WO2022000716A1 - 一种工业安全plc控制器的安全控制方法 - Google Patents

Abstract

一种工业安全PLC控制器的安全控制方法，利用双通道安全PLC的同步机制保证冗余系统的同步运行；利用双通道安全PLC的数据表决方法保证运行数据安全；还包括步骤：工业安全PLC控制器在完成输入采集以后进行逻辑运算；工业安全PLC控制器与用户编程软件进行通信；工业安全PLC控制器实现PLC基于不断进行循环扫描的运行方式；工业安全PLC控制器对外部被控设备运行数据及工作状态进行实时监控：在外部被控设备发生故障时，进行故障报警提示或者控制外部被控设备停机。本方法的安全机制能够保证系统同步运行；具备更加严格的系统检测机制，通道之间能够互相检测；发生故障时，还能够进行系统降级，在保证系统具备高的可靠性同时还有一定的可用性。

Description

一种工业安全PLC控制器的安全控制方法 技术领域

本发明涉及一种工业安全PLC控制器的安全控制方法，属于智能控制的技术领域。

背景技术

安全PLC通常是被用于特殊控制领域的关键控制和安全控制。安全PLC作为控制系统中关键的一部分，被用于检测工业控制中是否存在危险，一旦发生危险能及时的将被控系统切换到安全状态或者使其安全停机。

现有技术中的PLC存在以下技术不足：

1)未采用冗余设计

常规PLC内部的CPU数量通常只有一个，在执行用户程序时只进行一次处理，即使系统有多个CPU时也仅仅是通过协同的方式将要实现的程序分担实现。因此，常规PLC还未满足“冗余容错”和“数据确认”的安全条件。

2)系统检测方式不全面

未考虑系统软件可靠性运行，缺少系统自身的内部检测、存储器检测、冗余容错机制，在部分通道失效的情况下，难以维持控制系统运行。

综上可知，常规PLC已经难以满足当今工业自动化控制的要求，尤其是在一些关键领域的控制。因此，提供一种安全可靠的安全PLC控制器是本领域一直研究的内容，以辅助工业自动采取有效措施，保障被控系统安全稳定的运行，这是常规PLC或者常规安全PLC控制器所不具备的。

发明内容

针对现有技术的不足，本发明公开一种工业安全PLC控制器的安全控制方法。

本发明采用冗余设计，具备多个CPU处理通道：安全PLC的CPU至少有两个或者更多，系统至少具有两个控制通道，每个通道将分别对同一个用户程序各自执行一次，然后将输入输出的结果相互对比，数据一致就执行，不一致就执行安全输出。

本发明采用更加严格的系统检测方式：具有冗余容错机制，即使部分通道失效了，系统软件可以及时检测出来，采取有效的措施，维持控制系统运行。对于 主控模块的检测一般采用自检测、存储器检测等手段。同时通道不止进行内部检测，还有通道之间相互监控，能够在出现故障时及时切断问题通道，维持系统运行或者使其安全停机。

输入模块需具备“自诊断”，输出模块具备“输出反馈”。运行时输入模块能够进行输入通道检测，输出模块能够将输出的信号反馈回主控模块保证输出的可靠性。

本发明的技术方案如下：

一种工业安全PLC控制器的安全控制方法，所述安全PLC控制器包括硬件终端、监控软件；所述硬件终端包括安全输入模块、双CPU主控模块、安全输出模块、电源模块和母板；所述安全输入模块包括输入采集单元A和输入采集单元B；所述双CPU主控模块包括CPU控制单元A和CPU控制单元B；所述安全输出模块包括输出采集单元A和输出采集单元B；所述电源模块是为工业安全PLC控制器提供220V转24V和220V转5V的供电电压；所述母板是一个带有9个插槽的底座，所述插槽是其他模块插入的接口，所有的模块间通信和电源接入都分布在整个母板中；所述监控软件包括安全机制，分别利用安全输入监控程序对所述安全输入模块进行监控、利用主控模块监控程序对所述双CPU主控模块进行监控、利用安全输出监控程序对所述安全输出模块进行监控；此设计的硬件、主控、I/O模块均采用双CPU架构设计，每个模块都进行了冗余设计，具有两个功能单元，互相备份，同时主控模块的两个CPU控制单元还有交互通道，实现系统同步、数据确认、状态监测等功能实现提供硬件基础；

