自動化設備的通信網絡中涉及安全的通信的方法和裝置的製作方法

2023-06-22 03:38:16

專利名稱：自動化設備的通信網絡中涉及安全的通信的方法和裝置的製作方法
技術領域：
本發明一般地涉及自動化設備及其自動化總線系統。具體地說，本發明涉及在 這種自動化設備的通信網絡中在涉及安全的(sicherheitsgerichtet)模塊之間的通信。
背景技術：
為了減少對人或環境的風險，經常要求在自動化總線系統中或在與自動化總線 系統連接的用戶中設置安全功能。一種示例是在操作了緊急開關之後切斷連接到自動化 總線系統的機器。為此目的，越來越多地採用防錯的自動化系統。一般來說，這些防 錯的自動化系統一方面實現了實際的安全功能，例如雙手切換(Zweihand-Schaltung)、噪 聲抑制(Muting)、運行模式選擇開關等，另一方面還實現了識別錯誤以及阻止錯誤的措 施，如其例如在標準IEC61508和IS013849中規定的那樣。在目前的自動化系統中，依據自動化程度以及依據設備的擴展而採用連接分布 式輸入/輸出設備(E/A設備)和控制裝置的通信系統。為了傳輸安全技術的數據，在 此已知通過安全的網絡協議來支持該網絡。所採用的信號流到目前為止來自中央安全技 術，其中安全的輸入信號被傳輸到安全的控制裝置，並在該控制裝置那裡被處理，然後 被傳輸到相應的執行器。這種安全處理也稱為安全應用。通信中的錯誤可能在自動化設備的硬體和固件中、在網絡的基礎部件(例如現 場總線部件或乙太網部件)中以及在數據傳輸期間因為外部影響而存在或產生。外部影 響例如可能是電磁場對數據傳輸的幹擾。在自動化技術中，目前可以看到兩個趨勢。一方面存在對控制功能分布式布置 的追求。另一方面存在將安全技術集成到控制和網絡技術中的興趣。在分布式布置中，控制功能越來越廣地被轉移到輸出層中。從而，例如可以在 運行時在有限範圍內集成控制功能。但是，通過將安全技術集成到控制裝置和網絡中，在應用過程中產生強烈的依 賴性。這種依賴性導致系統更為複雜的規劃和編程。這與期望安全技術處理簡單性的 願望在某種程度上相反。涉及安全的應用的規劃複雜性目前是傳統的固定連線的安全技 術、尤其是基於安全中繼的固定連線的安全技術的過渡很難被接受的主要原因之一。而 且在目前的安全自動化總線系統中由於上述困難可能會因為所謂的誤觸發而導致對受控 設備的錯誤使用以及不足的可提供性。

發明內容
本發明所基於的任務是簡化自動化網絡中對涉及安全的模塊的安裝和規劃。本發明用於解決該任務的基本思想在於，將一個設備的安全功能劃分為小的、 一目了然的、能局限於本地的以及能簡單驗證的模塊組。為了執行涉及安全的動作而設 置的模塊組因此表示整個通信網絡內或多或少自主的島。該體系對應於目前熟悉安全技術的人員在設備自動化時的思維方式。另外，通過這種方式，設備的修改和擴展可能更為簡單，而不必再次重新驗證已被驗證過的設備 部件。此外，安全功能的模塊化以及與標準功能的分離最大程度地迎合了對如上所述標 準IEC61508以及IS013849這樣的當前安全標準的要求。對使用者來說的另一個優點在於以下可能性必要時與網絡無關地和與控制無 關地構成分布式安全模塊。由此還給出與控制裝置的提供者的無關性。這也意味著，在 例如由於非與安全相關的要求而更換標準控制裝置或網絡時可以保留所採用的安全技術 和經過驗證的安全模塊。根據本發明，用於保證整個安全功能的分布式安全模塊至少在有限範圍內相互 防錯地通信。為了使得能夠與基礎的物理介質無關地實現該通信，傳輸對符合安全要求 的傳輸的檢查到進行接收的用戶。由此不需要在若干公知系統中設置的安全主設備。對於島的模塊或用於執行涉及安全的動作的模塊組的通信，電報被發送到通信 主設備，並在那裡被路由到接收者。