工業自動化環境中的透明橋接和路由選擇的製作方法

2023-07-31 07:10:01 2

專利名稱：工業自動化環境中的透明橋接和路由選擇的製作方法
技術領域：
本發明一般涉及工業控制系統，尤其涉及用於工業控制系統中的透明通信 的系統和方法。
背景
工業控制系統已使得現代工廠在許多情況下能夠變得部分或全部地自動 化。這些系統一般包括在設備級別接口到開關、接觸器、繼電器以及螺線管的
多個輸入輸出(I/O)模塊以及提供諸如比例積分微分(PID)控制等更複雜功 能的模擬控制。通信也已被集成到這些系統中，由此許多工業控制器可經由諸 如乙太網、控制網(ControlNet)、設備網(DeviceNet)或其它網絡協議等網 絡技術來通信，且還與更高級計算系統通信。 一般而言，工業控制器利用上述 技術以及其它技術跨多個且不同的應用來控制、協作和通信。
在工業控制系統的核心是諸如可編程邏輯控制器(PLC)等邏輯處理器。 可編程邏輯控制器由系統設計者編程以經由用戶設計的邏輯程序或用戶程序 來操作製造過程。用戶程序存儲在存儲器中，且一般由PLC以順序的方式執 行，雖然例如指令跳轉、循環和中斷例程也是常見的。與用戶程序相關聯的是 向PLC操作和程序提供動態特性的多個存儲器元素或變量。這些變量可以是 用戶定義的，且可被定義為比特、字節、字、整數、浮點數、定時器、計數器 和/或其它數據類型等等。
由於控制應用己跨工廠場地分布且在許多情況下跨地理或物理邊界分布， 所以工業控制器以及相關聯的控制系統已日益變得更尖端和複雜。作為一個示 例，多個控制器和/或其它設備可經由網絡來通信和協作以控制一整體製造過程 的一個或多個方面，而其它設備可遠程地定位卻仍然貢獻於該同一過程。換言 之，控制應用已變得更少地中心定位在具有整個操作的相關聯責任的單一控制 系統上。因此，整個控制功能和/或過程的分布通常跨許多控制組件、系統或設
備發生。
概述
下文提出了簡化概述以便提供對所要求保護的主題的某些方面的基本理 解。本概述並非廣泛的概括。它並非旨在標識關鍵/重要的要素或描繪所要求保 護的主題的範圍。其唯一的目的是以簡化的形式提出一些概念，作為對隨後所 提出的更詳細描述的序言。
簡言之，所提供的主題涉及工業自動化系統以及其中利用通信網絡的通
信。這通過向工業控制設備(例如，PLC、 PLC 1/0模塊、PLC程序模塊、人 機接口、傳感器等)分配在網絡上可操作的地址來實現。客戶機利用所分配的 地址在網絡上透明地訪問工業控制設備。此外，工業控制設備可利用所分配的 地址來透明地訪問遠程客戶機和伺服器。
根據本發明的一方面，將請求經由網絡發送到PLC。請求被轉換成PLC 底板所使用的通信協議並在該底板上路由選擇到接收方模塊。此外，本發明提 供了阻止缺少正確訪問特權的設備在網絡上向PLC模塊作出未授權請求的系 統和方法。類似地，在另一方面，PLC主存的應用和工業控制設備可透明地橋 接或穿過PLC底板併到達基於網際網路或內聯網的資源，包括web伺服器、文 件伺服器、資料庫、應用伺服器以及其它設備或應用。
在本發明的另一方面，向一工業控制設備分配多個地址，對包括在該設備 中的每一子組件或服務有一地址。這些地址可被發現，使得客戶機可檢索所有 可用的設備和服務以及對應於這些設備和服務的網絡地址的列表。除此之外或 作為替代，節點可以宣告它們自己。
為實現前述以及相關目的，本文聯繫以下描述和附圖來描述所要求保護的 主題的某些說明性方面。這些方面指示可實施本主題的各種方法，所有這些方 法都旨在落入所要求保護的主題的範圍之內。在結合附圖考慮時，其它優點和 新穎特徵可從以下的詳細描述中變得顯而易見。
附圖簡述


圖1是根據本發明一方面的工業控制系統的框圖。
圖2是示出根據本發明一方面的邏輯控制器的框圖。
圖3是示出根據本發明一方面的邏輯控制器的框圖。
圖4是示出根據本發明一方面的工業控制系統的框圖。
圖5是示出根據本發明一方面的邏輯控制器的框圖。
圖6是示出根據本發明一方面的邏輯控制器的框圖。
圖7是示出本發明一方面的發現系統的框圖。
圖8是示出根據本發明一方面的工業控制設備系統的框圖。
圖9是根據本發明一方面的工業控制系統的框圖。
圖IO是示出根據本發明一方面的發現系統的框圖。
圖11是工業控制系統通信方法的流程圖。
圖12是用於控制對控制模塊或設備的訪問的方法的流程圖。
圖13是可編程邏輯控制器通信方法的流程圖。
圖14是用於處理來自PLC模塊的對數據的請求的方法的流程圖。
圖15是設備發現方法的流程圖。
圖16是用於傳播所發現的設備的方法的流程圖。
圖17是示例計算環境的示意圖。
詳細描述
現參考附圖來描述本發明的各方面，在全部附圖中，相同的標號指相同或 相應的要素。然而應該了解，附圖以及與其相關的詳細描述並非旨在將所要求 保護的主題限於所公開的特定形式。相反，本文主旨是覆蓋落在所要求保護的 主題的精神和範圍之內的所有修改、等效技術方案以及替換技術方案。
如本文中所使用的，術語"組件"、"系統"等等旨在指計算機相關實體， 其或者是硬體、硬體與軟體的組合、軟體、或者是執行中的軟體。例如，組件 可以是，但不限於，處理器上運行的進程、處理器、對象、可執行碼、執行的 線程、程序、和/或計算機。作為說明，計算機上運行的應用程式和該計算機兩 者都可以是組件。 一個或多個組件可駐留在一進程和/或執行的線程中，且一組 件可位於一臺計算機上和/或分布在兩臺或更多臺計算機之間。
本文使用詞語"示例性"來指用作示例、實例或說明。本文中被描述為"示
