1.本文公开的主题总体上涉及工业安全系统,并且例如,涉及安全信号在单线安全系统中的传播。
背景技术:
2.现代工业自动化系统通常包括许多危险的机器接入点,如果在操作期间被破坏,则这些危险的机器接入点可能对操作者造成伤害。这些接入点可能会使操作者暴露于与危险的机器部件相关联的风险,包括但不限于通过移动零件引起的挤压、通过与暴露的高压线或高压部件接触引起的触电致死、化学灼伤、通过移动刀片引起的割伤或肢体断离、辐射暴露或者其他这样的危险。
3.为了减轻与这些接入点相关联的风险,工厂工程师通常实施被设计成保护与接入点进行交互的操作者的安全系统。这些安全系统可以包括安全继电器或安全控制器,该安全继电器或安全控制器监视各种安全输入设备的状态并且在所述安全输入设备中的任一安全输入设备指示潜在的不安全状况时断开到危险机器部件的电力连接。示例安全输入设备可以包括被安装在安全闸门上的提供对危险机器的接入的接近开关。接近开关输出可以作为输入提供给安全继电器,该安全继电器操作接触器,通过该接触器将电力提供给机器。当接近开关指示安全闸门打开时,安全继电器断开接触器以将电力与机器隔离。在另一示例中,可以通过光幕来对接入点允许操作者将零件装载至冲压机区域中进行保护,该光幕检测物理体(例如,操作者的手臂)何时穿过该接入点。与上面描述的示例接近开关一样,光幕的输出可以作为输入连接至安全继电器,使得当光幕被检测到的本体中断时安全继电器将电力与压力机隔离。可以由安全继电器监视的其他示例安全输入设备可以包括但不限于紧急停止按钮、基于重量检测来检测特定区域中人类存在的工业安全垫、紧急拉绳设备、光电传感器或基于激光的传感器、或者其他这样的安全检测设备。
4.针对危险接入点实施的功能安全解决方案必须符合当前特定于工业的功能安全标准,诸如由国际标准化组织(iso)或国际电工委员会(iec)规定的标准。这样的标准可以限定用于确定与机器相关联的风险水平的正式方法以及提供用于设计用于减轻该风险的安全系统的法定指南。这些安全标准规定了必须实施以对抗特定类型的危险的安全系统类型和配置。
技术实现要素:
5.下面呈现简化的概要,以提供对本文描述的一些方面的基本理解。该概述既不是广泛的综述,也不旨在标识关键/重要的元素或者描绘本文描述的各方面的范围。该概述的唯一目的是以简化的形式呈现一些构思作为稍后呈现的更详细描述的序言。
6.在一个或更多个实施方式中,提供了一种工业安全设备,该工业安全设备包括:输入端子;输出端子;电子开关,该电子开关在闭合状态下将输入端子电连接至输出端子,以及在断开状态下将输入端子与输出端子电断开连接;以及可操作地耦接至存储器的微控制
器,该微控制器执行存储在存储器上的可执行部件,所述可执行部件包括:安全状态检测部件,其被配置成确定工业安全设备的安全功能的状态;脉冲检测部件,其被配置成确定在输入端子上接收到的安全信号的调制脉冲图形是否对应于限定脉冲图形;以及开关控制部件,其被配置成:响应于确定调制脉冲图形对应于限定脉冲图形并且工业安全设备的安全功能是有效的,指示电子开关保持在闭合状态,以及响应于确定在输入端子处未接收到具有调制脉冲图形的安全信号或者工业安全设备的安全功能是无效的,指示电子开关转变至断开状态。
7.此外,一个或更多个实施方式提供了一种用于操作单线安全电路的工业安全设备的方法,该方法包括:由工业安全设备的微控制器确定该工业安全设备是否检测到安全状态;由该微控制器将由在该工业安全设备的输入端子上接收到的安全信号携带的脉冲图形与限定脉冲图形进行比较;响应于基于所述比较确定该脉冲图形与限定脉冲图形匹配并且确定该工业安全设备检测到安全状态,由该微控制器闭合电子开关,该电子开关将该工业安全设备的输入端子电连接至输出端子的;以及响应于基于所述比较确定该脉冲图形与限定脉冲图形不匹配或者确定该工业设备未检测到安全状态,由该微控制器断开电子开关。
8.此外,根据一个或更多个实施方式,提供了一种非暂态计算机可读介质,在该非暂态计算机可读介质上存储有指令,所述指令响应于执行使工业安全设备执行如下操作,该工业安全设备包括输入端子、输出端子、将输入端子连接至输出端子的电子开关、以及与电子开关并联连接的处理器,所述操作包括:确认在该工业安全设备的输入端子上接收到的安全信号携带与限定脉冲图形对应的脉冲图形;响应于确认和确定该工业安全设备的安全功能是有效的,将电子开关维持在闭合位置,其允许安全信号从输入端子传递至输出端子;以及响应于确定安全信号未携带与限定脉冲图形对应的脉冲图形或者确定该工业安全设备的安全功能是无效的,指示电子开关切换至断开位置,其将输入端子与输出端子电断开连接。
9.为了实现上述目的和相关目的,在本文结合以下描述和附图对某些说明性方面进行了描述。这些方面指示可以实践的各种方式,所有这些方式均旨在被覆盖在本文中。当结合附图考虑时,其他优点和新颖特征可以根据以下详细描述变得明显。
附图说明
10.图1是利用冗余信号路径来提高安全可靠性的示例安全电路的框图。
11.图2是示例单线安全系统架构的框图。
12.图3是可以由安全主设备生成的示例脉冲信号的时序图。
13.图4是示例通信主设备的框图。
14.图5是示例sws 安全设备的框图。
15.图6是示出安全设备与通信主机之间的连接的示例布线示意图。
16.图7是示出针对单线安全输入设备的sws 输出端子的使能条件的示例逻辑图。
17.图8是可以用于确认在通信主设备的sws 输入端子上的限定脉冲信号的接收的示例一般化电气示意图。
18.图9a至图9d是示出针对示例单线安全系统的示例安全模式和诊断模式的框图。
19.图10a至图10f是示出在其中由于多个安全设备的门被打开而使多个安全设备切
换至其不安全状态的场景下如何执行消息传递的框图。
20.图11是示出包括在两个单线通道上监视安全设备的通信主设备的sws 安全电路的图。
21.图12是示出包括将安全信号反相的安全设备的sws 安全电路的图。
22.图13a至图13e是示出其中两个独立的安全电路经由网络通信地连接并且可以共享全局紧急停止信号的示例架构的图。
23.图14a是用于监视单线安全电路的安全设备并且基于该监视来控制一个或更多个安全继电器中的安全接触器的示例方法的第一部分的流程图。
24.图14b是用于监视单线安全电路的安全设备并且基于该监视来控制一个或更多个安全继电器中的安全接触器的示例方法的第二部分的流程图。
25.图15是示出安全设备与通信主设备之间的连接的示例电气图,其中该安全设备包括用于处理和选择性地传递安全信号的嵌入式微控制器。
26.图16是示出由于处理延迟而引起跨多个安全设备的信号延迟的累积的示例单线安全电路的图。
27.图17是示出安全设备与通信主设备之间的连接的示例电气图,其中该安全设备被配置成用于安全信号的快速切换。
28.图18是示出被配置成用于安全信号的快速切换的安全设备的图,其中输入端子与输出端子之间的开关处于闭合位置。
29.图19是示出被配置成用于安全信号的快速切换的安全设备的图,其中输入端子与输出端子之间的开关处于断开位置。
30.图20是用于操作单线工业安全设备的示例方法的流程图,该单线工业安全设备用作单线安全电路的安全监视设备并且支持脉冲安全信号的快速切换和单线消息传递。
31.图21是示例计算环境。
32.图22是示例联网环境。
具体实施方式
33.现在参照附图描述主题公开内容,其中,贯穿全文使用相似的附图标记来指代相似的元素。在以下描述中,出于说明的目的,阐述了许多具体细节以提供对其的透彻理解。然而,明显的是,可以在没有这些特定细节的情况下实践主题公开内容。在其他实例中,以框图的形式示出了公知的结构和设备以利于对其进行描述。
34.如在本技术中使用的,术语“部件”、“系统”、“平台”、“层”、“控制器”、“终端”、“站”、“节点”、“接口”旨在指代计算机相关实体,或者与具有一个或更多个特定功能的操作装置相关的或作为该操作装置的一部分的实体,其中,这样的实体可以为硬件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以为但不限于:在处理器上运行的进程、处理器、硬盘驱动器、包括附接的(例如,螺钉连接或螺栓连接)或可移除的附接的固态存储驱动器的多个存储驱动器(光存储介质或磁存储介质的多个存储驱动器);对象;可执行体;执行线程;计算机可执行程序以及/或者计算机。作为说明,服务器上运行的应用以及服务器两者均可以为部件。一个或更多个部件可以驻留在进程和/或执行的线程内,并且部件可以位于一个计算机上以及/或者分布在两个或更多个计算机之间。此外,如本文描述的部件可以
根据其上存储有各种数据结构的各种计算机可读存储介质来执行。部件可以经由本地进程和/或远程进程例如根据具有一个或更多个数据分组(例如,来自与本地系统、分布式系统中的另一部件进行交互以及/或者经由信号跨网络诸如因特网与其他系统进行交互的一个部件的数据)的信号进行通信。作为另一示例,部件可以为具有由下述电气电路或电子电路操作的机械零件提供的特定功能的装置,所述电气电路或电子电路由处理器执行的软件应用或固件应用来操作,其中,处理器可以在该装置的内部或外部并且执行软件应用或固件应用的至少一部分。作为又一示例,部件可以为在没有机械零件的情况下通过电子部件提供特定功能的装置,该电子部件可以在其中包括处理器以执行至少部分提供电子部件的功能的软件或固件。作为再一示例,接口可以包括输入/输出(i/o)部件以及相关联的处理器、应用或应用程序接口(api)部件。虽然前述示例涉及部件的各个方面,但是所例示的方面或特征也适用于系统、平台、接口、层、控制器、终端等。
35.如本文使用的,术语“推断”和“推论”通常是指根据如经由事件和/或数据捕获的观察结果的集合来推理或推断系统、环境和/或用户的状态的处理。例如,可以采用推断来识别特定的上下文或动作,或者可以生成关于状态的概率分布。推断可以是概率性的,也就是说,基于对数据和事件的考虑来计算关于感兴趣的状态的概率分布。推断还可以是指用于根据事件和/或数据的集合来构成更高水平的事件的技术。这样的推断导致根据观察到的事件和/或所存储的事件数据的集合来构造新的事件或动作,而无论事件是否以紧密的时间接近度相关以及事件和数据是否来自一个或若干个事件和数据源。
36.另外,术语“或”旨在意指包含性的“或”而不是排他性的“或”。也就是说,除非另外指明或者根据上下文是清楚的,否则短语“x采用a或b”旨在意指任何自然的包含性组合。也就是说,以下实例中的任何实例都满足短语“x采用a或b”:x采用a;x采用b;或者x采用a和b两者。另外,除非另外指明或者根据上下文清楚地指向单数形式,否则本技术和所附权利要求书中使用的冠词“一个”和“一种”通常应当被解释为意指“一个或更多个”。
37.此外,本文采用的术语“集合”排除空集,例如其中没有元素的集合。因此,在主题公开内容中的“集合”包括一个或更多个元素或实体。作为说明,控制器的集合包括一个或更多个控制器;数据资源的集合包括一个或更多个数据资源等。同样,本文使用的术语“组”是指一个或更多个实体的集合;例如,一组节点是指一个或更多个节点。
38.将根据可以包括许多设备、部件、模块等的系统来呈现各个方面或特征。要理解和领会的是,各个系统可以包括附加的设备、部件、模块等,以及/或者各个系统可以不包括结合附图讨论的全部设备、部件、模块等。还可以使用这些手段的组合。
39.为了即使在一个或更多个安全输入设备故障的情况下也确保高度可靠的安全响应,安全系统通常被设计有用于传送安全信号的双冗余通道。图1示出了利用冗余信号路径来提高安全可靠性的示例安全电路。在该示例中,安全设备102串联连接至安全继电器104。安全设备102——也被称为安全输入设备——包括基于其相应的接入点来验证安全继电器是否应当进入安全状态的设备,包括但不限于确定安全闸门何时处于闭合位置的接近开关、紧急停止按钮、安全垫、光幕等。安全设备102中的每个安全设备102配备有双冗余接触部112a和112b,所述双冗余接触部112a和112b被设计成当设备处于安全状态时闭合,从而允许相应的24vdc信号110通过。
40.安全继电器104包括至少一个可复位接触部114,所述至少一个可复位接触部114