數據流的自動路由通過以下方式實現防錯的通信 協議和/或防錯的通信用戶提供可由路由層分析的信息或媒介。分析在此的意思是，可 以在初始化階段中獨立地建立複製或路由表，而使用者不必藉助網絡配置工具預先給定 該通信用戶的地址。該媒介或信息在此既可以一次性地在初始化階段期間又可以在系統 的運行時期間被提供和分析。具體地，本發明為了解決上述任務提供一種自動化設備，具有尤其是非安全的 通信主設備和多個分布式模塊，其中-分布式模塊被構造為網絡用戶，並且-藉助通信網絡與所述通信主設備聯網，其中-在通信網絡中，分布式模塊之間的通信通過電報實現，其中_至少兩個模塊是安全模塊，在這些安全模塊之間傳輸涉及安全的數據，以及-這些安全模塊形成用於執行涉及安全的功能的模塊的邏輯組，並且其中_優選為非安全的通信主設備具有路由表，在該路由表中保存分布式安全模塊之 間對應於涉及安全的功能的邏輯連接，其中-該通信主設備被設置用於藉助路由表受控地將數據從進行發送的安全模塊自動 路由到進行接收的安全模塊，_使得屬於一個邏輯組的安全模塊之間的通信分別通過兩個點對點連接進行， 即從進行發送的安全模塊到通信主設備以及進一步從該通信主設備到進行接收的安全模 塊，_其中進行接收的安全模塊被設置用於對應於所接收的數據執行涉及安全的動 作，並且該通信網絡具有用於向安全模塊查詢用於建立路由表的信息並且藉助該信息建 立路由表的裝置。優選地，用於建立路由表的裝置被實施在通信主設備自身中。但是也可以想 到，路由表由外部裝置，例如由另外的與網絡連接的模塊產生，然後被傳輸到通信主設 備。由此，利用自動化設備的該特徵，相應地使得能夠實現一種用於監控設備中安 全功能的方法，該設備具有尤其是非安全的通信主設備和多個分布式模塊，其中
5
-所述分布式模塊被構造為網絡用戶，並且-藉助通信網絡與所述通信主設備聯網，其中-在通信網絡中，分布式模塊之間的通信通過電報實現，其中_至少兩個模塊是安全模塊，在這些安全模塊之間傳輸涉及安全的數據，以及-這些安全模塊形成用於執行涉及安全的功能的模塊的邏輯組，並且其中-優選為非安全的通信主設備具有路由表，在該路由表中保存分布式安全模塊之 間對應於涉及安全的功能的邏輯連接，其中-該通信主設備藉助路由表將數據從進行發送的安全模塊自動路由到進行接收的 安全模塊，_使得屬於一個邏輯組的安全模塊之間的通信分別通過兩個點對點連接進行， 即從進行發送的安全模塊到通信主設備並且進一步從該通信主設備到進行接收的安全模 塊，-其中進行接收的安全模塊對應於所接收的數據執行涉及安全的動作，並且其中 由該通信網絡的裝置，優選由通信主設備向安全模塊查詢用於建立路由表的信息並且借 助該信息建立路由表。路由表的概念不僅限於表格形式的精確對應。在本發明的含義下，這個概念應 當被理解為以任意形式存在的對應規則，其中安全模塊或安全模塊的地址對應於待建立 的邏輯連接而相互關聯(verknuepfen)。根據本發明的一實施方式，路由表可以是複製列表。複製尤其可以是以在通信 主設備的通信固件或使用者程序內複製整個電報或該電報的數據的形式進行。非安全的通信主設備的特徵意思是，該通信主設備本身不需要被構造為用於借 助安全的網絡協議進行的防錯通信和/或不必具有特殊的冗餘硬體。本發明的一個巨大優點主要在於，可以完全不需要用於配置安全模塊及其涉及 安全的動作的中央配置工具。在涉及安全的通信中，需要快速傳輸數據。在此，本發明的方法採用通過非安 全的通信主設備進行路由乍看起來是麻煩的，因為每個電報必須通過兩個點對點連接傳 輸並且在此過程中還必須進行路由。但是已經表明，該通信在速度方面與具有通過總線 的通信的其它安全系統是相當的，從而對快速響應時間的要求得到滿足。