CN107102597B - 安全相关的控制设备和运行安全相关的控制设备的方法 - Google Patents

安全相关的控制设备和运行安全相关的控制设备的方法 Download PDF

Info

Publication number
CN107102597B
CN107102597B CN201710099011.3A CN201710099011A CN107102597B CN 107102597 B CN107102597 B CN 107102597B CN 201710099011 A CN201710099011 A CN 201710099011A CN 107102597 B CN107102597 B CN 107102597B
Authority
CN
China
Prior art keywords
safety
function
control device
relevant control
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710099011.3A
Other languages
English (en)
Other versions
CN107102597A (zh
Inventor
约尔格·夸斯
乌多·瓦尔登
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Festo SE and Co KG
Original Assignee
Festo SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Festo SE and Co KG filed Critical Festo SE and Co KG
Publication of CN107102597A publication Critical patent/CN107102597A/zh
Application granted granted Critical
Publication of CN107102597B publication Critical patent/CN107102597B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

本发明涉及安全相关的控制设备和运行安全相关的控制设备的方法。安全相关的控制设备用于操控促动器、尤其是过程阀和/或调节机构,其具有:第一处理装置,其被配置用于提供安全功能,用于产生和/或处理针对促动器的安全相关的、尤其是用于占据安全状态的操控的信号,和第二处理装置,其被配置用于提供运行和/或附加功能,用于产生、处理、诊断、示出和/或输出另外的与控制设备和/或促动器的运行相关联的信号,并且其中,第二处理装置此外被配置用于提供测试功能,用于监控安全功能的功能性。

