CN110780590A - 用于为机器的多通道控制提供安全控制参数的技术 - Google Patents
用于为机器的多通道控制提供安全控制参数的技术 Download PDFInfo
- Publication number
- CN110780590A CN110780590A CN201910682997.6A CN201910682997A CN110780590A CN 110780590 A CN110780590 A CN 110780590A CN 201910682997 A CN201910682997 A CN 201910682997A CN 110780590 A CN110780590 A CN 110780590A
- Authority
- CN
- China
- Prior art keywords
- control parameters
- control
- configuration server
- communication interface
- machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/406—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
- G05B19/4063—Monitoring general control system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33104—Tasks, functions are distributed over different cpu
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/34—Director, elements to supervisory
- G05B2219/34465—Safety, control of correct operation, abnormal states
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Human Computer Interaction (AREA)
- Manufacturing & Machinery (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及用于为机器的多通道控制提供安全控制参数的技术,提供一种配置服务器,其使用输出单通道控制参数的多个分布式控制端为机器的多通道控制提供安全控制参数,其中机器包括控制单元,其基于安全控制参数生成用于控制机器的控制命令,包括:第一通信接口,用于接收来自于多个分布式控制端的多个单通道控制参数;处理器,设为将所接收的单通道控制参数彼此进行比较,处理器设为如果一定数量的单通道控制参数一致则输出所接收的控制参数作为安全控制参数;第二通信接口,用于通过通信网络将安全控制参数发送给机器。
Description
技术领域
本发明涉及用于为机器的多通道控制提供安全控制参数的技术,特别是使用输出单通道控制参数的多个分布式控制端。
背景技术
冗余和多样性是安全工程领域的已知原则。它们通常是构建安全计算机体系结构的基础。错误风险或错误程度越高,必须采取的措施越强。
已知的安全控制端是根据IEC 61131-3或IEC 61131-6、IEC 61508或ISO 14849开发的组件。已知两种基本的构造方法:
a)具有均一或多样化冗余结构的至少两个通道的冗余架构;
b)具有附加诊断通道的单通道架构。
这两种架构的共同之处在于,在规范中必须遵守特殊措施。这些措施必须在整个开发过程中始终如一地实施,才能实现安全控制端的生产。就其技术复杂性而言,这些措施和多通道结构很快导致安全控制端的成本急剧上升。
发明内容
本发明的目的是为改进的安全控制端提供一种易于实施的概念。
该目的通过具有独立权利要求特征的内容来实现。本发明的有利实施例是从属权利要求,说明书和附图的内容。
本公开的一个基本思想是使用至少两个不同的,即多样的控制平台,并且基本上同步它们的进程,使得至少第一个发生的错误不会影响安全相关的进程。
根据第一方面,该目的通过一种配置服务器来实现,该配置服务器用于使用输出单通道控制参数的多个分布式控制端来为机器的多通道控制提供安全控制参数,其中该机器包括控制单元,该控制单元根据安全控制参数产生用于控制机器的控制命令,该配置服务器包括:第一通信接口,用于从接收来自于多个分布式控制端的多个单通道控制参数;处理器,用于将接收到的单通道控制参数相互比较,其中,如果一定数量的单通道控制参数一致,则处理器被设计为输出接收到的控制参数作为安全控制参数;第二通信接口,用于通过通信网络将安全控制参数发送给机器。
这样的配置服务器可以实现具有多样化冗余的单通道架构的技术优势,即控制端的构造可以是简单的,因为它们仅需要传送单通道控制参数。通过使用多个这样的控制端可以实现多样化冗余,这确保了相应的高度安全性,而不需要多通道架构。因此,优点是使用至少两个不同的,即多样的控制平台,并且它们的进程基本上同步,使得至少第一次出现的错误不会影响安全相关的进程。
在配置服务器的有利实施例中,处理器被设计为如果所有单通道控制参数一致,则输出接收到的控制参数作为安全控制参数,或者必须相同的单通道控制参数的数量被预设为规定的阈值,特别是百分比阈值。
这样的配置服务器使得可以实现这样的技术优点:在第一种情况下,由于所有单通道控制参数必须相同,因此可以实现特别高的安全性。在第二种情况下,可以灵活地调整安全级别,因为不是全部,而是只有特定数量的单通道控制参数必须相同。
在配置服务器的有利实施例中,第一通信接口是有线通信接口,其具有连接端口,特别是USB端口,以连接多个分布式控制端;或者,无线通信接口,用于通过通信网络,尤其是通过通信网络与分布式控制端进行无线通信。
这样的配置服务器使得可以实现这样的技术优点:在第一种情况下,控制端可以以特别简单的方式连接到第一通信接口的连接端口,由此可以容易地交换各个控制端。在无线通信接口的第二种情况下,控制端的交换甚至可以纯粹自动地实现而无需人工干预,因此不需要服务人员。例如,在控制端故障的情况下,处理器可以自动将不同的控制端连接到第一通信接口。
在配置服务器的有利实施例中,第二通信接口被设计为经由通信网络接收来自机器的发送安全控制参数的请求信号,并且响应于接收到请求信号,通过通信网络将安全控制参数发送到机器。
这样的配置服务器使得可以实现通过第二通信接口的信号流减少的技术优势,因为不需要永久传输安全控制参数。只有在机器的要求下才需要传输。在这种情况下,机器可以实现为通信主机或安全主机,其独立地检查其功能并从配置服务器获得安全的控制参数,例如,通过下载相应的安全控制参数。
在配置服务器的有利实施例中,第二通信接口被设计为向机器发送配置信号,其指示安全控制参数的配置。
这样的配置服务器使得可以实现技术优势,即在每种情况下,机器被通知配置服务器上的安全控制参数可用。然后,机器可以相应地规划其同步进程或下载安全控制参数。
在配置服务器的有利实施例中,第二通信接口是无线通信接口或有线通信接口。
这样的配置服务器使得可以实现配置服务器可以灵活地连接到不同通信网络的技术优势。如果例如通信网络上的路径之一被中断或干扰,则可以进一步使用不同通信网络上的不同路径来增加进程的安全性。
在配置服务器的有利实施例中,多个分布式控制端包括Arduino PC或RaspberryPi处理器,以提供多个单通道控制参数。
这样的配置服务器使得可以实现这些计算机平台基于的是简单硬件的技术优势,其可以以成本有效且技术上简单的方式实现。这意味着通过使用简单的控制端硬件就可以实现高安全性要求。
在配置服务器的有利实施例中,处理器被设计成如果在一定数量的单通道控制参数之间不存在一致,则向诊断设备传输消息。
这样的配置服务器使得可以实现技术优势,即处理器被告知相应控制端的状态并且可以评估控制端是否背离其他控制,从而如果是背离,它(或诊断设备)可以采取相应措施,例如更换故障控制端。
在配置服务器的有利实施例中,第一通信接口被设计为在指定的接收时间窗口接收来自于多个分布式控制端的多个单通道控制参数。
这样的配置服务器使得可以实现控制端可以有效地彼此同步的技术优势。例如,控制端必须覆盖特定长距离直到其单通道控制参数到达配置服务器,这可以用相应的长时间窗口来补偿,以接收控制参数。接收时间窗口还可用于对相应的单通道控制参数进行时间平均,使得平均值相对于线路上的脉冲尖峰或短期失效提供更高的可靠性。
在配置服务器的有利实施例中,多个分布式控制端被分配给不同的计算机平台并以可互换的方式耦合到第一通信接口。
这样的配置服务器使得可以实现安全系统可以以灵活的方式构造的技术优点,这简化了对硬件的要求。不同的硬件可以用于相应的控制端,使得控制不必永久地彼此适配。例如,控制端还可以包括不同的软件版本。
在配置服务器的有利实施例中,处理器被设计成如果在一定数量的单通道控制参数之间不存在一致,则将相应的控制端与第一通信接口解耦,并且将该相应的控制端替换为其他控制端。
这样的配置服务器使得可以实现处理器可以有效地检查和维护安全系统的技术优势,使得安全性始终处于所需的水平。
在配置服务器的有利实施例中,多个分布式控制端具有安全相关的操作系统,其满足安全功能,特别是IEC 61131-2标准关于抗干扰性和错误的规范。
这样的配置服务器使得可以实现技术优势,即满足相关的安全功能(例如,根据IEC 61131-2标准),因此安全系统符合相应的CE认证。
IEC 61131标准的第2部分(缩写为:IEC 61131-2)规定了有关控制硬件的抗干扰性以及指示的错误和测试指令的要求。符合IEC 61131标准第2部分是即使在工业环境中使用的最低要求。满足所有要求的控制硬件在合格评定和CE标记方面被认为是安全的(来自维基百科)。
标准系列的第6部分(IEC 61131-6)与安全控制(执行安全功能的硬件和/或软件的总体)更相关,甚至更好地符合IEC61508、IEC61511、IEC62061、ISO13849等标准。
另一方面,分布式控制端必须至少符合61131-2标准,然而,该标准不是安全标准。因此,所述控制端也可以保持便宜。
在配置服务器的有利实施例中,多个分布式控制端基于移动电话硬件实现或者实现为移动通信终端或者可以连接到移动通信终端。
这样做的优点是实现起来特别简单。安全系统可以通过例如云来彼此连接的移动电话或智能电话得以实现。由于这些可以以更低的成本获得,因此减少了安装安全系统所需的工作量。
根据第二方面,该目的通过一种控制系统来实现,该控制系统包括:根据第一方面的配置服务器;多个分布式控制端,用于向配置服务器发送多个单通道控制参数。
这种控制系统使得可以实现具有多样化冗余的单通道架构的技术优势,即控制的构造可以是简单的,因为它们仅需要提供单通道控制参数。通过使用多个这样的控制端可以实现多样化冗余,这确保了相应高度的安全性,而不需要多通道架构。因此,优点是使用至少两个不同的,即多样的控制平台,并且它们的进程基本上同步,使得至少第一次出现的错误不会影响安全相关的进程。
根据第三方面,该目的通过一种用于经由通信网络将安全控制参数发送到机器的方法来实现,包括:接收来自于多个分布式控制端的多个单通道控制参数;将接收到的单通道控制参数相互比较;如果一定数量的单通道控制参数一致,则输出安全控制参数;并且通过通信网络将安全控制参数传输到机器。
这种方法使得可以实现具有多样化冗余的单通道架构的技术优势,即控制端的构造可以是简单的,因为它们仅需要传送单通道控制参数。通过使用多个这样的控制可以实现多样化冗余,这确保了相应高度的安全性,而不需要多通道架构。利用所述方法,可以使用至少两个不同的,即多样的控制平台,并且它们的进程可以基本上同步,使得至少第一次出现的错误不会影响安全相关的进程。
它进一步实现了该方法可以容易地用于自动化系统的技术优点。
根据第三方面,该目的通过一种计算机程序来实现,该计算机程序包括用于在计算机上执行程序代码时执行这种方法的程序代码。
根据本发明,可以在配置服务器上容易地实现计算机程序。
附图说明
更多设计例子将结合附图来进行说明。在附图中:
图1是用于控制空间分布式机器的安全系统的示意图;
图2是根据一实施例的空间分布式机器的多通道控制系统的示意图;
图3是根据一实施例的具有配置服务器的控制系统的示意图;
图4是用于经由通信网络将安全控制参数发送到机器的方法的示意图。
附图标记列表
100 安全系统
110 控制端
120 云,例如服务器、数据库等
130 机器
200 控制系统
111 控制端
112 控制端
300 控制系统
113 控制端
310 配置服务器
301 单通道控制参数
302 单通道控制参数
303 单通道控制参数
311 第一通信接口
312 第二通信接口
313 处理器
304 安全控制参数
320 通信网络
131 控制单元
400 用于传输安全控制参数的方法
401 接收第一控制参数
402 接收第二控制参数
403 比较
404 传输
具体实施方式
下面介绍的安全架构可以使用“云”来使用。所谓的“云”指的是分布式网络和/或数据库资源,其包括例如外包任务,例如信息控制。
云的一个优点是不仅可以在那里执行数据处理,而且还可以实现数据库功能。结果,可以实现分布式存储器。
根据本发明,该特性用于机器的控制,特别是安全相关的控制,其可以是空间分布式的。
下面介绍的安全架构可以基于IEC 61508、IEC 61131-6、ISO13849、IEC 62061、IEC 61511等标准。这些标准定义了安全系统提供的所谓安全功能(在这种情况下是配置服务器,控制端或输入和输出组件)。另一方面,61131-2标准仅对工业适用性(EMC,环境影响等)提出要求。它不是安全标准,而是PLC标准。
以下使用的安全要求等级是功能安全领域中的术语,并且在根据IEC 61508/IEC61511的国际标准化中称为安全等级或安全完整性等级(SIL)。它用于评估电气/电子/可编程电子系统的安全功能可靠性。必须保持以安全为导向的设计原则以最小化故障风险是目标水平的结果。
以下介绍的控制端可以基于简单的计算机平台或单板计算机,例如Raspberry Pi或Arduino。
Raspberry Pi是由英国树莓派基金会开发的单板计算机。该计算机包含一个带有ARM微处理器的Broadcom单芯片系统。根据型号,其销售价格在5至35美元之间。特别是具有图形用户界面的定制Linux发行版用作操作系统。启动进程通常由可移动SD存储卡作为内部启动(boot)介质来执行。
Arduino是一个由软件和硬件组成的物理计算平台。这两个组件都是开源的。硬件包括一个简单的输入/输出板,带有微控制端以及模拟和数字输入和输出。开发环境基于进程,并且还旨在使技术经验较少的人能够更轻松地访问编程程序和微控制端。编程程序本身以C或C++(类似的编程语言)执行,其中技术细节(例如头文件)在很大程度上对用户是隐藏的,并且扩展的库和示例简化了编程程序。Arduino可用于控制单独的交互式对象或与计算机上的软件应用程序交互。
图1示出了根据一个实施例的用于控制空间分布式机器的安全系统100的示意图,图中示出了控制端110,云120和机器130。
安全系统100包括控制端110,控制端110经由云120连接到一个或多个空间分布式的机器130,例如,服务器或数据库。控制端110例如通过安全数据库的连接发送由机器130执行的功能,特别是安全相关功能,例如紧急停止,例如控制命令或控制值。该功能存储在云120中,例如存储在可以通过网络访问的数据库中。云120使该功能可用于机器以进行获取。
机器130可以从云120获取功能并执行它。该获取可以基于规则来执行,例如在固定时间或通过控制规范或作为事件的结果。云120还可以向机器130提供关于功能的信息。替代地或另外地,该功能可以在机器130本身上实现,并且仅从云120接收或获取值。这意味着不仅安全参数,而且如果合适,还将完整控制功能发送到机器130。
在一个实施例中,云120可以被设计为检查由控制端110发送的控制值或控制命令,例如将其与参考值进行比较。如果检查的值是合理的,则使其可被机器130获取。否则,丢弃控制值或控制命令。
在一个实施例中,云可以使用新控制值来模拟机器的行为。例如,如果模拟没有导致临界状态,例如速度太快,则输出被批准。模拟可以基于模拟机器行为的模型(例如,通过状态转换、Petri网等)。
利用上述架构100,可以通过另一个云连接实现另一个诊断通道。通过该通道,机器130可以将通过执行诊断功能而生成的诊断值发送到云120。云120可以使诊断值可用于获取,例如通过控制端110或由另一个实体。
图2示出了根据一个实施例的具有控制端111、112,云120和机器130的空间分布式机器的多通道控制系统200的示意图。图2中所示的两个控制端111、112旨在作为示例。当然,不言而喻,用于控制机器130的两个以上控制端可以连接到云120。所描绘的机器130也旨在作为示例。它可以包含通过云120控制的多个机器或机器组件。
还可以通过云120构建多通道架构。除了控制端111之外还可以提供另一个控制端112,控制端112同样连接到云120,如图2所示。
配置服务器本身也可以是多通道的。由于它还可以同时用于与其他控制端和机器的通信,因此冗余开销只需要一次。在最简单的情况下,通信系统可以是例如,符合IEC61784-3标准的标准通信或安全传输系统。
控制端111、112可以是不同的计算机平台,例如“Raspberry”或“Arduino”平台,例如,每个平台在单通道的基础上操作。
控制端111、112将控制值发送到云120。云120比较两个控制值。如果它们一致,则可以使用其中一个控制值进行获取。否则,将阻止获取。
该概念类似地适用于具有N个通道的N通道控制端。
云120还可以使计算机平台同步以输出控制值。
通过这种方式,经济实惠的单通道计算机平台可用于多通道控制。
此外,控制端111、112可以用开源软件操作。
在一个实施例中,云120可以例如基于控制端111、112的使用来选择控制端111、112。然后,所选择的控制端将控制值发送到云120。这样,当出现临时过载时,在不放弃多通道控制的情况下,可以暂时减少冗余度。因此,在临时关闭控制端的情况下,N通道控制端变为N-1通道控制端。
在一个实施例中,例如,基于计算负载,云120可以将控制任务分配给那些不太忙的控制端。云120还可以外包或部分参与进程。因此,可以有效地利用现有的控制资源。
控制端可以分布于通信网络中,并可仅通过通信网络访问。
在一个实施例中,云120可以提供控制资源作为附加冗余,例如在其中一个控制端失效的情况下。在这种情况下也保持多通道特征。
图3示出了根据一个实施例的具有配置服务器310的控制系统300的示意图。控制系统300包括多个分布式控制端111、112、113,与控制端111、112、113连接的配置服务器310,通信网络320,以及通过通信网络320连接到配置服务器310的一个或多个机器130或机器组件。分布式控制端111、112、113被设计为将多个单通道控制参数301、302、303发送到配置服务器310。
配置服务器310利用输出单通道控制参数301、302、303的多个分布式控制端111、112、113来提供用于机器130的多通道控制的安全控制参数304。机器130包括控制单元131,其基于安全控制参数304生成用于控制机器130的控制命令。
配置服务器包括两个通信接口311、312和处理器313。不言而喻,这里的处理器313仅仅是执行配置服务器的任务所需的硬件的示例。除了单个处理器313,配置服务器也可以包括多个处理器,例如多处理器系统,其执行配置服务器的特定任务。第一通信接口311被设计为从多个分布式控制端111、112、113接收多个单通道控制参数301、302、303。
至少一个处理器(例如,图3中所示的处理器313)被设计为将所接收的单通道控制参数301、302、303彼此进行比较,并且如果一定数量的单通道控制参数301、302、303一致,则输出接收的控制参数作为安全控制参数304。多个单通道控制参数301、302、303可以是单个或任意多个单通道控制参数301、302、303。该数量也可以指所有的单通道控制参数。
在满足SIL 2或3标准的控制系统300的实施例中,云服务器还可以具有多通道结构或者自身可以与其他配置服务器协调。
第二通信接口312被设计为经由通信网络320将安全控制参数304发送到机器130。
在一个实施例中,处理器313被设计成如果所有单通道控制参数301、302、303一致,则输出所接收的控制参数作为安全控制参数304。或者,必须相同的单通道控制参数301、302、303的数量可以由指定的阈值,特别是百分比阈值预先确定。
在一个实施例中,第一通信接口311可以是具有连接端口,特别是USB端口的有线通信接口,以连接多个分布式控制端(111、112、113)。或者,第一通信接口311可以是用于经由通信网络,特别是经由通信网络320与分布式控制端111、112、113进行无线通信的无线通信接口。
在一个实施例中,第二通信接口312被设计为经由通信网络320接收来自于机器130的发送安全控制参数304的请求信号,并且响应于接收到请求信号,将安全控制参数304通过通信网络320发送到机器130。
在一个实施例中,第二通信接口312可以被设计为向机器130发送配置信号,其指示安全控制参数304的配置。
在一个实施例中,第二通信接口312可以是无线通信接口或有线通信接口,例如,以太网、局域网等。
在一个实施例中,多个分布式控制端111、112、113可以包括一个或多个ArduinoPC或Raspberry Pi处理器,以提供多个单通道控制参数301、302、303。
在一个实施例中,如果在一定数量的单通道控制参数301、302、303之间不存在一致,则处理器313可以被设计为将消息发送到诊断设备。
在一个实施例中,第一通信接口311可以被设计为在指定的接收时间窗口上从多个分布式控制端111、112、113接收多个单通道控制参数301、302、303。
在一个实施例中,多个分布式控制端111、112、113可以分配给不同的计算机平台并以可互换的方式耦合到第一通信接口311。
在一个实施例中,如果在一定数量的单通道控制参数301、302、303之间不存在一致,则处理器313可以被设计成将相关控制端与第一通信接口311解耦,并且用其他控制端替换它们。
在一个实施例中,多个分布式控制端111、112、113可以具有满足安全标准的安全相关操作系统,特别是IEC 61131-2标准,由此安全标准保护分布式控制端111、112、113免受干扰,极性反转和/或电涌。
在一个实施例中,多个分布式控制端111、112、113可以基于移动电话硬件实现或者实现为移动通信终端。
目前已知各种廉价的控制平台并且其正变得越来越流行。至少应该在这里提到Arduino PC和Raspberry Pi。这两个平台都不是用于安全工程,但两者的结构完全是多样的。每个平台都接收一个程序,用于控制安全相关的应用程序,以解决同一个安全相关任务。控制端111、112、113可以基于这样的控制平台。
两个(或甚至多个)平台可以彼此同步,使得在输出输出值之前,可以在程序序列中的不同点处将初始值彼此进行比较。如果一个计算机平台的一个输出与另一个计算机平台的输出不同,则防止该值的输出。这种同步可以在配置服务器310的处理器313中进行。
响应于此错误,可以重新启动程序序列,通过诊断设备识别错误,并中断进程或修复错误。该架构的优点基本上包括能够使用已经开发的廉价计算机平台通过配置服务器310控制安全相关过程,配置服务器310可以安装在云中。
此外,安全导向的实时操作系统可以安装在至少一个平台上,即控制端111、112、113中的一个。安全相关的Linux操作系统可以在OSADL获得,OSADL是德国开源软件的用户组,可以很容易地移植到上述计算机平台,因为它们都配备了Linux操作系统。这使得也可以覆盖更高的SIL,即与安全相关的要求。两个均一化的冗余计算机平台(例如,用于控制端111、112、113的计算机平台)然后可以与安全操作系统一起工作,这将消除对多样化冗余计算机平台的需求,或至少可等同于多样化冗余计算机平台。
该原理通常也可以用于完全不同的计算机平台的组合。因此,基于Android或iOS操作的控制端111、112、113的可控制组件的组合也是可能的。因此也可以实现基于移动电话硬件的安全控制。同样,仅必须(例如,通过配置服务器310)安装一个任务相同(task-identical)的安全应用程序,其也被设置用于同步两个平台的链接结果。
在一个实施例中,计算机平台满足IEC 61131-2安全标准,因此所述平台基本上受到保护以免受干扰,极性反转或电涌。操作也可在-40至50℃的扩展温度范围内进行,相对湿度最高可达80%。
两个计算机平台可以通过云在远距离上彼此通信,或者将其记录的进程数据和/或诊断数据存储在那里以用于其他控制端,如图3所示,其中配置服务器310可以安装在云中。因此,可以通过分析数据在中央或分散地实时检测即将发生的故障,并且可以启动对策。
因此,利用根据图3的架构,可以创建将多个计算机平台经由云彼此连接的冗余概念,因此他们都可以访问相同的数据(热备份和/或冷备用)。如果这样的计算机平台发生故障,其他一个计算机平台就可以接管其任务。
在一个实施例中,负载的确定,即确定当前计算机平台或控制端111、112、113有多忙,可以用于实现调整的负载分布,其中任务在超负荷状态的边缘被从计算机平台或控制端带走,并转移到另一个计算机平台或控制端。如果输入和输出模块或通信接口311无线连接到计算机平台或控制端111、112、113并且所述模块允许控制不同的计算机平台(多从机),则这更容易。如果发生故障或响应特定消息,则会将I/O模块灵活地分配给不同的控制平台。还可以进行时间共享,以便对移动I/O设备的访问遵循指定的模式(时间片、令牌机制等)。
其中一个主要优点在于,这种计算机平台比具有专有操作系统的专有安全控制端更加灵活。由于使用Linux同时作为标准和安全版本,可以以非常便宜的方式实现可扩展的安全控制端,以更灵活的方式响应该平台不断增加的模块数量。
另一个优点是硬件本身不必进行复杂的测试。可以使用多种冗余,或者计算机可以配备安全的Linux操作系统。这两个计算机平台也可以是均一化冗余的,因为安全Linux也可以接管非安全相关硬件平台的测试。因此,只要平台符合IEC 61131-2要求,就可以通过多种冗余同步标准控制端实现SIL 2的安全要求。
图4是用于经由通信网络320将安全控制参数304发送到机器130的方法400的示意图。
方法400包括以下步骤:401:从多个分布式控制端111、112、113接收多个单通道控制参数301、302、303,如图3所示;402:将接收的单通道控制参数301、302、303相互比较;403:如果一定数量的单通道控制参数301、302、303一致,则输出安全控制参数304;并且404:经由通信网络320将安全控制参数304传输到机器130。
Claims (15)
1.一种配置服务器(310),用于使用输出单通道控制参数(301、302、303)的多个分布式控制端(111、112、113)为机器(130)的多通道控制提供安全控制参数(304),其特征在于,所述机器(130)包括控制单元(131),所述控制单元基于所述安全控制参数(304)生成用于控制所述机器(130)的控制命令,所述配置服务器包括:
第一通信接口(311),设置为接收来自于所述多个分布式控制端(111、112、113)的多个所述单通道控制参数(301、302、303);
处理器(313),设置为将所接收的所述单通道控制参数(301、302、303)彼此进行比较,其中所述处理器(313)被设置为如果一定数量的所述单通道控制参数(301、302、303)一致则输出所接收的控制参数作为所述安全控制参数(304);和
第二通信接口(312),设置为经由通信网络(320)将所述安全控制参数(304)发送到所述机器(130)。
2.根据权利要求1所述的配置服务器(310),其特征在于,如果所有所述单通道控制参数(301、302、303)一致,则所述处理器(313)设置为输出所接收的控制参数作为所述安全控制参数(304),或者其中必须相同的所述单通道控制参数(301、302、303)的数量由指定的阈值,特别是百分比阈值预先确定。
3.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,
所述第一通信接口(311)是有线通信接口,该有线通信接口具有连接端口,特别是USB端口,以连接所述多个分布式控制端(111、112、113);或者
所述第一通信接口(311)是经由通信网络,特别是经由所述通信网络(320)与所述分布式控制端(111、112、113)进行无线通信的无线通信接口。
4.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述第二通信接口(312)设置为经由所述通信网络(320)接收来自于所述机器(130)的请求发送所述安全控制参数(304)的请求信号,并且,响应于接收到请求信号,经由所述通信网络(320)将所述安全控制参数(304)发送到所述机器(130)。
5.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述第二通信接口(312)设置为向所述机器(130)发送配置信号,所述配置信号指示所述安全控制参数(304)的配置。
6.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述第二通信接口(312)是无线通信接口或有线通信接口。
7.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述多个分布式控制端(111、112、113)包括Arduino PC或Raspberry Pi处理器,以提供所述多个单通道控制参数(301、302、303)。
8.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述处理器(313)设置为如果在一定数量的所述单通道控制参数(301、302、303)之间不存在一致,则向诊断装置传输消息。
9.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述第一通信接口(311)设置为在指定的接收时间窗口内接收来自于所述多个分布式控制端(111、112、113)的所述多个单通道控制参数(301、302、303)。
10.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述多个分布式控制端(111、112、113)被分配给不同的计算机平台,并且以可互换的方式耦合到所述第一通信接口(311)。
11.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述处理器设置为如果在一定数量的所述单通道控制参数(301、302、303)之间不存在一致,则将相应的控制端与所述第一通信接口(311)解耦,并将该相应的控制端替换为其他控制端。
12.根据前述权利要求中任意一项所述的配置服务器(310),其特征在于,所述多个分布式控制端(111、112、113)具有满足安全功能的安全相关操作系统,特别是在抗干扰性和错误方面符合IEC 61131-2标准。
13.根据权利要求12所述的配置服务器(310),其特征在于,所述多个分布式控制端(111、112、113)基于移动电话硬件实现或者实现为移动通信终端或者可以连接到移动通信终端。
14.一种控制系统(300),其特征在于,包括:
根据前述权利要求中任意一项所述的配置服务器(310);和
多个分布式控制端(111、112、113),设置为将多个单通道控制参数(301、302、303)发送到所述配置服务器(310)。
15.一种经由通信网络(320)将安全控制参数(304)传输至机器(130)的方法(400),其特征在于,包括:
401:接收来自于多个分布式控制端(111、112、113)的多个单通道控制参数(301、302、303);
402:将所接收的所述单通道控制参数(301、302、303)相互比较;
403:如果一定数量的所述单通道控制参数(301、302、303)一致,则输出安全控制参数(304);和
404:经由通信网络(320)将所述安全控制参数(304)传输至机器(130)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018118243.0 | 2018-07-27 | ||
| DE102018118243.0A DE102018118243A1 (de) | 2018-07-27 | 2018-07-27 | Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110780590A true CN110780590A (zh) | 2020-02-11 |
| CN110780590B CN110780590B (zh) | 2023-06-30 |
Family
ID=69148893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910682997.6A Active CN110780590B (zh) | 2018-07-27 | 2019-07-26 | 用于为机器的多通道控制提供安全控制参数的技术 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11022954B2 (zh) |
| CN (1) | CN110780590B (zh) |
| DE (1) | DE102018118243A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10782772B2 (en) | 2017-07-12 | 2020-09-22 | Wiliot, LTD. | Energy-aware computing system |
| US11226667B2 (en) * | 2018-07-12 | 2022-01-18 | Wiliot Ltd. | Microcontroller operable in a battery-less wireless device |
| EP3940467A1 (de) | 2020-07-13 | 2022-01-19 | Siemens Aktiengesellschaft | Steuerungssystem zur steuerung einer vorrichtung oder anlage |
| CN118119899A (zh) * | 2022-09-29 | 2024-05-31 | 松下知识产权经营株式会社 | 控制系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002033558A1 (en) * | 2000-10-16 | 2002-04-25 | Physical Optics Corporation | Multimedia sensor network |
| EP1418503A1 (en) * | 2002-11-06 | 2004-05-12 | Dangaard Telecom RTC Division A/S | Security system for a computer network |
| WO2012095867A2 (en) * | 2011-01-12 | 2012-07-19 | Videonetics Technology Private Limited | An integrated intelligent server based system and method/systems adapted to facilitate fail-safe integration and /or optimized utilization of various sensory inputs |
| US20130097670A1 (en) * | 2011-10-18 | 2013-04-18 | Power Software Solutions Ltd. d/b/a Yoshki | System and method for server-based image control |
| CN104169817A (zh) * | 2012-03-15 | 2014-11-26 | 菲尼克斯电气公司 | 用于在自动化设备中控制安全关键过程的控制装置和用于使控制装置参数化的方法 |
| US20160087933A1 (en) * | 2006-09-25 | 2016-03-24 | Weaved, Inc. | Techniques for the deployment and management of network connected devices |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7764188B2 (en) * | 2007-11-29 | 2010-07-27 | Caterpillar Inc | System and method for maintaining machine operation |
| DE202012000084U1 (de) * | 2012-01-05 | 2012-04-02 | Dirk Stiebert | Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung |
| US10063661B2 (en) * | 2015-01-14 | 2018-08-28 | Oracle International Corporation | Multi-tenant cloud-based queuing systems |
-
2018
- 2018-07-27 DE DE102018118243.0A patent/DE102018118243A1/de active Pending
-
2019
- 2019-07-24 US US16/520,777 patent/US11022954B2/en active Active
- 2019-07-26 CN CN201910682997.6A patent/CN110780590B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002033558A1 (en) * | 2000-10-16 | 2002-04-25 | Physical Optics Corporation | Multimedia sensor network |
| EP1418503A1 (en) * | 2002-11-06 | 2004-05-12 | Dangaard Telecom RTC Division A/S | Security system for a computer network |
| US20160087933A1 (en) * | 2006-09-25 | 2016-03-24 | Weaved, Inc. | Techniques for the deployment and management of network connected devices |
| WO2012095867A2 (en) * | 2011-01-12 | 2012-07-19 | Videonetics Technology Private Limited | An integrated intelligent server based system and method/systems adapted to facilitate fail-safe integration and /or optimized utilization of various sensory inputs |
| US20130097670A1 (en) * | 2011-10-18 | 2013-04-18 | Power Software Solutions Ltd. d/b/a Yoshki | System and method for server-based image control |
| CN104169817A (zh) * | 2012-03-15 | 2014-11-26 | 菲尼克斯电气公司 | 用于在自动化设备中控制安全关键过程的控制装置和用于使控制装置参数化的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200033832A1 (en) | 2020-01-30 |
| CN110780590B (zh) | 2023-06-30 |
| US11022954B2 (en) | 2021-06-01 |
| DE102018118243A1 (de) | 2020-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110780590B (zh) | 用于为机器的多通道控制提供安全控制参数的技术 | |
| US20180203437A1 (en) | Containerized communications gateway | |
| CN111200535A (zh) | 设备的模拟系统和方法 | |
| RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
| CN104850093B (zh) | 用于监控自动化网络中的安全性的方法以及自动化网络 | |
| CN103336473A (zh) | 可移动安全模块及相关方法 | |
| US8543370B2 (en) | Multiple PLC simulation system | |
| CN106054822B (zh) | 规划和工程设计方法,软件工具和模拟工具 | |
| CN106020135B (zh) | 过程控制系统 | |
| CN104901874A (zh) | 互连不同域的高保障安全网关 | |
| US20100152954A1 (en) | Method and device for automating procedures for verifying equipment in an aircraft | |
| CN106227158B (zh) | 用于工业控制基础设施的快速配置安防系统 | |
| US9703277B2 (en) | Method and apparatus to track changes in an industrial controller | |
| CN106464521B (zh) | 用于确定性地自动配置设备的方法与系统 | |
| US10303451B2 (en) | System, method and device for automated installation and operating environment configuration of a computer system | |
| CN111203869B (zh) | 一种机器人系统维护方法、装置、机器人及可读存储介质 | |
| CN104181927A (zh) | 一种飞行控制律管理方法及装置 | |
| CN111131324A (zh) | 业务系统的登陆方法及装置、存储介质、电子装置 | |
| US20190243327A1 (en) | I/O Expansion for Safety Controller | |
| JP5753508B2 (ja) | プログラム検証システムおよびその検証方法 | |
| US11251986B2 (en) | Automatically configuring functional units of an automation system | |
| US11144026B2 (en) | Plant-monitoring autonomous control system | |
| US20230281076A1 (en) | Data processing procedure for safety instrumentation and control (i&c) systems, i&c system platform, and design procedure for i&c system computing facilities | |
| CN110196578A (zh) | 用于自动化系统的现场设备 | |
| CN116263866B (zh) | 自动化烧录方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |