が生じたものとして安全機能を実行する。
図5Cは、安全ノード3から安全コントローラ1へ送信される、safetyデータの通信経路の例を表す。安全コントローラ1は、複数の安全ノードから受信したsafetyデータを照合し、一致しない場合には異常が生じたものとして安全機能を実行する。
以上の構成によって、本発明の一実施形態における安全コントローラ1と安全ノード3は、安全/非安全ゲートウェイ4を通じて安全通信を行うことができる。また、安全/非安全ゲートウェイ4がsafetyデータを夫々安全ノードに振り分ける構成により、安全ノード3の数を容易に増加させることができる。
なお、安全ノードの数は2つに限定されず、1つ又は3つ以上であってもよい。
(6.データ管理テーブル)
次に、図6A−6Dを用いて、安全/非安全ゲートウェイ4で用いられるデータ管理テーブルについて説明する。
次に、図6A−6Dを用いて、安全/非安全ゲートウェイ4で用いられるデータ管理テーブルについて説明する。
図6Aは、安全/非安全ゲートウェイ4が、LAN3を経由して安全コントローラ1から受信する、通信データ構成を表す。この通信データ構成は、図4Aに示したLAN通信伝文の中の、通信データのnon−safetyデータとsafetyデータの並びを定義する。順序は、non−safetyデータとsafetyデータの並びの順序を表す。宛先アドレスは、当該データに含まれるnon−safetyデータ又はsafetyデータの夫々の宛先のアドレスを表す。通信データバイト数は、non−safetyデータ又はsafetyデータのバイト数を表す。種別は、当該データが、non−safetyデータかsafetyデータかを表し、例えば、「非安全」又は「安全」のような、ラベルを格納する。
図6Bは、LANを経由して、安全/非安全ゲートウェイ4から安全コントローラ1へ送信される、LAN送信通信データ構成を表す。このLAN送信通信データ構成は、図4Aに示したLAN通信伝文の中の、通信データのnon−safetyデータとsafetyデータの並びを定義する。順序は、non−safetyデータとsafetyデータの並びの順序を表す。送信元アドレスは、non−safetyデータ又はsafetyデータの送信元ノードのアドレスを示す。通信データバイト数は、non−safetyデータ又はsafetyデータのバイト数を示す。
図6Cは、安全/非安全ゲートウェイ4が、safetyデータを、冗長化された複数の安全ノードにコピーして分配するための、安全データ分配構成を表す。分配前アドレスは、安全/非安全ゲートウェイ4の受信データ分離手段11で用いられる、分配前の宛先アドレスを表す。分配後アドレスは、冗長化された、複数の安全ノードの夫々の宛先アドレスを表す。
図6Dは、送信振分手段14が、安全/非安全ゲートウェイ4から安全通信路6にデータを送信する場合、安全/非安全ゲートウェイ4から非安全通信路にデータを送信する場合、又は、振り分けを行う場合に使用される、送信振分構成を表す。宛先アドレスは、データの送信先の宛先アドレスを示す。種別は、データが非安全通信路7へ送信されるか、安全通信路6へ送信されるかを表し、例えば「非安全」又は「安全」のようなラベルで現される。
以上のデータ管理テーブルにより、安全/非安全ゲートウェイ4は、安全コントローラ1と、安全ノード5と、非安全ノード8との間の通信を管理することができる。
次に、図7A、7Bを用いて、安全ノード5で用いられるデータ管理・照合テーブルについて説明する。
図7Aは、安全ノードからデータを送信する場合に、宛先ノードが、安全ノードか、又は非安全ノードかを識別するために使用される、送信振分構成を表す。宛先アドレスは、データの送信先の宛先アドレスを示す。種別は、当該データの送信が、安全/非安全ゲートウェイを経由して非安全通信路7になされるか、又は安全通信路6を経由して安全ノードになされるかを表し、例えば「非安全」又は「安全」のラベルで表される。
図7Bは、安全ノード間でsafetyデータを照合する場合に使用される、照合テーブルである。照合送信元アドレスは、safetyデータの送信元である、安全コントローラのアドレスを表す。照合先アドレスは、safetyデータを照合する、相手先の安全ノードのアドレスを表す。
以上のデータ管理・照合テーブルにより、安全ノード5は、安全コントローラ1、安全/非安全ゲートウェイ4、他の安全ノード、及び非安全ノード8と通信することができる。
(7.処理フロー)
次に、図8A−12Bを用いて、安全/非安全ゲートウェイ4の処理について詳細に説明する。
次に、図8A−12Bを用いて、安全/非安全ゲートウェイ4の処理について詳細に説明する。
(7.1 受信データ分離処理)
図8Aは、受信データ分離手段11による処理のフローチャートを表す。また、図8Bは、安全データ分配・通信手段13又は非安全データ通信手段12に渡されるデータの構成を表す。図8Bにおいて、網掛けの部分は、受信データ分離手段11によって、追加又は分離されるデータを表す。なお、受信データ分離手段11による処理は、定周期で実行される。
−ステップS801:図6Aに示した、データ管理テーブル9のLAN受信通信データ構成を読み込む。
−ステップS802:LAN通信インタフェース手段20から、安全/非安全ゲートウェイ4宛の通信データを読み込む。ここでは、宛先アドレス1から通信データまでの通信データを読み込む。
−ステップS803:LAN受信通信データ構成に従って、safetyデータとnon−safetyデータを、宛先アドレス別に分割する。分割されたsafetyデータ又はnon−safetyデータの前に、送信元アドレス1、データ種別情報1の内容を、そのまま付加する。また、宛先アドレス1に、LAN受信通信データ構成の「宛先アドレス」を書き込む。