其特征在于，所述安全控制方法包括：

利用双通道安全PLC的同步机制保证冗余系统的同步运行；

利用双通道安全PLC的数据表决方法保证运行数据安全；

还包括步骤：

1-1)工业安全PLC控制器在完成输入采集以后进行逻辑运算：实现对外部被控设备的安全控制，根据用户编程软件编写的PLC逻辑程序，按照“从上到下，从左到右”的原则，通过硬件资源配置解析、PLC程序解析，实现逻辑控制功能；

1-2)工业安全PLC控制器与用户编程软件进行通信，用以完成编译系统生产的硬件资源配置、PLC程序等二进制中间代码的传输读取；

1-3)工业安全PLC控制器通过PLC硬件终端时钟系统产生扫描周期，用于 进行任务调度，实现PLC基于不断进行循环扫描的运行方式；

1-4)工业安全PLC控制器对外部被控设备运行数据及工作状态进行实时监控：在外部被控设备发生故障时，进行故障报警提示或者控制外部被控设备停机。

此设计的优点在于：本发明的工业安全PLC控制器的安全控制方法被划分成安全输入、主控、安全输出三个部分，负责PLC程序解析逻辑控制、顺序控制、实时监控，实现PLC逻辑控制和实时状态监控等功能。本发明的安全机制能够保证系统同步运行，具备数据表决、校验机制，保障系统安全；具备更加严格的系统检测机制，通道之间能够互相检测；发生故障时，还能能够进行系统降级，在保证系统具备高的可靠性同时还有一定的可用性。

根据本发明优选的，所述工业安全PLC控制器的安全控制方法是通过加载到安全PLC控制器的硬件终端中实现的，其特征在于，所述安全控制方法对底层安全监控：用户编程软件将编译好的二进制中间代码通过串口下载的方式下载到安全PLC硬件终端中，工业安全PLC控制器在重新上电以后，安全控制方法运行，所述安全输入模块、双CPU主控模块和安全输出模块进行上电初始化工作：

2-1)将所有的时间寄存器复位，关闭中断向量，判断FLASH主程序区，擦除备用区，重新将中断向量表进行映射，使能外部时钟；

2-2)进行配置信息的初始化，从FLASH用户程序区中，读取硬件资源配置信息，并进行解析，并将用户程序指针指向用户程序的首地址；

2-3)使能GPIO，进行I/O端口初始化，配置管脚寄存器PINSEL和PINMODE，设置I/O管脚方向；

2-4)从FLASH硬件资源配置信息中读取功能模板型号并进行初始化工作，功能模板通过响应管脚读取自身母板地址和槽地址；并生成7位的地址码，其中高三位为母板地址，低四位为槽地址；其中，所述功能模板包括输入采集单元A、输入采集单元B、CPU控制单元A、CPU控制单元B、输出采集单元A和输出采集单元B；

2-5)初始化看门狗定时器，设置看门狗定时器的时钟频率；

2-6)使能CAN控制器，初始化CAN中断，进行CAN模式选择，初始化接收环形缓冲区，CAN控制器波特率设置为1Mbps；

2-7)进行定时器初始化，设置定时器的时钟频率为10kHz，周期为100μs，进行通信接口初始化，配置UART串口，设置串口的波特率为19200bps，通过相 关寄存器配置串口的数据位、停止位、奇偶校验位并进行串口中断配置，初始化RS-485、RS-232等通信接口。

