技术领域 本发明涉及一种在与分布式控制系统整合在一起的安全控制系 统中提供的并且连接到两个系统中公共使用的控制总线上的安全控 制站间通信的安全保证。 背景技术 关于与分布式控制系统整合的安全控制系统,在专利文献1中 有技术公开。图8是示出在专利文献1中说明的分布式控制系统和安 全控制系统的整合环境的功能框图。 由点划线区A指示的分布式控制系统和由点划线区B指示的安 全控制系统都连接到公共控制总线1上,并且与也连接到对两个系统 通用的这个控制总线1上的操作监控站2通信。 在分布式控制系统A中,控制站31、32通过控制总线1与操作 监控站2通信,并且也与工厂4的各个设备(未示出)通信并控制它 们。 在安全控制系统B中,安全控制站51、52通过控制总线1与操 作监控站2通信,并且也与工厂4的设备通信。当安全控制站51、 52收到来自工厂4的跳闸(trip)请求时,它们执行工厂4的停止 操作。 安全控制系统B能够在与分布式控制系统A中的相同的控制总 线1上执行达到SIL3级的安全通信。这样,这个安全控制系统B能 够建立整合的系统,其中相关技术中的分布式控制系统的控制通信混 合在一起。 在这种情况下,在安全控制站之间的通信使每个安全控制站可 以快速地把每个安全控制站感测的异常事件通知给其它安全控制站。 这样,安全控制站能够快速处理工厂中的异常事件,并且因此这样的 通信在防止危险和缩小受破坏的区域方面是有效的。 在安全控制系统中“安全通信”表示配备工程来检查与安全相 关的数据是否通过现有的不安全通信系统确定地没有失败地传输到 通信目的地的通信系统。 在安全通信中,用于把安全功能同不安全的外部世界隔离的安 全层被提供给通信的应用层部分。这样发生在通信中的所有危险事件 (数据的误传、遗漏、延时等)将被检测到。 图9是说明两个安全控制站51、52之间的安全通信的工程的功 能框图。布尔型、整型或实型数据格式的通信数据被转换成称为绑定 变量的一种数据格式,并且之后流过控制总线1。 在这个绑定变量中,除了数据值外,在所有通信数据的错误校 验中使用的传输时间的时间戳、序列号和CRC(循环冗余校验)码也 会存储。通过制造方功能块51a来构建(formulate)这些安全信息, 并且转换后的绑定变量51b发送到控制总线1上。 相反,当接收到这个变量后,在安全控制站52上的使用方功能 块52a通过使用接收的绑定变量52b来检查通信中的所有异常事件。 当感测到异常事件时,使用方功能块52a输出先前指定的安全失败值 作为数据,并且把异常事件输出给数据状态,还发出指示错误发生的 系统报警。 制造方功能块51a和使用方功能块52a构成安全层60,其用于 在两个安全控制站51、52间的安全通信。 图10是当多段发送/接收的数据出现时安全通信的概念性示图。 在制造方的安全控制站的发送装置一次编译多个发送绑定变量并且 把编译的变量发送给目的站。在目的地的安全控制站的接收装置把接 收的变量分发给对应的接收绑定变量。 图11是由用户构建的安全通信的应用程序的功能框图。基本概 念是通过绑定变量的仲裁根据一对一原则的安全通信。用户构建绑定 变量和输入/输出功能块,并把它们与应用程序逻辑连接。 [专利文献1]公开号为2006-164143的日本专利申请 在相关技术的安全控制站之间的安全通信中,把用于确保安全 通信的信息逐个地添加给数据,并且接收的数据的诊断由提供给使用 方功能块的安全层来完成。因此,在也有分布式控制系统的通信数据 流过的相同的控制总线1上也能够保证安全通信。 但是,在相关技术的安全控制站之间的安全通信中存在下面的 问题。 (1)用户必须构建绑定变量和功能块两者的应用程序。因此工 程是困难的,从而增加工程的工时。 (2)由于数据被分别发送/接收,通信和CPU性能被消耗。因 此许多站不可能共享数据,这样通信性能被限制。 (3)由于数据要逐段地诊断,当制造方安全控制站停止时,与 数据数量相同的报警被通知。因此造成报警洪涌。 发明内容 本发明的示范实施例提供一种安全控制系统,其能够在不消耗 通信和CPU性能下通过简单的工程使大量的控制站共享信息。 本发明的示范实施例如下构成。 (1)安全控制系统,其包括连接到控制总线以彼此通信的多个 安全控制站;和链路传输通信装置,其具有通过控制总线以固定周期 把每个安全控制站自己的数据传输给其它安全控制站并且也接收从 其它安全控制站传输来的数据的功能。 (2)在(1)中所述的安全控制系统中,安全控制站把安全信 息添加到要以固定周期发送到控制总线的数据上。 (3)在(1)或(2)中所述的安全控制系统中,安全控制站具 有安全层,安全层用于在面向控制总线的接口中产生和诊断安全信 息, (4)在(2)或(3)中所述的安全控制系统中,安全信息包含 CRC码。 (5)在(1)到(4)中任意一个所述的安全控制系统中,安全 控制站通过控制总线与分布式控制系统通信。 根据本发明,能够预期如下所述的优势。 (1)安全通信数据能够使用控制总线由链路传输通信装置来传 输。因此大量的站能够简单地高速共享信息。使用方安全控制站能够 在任意时间自由地接收数据。因此用户能够简单地添加应用程序。 (2)在使用链路传输的预定数据区时传输安全通信数据。因此 只需要用于访问这个区的数据的功能块和用于存储配置定义的数据 库。结果,工程变得容易。 (3)使用方安全控制站完成对所接收数据的组合的诊断。因此 CPU的负载变小。即使制造方控制站停止,也只有与相关的站对应的 报警会被输出。因此不会产生报警洪涌。 从下面的详细说明、附图和权利要求中,其它特点和优势可能 是明显的。 附图说明 图1是示出应用了本发明的安全控制系统的实施例的功能框图。 图2是示出提供给每个安全控制站的安全通信数据区和通信内 容的数据配置图。 图3是示出应用了本发明的安全控制站之间的安全通信的工程 的功能框图。 图4是说明处理链路传输数据的应用程序和用户定义的数据库 的功能框图。 图5A和5B是示出在应用了本发明的安全控制系统中安全通信 的发送处理和接收处理的步骤的流程图。 图6是说明在分布式控制系统和安全控制系统的控制站之间的 数据共享的功能框图。 图7A和7B是示出安全控制站接收的控制站数据和安全控制站 数据之间的差别的数据配置图。 图8是示出分布式控制系统和安全控制系统的整合环境的功能 框图。 图9是说明安全控制站之间的安全通信的工程的功能框图。 图10是当多段发送/接收的数据出现时安全通信的概念性示图。 图11是由用户构建的安全通信的应用程序的功能框图。 具体实施方式 参照此后的附图将详细说明本发明。图1是示出应用了本发明 的安全控制系统的实施例的功能框图。与在参照附图6说明的传统系 统中相同的元件将具有相同的参照符号并且它们的说明将在此省略。 本发明提供一种安全控制系统,其通过利用安装用来在分布式 控制系统中的安全控制站间共享数据的链路传输通信装置来使安全 控制站更简单地共享安全通信中的数据。 图1中,应用了本发明的安全控制站501(标识名SCS0101)、 502(标识名SCS0102)、……、50n(标识名SCS010n),通过接口 601、602、……、60n连接到其中安装了链路传输通信装置的控制总 线100上。用于安全通信的安全层形成在这些接口中。 将使用安全控制站502作为典型示范在下面说明每个安全控制 站的功能配置。安全控制站502通过接口602把要与其它安全控制站 通信的它自己的发送数据从用户的应用程序以固定的周期发送到控 制总线100(用箭头S标示)。 同时,安全控制站502能够从控制总线100接收其它安全站发 送的数据(用箭头R标示),并且之后用户的应用程序能够通过接口 602获得数据。 其余的安全控制站具有相同的功能。链路传输通信装置保持发 送的数据直到每个安全控制站的数据由固定周期的传输所更新。 链路传输数据是广播通信,其例如以每个安全控制站100毫秒 的周期,向各个安全控制站告知32字节的数据。每个安全控制站以 来自其它安全控制站的逻辑接收用于处理的必需的数据,并且发送它 自己的计算数据。 制造方安全控制站不知道哪个安全控制站接收自己发送的数 据。这个广播通信是被动型通信,其中需要相关数据的安全控制站在 它自己的启动定时处接收数据。 图2是示出每个安全控制站具有的用于安全通信的数据区以及 通信内容的数据配置图。各个标识名与图1中的相同。每个安全控制 站具有与相关控制站相同数量的数据区,并且能够把数据只写入作为 发送缓冲器的自己的区域。 每个数据区具有32字节的大小。在这个实施例中,为了通过使 用链路传输通信装置来处理安全通信,前一半16字节用作数据区并 且后一半16字节用作安全信息。安全信息把序列号、代表发送时间 的时间戳和CRC码添加到16字节数据上。 图3是说明应用了本发明的安全控制站501和502之间的安全 通信的工程的功能框图。本发明的特征部分是安全层700,其新颖地 添加到控制总线100的接口601和602上。 在制造方安全控制站501中,安全层700的功能是把安全信息 添加给用于发送作为安全通信数据的应用程序逻辑结果的输出功能 块801所发送的数据上。之后,安全层700的功能是把所得数据作为 链路传输数据传输给控制总线100。 在使用方安全控制站502中,安全层700的功能是诊断通过控 制总线100从安全控制站501接收的并且添加到链路传输数据上的安 全信息。然后安全层700的功能是在异常事件被感测到时发送系统报 警。在异常诊断之后,链路传输数据通过输入功能块802传输给应用 程序逻辑。 图4是说明处理链路传输数据的应用程序和用户定义的数据库 的功能框图。图4示出作为典型示范的安全控制站502(标识名 SCS0102)。 安全控制站具有简单的配置,其中只有输入功能块802a和输出 功能块802b安装在应用程序逻辑上。保存在数据库802c中的发送定 义和接收定义表明实际的输入/输出功能块和发送/接收数据是如何 分别相互耦接的。 用户能够自由地布置这个数据库的发送定义和接收定义并且设 置它们。输入/输出功能块802a、802b通过参照这个数据库的定义能 够知道自己的块应该访问哪些数据。 以这种方式,输入/输出功能块和链路传输通信装置提前准备好 数据位置,并且处理作为16字节数据组合的安全通信发送/接收数 据。结果,安全信息能够组合成一段数据。 图5A和5B是示出在应用了本发明的安全控制系统中安全通信 的发送处理和接收处理的步骤的流程图。图5A示出发送处理的流程 图,图5B示出接收处理的流程图。 在图5A的发送处理中,在步骤S1和步骤S2中,输出功能块完 成在指定位置写入所有数据。之后,在步骤S3中,用于安全通信的 安全信息被添加。在步骤S4中,数据被发送给链路传输通信。 在图5B的接收处理中,在步骤S1中,通过链路传输通信获得 数据。之后在步骤S2中,进行安全信息的诊断。如果在步骤S3中诊 断的结果良好,则在步骤S4中数据作为组合被拷贝,并且输入功能 块获得需要的数据。相反,如果在步骤S3中诊断未通过,则在步骤 S5中执行错误处理。 本质上,在分布式控制系统的控制站(FCS)中,链路传输通信 装置用于在作为整体开关的FCSs间的数据通信。在安全控制系统 (SCS)中,即使通过使用这个链路传输通信装置能够识别出通信目 的地是FCS还是SCS,这个链路传输通信装置也能够用于在FCS和SCS 之间共享数据。 图6是说明在分布式控制系统的控制站和安全控制站之间的数 据共享的功能框图。图6显示这样的概念性的说明,安全控制系统 FCS0103接收分布式控制系统的控制站FCS0101的链路传输数据,并 且通过输入功能块把数据输入到逻辑。 图7A和7B是示出安全控制站接收的控制站数据和安全控制站 数据之间的差别的数据配置图。图7A显示安全控制站(SCS)的数据 配置,图7B显示控制站(FCS)的数据配置。 FCS数据给出全部的32字节的数据,而SCS数据只给出第一半 16字节的数据。FCS能够参照从作为整体开关的SCS发送的16字节 数据。 本发明参照有限数量的实施例进行说明时,从本公开中获益的 本领域所属技术人员将看出在不脱离在此公开的本发明的范围情况 下能够设计出其它实施例。因此,本发明的范围只应该由所附的权利 要求来限定。 本申请要求2007年7月19日提交给日本专利局的申请号为 2007-188462的日本专利的优先权,申请号为2007-188462的日本专 利的整个内容已经通过引用合并入本申请中。