−ステップS804:LAN受信通信データ構成に従って、宛先アドレス2、送信元アドレス2、データ識別情報2及びフッタ2を、分割したsafetyおよびnon−safetyデータのそれぞれに付加する。また、LAN受信通信データ構成の「宛先アドレス」を、宛先アドレス2に書き込む。
−ステップS805:安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込む。また、安全/非安全の情報を、データ識別情報2に書き込む。さらに、伝文のCRCコードを計算して、フッタ2に書き込む。次に、LAN受信通信データ構成に従って、「種別」が「安全」のものを安全データ分配・通信手段13に渡し、「種別」が「非安全」のものを非安全データ通信手段12に渡す。
図8Aは、受信データ分離手段11による処理のフローチャートを表す。また、図8Bは、安全データ分配・通信手段13又は非安全データ通信手段12に渡されるデータの構成を表す。図8Bにおいて、網掛けの部分は、受信データ分離手段11によって、追加又は分離されるデータを表す。なお、受信データ分離手段11による処理は、定周期で実行される。
−ステップS801:図6Aに示した、データ管理テーブル9のLAN受信通信データ構成を読み込む。
−ステップS802:LAN通信インタフェース手段20から、安全/非安全ゲートウェイ4宛の通信データを読み込む。ここでは、宛先アドレス1から通信データまでの通信データを読み込む。
−ステップS803:LAN受信通信データ構成に従って、safetyデータとnon−safetyデータを、宛先アドレス別に分割する。分割されたsafetyデータ又はnon−safetyデータの前に、送信元アドレス1、データ種別情報1の内容を、そのまま付加する。また、宛先アドレス1に、LAN受信通信データ構成の「宛先アドレス」を書き込む。
−ステップS804:LAN受信通信データ構成に従って、宛先アドレス2、送信元アドレス2、データ識別情報2及びフッタ2を、分割したsafetyおよびnon−safetyデータのそれぞれに付加する。また、LAN受信通信データ構成の「宛先アドレス」を、宛先アドレス2に書き込む。
−ステップS805:安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込む。また、安全/非安全の情報を、データ識別情報2に書き込む。さらに、伝文のCRCコードを計算して、フッタ2に書き込む。次に、LAN受信通信データ構成に従って、「種別」が「安全」のものを安全データ分配・通信手段13に渡し、「種別」が「非安全」のものを非安全データ通信手段12に渡す。
(7.2 非安全データ通信処理)
図9Aは、非安全通信手段12による処理のフローチャートを表す。また、図9Bは、非安全ノード8と安全/非安全ゲートウェイ4との間の通信のに関する、通信伝文の構成を表す。また、図9Cは、非安全通信手段12から送信振分手段14に渡されるデータの構成を表す。なお、非安全通信手段12による処理は、定周期で実行される。
−ステップS901:受信データ分離手段11から受信データを読み込む。
−ステップS902:送信振分処理手段14から非安全データ通信のデータを読み込む。なお、送信振分処理手段14から渡されるデータについては、後述する。
−ステップS903:宛先アドレス2、送信元アドレス2及びデータ識別情報2を、ステップS902で読み込んだデータに追加する。宛先アドレス1のデータを、宛先アドレス2に書き込み、安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報を、データ識別情報2に書き込む。また、伝文のCRCコードを計算し、フッタ2に書き込む。
−ステップS904:通信プロトコルに応じた、通し番号等のヘッダを付加する。
−ステップS905:宛先アドレスと通信プロトコルに従い、非安全ノード8と通信を行う。
−ステップS906:非安全ノード8から受信したデータを送信振分手段14へ渡す。
図9Aは、非安全通信手段12による処理のフローチャートを表す。また、図9Bは、非安全ノード8と安全/非安全ゲートウェイ4との間の通信のに関する、通信伝文の構成を表す。また、図9Cは、非安全通信手段12から送信振分手段14に渡されるデータの構成を表す。なお、非安全通信手段12による処理は、定周期で実行される。
−ステップS901:受信データ分離手段11から受信データを読み込む。
−ステップS902:送信振分処理手段14から非安全データ通信のデータを読み込む。なお、送信振分処理手段14から渡されるデータについては、後述する。
−ステップS903:宛先アドレス2、送信元アドレス2及びデータ識別情報2を、ステップS902で読み込んだデータに追加する。宛先アドレス1のデータを、宛先アドレス2に書き込み、安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報を、データ識別情報2に書き込む。また、伝文のCRCコードを計算し、フッタ2に書き込む。
−ステップS904:通信プロトコルに応じた、通し番号等のヘッダを付加する。
−ステップS905:宛先アドレスと通信プロトコルに従い、非安全ノード8と通信を行う。
−ステップS906:非安全ノード8から受信したデータを送信振分手段14へ渡す。
(7.3 安全データ分配・通信処理)