根据本发明优选的，在所述进行上电初始化工作中或者完成后，所述工业安全PLC控制器进行系统安全检测。

根据本发明优选的，利用双通道安全PLC的同步机制保证冗余系统的同步运行的方法为：

工业安全PLC控制器完成上电初始化和系统安全检测以后，所述双CPU主控制模块进行同步建立，通过主从竞争的方式确定一个主CPU控制单元，另一个是从CPU控制单元，通过同步机制主从CPU控制单元保持系统同步运行：

3-1)工业安全PLC控制器开启第一个扫描周期，主从CPU控制单元将分别通过模块间的两条CAN总线同时向安全输入模块的两个输入采集单元发出信号采集命令；

3-2)安全输入模块将扫描本地的输入数据，也就是读取和外部输入端子相连接的管脚的电平状态，最后将扫描到的本地数据打包并通过CAN总线，发送给双CPU主控模块；

3-3)主从CPU控制单元将数据存在各自输入采集映像区中，并通过表决机制进行数据表决，表决成功以后进行PLC程序解析和逻辑运算，并将计算存储在各自输出执行映像区中：

输出执行数据表决一致以后，主CPU控制单元将该数据做为安全输出数据通过CAN总线传递给安全输入模块自身通道的输出执行单元，从CPU控制单元不享有系统输出控制权，不执行输出传递操作；

3-4)安全输出模块中和主CPU控制单元相连接的输出执行单元会扫描接收到的安全输出数据，根据扫描结果使能相应输出端口的继电器，完成对外部被控设备控制，同时通过输出反馈通道将执行结果进行反馈，进行“输出数据确认”；

3-5)至此一个完整的扫描周期结束，等待扫描周期时间一到，将按照上述步骤3-1)-3-4)重新开启下一个扫描周期。

根据本发明优选的，在步骤3-3)、3-4)中，即在用户程序执行期间，输入映像存储区和输出映像存储区的值便不再发生变化，程序会首先判断用户指针指向的地址有没有发生变化：

如果没有变化，则传输的二进制中间文件出现问题，导致无法进行PLC用户 程序解析；

如果有变化，则没有问题产生，按照解析的PLC用户程序按照“从上至下，从左至右”的原则进行散转操作，逐条调用相对应的解析子函数；

同时将用户程序的指针加一，直到用户程序扫描完一遍，并将执行的结果存储到输出映像寄存区中。

根据本发明优选的，安全输入模块中加载有安全输入监控程序，包括：

4-1)安全输入采集模块会读取固化在底层的配置信息，得到配置条数；

4-2)在收到双CPU主控模块通过CAN总线发出的采集命令以后，开始进行外部信号采集，采集通道按照顺序读取外部引脚的电平状态，并按照相关协议和配置信息里面的变量进行配置，给每个引脚的状态进行标记，添加上存储配置号码、类型号、映像区号；

4-3)在每一步输入端口的状态采集完成以后，将数据重新进行打包操作，通过冗余CAN总线发送给双CPU主控模块，存储到输入映像寄存区中。

根据本发明优选的，所述安全输出模块中加载有安全输出监控程序，包括：

与所述主CPU控制单元相连接的输出执行单元，能接收到安全输出数据，执行对外部被控设备控制功能，同时通过数据反馈通道将输出结果返回给输出执行单元，用于输出结果确认。

根据本发明优选的，所述安全输出模块中加载有安全输出监控程序，还包括：

安全输入模块向双CPU主控模块发送数据：将采集外部信息按照规则进行封装发送；

安全输出模块则是从双CPU主控模块的接收数据：将接收数据按照相反的规则进行解析执行。

本发明的技术优势在于：

1)本发明采用模块化设计思想，将安全控制系统分成主控、输入和输出三个大模块来具体介绍安全控制方法，实现该控制方法的程序易于移植、简单易懂且可灵活应用。

2)所述的主控、输入和输出三大模块均采用双异构的CPU的设计，而常用的安全控制器多是主模块采用双CPU，本发明这样设计的目的是降低在采集端和输出端由于硬件失效导致的不安全因素。

3)所述的主控模块的安全控制方案采用先同步建立再输入表决的先后处理 方式，确保输入数据的准确性；输出采用表决安全输出，确保在单通道输出错误的情况下仍能够安全输出，提高系统的安全性。

4)所述主控模块的双CPU数据校验通信采用简单的串口通信，且尽量将波特率设置为较高的频率，本发明设置的通信波特率为19200，这样处理的原因是减少同步误差，增加数据的可靠性。

5)所述安全控制方法采用双通道设计，单通道模块之间采用CAN总线通信，且将CAN总线布置在所述母板电路中，模块即插即用，且可同时插入多个采集模块和输出模块，9槽中，除电源模块和主控模块外的7个槽中任意裁剪输入和输出模块，使用灵活。

附图说明

图1本发明中双CPU架构安全PLC总体架构图；

图2本发明中监控软件总体工作流程图；

图3本发明中双CPU主控模块工作流程图；

图4本发明中安全输入模块的工作流程图；

图5本发明中安全输出模块的工作流程图。

具体实施方式

下面结合实施例和说明书附图对本发明做详细的说明，但不限于此。

实施例1、

如图1所示。

一种工业安全PLC控制器的安全控制方法，所述安全PLC控制器包括硬件终端、监控软件；所述硬件终端包括安全输入模块、双CPU主控模块、安全输出模块、电源模块和母板；所述安全输入模块包括输入采集单元A和输入采集单元B；所述双CPU主控模块包括CPU控制单元A和CPU控制单元B；所述安全输出模块包括输出采集单元A和输出采集单元B；所述电源模块是为其他模块提供220V转24V和220V转5V的供电电压；所述母板是一个带有9个插槽的底座，所述插槽是其他模块插入的接口，所有的模块间通信和电源接入都分布在整个母板中；所述监控软件包括安全机制，分别利用安全输入监控程序对所述安全输入模块进行监控、利用主控模块监控程序对所述双CPU主控模块进行监控、利用安全输出监控程序对所述安全输出模块进行监控；此设计的硬件、主控、I/O模块均采用双CPU架构设计，每个模块都进行了冗余设计，具有两个功能单元，互相备份， 同时主控模块的两个CPU控制单元还有交互通道，实现系统同步、数据确认、状态监测等功能实现提供硬件基础；

所述安全控制方法包括：

利用双通道安全PLC的同步机制保证冗余系统的同步运行；

利用双通道安全PLC的数据表决方法保证运行数据安全；

还包括步骤：

1-1)工业安全PLC控制器在完成输入采集以后进行逻辑运算：实现对外部被控设备的安全控制，根据用户编程软件编写的PLC逻辑程序，按照“从上到下，从左到右”的原则，通过硬件资源配置解析、PLC程序解析，实现逻辑控制功能；

1-2)工业安全PLC控制器与用户编程软件进行通信，用以完成编译系统生产的硬件资源配置、PLC程序等二进制中间代码的传输读取；

1-3)工业安全PLC控制器通过PLC硬件终端时钟系统产生扫描周期，用于进行任务调度，实现PLC基于不断进行循环扫描的运行方式；

1-4)工业安全PLC控制器对外部被控设备运行数据及工作状态进行实时监控：在外部被控设备发生故障时，进行故障报警提示或者控制外部被控设备停机。

实施例2、

结合附图2，如实施例1所述，所述工业安全PLC控制器的安全控制方法是通过加载到安全PLC控制器的硬件终端中实现的，所述安全控制方法对底层安全监控：用户编程软件将编译好的二进制中间代码通过串口下载的方式下载到安全PLC硬件终端中，工业安全PLC控制器在重新上电以后，安全控制方法运行，所述安全输入模块、双CPU主控模块和安全输出模块进行上电初始化工作：

2-1)将所有的时间寄存器复位，关闭中断向量，判断FLASH主程序区，擦除备用区，重新将中断向量表进行映射，使能外部时钟；

2-2)进行配置信息的初始化，从FLASH用户程序区中，读取硬件资源配置信息，并进行解析，并将用户程序指针指向用户程序的首地址；

2-3)使能GPIO，进行I/O端口初始化，配置管脚寄存器PINSEL和PINMODE，设置I/O管脚方向；

2-4)从FLASH硬件资源配置信息中读取功能模板型号并进行初始化工作，功能模板通过响应管脚读取自身母板地址和槽地址；并生成7位的地址码，其中高三位为母板地址，低四位为槽地址；其中，所述功能模板包括输入采集单元A、 输入采集单元B、CPU控制单元A、CPU控制单元B、输出采集单元A和输出采集单元B；

2-5)初始化看门狗定时器，设置看门狗定时器的时钟频率；

2-6)使能CAN控制器，初始化CAN中断，进行CAN模式选择，初始化接收环形缓冲区，CAN控制器波特率设置为1Mbps；

2-7)进行定时器初始化，设置定时器的时钟频率为10kHz，周期为100μs，进行通信接口初始化，配置UART串口，设置串口的波特率为19200bps，通过相关寄存器配置串口的数据位、停止位、奇偶校验位并进行串口中断配置，初始化RS-485、RS-232等通信接口。

在所述进行上电初始化工作中或者完成后，所述工业安全PLC控制器进行系统安全检测。

如图3所示。利用双通道安全PLC的同步机制保证冗余系统的同步运行的方法为：

工业安全PLC控制器完成上电初始化和系统安全检测以后，所述双CPU主控制模块进行同步建立，通过主从竞争的方式确定一个主CPU控制单元，另一个是从CPU控制单元，通过同步机制主从CPU控制单元保持系统同步运行：

3-1)工业安全PLC控制器开启第一个扫描周期，主从CPU控制单元将分别通过模块间的两条CAN总线同时向安全输入模块的两个输入采集单元发出信号采集命令；

3-2)安全输入模块将扫描本地的输入数据，也就是读取和外部输入端子相连接的管脚的电平状态，最后将扫描到的本地数据打包并通过CAN总线，发送给双CPU主控模块；

3-3)主从CPU控制单元将数据存在各自输入采集映像区中，并通过表决机制进行数据表决，表决成功以后进行PLC程序解析和逻辑运算，并将计算存储在各自输出执行映像区中：

输出执行数据表决一致以后，主CPU控制单元将该数据做为安全输出数据通过CAN总线传递给安全输入模块自身通道的输出执行单元，从CPU控制单元不享有系统输出控制权，不执行输出传递操作；

3-4)安全输出模块中和主CPU控制单元相连接的输出执行单元会扫描接收到的安全输出数据，根据扫描结果使能相应输出端口的继电器，完成对外部被控 设备控制，同时通过输出反馈通道将执行结果进行反馈，进行“输出数据确认”；

3-5)至此一个完整的扫描周期结束，等待扫描周期时间一到，将按照上述步骤3-1)-3-4)重新开启下一个扫描周期。

在步骤3-3)、3-4)中，即在用户程序执行期间，输入映像存储区和输出映像存储区的值便不再发生变化，程序会首先判断用户指针指向的地址有没有发生变化：

如果没有变化，则传输的二进制中间文件出现问题，导致无法进行PLC用户程序解析；

如果有变化，则没有问题产生，按照解析的PLC用户程序按照“从上至下，从左至右”的原则进行散转操作，逐条调用相对应的解析子函数；

同时将用户程序的指针加一，直到用户程序扫描完一遍，并将执行的结果存储到输出映像寄存区中。

如图4所示，安全输入模块中加载有安全输入监控程序，包括：

4-1)安全输入采集模块会读取固化在底层的配置信息，得到配置条数；

4-2)在收到双CPU主控模块通过CAN总线发出的采集命令以后，开始进行外部信号采集，采集通道按照顺序读取外部引脚的电平状态，并按照相关协议和配置信息里面的变量进行配置，给每个引脚的状态进行标记，添加上存储配置号码、类型号、映像区号；

4-3)在每一步输入端口的状态采集完成以后，将数据重新进行打包操作，通过冗余CAN总线发送给双CPU主控模块，存储到输入映像寄存区中。

如图5所示，所述安全输出模块中加载有安全输出监控程序，包括：

与所述主CPU控制单元相连接的输出执行单元，能接收到安全输出数据，执行对外部被控设备控制功能，同时通过数据反馈通道将输出结果返回给输出执行单元，用于输出结果确认。

所述安全输出模块中加载有安全输出监控程序，还包括：

安全输入模块向双CPU主控模块发送数据：将采集外部信息按照规则进行封装发送；

安全输出模块则是从双CPU主控模块的接收数据：将接收数据按照相反的规则进行解析执行。

Claims (8)

1. 一种工业安全PLC控制器的安全控制方法，其特征在于，所述安全控制方法包括：

   利用双通道安全PLC的同步机制保证冗余系统的同步运行；

   利用双通道安全PLC的数据表决方法保证运行数据安全；

   还包括步骤：

   1-1)工业安全PLC控制器在完成输入采集以后进行逻辑运算；

   1-2)工业安全PLC控制器与用户编程软件进行通信，用以完成编译系统生产的硬件资源配置、PLC程序等二进制中间代码的传输读取；

   1-3)工业安全PLC控制器通过PLC硬件终端时钟系统产生扫描周期，用于进行任务调度，实现PLC基于不断进行循环扫描的运行方式；

   1-4)工业安全PLC控制器对外部被控设备运行数据及工作状态进行实时监控：在外部被控设备发生故障时，进行故障报警提示或者控制外部被控设备停机。
2. 根据权利要求1所述的一种工业安全PLC控制器的安全控制方法，其特征在于，所述工业安全PLC控制器的安全控制方法是通过加载到安全PLC控制器的硬件终端中实现的，所述安全控制方法对底层安全监控：用户编程软件将编译好的二进制中间代码通过串口下载的方式下载到安全PLC硬件终端中，工业安全PLC控制器在重新上电以后，安全控制方法运行，所述安全输入模块、双CPU主控模块和安全输出模块进行上电初始化工作：

   2-1)将所有的时间寄存器复位，关闭中断向量，判断FLASH主程序区，擦除备用区，重新将中断向量表进行映射，使能外部时钟；

   2-2)进行配置信息的初始化，从FLASH用户程序区中，读取硬件资源配置信息，并进行解析，并将用户程序指针指向用户程序的首地址；

   2-3)使能GPIO，进行I/O端口初始化，配置管脚寄存器PINSEL和PINMODE，设置I/O管脚方向；

   2-4)从FLASH硬件资源配置信息中读取功能模板型号并进行初始化工作，功能模板通过响应管脚读取自身母板地址和槽地址；其中，所述功能模板包括输入采集单元A、输入采集单元B、CPU控制单元A、CPU控制单元B、输出采集单元A和输出采集单元B；

   2-5)初始化看门狗定时器，设置看门狗定时器的时钟频率；

   2-6)使能CAN控制器，初始化CAN中断，进行CAN模式选择，初始化接收 环形缓冲区；

   2-7)进行定时器初始化，进行通信接口初始化，配置UART串口，设置串口的波特率为19200bps，通过相关寄存器配置串口的数据位、停止位、奇偶校验位并进行串口中断配置，初始化RS-485、RS-232等通信接口。
3. 根据权利要求2所述的一种工业安全PLC控制器的安全控制方法，其特征在于，在所述进行上电初始化工作中或者完成后，所述工业安全PLC控制器进行系统安全检测。
4. 根据权利要求1所述的一种工业安全PLC控制器的安全控制方法，其特征在于，利用双通道安全PLC的同步机制保证冗余系统的同步运行的方法为：