例性"的任意方面或設計並不一定被解釋為相對於其它方面或設計是優選的或 有利的。
此外，所公開的主題可被實現為使用標準編程和/或工程技術來生產控制 基於計算機或處理器的設備來實現本文詳述的各方面的軟體、固件、硬體、或 其任意組合的系統、方法、裝置或製品。本文所使用的術語"製品"(或作為 替代，"電腦程式產品")旨在包含可從任意計算機可讀設備、載體、或介 質訪問的電腦程式。例如，計算機可讀介質可包括但不限於磁存儲設備(例
如，硬碟、軟盤、磁條……)、光碟(例如，緊緻盤(CD)、數字通用盤(DVD)……)、 智慧卡以及快閃記憶體設備(例如，卡、棒)。此外，應該了解，可使用載波來承載 計算機可讀的電子數據，諸如那些在發送和接收電子郵件時或在訪問諸如因特 網或區域網(LAN)等網絡時所使用的。當然，本領域的技術人員將認識到， 可對本配置作出許多修改而不背離所要求保護的主題的範圍或精神。
首先轉到圖1， 一示意性框圖示出了根據本發明一方面的例示出通信的工 業控制系統100。系統100包括客戶機102和可編程邏輯控制器(PLC) 110。 PLC 110包括網絡模塊114以及I/O模塊112。向I/O模塊112分配地址118 使得模塊112可經由網絡104來訪問。例如，網絡104可以是TCP/IP網絡， 而地址118可以是網間協議第4版(IPv4)地址或網間協議第6版(IPv6)地 址。可以了解，網絡104可以是任意類型的通信網絡(例如，有線、無線、衛 星……)，且地址116可以是在所使用的類型的網絡上起作用的任意類型的網 絡地址。
PLC 100由網絡模塊114可通信地耦合到網絡104。 I/O模塊112與網絡 模塊114相關聯，使得網絡104上接收到的向/自1/0模塊112作出的請求由網 絡模塊114轉發。安全組件116與PLC110相關聯或由其包含，且控制對由唯 一的地址118 (例如，IP位址)所標識的I/0模塊112的訪問。可以了解，雖 然安全組件116被描繪為獨立的對象，但它也可以被包含在I/O模塊112或網 絡模塊114中或分布在它們之間。安全組件116通過充當防火牆、充當網絡地 址轉換(NAT)設備、認證用戶名和口令、阻止未授權的請求、進或出過濾器、 加密/解密功能、聯合安全、將一安全訪問機制憑證映射到在整個企業中所使用 的較常見形式的"單點登錄"方法等等，來控制對I/0模塊114的訪問。
客戶機102通過路由器/交換機106在網絡104上通信。可以了解，客戶 機102也可不需要路由器/交換機106來在網絡104上通信。客戶機102可以是 個人計算機(PC)、人機接口 (HMI)、另一PLC、或其它網絡可連接組件。 客戶機102可通過訪問或尋址與I/O模塊112相關聯的地址118而在網絡104 上與I/0模塊112通信。安全組件116通過提供有效的憑證(包括聯合安全， 例如單點登錄服務)或在網絡104上正確地配置來確保客戶機102可僅與I/O 模塊112通信，如果它被授權這樣做。
轉到圖2，示出描述根據本發明另一方面的可編程邏輯控制器(PLC)系 統200的示意圖。系統200包括PLC210和網絡104。 PLC模塊212和網絡模 塊114由PLC底板220可操作地耦合到PLC 210。 PLC模塊212與網絡模塊 114可使用包括但不限於工業協議、透明進程間通信及網間協議等多個協議中 的至少一個通過底板220通信。PLC模塊212被分配了諸如IP位址等一個或 多個唯一系統地址218，使得模塊212可經由網絡104被訪問或用其它方式與 其交互。經由網絡104發送到地址218處的PLC模塊212的請求由網絡模塊 114通過將該請求從由網絡104所使用的協議轉換成底板220所使用的協議而 通過底板220路由。作為替代，應該了解，PLC210所使用的協議可以是與網 絡104上所使用的相同的協議。因此，可以不需要完成轉換。類似地，由PLC 模塊212主存的應用可使用網絡模塊114來將請求轉換到網絡104所使用的協 議，並訪問包括文件伺服器、資料庫、應用伺服器、web伺服器、以及分布式 應用等遠程資源。
在圖3中，示出了與圖2中的系統類似的PLC系統300以示出本發明的 另一方面。PLC 310包括網絡模塊114、與網絡地址318相關聯的PLC模塊312、 以及安全組件116。網絡模塊114、 PLC模塊312以及安全組件116例如通過 底板220可通信地耦合。此外，網絡模塊114可通信地耦合到網絡104且可與 其上的數據傳輸交互。此外，網絡模塊114可將對地址318處的PLC模塊312 作出的網絡請求轉換成PLC310所使用的協議並由底板220來傳輸。除此之外 或作為替代，網絡模塊114可將以PLC協議提供的數據轉換成網絡104的協 議。該協議可與網絡104所使用和傳輸的協議相同或不同。安全組件116充當 PLC模塊312與網絡模塊114之間的中介，並且可控制對由PLC 310的組件所
提供的數據的傳輸和訪問。具體而言，通過底板220的未授權路由可被安全組
件116阻止。例如，安全組件116可實現一認證過程，該過程確定數據發送器 的身份並確定該發送器是否被授權與PLC模塊312交互。所描述的安全組件 116可經由底板連接，截取並分析定向到PLC模塊的數據或對數據的請求。安 全組件116可被配置成監視所截取的數據，例如以驗證數據值在期望的範圍之 內並在必要時向管理程序代理髮送警報或事件通知。作為替代，應該注意，安 全組件116可在網絡模塊114和減PLC模塊312內提供。此外，組件116所 利用的安全憑證，諸如用戶名和口令或數字證書(X.509等)可被包含在PLC 模塊312中並由安全組件116來訪問。安全組件116可結合諸如智慧卡、SIM 晶片等安全設備且實際的安全憑證實際上可以並不跨底板220移動。
