专利名称:自动化设备的通信网络中涉及安全的通信的方法和装置的制作方法
技术领域:
本发明一般地涉及自动化设备及其自动化总线系统。具体地说,本发明涉及在 这种自动化设备的通信网络中在涉及安全的(sicherheitsgerichtet)模块之间的通信。
背景技术:
为了减少对人或环境的风险,经常要求在自动化总线系统中或在与自动化总线 系统连接的用户中设置安全功能。一种示例是在操作了紧急开关之后切断连接到自动化 总线系统的机器。为此目的,越来越多地采用防错的自动化系统。一般来说,这些防 错的自动化系统一方面实现了实际的安全功能,例如双手切换(Zweihand-Schaltung)、噪 声抑制(Muting)、运行模式选择开关等,另一方面还实现了识别错误以及阻止错误的措 施,如其例如在标准IEC61508和IS013849中规定的那样。在目前的自动化系统中,依据自动化程度以及依据设备的扩展而采用连接分布 式输入/输出设备(E/A设备)和控制装置的通信系统。为了传输安全技术的数据,在 此已知通过安全的网络协议来支持该网络。所采用的信号流到目前为止来自中央安全技 术,其中安全的输入信号被传输到安全的控制装置,并在该控制装置那里被处理,然后 被传输到相应的执行器。这种安全处理也称为安全应用。通信中的错误可能在自动化设备的硬件和固件中、在网络的基础部件(例如现 场总线部件或以太网部件)中以及在数据传输期间因为外部影响而存在或产生。外部影 响例如可能是电磁场对数据传输的干扰。在自动化技术中,目前可以看到两个趋势。一方面存在对控制功能分布式布置 的追求。另一方面存在将安全技术集成到控制和网络技术中的兴趣。在分布式布置中,控制功能越来越广地被转移到输出层中。从而,例如可以在 运行时在有限范围内集成控制功能。但是,通过将安全技术集成到控制装置和网络中,在应用过程中产生强烈的依 赖性。这种依赖性导致系统更为复杂的规划和编程。这与期望安全技术处理简单性的 愿望在某种程度上相反。涉及安全的应用的规划复杂性目前是传统的固定连线的安全技 术、尤其是基于安全中继的固定连线的安全技术的过渡很难被接受的主要原因之一。而 且在目前的安全自动化总线系统中由于上述困难可能会因为所谓的误触发而导致对受控 设备的错误使用以及不足的可提供性。
发明内容
本发明所基于的任务是简化自动化网络中对涉及安全的模块的安装和规划。本发明用于解决该任务的基本思想在于,将一个设备的安全功能划分为小的、 一目了然的、能局限于本地的以及能简单验证的模块组。为了执行涉及安全的动作而设 置的模块组因此表示整个通信网络内或多或少自主的岛。该体系对应于目前熟悉安全技术的人员在设备自动化时的思维方式。另外,通过这种方式,设备的修改和扩展可能更为简单,而不必再次重新验证已被验证过的设备 部件。此外,安全功能的模块化以及与标准功能的分离最大程度地迎合了对如上所述标 准IEC61508以及IS013849这样的当前安全标准的要求。对使用者来说的另一个优点在于以下可能性必要时与网络无关地和与控制无 关地构成分布式安全模块。由此还给出与控制装置的提供者的无关性。这也意味着,在 例如由于非与安全相关的要求而更换标准控制装置或网络时可以保留所采用的安全技术 和经过验证的安全模块。根据本发明,用于保证整个安全功能的分布式安全模块至少在有限范围内相互 防错地通信。为了使得能够与基础的物理介质无关地实现该通信,传输对符合安全要求 的传输的检查到进行接收的用户。由此不需要在若干公知系统中设置的安全主设备。对于岛的模块或用于执行涉及安全的动作的模块组的通信,电报被发送到通信 主设备,并在那里被路由到接收者。数据流的自动路由通过以下方式实现防错的通信 协议和/或防错的通信用户提供可由路由层分析的信息或媒介。