図10Aは、安全データ分配・通信手段13による処理のフローチャートを表す。また、図10Bは、安全ノード5と安全/非安全ゲートウェイ4との間の通信に用いられる通信伝文の構成を表す。また、図10Cは、安全データ分配・通信手段13から送信振分手段14に渡される、データの構成を示す。なお、安全データ分配・通信手段13による処理は、定周期で実行される。以下のステップ1001−1007は、安全/非安全ゲートウェイ4から安全ノード5になされる通信処理を表し、ステップ1007−1008は、安全ノード5から安全/非安全ゲートウェイ4になされる通信処理を表す。
−ステップS1001:受信データ分離手段11から、受信データを読み込む。
−ステップS1002:送信振分手段14から、非安全データ通信のデータを読み込む。
−ステップS1003:宛先アドレス2、送信元アドレス2、データ識別情報2を、ステップS1002で読み込んだデータに追加する。宛先アドレス1のデータを、宛先アドレス2に書き込み、安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報を、データ識別情報2に書き込む。また、伝文のCRCコードを計算し、フッタ2に書き込む。
−ステップS1004:データ管理テーブル9の安全データ分配構成を読み込む。
−ステップS1005:安全データ分配構成に従って、宛先アドレスを、分配後アドレスに書き換える。さらに、フッタのCRCコードを再計算し、書き換える。
−ステップS1006:通信プロトコルに応じて、通し番号等のヘッダを付加する。
−ステップS1007:宛先アドレスと通信プロトコルに従って、通信を行う。
−ステップS1008:宛先アドレス2が自局の場合には、安全ノード5から受信したデータを送信振分手段14に渡す。宛先アドレス2が自局でない場合には、当該通信伝文を宛先アドレス2のアドレスに送信する。
図10Aは、安全データ分配・通信手段13による処理のフローチャートを表す。また、図10Bは、安全ノード5と安全/非安全ゲートウェイ4との間の通信に用いられる通信伝文の構成を表す。また、図10Cは、安全データ分配・通信手段13から送信振分手段14に渡される、データの構成を示す。なお、安全データ分配・通信手段13による処理は、定周期で実行される。以下のステップ1001−1007は、安全/非安全ゲートウェイ4から安全ノード5になされる通信処理を表し、ステップ1007−1008は、安全ノード5から安全/非安全ゲートウェイ4になされる通信処理を表す。
−ステップS1001:受信データ分離手段11から、受信データを読み込む。
−ステップS1002:送信振分手段14から、非安全データ通信のデータを読み込む。
−ステップS1003:宛先アドレス2、送信元アドレス2、データ識別情報2を、ステップS1002で読み込んだデータに追加する。宛先アドレス1のデータを、宛先アドレス2に書き込み、安全/非安全ゲートウェイ4のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報を、データ識別情報2に書き込む。また、伝文のCRCコードを計算し、フッタ2に書き込む。
−ステップS1004:データ管理テーブル9の安全データ分配構成を読み込む。
−ステップS1005:安全データ分配構成に従って、宛先アドレスを、分配後アドレスに書き換える。さらに、フッタのCRCコードを再計算し、書き換える。
−ステップS1006:通信プロトコルに応じて、通し番号等のヘッダを付加する。
−ステップS1007:宛先アドレスと通信プロトコルに従って、通信を行う。
−ステップS1008:宛先アドレス2が自局の場合には、安全ノード5から受信したデータを送信振分手段14に渡す。宛先アドレス2が自局でない場合には、当該通信伝文を宛先アドレス2のアドレスに送信する。
(7.4 送信振分処理)
図11Aは、送信振分手段14による処理のフローチャートを表す。また、図11Bは、送信振分手段14が扱うデータの構成を示す。なお、送信振分手段14による処理は、定周期で実行される。
−S1101:データ管理テーブル9の送信振分構成を読み込む。
−S1102:安全データ分配・通信手段13及び非安全データ通信手段12から渡されたデータを読み込む。
−S1103:送信振分構成の「宛先アドレス」に合致したデータで、「種別」が安全のものを、安全データ分配・通信手段13に渡す。
−S1104:送信振分構成の「宛先アドレス」に合致したデータで、「種別」が非安全のものを、非安全データ通信手段12に渡す。
−S1105:送信振分構成の「宛先アドレス」に合致しないデータを、送信データ結合手段15に渡す。
図11Aは、送信振分手段14による処理のフローチャートを表す。また、図11Bは、送信振分手段14が扱うデータの構成を示す。なお、送信振分手段14による処理は、定周期で実行される。
−S1101:データ管理テーブル9の送信振分構成を読み込む。
−S1102:安全データ分配・通信手段13及び非安全データ通信手段12から渡されたデータを読み込む。
−S1103:送信振分構成の「宛先アドレス」に合致したデータで、「種別」が安全のものを、安全データ分配・通信手段13に渡す。
−S1104:送信振分構成の「宛先アドレス」に合致したデータで、「種別」が非安全のものを、非安全データ通信手段12に渡す。
−S1105:送信振分構成の「宛先アドレス」に合致しないデータを、送信データ結合手段15に渡す。
(7.5 送信データ結合処理)
図12Aは、送信データ結合手段15による処理のフローチャートを表す。また、図12Bは、LAN通信インタフェース手段に渡されるデータの構成を示す。なお、送信データ結合手段15による処理は、定周期で実行される。
−S1201:データ管理テーブル9のLAN送信通信データ構成を読み込む。
−S1202:送信振分手段14から渡されたデータを読み込む。