現在轉到圖4， 一示意框圖示出示例性工業控制系統400。系統400包括 個人計算機(PC) 404以及通過路由器/交換機406連接到第一網絡450的人機 接口 (HMI) 402。第二HMI440通過第二路由器/交換機408連接到第二網絡 460。可編程邏輯控制器(PLC) 410、 420和430分別經由網絡接口 416、 424 和434通過路由器/交換機408也連接到第二網絡460。 PLC 410還經由網絡接 口模塊4M通過路由器/交換機406連接到第一網絡450。 PC 404和HMI 402 可經由PLC 410與第二網絡460上的任意設備進行通信。來自PC 404以及HMI 402的定址到第二網絡460上的任意設備的請求將通過PLC 410的底板從可通 信地耦合到第一網絡450的網絡接口 414轉發到可通信地耦合到第二網絡460 的網絡接口 416。來自第二網絡460上的任意設備的響應將以類似的方式返回 到PC 404或HMI 402。該響應將通過PLC 410的底板從網絡接口 416轉發到 網絡接口 414。同樣地，可通信地連接到網絡接口 416的設備可通過由設備414 和416所管理的同一底板路由來透明地將請求發送到PC 404或HMI 402。
PLC 410和420分別包括PLC設備或模塊412和422。例如，PLC設備 412和422可以是任意類型的PLC模塊(例如，I/O、程序、處理器等)。PLC 設備412可在PLC 410的底板上發送數據到網絡接口 414和416並從網絡接口 414和416接收數據。類似地，PLC設備422可在PLC420的底板上與網絡接 口 424進行通信。從第一網絡460上的HMI 402和PC 404發送到PLC設備412 的數據請求由網絡接口 414經由底板轉發到PLC設備412。從第二網絡460上
的HMI 440發送到PLC設備422的請求由網絡接口 424在PLC 420的底板上 進行路由。PC 404和HMI 402可通過將請求通過網絡接口 414和416從第一 網絡460轉發到第二網絡460來將該請求發送到PLC設備422。
除了網絡接口 434之外，PLC 430還包括工業協議網絡接口 432。工業協 議設備436通過工業協議網絡接口 432可通信地耦合到PLC 430。來自PC 404 以及HMI 402和404的去往工業協議設備436的數據請求由網絡接口 434來接 收。該請求在PLC430的底板上轉發到工業協議網絡接口 432，工業協議網絡 接口 432隨後在工業協議網絡上將該請求路由到工業協議設備436。響應在工 業協議網絡上返回到工業協議網絡接口 432，隨後在PLC430的底板上從工業 協議網絡接口 432轉發到網絡接口 434。該響應在第二網絡460上被發送到數 據請求者或經由PLC 410轉發到第一網絡450。
現在轉到圖5， 一示意框圖示出根據本發明一方面的例示了通信的工業控 制系統500。系統500包括客戶機502和可編程邏輯控制器(PLC) 510。 PLC 510包括網絡模塊114和PLC模塊512。 PLC模塊512可以是任意類型的模塊 (例如，I/O、程序、處理器等)。地址518被分配給PLC模塊512，使得模 塊512可經由網絡104來訪問。網絡104例如可以是TCP/IP網絡，而地址518 可以是網間協議第4版(IPv4)地址或網間協議第6版(IPv6)地址。將了解， 網絡104可以是任意類型的通信網絡(例如，有線、無線、衛星……)，且地 址518可以是在所使用的網絡類型中起作用的任意類型的網絡地址。
PLC 510由網絡模塊114可通信地耦合到網絡104。 PLC模塊512與網絡 模塊114相關聯，使得網絡104上接收到的向或自模塊512作出的請求由網絡 模塊114來轉發。網絡模塊114使用路由表516以便於轉發在網絡104上所接 收到的請求。路由表516包含在網絡104上可操作的地址518到工業協議ID 或地址的映射。當輸入請求從網絡104上的客戶機502發送到地址518，即想 要到模塊512時，該請求由網絡模塊114接收。網絡模塊114在路由表516中 查找地址518並檢索一工業協議ID或地址，其隨後被用於將該請求路由到模 塊512。類似地，當網絡模塊114接收到來自模塊512的請求時，網絡模塊114 訪問路由表516以檢索與模塊512相關聯的地址518。該網絡模塊使用所檢索 到的地址以將來自模塊512的請求轉發到網絡104上的客戶機502，使得看起
來該請求源自於地址518。除路由表組件516外，還存在執行工業協議與相應 的網際網路標準協議之間的協議轉換的協議組件520。例如，存在用於檢測以太 網設備的存在的標準ICMP "查驗(ping)"。該"査驗"服務可被設備114 截取，以經由組件516來查找路由地址，且隨後經由組件520轉換成與設備512 的消息等效的適當的工業協議。所有這些查找和變換都不能被遠程客戶機502 檢測到。