Description

安全相关的控制设备和运行安全相关的控制设备的方法
技术领域
本发明涉及一种安全相关的控制设备,其被构造用于提供安全功能,用于产生和/或处理针对促动器、尤其是过程阀和/或调节机构的安全相关的、尤其是用于占据安全状态的操控的信号。
背景技术
这种安全相关的控制设备例如应该确保的是,促动器、例如阀在紧急情况下可以移位到安全状态中。安全状态例如可以是阀的阀机构的截止位置或打开位置。应该确保安全相关的操控的安全功能必须满足特定的安全要求,例如非常小的故障概率。如果安全功能以软件功能或借助软件来实现,那么必须确保的是,软件功能或软件决定性地实施,并且在特定的时间周期内提供期望的结果,例如安全相关的操控。安全功能例如可以设计为实时系统。待满足的安全要求例如在标准DIN EN 61508中限定。
值得期待的是,安全相关的控制设备装备有另外的功能。尤其值得期待的是,安全相关的控制设备装备有用于产生、处理、诊断、示出和/或输出另外的与控制设备和/或促动器的运行相关联的信号的功能。可想到的尤其是用于诊断、传送和/或示出优选结合安全功能得到的数据的功能。例如可以涉及用于操控显示器的功能或用于通过现场总线通信的功能。此外也可想到的是,如下功能集成在安全相关的控制设备中,这些功能不直接与安全功能相关联,而是代替地例如关系到待操控的促动器的正常运行。在这种功能集成的范围内例如能想到的是,针对促动器的所有操控功能以及之前提到的安全功能提供在唯一的安全相关的控制设备中。这种安全相关的控制设备例如可以构造为定位器和/或控制头。
所提到的另外的功能(其附加地应该通过安全相关的控制设备提供)随后也被称为运行和/或附加功能。其与安全功能的不同之处例如在于,其是非安全相关的,并且因此与安全功能相比需要满足不那么严格的安全要求。优选地对附属的软件和电子器件没有提出安全要求。运行和/或附加功能尤其是可以是非决定性的和/或非实时的软件功能。
存在如下方式,即,安全功能和运行和/或附加功能一起在处理装置,例如微控制器上来实现。在这种处理方法中,运行和/或附加功能必须经常以和安全功能相同的高安全要求来实现。
发明内容
本发明在此涉及不同的方法。根据本发明,安全相关的控制设备包括第一处理装置和第二处理装置,第一处理装置被配置用于提供安全功能,用于产生和/或处理针对促动器的安全相关的、尤其是用于占据安全状态的操控的信号,第二处理装置被配置用于提供运行和/或附加功能,用于产生、处理、诊断、示出和/或输出另外的与控制设备和/或促动器的运行相关联的信号。
根据本发明,安全功能和运行和/或附加功能据此在两个不同的处理装置,例如两个不同的微控制器上实现。
以该方式得到如下优点,即,运行和/或附加功能不必满足和安全功能相同的安全要求。由此,研发运行和/或附加功能变得容易。
如果代替地将安全功能和运行和/或附加功能实施在相同的处理装置上,那么安全功能的可靠性也依赖于运行和/或附加功能的实现,这是因为存在如下危险,即,运行和/或附加功能至少暂时占用特定的资源并且安全功能因此无法像所需要的那样实施。越大规模地和越复杂地设计运行和/或附加功能,那么以排除或充分减少该危险的方式实现运行和/或附加功能就越难。正是在功能集成越来越多的情况下(诊断、高品质的显示器、现场总线),越来越多地出现在对安全功能的安全完整性的高要求与运行和/或附加功能的功能要求之间的利益冲突。
通过将安全功能和运行和/或附加功能根据本发明地在两个处理装置、例如两个单独的微控制器上实现来解决该问题。
第一处理装置在此优选被配置为实时系统,从而确保在固定限定的时间间隔内提供安全功能。第一处理装置尤其是配置为决定性的实时系统,从而确保对安全功能在时间上的要求。优选地,在第一处理装置上没有提供非安全相关的功能。
为了确保安全功能的功能性此外值得期待的是,设置有测试功能,其监控安全功能的功能性。这种测试功能例如在标准DIN 13849-1、第二类(带有单独的测试装置的单通道结构)中提出。
常规地,这种测试功能借助简单的、分立的电子组件实现,其功能基本上是以均匀的间隔将测试信号向安全功能输出,并且检验响应于测试信号地是否接收到期望的确认信号。如果没有接收到确认信号,那么测试功能输出警告信号,并且/或者执行紧急操控,例如紧急切断。测试功能优选可以包括诊断功能,其被更高的系统、例如上级的可编程逻辑控制器(SPS)使用,以便监控安全功能。