−S1203:LAN受信送信データ構成に従って、データを通信データ構成に埋め込む。
−S1204:送信元アドレス1、データ識別情報1及びフッタ1を追加する。安全/非安全ゲートウェイ4のアドレスを送信元アドレス1に書き込み、フレームID等の情報をデータ識別情報1に書き込む。また、伝文のCRCコードを再計算し、フッタ1に書き込む。
−S1205:データをLAN通信インタフェース手段20に渡す。
図12Aは、送信データ結合手段15による処理のフローチャートを表す。また、図12Bは、LAN通信インタフェース手段に渡されるデータの構成を示す。なお、送信データ結合手段15による処理は、定周期で実行される。
−S1201:データ管理テーブル9のLAN送信通信データ構成を読み込む。
−S1202:送信振分手段14から渡されたデータを読み込む。
−S1203:LAN受信送信データ構成に従って、データを通信データ構成に埋め込む。
−S1204:送信元アドレス1、データ識別情報1及びフッタ1を追加する。安全/非安全ゲートウェイ4のアドレスを送信元アドレス1に書き込み、フレームID等の情報をデータ識別情報1に書き込む。また、伝文のCRCコードを再計算し、フッタ1に書き込む。
−S1205:データをLAN通信インタフェース手段20に渡す。
(7.6 通信インタフェース処理)
次に、図13A−16Cを用いて、安全ノード5の処理について詳細に説明する。
次に、図13A−16Cを用いて、安全ノード5の処理について詳細に説明する。
図13Aは、通信インタフェース手段16による処理のフローチャートを表す。また、図13Bは、安全通信手段17とアプリケーション19との間で用いられるデータの構成を表す。図13Cは、通信伝文の構成を表す。なお、通信インタフェース手段16による処理は、定周期で実行される。以下のステップS1301−1303は、通信インタフェース手段16から安全/非安全ゲートウェイ4又は他の安全ノードになされる通信処理を表す。また、ステップS1303−1304は、安全/非安全ゲートウェイ4又は他の安全ノードから通信インタフェース手段16になされる通信処理を表す。
−S1301:安全通信手段17から安全通信データを読み込む。また、アプリケーション19から、非安全通信データを読み込む。
−S1302:ステップS1301で読み込んだデータに、宛先アドレス2、送信元アドレス2、及びデータ識別情報2を追加する。宛先アドレス1が他の安全ノードである場合には、その安全ノードのアドレスを、宛先アドレス2に書き込む。又は、宛先アドレス1が安全ノード以外である場合には、安全/非安全ゲートウェイ4のアドレスを、宛先アドレス2に書き込む。また、当該安全ノード5のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報をデータ識別情報2に書き込む。さらに、伝文のCRCコードを計算し、フッタ2に書き込む。宛先アドレス1が安全ノードであるかどうかの識別は、データ管理・照合テーブル10の送信振分構成を参照することによって行われる。
−S1303:宛先アドレスと通信プロトコルに従って、安全/非安全ゲートウェイ4又は他の安全ノードと通信を行う。
−S1304:安全/非安全ゲートウェイ4から受信したデータに含まれる、データ識別情報2の安全/非安全の情報が、安全である場合には、当該データを安全通信手段17に渡し、非安全である場合には、当該データをアプリケーション19に渡す。
−S1301:安全通信手段17から安全通信データを読み込む。また、アプリケーション19から、非安全通信データを読み込む。
−S1302:ステップS1301で読み込んだデータに、宛先アドレス2、送信元アドレス2、及びデータ識別情報2を追加する。宛先アドレス1が他の安全ノードである場合には、その安全ノードのアドレスを、宛先アドレス2に書き込む。又は、宛先アドレス1が安全ノード以外である場合には、安全/非安全ゲートウェイ4のアドレスを、宛先アドレス2に書き込む。また、当該安全ノード5のアドレスを、送信元アドレス2に書き込み、安全/非安全の情報をデータ識別情報2に書き込む。さらに、伝文のCRCコードを計算し、フッタ2に書き込む。宛先アドレス1が安全ノードであるかどうかの識別は、データ管理・照合テーブル10の送信振分構成を参照することによって行われる。
−S1303:宛先アドレスと通信プロトコルに従って、安全/非安全ゲートウェイ4又は他の安全ノードと通信を行う。
−S1304:安全/非安全ゲートウェイ4から受信したデータに含まれる、データ識別情報2の安全/非安全の情報が、安全である場合には、当該データを安全通信手段17に渡し、非安全である場合には、当該データをアプリケーション19に渡す。
(7.7 安全通信処理)
図14Aは、安全通信手段17による処理のフローチャートを表す。また、図14Bは、安全通信手段17と通信インタフェース手段16との間、安全通信手段17とアプリケーション手段16との間、及び安全通信手段17と受信照合手段18との間でやりとりされるデータの構成を示す。なお、安全通信手段17は、定周期で実行される。以下のステップS1401−1403は、通信インタフェース手段16から安全通信手段17になされる処理を表す。ステップS1404−1405は、安全通信手段17から通信インタフェース手段16になされる処理を表す。
−S1401:通信インタフェース手段16からデータを読み込む。
−S1402:safetyデータの安全情報を用いて、safetyデータの安全性をチェックする。以下に、安全性のチェックの例を示す。
シーケンス番号を確認し、正しい順番でデータを受け取っているか確認する
タイムスタンプを確認し、許容時間内に更新されているか確認する