圖6描述示出本發明另一方面的與圖5中的系統類似的工業控制系統 600。系統600包括客戶機602、 PLC 610、以及遠程PLC模塊612。 PLC模塊 612可以是任意類型的模塊(例如，I/O、程序、處理器等)。地址618被分配 給PLC模塊612，使得模塊612可經由網絡104來訪問。此外，應該注意，PLC 模塊612可包括像PLC模塊610的那些模塊或與其相關聯，這些模塊包括但 不限於，控制適配器620、網絡模塊114、路由表516、以及協議組件520，但 為了簡明起見未在該圖中示出。PLC 610包括網絡模塊114以及控制網絡適配 器620。 PLC模塊612可通信地耦合到控制網絡630且PLC 610通過控制網絡 適配器620可通信地耦合到控制網絡630。與圖5中的系統類似，使用路由表 516來將地址618映射到控制網絡630上的模塊612的地址。當網絡模塊114 接收到來自網絡104的輸入的對模塊612的請求時，網絡模塊114使用路由表 516來檢索映射到地址618的控制網絡地址。此外，協議組件520可執行工業 協議與相應的網際網路標準協議之間的協議轉換。網絡模塊114通過控制網絡適 配器620將該請求轉發到控制網絡630上的控制網絡地址。類似地，網絡模塊 114通過控制網絡適配器620從控制網絡630接收來自模塊612的請求。網絡 模塊114再次使用路由表516來將模塊612的控制網絡地址和協議映射到網絡 104上可操作的地址618和協議。網絡模塊114隨後使用地址618在網絡104 上發送該請求。
現在參考圖7，描述了工業控制系統700。工業控制設備730、 740和750 通過路由器/交換機720可通信地耦合到目錄組件710。向控制設備730、 740 和750中的每一個分別分配一個或多個網絡地址732、 742和752。可以了解， 控制設備730、 740以及750可以是PLC機架、PLC模±央、HMI等等。
簡要地轉到圖8，示出了與圖7中的控制設備730、 740和750類似的示
例性I/O模塊系統800。I/O模塊系統800包括經由網絡接口組件812可通信地 耦合到網絡870的I/O模塊810。 I/O模塊810具有輸入通道組件820以及輸出 通道組件830。輸入通道820接收來自傳感器860的輸入數據，而輸出通道830 將輸出數據發送到控制設備850。控制設備850例如可以是電動機、閥門、應 用、顯示器、HMI、 PLC或其它類似的工業控制設備。向輸入通道820和輸出 通道830分別分配在網絡870上可操作的地址822和832。可分配地址822和 832使得指示所尋址的設備的類型和功能的信息可被傳達。例如，地址或其一 部分可表達所尋扯的設備是否是I/0模塊、程序模塊、傳感器、HMI或某一其 它設備。地址822和832可以是，例如，IPv6地址，以便提供輸入通道820和 輸出通道830的全球唯一標識。IPv6地址的長度是128位，從而允許地址在全 球是唯一的，且允許將多個地址分配給一特定設備用於自分配、站點本地、以 及其它網絡範圍內的可尋址機制。
回到圖7,設備730、 740和750以圖8中所描述的方式來使用多個地址 732、 742和752。地址732、 742和752各自被分配給設備730、 740和750所 包括的組件、服務、或所提供的對象。根據本發明的一具體方面，可向諸如 CIP對象等設備對象分配可發現對象標識符(OID)(例如，追加了標識號的 公共前綴)。當該設備被添加到網絡時，它們可變得對同樣在該網絡上操作的 其它設備可見。目錄組件710在這些設備使用一發現協議(例如，思科發現協 議(Cisco Discovery Protocol) 、 IPv6鄰居發現協議(IPv6 Neighbor Discovery Protocol)等)附加時發現這些設備。除此之外或作為替代，這些設備或節點 可向目錄組件710宣告它們的存在。地址732、 742和752是與圖8相結合地 描述的類型，並指示其所提供的設備或服務的類別和/或類型。目錄組件710 處理所發現或所宣告的地址，並確定在該特定的所發現的地址處的設備所提供 的設備類別以及服務類型。數據存儲712與目錄710相關聯，目錄710在數據 存儲712中存儲關於已發現設備及其提供的服務對象等的信息。目錄710可通 信地耦合到第二網絡760，由此第二網絡上的客戶機(未示出)可請求已發現 設備和服務的列表。目錄710基於來自客戶機的這一請求，複製數據存儲712 的內容並將這些內容經由第二網絡760發送到該客戶機。目錄710可用作網關 設備，從而提供從第二網絡760上的客戶機到設備730、 740和750的網絡路 由。可以了解，這種網關功能還可包括將網絡請求從設備所使用的IPv6網絡 轉換到在許多網絡以及網際網路中常用的IPv4網絡。
圖9描繪了發現系統900。系統卯0包括客戶機902、目錄710、以及經 由網際網路930或其它網絡通信的設備940。設備940可被提供或生成一全球唯 一地址，使得客戶機902可從網際網路上的任意地方訪問設備940。客戶機組件 卯2可以是計算機、基於處理器的設備、自動化設備或可在網際網路930上通信 的其它電子設備。目錄可以是計算機可讀介質或存儲與設備940相關聯的地址 的電腦程式產品等等。客戶機組件卯2可經由LAN或網際網路訪問目錄710 以獲取設備940的全球可訪問地址。在獲取之後，客戶機902能與設備940通 過網際網路通信。可以了解，該全球唯一地址允許客戶機以同樣的方式從LAN 與該設備連接。