分析在此的意思是,可 以在初始化阶段中独立地建立复制或路由表,而使用者不必借助网络配置工具预先给定 该通信用户的地址。该媒介或信息在此既可以一次性地在初始化阶段期间又可以在系统 的运行时期间被提供和分析。具体地,本发明为了解决上述任务提供一种自动化设备,具有尤其是非安全的 通信主设备和多个分布式模块,其中-分布式模块被构造为网络用户,并且-借助通信网络与所述通信主设备联网,其中-在通信网络中,分布式模块之间的通信通过电报实现,其中_至少两个模块是安全模块,在这些安全模块之间传输涉及安全的数据,以及-这些安全模块形成用于执行涉及安全的功能的模块的逻辑组,并且其中_优选为非安全的通信主设备具有路由表,在该路由表中保存分布式安全模块之 间对应于涉及安全的功能的逻辑连接,其中-该通信主设备被设置用于借助路由表受控地将数据从进行发送的安全模块自动 路由到进行接收的安全模块,_使得属于一个逻辑组的安全模块之间的通信分别通过两个点对点连接进行, 即从进行发送的安全模块到通信主设备以及进一步从该通信主设备到进行接收的安全模 块,_其中进行接收的安全模块被设置用于对应于所接收的数据执行涉及安全的动 作,并且该通信网络具有用于向安全模块查询用于建立路由表的信息并且借助该信息建 立路由表的装置。优选地,用于建立路由表的装置被实施在通信主设备自身中。但是也可以想 到,路由表由外部装置,例如由另外的与网络连接的模块产生,然后被传输到通信主设 备。由此,利用自动化设备的该特征,相应地使得能够实现一种用于监控设备中安 全功能的方法,该设备具有尤其是非安全的通信主设备和多个分布式模块,其中
5
-所述分布式模块被构造为网络用户,并且-借助通信网络与所述通信主设备联网,其中-在通信网络中,分布式模块之间的通信通过电报实现,其中_至少两个模块是安全模块,在这些安全模块之间传输涉及安全的数据,以及-这些安全模块形成用于执行涉及安全的功能的模块的逻辑组,并且其中-优选为非安全的通信主设备具有路由表,在该路由表中保存分布式安全模块之 间对应于涉及安全的功能的逻辑连接,其中-该通信主设备借助路由表将数据从进行发送的安全模块自动路由到进行接收的 安全模块,_使得属于一个逻辑组的安全模块之间的通信分别通过两个点对点连接进行, 即从进行发送的安全模块到通信主设备并且进一步从该通信主设备到进行接收的安全模 块,-其中进行接收的安全模块对应于所接收的数据执行涉及安全的动作,并且其中 由该通信网络的装置,优选由通信主设备向安全模块查询用于建立路由表的信息并且借 助该信息建立路由表。路由表的概念不仅限于表格形式的精确对应。在本发明的含义下,这个概念应 当被理解为以任意形式存在的对应规则,其中安全模块或安全模块的地址对应于待建立 的逻辑连接而相互关联(verknuepfen)。根据本发明的一实施方式,路由表可以是复制列表。复制尤其可以是以在通信 主设备的通信固件或使用者程序内复制整个电报或该电报的数据的形式进行。非安全的通信主设备的特征意思是,该通信主设备本身不需要被构造为用于借 助安全的网络协议进行的防错通信和/或不必具有特殊的冗余硬件。本发明的一个巨大优点主要在于,可以完全不需要用于配置安全模块及其涉及 安全的动作的中央配置工具。在涉及安全的通信中,需要快速传输数据。在此,本发明的方法采用通过非安 全的通信主设备进行路由乍看起来是麻烦的,因为每个电报必须通过两个点对点连接传 输并且在此过程中还必须进行路由。但是已经表明,该通信在速度方面与具有通过总线 的通信的其它安全系统是相当的,从而对快速响应时间的要求得到满足。作为通信网络中数据通信的基础,可以采用标准网络通信。在此还已知 INTERBUS系统、PROFIBUS系统、PROFINET系统、DeviceNet系统和以太网IP系 统。对于安全模块之间的安全通信,可以采用相应的安全网络协议INTERBUS-Safety、 PROFIsafe或CIP-Safety。这些防错的网络协议根据“黑色通道(Black-Channel) ”原理 工作,其中防错的电报被嵌入到标准电报中。在此,通信用户承担安全的通信主设备的 角色,例如借助主设备安全层(Master-Safety-Layer)或以F主机的形式。
下面借助附图详细解释本发明。在此相同的附图标记表示相同或相应的元件。图1示出自动化制造设备的自动化网络的示意连接图,图2示出用于图1所示自动化网络的路由表的一实施例,
图3示出具有输入模块和输出模块的一个实施例。
具体实施例方式图1中示出自动化设备1 (优选为自动化制造设备)的通信网络的框图。根据本发明的自动化设备1包括通信主设备(例如作为中央控制装置的组成部 分)以及多个分布式模块。在图1的示例中,设置通信主设备3作为中央控制装置或作 为中央控制装置的组成部分。分布式模块70、80、81、82、83、90、91连接到通信网络 2。分布式模块70、80、81、82、83、90、91被构造为网络用户并且借助通信网络 2与通信主设备3联网。通信网络2中分布式模块70、80、81、82、83、90、91之间的 通信通过电报实现。例如,通信网络2可以具有以太网作为物理层,并且通信相应地以 以太网电报来实现。此外,至少两个模块是安全模块,在这些安全模块之间传输涉及安全的数据。 在图1的示例中,具体地说,模块80、81、82、83、90、91被构造为安全模块。这些安 全模块形成用于执行涉及安全的功能的模块的一个或多个逻辑组。通信主设备3具有路由表,在该路由表中存储分布式安全模块80、81、82、 83、90、91之间对应于涉及安全的功能的逻辑连接。通信主设备3被设置为受控地借助 路由表将数据从各自的进行发送的安全模块自动路由到进行接收的安全模块。进行接收 的安全模块被设置为对应于所接收的数据执行涉及安全的功能。尤其地,通信主设备3本身不需要在上述标准的含义中是安全的。而是中央控 制装置可以是标准控制装置。在图1所示的示例中,在通信主设备3与安全模块80、81、82、83、90、91之 间存在点对点连接10、11、12、13、14、15。在路由表中,还存储了为了执行不同的涉 及安全的功能而使用的逻辑连接16、17、18、19。借助该路由表,通信主设备3将由各 自的进行发送的安全模块所发送的数据自动路由到对应的进行接收的安全模块。用所述 逻辑连接关联的安全模块分别形成用于执行涉及安全的功能的模块的逻辑组。因此在图1 所示的示例中,用安全模块80、81、82、83形成一个逻辑组,在该逻辑组中通过逻辑连 接16、17、18将安全模块81、82、83分别与安全模块80关联。此外,安全模块90、91 的逻辑组通过逻辑连接19被关联。例如,安全模块之一可以分析光电栅栏(Lichtschnmke)的数据。然后例如可以 规定,必须关断利用该光电栅栏监视通路的装置。然后,相应的关断装置由另一安全模 块响应于由该光电栅栏所连接的安全模块发送并被通信主设备3路由到该另一安全模块 的电报来操作。由此,该逻辑连接被分为来自以及去往通信主设备3的两个点对点连接。例 如,图1所示实施例中的逻辑连接16通过点对点连接10和11实现。由此,对于所基于 的通信,可以采用任意的点对点协议。一个优选的基础是以太网网络。在电报中传输涉及安全的数据尤其可以通过电信网络上的非安全信道来进行。 换句话说,采用与用于过程控制的标准数据的通信媒介相同的通信介质。这尤其是有利 的,以降低硬件花费以及简化在现有自动化设备中的实施。为了在此实现涉及安全的数