对机器电力108与至少一个机器、马达或工业设备的连接进行控制。如果检测到两个24vdc信号,则安全继电器104仅允许重置接触部114,这指示所有安全设备102都已经验证其安全功能。如果安全设备102中的任意安全设备102切换至不安全状态(例如,光幕中断、紧急停止按钮按下、安全门打开等)从而使其安全功能失效,则到安全继电器104的电路被中断并且安全继电器104将电力与机器隔离,从而通过防止危险运动而使工业系统处于安全状态。
41.使用穿过安全设备的两个分开的路径通过下述来提高安全可靠性:通过确保:即使在安全设备的内部接触部中的一个接触部故障的情况下,当安全设备切换至不安全状态时,安全继电器104也断开机器电力连接。也就是说,即使安全设备内的两个接触部中的一个接触部已经熔断闭合,第二接触部仍然将响应于不安全状态的检测而断开,从而确保安全继电器104将看到24vdc信号的丢失并且将电力与机器断开连接。在提供增强程度的安全可靠性的同时,双冗余信号路径的实施会消耗额外的端子空间并且相对于单线解决方案使布线需求加倍。此外,两个单独通道的存在引入了两个线路之间的交叉故障的可能性,这可能会阻碍安全继电器检测安全电路的断开。
42.此外,一些工业环境包括多个生产单元或生产区域,所述多个生产单元或生产区域均由其自身的独立安全电路来保护。在一些这样的环境中,一个区域中的操作活动可能取决于一个或更多个其他区域中的活动。因此,在一些场景下,对于源自一个区域的紧急停止条件可能需要不仅使起始区域中的危险机器断电(deenergize),而且还使一个或更多个其他区域中的机器断电。
43.为了解决这些问题和其他问题,本公开内容的一个或更多个实施方式提供单线安全系统架构,该单线安全系统架构提供可靠的安全设备监视而无需双冗余信号通道并且还支持在原本独立操作的安全系统之间共享全局紧急停止信号。图2示出了根据一个或更多个实施方式的示例单线安全系统架构202。安全系统架构202包括:用作通信主设备(communications master device)208(在本文被称为“通信主设备(comms master device)”)的安全继电器——或安全主设备;以及与通信主设备208串联连接的三个安全设备204(但是在不脱离本公开内容的范围的情况下,可以将任意数目的安全设备204添加至安全电路)。安全设备204被配置成用于符合单线安全通信协议。在通信链中距离通信主设备208最远的安全设备2041用作安全主机。用作安全主机的安全设备204生成限定脉冲安全信号206,该限定脉冲安全信号206通过链中的各个安全设备204传递至通信主设备208(安全继电器),只要识别到关于安全信号206的限定脉冲串,通信主设备208就保持在操作模式下。安全主设备2041与通信主设备208之间的总路径包括单线安全加(sws )链路212,该单线安全加链路212由电路上的相邻安全设备之间的多个子链路214组成。当安全设备204中的一个安全设备204识别出其安全功能丧失(例如,安全闸门打开、紧急停止按钮按下等)并且进入不安全状态时,该设备204停止向下游设备204和208传递脉冲串信号206,从而防止该信号到达通信主设备208。在检测到脉冲串信号丢失时,通信主设备208隔离到工业系统部件(例如,机器、工业设备、马达等)的电力。
44.在一些实施方式中,为了在不使用双冗余信号通道的情况下确保高度的安全可靠性,电路上的每个安全设备204被配置成执行脉冲信号的两通道评估。此外,生成脉冲串信号206的安全主设备2041可以被配置成监视输出信号的两通道反馈,使得可以检测到该信号相对于24vdc信号、0vdc信号或其他时钟信号的短路。
45.该架构在单线安全通道上实施双向通信协议,从而允许链中的设备经由在其上发送脉冲信号的同一通道共享信息,包括但不限于状态数据、地址信息、存在指示等。单线协议允许安全设备204和通信主设备208在该通道上交换请求和响应消息210,同时对这些消息的发送和接收与脉冲串信号206的传输进行协调。
46.如将在本文更详细描述的,安全设备204可以被配置成启动本地紧急停止(e-stop)或全局e-stop。本地e-stop将仅导致与安全设备204在同一安全电路上的通信主设备208断开与由安全电路监视的本地机器的电力连接。全局e-stop导致通信主设备208向其他安全电路的一个或更多个其他通信主设备208广播全局e-stop消息,从而使那些通信主设备208与其本地危险机器断开电力连接。在示例架构中,多个通信主机208可以联网在一起以使得能够进行全局e-stop消息的共享。
47.此外,一些实施方式中的安全设备204可以实施快速切换的方法,该方法提供快速响应并且使得所有连接的安全设备204能够以近似相等的响应时间对紧急停止进行响应。
48.图3是可以由安全主设备204生成的示例脉冲信号302的时序图。图3所示的脉冲图形并不旨在限制,并且应理解,在不脱离本公开内容的一个或更多个实施方式的范围的情况下,可以实现任何脉冲图形。在该示例中,脉冲信号302具有4ms的总时段,包括1ms的导通(on)信号、0.7ms的关断(off)信号、0.5ms的导通信号以及1.8ms的关断信号。符合单线协议的安全设备204和通信主设备208可以被配置成识别并生成该脉冲图形。通信主设备208可以被配置成当从安全电路上最接近通信主机的安全设备接收到该脉冲图形时使安全继电器输出使能。
49.图4是根据本公开内容的一个或更多个实施方式的示例通信主设备208的框图。在本公开内容中说明的系统、装置或处理的各个方面可以构成实施在机器内例如实施在与一个或更多个机器相关联的一个或更多个计算机可读介质(或媒质)中的机器可执行部件。这样的部件在由一个或更多个机器例如计算机、计算设备、自动化设备、虚拟机等执行时可以使该机器执行描述的操作。
50.通信主设备402可以包括脉冲验证部件404、继电器控制部件406、设备诊断部件408、单线通信部件410、消息处理部件412、联网部件414、全局e-stop部件416、一个或更多个处理器420和存储器422。在各种实施方式中,脉冲验证部件404、继电器控制部件406、设备诊断部件408、单线通信部件410、消息处理部件412、联网部件414、全局e-stop部件416、一个或更多个处理器420和存储器422中的一个或更多个可以彼此电耦合和/或通信地耦合,以执行通信主设备208的功能中的一个或更多个。在一些实施方式中,部件404、406、408、410、412、414和416可以包括存储在存储器422上并且由处理器420执行的软件指令。通信主设备208还可以与图4中未描绘的其他硬件部件和/或软件部件进行交互。例如,处理器420可以与一个或更多个外部用户接口设备诸如键盘、鼠标、显示监视器、触摸屏或其他这样的接口设备进行交互。
51.脉冲验证部件404可以被配置成:经由单线安全输入端子接收脉冲信号;以及识别在信号上传送的限定脉冲图形(例如,图3所示的示例脉冲图形或另一脉冲图形)。继电器控制部件406可以被配置成基于由脉冲验证部件404进行的对限定脉冲图形的检测来控制一个或更多个安全继电器的状态。
52.设备诊断部件408可以被配置成结合从设备204收集故障信息或状态信息来与安
全设备204交换消息信号。单线通信部件410可以被配置成对信号线通道上的双向数据业务进行协调。消息处理部件412可以被配置成:处理在单线安全输入端子上接收到的输入消息;以及在单线安全输入端子上发送用于在单线安全通道上传输的输出消息。经由单线安全输入端子发送和接收的消息可以包括但不限于枚举消息、设备信息请求和响应消息、指示通信主设备为活动的消息以及其他这样的消息。
53.联网部件414可以被配置成:将通信主设备208通信地连接至网络;以及通过该网络与其他通信主设备208交换数据。全局e-stop部件416可以被配置成通过由联网部件414促成的网络连接向一个或更多个其他通信主设备208发出全局e-stop指令。
54.一个或更多个处理器420可以执行本文中参照所公开的系统和/或方法描述的功能中的一个或更多个。存储器422可以为计算机可读存储介质,该计算机可读存储介质存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息。
55.图5是根据本公开内容的一个或更多个实施方式的示例sws 安全设备204的框图。sws 安全设备204可以包括基本上任何类型的安全输入设备,包括但不限于紧急停止按钮、光幕、光传感器、安全垫、安全门开关(例如,接近开关或簧片开关(reed switch))、紧急拉绳设备、激光扫描仪或其他类型的安全输入设备。
56.sws 安全设备204可以包括安全主模式部件504、脉冲生成部件506、设备寻址部件508、安全状态检测部件510、脉冲检测部件512、安全信号中继部件514、状态字控制部件516、单线通信部件518、消息处理部件520、一个或更多个处理器522和存储器524。在各种实施方式中,安全主模式部件504、脉冲生成部件506、设备寻址部件508、安全状态检测部件510、脉冲检测部件512、安全信号中继部件514、状态字控制部件516、单线通信部件518、消息处理部件520、一个或更多个处理器522和存储器524中的一个或更多个可以彼此电耦合和/或通信地耦合,以执行sws 安全设备204的功能中的一个或更多个。在一些实施方式中,部件504、506、508、510、512、514、516、518和520可以包括存储在存储器524上并且由处理器522执行的软件指令。sws 安全设备204还可以与图5中未描绘的其他硬件部件和/或软件部件进行交互。例如,处理器522可以与一个或更多个外部用户接口设备例如键盘、鼠标、显示监视器、触摸屏或其他这样的接口设备进行交互。
57.安全主模式部件504可以被配置成对安全设备204在单线安全系统内是否作为安全主设备操作进行控制。如果安全设备204以安全主模式操作,则设备204将生成要被置于单线通信通道上的脉冲安全信号。替选地,如果安全设备204未以安全主模式操作,则设备204将经由单线通信通道从上游安全设备接收脉冲安全信号,并且如果安全设备204未处于不安全状态,则将脉冲信号中继至安全电路上的下一个下游设备。在一个或更多个实施方式中,安全主模式部件504可以响应于在设备的单线安全通道输入端子上检测到端接器的存在而将安全设备204切换至安全主模式。
58.脉冲生成部件506可以被配置成:如果安全设备204以安全主模式操作,则生成脉冲图形(例如,图3的脉冲信号302或另一图形);以及在该设备的单线安全通道输出端子上输出脉冲图形。设备寻址部件508可以被配置成:设置安全设备204的地址;以及经由在单线通信通道上发送的消息向安全电路上的其他设备报告该地址。安全状态检测部件510可以被配置成确定安全设备204是否处于其不安全状态。用于识别安全设备204的不安全状态的条件取决于安全设备204的类型。例如,当安装在门上的簧片开关未接近其相应的磁体时,
该开关被认为处于其不安全状态,这指示在其上安装有该开关的安全门被打开。在另一示例中,当在光幕的发射器光电阵列和接收器光电阵列之间检测到物体时,认为该光幕处于不安全状态。
59.脉冲检测部件512可以被配置成对设备的单线安全通道输入端子上是否存在限定脉冲图形进行识别。安全信号中继部件514可以被配置成:如果满足某些限定条件,则将脉冲安全信号从单线安全通道输入端子中继至单线通信输出端子,以用于传输至下一个下游设备。限定条件可以至少包括:检测到在安全输入端子处接收到的安全信号上的有效脉冲图形(如由脉冲检测部件512确定);以及验证安全设备204没有处于其不安全状态(如由安全状态检测部件510确定)。
60.状态字控制部件516可以被配置成:基于检测到的安全设备204的状态来设置状态位和状态字;以及经由单线通信通道将状态位和状态字发送至安全电路上的其他设备。单线通信部件518可以被配置成对单线通信通道上的双向通信进行协调。消息处理部件520可以配置成:对在单线安全通道输入端子或单线安全通道输出端子上接收到的输入消息进行处理;以及在输入端子或输出端子上发送输出消息。经由单线通道在输入端子或输出端子上接收到的输入消息可以包括但不限于用于提供设备信息的请求、针对安全设备签名的请求、枚举消息或者其他这样的输入消息。输出消息可以包括但不限于包括安全设备的签名或设备信息的响应消息、枚举消息、设备存在消息、针对另一设备信息的中继请求或者其他这样的消息。