作為通信網絡中數據通信的基礎，可以採用標準網絡通信。在此還已知 INTERBUS系統、PROFIBUS系統、PROFINET系統、DeviceNet系統和乙太網IP系 統。對於安全模塊之間的安全通信，可以採用相應的安全網絡協議INTERBUS-Safety、 PROFIsafe或CIP-Safety。這些防錯的網絡協議根據「黑色通道(Black-Channel) 」原理 工作，其中防錯的電報被嵌入到標準電報中。在此，通信用戶承擔安全的通信主設備的 角色，例如藉助主設備安全層(Master-Safety-Layer)或以F主機的形式。


下面藉助附圖詳細解釋本發明。在此相同的附圖標記表示相同或相應的元件。圖1示出自動化製造設備的自動化網絡的示意連接圖，圖2示出用於圖1所示自動化網絡的路由表的一實施例，
圖3示出具有輸入模塊和輸出模塊的一個實施例。
具體實施例方式圖1中示出自動化設備1 (優選為自動化製造設備)的通信網絡的框圖。根據本發明的自動化設備1包括通信主設備(例如作為中央控制裝置的組成部 分)以及多個分布式模塊。在圖1的示例中，設置通信主設備3作為中央控制裝置或作 為中央控制裝置的組成部分。分布式模塊70、80、81、82、83、90、91連接到通信網絡 2。分布式模塊70、80、81、82、83、90、91被構造為網絡用戶並且藉助通信網絡 2與通信主設備3聯網。通信網絡2中分布式模塊70、80、81、82、83、90、91之間的 通信通過電報實現。例如，通信網絡2可以具有乙太網作為物理層，並且通信相應地以 乙太網電報來實現。此外，至少兩個模塊是安全模塊，在這些安全模塊之間傳輸涉及安全的數據。 在圖1的示例中，具體地說，模塊80、81、82、83、90、91被構造為安全模塊。這些安 全模塊形成用於執行涉及安全的功能的模塊的一個或多個邏輯組。通信主設備3具有路由表，在該路由表中存儲分布式安全模塊80、81、82、 83、90、91之間對應於涉及安全的功能的邏輯連接。通信主設備3被設置為受控地藉助 路由表將數據從各自的進行發送的安全模塊自動路由到進行接收的安全模塊。進行接收 的安全模塊被設置為對應於所接收的數據執行涉及安全的功能。尤其地，通信主設備3本身不需要在上述標準的含義中是安全的。而是中央控 制裝置可以是標準控制裝置。在圖1所示的示例中，在通信主設備3與安全模塊80、81、82、83、90、91之 間存在點對點連接10、11、12、13、14、15。在路由表中，還存儲了為了執行不同的涉 及安全的功能而使用的邏輯連接16、17、18、19。藉助該路由表，通信主設備3將由各 自的進行發送的安全模塊所發送的數據自動路由到對應的進行接收的安全模塊。用所述 邏輯連接關聯的安全模塊分別形成用於執行涉及安全的功能的模塊的邏輯組。因此在圖1 所示的示例中，用安全模塊80、81、82、83形成一個邏輯組，在該邏輯組中通過邏輯連 接16、17、18將安全模塊81、82、83分別與安全模塊80關聯。此外，安全模塊90、91 的邏輯組通過邏輯連接19被關聯。例如，安全模塊之一可以分析光電柵欄(Lichtschnmke)的數據。然後例如可以 規定，必須關斷利用該光電柵欄監視通路的裝置。然後，相應的關斷裝置由另一安全模 塊響應於由該光電柵欄所連接的安全模塊發送並被通信主設備3路由到該另一安全模塊 的電報來操作。由此，該邏輯連接被分為來自以及去往通信主設備3的兩個點對點連接。例 如，圖1所示實施例中的邏輯連接16通過點對點連接10和11實現。由此，對於所基於 的通信，可以採用任意的點對點協議。一個優選的基礎是乙太網網絡。在電報中傳輸涉及安全的數據尤其可以通過電信網絡上的非安全信道來進行。 換句話說，採用與用於過程控制的標準數據的通信媒介相同的通信介質。這尤其是有利 的，以降低硬體花費以及簡化在現有自動化設備中的實施。為了在此實現涉及安全的數