7据的传输的高可靠性,采用“黑色通道”原理。由此,对电报错误的识别被完全传输 到进行接收的安全模块上。据此,在本发明的该扩展方案中,为了防错地传输涉及安全 的数据,进行接收的安全模块被构造为针对电报的更换、伪造、误传导或破坏来识别错误。为此,可以由进行接收的安全模块在所接收的电报中检查至少一个以下特征, 优选检查所有以下特征-时间戳,_ 冗余,-校验和,-当前电报号(eine laufende Telegrammnummer),-发送者标识,_接收者标识。借助电报的发送者标识和接收者标识,尤其可以通过进行接收的安全模块确定 电报的源和目标的对应是否正确和唯一。“黑色通道”的原理源于任意错误,如通信网络2中电报的更换、破坏和伪造。 用于安全模块之间通信的防错通信协议的识别错误的措施在此尤其不是在可能的情况下 在标准通信中也存在的识别错误的措施的保证。在图2中示出用于图1所示逻辑连接的一个示例性路由表20。在第一列中存储逻辑连接。第二列排列主设备地址,第三列排列从设备地址。 主设备地址和从设备地址在此表示各输出模块和输入模块的地址。优选地,采用输出模 块作为主设备,但是也可以考虑相反的配置。分为主安全模块和从安全模块在此尤其涉 及防错的通信。从而,主设备例如可以被设置为检查电报的连续的号码并且借助该号码 确定从模块以及这些模块与主安全模块的通信是否按规定工作。由于在图1所示的具有安全模块80的示例中存在多个逻辑连接,因此还可以为 该安全模块分配多个端口形式的地址。具体地说,具有端口 0的地址80:0分配给至安全 模块82的逻辑连接16,具有端口 1的地址80:1分配给至安全模块83的逻辑连接17,具 有端口 2的地址80:2分配给至安全模块83的逻辑连接18。此外,为了降低在初始化或规划安全功能时的花费,有意义的还有,中央控制 装置被设置为向安全模块查询用于建立路由表的信息,并且借助该信息建立路由表。相 应地,在此安全模块也被设置为提供所需要的信息。因此,根据本发明,涉及安全的通信分别通过通信主设备进行,其中进行发送 的安全模块(在图1的示例中为安全模块80和90)总是向通信主设备3或中央控制装置 发送,然后具有所获得的信息的电报被通信主设备3或中央控制装置发送到具有路由表 中所限定的目标地址的安全模块。这提供了以下优点进行发送的安全模块和进行接收 的安全模块都不需要关于哪个其它安全模块分配给它以执行逻辑组中涉及安全的功能的 fn息o—种参照路由表的产生初始化非安全的中央控制装置的实施方式如下所示-首先确定所连接的网络配置。-然后确定所连接的安全模块的地址,或一般性地确定其标识信息。
-必要时进行可信性检验(Plausibilitaetspruefung)。_借助来自最前面两个步骤的信息,在周期性运行时设置用于电报路由的分配列 表(Anweisungslist)或复制列表。作为用于自动建立路由表或复制列表的安全模块的标识信息,尤其可以使用-标识码,-装置ID,-装置名称,-安全地址,该安全地址例如可以是在安全模块上借助开关能设置的。总之,初始化可以借助实施在通信主设备中的算法如下进行首先算法在网络 中识别安全模块,例如识别其ID码,然后从这些模块中读出安全地址。现在可以借助安 全地址识别出自动路由应当在岛内或逻辑组内进行,也就是在图1的示例中在模块80-83 与模块90、91之间进行。对应于第一岛内的逻辑连接16至18建立参考或复制作业 (Kopierauftrag),并且根据第二岛的逻辑连接19建立参考或复制作业。根据本发明的另一实施方式,安全模块的分配也可以通过在安全模块上设置通 信主设备的地址信息来进行。