圖10是示出描述本發明各方面的示例性發現系統1000的系統圖。系統 1000包括人機接口組件1002、個人計算機(PC) 1004、目錄組件710、以及 程序模塊1030和I/O模塊1020。程序模塊1030和I/O模塊1020可分別包括 一個或多個網絡地址1032和1022或與其相關聯。這些地址可以是但不限於是 網間協議地址(IP位址)。此外，地址1022和1032可以描述其提供的與其相 關聯的模塊和/或服務。目錄組件710可監視連接到網絡的模塊並發現它們的地 址。 一旦被發現，目錄組件710可將這些地址以及關於與其相關聯的模塊的可 任選信息持久保存到數據存儲712。人機接口 (HMI) 1002和個人計算機(PC) 1004可與目錄組件交互。目錄組件710基於請求可將網絡設備的聯繫信息呈現 給HMI 1002和PC 1004中的一個或兩者。例如，可提供設備的IP位址和名稱 用於顯示。此外，設備對象、服務等可用分類並標識各個對象服務等的標識號 (例如，OID)來標識。這些信息可分層地或用任意其它容易理解的形式來呈 現。HMI 1002和PC 1004中的一個或兩者的用戶可從這些信息中標識出其將 要査詢的設備，並使用其地址來促進跨一個或多個網絡與一個或多個模塊的標 識和通信和/或直接與所標識的對象、服務等交互。
已對於幾個組件之間的交互描述了前述系統。應該了解，這些系統和組件 可包括本文所指定的那些組件或子組件、所指定的組件或子組件中的某一些、 和/或另外的組件。子組件也可被實現為可通信地耦合到其它組件的組件，而非
包括在父組件中。此外，應該注意， 一個或多個組件和/或子組件可被組合成提 供集成功能的單個組件。例如，安全組件116可被結合在網絡模塊114內或可 通信地耦合到網絡模塊114。這些組件也可與本文未具體描述但本領域的技術
人員所公知的一個或多個其它組件交互。
此外，如將了解的，以上所公開的系統以及以下的方法的各部分可包括人 工智能或基於知識或規則的組件、子組件、過程、裝置、方法、或機制(例如， 支持矢量機、神經網絡、專家系統、貝葉斯信任網絡、模糊邏輯、數據融合引 擎、分類器……)，或由它們構成。特別地，這些組件可將其執行的某些機制 或過程自動化以使得這些系統和方法的各部分的自適應性更強以及更高效和
智能。例如，在PLC模塊連接到網絡時，目錄組件710可使用基於人工智慧 的組件或系統來促進PLC模塊以及其地址的發現和呈現。此外，安全組件116 可使用前述組件、機制等中的一個或多個來限制或控制訪問。
考慮到上述示例性系統，可根據所公開的主題實現的方法將參考圖11-16 的流程圖來更好地了解。雖然為了解釋的簡化起見，該方法作為一系列框來示 出和描述，但可以理解和明白，所要求保護的主題並不限於框的順序，因為從 本文所描繪和描述的內容中，某些框與其它框可以按不同的順序和/或同時發 生。此外，並非所有示出的框都是實現下文所描述的方法所必需的。
此外，還應該了解，下文以及貫穿本說明書所公開的方法能被存儲在制品 上以便於將這些方法傳輸或轉移到計算機。所使用的術語製品旨在包括可從任 意計算機可讀設備、載體或介質訪問的電腦程式。
現在轉到圖ll， 一流程圖示出了根據本發明一方面的通信方法1100。方 法1100可在其中客戶機經由網絡與PLC模塊接口的情況下使用，但並不限於 這樣的情況。在參考標號1U0處，建立通信連接。例如，可在一地址處定位 用與該地址相關聯的設備或組件啟動的通信。作為示例而非限制，客戶機(例 如，PC、 HMI、自動化設備……)可通過訪問一 PLC模塊在網絡上的地址並 啟動通信會話來與該PLC模塊建立通信。在1120處，可提供認證信息來標識 用戶或實體。在1130處，作出關於是否授予訪問的判定。例如，安全組件可 認證客戶機的特權。這可通過各種方法來完成，包括但不限於，確認用戶名和 口令、將憑證或安全訪問請求映射到企業公共單點登錄機制、或驗證該客戶機
地址是所允許的地址之一。如果在1130處訪問被授予，則該方法前進到1140。
在1140處，與控制模塊或設備交互。例如，數據可發送到和/或檢索自控制模 塊。實際上，可允許己認證的客戶機通過安全組件訪問PLC模塊以及發送控 制請求。該認證保持有效且該交互可在整個會話期間持續，直到在1150處關 閉客戶機與PLC模塊之間的連接終止該會話。如果在1130處，訪問未被授予， 則該方法可簡單地終止。
圖12是控制對控制模塊或設備的訪問的方法1200的流程圖。在參考標號 1210處，接收訪問控制模塊或設備的請求。作為示例而非限制，該請求可起源 於個人計算機、人機接口、或甚至是另一自動化設備或系統。在1220處，獲 得認證或安全信息。這些信息可從諸如起源地址等所接收到的請求來獲得。除 此之外或作為替代，可輪詢請求實體以獲得諸如用戶名或口令等安全信息和/ 或使用經數字地籤署的證書等等。在1230處，作出關於是否應該向該請求實 體授予對控制模塊或設備的訪問的判定。例如，可對照允許地址的記錄來檢查 起源地址和/或驗證用戶名及口令。如果在1230處訪問未被授予，則該方法繼 續到1240。在1240處可阻止訪問。作為替代，如果在1230處訪問被授予，則 該方法可簡單地終止，從而允許該請求實體與自動化設備或模塊交互。當然， 可執行相反的方案使得訪問總是被主動阻止，並可基於授予訪問來執行動作以 允許請求實體與特定的模塊或設備交互。此外，進和出的消息可被映射和/或轉 換以便於通信。