宛先アドレスを確認し、メッセージの宛先が正しいか確認する
安全コードを確認し、safetyデータの完全性を確認する
−S1403:通信インタフェース手段16から受け取ったデータを、アプリケーション19及び受信照合手段18に渡す。
−S1404:アプリケーション19及び受信照合手段18からデータを読み込む。
−S1405:シーケンス番号、タイムスタンプ、安全コードをsafetyデータに付加する。また、伝文のCRCコードを再計算し、フッタ1に書き込む。
図14Aは、安全通信手段17による処理のフローチャートを表す。また、図14Bは、安全通信手段17と通信インタフェース手段16との間、安全通信手段17とアプリケーション手段16との間、及び安全通信手段17と受信照合手段18との間でやりとりされるデータの構成を示す。なお、安全通信手段17は、定周期で実行される。以下のステップS1401−1403は、通信インタフェース手段16から安全通信手段17になされる処理を表す。ステップS1404−1405は、安全通信手段17から通信インタフェース手段16になされる処理を表す。
−S1401:通信インタフェース手段16からデータを読み込む。
−S1402:safetyデータの安全情報を用いて、safetyデータの安全性をチェックする。以下に、安全性のチェックの例を示す。
シーケンス番号を確認し、正しい順番でデータを受け取っているか確認する
タイムスタンプを確認し、許容時間内に更新されているか確認する
宛先アドレスを確認し、メッセージの宛先が正しいか確認する
安全コードを確認し、safetyデータの完全性を確認する
−S1403:通信インタフェース手段16から受け取ったデータを、アプリケーション19及び受信照合手段18に渡す。
−S1404:アプリケーション19及び受信照合手段18からデータを読み込む。
−S1405:シーケンス番号、タイムスタンプ、安全コードをsafetyデータに付加する。また、伝文のCRCコードを再計算し、フッタ1に書き込む。
(7.8 受信照合処理)
図15Aは、受信照合手段18による処理のフローチャートを表す。また、図15Bは、受信照合手段18と通信インタフェース手段との間、受信照合手段18とアプリケーション19との間、及び受信照合手段18と他の安全ノードの受信照合手段18との間においてやりとりされる、データの構成を表す。なお、受信照合手段18は、定周期で実行される。以下のステップS1502は、受信照合手段18から照合先になされる送信処理を表す。ステップS1503−1505は、照合先から受信照合手段18になされる受信処理を表す。
−S1501:安全通信手段17からデータを読み込む。
−S1502:送信元アドレス1が、図7Bの照合テーブルにおける照合送信元アドレスと一致する場合には、当該安全ノード以外の照合先アドレスを宛先アドレス1に書き込む。さらに、当該安全ノードのアドレスを送信元アドレス1に書き込む。そして、照合のために、安全通信手段17へデータを渡し、照合先への送信を依頼する。
−S1503:送信元アドレス1が、図7Bの照合テーブルにおける照合先アドレスと一致する場合には、当該処理より前に、安全通信手段17から、データ送信元アドレス1が同テーブルにおける照合送信元アドレスと一致し、かつ、データ識別情報1が同じものを受け取ったかどうか確認する。
−S1504:ステップS1503において、データ識別情報1が同じものを以前に受け取っている場合には、safetyデータを照合する。照合の結果、一致した場合には、正常であることをアプリケーション19に通知する。照合の結果、一致しない場合には、異常であることをアプリケーション19に通知する。指定した時間内に照合データを受信しなかった場合には、タイムオーバである旨をアプリケーション19に通知する。
図15Aは、受信照合手段18による処理のフローチャートを表す。また、図15Bは、受信照合手段18と通信インタフェース手段との間、受信照合手段18とアプリケーション19との間、及び受信照合手段18と他の安全ノードの受信照合手段18との間においてやりとりされる、データの構成を表す。なお、受信照合手段18は、定周期で実行される。以下のステップS1502は、受信照合手段18から照合先になされる送信処理を表す。ステップS1503−1505は、照合先から受信照合手段18になされる受信処理を表す。
−S1501:安全通信手段17からデータを読み込む。
−S1502:送信元アドレス1が、図7Bの照合テーブルにおける照合送信元アドレスと一致する場合には、当該安全ノード以外の照合先アドレスを宛先アドレス1に書き込む。さらに、当該安全ノードのアドレスを送信元アドレス1に書き込む。そして、照合のために、安全通信手段17へデータを渡し、照合先への送信を依頼する。
−S1503:送信元アドレス1が、図7Bの照合テーブルにおける照合先アドレスと一致する場合には、当該処理より前に、安全通信手段17から、データ送信元アドレス1が同テーブルにおける照合送信元アドレスと一致し、かつ、データ識別情報1が同じものを受け取ったかどうか確認する。
−S1504:ステップS1503において、データ識別情報1が同じものを以前に受け取っている場合には、safetyデータを照合する。照合の結果、一致した場合には、正常であることをアプリケーション19に通知する。照合の結果、一致しない場合には、異常であることをアプリケーション19に通知する。指定した時間内に照合データを受信しなかった場合には、タイムオーバである旨をアプリケーション19に通知する。
(7.9 アプリケーション処理)