这在通信网络中具有多个通信主设备3并且应当向每个通 信主设备3分配一个岛或安全模块的逻辑组的情况下是有利的。转到图3所示的示例,在这种情况下通信主设备3例如具有号码8或相应的地 址。该号码或地址在安全模块80、81的地址选择开关21上设置。通信主设备3然后在 初始化阶段查询在安全模块上设置的号码或相应的地址,并且因此识别出模块80、81被 分配给它并且应当形成用于执行安全功能的逻辑组。分配或复制列表在此是路由表的一种可能形式。根据本发明一实施方式,将信 息转发到进行接收的安全模块可以通过在通信主设备3的通信固件内或使用者程序中复 制完整的电报来进行。为此可以建立复制列表(表格等),然后在周期运行中处理该复制 列表。在通信主设备中保持的路由表是否正确,并且因此还有消息是否被路由到正确 的用户同样可以通过各自进行接收的安全模块借助防错的网络协议来确定。复制列表对于复制作业优选总是包含源地址(源指针)、目标地址(目标指针) 和待复制数据的长度。在自动建立路由表(如在图2中示例性示出的那样)时,重要的是没有多余的或 甚至错误的连接,或只有正确的连接被登记。错误的连接例如是不同逻辑组的安全模块 之间的那些连接。这可能导致针对一台机器的紧急开关的信号将切断另一机器。为了在建立路由表时正确地分配属于安全模块的逻辑组的连接,通信主设备3 在本发明的扩展方案中被设置为查询连接到通信网络的安全模块的信息并且借助所查询 到的信息确定哪些安全模块属于一个逻辑组,并且在路由表中对应于安全模块的分配进 行连接。为此存在多种可能。一种简单的可能在于,分析安全模块的地址信息。为此可 以配置安全模块的地址,使得这些地址分别已经反映或表示对一个逻辑组的同一从属性 (zusammenhoerigkeit)。一种可能在于,通信主设备向逻辑组分别分配特定的地址空间。 另一种可能在于,安全模块被设置为通过通信网络应要求而提供表征对特定逻辑组的从属性(zugehoerigkeit)的信息。该信息也可以被考虑为地址的组成部分。在图1所示的示例中,安全模块例如可以具有对应于所分配的附图标记的地 址。从而通信主设备可以被设置为在路由表中通过相应的连接作业映射相应于地址空间 50-59、60-69、70-79、80-89、90-99 等的逻辑组。如借助图1看出的,例如一个逻辑组的模块全都具有地址空间80-89中的地址, 另一逻辑组的安全模块具有在地址空间90-99中的地址。相应地,在路由表中然后录入 模块80、81、82、83之间的连接作为一方以及模块90和91之间的连接作为另一方。为了实现很多安全功能,例如响应于输入信号而输出断开信号,有意义的是一 个组的安全模块中,至少一个安全模块具有输入模块,且至少一个安全模块具有输出模 块。输入模块于是通过具有两个点对点连接的逻辑连接在通信主设备参与下向输出模块 发送电报,该输出模块然后响应于该电报而触发涉及安全的动作。现在为了例如在安装自动化设备时标识属于一个逻辑组的安全模块,可以为这 些安全模块配置地址选择开关。合适的是,例如在外壳上设置Dip开关。这样设置或通过其它方式为安全通信确定的地址不必与一般的网络地址一致。 而是在此可以是特殊的安全地址。如下面借助图3示例性解释的那样,对安全地址的给 定或者还有对其它个体地址信息的给定可以被进行为使得实施在通信主设备中的算法识 别安全模块对一个逻辑组的从属性,并且在录入这些安全模块的连接的情况下相应地建 立路由表。为此图3示出了具有输入和输出模块形式的安全模块的实施例。在图1所示示例中的安全模块80、81、82、83的逻辑组中,为简单起见仅示出 安全模块80和81。安全模块80是输出模块,并且从被构造为输入模块的进行发送的安 全模块81接收消息。这两个安全模块80、81具有用于与传感器或执行器连接的连接端23。作为输入 模块的安全模块81在此与传感器27通过缆线26连接,而安全模块80作为输出模块通过 缆线26与执行器29连接。在图3所示的示例中,传感器27是光电栅栏30的传感器。 执行器29在此示例中是安全继电器,该安全继电器关断由自动化网络控制的机器31,例 如车床。因此,涉及安全的动作在该示例中是在光电栅栏30被中断的情况下自动关断机 器31。由此应当保证人员不能接近运行的机器31并且不会陷入危险。如果光电栅栏30中断,则通过传感器27的信号触发从安全模块81发送电报到 通信主设备3。该通信主设备借助其路由表确定电报被转发到安全模块80并且相应地路 由该电报。进行接收的安全模块80响应于包含在该电报中的关于触发光电栅栏的信息而 经由连接端23启动执行器29,或在此特别是启动继电器形式的执行器29,该继电器响应 于连接端23上的信号而接通并由此将机器31转换到安全状态。现在应当避免在安全设备时费事地配置涉及安全的动作。尤其地,应当以简单 的方式使得能够将属于一个逻辑组的各个安全模块与其功能结合。在传统的安全技术 中,这通过各个模块之间的缆线连接来实现。为了对根据本发明的自动化设备进行该配置,安全模块可以分别具有地址开关 21。安全模块对一逻辑组的同一从属性由此可以简单地通过根据预定机制给定地址来进 行。在根据图3的示例中,可以用地址开关21分别选择地址空间,其中通过选择相同的地址空间来分配给一个逻辑组。在所示示例中,利用地址选择开关21可以选择地址空间 40-49(开关位置 4)、50-59(开关位置幻、60-69、70-79、80-89、90-99。为了将两个 安全模块80和81逻辑地联接到一个组,在所示示例中在两个安全模块中通过将地址选择 开关21置于数字“8”来选择地址空间80-89。
在初始化阶段,向连接到通信网络的安全模块查询其地址。然后这些安全模块 返回地址信息。然后借助所识别的该安全模块与一个逻辑组的对应关系,通信主设备可 以建立具有相应逻辑关联的路由表。
地址信息不必必须是完整的。例如,两个安全模块80、81可以将分配给它们的 地址空间80-89通知给通信主设备。该通信主设备然0后在第二步骤中为安全模块80、 81分配完整的地址。但优选地,查询完整的安全地址,其中除了完整的安全地址之外还 给定通过地址选择开关21设置的地址,或者通过地址选择开关21设置的地址是该完整地 址的组成部分。
与上述地址给定类似,例如还可以设置由进行接收的安全模块80使用的端口。 为此可以设置相应的选择开关,利用这些选择开关设置用于安全模块相互之间通信的端 口。只要特定端口对特定输入模块的对应关系对于识别和执行涉及安全的动作不是必要 的,就也可以在初始化阶段中自动给定端口地址。
对本领域技术人员来说明显的是,本发明不限于图中所示的示例,而是可以更 多样化地在下面权利要求的范围内改变。
权利要求
1.一种自动化设备,具有尤其是非安全的通信主设备(3)和多个分布式模块(70, 80-83,90,91),其中-所述分布式模块(70,80-83,90,91)被构造为网络用户并且借助于通信网络与所 述通信主设备(3)联网,其中-在所述通信网络中,所述分布式模块之间的通信通过电报实现,其中 -至少两个所述模块是安全模块,在这些安全模块之间传输涉及安全的数据,并且 -这些安全模块形成用于执行涉及安全的功能的模块的逻辑组, 并且其中_优选为非安全的通信主设备(3)具有路由表,在该路由表中存储所述分布式安全模 块之间对应于涉及安全的功能的逻辑连接,其中-该通信主设备被设置为受控地借助于所述路由表将所述数据从进行发送的安全模块 自动路由到进行接收的安全模块,-使得属于一个逻辑组的安全模块之间的通信分别通过两个点对点连接进行,即从所 述进行发送的安全模块到所述通信主设备(3)以及进一步从该通信主设备(3)到所述进行 接收的安全模块,_其中所述进行接收的安全模块被设置为对应于所接收的数据执行涉及安全的动作,并且_其中该通信网络具有用于向安全模块查询用于建立路由表的信息并且借助该信息建 立路由表的装置。