現在參考圖13，流程圖1300示出根據本發明另一方面的一可編程邏輯控 制器通信方法。在1310處，客戶機通過嘗試連接到分配給PLC模塊的網絡地 址來啟動通信。該PLC模塊與PLC相關聯且耦合到PLC的底板。在1320處， 客戶機經由網絡發送請求到PLC模塊。例如，可使用諸如文件傳輸協議(TCP) 或超文本傳輸協議(HTTP)等作出TCP/IP套件請求以請求文件或其它數據。 在1330處可接收對該請求的響應。例如，被尋址的PLC模塊可在底板上將響 應發送到網絡模塊，如果有必要，該網絡模塊可將該響應從底板協議轉換成諸 如TCP/IP等網絡協議。
圖14描繪用於處理來自PLC模塊的對數據的請求的方法1400。在參考標 號1410處，接收來自一模塊的對數據的請求。該請求可經由TCP/IP或其它標
準協議在網絡上提供。根據本發明的一方面，網絡模塊可接收對PLC單元的 模塊的請求。網絡模塊也可耦合到PLC的底板以及可通信地耦合到網絡。在
1420處，可將該請求發送到所尋址的PLC模塊。例如，如果有必要，網絡模 塊可將該網絡請求轉換成與用於底板通信的協議相一致的請求。底板協議可包 括，但不限於，工業協議(IP)、網間協議(IP)、以及透明進程間通信協議 (TIPC)。經轉換的請求隨後可在底板上路由到PLC模塊。在1430處，可從 該PLC模塊檢索或接收請求響應。在1440處，可將該響應給請求者。例如， 這些信息可在底板上傳輸到網絡模塊且隨後在網絡上返回給請求者。
現在轉到圖15，流程圖1500示出根據本發明一方面的一設備發現方法。 在1510處，發現自動化設備。例如，諸如PLC模塊等設備可新連接到工業自 動化系統網絡。該設備可為該設備所提供每一服務分配一網絡地址，該設備或 服務的類型由該網絡地址的至少一部分來傳達。可使用發現協議或服務來檢測 該新設備的到達。在1530處，可存儲關於所發現的設備的信息以便於隨後的 諸如查找等交互。例如，目錄服務可處理新發現的設備的地址以識別由該地址 所傳達的設備類型或服務類型。每一地址以及相關聯的設備類型或服務類型被 存儲在一數據存儲中。
圖16描繪根據本發明一方面的用於傳播所發現的設備數據的方法1600。 在1610處，請求設備和可任選地相關聯的服務的列表。例如，客戶機(例如， PC或HMI)可用目錄來啟動通信並請求與網絡地址相關聯的設備和服務的列 表。在1620處，接收設備和可任選地相關聯的服務的列表。例如，設備以及 相關聯的IP位址的列表可用容易理解的方式，諸如經由設備駐留其中的系統 的分層或圖形表示來提供，或用XML文件來提供。在1630處，可使用接收到 的信息來與特定的設備進行通信。舉例來說，客戶機可選擇一期望的設備或服 務並通過嘗試連接到與該設備或服務相關聯的網絡地址來啟動與該期望的設 備或服務的通信。
為了提供用於所公開的主題的各方面的上下文，圖17和隨後的討論旨在 提供其中可實現所公開的主題的各方面的合適環境的簡明、概括的描述。雖然 該主題已在上文中在運行在一臺計算機和/或多臺計算機上的電腦程式的計 算機可執行指令的一般上下文中作了描述，但本領域的技術人員將認識到，本發明也可與其它程序模塊組合來實現。 一般而言，程序模塊包括執行特定任務 和/或實現特定抽象數據類型的例程、程序、組件、數據結構等。此外，本領域 的技術人員將了解，本發明方法可用其它計算機系統配置來實踐，包括單處理 器或多處理器計算機系統、小型計算設備、大型計算機、以及個人計算機、手 持式計算設備(例如，個人數字助理(PDA)、電話、手錶……)、基於微處 理器或可編程消費或工業電子產品等等。所示的各方面也可在其中任務由通過 通信網絡來連結的遠程處理設備來執行的分布式計算環境中實踐。然而，本發 明的某一些(如果不是全部)方面可在獨立計算機上實踐。在分布式計算環境 中，程序模塊可位於本地和遠程存儲器存儲設備兩者中。
參考圖17，用於實現本文所公開的各方面的示例性環境1710包括計算機 1712 (例如，臺式機、膝上型計算機、伺服器、手持式、可編程消費或工業電 子產品……)。計算機1712包括處理單元1714、系統存儲器1716、以及系統 總線1718。系統總線1718將包括，但不限於系統存儲器1716的系統組件耦合 到處理單元1714。處理單元1714可以是各種可用微處理器中的任一種。雙微 處理器和其它多處理器架構也可用作處理單元1714。
系統總線1718可以是幾種類型的總線結構中的任一種，包括使用多種可 用總線體系結構中的任一種的存儲器總線或存儲器控制器、外圍總線或外部總 線、和/或局部總線，這些總線體系結構包括但不限於，11位總線、工業標準 體系結構(ISA)、微通道體系結構(MSA)、擴展ISA (EISA)、智能驅動 電子設備(IDE) 、 VESA局部總線(VLB)、外圍部件互聯(PCI)、通用串 行總線(USB)、高級圖形埠 (AGP)、個人計算機存儲卡國際協會總線 (PCMCIA)、以及小型計算機系統接口 (SCSI)。
系統存儲器1716包括易失性存儲器1720以及非易失性存儲器1722。基 本輸入/輸出系統(BIOS)，包括諸如在啟動期間在計算機1712內的元件之間 傳輸信息的基本例程，存儲在非易失性存儲器1722中。作為說明而非限制， 非易失性存儲器1722可包括只讀存儲器(ROM)、可編程ROM (PROM)、 電可編程ROM (EPROM)、電可擦除ROM (EEPROM)、或快閃記憶體。易失性 存儲器1720包括擔當外部高速緩衝存儲器的隨機存取存儲器(RAM)。作為 說明而非限制，RAM以許多形式可用，諸如同步RAM (SRAM)、動態RAM(DRAM)、同步DRAM (SDRAM)、雙數據傳輸率SDRAM (DDR SDRAM)、 增強型SDRAM (ESDRAM)、同步鏈路(Synchlink) DRAM (SLDRAM)、 以及直接存儲器總線(Rambus) RAM (DRRAM)。
計算機1712還包括可移動/不可移動、易失性/非易失性計算機存儲介質。 例如，圖11示出盤存儲1724。盤存儲1724包括，但不限於，如磁碟驅動器、 軟盤驅動器、磁帶驅動器、Jaz驅動器、Zip驅動器、LS-100驅動器、快閃記憶體卡、 或記憶棒等設備。此外，盤存儲1724可包括與其它存儲介質相分離或組合的 存儲介質，該其它存儲介質包括，但不限於，諸如緊緻盤ROM設備(CD-ROM)、 CD可記錄驅動器(CD-R驅動器)、CD可重寫驅動器(CD-RW驅動器)或 數字通用盤ROM驅動器(DVD-ROM)等光碟驅動器。為促進盤存儲設備1724 到系統總線1718的連接，通常使用諸如接口 1726等可移動或不可移動接口。
可以了解，圖17描述了擔當在合適的操作環境1710中所描述的用戶和基 本計算機資源之間的中介的軟體。這些軟體包括作業系統1728。可存儲在盤存 儲1724上的作業系統1728用於控制以及分配計算機系統1712的資源。系統 應用程式1730利用了作業系統1728通過存儲在系統存儲器1716中或盤存儲 1724上的程序模塊1732和程序數據1734對資源的管理。可以了解，本發明可 用各種作業系統或作業系統的組合來實現。
用戶通過輸入設備1736將命令或信息輸入到計算機1712。輸入設備1736 包括，但不限於，諸如滑鼠、跟蹤球、指示筆、觸摸墊等指示設備、鍵盤、話 筒、操縱杆、遊戲手柄、圓盤式衛星天線、掃描儀、TV調諧卡、數字攝像機、 數字攝影機、web攝像頭等。這些以及其它輸入設備經由接口埠 1738通過 系統總線1718連接到處理單元1714。接口 1738包括，例如，串行埠、並行 埠、遊戲埠、以及通用串行總線(USB)。輸出設備1740使用與輸入設 備1736相同類型的接口中的某一些。因此，例如，USB埠可用於向計算機 1712提供輸入以及從計算機1712輸出信息到輸出設備1740。提供輸出適配器 1742以示出某些需要專用適配器的輸出設備1740，如顯示器(例如，平板和 CRT)、揚聲器和印表機、以及其它輸出設備1740等。作為說明而非限制， 輸出適配器1742包括提供輸出設備1740與系統總線1718之間的連接裝置的 視頻卡和音效卡。應該注意，諸如遠程計算機1144等其它設備和/或設備的系統提供輸入和輸出兩種能力。
計算機1712可使用到諸如遠程計算機1744等一個或多個遠程計算機的邏 輯連接在聯網環境中操作。遠程計算機1744可以是個人計算機、伺服器、路 由器、網絡PC、工作站、基於微處理器的電器、對等設備或其它常見的網絡 節點等，且通常包括相對於計算機1712所描述的許多或全部元件。為了簡明 起見，對遠程計算機1744僅示出存儲器存儲設備1746。遠程計算機1744通過 網絡接口 1748邏輯地連接到計算機1712,且隨後經由通信連接1750物理地連 接。網絡接口 1748包含諸如區域網(LAN)和廣域網(WAN)等通信網絡。 LAN技術包括光纖分布式數據接口 (FDDI)、銅分布式數據接口 (CDDI)、 乙太網/IEEE 802.3、令牌環/IEEE 802.5等。WAN技術包括，但不限於，點對 點鏈路、如綜合業務數字網(ISDN)及其變體等電路交換網絡、分組交換網、 以及數字用戶線。
通信連接1750指用於將網絡接口 1748連接到總線1718的硬體/軟體。雖 然為了說明性的清晰起見，通信連接1750被示為在計算機1712內部，但它也 可以在計算機1712外部。僅出於示例性的目的，連接到網絡接口 1748所必需 的硬體/軟體包括內部或外部技術，諸如包括常規電話級數據機、電纜調製 解調器、功率數據機以及DSL數據機等數據機、ISDN適配器、 以及乙太網卡或組件。
上述內容包括所要求保護的主題的各方面的例子。當然，不可能為了描述 所要求保護的主題而描述組件或方法的每一可想像的組合，但本領域的普通技 術人員可認識到，所公開的主題的許多進一步的組合和改變都是可能的。因此， 所公開的主題旨在包含落在所附權利要求的精神和範圍內的所有改動、修改以 及變化。此外，關於在詳細描述或權利要求中所使用的術語"包含"、"有" 或"具有"，這些術語旨在以與術語"包括"相似的方式是包含性的，如"包 括"在權利要求中使用為過渡詞時所解釋的那樣。
權利要求
1.一種工業控制系統，包括可通信地耦合到可編程邏輯控制器的網絡模塊組件；可通信地耦合到所述可編程邏輯控制器的模塊組件，所述模塊可通過所述網絡模塊經由網絡來尋址；以及控制通過所述網絡模塊對所述模塊組件的訪問的安全組件。
2. 如權利要求1所述的系統，其特徵在於，所述可編程邏輯控制器、所 述網絡模塊組件以及所述模塊組件在底板上通信。
3. 如權利要求1所述的系統，其特徵在於，所述網絡模塊與所述模塊組 件在控制網絡上通信。
4. 如權利要求3所述的系統，其特徵在於，所述網絡使用透明進程間通 信(TIPC)與TCP/IP協議中的至少一個。
5. 如權利要求4所述的系統，其特徵在於，所述TCP/IP網絡使用網間協 議第4版(IPv4)與網間協議第6版(IPv6)中的至少一個。