図16Aは、アプリケーション19による処理のフローチャートを表す。また、図16Bは、安全送受信データの構成を表す。また、図16Cは、非安全送受信データの構成を示す。なお、アプリケーション19は、定周期で実行される。
−S1601:安全通信手段17からデータを読み込む。
−S1602:safetyデータに対応した安全機能の処理を行う。
−S1603:受信照合手段18からデータを読み込む。
−S1604:照合結果が正常である場合には、その旨を記録する。照合結果が異常である場合には、異常に対応したリアクションとして、システム停止などの安全状態に移行する。照合結果がタイムオーバである場合には、照合先異常とし、リアクションとして、片肺運転などの安全状態に移行する。
−S1605:通信インタフェース手段16からデータを読み込む。
−S1606:non−safetyデータに対応した非安全機能の処理を行う。
−S1607:安全機能の処理のアウトプットによる安全送信データを作成し、安全通信手段17へ送信を依頼する。なお、安全送信データのフッタ1は空欄とする。(安全通信手段17における処理により、フッタ1のデータが作成される。)
−S1608:安全機能/非安全機能の処理のアウトプットによる非安全送信データを作成し、通信インタフェース手段16に対して送信を依頼する。必要に応じて、非安全通信データのフッタ1を付加する。なお、非安全通信データの場合には、通信データのCRCコードは必須ではない。
図16Aは、アプリケーション19による処理のフローチャートを表す。また、図16Bは、安全送受信データの構成を表す。また、図16Cは、非安全送受信データの構成を示す。なお、アプリケーション19は、定周期で実行される。
−S1601:安全通信手段17からデータを読み込む。
−S1602:safetyデータに対応した安全機能の処理を行う。
−S1603:受信照合手段18からデータを読み込む。
−S1604:照合結果が正常である場合には、その旨を記録する。照合結果が異常である場合には、異常に対応したリアクションとして、システム停止などの安全状態に移行する。照合結果がタイムオーバである場合には、照合先異常とし、リアクションとして、片肺運転などの安全状態に移行する。
−S1605:通信インタフェース手段16からデータを読み込む。
−S1606:non−safetyデータに対応した非安全機能の処理を行う。
−S1607:安全機能の処理のアウトプットによる安全送信データを作成し、安全通信手段17へ送信を依頼する。なお、安全送信データのフッタ1は空欄とする。(安全通信手段17における処理により、フッタ1のデータが作成される。)
−S1608:安全機能/非安全機能の処理のアウトプットによる非安全送信データを作成し、通信インタフェース手段16に対して送信を依頼する。必要に応じて、非安全通信データのフッタ1を付加する。なお、非安全通信データの場合には、通信データのCRCコードは必須ではない。
以上の通り、本発明の一実施形態においては、安全通信システムに含まれる安全ノード及び非安全ノードの、LANとのインタフェースに、LAN通信ノードではなく、安全/非安全ゲートウェイを設ける。これにより、安全ノードの通信路と非安全ノードの通信路が分離される。その結果、LAN通信のノード数を削減でき、コスト削減が可能となる。また、安全ノードおよび非安全ノードが、シリアル通信や、バス結合や、プロトコルの異なるLAN通信を使用することができ、通信の柔軟性が拡大する。さらに、安全ノードの通信路と非安全ノードの通信路の分離によって、安全通信路が、非安全通信路の故障による影響を受けなくなり、可用性が向上する。さらに、安全ノード数を容易に増加することができ、安全ノードの拡張性が向上する。
1 安全コントローラ
2 LAN通信ノード
3 LAN
4 安全/非安全ゲートウェイ
5 安全ノード
6 安全通信路
7 非安全通信路
8 非安全ノード
9 データ管理テーブル
10 データ管理・照合テーブル
11 受信データ分離手段
12 非安全データ通信手段
13 安全データ分配・通信手段
14 送信振分手段
15 送信データ結合手段
16 通信インタフェース手段
17 安全通信手段
18 受信照合手段
19 アプリケーション
20 LAN通信インタフェース手段
2 LAN通信ノード
3 LAN
4 安全/非安全ゲートウェイ
5 安全ノード
6 安全通信路
7 非安全通信路
8 非安全ノード
9 データ管理テーブル
10 データ管理・照合テーブル
11 受信データ分離手段
12 非安全データ通信手段
13 安全データ分配・通信手段
14 送信振分手段
15 送信データ結合手段
16 通信インタフェース手段
17 安全通信手段
18 受信照合手段
19 アプリケーション
20 LAN通信インタフェース手段
Claims (8)
- 安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信するゲートウェイであって、
LANを通じて前記安全コントローラと通信を行うインタフェースと、
前記インタフェースを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する、
ゲートウェイ。 - 前記複数の安全ノードに送信された前記データは、前記複数の安全ノードの間で照合され、前記照合の結果に基づいて異常状態が検出される、
請求項1に記載のゲートウェイ。 - 前記安全通信路及び前記非安全通信路は独立して設けられる、
請求項1又は2に記載のゲートウェイ。 - 前記安全通信路はシリアルバスによって構成され、前記非安全通信路はデュアルポートRAMを用いて構成される、
請求項3に記載のゲートウェイ。 - 前記安全通信路及び前記非安全通信路は夫々LANを構成する、