61.一个或更多个处理器522可以执行本文中参照所公开的系统和/或方法描述的功能中的一个或更多个。存储器524可以为计算机可读存储介质,该计算机可读存储介质存储用于执行本文中参照所公开的系统和/或方法描述的功能的计算机可执行指令和/或信息。
62.图6是示出了安全设备204与通信主设备208之间的连接的示例布线示意图。在该示例中,安全设备204包括针对0v电力和24vdc电力的端子、sws 输入端子以及sws 输出端子。在正常操作(sws模式)期间,sws 输入端子在线路616上从上游安全设备204(图6中未示出)接收脉冲安全信号,并且sws 输出端子在线路610上将该安全信号发送至下一个下游设备(在示出的示例中,下一个下游设备为通信主设备402;在本公开内容中,术语“上游”和“下游”为相对于脉冲安全信号从安全主机到通信主机的方向)。如果在sws 输入端子上存在有效的脉冲图形并且安全设备204未处于不安全状态,则安全设备204才在sws 输出端子上将脉冲信号发送出去。在诊断模式或配置模式期间,安全设备204使用sws 输入端子和sws 输出端子来以双向方式在线路616和线路610(单线通道)上与相邻设备交换配置消息或诊断消息。
63.图6将安全设备204描绘为被布线成用于正常操作,由此该安全设备204驻留在安全电路上的两个其他设备之间。然而,如果安全设备204为安全电路上的最后设备,使得不存在从该安全设备204接收安全信号的其他上游设备,则该安全设备204可以被配置成以安全主模式操作,由此安全设备204生成针对安全电路的脉冲安全信号。在一些实施方式中,安全设备204可以被配置成通过将端接器连接至设备的sws 输入端子来以安全主模式操作。当在sws 输入端子上检测到端接器时,安全设备204被配置成以安全主模式操作。替选地,可以通过其他方式包括但不限于配置开关或者软件可配置操作参数来将安全设备204置于安全主模式中。
64.通信主设备208包括:针对0v电力和24vdc电力的端子;用于在线路610上接收脉冲信号的sws 输入端子;以及用于向另一设备(例如,扩展继电器模块或其他设备)发送脉冲信号的sws 输出端子618。由于通信主设备208通常为被配置成符合本文描述的单线通信协议的安全继电器,因此通信主设备208还包括一个或更多个安全接触器606,以用于对到一个或更多个工业机器或工业设备的机器电力的施加进行控制。
65.在一些实施方式中,通信主设备208还可以包括下述补充输出端子:其用于经由与sws通道分离的专用线路608向安全电路上的安全设备204发送补充消息。这些消息可以经由安全设备204上的补充输入端子来接收。例如,通信主设备208可以使用补充输出端子以向具有集成机械锁例如包括接近开关的远程致动门锁的安全设备发送锁定命令,以用于确定门何时处于闭合位置。在这样的场景下,通信主设备208可以被编程为响应于限定条件来对锁进行致动,以防止在危险操作期间门被打开。在另一示例中,通信主设备208可以被配置成在补充输出端子上输出信号,该信号在被安全设备204接收时迫使该安全设备204从操作模式切换至不安全状态(配置模式或诊断模式)。
66.图7是示出了用于在安全设备204的sws 输出端子上输出安全信号的使能条件的示例逻辑图。示出的逻辑图可以例如由图5所示的安全信号中继部件514来实施。在该示例中,假定安全设备204为安全门开关,其使用接近开关或簧片开关来确定安全门或安全闸门何时处于闭合位置。与(and)块704确定:在安全设备的sws 输入端子上是否检测到安全信号;以及安全设备204是否将该安全设备204的安全功能注册为有效(在该示例中,当门闭合时安全状态为活动的);以及补充输出是否正在请求要将设备处于安全状态。安全侧与(and)块702确定:是否有任何内部设备故障为活动的;以及设备的通信栈是否变成活动的。如果:(a)未检测到内部故障,(b)通信栈为活动的,(c)门闭合,(d)补充输出没有正在请求安全状态,以及(e)在sws 输入端子上检测到安全信号,则安全设备204在sws 输出端子上使能安全信号,从而将接收到的脉冲安全信号传递至单线安全通道的下一个子链路。
67.图8是可以用于确认在通信主设备208的sws 输入端子上的限定脉冲图形的接收的示例一般化电气示意图。示例示意图可以使用独立的冗余验证来可靠地验证脉冲信号。为了清楚,图8中省略了用于控制诊断和配置消息通信的电路,并且所示的示意图仅包括用于确认限定脉冲信号的接收的元件。应当理解,图8中描绘的示意图仅旨在是示例性的,并且用于基于指定的脉冲图形的存在或不存在来控制安全继电器输出的任何合适的电气设计在本公开内容的一个或更多个实施方式的范围内。
68.通信主设备208经由sws 输入端子接收脉冲安全信号,并且将接收到的信号在电力存储电容器cs(例如,电解质电容器)与两个微控制器μc1和μc2之间分配。连接至存储电容器cs的dc/dc转换器808根据输入24v脉冲串信号生成具有5v的供应电压的供应电力。0v端子接收0v接地电势。当安全电路上的所有安全输入设备处于其各自的安全状态时,通信主设备208经由二极管d1、存储电容器cs和dc/dc转换器808被提供有供应电压,以代表所需的操作电压。当通过dc/dc转换器808的输出供电时,微控制器μc1和μc2被激活。如果这些微处理器现在附加地在其i/o端子处检测到有效脉冲代码,则驱动器单元804a和804b被控制成触发继电器对806a和806b,以提供导通状态的安全继电器输出。因此,sws 输入必须接收不同于0v的电压,该电压附加地必须具有有效的脉冲图形,以使通信主机402输出有效的输出信号。
69.利用这种安全设备拓扑,可以仅使用单通道连接来满足安全标准的类别4的要求。高的安全类别由于在信号上传送的预定的脉冲图形以及使用两个微处理器对该信号的两通道评估而实现。此外,通过以并行方式向两个微处理器反馈驱动器单元804a和804b的输出信号,可以进行合理性检查,以确保微处理器的无故障操作。
70.当安全电路上的安全设备204中的任一安全设备204转变至不安全状态(例如,光幕中断、紧急停止按钮被按下等)时,在通信主设备208的sws 输入端子处不再接收脉冲信号,使得继电器对806a和806b断开,从而断开与通过安全继电器输出馈电的工业设备的电力连接。当满足下述两个标准中的任一个时将触发安全继电器输出的断开:当微控制器μc1和μc2中的一个或两个微控制器没有在其输入端子上检测到有效的脉冲图形时;或者当微控制器没有从dc/dc转换器808接收到供应电压时。因此,微控制器中的一个微控制器的故障、驱动器单元804a和804b中的一个驱动器单元的故障或者继电器对806a和806b中的一个继电器的故障不会阻碍通信主设备208的安全操作。
71.一旦建立并且配置了包括通信主设备208以及一个或更多个安全设备204(包括用作安全主设备的一个安全设备204)的单线安全电路,该安全电路就可以进入运行模式并且开始正常的安全操作。图9a至图9d是示出了根据一个或更多个实施方式的安全模式和诊断模式的框图。如图9a所示,示例单线安全电路902包括通信主设备208和五个安全设备204a至204e,其中,安全设备204a以安全主模式操作并且安全设备204b至204e以正常模式操作。作为安全主机,安全设备204a生成脉冲安全信号206,该脉冲安全信号206被置于单线安全通道上。在操作之前,通信主设备208在初步枚举阶段期间向安全设备204中的每个安全设备204分配唯一的sws地址。在图9a描绘的示例中,五个安全设备204被分配有地址[01]至[05]。
[0072]
在操作模式期间,在此期间所有安全设备204a至204e处于其各自的操作状态,脉冲安全信号206沿单线通道由相应安全设备204进行中继,并且在通信主设备208的sws 输入端子处被接收到。在安全模式期间在其sws 输入端子上接收脉冲安全信号206的每个安全设备204对接收到的脉冲图形与限定脉冲图形(例如,脉冲信号302或者另一限定脉冲图形)匹配进行验证。就这一点而言,每个安全设备204和通信主设备208可以存储对期望的脉冲图形进行限定的脉冲图形限定数据。每个设备都可以引用该脉冲图形限定数据并且将其与被解释为存在于信号206中的图形进行比较。根据图7所示的使能块,如果(a)该脉冲图形被确认为正确的脉冲图形,(b)安全功能是有效的(例如,门闭合、紧急停止按钮断开接合、光幕未中断等),(c)安全设备204上不存在内部故障,以及(d)针对安全设备204的通信栈为活动的,则每个安全设备204在其sws 输出端子上输出脉冲安全信号206。脉冲安全信号206因此经由单线通道通过安全设备204中继至通信主设备208的sws 输入端子。
[0073]
通信主设备208检测并验证在安全信号206上接收到的脉冲图形与限定脉冲图形(例如,脉冲信号302或者另一限定脉冲图形)匹配。只要在通信主设备208的sws 输入端子上识别到限定脉冲图形,该通信主设备208就会使其安全接触器606切换至闭合状态,从而向连接至该安全接触器606的安全继电器输出的工业机器和/或工业设备提供电力(操作模式)。
[0074]
图9b示出了其中安全设备204d——与门安全开关对应——切换至其不安全状态(例如,相应的安全门被打开)的场景。在切换至不安全状态时,安全设备204d停止将脉冲安
全信号206中继至安全电路上的下一个下游设备(安全设备204e),从而防止脉冲安全信号206到达通信主设备208。在检测到安全信号206的丢失时,通信主设备208断开其安全接触器606并且将电力与所连接的工业机器和/或工业设备隔离(安全状态)。除了阻挡安全信号206之外,安全设备204d还设置“最后设备(lastdev)”标志,以指示该安全设备204是安全电路上能够从安全主设备204a接收安全信号206的最后设备。
[0075]
在检测到安全信号的丢失时,通信主设备208启动诊断模式并且开始从安全设备204收集信息。通信主设备208可以通过对以设备[01]开始的特定安全设备204进行寻址来检索数据,或者可以发送[ff]的广播地址以从电路902上的所有安全设备204检索数据。以下将描述对特定设备204的寻址。如图9c所示,通信主设备208通过经由单线通道向地址[01](安全设备204e)发送诊断消息(diag)(例如,通过在其sws 输入端子上输出diag消息)开始。diag消息(在图9c中标记为“1”)包括状态信息所请求的地址[01]。在安全设备204e在其sws 输出端子上接收到diag消息并且确定该diag消息中包含的地址对应于该安全设备204e自身的地址时,该安全设备204e通过发送包括其地址编号[01]和诊断状态数据(data)的diag响应消息(在图9c中标记为“2”)进行响应。安全设备204e在其sws 输出端子上输出该diag响应消息,以经由单线通道发送该响应。
[0076]
由安全设备204e发送的诊断状态数据可以包括安全设备204e上可用的任何合适的诊断信息,至少包括安全设备的lastdev标志的值。例如,诊断数据可以包括被划分为预定义的状态位和状态寄存器的预格式化状态字,其中,所述位的值和所述寄存器的值由状态字控制部件516来设置。由于安全设备204e仍然处于其安全状态,因此尚未设置其lastdev标志。因此,来自安全设备204e的diag响应消息报告lastdev=假(false)的值。除了lastdev标志之外,diag响应消息还可以包括针对安全设备的其他状态信息和故障信息。这可以包括对于所有sws安全设备204共有的错误代码以及特定于设备的状态信息和故障信息两者。可以包括在diag响应消息中的示例特定于设备的状态信息可以包括但不限于门打开状态和闭合状态(针对门安全开关)、光束开启状态和关闭状态以及光束强度警告(针对光幕)、按钮开状态和关状态(针对紧急停止按钮和拉绳)或者其他这样的信息。
[0077]