6. 如權利要求1所述的系統，其特徵在於，所述安全組件認證客戶機的 訪問特權。
7. 如權利要求6所述的系統，其特徵在於，所述安全組件阻止來自未授 權客戶機的網絡業務。
8. 如權利要求l所述的系統，其特徵在於，所述安全組件阻止來自局部 區域以外的客戶機的訪問。
9. 如權利要求1所述的系統，其特徵在於，所述安全組件隱藏所述模塊 的地址以使其不能在網際網路上查看。
10. 如權利要求1所述的系統，其特徵在於，所述安全組件被嵌入在所述網絡模塊中。
11. 如權利要求l所述的系統，其特徵在於，所述安全組件被嵌入在所述 可編程邏輯控制器中。
12. —種可編程邏輯控制器系統，包括連接到底板的網絡模塊，所述網絡模塊可通信地耦合到網絡；以及 可在網絡上尋址的PLC模塊，所述PLC模塊在所述底板上經由多個協議中的一個與所述網絡模塊進行通信，所述網絡模塊將向所述PLC模塊作出的網絡請求轉換成底板協議請求。
13. 如權利要求12所述的系統，其特徵在於，所述多個協議還包括工業 協議、透明進程間通信以及網間協議中的至少一個。
14. 如權利要求12所述的系統，其特徵在於，所述網絡還包括使用IPv4 和IPv6地址中的至少一個的TCP/IP網絡。
15. 如權利要求12所述的系統，其特徵在於，還包括控制對所述PLC模 塊的訪問或與所述PLC模塊的交互的安全組件。
16. —種工業控制系統，包括 可通信地耦合到網絡的控制設備；以及可通信地耦合到所述網絡的、發現並存儲所述網絡上的控制設備的列表的 目錄組件。
17. 如權利要求16所述的系統，其特徵在於，所述控制設備還包括自分 配網絡地址，所述網絡地址基於所述控制設備的類型。
18. 如權利要求17所述的系統，其特徵在於，所述控制設備還包括服務 組件，所述服務組件被分配所述網絡地址中的一個。
19. 如權利要求16所述的系統，其特徵在於，所述目錄組件使用發現協 議來發現所述控制設備。
20. 如權利要求19所述的系統，其特徵在於，所述控制設備將信息寫到 所述目錄。
21. 如權利要求19所述的系統，其特徵在於，所述控制設備從所述目錄 讀取信息。
22. 如權利要求16所述的系統，其特徵在於，所述目錄組件可通信地耦 合到第二網絡。
23. 如權利要求22所述的系統，其特徵在於，還包括可通信地耦合到所 述第二網絡的客戶機組件。
24. 如權利要求23所述的系統，其特徵在於，所述目錄組件為所述客戶 機組件複製所述控制設備的列表。
25. 如權利要求22所述的系統，其特徵在於，所述目錄組件提供從所述 客戶機組件經由所述第二網絡對所述控制設備的訪問。
26. 如權利要求22所述的系統，其特徵在於，所述客戶機組件直接連接 到所述控制設備。
27. 如權利要求22所述的系統，其特徵在於，所述第二網絡是網際網路。
28. —種工業控制器環境中的網絡訪問方法，包括 在底板上與本地PLC模塊通信；經由TCP/IP網絡與遠程系統通信；以及認證所述遠程系統與所述本地PLC模塊之間的通信。
29. 如權利要求28所述的方法，其特徵在於，認證通信還包括確認用戶 名和口令。
30. 如權利要求29所述的方法，其特徵在於，還包括驗證所述遠程系統 的特權。
31. —種其上存儲有用於實現如權利要求28所述的方法的計算機可執行 指令的計算機可讀介質。
32. —種PLC通信方法，包括 經由TCP/IP網絡與遠程系統通信；經由底板協議在底板上與本地模塊通信；通過使用所述本地模塊的TCP/IP網絡地址從所述遠程系統訪問所述本地 模塊；以及將來自所述網絡的請求轉換成所述底板協議。
33. 如權利要求32所述的方法，其特徵在於，所述底板協議包括工業協 議、透明進程間通信以及網間協議中的至少一個。
34. —種其上存儲有用於實現如權利要求32所述的方法的計算機可執行 指令的計算機可讀介質。
35. —種在工業控制環境中通信的方法，包括: 檢測第一網絡上的PLC模塊； 標識與所述模塊相關聯的地址；以及 將所述地址傳播到第二網絡。
36.如權利要求35所述的方法，其特徵在於，還包括將所述地址持久保存到包括控制環境中的所有模塊的地址的存儲。
37. 如權利要求35所述的方法，其特徵在於，還包括用易理解的形式呈 現所述地址以便於用戶標識和選擇。
38. —種其上存儲有用於實現如權利要求35所述的方法的計算機可執行 指令的計算機可讀介質。
39. —種在工業控制器環境中通信的方法，包括請求可通信地耦合到一個或多個網絡的工業控制設備的網絡協議地址; 標識與一個或多個設備相關聯的地址；以及 經由所述地址來啟動與所述一個或多個設備的通信。
40. 如權利要求39所述的方法，其特徵在於，所述地址是工業協議或網 間協議地址中的一個或多個。
41. 一種其上存儲有用於實現如權利要求39所述的方法的計算機可執行 指令的計算機可讀介質。
全文摘要
本公開內容涉及工業自動化環境中自動化系統組件之間的透明通信。PLC模塊可被提供諸如IP位址等唯一網絡地址並可使用這些地址在網絡上訪問。客戶機系統無需知道用於與PLC模塊通信的實際協議和路由來訪問PLC模塊。工業控制系統配置可被修改和擴展，而不影響客戶機系統在該環境中運作的能力。
文檔編號G06F15/173GK101375272SQ200680038662
公開日2009年2月25日 申請日期2006年9月7日 優先權日2005年9月12日
發明者D·M·卡拉甘 申請人:洛克威爾自動控制技術股份有限公司