根据本发明现在设置的是,第二处理装置,也就是在其上已经实现了运行和/或附加功能的处理装置此外被配置用于提供测试功能,用于监控安全功能的功能性。
根据本发明,测试功能尤其是没有借助简单的、分立的电子组件实现,而是代替地于在其上已经提供了运行和/或附加功能的相同的处理装置、例如微控制器上提供。
由此尤其是得到如下优点,即,不需要附加的硬件部件来提供测试功能。此外得到如下优点,即,测试功能现在在如下处理装置、例如微控制器上实现,该处理装置比简单的、分立的电子组件功率更强,并且因此也可以根据使用领域或要求更复杂地设计测试功能。此外,因为测试功能现在和运行和/或附加功能提供在相同的处理装置上,所以测试功能可以以简单的方式作用到运行和/或附加功能上。
测试功能优选被构造用于根据监控安全功能的结果来进行对促动器的操控,并且/或者通过警告模块将警告信号例如向上级的SPS输出。测试功能尤其是被构造用于识别出安全功能的故障并且报告故障。
控制设备优选是使用在过程自动化中的设施。控制设备尤其是带有安全完整性等级(SIL)2的用于以低需求模式或高需求模式应用的设施。这种设施例如根据标准DIN EN61508构造。
此外,根据本发明提供有用于运行安全相关的控制设备的方法。安全相关的控制设备用于操控促动器、尤其是过程阀和/或调节机构,并且安全相关的控制设备具有第一和第二处理装置。该方法包括如下步骤:在第一处理装置上提供安全功能,用于产生和/或处理针对促动器的安全相关的、尤其是用于占据安全状态的操控的信号;在第二处理装置上提供运行和/或附加功能,用于产生、处理、诊断、示出和/或输出另外的与控制设备和/或促动器的运行相关联的信号;并且在第二处理装置上提供测试功能,用于监控安全功能的功能性。
第一处理装置优选包括第一处理器核和/或逻辑构件,并且被构造用于在第一处理器核和/或逻辑构件上提供安全功能。第二处理装置优选包括第二处理器核,并且被构造用于在第二处理器核上提供测试功能和运行和/或附加功能。
安全功能和运行和/或附加功能尤其是实施在不同的硬件部件上。由此确保的是,运行和/或附加功能不具有对安全功能的实施的反作用,并且尤其是不能够干扰该实施。
安全功能在自己的硬件部件上,也就是第一处理装置上提供。由此根据标准规则更简单地研发和测试安全功能。
此外,运行和/或附加功能与安全功能分开,并且在另外的硬件部件上,也就是第二处理装置上提供。在此尤其地,所有非安全相关的功能在与安全功能不同的硬件部件或处理装置上提供。由此,运行和/或附加功能的可扩展性变得容易。
安全功能可以在第一处理器核或者逻辑组件上提供。作为逻辑组件例如可以考虑FPGA、PLA或ASIC。处理器核可以是单核或多核处理器的一部分。
测试功能和运行和/或附加功能优选在第二处理器核上提供。在有利的改进方案中,第一处理器核和第二处理器核可以属于相同的多核处理器。
适宜地,第一处理装置和第二处理装置在通信上相互连接,优选通过数字通信接口。
在优选的设计方案中,第一处理装置包括第一微控制器并且/或者第二处理装置包括第二微控制器。
安全功能在此可以在第一微控制器上提供,并且测试功能和运行和/或附加功能可以在第二微控制器上提供。
以该方式可以得到安全相关的和非安全相关的功能之间的特别好的分离。
根据优选的设计方案,运行和/或附加功能是非安全相关的功能。例如,运行和/或附加功能是非实时的和/或非决定性的软件功能。
基于运行和/或附加功能和安全功能的之前讨论的分离,运行和/或附加功能不必满足和安全功能一样的安全要求。由此,运行和/或附加功能的研发费用得到减小。运行和/或附加功能可以可选地构造为非实时的和/或非决定性的软件功能。
适宜地,安全功能被构造用于优选周期性地向测试功能输出检验信号,以便引起测试功能执行关于安全功能的监控操作。
监控操作比如是向安全功能输出测试信号,并且检验响应于测试信号地是否接收到来自安全功能的期望的确认信号。
第二处理装置尤其是使用关于输出检验信号的内容和/或时间点的信息或预计值,并且被构造用于基于信息或预计值对测试功能和/或运行和/或附加功能的提供进行调整。