請求項3に記載のゲートウェイ。 - 安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと、ゲートウェイを有するシステムであって、
前記安全コントローラは、
LANを通じて前記ゲートウェイと通信を行う第一インタフェース
を有し、
前記ゲートウェイは、
前記安全コントローラと通信を行う第二インタフェースと、
前記第二インタフェースを通じて前記安全コントローラから受信した、所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離手段と、
安全通信路を通じて前記安全ノードと通信する安全データ通信手段と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信手段と、
を有し、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合して、前記安全コントローラに送信し、
前記安全ノードは、
前記安全通信路を通じて前記ゲートウェイと通信する第三インタフェース
を有し、
前記非安全ノードは、
前記非安全通信路を通じて前記ゲートウェイと通信する第四インタフェース
を有し、
前記安全データ通信手段は、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する、
システム。 - 安全機能処理を行う安全ノードと、該安全ノードを制御する安全コントローラと、安全機能処理を行わない非安全ノードと通信する方法であって、
LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、前記安全ノード宛のデータ又は前記非安全ノード宛のデータに分離する、受信データ分離段階と、
安全通信路を通じて前記安全ノードと通信する安全データ通信段階と、
非安全通信路を通じて前記非安全ノードと通信する非安全データ通信段階と、
前記安全ノードから前記安全通信路を通じて受信したデータ又は前記非安全ノードから前記非安全通信路を通じて受信したデータを、前記所定のフォーマットに結合する結合段階と、
結合された前記データを前記安全コントローラに送信する送信段階と、
を有し、
前記安全データ通信段階では、前記安全ノード宛のデータを複製して複数の安全ノードに夫々送信する、方法。 - 安全機能処理を行う安全ノードを制御する安全コントローラから受信したデータに基づいて異常状態を検知する方法であって、
ゲートウェイが、LANを通じて前記安全コントローラから受信した所定のフォーマットのデータを、安全ノード宛のデータ又は非安全ノード宛のデータに分離する、受信データ分離段階と、
前記ゲートウェイが、前記安全ノード宛のデータを複製する複製段階と、
前記ゲートウェイが、複製した前記データを、前記非安全ノードが接続された非安全通信路と異なる安全通信路を通じて、複数の安全ノードに夫々送信するデータ送信段階と、
前記複数の安全ノードの一が、前記ゲートウェイから受信した前記データと、該安全ノードと異なる他の安全ノードが受信した前記データとを照合する照合段階と、
前記複数の安全ノードの一が、前記照合の結果に基づいて異常状態を検出する検出段階と、
を有する、方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012059468A JP5949003B2 (ja) | 2012-03-15 | 2012-03-15 | ゲートウェイ、システム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012059468A JP5949003B2 (ja) | 2012-03-15 | 2012-03-15 | ゲートウェイ、システム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013196058A JP2013196058A (ja) | 2013-09-30 |
| JP5949003B2 true JP5949003B2 (ja) | 2016-07-06 |
Family
ID=49394991
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012059468A Expired - Fee Related JP5949003B2 (ja) | 2012-03-15 | 2012-03-15 | ゲートウェイ、システム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5949003B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6221605B2 (ja) * | 2013-10-08 | 2017-11-01 | 富士電機株式会社 | 安全制御装置および安全制御システム |
| JP6375728B2 (ja) * | 2014-07-01 | 2018-08-22 | 富士電機株式会社 | 安全制御装置および安全制御システム |
| DE102014112704B3 (de) * | 2014-09-03 | 2015-12-03 | Phoenix Contact Gmbh & Co. Kg | Netzwerksystem und Netzwerkteilnehmer zur Datenübertragung über eine Cloud-Infrastruktur und Verfahren zur Einrichtung |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7162311B2 (en) * | 2001-05-31 | 2007-01-09 | Omron Corporation | Safety network system, safety slaves unit, safety controller and communication method and information collecting method and monitoring method for the safety network system |
| JP2006164143A (ja) * | 2004-12-10 | 2006-06-22 | Yokogawa Electric Corp | プラント制御システム |
| EP2026147A1 (de) * | 2007-08-13 | 2009-02-18 | Siemens Aktiengesellschaft | Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät |
| JP5494255B2 (ja) * | 2010-06-07 | 2014-05-14 | 富士電機株式会社 | 安全制御システム |
-
2012
- 2012-03-15 JP JP2012059468A patent/JP5949003B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013196058A (ja) | 2013-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008245062A (ja) | 通信システム、中継器、中継方法 | |
| CN104506513B (zh) | 防火墙流表备份方法、防火墙及防火墙系统 | |
| CN103454992B (zh) | 网络设备、网络装置和用于运行网络装置的方法 | |
| CN101692178A (zh) | 用于互连模块的方法和设备 | |
| CN102055794A (zh) | 飞行器通信系统及飞行器 | |
| JP5949003B2 (ja) | ゲートウェイ、システム及び方法 | |
| CA2952045A1 (en) | System, method, and apparatus for generating vital messages on an on-board system of a vehicle | |
| CN110780615A (zh) | 在高可用性工业控制系统上传输数据的系统和方法 | |
| CN107005593B (zh) | 用于借助于以太网标准在机动车辆中传输安全相关数据的方法和控制设备 | |
| US20100082875A1 (en) | Transfer device | |
| EP3185489B1 (en) | Communication device, communication system and communication method | |
| CN101385282B (zh) | 用于安全相关过程总线连接的方法和装置 | |
| CN105637811A (zh) | 语义消重 | |
| JP2021048623A (ja) | 少なくとも1つの安全なプロデューサーと少なくとも1つの安全なコンシューマーとの間のデータ伝送 | |
| CN109391531B (zh) | 计算机网络中的容错消息传输的方法及计算机网络 | |
| CN112953897B (zh) | 一种基于云计算设备的列控系统边缘安全节点的实现方法 | |
| JP2009224866A (ja) | スタック構成の障害検出装置、障害検出システム、障害検出方法及びプログラム | |
| CN101510901B (zh) | 一种分布式设备间的通信方法、通信设备和通信系统 | |
| EP2882169B1 (en) | Redundant content bridging between substation communication networks | |
| JP2010239494A (ja) | ゲートウェイシステム | |
| CN101478428A (zh) | 软硬件协同的以太网故障安全通信系统和数据传输方法 | |
| US20130227039A1 (en) | Method for carrying out a communication | |
| JP2005269004A (ja) | 多重ループ型ネットワークの故障箇所判定方法、多重ループ型ネットワーク、ノード装置 | |
| JP2015065610A (ja) | 伝送システム、伝送装置および伝送方法 | |
| JP5320571B2 (ja) | ノード間データ応答システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160202 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160325 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160510 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160523 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5949003 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |