本項(xiàng)發(fā)明的披露內(nèi)容在一般情況下涉及工業(yè)自動(dòng)化與控制系統(tǒng)，例如在工業(yè)與商業(yè)環(huán)境中所使用的自動(dòng)化與控制系統(tǒng)。尤其重要的是，本項(xiàng)發(fā)明的披露內(nèi)容涉及適合于在適用于人類生命與健康保護(hù)的裝置中使用的、具有高度可靠性或工業(yè)安全性的控制器，尤其是通過(guò)存儲(chǔ)器模塊進(jìn)行快速備份或配置的工業(yè)安全控制器。

背景技術(shù)：

工業(yè)控制器是指在工業(yè)生產(chǎn)過(guò)程的控制方面所使用的專用計(jì)算機(jī)。在存儲(chǔ)、受控程序的指引下，工業(yè)控制器對(duì)反映受控生產(chǎn)過(guò)程狀態(tài)的一系列輸入量進(jìn)行檢測(cè)，并對(duì)控制工業(yè)生產(chǎn)過(guò)程的一系列輸出量予以改變。輸入量與輸出量可以采用二進(jìn)制(即開啟或關(guān)閉)、或采用模擬量，從而在實(shí)質(zhì)性的連續(xù)范圍內(nèi)提供一個(gè)數(shù)值。可以通過(guò)連接到受控生產(chǎn)過(guò)程的傳感器獲得輸入量，并且可以將輸出量提供給受控生產(chǎn)過(guò)程中的各個(gè)執(zhí)行機(jī)構(gòu)。

安全系統(tǒng)是指用于確保在工業(yè)生產(chǎn)過(guò)程環(huán)境中進(jìn)行工作的人員安全的各種系統(tǒng)。該類系統(tǒng)可以包含緊急停止按鈕、光幕和其他機(jī)器鎖定裝置相關(guān)聯(lián)的電子裝置。在傳統(tǒng)上，同用于控制與安全系統(tǒng)相關(guān)的某一工業(yè)生產(chǎn)過(guò)程的工業(yè)控制系統(tǒng)相分離的一組冗余電路已經(jīng)實(shí)施了安全系統(tǒng)。該類安全系統(tǒng)通過(guò)開關(guān)和繼電器進(jìn)行了硬接線，包括可以進(jìn)行冗余信號(hào)比較和所有狀況內(nèi)部檢查的專用安全繼電器，例如焊接接點(diǎn)或粘接接點(diǎn)。

根據(jù)所需要的控制復(fù)雜性和安全復(fù)雜性，考慮到受控區(qū)域的數(shù)量，可以采用各種方式進(jìn)行安全控制。可以采用局部、小規(guī)?；蚝?jiǎn)單安全控制用安全繼電器、針對(duì)模塊化、更加復(fù)雜配置的模塊、或更加先進(jìn)、并且達(dá)到特定安全等級(jí)、但是仍然屬于小型可編程邏輯控制器的模塊等形式提供安全控制器。在復(fù)雜的安全網(wǎng)絡(luò)范圍內(nèi)，可以采用小型安全控制器。另一方面，安全繼電器尤其適用于小規(guī)模的緊急停止應(yīng)用。

我們時(shí)常會(huì)為了遵守標(biāo)準(zhǔn)化要求而配置安全裝置，例如安全完整性水平(SIL)等。另一方面，需要確保用戶不僅能夠配置標(biāo)準(zhǔn)的控制裝置， 而且能夠利用編輯器程序、通過(guò)軟件的方式配置安全控制器或安全繼電器。在使通過(guò)軟件方式配置的安全控制器全面運(yùn)行之前，必須對(duì)安全控制器符合安全要求的情況進(jìn)行驗(yàn)證，從而在所述安全控制器的運(yùn)行過(guò)程中提高安全性。為了表明驗(yàn)證程序的完成情況，可以用同樣保存在安全控制器中的驗(yàn)證身份對(duì)安全控制器上的安全控制程序予以補(bǔ)充，或?qū)踩刂瞥绦蜻B同集成驗(yàn)證身份一起下載到安全控制器中?？梢蕴峁┍砻鲗?duì)安全控制程序進(jìn)行驗(yàn)證的其他方式。

在傳統(tǒng)上，安全控制器或安全繼電器通過(guò)網(wǎng)絡(luò)、USB連接、或藍(lán)牙連接的方式連接到編程工具或裝置上，以收取一個(gè)安全控制程序，有些時(shí)候也被稱為安全控制應(yīng)用程序或安全控制項(xiàng)目。然后，將安全控制程序下載到安全控制器上，從而可以要求將前述安全控制器連接到編程或編輯器裝置上。

對(duì)于原始設(shè)備制造商而言，或通常在必須利用共用配置對(duì)許多臺(tái)機(jī)器或控制器裝置進(jìn)行編程的情況下，這是一項(xiàng)耗費(fèi)時(shí)間的程序，需要將各臺(tái)控制器同裝置連接在一起，以便運(yùn)行編輯器軟件，并將包含工業(yè)控制程序的配置下載到控制器中。而且，利用這種方法難以追蹤是否已經(jīng)將同一安全控制程序或預(yù)定安全控制程序下載到控制器中。

在為工業(yè)控制器提供配置的另一項(xiàng)常規(guī)傳統(tǒng)方法中，需要將一個(gè)存儲(chǔ)卡或存儲(chǔ)模塊永久性地插入到工業(yè)控制器的插座中。這樣會(huì)減少工業(yè)控制器的可用空間以及擴(kuò)展性。為了平衡這些不利條件，通常會(huì)在永久性插入到工業(yè)控制器中的存儲(chǔ)卡或存儲(chǔ)模塊上提供額外的功能裝置，例如實(shí)時(shí)時(shí)鐘。

技術(shù)實(shí)現(xiàn)要素：

在本發(fā)明的一項(xiàng)實(shí)施例中，安全控制器包含了非易失性存儲(chǔ)器以及配置在主機(jī)模塊上的一個(gè)或多個(gè)插槽。將一個(gè)或多個(gè)插槽中的一個(gè)，尤其是預(yù)定插槽(可以是最左邊或最右邊的插槽)，進(jìn)行配置，以便通過(guò)通信聯(lián)絡(luò)方式將安全控制器同存儲(chǔ)模塊連接在一起。對(duì)安全控制器進(jìn)行配置，以便將安全控制器上的配置備份傳送到插槽中所托管的存儲(chǔ)模塊上和/或進(jìn)行配置，以加載插槽中托管的存儲(chǔ)模塊所給予的配置。因此，可以利用可以由安全控制器托管的可拆除存儲(chǔ)模塊、以簡(jiǎn)單的方式在安全控制器之間往返進(jìn)行安全控制器配置的傳送。不必將存儲(chǔ)模塊永久性地安裝在安全控 制器的插槽中。相反，可以將相同的插槽用于其他擴(kuò)展模塊，例如輸入/輸出模塊或通信模塊等。根據(jù)本實(shí)施例進(jìn)行的工業(yè)安全控制器配置和備份并不需要網(wǎng)絡(luò)或同編輯器裝置的其他連接，這樣可以便于在安全控制器生產(chǎn)過(guò)程中或在工廠場(chǎng)地進(jìn)行快速分配。

根據(jù)當(dāng)前發(fā)明的某一方面，只可以在非運(yùn)行狀態(tài)下進(jìn)行安全控制器的備份和配置，可以將這種非運(yùn)行狀態(tài)稱為運(yùn)行的“故障狀態(tài)”。這樣可以確保安全控制器的安全運(yùn)行不會(huì)受到備份過(guò)程或配置加載的影響。

根據(jù)當(dāng)前發(fā)明的另一方面，配置包含了經(jīng)過(guò)驗(yàn)證的安全控制程序和/或安全控制器固件。因此，可以將經(jīng)過(guò)驗(yàn)證的安全控制程序連同支持各個(gè)已驗(yàn)證安全控制程序的安全控制器固件一起傳送。根據(jù)當(dāng)前發(fā)明的另一方面，在安全控制器的兩個(gè)或多個(gè)處理單元之間提供了具有通信功能的一個(gè)處理單元。僅有一個(gè)預(yù)定插槽在內(nèi)部進(jìn)行連接，并提供同具有通信功能的前述單一處理單元進(jìn)行的通信連接。該項(xiàng)配置減少了內(nèi)部接線和硬件費(fèi)用，同時(shí)為安全控制器提供了備份與恢復(fù)功能。此外，對(duì)預(yù)定插槽進(jìn)行配置，從而不但可以通過(guò)通信方式與存儲(chǔ)模塊連接，而且在沒(méi)有存儲(chǔ)模塊的情況下至少可以同預(yù)定插槽內(nèi)所托管的通信模塊相連接。

在本項(xiàng)發(fā)明的另一項(xiàng)實(shí)施例中，用于安全控制器快速配置的安全控制系統(tǒng)包含了多個(gè)安全控制器以及一個(gè)可拆除存儲(chǔ)模塊。系統(tǒng)的各個(gè)安全控制器均包含了一個(gè)或多個(gè)為了對(duì)插接式模塊進(jìn)行托管而配置的插槽，對(duì)一個(gè)或多個(gè)插槽中的一個(gè)，尤其是預(yù)定插槽，進(jìn)行配置，以通過(guò)通信方式將安全控制器同可拆除的存儲(chǔ)模塊進(jìn)行連接。對(duì)所有安全控制器以及存儲(chǔ)模塊進(jìn)行配置，以便當(dāng)存儲(chǔ)模塊在前述安全控制器中托管時(shí)，將可以保存在安全控制器存儲(chǔ)器中的配置備份傳送到存儲(chǔ)模塊中；和/或當(dāng)存儲(chǔ)模塊在前述安全控制器中托管時(shí)，將配置從存儲(chǔ)模塊傳送到安全控制器中。

在本項(xiàng)發(fā)明的另一項(xiàng)實(shí)施例中，將軟件分配到多個(gè)工業(yè)安全控制器中的方法包含了一個(gè)將有關(guān)工業(yè)安全控制器或工業(yè)安全控制的軟件加載到存儲(chǔ)模塊的步驟。之后將存儲(chǔ)模塊在工業(yè)安全控制器一個(gè)或多個(gè)插槽中的一個(gè)預(yù)先確定插槽中進(jìn)行托管。然后，以通信方式、通過(guò)預(yù)定插槽將存儲(chǔ)模塊連接到工業(yè)安全控制器上。在開始將軟件從存儲(chǔ)模塊傳送到工業(yè)安全控制器后，軟件從存儲(chǔ)模塊傳送到工業(yè)安全控制器上，并保存在工業(yè)安全控制器的非易失性存儲(chǔ)器中。

根據(jù)當(dāng)前發(fā)明的一個(gè)方面，加載包含了通過(guò)第一工業(yè)安全控制器對(duì)存儲(chǔ)模塊進(jìn)行托管、確定是否對(duì)第一工業(yè)安全控制器上的安全控制應(yīng)用程序 進(jìn)行了驗(yàn)證、以及(如果進(jìn)行了驗(yàn)證)將軟件從第一工業(yè)安全控制器加載到存儲(chǔ)模塊上。根據(jù)當(dāng)前發(fā)明的一個(gè)方面，可以將軟件從軟件編輯器或軟件配置工具下載到前述第一工業(yè)安全控制器上，并保存在該控制器的非易失性存儲(chǔ)器中。