优选地,两个处理装置通过数字通信接口连接,并且所提到的信息通过该通信接口向第二处理装置提供。
通过对测试功能和/或运行和/或附加功能的提供进行调整可以确保的是,测试功能可以在给定的时间点上根据规定实施,从而安全功能适当地得到监控。
根据优选的设计方案,测试功能构造为软件模块。在此优选地涉及可移植的软件模块。
这样构造的测试功能可以独立地集成在更复杂的软件系统中,而不会依赖周围系统的安全特性。
第二处理装置尤其是包括用于测试功能的有效性检验(优选借助存储完整性检验)的诊断功能。
以该方式可以确保的是,测试功能可以根据规定实施。
测试功能优选被构造用于基于监控安全功能的结果来影响运行和/或附加功能的运行,并且/或者作用到其上。
因此,运行和/或附加功能可以用于对监控安全功能的结果做出反应。例如,可以借助用于操控显示器的运行和/或附加功能在显示器上示出相应的讯息。此外可行的是,借助用于通过现场总线来通信的运行和/或附加功能通过现场总线输出相应的讯息。例如在此可以提供现场总线的安全相关的通道,例如所谓的“黑通道”。
例如当在预先确定的时间周期内没有接收到来自安全功能的期望的确认信号时,测试功能对运行和/或附加功能的作用或影响优选可以作为测试功能的看门狗功能的评估结果来实现。
附图说明
本发明的有利的实施方式在附图中示出。其中:
图1示出带有安全相关的控制设备的安全相关的控制系统的框图;
图2示出用于安全相关的控制系统的软件和电子器件结构的框图。
具体实施方式
图1示出安全相关的控制系统10的框图,控制系统包括上级的可编程逻辑控制器(SPS)8、安全相关的控制设备1和促动器2。
安全相关的控制设备1在此尤其是构造为控制头或定位器,并且用于操控促动器2。优选地,安全相关的控制设备1构造为IP转换器(IP-Wandler),其用于将电信号转换为气动信号。控制设备1优选是使用在过程自动化中的设施。控制设备尤其是如下设施,其是安全功能的一部分,并且通过根据标准DIN EN 61508的安全完整性等级(SIL)2来描述。
促动器2包括可控制的元件,其随后也被称为促动器机构26。促动器2此外包括传感器装置25,其用于检测促动器2的状态,例如促动器机构26的位置,并且将相应的传感器信号向安全相关的控制设备1输出。
在所示的示例中,传感器装置25是促动器2的一部分。为此替选地也可能的是,传感器装置25布置在控制设备1上。传感器装置25和安全相关的控制设备1的通信通过传感器连接件23以及通过控制设备1的传感器接头21实现。
促动器2例如是过程自动化中的调节机构,尤其是过程阀。促动器机构26可以是驱动器和衔铁,通过安全相关的控制设备1控制和/或调节促动器机构的位置。传感器装置25用于检测阀机构26的位置。
对促动器机构26的驱动通过驱动装置22和驱动连接件24实现。促动器2是流体驱动的阀,因此,驱动装置22例如可以构造为控制阀,驱动连接件24可以构造为流体连接件。为此替选地也可能的是,促动器2受机械驱动。在该情况下,驱动装置22例如可以构造为电动马达,并且驱动连接件24可以构造为机械联接元件,例如驱动轴。此外,促动器2可以受电操控。在该情况下,驱动例如可以是气动驱动或电驱动。驱动装置22例如构造为电传动单元,并且驱动连接件24构造为电连接件。
安全相关的控制设备1提供了运行和/或附加功能6,其用于产生、处理、诊断、示出和/或输出与控制设备1和/或促动器2的运行相关联的信号。在该实施例中,运行和/或附加功能6尤其是用于在正常运行中产生向驱动装置22输出的控制信号,以便将促动器机构26移位或以期望的方式和方法运动到期望的位置中。运行和/或附加功能6此外用于处理由传感器装置25接收的传感器信号。
此外,运行和/或附加功能6被构造用于执行与SPS 8的通信。在所示的实施例中,通信是双向的并且通过如下通信路径实现,该通信路径通过控制接头11和18延伸,控制接头11和18通过控制连接件15相互连接。通信路径例如可以实现为现场总线。控制连接件15例如是两导体接口。
通过通信路径,运行和/或附加功能6例如接收来自SPS 8的控制信号,其示出促动器机构26应该移位到哪个位置中。此外,运行和/或附加功能6可以通过通信路径告知SPS8:促动器机构26当前位于哪个位置中。
运行和/或附加功能6此外可以包括诊断功能,其用于评估可用的数据。此外,运行和/或附加功能6可以用于操控在图中未示出的显示器,以便例如示出借助诊断功能得到的数据。
安全相关的控制设备1此外包括安全功能5,其满足特定的要求,尤其是例如根据标准DIN EN 61508的特定的安全要求。在此例如涉及产生和/或处理针对促动器2的安全相关的操控的信号,以便可以将促动器2移位到安全状态中。若促动器2是过程自动化中的之前所提到的调节机构或过程阀,则安全状态例如可以是阀机构位于截止位置或打开位置中。
安全功能5应该确保的是,促动器2可以可靠地,优选可以随时移位到安全状态中,甚至当(像之前已经描述的那样)同样用于操控促动器2的运行和/或附加功能6故障时也是如此。
基于该原因,与运行和/或附加功能6相比,安全功能5必须满足例如根据标准DINEN 61508的更高的要求,尤其是安全要求。优选地,安全功能5是安全相关的功能,而运行和/或附加功能6尤其是非安全相关的功能。安全相关的功能在上下文中应是如下功能:其在预先确定的时间周期内以预先确定的故障概率实施特定的操作。安全相关的功能例如可以构造为实时的或决定性的功能。
针对提供安全功能5和之前提到的运行和/或附加功能6,安全相关的控制设备1包括第一处理装置3和第二处理装置4。第一处理装置3和第二处理装置4尤其是分别适用于提供逻辑功能和/或软件功能,而在此不会干扰在各个另外的处理装置3或4上提供的逻辑功能和/或软件功能或者被其占用所需要的资源。
第一处理装置3例如是控制设备1的第一微控制器或者逻辑组件。第二处理装置4例如是第二微控制器。
安全功能5现在在第一处理装置3上提供,而之前提到的运行和/或附加功能6在第二处理装置4上提供。
安全功能5和运行和/或附加功能6据此实施在不同的处理装置上。由此尤其确保的是,运行和/或附加功能6可以不干扰安全功能5的实施。
因为安全功能5在自己的处理装置上提供,所以此外更容易根据安全要求研发和测试安全功能5。
通过在硬件上分离安全功能5和运行和/或附加功能6也能更简单地研发或扩展运行和/或附加功能。在此尤其是不必满足适用于安全功能5的例如根据标准DIN EN 61508的高的要求,尤其是安全要求。
通过安全功能5进行的安全相关的操控例如通过从SPS 8中得到的指令来触发。
在所示的示例中,SPS 8具有安全相关的SPS输出端12,其通过安全连接件16与安全相关的控制设备1的安全相关的输入端19通信连接。通过安全相关的输入端19,安全功能5可以得到来自SPS 8的指令。
通过安全相关的SPS输出端12、安全连接件16以及安全相关的输入端19形成的通信路径在此可以是物理通信路径或逻辑通信路径。例如,通信路径可以借助专门设置的导体在物理上实现。为此替选地,通信路径也可以在逻辑上实现为在SPS和控制设备1之间提供的现场总线的通道。在此尤其是可以涉及与已经提供了SPS 8和运行和/或附加功能之间的之前讨论的通信路径相同的现场总线。
此外根据本发明,在之前提到的在其上已经提供有运行和/或附加功能的第二处理装置4上提供有测试功能7。测试功能7用于监控安全功能5的功能性。
由于测试功能7和运行和/或附加功能提供在相同的处理装置上,所以尤其是得到如下优点,即,不需要附加的硬件部件来提供测试功能7。此外得到如下优点,即,测试功能7现在也可以根据使用领域或要求更复杂地设计,这是因为第二处理装置4具有为此需要的功率强度。此外,因为测试功能7现在和运行和/或附加功能6提供在相同的处理装置上,所以测试功能7可以以简单的方式作用到运行和/或附加功能6上。
测试功能7例如提供了根据标准DIN 13849-1、第二类(带有单独的测试装置的单通道结构)所提出的测试装置的功能性。
在第一处理装置3和第二处理装置4之间设置有数字通信接口,通过数字通信接口,安全功能5和测试功能7可以相互通信。
例如安全功能5构造成通过该通信接口周期性地向测试功能7输出检验信号,以便引起测试功能7执行关于安全功能5的监控操作。监控操作例如是将测试信号向安全功能5输出,并且检验测试功能7是否接收到来自安全功能5的期望的确认信号作为对测试信号的反应。
如果没有接收到期望的确认信号,那么测试功能7向SPS 8输出警告信号。
针对该目的,测试功能7通过通信路径与SPS 8连接。在所示的示例中,该通信路径经由安全相关的控制设备1的警告输出端17、警告连接件14和SPS 8的警告输入端9延伸。此通信路径可以提供为物理通信路径或逻辑通信路径。例如,通信路径可以借助专门设置的导体在物理上实现。为此替选地,通信路径也可以在逻辑上实现为在SPS 8和控制设备1之间提供的现场总线的通道。在此尤其是可以涉及与已经提供了在SPS 8和运行和/或附加功能之间的之前讨论的通信路径相同的现场总线。
测试功能7此外可以被构造用于替选地或除了向SPS 8输出警告信号以外,执行或引起对促动器2的操控,以便将促动器2移位到安全状态中。
针对该目的,测试功能7例如可以被构造用于作用到运行和/或附加功能6上,以便借助运行和/或附加功能6进行对促动器2的相应操控。为此替选地,测试功能7也可以具有自己的通向驱动装置22的通信路径,以便引起对促动器2的相应操控。
此外,测试功能7可以被构造用于借助用于操控在图中未示出的显示器的运行和/或附加功能6在显示器上示出如下讯息,该讯息例如表明了监控安全功能5的结果。此外,测试功能7可以被构造用于借助用于通过现场总线来通信的运行和/或附加功能6将讯息通过现场总线输出到SPS 8上。例如,通过控制接口11和18和控制连接件15可以提供这种现场总线。在该情况下,上面所描述的经由警告输出端17、警告连接件14和警告输入端9延伸的通信路径可以取消。
第二处理装置4优选被构造用于通过数字通信接口得到来自第一处理装置3的关于输出检验信号的时间点的信息。第二处理装置4尤其是被构造用于基于这些信息对测试功能7和/或运行和/或附加功能6的提供进行调整。例如,第二处理装置4被构造用于使得在将检验信号向测试功能7输出的时间点上有足够的资源可供使用,从而可以实施测试功能7。
为了确保测试功能7根据规定来实施,第二处理装置4此外可以具有用于测试功能7的有效性检验(优选借助存储完整性检验)的诊断功能。
图2示出用于安全相关的控制系统的软件和电子器件结构20的框图。
所示出的软件和电子器件结构20可以例如用于之前讨论的安全相关的控制系统10。
软件和电子器件结构20在此包括安全相关的区段和非安全相关的区段。
安全相关的区段包括安全相关的输入端27、安全功能5以及安全相关的输出端31。
非安全相关的区段包括运行和/或附加功能6和测试功能7。非安全相关的区段此外包括运行和/或附加输出端28以及警告输出端29。
虚线32理解为硬件分离线,并且应该表明的是,运行和/或附加功能6和测试功能7在与安全功能5不同的硬件部件上提供。
安全功能5用于在安全相关的输出端31上提供安全相关的操控作为对在安全相关的输入端27上接收或产生的指令的反应。
为此附加地,安全功能5被构造用于借助监控路径33和34监控安全相关的输入端27和安全相关的输出端31的功能性。
结合之前讨论的安全相关的控制系统10的上下文,SPS 8例如可以是安全相关的输入端27,并且驱动装置22或促动器2是安全相关的输出端31。图2的安全功能5在此相应于在图1中在第一处理装置3上实施的安全功能5。
测试功能7用于监控安全功能5的功能性。安全功能5通过检验路径35向测试功能7发送检验信号,这引起的是,测试功能7通过监控路径36实施关于安全功能5的监控操作。
测试功能7此外被构造用于通过警告输出端29输出关于监控安全功能5的结果的讯息。最后,测试功能7还被构造用于影响运行和/或附加功能,并且/或者用于作用到其上。
运行和/或附加功能6被构造用于从安全相关的输入端27接收信号,并且将信号向运行和/或附加输出端28输出。
结合之前讨论的安全相关的控制系统10的上下文,两个处理装置3和4之间的数字通信接口例如可以是检验路径35和监控路径36。此外,警告输出端17可以是警告输出端29,并且驱动装置22可以是安全相关的输出端31和运行和/或附加输出端28的组合。图2的测试功能7和运行和/或附加功能6在此相应于图1的测试功能7和运行和/或附加功能6。

Claims (18)

1.一种安全相关的控制设备(1),其构造为控制头或定位器并用于操控促动器(2),所述安全相关的控制设备具有:
第一处理装置(3),所述第一处理装置被配置用于提供安全功能(5),用于产生和/或处理针对所述促动器(2)的安全相关的操控的信号,和
第二处理装置(4),所述第二处理装置被配置用于提供运行和/或附加功能(6),用于产生、处理、诊断、示出和/或输出另外的与所述控制设备(1)和/或所述促动器(2)的运行相关联的信号,其中,所述第二处理装置(4)还被配置用于提供测试功能(7),用于监控所述安全功能(5)的功能性,
其中,所述第一处理装置(3)是所述控制设备(1)的第一微控制器或者逻辑组件,所述第二处理装置(4)是第二微控制器,
其中,在所述第一处理装置(3)和所述第二处理装置(4)之间设置有数字通信接口,通过所述数字通信接口,所述安全功能(5)和所述测试功能(7)能够相互通信。
2.根据权利要求1所述的安全相关的控制设备(1),其特征在于,所述第一处理装置(3)包括第一处理器核和/或逻辑构件,并且被构造用于在所述第一处理器核和/或所述逻辑构件上提供所述安全功能(5),并且所述第二处理装置(4)包括第二处理器核,并且被构造用于在所述第二处理器核上提供所述测试功能(7)和所述运行和/或附加功能(6)。
3.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述运行和/或附加功能(6)是非安全相关的功能。
4.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述安全功能(5)被构造用于向所述测试功能(7)输出检验信号,以便引起所述测试功能(7)执行关于所述安全功能(5)的监控操作。
5.根据权利要求4所述的安全相关的控制设备(1),其特征在于,所述第二处理装置(4)使用关于输出检验信号的内容和/或时间点的信息,并且被构造用于基于所述信息对所述测试功能(7)和/或所述运行和/或附加功能(6)的提供进行调整。
6.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述测试功能(7)构造为软件模块。
7.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述第二处理装置(4)包括诊断功能,用来对所述测试功能(7)的有效性进行检验。
8.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述测试功能(7)被构造用于影响所述运行和/或附加功能(6)的运行和/或作用到所述运行和/或附加功能(6)上。
9.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述促动器(2)是调节机构。
10.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述促动器(2)是过程阀。
11.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述安全相关的操控用于占据安全状态。
12.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述安全功能(5)被构造用于周期性地向所述测试功能(7)输出检验信号,以便引起所述测试功能(7)执行关于所述安全功能(5)的监控操作。
13.根据权利要求6所述的安全相关的控制设备(1),其特征在于,所述软件模块是能移植的。
14.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述第二处理装置(4)包括诊断功能,用以借助存储完整性检验来对所述测试功能(7)的有效性进行检验。
15.根据权利要求1至2中任一项所述的安全相关的控制设备(1),其特征在于,所述测试功能(7)被构造用于基于监控所述安全功能(5)的结果来影响所述运行和/或附加功能(6)的运行和/或作用到所述运行和/或附加功能(6)上。
16.一种运行安全相关的控制设备(1)的方法,所述安全相关的控制设备构造为控制头或定位器并用于操控促动器(2),并且所述安全相关的控制设备具有第一处理装置(3)和第二处理装置(4),所述方法包括如下步骤:在所述第一处理装置(3)上提供安全功能(5),用于产生和/或处理针对所述促动器(2)的安全相关的操控的信号;在所述第二处理装置(4)上提供运行和/或附加功能(6),用于产生、处理、诊断、示出和/或输出另外的与所述控制设备(1)和/或所述促动器(2)的运行相关联的信号,并且在所述第二处理装置(4)上提供测试功能(7),用于监控所述安全功能(5)的功能性,
其中,所述第一处理装置(3)是所述控制设备(1)的第一微控制器或者逻辑组件,所述第二处理装置(4)是第二微控制器,
其中,在所述第一处理装置(3)和所述第二处理装置(4)之间设置有数字通信接口,通过所述数字通信接口,所述安全功能(5)和所述测试功能(7)能够相互通信。
17.根据权利要求16所述的运行安全相关的控制设备(1)的方法,其特征在于,所述促动器(2)为阀。
18.根据权利要求16或17所述的运行安全相关的控制设备(1)的方法,其特征在于,所述安全相关的操控用于占据安全状态。
CN201710099011.3A 2016-02-23 2017-02-23 安全相关的控制设备和运行安全相关的控制设备的方法 Active CN107102597B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016202749.2A DE102016202749A1 (de) 2016-02-23 2016-02-23 Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
DE102016202749.2 2016-02-23