   工业安全PLC控制器完成上电初始化和系统安全检测以后，所述双CPU主控制模块进行同步建立，通过主从竞争的方式确定一个主CPU控制单元，另一个是从CPU控制单元，通过同步机制主从CPU控制单元保持系统同步运行：

   3-1)工业安全PLC控制器开启第一个扫描周期，主从CPU控制单元将分别通过模块间的两条CAN总线同时向安全输入模块的两个输入采集单元发出信号采集命令；

   3-2)安全输入模块将扫描本地的输入数据，也就是读取和外部输入端子相连接的管脚的电平状态，最后将扫描到的本地数据打包并通过CAN总线，发送给双CPU主控模块；

   3-3)主从CPU控制单元将数据存在各自输入采集映像区中，并通过表决机制进行数据表决，表决成功以后进行PLC程序解析和逻辑运算，并将计算存储在各自输出执行映像区中：

   输出执行数据表决一致以后，主CPU控制单元将该数据做为安全输出数据通过CAN总线传递给安全输入模块自身通道的输出执行单元，从CPU控制单元不享有系统输出控制权，不执行输出传递操作；

   3-4)安全输出模块中和主CPU控制单元相连接的输出执行单元会扫描接收到的安全输出数据，根据扫描结果使能相应输出端口的继电器，完成对外部被控设备控制，同时通过输出反馈通道将执行结果进行反馈，进行“输出数据确认”；

   3-5)至此一个完整的扫描周期结束，等待扫描周期时间一到，将按照上述步骤3-1)-3-4)重新开启下一个扫描周期。
5. 根据权利要求4所述的一种工业安全PLC控制器的安全控制方法，其特 征在于，在步骤3-3)、3-4)中，即在用户程序执行期间，输入映像存储区和输出映像存储区的值便不再发生变化，程序会首先判断用户指针指向的地址有没有发生变化：

   如果没有变化，则传输的二进制中间文件出现问题，导致无法进行PLC用户程序解析；

   如果有变化，则没有问题产生，按照解析的PLC用户程序按照“从上至下，从左至右”的原则进行散转操作，逐条调用相对应的解析子函数；

   同时将用户程序的指针加一，直到用户程序扫描完一遍，并将执行的结果存储到输出映像寄存区中。
6. 根据权利要求4所述的一种工业安全PLC控制器的安全控制方法，其特征在于，安全输入模块中加载有安全输入监控程序，包括：

   4-1)安全输入采集模块会读取固化在底层的配置信息，得到配置条数；

   4-2)在收到双CPU主控模块通过CAN总线发出的采集命令以后，开始进行外部信号采集，采集通道按照顺序读取外部引脚的电平状态，并按照相关协议和配置信息里面的变量进行配置，给每个引脚的状态进行标记，添加上存储配置号码、类型号、映像区号；

   4-3)在每一步输入端口的状态采集完成以后，将数据重新进行打包操作，通过冗余CAN总线发送给双CPU主控模块，存储到输入映像寄存区中。
7. 根据权利要求4所述的一种工业安全PLC控制器的安全控制方法，其特征在于，所述安全输出模块中加载有安全输出监控程序，包括：

   与所述主CPU控制单元相连接的输出执行单元，能接收到安全输出数据，执行对外部被控设备控制功能，同时通过数据反馈通道将输出结果返回给输出执行单元，用于输出结果确认。
8. 根据权利要求7所述的一种工业安全PLC控制器的安全控制方法，其特征在于，所述安全输出模块中加载有安全输出监控程序，还包括：

   安全输入模块向双CPU主控模块发送数据：将采集外部信息按照规则进行封装发送；

   安全输出模块则是从双CPU主控模块的接收数据：将接收数据按照相反的规则进行解析执行。

Images