通過(guò)詳細(xì)說(shuō)明和隨附圖紙，所屬領(lǐng)域的技術(shù)人員可以明確了解該項(xiàng)發(fā)明的這些優(yōu)點(diǎn)以及其他優(yōu)點(diǎn)。但是，應(yīng)當(dāng)了解的是，在指出當(dāng)前發(fā)明首選實(shí)施例的同時(shí)，是通過(guò)圖解而并非限制條件的方式給出了詳盡說(shuō)明和隨附圖紙。在當(dāng)前發(fā)明的范圍內(nèi)，可以在沒(méi)有背離發(fā)明精神的情況下進(jìn)行許多更改和修改，而發(fā)明則包含了所有該類修改。

附圖說(shuō)明

在隨附圖紙中，對(duì)本文件中所披露發(fā)明主旨的各種示范性實(shí)施例進(jìn)行了圖解說(shuō)明，其中相同的參考數(shù)字在整個(gè)圖紙范圍內(nèi)表示相同的部分，其中：

附圖1根據(jù)一項(xiàng)實(shí)施例顯示了安全控制器的方框圖；

附圖2根據(jù)一項(xiàng)實(shí)施例顯示了安全控制器快速配置用安全控制系統(tǒng)的方框圖；

附圖3A根據(jù)當(dāng)前實(shí)施例顯示了將軟件分配到多個(gè)工業(yè)安全控制器中的一種方法的流程圖；

附圖3B根據(jù)當(dāng)前實(shí)施例顯示了將軟件分配到多個(gè)工業(yè)安全控制器中的一種方法的另一流程圖。

具體實(shí)施方式

在對(duì)圖紙中所顯示的各種發(fā)明實(shí)施例進(jìn)行說(shuō)明時(shí)，為了予以澄清，采用了特定的術(shù)語(yǔ)。但是，本項(xiàng)發(fā)明并不應(yīng)當(dāng)受到所選擇的特定術(shù)語(yǔ)的限制；應(yīng)當(dāng)理解的是，各個(gè)特定術(shù)語(yǔ)包括以類似方式實(shí)現(xiàn)類似目的的所有等效技術(shù)術(shù)語(yǔ)。例如，經(jīng)常使用詞語(yǔ)“連接”、“相連”、或與此相類似的術(shù)語(yǔ)。該類術(shù)語(yǔ)并不限于直接連接，但是包括通過(guò)其他元件進(jìn)行的連接；在這種情況下，所屬領(lǐng)域的技術(shù)人員將該類連接確認(rèn)為等效連接。

盡管本項(xiàng)發(fā)明有可能具有各種修改和替代形式，但是通過(guò)圖紙中的范例方式顯示了具體的實(shí)施例，并在本文件中對(duì)其進(jìn)行了詳細(xì)說(shuō)明。但是， 應(yīng)當(dāng)明白的是，各種實(shí)施例并不應(yīng)當(dāng)限制于所披露的具體形式。更確切地說(shuō)，披露應(yīng)當(dāng)包含處于附加權(quán)利要求所確定的發(fā)明精神和披露范圍內(nèi)的所有修改、對(duì)等發(fā)明和替代發(fā)明。此外，盡管在本文件中以簡(jiǎn)化說(shuō)明的方式對(duì)各個(gè)實(shí)施例進(jìn)行了論述，但是本項(xiàng)發(fā)明仍然意圖包含該類實(shí)施例的所有組合。

尤其重要的是，盡管針對(duì)附圖3A和附圖3B對(duì)各種方法進(jìn)行了說(shuō)明，但是，根據(jù)在涉及附圖1的情況下所顯示的實(shí)施例、以及在涉及附圖2的情況下按照本項(xiàng)發(fā)明所顯示的安全控制器快速配置所用安全控制系統(tǒng)的實(shí)施例、針對(duì)安全控制器所披露的具體內(nèi)容、元素和特定方面是可以組合在一起的，并且可以根據(jù)所披露的進(jìn)一步實(shí)施例同涉及附圖3的情況下所說(shuō)明的方法步驟相結(jié)合。此外，根據(jù)進(jìn)一步的實(shí)施例、在涉及通過(guò)附圖1和附圖2所顯示實(shí)施例的情況下說(shuō)明的具體內(nèi)容和元素可以相互組合，尤其是根據(jù)在涉及附圖1的情況下說(shuō)明的實(shí)施例、在同安全控制器相關(guān)的情況下所說(shuō)明的具體內(nèi)容和結(jié)構(gòu)元素明確可以和在涉及附圖2的情況下所說(shuō)明的實(shí)施例組合在一起，而該類實(shí)施例明顯同嚴(yán)格的替代發(fā)明并不矛盾或被確定為同嚴(yán)格的替代發(fā)明相關(guān)。

此外，在本項(xiàng)發(fā)明實(shí)施例的下列說(shuō)明中，應(yīng)當(dāng)將術(shù)語(yǔ)“安全控制器”或“工業(yè)安全控制器”理解為在其含義范圍內(nèi)包含了屬于小規(guī)模安全控制器的安全繼電器。

根據(jù)本項(xiàng)發(fā)明的實(shí)施例，通過(guò)自適應(yīng)安全控制器為安全控制器的快速配置和/或備份進(jìn)行準(zhǔn)備，以便同具有安全控制器固件或安全控制程序(該類安全控制程序通常被稱為安全控制應(yīng)用程序或安全項(xiàng)目、或此二者)的可拆除存儲(chǔ)模塊一起運(yùn)行，即可以儲(chǔ)存安全控制程序以及適合于運(yùn)行該程序的固件。

尤其重要的是，經(jīng)過(guò)驗(yàn)證的安全控制程序連同驗(yàn)證身份一起儲(chǔ)存在安全控制器上，因此可以在眾多安全控制裝置內(nèi)進(jìn)行分配，例如在生產(chǎn)過(guò)程中進(jìn)行分配，這一點(diǎn)對(duì)于原始設(shè)備制造商、或后期在工廠場(chǎng)地中尤其有用，特別是在配置了眾多安全控制器、以便執(zhí)行相同安全控制程序的情況下。

在將所配置的安全控制程序下載到各個(gè)安全控制器上時(shí)，不需要將各個(gè)安全控制器通過(guò)網(wǎng)絡(luò)或其他通信方式連接到某一種裝置上，這種情況非常有利。在生產(chǎn)安全控制器時(shí)，或需要對(duì)已經(jīng)設(shè)置在自動(dòng)化環(huán)境中的眾多安全控制器的固件和/或工業(yè)控制程序進(jìn)行升級(jí)或更新時(shí)，情況尤為如此。例如，可以將不同的安全控制程序，尤其是經(jīng)過(guò)驗(yàn)證的安全控制程序，保 存在不同的存儲(chǔ)模塊中。因此，可以根據(jù)需要在幾臺(tái)設(shè)備上對(duì)經(jīng)過(guò)驗(yàn)證的安全控制程序進(jìn)行復(fù)制。通過(guò)支持安全控制軟件的快速恢復(fù)或配置、以及提供某一固件版本或某一固件修訂，可以通過(guò)提供新固件版本或固件修訂的方式對(duì)新功能(例如：控制程序的新功能塊)予以支持?？梢赃B同前述固件一起提供利用該固件版本或固件修訂所支持的新功能、并且具有更高效率的安全控制程序。

現(xiàn)在轉(zhuǎn)到圖紙，并首先參看附圖1，其中顯示了示范性安全控制器100。示范性安全控制器100包含了一個(gè)非易失性存儲(chǔ)器110；該非易失性存儲(chǔ)器110包含了可寫存儲(chǔ)器以及(可選項(xiàng))只讀存儲(chǔ)器(ROM)，尤其是在用于儲(chǔ)存固件時(shí)。根據(jù)實(shí)施例的情況，安全控制器110至少包含了兩個(gè)處理單元130。其中至少有一個(gè)處理單元為可以確保高度可靠性的安全控制處理單元130b。根據(jù)實(shí)施例的情況，通過(guò)擁有至少兩個(gè)至少可以按照部分冗余的方式運(yùn)行的安全控制處理單元，可以提供冗余度。根據(jù)一個(gè)實(shí)施例，兩個(gè)安全控制處理單元130b執(zhí)行一個(gè)同步程序，其中輸入信號(hào)在兩個(gè)處理單元130b之間同步，之后每一個(gè)安全處理單元130b利用前述同步輸入量執(zhí)行安全控制程序的各項(xiàng)安全任務(wù)。最后，在將各個(gè)輸出量提供到安全控制器100的輸出終端(未顯示)之前，對(duì)安全控制程序的各個(gè)輸出量進(jìn)行比較。如果輸出量并不匹配，則安全控制器輸入一個(gè)操作安全狀態(tài)。安全控制器100進(jìn)一步包含了一個(gè)處理單元130a，該處理單元支持有關(guān)安全控制器100的通信功能。根據(jù)一個(gè)實(shí)施例，該處理單元130a是不執(zhí)行安全控制程序各項(xiàng)安全任務(wù)的標(biāo)準(zhǔn)處理單元。

安全控制器100包含了一個(gè)或多個(gè)對(duì)模塊、尤其是插接式模塊、進(jìn)行托管的插槽。根據(jù)各個(gè)實(shí)施例，模塊托架122包括了插槽120，而每個(gè)插槽120都包含了至少可以確保同插接式模塊進(jìn)行通信連接的模塊托架連接器124。此外，可以通過(guò)模塊托架連接器124將電力從安全控制器100傳供到插接式模塊中。

根據(jù)當(dāng)前實(shí)施例，配置了一個(gè)或多個(gè)插槽120中的一個(gè)預(yù)先確定插槽120a，以通過(guò)通信方式將安全控制器100連接到存儲(chǔ)模塊150上，而該存儲(chǔ)模塊并未永久性地連接到安全控制器100上。根據(jù)各個(gè)實(shí)施例，預(yù)定插槽120a可以是為了確保同存儲(chǔ)模塊進(jìn)行前述通信連接而配置的唯一插槽120。前述預(yù)定插槽120a同樣可以連接到通信模塊160上，該通信模塊至少可以提供網(wǎng)關(guān)功能、到安全控制器100的有線網(wǎng)絡(luò)連接或無(wú)線網(wǎng)絡(luò)連接?？梢酝ㄟ^(guò)串行網(wǎng)絡(luò)通信協(xié)議和接口的方式提供有線網(wǎng)絡(luò)連接，可以通 過(guò)藍(lán)牙通信或蜂窩通信的方式提供無(wú)線網(wǎng)絡(luò)連接。安全控制器100可以包含兩個(gè)對(duì)模塊進(jìn)行托管的插槽120，而左側(cè)插槽或右側(cè)插槽均可以作為預(yù)定插槽120a進(jìn)行配置，以便通過(guò)通信方式將安全控制器同存儲(chǔ)模塊150和/或通信模塊160進(jìn)行連接。

根據(jù)各個(gè)實(shí)施例，僅將沒(méi)有提供安全控制功能、但是至少提供部分通信功能的處理單元130a連接到預(yù)定插槽120a上，從而可以在預(yù)定插槽120a所托管的存儲(chǔ)模塊150與具有前述通信功能的處理單元130a之間提供通信連接。利用這種方式，可以在更換為安全控制器100提供通信、備份或配置功能(例如通過(guò)存儲(chǔ)模塊150的方式)的可拆除模塊時(shí)防止安全控制功能的執(zhí)行受到影響。而且，減少了硬件成本(尤其是內(nèi)部接線或電路方面)以及軟件的復(fù)雜性(在使工業(yè)安全控制器100的所有處理單元都能夠同存儲(chǔ)模塊150互動(dòng)方面)。此外，盡管預(yù)定插槽120準(zhǔn)備好同存儲(chǔ)模塊150以及通信模塊160進(jìn)行連接，但是根據(jù)各個(gè)實(shí)施例，該插槽同樣可以支持同其他擴(kuò)展模塊進(jìn)行的通信連接，包括輸入/輸出擴(kuò)展模塊等，并且不會(huì)損失安全控制器100上任何寶貴的空間。根據(jù)當(dāng)前實(shí)施例，提供了安全控制器100的簡(jiǎn)單備份或配置。

根據(jù)一個(gè)實(shí)施例，可以提供除了通過(guò)其插槽120(包括預(yù)定插槽120a)之外沒(méi)有任何網(wǎng)絡(luò)連接的安全控制器100，利用該類插槽可以通過(guò)通信方式連接到存儲(chǔ)模塊150和/或通信模塊160上。這樣可以導(dǎo)致硬件部件數(shù)量和成本的進(jìn)一步減少，并且能夠確保安全控制器100結(jié)構(gòu)的進(jìn)一步簡(jiǎn)化，同時(shí)為更加復(fù)雜的安全控制器提供了安全功能和升級(jí)能力。

可以將配置111保存在安全控制器100的非易失性存儲(chǔ)器100中。根據(jù)各個(gè)實(shí)施例，該類配置111包含了經(jīng)過(guò)驗(yàn)證的安全控制程序112和/或安全控制器固件114。應(yīng)當(dāng)注意的是，配置111同樣可以包含未經(jīng)過(guò)驗(yàn)的安全控制程序112，在有限操作運(yùn)行模式中可以對(duì)該安全控制程序進(jìn)行測(cè)試。根據(jù)一個(gè)實(shí)施例，確認(rèn)了準(zhǔn)備將未經(jīng)驗(yàn)證的安全控制程序112備份到存儲(chǔ)模塊150的嘗試，并通過(guò)安全控制器100予以阻止，以防止分配可能有損于工業(yè)自動(dòng)化環(huán)境安全性的未經(jīng)驗(yàn)證的安全控制程序112。根據(jù)一個(gè)實(shí)施例，經(jīng)過(guò)驗(yàn)證的安全控制程序112具有通過(guò)該程序予以保存的相關(guān)驗(yàn)證身份113。經(jīng)過(guò)驗(yàn)證的安全控制程序112在存儲(chǔ)模塊150上的備份包含了用于恢復(fù)經(jīng)過(guò)驗(yàn)證的安全控制程序112的驗(yàn)證身份113以及任何其他適當(dāng)安全控制器100上的驗(yàn)證身份113。

根據(jù)一個(gè)實(shí)施例，為了對(duì)安全控制器100的配置111進(jìn)行備份并將配 置111加載到安全控制器100上，首先必須關(guān)掉安全控制器的電源；在安裝了存儲(chǔ)模塊150并再次打開安全控制器100的電源之后，安全控制器100將會(huì)檢測(cè)是否存在存儲(chǔ)模塊150，并輸入一個(gè)故障狀態(tài)或非運(yùn)行狀態(tài)。在非運(yùn)行狀態(tài)或故障狀態(tài)期間，安全控制器100不會(huì)執(zhí)行目前選定為安全控制器100上運(yùn)行安全控制程序的安全控制程序。這樣可以確保安全控制程序的執(zhí)行不會(huì)受到工業(yè)安全控制器100備份過(guò)程或恢復(fù)工業(yè)安全控制起100配置的不利影響。

根據(jù)各個(gè)實(shí)施例，安全控制器100包含了用戶接口方式140，可以利用該用戶接口方式開始將某項(xiàng)配置備份到存儲(chǔ)模塊150中和/或開始將模塊150的配置111加載到安全控制器100上。根據(jù)各個(gè)實(shí)施例，可以通過(guò)在遙控裝置180上運(yùn)行的軟件配置安全控制器100?？梢詫⑺渲玫捻?xiàng)目作為配置111下載到安全控制器100上。而且，通過(guò)在遙控裝置180上運(yùn)行的編輯器軟件可以在安全控制器之間往返進(jìn)行配置的備份和加載。根據(jù)一個(gè)實(shí)施例，可以將安全控制程序112和安全控制器固件的備份限制為只可以通過(guò)前述編輯器軟件生效。

至少可以通過(guò)用戶接口方式140部分啟動(dòng)從存儲(chǔ)模塊150到安全控制器100的配置加載。根據(jù)一個(gè)實(shí)施例，用戶接口方式140包含了一個(gè)可以按下、并在預(yù)定時(shí)間內(nèi)按住、以開始將配置111從托管的存儲(chǔ)模塊150加載到安全控制器100上的按鈕。根據(jù)某些實(shí)施例，在驗(yàn)證是否開始將配置111加載或恢復(fù)到安全控制器100時(shí)，還需要激活存儲(chǔ)模塊150上的一個(gè)按鈕(未顯示)，而安全控制器100上的按鈕140仍然處于激活狀態(tài)，即已經(jīng)被按下或按住。根據(jù)各個(gè)實(shí)施例，可以利用安全控制器100上和/或存儲(chǔ)模塊150上的發(fā)光二極管燈(未顯示)指示是否開始和執(zhí)行了將配置111備份和/或傳送到安全控制器上?？梢詫⒃擃惏l(fā)光二極管燈或其他發(fā)光二極管指示燈用于指示未驗(yàn)證的運(yùn)行模式，該類運(yùn)行模式需要在有限的時(shí)間內(nèi)對(duì)安全控制器100進(jìn)行測(cè)試。

現(xiàn)在轉(zhuǎn)到附圖2，其中顯示了根據(jù)當(dāng)前實(shí)施例對(duì)安全控制器201進(jìn)行快速配置所使用的示范性安全控制系統(tǒng)200。系統(tǒng)200包含了兩個(gè)或多個(gè)可以或不可以在工業(yè)自動(dòng)化網(wǎng)絡(luò)范圍內(nèi)進(jìn)行連接的安全控制器201。每個(gè)安全控制器201都包含了一個(gè)或多個(gè)為了托管插接式模塊而配置的插槽220。如附圖2所示，最左邊的安全控制器201包含了兩個(gè)插槽，在中間的安全控制器201僅包含了一個(gè)插槽220，而最右邊的安全控制器201則包含了三個(gè)用于對(duì)插接式模塊220進(jìn)行托管的插槽。每個(gè)安全控制器201 至少包含了一個(gè)為了以通信方式將安全控制器201連接到可拆除存儲(chǔ)模塊250上而配置的預(yù)定插槽220a。

為了在多個(gè)安全控制器的每個(gè)安全控制器201中至少一個(gè)前述預(yù)定插槽220中進(jìn)行托管，配置了可拆除的存儲(chǔ)模塊。根據(jù)各個(gè)實(shí)施例，可以對(duì)相同的預(yù)定插槽220a進(jìn)行進(jìn)一步的配置，以便通過(guò)通信方式將安全控制器201連接到在涉及附圖1的情況下、在上文中詳細(xì)說(shuō)明的通信模塊260上。此外，應(yīng)當(dāng)配置預(yù)定插槽220a以及其他插槽220，以托管(尤其是)其他擴(kuò)展模塊270，包括輸入/輸出模塊272；除了通常已經(jīng)在安全控制器201上提供的接線端子之外，該類模塊可以提供數(shù)字和/或模擬輸入和/或輸出端子。但是，根據(jù)一個(gè)實(shí)施例，安全控制器201自身并不具有任何輸入和/或輸出接線端子，并且通過(guò)所需要的一個(gè)或多個(gè)輸入/輸出擴(kuò)展模塊272而配備了輸入和/或輸出功能。

配備了一個(gè)安全控制器201a，以接收通過(guò)連接290從外部裝置下載的配置211。連接290可以是串行或并行網(wǎng)絡(luò)協(xié)議連接，例如通常為工業(yè)控制網(wǎng)絡(luò)提供的連接、或USB連接。連接290同樣可以包含各種無(wú)線網(wǎng)絡(luò)，例如藍(lán)牙、蜂窩通信等。因此，可以為其中一個(gè)安全控制器201，即安全控制器201a，提供配置211，然后可以通過(guò)可以插入到安全控制器201a預(yù)定插槽220a中的可拆除存儲(chǔ)模塊250分配給其他安全控制器201；在對(duì)來(lái)自于安全控制器201a的配置211進(jìn)行了備份之后，可以將其從安全控制器201a中拆除，然后在另一個(gè)安全控制器201中進(jìn)行托管。對(duì)于可以包含在配置211中的經(jīng)過(guò)驗(yàn)證的安全控制程序，可以通過(guò)這種方式分配到其他安全控制器201中，盡管該類安全控制器可能沒(méi)有連接到外部編輯器裝置、以便下載配置211的方法。

如附圖2所示，可以利用接近于永久性的方式將輸入/輸出模塊272安裝在插接式插槽220中，盡管所有擴(kuò)展模塊270均以可拆除的方式進(jìn)行配置。此外，在大多數(shù)時(shí)間內(nèi)，預(yù)定插槽220a都可以對(duì)通信模塊260進(jìn)行托管；只可以為了準(zhǔn)備對(duì)來(lái)自于安全控制器201的配置進(jìn)行備份或?qū)⑴渲眉虞d到安全控制器201而在存儲(chǔ)模塊250之間分別進(jìn)行臨時(shí)替換。為此目的，將通信模塊從預(yù)定插槽220a中拆除，并在有限的時(shí)間內(nèi)用存儲(chǔ)模塊250予以更換，以利用存儲(chǔ)模塊250進(jìn)行配置的備份或?qū)⑴渲眉虞d至安全控制器201?？梢栽诎踩刂葡到y(tǒng)200的范圍內(nèi)使用若干存儲(chǔ)模塊250，以分配或恢復(fù)不同的安全控制程序和/或安全控制固件。