Publications (2)

Publication Number Publication Date
CN107102597A CN107102597A (zh) 2017-08-29
CN107102597B true CN107102597B (zh) 2021-04-20

Family

ID=59522520

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710099011.3A Active CN107102597B (zh) 2016-02-23 2017-02-23 安全相关的控制设备和运行安全相关的控制设备的方法

Country Status (3)

Country Link
US (1) US10295984B2 (zh)
CN (1) CN107102597B (zh)
DE (1) DE102016202749A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT201600117298A1 (it) * 2016-11-21 2018-05-21 Pizzato Elettrica Srl Interruttore di sicurezza con cpu differenziate
DE102018102788A1 (de) * 2018-02-08 2019-08-08 Hengstler Gmbh Verfahren zur Datenübertragung zwischen einem Encoder und einer Motor- und/oder Aktor-Kontrolleinheit über einen unsicheren Kanal
DE102022120198A1 (de) 2022-08-10 2024-02-15 Pilz Gmbh & Co. Kg Modulare Steuerungseinrichtung

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19756616A1 (de) * 1997-12-19 1999-07-01 Bosch Gmbh Robert Überwachungsvorrichtung für Garagentorantriebe
DE10320031A1 (de) * 2003-05-06 2004-12-16 Samson Ag Verfahren und Vorrichtung zum Prüfen der Betriebssicherheit eines Prozessstellgeräts
US8180466B2 (en) * 2003-11-21 2012-05-15 Rosemount Inc. Process device with supervisory overlayer
DE102009014620B4 (de) * 2009-03-24 2014-03-27 Siemens Aktiengesellschaft Adressabhängige Sicherheitscodefolgen für sichere Eingangsslaves bei AS-Interface
DE102009019087A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
US8996328B2 (en) * 2009-12-29 2015-03-31 Fisher Controls International Llc Methods, apparatus and articles of manufacture to test safety instrumented system solenoids
WO2011101707A1 (en) * 2010-02-16 2011-08-25 Freescale Semiconductor, Inc. Data processing method, data processor and apparatus including a data processor
JP5735383B2 (ja) * 2011-09-02 2015-06-17 アズビル株式会社 調節弁の異常診断方法および装置
US9090265B2 (en) * 2012-08-28 2015-07-28 GM Global Technology Operations LLC Active safety systems of vehicles with graphical microprocessors
US10185291B2 (en) * 2013-06-28 2019-01-22 Fisher Controls International Llc System and method for shutting down a field device
DE102013213402A1 (de) * 2013-07-09 2015-01-15 Robert Bosch Gmbh Mikrocontroller mit mindestens zwei Kernen
JP5862614B2 (ja) * 2013-07-11 2016-02-16 横河電機株式会社 フィールド機器及びデータ処理方法
WO2015085527A1 (en) * 2013-12-12 2015-06-18 Otis Elevator Company Safety system for use in a drive system
CN204965181U (zh) * 2015-09-25 2016-01-13 中国矿业大学 一种基于异构网络的汽车远程故障诊断系统

Also Published As

Publication number Publication date
CN107102597A (zh) 2017-08-29
DE102016202749A1 (de) 2017-08-24
US10295984B2 (en) 2019-05-21
US20170242417A1 (en) 2017-08-24

Similar Documents

Publication Publication Date Title
RU2643313C2 (ru) Способ и устройство для контроля и/или наблюдения за пневматическим приводом
EP3588208B1 (en) Servo system
CN107102597B (zh) 安全相关的控制设备和运行安全相关的控制设备的方法
US20100010642A1 (en) Method and system for safety monitored terminal block
US8358140B2 (en) Method for testing the functionality of a field device for an industrial process and field device for an industrial process
US8056418B2 (en) Method and device for testing the functionality of an actuator having a pneumatic drive
WO2017056688A1 (ja) 監視システム及び車両用制御装置
RU2662571C2 (ru) Система и способ отключения полевого устройства
US8138765B2 (en) Device and method for actuator monitoring of a safety-related load circuit connected with two channels
EP3581343A1 (en) A safety control system for an industrial robot and the industrial robot
US11662714B2 (en) Control system for controlling safety-critical and non-safety-critical processes
CN112938681B (zh) 用于安全链的自动检查的电子测试节点
US8090474B2 (en) Apparatus for controlling at least one machine
JP2014502242A (ja) エレベータの安全回路とエレベータの安全回路の動作不具合の識別方法
US11242065B2 (en) Device and method for controlling a signal connection of a vehicle
CN115657450B (zh) 工业机器人的安全控制系统、电路及方法
US20120123562A1 (en) Control system for controlling a process
CN108369879B (zh) 用于监视冗余互连触点的功能的方法和装置
US9988139B2 (en) Fault tolerant electronic control architecture for aircraft actuation system
JP2008108196A (ja) 出力装置
CN106153103B (zh) 用于确定测量参量的现场设备和用于传递的方法
JP7135211B2 (ja) 車載制御装置
US10937283B2 (en) Switching device for selectively switching an electrical load, in particular for shutting down a dangerous machine installation
JP2007310718A (ja) セーフティ・コントローラ
KR101704406B1 (ko) 비행제어를 위한 전기작동기 구동 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Germany Esslingen

Applicant after: FESTO Co., Ltd

Address before: Germany Esslingen

Applicant before: FESTO AG & CO. KG

GR01 Patent grant
GR01 Patent grant