在接收到该diag响应消息并且确定安全设备204e不是电路上的最后可用设备(基于lastdev标志的值)时,通信主设备208接下来将diag消息发送至地址[02](对应于安全设备204d),如图9d所示。安全设备204e在其sws 输出端子上接收该diag消息,并且响应于确定消息中包含的地址与该安全设备204e自身地址不匹配,安全设备204e通过在其sws 输入端子上输出diag消息来将diag消息中继至下一个上游设备(安全设备204d)。安全设备204d以包括其地址[02]和包括至少其lastdev标志的值(lastdev=真(true))的诊断数据的响应diag消息进行响应。该diag响应消息经由安全设备204e被中继至通信主设备208,以向通信主设备208通知被定址[02]的安全设备是安全电路上的最后可访问设备。基于该信息,通信主设备208确定安全设备204d处于其不安全状态,并且可以将该信息报告给用户(例如,经由显示指示、通过向指定用户的移动设备发送通知等)。在一些实施方式中,通信主设备208还可以从由通信主设备208先前检索并注册的设备标识信息中检索关于所标识的安全设备204的信息,并且将该信息也提供给用户。例如,基于注册的设备信息,通信主设备208知道与地址[02]对应的安全设备204为安全门开关,并且因此,不安全状态对应于检测到的门打开状态。通信主设备208可以因此生成不安全状态是由于与安全输入设备[02]对应的
安全门被打开而产生的通知。
[0078]
一旦找到能够从安全主设备204a接收安全信号的最后安全设备204(即,一旦识别出其lastdev标志被设置为真的设备),那么通信主设备208然后将发送下一个diag消息请求。通信主设备208将向安全设备204仅发送diag消息直到正在阻挡安全信号的设备204,从而减轻对安全主设备204a与安全设备204d之间负责阻挡该安全信号的活动设备204的不必要轮询。
[0079]
当通信主设备208由于安全设备204d处于其不安全状态而将受监视的工业系统置于安全状态时,安全主设备204a继续沿单线通道发送脉冲安全信号206。然而,安全信号206将仅被中继到如安全设备204d的sws 输入端子一样远。在返回至其操作状态时(当与安全设备204d对应的安全门已经闭合时),安全设备204d将在其sws 输入端子上检测脉冲安全信号206,并且恢复对安全信号206进行中继。如果安全设备204e没有进入其不安全状态,则该安全设备204e将脉冲信号206中继至通信主设备208。随后,通信主设备208在其sws 输入端子上检测安全信号206,并且将操作模式切换回导通(on),从而使安全接触器606处于闭合并且在安全继电器输出上提供电力。
[0080]
图10a至图10f是示出了在其中由于多个安全设备204的门被打开而使多个安全设备204切换至其不安全状态的场景下如何执行消息传递的框图。最初,安全电路902以操作模式操作,其中,所有安全设备204a至204e处于其各自的操作状态并且正在将脉冲安全信号206中继至通信主设备208,如图10a所示。然后,与安全设备204d对应的安全门被打开,随后与安全设备204c对应的安全门被打开,如图10b所示。当安全设备204d切换至其不安全状态时,该安全设备204d将其lastdev标志初始设置为真,如上面在先前示例中描述的。然而,当安全设备204c随后切换至其不安全状态并且停止中继安全信号时,安全设备204d在其sws 输入端子上检测到安全信号的丢失并且将该安全设备204d的lastdev标志重置为假。同时,安全设备204c将其lastdev标志设置为真。通常,如果(a)安全设备处于其不安全状态并且(b)如果安全设备204在其sws 输入端子上仍然检测到安全信号,则给定的安全设备204将其lastdev标志设置为真。当这两个条件为真时,安全设备204意识到其是能够接收到安全信号的最后安全设备204,并且将其lastdev标志设置为真。
[0081]
当通信主设备208响应于安全设备204d切换至其不安全状态而从操作状态切换至安全状态(通过断开通信主设备208的安全接触器606)时,通信主设备208通过发送广播消息或者通过针对如图10c所示的信息以循环方式单独地询问每个安全设备204来针对诊断消息开始轮询安全设备204。所示示例假定通信主设备208单独地轮询设备;然而,也可以使用广播技术。安全设备204e报告lastdev=0(假)的值,因此,通信主设备208等待更多响应,如图10d所示。虽然安全设备204d(与地址[02]对应)处于其不安全状态,但是其不是能够接收到由安全主设备204a生成的安全信号的最后设备,并且因此该安全设备204d报告lastdev=0(假)。因此,通信主设备208继续轮询地址[03],该地址[03]报告lastdev=1(真),如图10e所示。在该阶段,通信主设备208报告安全设备204c的状态、安全设备204d的状态和安全设备204e的状态(例如,门打开或门闭合)。
[0082]
在确定安全设备204c为针对安全信号的停止点时,通信主设备208将继续向安全设备204e、204d和204c发送diag请求。如果安全设备204a或204b进入不安全状态,则它们将开始响应所述请求并且将使lastdev=真的指示符在门打开的情况下移动至最接近安全主
设备204a的安全设备204。
[0083]
当与安全设备204c对应的安全门闭合时,如图10f所示,安全设备204c以其安全信号使能sse=真来回复下一个诊断请求。安全设备204d和204e将该消息保持不变地中继至通信主设备208。另外,安全设备204d将确认消息发送回安全设备204c,以确认收到sse=真的位。然后,安全设备204c将恢复对安全信号206进行中继。同时,由于安全设备204d仍然处于其不安全状态(门打开),但是现在在其sws 输入端子上检测到安全信号206的存在,因此该设备将其lastdev标志设置为真。因此,在接收到下一个diag消息时,安全设备204d发送包括lastdev=真的值的diag响应消息,并且将不会尝试向上游中继该消息。通信主设备208继续发送diag请求,直到下述为止:所有安全设备204在其诊断消息响应中发送了该安全设备204的sse=真的位;该安全设备204的sse=真的位得到确认;并且安全信号206被中继至通信主设备208。
[0084]
前述示例描述了可以经由单线安全通道在sws安全设备204与通信主设备208之间交换的多种消息类型。本文描述的一些实施方式中的sws设备204和208可以支持附加类型的消息传递。例如,在一个或更多个实施方式中,通信主设备208可以被配置成经由单线通道向所选择的安全设备204发送远程重启命令。这些远程重启命令可以包括要被重启的安全设备204的地址,使得当目标设备204在其sws 输出端子上接收到该命令并且验证与地址匹配时,该安全设备204将启动重启序列。
[0085]
如前述示例所描述的,被指定为安全主机的安全输入设备204a根据限定脉冲图形(例如,图3描绘的脉冲图像)对安全信号206进行调制,并且该安全信号206通过单线通道从安全主设备204a中继至通信主机。在一些实施方式中,可以限定一个或更多个附加的脉冲图形,以供安全系统设备用于其他目的。例如,可以限定两个不同的脉冲图形以传送相应的两种不同类型的安全状态(例如,“门闭合”状态和“门锁定”状态)。通信主设备208可以被配置成:识别在单线通道上存在哪些限定图形;以及根据与检测到的脉冲图形对应的特定不安全状态来进行操作(这可能取决于下载至通信主设备208的用户限定编程)。例如,通信主设备208可以被编程为:仅在检测到第一限定图形(例如,与“门闭合但是未锁定”状态对应的图形)的情况下才使能其安全继电器输出的限定子集:以及在检测到第二限定图形(与“门闭合并且锁定”状态对应)的情况下使能其余的安全继电器输出。
[0086]
虽然上面描述的示例单线安全电路假定通信主设备208具有用于连接至单个安全通道的单个sws 输入端子,但是一些实施方式中的通信主设备208可以支持两个或更多个单线通道的监视。图11是示出了包括监视两个单线通道上的安全设备204的通信主设备208的sws 安全电路1102的图。在这样的实施方式中,通信主设备208可以包括两个sws 输入端子,以用于连接至相应的单线通道,从而允许将安全设备204分隔成区域。在所示的示例中,安全设备204aa至204ae驻留在第一单线通道上并且包括第一区域(区域1),而安全设备204ba至204bb驻留在第二单线通道上并且包括第二区域(区域2)。与先前示例类似,每个安全通道包括安全主设备(针对区域1的204aa和针对区域2的204ba),该安全主设备生成脉冲安全信号(分别针对区域1和区域2的206a和206b),其中每个安全主设备204aa和204ba彼此独立地生成其安全信号。
[0087]
如果针对脉冲安全信号206a和206b中的每个脉冲安全信号使用相同的脉冲图形,则存在跨通信主设备208的两个sws 输入端子的无意短路可能阻碍通信主设备208转变至
安全状态的可能性,即使在两个通道中的一个通道上的安全设备204停止在该通道上传送安全信号206也是如此,这是因为通信主设备208仍然将在其两个短路的sws 输入端子上识别出从其他通道接收到的脉冲图形。因此,为了确保跨通信主设备208上的两个sws 输入端子的短路不会阻碍通信主设备208对所述通道中的一个通道上的不安全状况做出反应,两个安全主设备204aa和204bb可以被设置成生成相应的两个不同的脉冲图形,所述两个不同的脉冲图形由通信主设备208唯一标识。
[0088]
为了实现这一点,可以向启动模式序列添加阶段,从而,通信主设备208指示每个通道上的安全设备204该通道将使用哪个预定义的安全信号图形。例如,每个sws 安全设备204可以被预配置成识别多个预定义的脉冲图形中之一。在安全系统的启动序列期间,通信主设备208可以:向两个通道中的每个通道指定预定义的脉冲图形中之一;针对每个通道选择不同的图形。在启动序列的定义阶段处,通信主设备208可以经由单线通道向安全设备204发送包括所选择图形的标识符的配置消息。
[0089]
在接收到该配置消息时,每个安全设备204将根据所选择的脉冲安全信号进行自我配置以开始操作。例如,各个安全主机204aa和204ba将使用指定的脉冲图形以用于生成脉冲安全信号206a和206b。每个通道上的其他安全设备204——其也已经被提供有由通信主设备208指定给该通道的脉冲图形的标识——仅将指定的脉冲图形识别为针对该通道的有效安全信号。如果在针对该通道的sws 输入端子上识别出针对该通道指定的脉冲图形,则通信主设备208将仅假定所给定的通道处于安全状态。以这样的方式,跨通信主设备208的两个sws 输入端子的短路将导致通信主设备208在sws 输入端子中的一个sws 输入端子上看到不正确的脉冲图形,从而导致通信主设备208切换至安全模式直到短路消除。
[0090]
还应认识到,跨给定安全设备204的sws 输入端子和sws 输出端子的短路也可能导致安全问题,因为这可能导致在sws 输入端子处接收到的安全信号总是被传递至该设备的sws 输出端子,即使安全设备204没有处于安全状态也是如此。为了减轻这种可能性,一个或更多个实施方式中的sws 安全设备204可以被配置成在其sws 输出端子上输出安全信号之前,使在其sws 输入端子上接收到的脉冲安全信号206反相。图12是示出了包括以这种方式使安全信号反相的安全设备204的sws 安全电路1202的图。在这些实施方式中,可以向安全电路1202的启动序列添加阶段,从而,安全电路上的设备关于下述进行协商:哪些设备将被配置成将非反相脉冲图形(即,由安全主设备204a生成的图形)识别为有效安全信号206,其中,其余设备被配置成将脉冲图形的反相版本识别为有效安全信号206。该协商被设计成确保电路上的每个其他设备——从与安全主设备204a相邻的安全设备204b开始——被配置成识别非反相信号206a,其中,电路上的其他设备被配置成识别反相信号206b。
[0091]