根據(jù)一個(gè)實(shí)施例，在開始對(duì)系統(tǒng)200某個(gè)安全控制器201的安全繼電 器項(xiàng)目或工業(yè)控制程序進(jìn)行備份時(shí)，首先應(yīng)當(dāng)關(guān)閉安全控制器201的電源。將目前位于預(yù)定插槽220a內(nèi)(可以是插槽220最左邊的插槽或最右邊的插槽)的防塵蓋或其他插接式模塊拆除。然后將存儲(chǔ)模塊扣到模塊托架的預(yù)定插槽220a中。然后，打開安全控制器201的電源，而安全控制器201可以檢測(cè)是否存在存儲(chǔ)模塊250，并輸入一個(gè)操作故障狀態(tài)。可以提供發(fā)光二極管故障指示燈，以表明操作故障狀態(tài)。在安全控制器201上提供的其他發(fā)光二極管指示燈可以用于表明是否對(duì)安全控制器201上的配置進(jìn)行了驗(yàn)證。可以激活存儲(chǔ)模塊250上的用戶接口按鈕，以開始進(jìn)行備份過(guò)程，而存儲(chǔ)模塊250上的發(fā)光二極管狀態(tài)指示燈表明已經(jīng)開始了備份過(guò)程。在完成了備份操作后，前述發(fā)光二極管狀態(tài)指示燈停止閃爍。根據(jù)一個(gè)實(shí)施例，可以通過(guò)在安全控制器201上提供的發(fā)光二極管指示燈顯示在安全控制器201上保存的驗(yàn)證身份。此時(shí)，可以確認(rèn)在安全控制器201上顯示的驗(yàn)證身份是否同所要備份的安全控制應(yīng)用程序的預(yù)期驗(yàn)證身份相匹配。

接下來(lái)，關(guān)閉安全控制器201的電源，并將存儲(chǔ)模塊250從安全控制器模塊托架的預(yù)定插槽220a上拆除?？梢詫⒎缐m蓋或之前安裝的插接式模塊，例如輸入/輸出模塊272或通信模塊260，扣回到模塊托架的預(yù)定插槽220a中，并再次打開安全控制器201的電源，以恢復(fù)實(shí)施安全控制的正常操作。

根據(jù)另一個(gè)實(shí)施例，安全控制系統(tǒng)的安全控制器201可以利用存儲(chǔ)模塊250和安全控制器201上的一個(gè)或多個(gè)按鈕從存儲(chǔ)模塊250恢復(fù)安全控制器項(xiàng)目。首先，關(guān)閉安全控制器201的電源，并拆除防塵蓋或目前位于預(yù)定插槽220a內(nèi)、目前予以安裝的插接式模塊。然后，將存儲(chǔ)模塊250扣入到安全控制器201模塊托架的預(yù)定插槽220a中。然后，打開安全控制器201的電源，以檢測(cè)是否存在存儲(chǔ)模塊250，并輸入一個(gè)故障狀態(tài)?？梢蕴峁c(diǎn)亮?xí)r為純紅色的發(fā)光二極管故障指示燈，并且沒(méi)有執(zhí)行包括工業(yè)安全控制程序在內(nèi)的應(yīng)用程序邏輯。在此階段，在安全控制器201上提供的額外發(fā)光二極管指示燈可以表明是否對(duì)目前在安全控制器201上的配置進(jìn)行了驗(yàn)證。

如要將存儲(chǔ)模塊250上經(jīng)過(guò)驗(yàn)證的安全控制程序恢復(fù)到安全控制器201上，則應(yīng)當(dāng)激活位于安全控制器201上的用戶接口按鈕。在激活安全控制器上的用戶接口按鈕時(shí)，可以要求同時(shí)激活存儲(chǔ)模塊250上的用戶接口按鈕，以確認(rèn)將存儲(chǔ)模塊250上的配置恢復(fù)至安全控制器201。

在完成了恢復(fù)操作之后，存儲(chǔ)模塊250上的發(fā)光二極管狀態(tài)指示燈停止閃爍，而上文說(shuō)明的、可以作為選項(xiàng)在安全控制器201上提供的發(fā)光二極管燈則表明從存儲(chǔ)模塊250恢復(fù)到安全控制器201的、目前已恢復(fù)安全應(yīng)用程序的驗(yàn)證身份。在此階段，可以確認(rèn)所顯示的驗(yàn)證身份是否同從存儲(chǔ)模塊250恢復(fù)的應(yīng)用程序的預(yù)期驗(yàn)證身份相匹配。

接下來(lái)，關(guān)閉安全控制器201的電源，并將存儲(chǔ)模塊250從安全控制器模塊托架的預(yù)定插槽220a中拆除。將防塵蓋、之前安裝的插接式模塊或提供所需要功能的其他插接式模塊扣回到模塊托架的預(yù)定插槽220a中，并打開安全控制器201的電源，以恢復(fù)正常操作，包括執(zhí)行安全控制器201上已經(jīng)恢復(fù)的安全控制應(yīng)用程序。

現(xiàn)在轉(zhuǎn)到附圖3A和附圖3B，其中顯示了按照當(dāng)前實(shí)施例將軟件分配給多個(gè)工業(yè)存儲(chǔ)模塊的方法。首先參照附圖3A并根據(jù)第一步驟330，將同工業(yè)安全控制器或工業(yè)安全控制相關(guān)的軟件裝載到一個(gè)存儲(chǔ)模塊上。軟件可以破解安全控制應(yīng)用程序、安全控制程序和/或安全控制器固件。根據(jù)一個(gè)實(shí)施例，可以在工廠將軟件裝載到存儲(chǔ)模塊上。此外，可以通過(guò)存儲(chǔ)模塊和編輯器工具或軟件安裝裝置之間的直接連接裝載軟件。根據(jù)另一個(gè)范例，可以通過(guò)已經(jīng)安裝了軟件的第一工業(yè)安全控制器恢復(fù)或裝載軟件。在下文中針對(duì)附圖3B以及步驟310至330a進(jìn)行了更加詳盡的說(shuō)明。