7據的傳輸的高可靠性，採用「黑色通道」原理。由此，對電報錯誤的識別被完全傳輸 到進行接收的安全模塊上。據此，在本發明的該擴展方案中，為了防錯地傳輸涉及安全 的數據，進行接收的安全模塊被構造為針對電報的更換、偽造、誤傳導或破壞來識別錯誤。為此，可以由進行接收的安全模塊在所接收的電報中檢查至少一個以下特徵， 優選檢查所有以下特徵-時間戳，_ 冗餘，-校驗和，-當前電報號(eine laufende Telegrammnummer),-發送者標識，_接收者標識。藉助電報的發送者標識和接收者標識，尤其可以通過進行接收的安全模塊確定 電報的源和目標的對應是否正確和唯一。「黑色通道」的原理源於任意錯誤，如通信網絡2中電報的更換、破壞和偽造。 用於安全模塊之間通信的防錯通信協議的識別錯誤的措施在此尤其不是在可能的情況下 在標準通信中也存在的識別錯誤的措施的保證。在圖2中示出用於圖1所示邏輯連接的一個示例性路由表20。在第一列中存儲邏輯連接。第二列排列主設備地址，第三列排列從設備地址。 主設備地址和從設備地址在此表示各輸出模塊和輸入模塊的地址。優選地，採用輸出模 塊作為主設備，但是也可以考慮相反的配置。分為主安全模塊和從安全模塊在此尤其涉 及防錯的通信。從而，主設備例如可以被設置為檢查電報的連續的號碼並且藉助該號碼 確定從模塊以及這些模塊與主安全模塊的通信是否按規定工作。由於在圖1所示的具有安全模塊80的示例中存在多個邏輯連接，因此還可以為 該安全模塊分配多個埠形式的地址。具體地說，具有埠 0的地址80:0分配給至安全 模塊82的邏輯連接16，具有埠 1的地址80:1分配給至安全模塊83的邏輯連接17，具 有埠 2的地址80:2分配給至安全模塊83的邏輯連接18。此外，為了降低在初始化或規劃安全功能時的花費，有意義的還有，中央控制 裝置被設置為向安全模塊查詢用於建立路由表的信息，並且藉助該信息建立路由表。相 應地，在此安全模塊也被設置為提供所需要的信息。因此，根據本發明，涉及安全的通信分別通過通信主設備進行，其中進行發送 的安全模塊(在圖1的示例中為安全模塊80和90)總是向通信主設備3或中央控制裝置 發送，然後具有所獲得的信息的電報被通信主設備3或中央控制裝置發送到具有路由表 中所限定的目標地址的安全模塊。這提供了以下優點進行發送的安全模塊和進行接收 的安全模塊都不需要關於哪個其它安全模塊分配給它以執行邏輯組中涉及安全的功能的 fn息o—種參照路由表的產生初始化非安全的中央控制裝置的實施方式如下所示-首先確定所連接的網絡配置。-然後確定所連接的安全模塊的地址，或一般性地確定其標識信息。
-必要時進行可信性檢驗(Plausibilitaetspruefung)。_藉助來自最前面兩個步驟的信息，在周期性運行時設置用於電報路由的分配列 表(Anweisungslist)或複製列表。作為用於自動建立路由表或複製列表的安全模塊的標識信息，尤其可以使用-標識碼，-裝置ID，-裝置名稱，-安全地址，該安全地址例如可以是在安全模塊上藉助開關能設置的。總之，初始化可以藉助實施在通信主設備中的算法如下進行首先算法在網絡 中識別安全模塊，例如識別其ID碼，然後從這些模塊中讀出安全地址。現在可以藉助安 全地址識別出自動路由應當在島內或邏輯組內進行，也就是在圖1的示例中在模塊80-83 與模塊90、91之間進行。對應於第一島內的邏輯連接16至18建立參考或複製作業 (Kopierauftrag)，並且根據第二島的邏輯連接19建立參考或複製作業。根據本發明的另一實施方式，安全模塊的分配也可以通過在安全模塊上設置通 信主設備的地址信息來進行。