在操作期间,安全设备204b——与安全主设备204a相邻并且被配置成接收非反相信号——在该安全设备204b的sws 输入端子上接收来自安全主设备204a的脉冲安全信号206a;并且将该非反相图形识别为有效安全信号。如果安全设备204b当前没有处于安全模式,则安全设备204b将使该接收到的图形反相并且在其sws 输出端子上将经反相的图形作为安全信号206b发送。安全设备204c——被配置成将经反相的图形识别为有效安全信号——接收该经反相的信号206b并且同样地在其sws 输出端子上输出信号之前使该图形再次反相(产生原始的非反相的信号)。该过程持续进行贯穿所有安全设备204(假定所有设备都没有处于安全模式),直到该信号到达通信主机的sws 输入端子为止。
[0092]
被通信主设备208识别为有效安全信号的信号的版本将取决于电路1202上的安全设备204的数目。例如,如果通信主设备208识别出在电路上存在偶数数目的安全设备204,则通信主设备208将在启动期间本身配置成将反相图形识别为有效信号,而如果在电路1202上存在奇数数目的安全设备204,则通信主设备208将本身配置成将非反相图形识别为有效信号。
[0093]
根据上面描述的示例sws 安全系统的一般操作,指定的安全主设备204a生成限定脉冲图形并且在单线通道上将该图形作为安全信号206输出。只要通道上的所有安全设备204处于其各自的安全状态(即,不存在对安全设备204的需求),安全信号206就会被安全设备204依次中继,直到该信号206到达用作针对单线安全电路的通信主设备208的安全继电器设备。如果安全设备204中的任一安全设备204检测到不安全状况(例如,光幕中断、紧急停止按钮按下、安全垫激活、紧急拉绳拉动等),则该安全设备204停止对安全信号206进行中继,以防止安全信号206到达通信主设备208。当通信主设备208检测到不存在安全信号206时,该通信主设备208的安全接触器606断开以移除与所保护系统的电力,并且通信主设备208开始经由单线通道依次向每个安全设备204发送针对诊断信息的请求(diag消息)。每个安全设备204通过经由单线通道发送所请求的诊断信息来响应其接收到的请求。上面结合图9a至图9d对该一般操作进行了描述。
[0094]
在这些前述示例中,在安全电路已经进入运行模式之后,响应于来自通信主设备208的针对这种信息的请求并且仅在脉冲安全信号206停止在单线通道上传输之后,源自安全设备204的诊断信息才经由单线通道发送至通信主设备208。也就是说,在上面描述的实施方式中,源自安全设备204的数据仅在系统处于安全状态而安全信号206未在单线通道上传送时对通信主设备208可用。
[0095]
一些其他实施方式中的sws 安全系统还可以被配置成:在安全系统处于正常操作状态时——即,在脉冲安全信号206仍然被中继至通信主设备208时,允许安全电路上的安全设备204经由单线通道向通信主设备208发送数据。这使得安全设备204能够向通信主设备208报告预后数据或其他类型的信息,而无需等待安全设备204转变至其不安全状态。在这样的实施方式中,在安全电路的正常操作期间由安全设备204发送的数据消息通常将不涉及安全设备204的安全状态或不安全状态,而是涉及与安全设备204有关的可能引起操作者或技术人员的注意但是并未指示当下的不安全状况的非关键的预后信息或警告信息(例如,高温警告、安全设备204的操作循环的数目接近安全设备的额定寿命的警告等)。
[0096]
如上所述,一些实施方式中的sws 安全设备204和通信主设备208可以支持向其他sws 安全电路广播全局紧急停止(e-stop),使得对第一安全电路的安全设备204上的不安全状况的检测不但使监视该安全电路的通信主设备208转变至其安全状态(即,断开通信主设备208的安全接触器606并且将电力与其本地连接的危险机器隔离),而且使一个或更多个其他安全电路的通信主设备208进入其安全状态。图13a是示出了其中两个独立的安全电路1304a和1304b经由网络1302通信地连接的示例架构的图。如在先前示例中,每个安全电路1304a和1304b包括通信主设备208和一系列安全设备204,所述安全设备204通过单线通道将安全信号206中继至通信主设备208,该安全信号206由电路端部处用作安全主机的安全设备(针对安全电路1304a的安全设备204aa和针对安全电路1304b的安全设备204ba)生成。
stop按钮)时,安全设备204ac停止向安全电路1304a上的下一个下游设备(安全设备204ad)中继脉冲安全信号206,从而防止脉冲安全信号206a到达通信主设备208a。在检测到安全信号206a的丢失时,通信主设备208断开其安全接触器606,并且将电力与由安全电路1304a保护的工业机器和/或工业设备隔离(安全关闭状态)。除了阻止安全信号之外,安全设备204ac还设置其lastdev标志,该lastdev标志指示安全设备204ac是安全电路1304a上能够从安全主设备204aa接收安全信号206a的最后设备。
[0103]
与先前示例类似,在检测到安全信号206a的丢失时,通信主设备208a启动诊断模式并且开始从电路1304a上的安全设备204收集信息。如图13c所示,通信主设备208a通过经由单线通道向地址[01](安全设备204ad)发送诊断消息(diag)(例如,通过在通信主设备208的sws 输入端子上输出diag消息)开始。diag消息(在图13c中标记为“1”)包括状态信息所请求的安全设备204ad的地址[01]。在安全设备204ad在其sws 输出端子上接收到diag消息并且确定该diag消息中包含的地址对应于其自身的地址时,安全设备204ad通过发送包括其地址编号[01]和诊断状态数据(data)的diag响应消息(在图13c中标记为“2”)进行响应。安全设备204ad在其sws 输出端子上输出该diag响应消息,从而经由单线通道发送该响应。
[0104]
如上面结合图9a至图9d中描绘的示例所描述的,由安全设备204发送的诊断状态数据可以包括在安全设备204上可用的任何合适的诊断信息,至少包括该安全设备的lastdev标志的值。在一些实施方式中,诊断数据可以包括被划分为预定义的状态位和状态寄存器的预格式化状态字,其中,所述位的值和所述寄存器的值由状态字控制部件516来设置。由于安全设备204ad仍然处于其正常操作状态(也就是说,由安全设备204ad监视的安全输入尚未跳闸),因此尚未设置其lastdev标志。因此,来自安全设备204ad的diag响应消息报告lastdev=假的值。
[0105]
在本示例中,由安全设备204生成的diag响应消息还可以包括安全设备204是否被配置成作为正常本地e-stop设备(全局=假)还是作为全局e-stop设备(全局=真)操作的指示。因此,安全设备204ad包括作为其diag响应消息的一部分的该安全设备204ad的全局标志(真或假)的值。然而,由于安全设备204ad当前没有处于其不安全状态(因为由安全设备204ad实施的安全功能当前有效)并且因此未报告e-stop状况,因此,通信主设备208a忽略该安全设备的全局标志的状态。在一些实施方式中,如果安全设备的lastdev参数被设置为假,则通信主设备208a可以忽略该安全设备的全局标志的值。
[0106]
在通信主设备208a从安全设备204ad接收到该diag响应消息并且确定安全设备204ad不是安全电路1304a上的最后可用设备(基于该安全设备的lastdev标志的值)时,该通信主设备208a接下来向地址[02]——与安全设备204ac对应——发送diag消息,如图13d所示(标记为步骤1)。安全设备204ad在其sws 输出端子上接收该diag消息,并且响应于确定该消息中包含的地址与其自身地址不匹配,该安全设备204ad通过在其sws 输入端子上输出该diag消息来将该diag消息中继至下一个上游设备(安全设备204ac)(步骤2)。安全设备204ac以下述响应diag消息进行响应(步骤3):该响应diag消息包括安全设备204ac的地址[02]以及包括至少安全设备204ac的lastdev标志的值(lastdev=真)和安全设备204ac的全局标志的值(全局=真)的诊断数据。该diag响应消息经由安全设备204ad中继至通信主设备208a(步骤4),以向通信主设备208a通知定址为[02]的安全设备是该安全电路上的
最后可访问的安全设备。如上所述,安全设备204ac将基于其作为全局e-stop设备的当前配置(其可以使用硬件开关或者使用设备配置软件来进行设置)来报告该安全设备204ac的全局标志被设置为真。
[0107]
基于该信息,通信主设备208a确定安全设备204ac处于其不安全状态(即,通过按下e-stop按钮使由安全设备204ac实施的安全功能无效),并且可以向用户报告该信息(例如,经由显示指示、通过向指定用户的移动设备发送通知等)。在一些实施方式中,通信主设备208还可以从由通信主设备208a先前检索和注册的设备标识信息中检索关于所标识的安全设备204ac的信息,并且将该信息也提供给用户。例如,基于注册的设备信息,通信主设备208a知道与地址[02]对应的安全设备204ac为e-stop按钮,并且因此,不安全状态对应于对e-stop按钮已经被按下的检测。通信主设备208可以因此生成不安全状态是由于与安全输入设备[02]对应的e-stop按钮被打开的通知。
[0108]
如图13e所示,当在通信主设备208a处接收到来自安全设备204ac的diag响应消息时,通信主设备208a的消息处理部件412读取该响应消息中包含的全局标志的值。响应于确定安全设备的全局标志的值为真,通信主设备208的全局e-stop部件416生成指向网络1302上的其他通信主设备208(例如,通信主设备208b)的全局e-stop信号1308,并且通过网络1302发送该全局e-stop信号1308。全局e-stop信号1308可以使用cip消息传递协议或者另一合适的消息传递协议通过网络1302来发送。
[0109]
在经由网络1302接收到全局e-stop信号1308时,通信主设备208b(以及该网络上的任何其他通信主设备208)将通过断开其安全接触器606来切换至该通信主设备208b的安全状态,即使通信主设备208b仍然正在接收其相应的安全信号206b也是如此。因此,在第一安全电路1304a上检测到全局e-stop事件导致所有通信主设备208(例如,通信主设备208a和208b)转变至其安全状态,从而断开到由这些通信主设备保护的危险设备的电力连接。
[0110]
虽然图13e将全局e-stop信号1308描绘为包括由起始通信主设备208a生成并且向网络1302上的其他通信主设备208广播的网络消息,但是用于在通信主设备208之间共享全局e-stop信号的其他方法也在一个或更多个实施方式的范围内。例如,在一些实施方式中,每个通信主设备208可以存储全局e-stop寄存器,该全局e-stop寄存器的值由其他通信主设备208通过网络1302连续地监视。如果给定的通信主设备208当前没有经历全局e-stop状况,则该通信主设备208将假值写入其全局e-stop寄存器。由于该值被网络1302上的其他通信主设备208监视,因此全局e-stop寄存器中的假值向其他通信主设备208通知不存在源自该通信主设备208的全局e-stop状况。当给定的通信主设备208从其被配置为全局e-stop设备的安全设备204中的一个安全设备204接收到diag响应消息时,全局e-stop寄存器的值切换为真。在读取通信主设备的全局e-stop寄存器中的真值时,网络1302上的其他通信主设备208切换至其安全状态(例如,通过断开其安全接触器606)。
[0111]
通信主设备208的全局e-stop部件416对来自网络1302上的其他通信主设备208的全局e-stop指令进行响应。例如,全局e-stop部件416可以监视网络1302以接收全局e-stop信号1308,或者可以通过网络监视其他通信主设备208上的全局e-stop寄存器。响应于接收到全局e-stop信号1308或检测到另一通信主设备208上的全局e-stop寄存器已经更新为指示全局e-stop状况,全局e-stop部件416可以指示继电器控制部件406将通信主设备208的安全接触器606置于该通信主设备208的安全状态(例如,通过断开接触器606)。
[0112]
由于安全设备204可以选择性地被预配置成用作本地e-stop设备或全局e-stop设备,因此每个安全电路1304可以被配置成:支持仅使该安全电路的本地通信主设备208切换至其安全状态的本地e-stop事件以及使网络1302上的所有通信主设备208切换至其各自的安全状态的全局e-stop事件两者。对要包括在给定安全电路1304上的本地e-stop设备或全局e-stop设备的选择可以取决于安全电路1304所设计的特定安全应用的需求。
[0113]
在一些实施方式中,通信主设备208可以被配置成将其全局e-stop信号1308引导至连接至网络1302的通信主设备208的所选子集。例如,在其中多个通信主设备208被联网在一起的架构中,每个通信主设备208可以被分配有唯一的网络地址。因此,支持发出全局e-stop的通信主设备208可以被配置成:仅向可以由系统设计者预配置的通信主设备地址的指定子集发送该通信主设备的全局e-stop信号1308。该功能可以用于其中一些受监视的生产区域即使在全局e-stop的情况下也被允许继续操作的架构。
[0114]
在启动全局e-stop事件之后,通信主设备208a可以继续监视其sws 输入端子上的脉冲安全信号206a的存在。当安全设备204ac的安全功能被重新验证(例如,通过将e-stop按钮拉回其原始状态)时并且在安全电路上的所有其他安全设备204处于其安全状态(安全功能已验证)的情况下,安全信号206a将被允许传输回通信主设备208。响应于在通信主设备208a的sws 输入端子上检测到安全信号206a,该通信主设备208a将与网络1302上的全局e-stop状况不再有效的其他通信主设备进行通信。在各种实施方式中,通信主设备208a可以通过下述方式来传达全局e-stop不再有效:通过停止传输全局e-stop信号1308;或者通过将该通信主设备208a的全局e-stop寄存器的值设置为假。响应于检测到全局e-stop状况不再有效,网络1302上的其他通信主设备(例如,通信主设备208b)可以重置其安全接触器606,并且从而将电力重新连接至该通信主设备相关联的工业资产。
[0115]
图14a至图14b示出了根据主题申请的一个或更多个实施方式的各种方法。虽然出于简化说明的目的,本文示出的一个或更多个方法被示出和描述为一系列动作,但是应当理解和认识到,主题发明不受动作的顺序的限制,因为根据主题发明,一些动作可以以与本文示出和描述的顺序不同的顺序发生和/或与其他动作同时发生。例如,本领域技术人员将理解和认识到,方法可以替选地例如以状态图被表示为一系列相关的状态或事件。此外,可能并非需要示出的所有动作来实现根据本发明的方法。此外,交互图可以表示当不同实体演示方法的不同部分时根据主题公开内容的方法论或方法。进一步地,可以彼此组合地实现所公开的示例方法中的两个或更多个,以实现本文描述的一个或更多个特征或优点。
[0116]
图14a示出了用于监视单线安全电路的安全设备并且基于该监视来控制一个或更多个安全继电器的安全接触器的示例方法1400a的第一部分。最初,在1402处,针对具有调制脉冲图形的安全信号的存在,对与单线安全(sws )协议兼容的安全继电器的sws 输入端子进行监视。安全继电器可以为例如前述示例中描述的通信主设备。在1404处,对关于在安全信号上检测到的脉冲图形是否与限定脉冲图形匹配进行确定。这可以例如通过将检测到的脉冲图形与所存储的对期望脉冲图形进行限定的脉冲图形限定数据进行比较来确定。如果脉冲图形与限定脉冲图形匹配(在步骤1404处为是),则方法进行至步骤1406,在步骤1406中,安全继电器的安全接触器闭合(或保持闭合),安全继电器向与该安全继电器联网的其他安全继电器传达不存在全局e-stop状况,并且该监视在步骤1402处继续进行。替选地,如果检测到的脉冲图形与限定脉冲图形不匹配(在步骤1404处为否),则方法进行至步
骤1408,在步骤1408中,安全继电器的安全接触器断开,从而断开到由安全电路监视的危险工业设备的电力连接。
[0117]
然后,方法进行至图14b所示的第二部分1400b。在1410处,将表示安全电路上由安全继电器监视的安全设备的地址的变量x设置为01。在1412处,在安全继电器的sws 输入端子上输出诊断消息(例如,结合图9a至图9d和图13a至图13e描述的diag消息),所述诊断消息从与地址x对应的安全设备请求状态信息。在1414处,对关于在输出诊断消息之后的限定时间段内在sws 输入端子上是否接收到响应消息进行确定。如果在限定时间段内未接收到响应消息(在步骤1414处为否),则方法返回至步骤1412并且再次输出诊断消息。替选地,如果接收到响应消息(在步骤1414处为是),则方法进行至步骤1416,在步骤1416中,对关于是否将响应消息中包含的lastdev指示设置为真进行确定。
[0118]
lastdev标志指示与地址x对应的安全设备是单线安全电路上能够接收安全信号的最后设备。如果确定lastdev标志为假(在步骤1416处为否),则方法进行至步骤1818,在步骤1818中,将x递增1,并且在步骤1412处输出指向下一个地址的另一诊断消息。替选地如果确定lastdev=真(在步骤1416处为是),指示安全设备x处于其不安全状态(例如,光幕中断、紧急停止按钮接合、激光扫描仪检测到物体等),则方法进行至步骤1420,在步骤1420中,对关于响应消息中包含的全局e-stop标志是否设置为真进行确定。全局e-stop标志向安全继电器通知安全设备x被配置为全局e-stop设备,而不是本地e-stop设备。如果确定全局e-stop标志被设置为真(在步骤1420处为是),则方法进行至步骤1422,在步骤1422中,安全继电器向与该安全继电器联网的其他安全继电器传达全局e-stop状况。安全继电器可以通过下述方式来传达该全局e-stop状况:通过设置被网络上所有其他安全继电器监视的本地全局e-stop变量;或者经由网络向其他安全继电器广播全局e-stop信号。该全局e-stop标志指示网络上的其他安全继电器设备断开其安全接触器,从而断开到其相关联的工业设备的电力连接。然后,方法返回至图14a所示的第一部分1400a的步骤1402,并且继续监视安全继电器的sws 输入端子,以恢复具有调制脉冲图形的安全信号。
[0119]
单线安全通道的每个安全设备204都可以被视为开关设备,该开关设备在其sws 输入端子上接收到脉冲安全信号206时,选择性地经由该开关设备的sws 输出端子输出信号206或者防止信号206被传递至sws 输出端子。因此,每个安全设备204包括内部硬件部件和/或软件部件,例如图5所示和本文讨论的部件中的一个或更多个,所述硬件部件和/或软件部件被配置成:对在sws 输入端子处接收到的入向信号206进行分析,以验证该信号206包含期望的脉冲图形;以及如果检测到正确的脉冲图形,则将该信号传递到sws 输出端子。在一些实施方式中,用于分析信号206的硬件部件和/或软件部件中的一个或更多个可以被实现为在sws 输入端子与sws 输出端子之间的嵌入式微控制器或微处理器。图15是示出了安全设备204与通信主设备208之间的连接的示例电气图(与图6类似),其中,该安全设备204包括用于处理和选择性地传递安全信号的嵌入式微控制器1502或其他类型的嵌入式电路。微控制器1502可以包括如下硬件或软件的任何合适的组合,例如,图5所示和上面描述的部件504至520中的一些或全部,所述硬件或软件能够:接收经由线路616递送至sws 输入端子的安全信号206;对安全信号206上携带的脉冲图形是否对应于期望的脉冲图形进行评估;以及在验证信号206携带期望的脉冲图形时经由sws 输出端子输出安全信号206的复本(并且在其他方面,如果在sws 输入端子处没有接收到脉冲信号206或者在接收到的脉冲信
号206上没有检测到期望的脉冲图形,则无信号经由sws 输出端子输出)。微控制器1502可以包括例如基于硅的集成电路、片上系统(soc)、数字电路(例如,现场可编程门阵列或fpga电路)或者其他合适类型的微控制器。
[0120]
在图15描绘的配置中,由于确认入向安全信号206的存在或不存在以及确定信号206上是否存在期望的脉冲图形所需的处理时间,在sws 输入端子处的安全信号206的状态变化与对设备的sws 输出端子的输出的相应变化之间可能存在数毫秒的延迟。图16是示出了由于这些处理延迟而引起跨多个安全设备204的信号延迟的累积的示例单线安全电路1602的图。与上面描述的示例类似,在该示例中,安全电路1602包括串联连接至通信主设备208以产生单线安全通道的五个安全设备204a至204e(五个安全设备204中的一个安全设备204——安全设备204a——用作安全主设备)。在该示例中,假定在安全主设备204a与通信主设备208之间的每个安全设备204b至204e具有x毫秒(ms)的信号延迟。
[0121]
当在电路1602中的下一个安全设备204b处从安全主设备204a接收到有效安全信号206时,安全设备204b的微控制器1502在x毫秒的处理延迟之后在其输出端子上输出安全信号206的复本。该延迟是由于设备的微控制器1502用于检测安全信号206、验证该安全信号206的有效性以及仅在信号206上的脉冲图形被验证之后输出其自身的有效安全信号206所需的时间引起的。在电路1602中的每个后续安全设备处经历类似的延迟。因此,根据安全主设备204a与通信主设备208之间的安全设备204的数目,在由安全主设备204a生成原始安全信号206与在通信主设备208处接收到相应的有效信号206之间的总的累积延迟增加(在所示示例中为至少4x ms)。
[0122]
当安全信号206由于安全设备204中的一个安全设备204切换至其不安全状态(例如,作为光幕中断、紧急停止按钮被按下、安全门打开等的结果)而中断时,将经历类似的累积延迟。例如,如果安全设备204b切换至其不安全状态(例如,作为光幕中断、紧急停止按钮被按下、安全门打开等的结果)从而使该安全设备204b的安全功能失效,则由于设备的微控制器1502在停止在其输出端子处生成复本输出信号之前在输入端子处检测到并识别出安全信号206的丢失而可能存在延迟。在电路中的下一个安全设备204c处,由于该设备的微控制器1502检测到信号206的丢失并且停止经由其输出端子输出其安全信号,因此经历进一步的延迟。因此,在由安全设备204中的一个安全设备204检测到安全事件(例如,光幕中断)与在通信主设备208处检测到由此产生的安全信号206的丢失之间可能存在累积延迟,该总延迟是通信主设备208与检测安全事件的安全设备204之间的中间安全设备204的数目的函数。
[0123]
为了解决该问题,一个或更多个实施方式中的单线安全设备204可以被配置成实施快速切换方法,该方法显著减少或消除由于信号处理时间引起的跨安全电路1602的信号传播延迟。图17是示出了安全设备204与通信主设备208之间的连接的示例性电气图(与图16类似),其中,该安全设备204被配置成用于安全信号206的快速切换。在该示例中,将电子开关1702放置在安全设备204的输入端子与输出端子之间,而不是将微控制器1502嵌入式定位在输入端子与输出端子之间。当该开关1702处于闭合位置时,如图18所示,输入端子和输出端子被有效地短路,从而使得入向安全信号206能够基本上瞬时地从输入端子传递至输出端子。同样,在输入端子处安全信号206的丢失立即由在输出端子处输出的安全信号的丢失来反映,从而消除在输入端子处安全信号206的丢失与对应的在输出端子处输出信号
的停止之间的处理延迟。如果安全电路1602的每个安全设备204被配置有该快速切换电路,则在通信主设备208处会立即检测到在安全设备204中的任一安全设备204处的信号丢失而不会存在累积的处理延迟,这是因为安全通道基本上包括引入可忽略不计的传播延迟的一系列短路。
[0124]