2.根据权利要求1所述的自动化设备,其中所述通信主设备被设置为为了初始化所述 路由表执行以下步骤a)确定所连接的网络配置,b)确定所连接的安全模块的标识信息,c)在必要时进行可信性检验,d)借助于步骤a)和b)所得到的信息在周期性运行时建立用于电报路由的分配列表或 复制列表。
3.根据权利要求1或2所述的自动化设备,其中所述通信主设备(3)被设置为查询连 接到所述通信网络的安全模块的信息,并且借助于所查询到的信息确定所述安全模块中 哪些属于一个逻辑组,并且在所述路由表中进行对应于所述安全模块的分配的连接。
4.根据前述权利要求之一所述的自动化设备,其特征在于,所述安全模块的地址被 配置为使得这些地址分别反映对一个逻辑组的同一从属性。
5.根据前述权利要求之一所述的自动化设备,其中涉及安全的数据在电报中的传送 通过非安全的信道进行,并且为了防错地传输涉及安全的数据,所述进行接收的安全模 块被构造为针对电报的更换、伪造、误传导或破坏识别错误。
6.根据权利要求5所述的自动化设备,其特征在于,由进行接收的安全模块在所接收 的电报中检查至少一个以下特征,优选检查所有以下特征-时间戳, -冗余, -校验和,_当前电报号, “发送者标识, _接收者标识。
7.根据权利要求6所述的自动化设备,其特征在于,所述通信主设备(3)被设置为分 别为逻辑组分配特定的地址空间。
8.根据前述权利要求之一所述的自动化设备,其中一个逻辑组的安全模块中,至少 一个安全模块具有输入模块,并且至少一个安全模块具有输出模块,其中该输出模块被 设置为响应于输入模块的电报而触发安全功能。
9.一种用于监控自动化设备中安全功能的方法,该自动化设备具有尤其是非安全的 通信主设备(3)和多个分布式模块,其中-所述分布式模块被构造为网络用户,并且借助于通信网络与所述通信主设备联网,其中-在所述通信网络中,所述分布式模块之间的通信通过电报实现,其中 -至少两个所述模块是安全模块,在所述安全模块之间传输涉及安全的数据,并且 _所述安全模块形成用于执行涉及安全的功能的模块的逻辑组, 并且其中_优选为非安全的通信主设备(3)包含路由表,在该路由表中存储所述分布式安全模 块之间对应于涉及安全的功能的逻辑连接,其中-该通信主设备借助于所述路由表将所述数据从进行发送的安全模块自动路由到进行 接收的安全模块,-使得属于一个逻辑组的安全模块之间的通信分别通过两个点对点连接进行,即从所 述进行发送的安全模块到所述通信主设备(3)以及进一步从该通信主设备(3)到所述进行 接收的安全模块,-其中所述进行接收的安全模块对应于所接收的数据执行涉及安全的动作,并且其中 -由该通信网络的一个装置,优选是由所述通信主设备,向所述安全模块查询用于建 立路由表的信息并且借助该信息建立路由表。
全文摘要
本发明涉及自动化设备的通信网络中涉及安全的模块之间的通信。本发明在此所基于的任务是,简化自动化网络中对涉及安全的模块的安装和规划。为此将一个设备的安全功能划分为小的、一目了然的、局限于本地的以及可简单验证的模块组。
文档编号H04L29/06GK102025610SQ20101029044
公开日2011年4月20日 申请日期2010年9月20日 优先权日2009年9月23日
发明者J·施密特, S·霍恩 申请人:菲尼克斯电气公司