這在通信網絡中具有多個通信主設備3並且應當向每個通 信主設備3分配一個島或安全模塊的邏輯組的情況下是有利的。轉到圖3所示的示例，在這種情況下通信主設備3例如具有號碼8或相應的地 址。該號碼或地址在安全模塊80、81的地址選擇開關21上設置。通信主設備3然後在 初始化階段查詢在安全模塊上設置的號碼或相應的地址，並且因此識別出模塊80、81被 分配給它並且應當形成用於執行安全功能的邏輯組。分配或複製列表在此是路由表的一種可能形式。根據本發明一實施方式，將信 息轉發到進行接收的安全模塊可以通過在通信主設備3的通信固件內或使用者程序中復 制完整的電報來進行。為此可以建立複製列表(表格等)，然後在周期運行中處理該複製 列表。在通信主設備中保持的路由表是否正確，並且因此還有消息是否被路由到正確 的用戶同樣可以通過各自進行接收的安全模塊藉助防錯的網絡協議來確定。複製列表對於複製作業優選總是包含源地址(源指針)、目標地址(目標指針) 和待覆制數據的長度。在自動建立路由表(如在圖2中示例性示出的那樣)時，重要的是沒有多餘的或 甚至錯誤的連接，或只有正確的連接被登記。錯誤的連接例如是不同邏輯組的安全模塊 之間的那些連接。這可能導致針對一臺機器的緊急開關的信號將切斷另一機器。為了在建立路由表時正確地分配屬於安全模塊的邏輯組的連接，通信主設備3 在本發明的擴展方案中被設置為查詢連接到通信網絡的安全模塊的信息並且藉助所查詢 到的信息確定哪些安全模塊屬於一個邏輯組，並且在路由表中對應於安全模塊的分配進 行連接。為此存在多種可能。一種簡單的可能在於，分析安全模塊的地址信息。為此可 以配置安全模塊的地址，使得這些地址分別已經反映或表示對一個邏輯組的同一從屬性 (zusammenhoerigkeit)。一種可能在於，通信主設備向邏輯組分別分配特定的地址空間。 另一種可能在於，安全模塊被設置為通過通信網絡應要求而提供表徵對特定邏輯組的從屬性(zugehoerigkeit)的信息。該信息也可以被考慮為地址的組成部分。在圖1所示的示例中，安全模塊例如可以具有對應於所分配的附圖標記的地 址。從而通信主設備可以被設置為在路由表中通過相應的連接作業映射相應於地址空間 50-59、60-69、70-79、80-89、90-99 等的邏輯組。如藉助圖1看出的，例如一個邏輯組的模塊全都具有地址空間80-89中的地址， 另一邏輯組的安全模塊具有在地址空間90-99中的地址。相應地，在路由表中然後錄入 模塊80、81、82、83之間的連接作為一方以及模塊90和91之間的連接作為另一方。為了實現很多安全功能，例如響應於輸入信號而輸出斷開信號，有意義的是一 個組的安全模塊中，至少一個安全模塊具有輸入模塊，且至少一個安全模塊具有輸出模 塊。輸入模塊於是通過具有兩個點對點連接的邏輯連接在通信主設備參與下向輸出模塊 發送電報，該輸出模塊然後響應於該電報而觸發涉及安全的動作。現在為了例如在安裝自動化設備時標識屬於一個邏輯組的安全模塊，可以為這 些安全模塊配置地址選擇開關。合適的是，例如在外殼上設置Dip開關。這樣設置或通過其它方式為安全通信確定的地址不必與一般的網絡地址一致。 而是在此可以是特殊的安全地址。如下面藉助圖3示例性解釋的那樣，對安全地址的給 定或者還有對其它個體地址信息的給定可以被進行為使得實施在通信主設備中的算法識 別安全模塊對一個邏輯組的從屬性，並且在錄入這些安全模塊的連接的情況下相應地建 立路由表。為此圖3示出了具有輸入和輸出模塊形式的安全模塊的實施例。在圖1所示示例中的安全模塊80、81、82、83的邏輯組中，為簡單起見僅示出 安全模塊80和81。安全模塊80是輸出模塊，並且從被構造為輸入模塊的進行發送的安 全模塊81接收消息。