为了针对有效脉冲图形的存在而对安全信号206进行分析,微控制器1710读取并监视输入端子与输出端子之间的信号线路。像微控制器1502一样,微控制器1710可以包括图5所示和上面描述的部件504至520中的一个或更多个。然而,可以用开关控制部件1712来代替可以为微控制器中的选择性地将脉冲安全信号206从输入端子再现到输出端子的部件的安全信号中继部件514,该开关控制部件1712发送用于根据由脉冲检测部件512和安全状态检测部件510(在微控制器1710上实现)做出的决定来断开或闭合电子开关1702的命令。在图17描绘的示例配置中,输入侧抽头线路1704将微控制器1710的输入连接至sws 输入端子节点,使得微控制器1710能够对在sws 输入端子处接收到的信号进行采样,同时仍然允许将入向信号206传递至电子开关1702,并且如果开关1702闭合则通过该电子开关1702将入向信号206传递至sws 输出端子。微控制器1710的开关控制输出1708连接至电子开关1702的控制输入,并且该微控制器输出1708对开关1702的断开状态和闭合状态进行控制。
[0125]
微控制器1710对在sws 输入端子处接收到的采样信号进行分析,以确定该信号是否携带期望的脉冲图形。在正常操作期间,如果确定经采样的信号携带有效脉冲图形,则微控制器1710将开关1702维持在闭合位置。响应于确定经采样的信号不包含期望的脉冲图形,微控制器1710的开关控制部件1712使电子开关1702断开,如图19所示,从而防止信号通过安全设备204被传递至安全电路1602中的下一个设备。以这样的方式,与信号在输入端子与输出端子之间的传播并行地,微控制器1710对经采样的信号进行其分析,而不会引入输入端子与输出端子之间的传播延迟。
[0126]
除了基于输入端子上的期望的脉冲安全信号206的存在以及安全设备的安全功能的状态来控制电子开关1702之外,一些实施方式中的安全设备204可以被配置成还基于经由设备的补充输入端子接收到的补充输入信号来控制电子开关1702的状态。例如,如图17所示,安全设备的补充输入端子可以经由专用线路608连接至通信主设备208的补充输出端子,该专用线路608与穿过输入端子和输出端子的单线安全通道分开。通信主设备208可以被配置成在适当的时候在该线路608上发送输出信号,当在安全设备204的补充输入端子处接收到该输出信号时,该输出信号使设备204断开其电子开关1702并且从操作模式转变至配置模式或诊断模式。该特征可以使得通信主设备208在需要时能够将所监视的自动化系统置于安全状态并且从安全电路上的所选安全设备204收集状态信息,即使所有安全设备的安全功能都是有效的也是如此。
[0127]
在图17至图19中描绘的实施方式可以支持经由输入端子和输出端子接收到的消息的双向交换和处理。这可以包括对经由输入端子或输出端子从相邻设备接收到的配置消息或诊断消息的处理,以及经由这些端子向相邻设备发送消息或中继消息。例如,可以经由输入端子通过线路616(单线通道)从上游设备接收配置消息或诊断消息,并且这些消息可以由微控制器1710经由输入侧抽头线路1704进行读取,从而允许微控制器的消息处理部件520(参见图5)如先前示例所描述的对消息进行处理。根据诊断示例,安全设备204可以经由输出端子从通信主设备208接收诊断请求消息,该诊断请求消息正在请求设备的诊断状态。
微控制器1710可以经由输出侧抽头线路1706读取该诊断请求消息,并且如先前示例所描述的,响应于确定该请求包括设备自身的地址,以所请求的诊断数据进行响应。微控制器的消息处理部件520可以经由输入侧抽头线路1704和输入端子将该诊断响应消息和其他类型的消息发送至上游设备。
[0128]
在一些实施方式中,为了经由线路610接收在输出端子处从下游设备接收到的消息并且对该消息进行处理,无论开关1702的状态如何,输出侧抽头线路1706可以将微控制器1710的i/o点与输出端子节点进行连接,以允许微控制器1710读取和处理经由线路610接收到的诊断消息或配置消息并且经由线路610将消息(例如,诊断响应消息)发送至下游设备。通过这样的配置,微控制器1710与开关1702在输入端子与输出端子之间并行连接。
[0129]
在其中在输入端子或输出端子处接收到消息并且将该消息引导至安全电路上的另一设备的场景下,该配置允许这样的消息通过该设备进行中继,而与开关1702处于断开位置还是闭合位置无关。例如,当开关1702断开(例如,由于设备204处于其不安全状态,或者由于输入端子处安全信号206的丢失)时,微控制器1710仍然可以对在输出端子处接收到的诊断消息进行中继并且将该诊断消息引导至上游设备(例如,通过经由输出侧抽头线路1706接收消息,识别出该消息中包括的目标地址与安全设备204本身的地址不匹配,然后,经由输入侧抽头线路1704和输入端子将该消息传递至线路616)。同样,微控制器1710可以经由输入侧抽头线路1704读取在输入端子处接收到的来自上游安全设备204的指向通信主设备208的消息,并且微控制器1710可以在确定该消息旨在用于通信主设备208时经由输出侧抽头线路1706将该消息中继至输出端子。
[0130]
在另一场景下,如果在经由输入端子或输出端子接收到消息时开关1702处于闭合位置,则由于输入端子与输出端子之间的直接电连接,该入向消息以可忽略不计的延迟被瞬时地传播通过设备204。微控制器1710可以经由抽头线路1704或1706读取这些消息,以确定所述消息是否被引导至其相应的安全设备204,并且如果确定所述消息被引导至其相应的安全设备204,则对该消息执行适当的处理并且将相应的响应消息放置在单线线路上。如果入向消息旨在用于安全电路上的另一设备,则微控制器1710不采取任何动作并且该消息在被中转至其预期目标设备时不会被延迟。
[0131]
图20示出了用于操作单线工业安全设备的示例方法2000,该单线工业安全设备用作单线安全电路的安全监视设备并且支持脉冲安全信号的快速切换和单线消息传递。该安全设备可以包括基本上任何类型的工业安全输入设备,包括但不限于确定安全闸门何时处于闭合位置的接近开关、紧急停止按钮、安全垫、光幕、拉绳设备、三维光学安全扫描仪或者其他这样的设备。最初,在2002处,由安全设备的微控制器对该安全设备的输入端子与电子开关之间的节点进行监视,电子开关可控地将该安全设备的输入端子连接至输出端子。在正常操作期间,安全设备被配置成在输入端子处从相邻的上游安全设备接收脉冲安全信号,并且该安全信号通过电子开关传递至输出端子,并且被发送至单线通道上的相邻下游设备。微控制器可以针对脉冲安全信号的存在在不延迟该信号从输入端子到输出端子的遍历的情况下对输入端子与电子开关之间的节点进行监视。
[0132]
在2004处,对关于安全设备是否处于其安全状态(例如,光幕未中断、紧急停止按钮未接合等)进行确定。如果安全设备处于其安全状态(在步骤2004处为是),则方法进行至步骤2006,在步骤2006中,对关于是否在步骤2002处被监视的节点处检测到信号进行确定。
如果检测到信号(在步骤2006处为是),则方法进行至步骤2008,在步骤2008中,对关于该信号是否携带指示有效安全信号的限定脉冲图形进行确定。如果检测到限定脉冲图形(在步骤2008处为是),则方法返回至步骤2002,并且继续监视该节点。
[0133]
如果设备切换至其不安全状态(例如,光幕中断、紧急停止按钮按下等)(在步骤2004处为否),或者如果在输入端子处未检测到信号(在步骤2006处为否),或者如果检测到的信号没有携带限定脉冲图形(在步骤2008处为否),则方法进行至步骤2010,在步骤2010中,微控制器指示电子开关断开,以使输入端子与输出端子之间的电连续性中断,从而防止在输入端子处接收到的信号传递至输出端子。当安全设备如先前示例所描述的作为单线安全电路的一部分操作时,这防止在输入端子处接收到的任何信号传播至安全电路的通信主设备,并且该信号的丢失使通信主设备断开与由安全电路监视的自动化系统的电力连接,或者以其他方式将自动化系统置于安全状态。
[0134]
本文描述的实施方式、系统和部件以及其中可以执行主题申请中阐述的各个方面的工业控制系统和工业自动化环境可以包括能够跨网络进行交互的计算机或网络部件,诸如服务器、客户端、可编程逻辑控制器(plc)、自动化控制器、通信模块、移动计算机、无线部件、控制部件等。计算机和服务器包括一个或更多个处理器——利用电信号执行逻辑运算的电子集成电路——其被配置成执行存储在介质中的指令,该介质诸如随机存取存储器(ram)、只读存储器(rom)、硬盘驱动器以及可以包括记忆棒、存储卡、闪存驱动器、外部硬盘驱动器等的可移除存储器设备。
[0135]
类似地,如本文使用的术语plc或自动化控制器可以包括可以跨多个部件、系统和/或网络共享的功能。作为示例,一个或更多个plc或自动化控制器可以跨网络与各种网络设备进行通信和协作。这可以包括经由网络进行通信的基本上任何类型的控制装置、通信模块、计算机、输入/输出(i/o)设备、传感器、致动器和人机接口(hmi),所述网络包括控制网络、自动化网络和/或公共网络。plc或自动化控制器还可以与各种其他设备进行通信并且控制各种其他设备,所述其他设备诸如标准模块或安全额定i/o模块,包括模拟模块、数字模块、编程/智能i/o模块、其他可编程控制器、通信模块、传感器、致动器、输出设备等。
[0136]
网络可以包括诸如因特网的公共网络、内联网络和自动化网络,自动化网络诸如包括设备网络、控制网络和以太网络/ip的控制和信息协议(cip)网络。其他网络包括以太网络、数据高速公路和数据高速公路加(dh/dh )、远程i/o、现场总线(fieldbus)、通讯协议(modbus)、过程现场总线(profibus)、can、无线网络、串行协议等。另外,网络设备可以包括各种可能性(硬件部件和/或软件部件)。这些包括下述部件:诸如具有虚拟局域网络(vlan)能力的交换机、lan、wan、代理、网关、路由器、防火墙、虚拟专用网络(vpn)设备、服务器、客户端、计算机、配置工具、监视工具和/或其他设备。
[0137]
为了提供针对所公开主题的各个方面的上下文,图21和图22以及以下讨论旨在提供对其中可以实现所公开主题的各个方面的合适环境的简要的一般性描述。虽然上面已经在可以在一个或更多个计算机上运行的计算机可执行指令的一般性上下文中描述了实施方式,但是本领域技术人员将认识到,也可以结合其他程序模块和/或作为硬件和软件的组合来实现实施方式。
[0138]
通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、部件、数据结构等。此外,本领域技术人员将理解,可以利用其他计算机系统配置来实践本发明的
方法,其他计算机系统配置包括单处理器计算机系统或多处理器计算机系统、小型计算机、大型计算机、物联网(iot)设备、分布式计算系统、以及个人计算机、手持式计算设备、基于微处理器的或可编程的消费性电子产品等,上述中的每一个均可以可操作地耦接至一个或更多个相关联的设备。
[0139]
本文示出的实施方式也可以在分布式计算环境中实践,其中,某些任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于本地存储器存储设备和远程存储器存储设备两者中。
[0140]
计算设备通常包括各种介质,各种介质可以包括计算机可读存储介质、机器可读存储介质和/或通信介质,这两个术语在本文中如下彼此不同地使用。计算机可读存储介质或者机器可读存储介质可以为可以由计算机访问的任何可用存储介质,并且包括易失性介质和非易失性介质、可移除介质和不可移除介质两者。通过示例而非限制,可以结合用于存储诸如计算机可读指令或机器可读指令、程序模块、结构化数据或非结构化数据的信息的任何方法或技术来实现计算机可读存储介质或机器可读存储介质。
[0141]
计算机可读存储介质可以包括但不限于:随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、闪存或其他存储器技术、光盘只读存储器(cd-rom)、数字通用光盘(dvd)、蓝光光盘(bd)或其他光盘存储设备、磁带盒、磁带、磁盘存储设备或其他磁存储设备、固态驱动器或其他固态存储设备、或者其他可以用于存储所需信息的有形介质和/或非暂态介质。就这一点而言,应当将本文中应用于存储设备、存储器或计算机可读介质的术语“有形”或“非暂态”理解为作为修饰语仅排除传播暂态信号本身,并且不放弃不是仅传播暂态信号本身的所有标准存储设备、存储器或计算机可读介质的权利。
[0142]
计算机可读存储介质可以由一个或更多个本地计算设备或远程计算设备例如经由访问请求、查询或其他数据检索协议来访问,以进行相对于由介质存储的信息的多种操作。
[0143]
通信介质通常将计算机可读指令、数据结构、程序模块或者其他结构化数据或非结构化数据体现在诸如调制数据信号例如载波或其他传输机制的数据信号中,并且包括任何信息递送或传输介质。术语“调制数据信号”或信号是指具有以将信息编码在一个或更多个信号中的方式设置或改变其特性中的一个或更多个特性的信号。通过示例而非限制,通信介质包括有线介质诸如有线网络或直接有线连接,以及无线介质诸如声学、rf、红外以及其他无线介质。
[0144]
再次参照图21,用于实现本文描述的各个方面的各个实施方式的示例环境2100包括计算机2102,计算机2102包括处理单元2104、系统存储器2106和系统总线2108。系统总线2108将系统部件耦接至处理单元2104,该系统部件包括但不限于系统存储器2106。处理单元2104可以为各种商业可用处理器中的任一种。双微处理器和其他多处理器架构也可以用作处理单元2104。
[0145]
系统总线2108可以为下述若干类型总线结构中的任一种:其可以另外使用多种商业可用总线架构中的任一种互连至存储器总线(具有或不具有存储器控制器)、外围总线以及本地总线。系统存储器2106包括rom2110和ram 2112。基本输入/输出系统(bios)可以存储在非易失性存储器,诸如rom、可擦除可编程只读存储器(eprom)、eeprom中,其中,bios包
含例如在启动期间帮助在计算机2102内的元件之间传递信息的基本例程。ram 2112还可以包括高速ram,诸如用于缓存数据的静态ram。
[0146]
计算机2102还包括内部硬盘驱动器(hdd)2114(例如,eide、sata)、一个或更多个外部存储设备2116(例如,磁软盘驱动器(fdd)2116、记忆棒或闪存驱动器读取器、存储卡读取器等)以及光盘驱动器2120(例如,其可以从cd-rom盘、dvd、bd等进行读或写)。虽然内部hdd 2114被示为位于计算机2102内,但是内部hdd 2114也可以被配置成在合适的架构(未示出)中供外部使用。附加地,虽然在环境2100中未示出,但是除了hdd 2114之外可以使用固态驱动器(ssd),或者使用固态驱动器(ssd)代替hdd 2114。hdd 2114、外部存储设备2116以及光盘驱动器2120可以分别通过hdd接口2124、外部存储接口2126和光盘驱动器接口2128连接至系统总线2108。用于外部驱动实现方式的接口2124可以包括通用串行总线(usb)和电气与电子工程师协会(ieee)1394接口技术中的至少之一或两者。其他外部驱动连接技术在本文描述的实施方式的构思内。
[0147]
驱动器及其相关联的计算机可读存储介质提供数据、数据结构、计算机可执行指令等的非易失性存储。对于计算机2102,驱动器和存储介质以适当的数字格式适应任何数据的存储。虽然上面对计算机可读存储介质的描述是指各类型的存储设备,但是本领域技术人员应当理解,计算机可读的其他类型的存储介质,无论是当前存在的还是将来开发的,都可以在示例操作环境中使用,并且此外,任何这样的存储介质可以包含用于执行本文描述的方法的计算机可执行指令。
[0148]
在驱动器和ram 2112中可以存储多个程序模块,包括操作系统2130、一个或更多个应用程序2132、其他程序模块2134以及程序数据2136。操作系统、应用、模块和/或数据的全部或部分也可以缓存在ram2112中。可以利用各种商业可用的操作系统或操作系统的组合来实现本文描述的系统和方法。
[0149]
计算机2102可以可选地包括模拟技术。例如,管理程序(未示出)或其他中间设备可以模拟用于操作系统2130的硬件环境,并且模拟的硬件可以可选地不同于图21所示的硬件。在这样的实施方式中,操作系统2130可以包括在计算机2102处托管的多个虚拟机(vm)中的一个vm。此外,操作系统2130可以针对应用程序2132提供诸如java运行时环境或.net框架的运行时环境。运行时环境是一致的执行环境,其允许应用程序2132在包括运行时环境的任何操作系统上运行。类似地,操作系统2130可以支持容器,并且应用程序2132可以呈容器的形式,其是轻量级的、独立的、可执行的软件包,该软件包包括例如代码、运行时间、系统工具、系统库以及针对应用的设置。
[0150]
此外,可以利用诸如可信处理模块(tpm)的安全模块来使能计算机2102。例如,利用tpm,引导部件及时散列(hash)下一个引导部件,并且在加载下一个引导部件之前等待结果与安全值的匹配。该处理可以发生在计算机2102的代码执行栈中的任何层处,例如在应用执行级或在操作系统(os)内核级处应用,从而实现在代码执行的任何级处的安全性。
[0151]
用户可以通过一个或更多个有线输入设备/无线输入设备例如键盘2138、触摸屏2140以及诸如鼠标2142的指向设备将命令和信息输入至计算机2102中。其他输入设备(未示出)可以包括麦克风、红外(ir)遥控器、射频(rf)遥控器或其他遥控器、操纵杆、虚拟现实控制器和/或虚拟现实耳机、游戏手柄、触控笔、例如摄像装置的图像输入设备、姿势传感器输入设备、视觉运动传感器输入设备、情绪或面部检测设备、例如指纹或虹膜扫描仪的生物
特征输入设备等。这些输入设备和其他输入设备通常通过可以耦接至系统总线2108的输入设备接口2144连接至处理单元2104,但是也可以通过其他接口诸如并行端口、ieee 1394串行端口、游戏端口、usb端口、ir接口、接口等进行连接。
[0152]
监视器2144或其他类型的显示设备也可以经由接口诸如视频适配器2146连接至系统总线2108。除了监视器2144之外,计算机通常还包括其他外围输出设备(未示出),诸如扬声器、打印机等。
[0153]
计算机2102可以经由至诸如远程计算机2148的一个或更多个远程计算机的有线通信和/或无线通信使用逻辑连接来在联网环境中进行操作。远程计算机2148可以为工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐仪器、对等设备或者其他常见网络节点,并且远程计算机2148通常包括相对于计算机2102描述的元件中的许多或全部,然而,出于简洁的目的,仅示出了存储器/存储设备2150。所描绘的逻辑连接包括与至局域网络(lan)2152和/或更大的网络例如广域网(wan)络2154的有线连接/无线连接。这样的lan和wan联网环境在办公室以及公司中很常见,并且促进诸如内部网络的企业范围的计算机网络,所有这些计算机网络都可以连接至全球通信网络,例如因特网。
[0154]
当在lan联网环境中使用时,计算机2102可以通过有线和/或无线通信网络接口或适配器2156连接至本地网络2152。适配器2156可以促进至lan 2152的有线通信或无线通信,lan 2152还可以包括设置在其上用于以无线模式与适配器2156进行通信的无线接入点(ap)。
[0155]
当在wan联网环境中使用时,计算机2102可以包括调制解调器2158,或者可以经由用于通过wan 2154建立通信的其他手段例如通过因特网连接至wan 2154上的通信服务器。可以是内部或外部以及有线或无线设备的调制解调器2158可以经由输入设备接口2142连接至系统总线2108。在联网环境中,相对于计算机2102或其部分描绘的程序模块可以被存储在远程存储器/存储设备2150中。将理解的是,所示的网络连接是示例,并且可以使用在计算机之间建立通信链接的其他手段。
[0156]
当在lan或wan联网环境中使用时,计算机2102可以访问云存储系统或者除了上面描述的外部存储设备2116之外的其它基于网络的存储系统或代替上面描述的外部存储设备2116的其它基于网络的存储系统。通常,可以例如分别通过适配器2156或调制解调器2158来通过lan 2152或wan 2154建立计算机2102与云存储系统之间的连接。在将计算机2102连接至相关联的云存储系统时,外部存储接口2126可以在适配器2156和/或调制解调器2158的帮助下如在其他类型的外部存储的情况下一样管理由云存储系统提供的存储。例如,外部存储接口2126可以被配置成提供对云存储源的访问,就好像这些源物理地连接至计算机2102一样。
[0157]
计算机2102可以是可操作的以与操作上以无线通信设置的任何无线设备或实体进行通信,所述无线设备或实体为例如打印机、扫描仪、台式计算机和/或便携式计算机、便携式数据助理、通信卫星、与可无线检测的标签相关联的任何设备或位置(例如信息亭、报摊、商店货架等)以及电话。这可以包括无线保真(wi-fi)技术和无线技术。因此,通信可以是如常规网络的预定义结构或者仅是至少两个设备之间的自组织通信。
[0158]
图22是所公开的主题可以与其进行交互的样本计算环境2200的示意性框图。样本
计算环境2200包括一个或更多个客户端2202。客户端2202可以为硬件和/或软件(例如线程、进程、计算设备)。样本计算环境2200还包括一个或更多个服务器2204。服务器2204也可以为硬件和/或软件(例如线程、进程、计算设备)。例如,服务器2204可以容置线程以通过采用如本文所述的一个或更多个实施方式来执行转换。客户端2202与服务器2204之间的一种可能的通信可以是适于在两个或更多个计算机进程之间传送的数据分组的形式。样本计算环境2200包括通信框架2206,通信框架2206可以用于促进客户端2202与服务器2204之间的通信。客户端2202可操作地连接至一个或更多个客户端数据存储器2208,客户端数据存储器2208可以用于存储客户端2202本地的信息。类似地,服务器2204可操作地连接至一个或更多个服务器数据存储器2210,服务器数据存储器2210可以用于存储服务器2204本地的信息。
[0159]
上面描述的内容包括主题发明的示例。当然,不可能出于描述所公开的主题的目的而描述部件或方法的每个可想到的组合,但是本领域普通技术人员可以认识到主题发明的许多进一步的组合和排列是可能的。因此,所公开的主题旨在涵盖落入所附权利要求书的精神和范围内的所有这样的更改、修改和变型。
[0160]
特别地,关于由上面描述的部件、设备、电路、系统等执行的各种功能,除非另外指出,否则用于描述这样的部件的术语(包括对“手段”的引用)旨在对应于执行描述的部件的指定功能的任何部件(例如,功能等同物),即使该部件结构上不等效于执行所公开的主题的本文中示出的示例性方面的功能的所公开的结构也是如此。就这一点而言,还将认识到,所公开的主题包括具有用于执行所公开的主题的各种方法的动作和/或事件的计算机可执行指令的系统以及计算机可读介质。
[0161]
另外,虽然可能已经关于若干实现方式中的仅一个实现方式公开了所公开主题的特定特征,但是这样的特征可以与其他实现方式中的对于任何给定或特定应用来说可能是期望和有利的一个或更多个其他特征进行组合。此外,就在具体实施方式或权利要求书中使用术语“包括(includes)”和“包括(including)”及其变型而言,这些术语旨在以与术语“包含(comprising)”类似的方式为包含性的。
[0162]
在本技术中,词语“示例性”用于意指用作示例、实例或说明。在本文中被描述为“示例性”的任何方面或设计不必然被解释为比其他方面或设计优选或有利。更确切地,词语示例性的使用旨在以具体的方式来呈现构思。
[0163]
本文中描述的各个方面或特征可以使用标准编程技术和/或工程技术实现为方法、装置或制品。如本文所使用的术语“制造的制品”旨在涵盖能够从任何计算机可读设备、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁存储设备(例如,硬盘、软盘、磁条
……
)、光盘(例如,致密盘(cd)、数字通用盘(dvd)
……
)、智能卡以及闪存设备(例如,卡、棒、键驱动器
……
)。
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