在下一步驟340中，在工業(yè)安全控制器其中一個(gè)或多個(gè)模塊插槽的一個(gè)插槽中對(duì)存儲(chǔ)模塊進(jìn)行托管，尤其是上文所說(shuō)明的預(yù)定插槽，并根據(jù)步驟350、通過(guò)前述插槽、以通信方式將其連接到工業(yè)安全控制器上。通信連接可以包含檢測(cè)插槽中是否存在存儲(chǔ)模塊、并為了啟動(dòng)存儲(chǔ)模塊同為了提供安全控制器的通信功能而配置的工業(yè)安全控制器處理單元(在涉及附圖1的情況下、在上文中予以更加詳盡的說(shuō)明)的通信而交換一項(xiàng)或多項(xiàng)信息。在步驟360中啟動(dòng)了將軟件從存儲(chǔ)模塊到工業(yè)安全控制器的傳送。通過(guò)激活用戶接口方式，例如按下按鈕、觸摸屏上的輸入量或觸摸輸入裝置、或?qū)⒁豁?xiàng)命令傳達(dá)給安全控制器，可以完成這一操作。作為對(duì)前述啟動(dòng)的回應(yīng)，在步驟370中將軟件從存儲(chǔ)模塊傳送到工業(yè)安全控制器；在步驟380中，將所傳送的軟件保存在工業(yè)安全控制器的非易失存儲(chǔ)器中。

正如所述，軟件可以破解在有或沒(méi)有安全控制應(yīng)用程序的情況下所提供的控制器固件。如果軟件破解了控制器固件，則傳送步驟370可以破解，并對(duì)工業(yè)安全控制器只讀存儲(chǔ)器(ROM)中保存的現(xiàn)有控制器固件進(jìn)行覆寫。在其他實(shí)施例中，固件保存在讀/寫非易失存儲(chǔ)器中。

正如所述，在步驟330中加載到存儲(chǔ)模塊上的軟件可以是通過(guò)第一工業(yè)安全控制器所備份的軟件?，F(xiàn)在參考附圖3B，根據(jù)各個(gè)實(shí)施例，在步驟310中將軟件從軟件編輯器或軟件配置工具下載到前述第一工業(yè)安全控制器中并保存在第一工業(yè)安全控制器的非易失存儲(chǔ)器中。根據(jù)其他實(shí)施例，也可以通過(guò)先前加載或配置過(guò)程中的存儲(chǔ)模塊加載第一工業(yè)安全控制器上的軟件。

根據(jù)步驟320，此時(shí)由前述第一工業(yè)安全控制器對(duì)存儲(chǔ)模塊進(jìn)行托管。根據(jù)步驟322，可以確定是否對(duì)第一工業(yè)安全控制器上的安全控制應(yīng)用程序進(jìn)行了驗(yàn)證。如上文所說(shuō)明的那樣，可以對(duì)工業(yè)安全控制應(yīng)用程序進(jìn)行驗(yàn)證，以說(shuō)明工業(yè)安全控制應(yīng)用程序符合安全標(biāo)準(zhǔn)和/或要求。可以根據(jù)預(yù)定的程序、利用具有已安裝工業(yè)安全控制應(yīng)用程序的安全控制器執(zhí)行特定的操作，以實(shí)施驗(yàn)證過(guò)程，或者可以通過(guò)為了按照預(yù)定安全標(biāo)準(zhǔn)和/或要求確定完整驗(yàn)證而執(zhí)行規(guī)定操作的驗(yàn)證工具自動(dòng)予以實(shí)施。如果確定已經(jīng)對(duì)安全控制應(yīng)用程序進(jìn)行了驗(yàn)證，則在步驟330a中將軟件從第一工業(yè)安全控制器加載到存儲(chǔ)模塊中。然后，可以按照上文中針對(duì)附圖3A的說(shuō)明，繼續(xù)進(jìn)行該方法的步驟340至步驟380。

根據(jù)進(jìn)一步的實(shí)施例，在步驟380中將傳送的軟件保存到工業(yè)安全控制器的非易失存儲(chǔ)器后，前述工業(yè)安全控制器可以起到第一工業(yè)安全控制器的作用，以確保將該工業(yè)安全控制器上所保存的安全控制應(yīng)用程序備份到存儲(chǔ)模塊上，之后將其分配到其他工業(yè)安全控制器上。

應(yīng)當(dāng)認(rèn)識(shí)到，該項(xiàng)發(fā)明在其應(yīng)用方面并不限于其中說(shuō)明的構(gòu)造細(xì)節(jié)和部件安排。該項(xiàng)發(fā)明適合于其他實(shí)施例，并且可以通過(guò)各種方式予以實(shí)踐或執(zhí)行。對(duì)前述內(nèi)容進(jìn)行的變更和修改屬于當(dāng)前發(fā)明的范圍之內(nèi)。同樣應(yīng)當(dāng)認(rèn)識(shí)到，所披露的發(fā)明和其中確定的內(nèi)容適用于文本和/或圖紙中所述及或所證明的兩項(xiàng)或多項(xiàng)特征的所有替代組合。所有該類不同組合構(gòu)成了當(dāng)前發(fā)明的各個(gè)替代方面。在本文件中說(shuō)明的各個(gè)實(shí)施例說(shuō)明了實(shí)施該項(xiàng)發(fā)明的已知最佳方法，并且確保所屬領(lǐng)域的技術(shù)人員能夠利用該項(xiàng)發(fā)明。