這兩個安全模塊80、81具有用於與傳感器或執行器連接的連接端23。作為輸入 模塊的安全模塊81在此與傳感器27通過纜線26連接，而安全模塊80作為輸出模塊通過 纜線26與執行器29連接。在圖3所示的示例中，傳感器27是光電柵欄30的傳感器。 執行器29在此示例中是安全繼電器，該安全繼電器關斷由自動化網絡控制的機器31，例 如車床。因此，涉及安全的動作在該示例中是在光電柵欄30被中斷的情況下自動關斷機 器31。由此應當保證人員不能接近運行的機器31並且不會陷入危險。如果光電柵欄30中斷，則通過傳感器27的信號觸發從安全模塊81發送電報到 通信主設備3。該通信主設備藉助其路由表確定電報被轉發到安全模塊80並且相應地路 由該電報。進行接收的安全模塊80響應於包含在該電報中的關於觸發光電柵欄的信息而 經由連接端23啟動執行器29，或在此特別是啟動繼電器形式的執行器29，該繼電器響應 於連接端23上的信號而接通並由此將機器31轉換到安全狀態。現在應當避免在安全設備時費事地配置涉及安全的動作。尤其地，應當以簡單 的方式使得能夠將屬於一個邏輯組的各個安全模塊與其功能結合。在傳統的安全技術 中，這通過各個模塊之間的纜線連接來實現。為了對根據本發明的自動化設備進行該配置，安全模塊可以分別具有地址開關 21。安全模塊對一邏輯組的同一從屬性由此可以簡單地通過根據預定機制給定地址來進 行。在根據圖3的示例中，可以用地址開關21分別選擇地址空間，其中通過選擇相同的地址空間來分配給一個邏輯組。在所示示例中，利用地址選擇開關21可以選擇地址空間 40-49(開關位置 4)、50-59(開關位置幻、60-69、70-79、80-89、90-99。為了將兩個 安全模塊80和81邏輯地聯接到一個組，在所示示例中在兩個安全模塊中通過將地址選擇 開關21置於數字「8」來選擇地址空間80-89。
在初始化階段，向連接到通信網絡的安全模塊查詢其地址。然後這些安全模塊 返回地址信息。然後藉助所識別的該安全模塊與一個邏輯組的對應關係，通信主設備可 以建立具有相應邏輯關聯的路由表。
地址信息不必必須是完整的。例如，兩個安全模塊80、81可以將分配給它們的 地址空間80-89通知給通信主設備。該通信主設備然0後在第二步驟中為安全模塊80、 81分配完整的地址。但優選地，查詢完整的安全地址，其中除了完整的安全地址之外還 給定通過地址選擇開關21設置的地址，或者通過地址選擇開關21設置的地址是該完整地 址的組成部分。
與上述地址給定類似，例如還可以設置由進行接收的安全模塊80使用的埠。 為此可以設置相應的選擇開關，利用這些選擇開關設置用於安全模塊相互之間通信的端 口。只要特定埠對特定輸入模塊的對應關係對於識別和執行涉及安全的動作不是必要 的，就也可以在初始化階段中自動給定埠地址。
對本領域技術人員來說明顯的是，本發明不限於圖中所示的示例，而是可以更 多樣化地在下面權利要求的範圍內改變。
權利要求
1.一種自動化設備，具有尤其是非安全的通信主設備(3)和多個分布式模塊(70， 80-83，90，91)，其中-所述分布式模塊(70，80-83，90，91)被構造為網絡用戶並且藉助於通信網絡與所 述通信主設備(3)聯網，其中-在所述通信網絡中，所述分布式模塊之間的通信通過電報實現，其中 -至少兩個所述模塊是安全模塊，在這些安全模塊之間傳輸涉及安全的數據，並且 -這些安全模塊形成用於執行涉及安全的功能的模塊的邏輯組， 並且其中_優選為非安全的通信主設備(3)具有路由表，在該路由表中存儲所述分布式安全模 塊之間對應於涉及安全的功能的邏輯連接，其中-該通信主設備被設置為受控地藉助於所述路由表將所述數據從進行發送的安全模塊 自動路由到進行接收的安全模塊，-使得屬於一個邏輯組的安全模塊之間的通信分別通過兩個點對點連接進行，即從所 述進行發送的安全模塊到所述通信主設備(3)以及進一步從該通信主設備(3)到所述進行 接收的安全模塊，_其中所述進行接收的安全模塊被設置為對應於所接收的數據執行涉及安全的動作，並且_其中該通信網絡具有用於向安全模塊查詢用於建立路由表的信息並且藉助該信息建 立路由表的裝置。
2.根據權利要求1所述的自動化設備，其中所述通信主設備被設置為為了初始化所述 路由表執行以下步驟a)確定所連接的網絡配置，b)確定所連接的安全模塊的標識信息，c)在必要時進行可信性檢驗，d)藉助於步驟a)和b)所得到的信息在周期性運行時建立用於電報路由的分配列表或 複製列表。
3.根據權利要求1或2所述的自動化設備，其中所述通信主設備(3)被設置為查詢連 接到所述通信網絡的安全模塊的信息，並且藉助於所查詢到的信息確定所述安全模塊中 哪些屬於一個邏輯組，並且在所述路由表中進行對應於所述安全模塊的分配的連接。
4.根據前述權利要求之一所述的自動化設備，其特徵在於，所述安全模塊的地址被 配置為使得這些地址分別反映對一個邏輯組的同一從屬性。
5.根據前述權利要求之一所述的自動化設備，其中涉及安全的數據在電報中的傳送 通過非安全的信道進行，並且為了防錯地傳輸涉及安全的數據，所述進行接收的安全模 塊被構造為針對電報的更換、偽造、誤傳導或破壞識別錯誤。
6.根據權利要求5所述的自動化設備，其特徵在於，由進行接收的安全模塊在所接收 的電報中檢查至少一個以下特徵，優選檢查所有以下特徵-時間戳， -冗餘， -校驗和，_當前電報號， 「發送者標識， _接收者標識。
7.根據權利要求6所述的自動化設備，其特徵在於，所述通信主設備(3)被設置為分 別為邏輯組分配特定的地址空間。
8.根據前述權利要求之一所述的自動化設備，其中一個邏輯組的安全模塊中，至少 一個安全模塊具有輸入模塊，並且至少一個安全模塊具有輸出模塊，其中該輸出模塊被 設置為響應於輸入模塊的電報而觸發安全功能。
9.一種用於監控自動化設備中安全功能的方法，該自動化設備具有尤其是非安全的 通信主設備(3)和多個分布式模塊，其中-所述分布式模塊被構造為網絡用戶，並且藉助於通信網絡與所述通信主設備聯網，其中-在所述通信網絡中，所述分布式模塊之間的通信通過電報實現，其中 -至少兩個所述模塊是安全模塊，在所述安全模塊之間傳輸涉及安全的數據，並且 _所述安全模塊形成用於執行涉及安全的功能的模塊的邏輯組， 並且其中_優選為非安全的通信主設備(3)包含路由表，在該路由表中存儲所述分布式安全模 塊之間對應於涉及安全的功能的邏輯連接，其中-該通信主設備藉助於所述路由表將所述數據從進行發送的安全模塊自動路由到進行 接收的安全模塊，-使得屬於一個邏輯組的安全模塊之間的通信分別通過兩個點對點連接進行，即從所 述進行發送的安全模塊到所述通信主設備(3)以及進一步從該通信主設備(3)到所述進行 接收的安全模塊，-其中所述進行接收的安全模塊對應於所接收的數據執行涉及安全的動作，並且其中 -由該通信網絡的一個裝置，優選是由所述通信主設備，向所述安全模塊查詢用於建 立路由表的信息並且藉助該信息建立路由表。
全文摘要
本發明涉及自動化設備的通信網絡中涉及安全的模塊之間的通信。本發明在此所基於的任務是，簡化自動化網絡中對涉及安全的模塊的安裝和規劃。為此將一個設備的安全功能劃分為小的、一目了然的、局限於本地的以及可簡單驗證的模塊組。
文檔編號H04L29/06GK102025610SQ20101029044
公開日2011年4月20日 申請日期2010年9月20日 優先權日2009年9月23日
發明者J·施密特, S·霍恩 申請人:菲尼克斯電氣公司