CN110799912A - 具有主导-从属-功能性的安全关键和非安全关键的过程控制系统 - Google Patents

具有主导-从属-功能性的安全关键和非安全关键的过程控制系统 Download PDF

Info

Publication number
CN110799912A
CN110799912A CN201880030769.4A CN201880030769A CN110799912A CN 110799912 A CN110799912 A CN 110799912A CN 201880030769 A CN201880030769 A CN 201880030769A CN 110799912 A CN110799912 A CN 110799912A
Authority
CN
China
Prior art keywords
safety
control unit
control system
critical
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880030769.4A
Other languages
English (en)
Other versions
CN110799912B (zh
Inventor
Y.韦里哈
B.韦伯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB AG Germany
Original Assignee
ABB AG Germany
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB AG Germany filed Critical ABB AG Germany
Publication of CN110799912A publication Critical patent/CN110799912A/zh
Application granted granted Critical
Publication of CN110799912B publication Critical patent/CN110799912B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/40Bus structure
    • G06F13/4004Coupling between buses
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/38Concurrent instruction execution, e.g. pipeline or look ahead
    • G06F9/3877Concurrent instruction execution, e.g. pipeline or look ahead using a slave processor, e.g. coprocessor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24182Redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33156Communication between two processors over shared, dualport ram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/38Concurrent instruction execution, e.g. pipeline or look ahead
    • G06F9/3877Concurrent instruction execution, e.g. pipeline or look ahead using a slave processor, e.g. coprocessor
    • G06F2009/3883Two-engine architectures, i.e. stand-alone processor acting as a slave processor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

提供用于控制安全关键和非安全关键的过程和/或设备组件的控制系统(100、101)。它包括至少一个控制单元(1),该至少一个控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件;至少一个安全控制单元(2),该至少一个安全控制单元(2)用于控制安全关键的过程和/或安全关键的设备组件;至少一个输入/输出单元(11)、(21),所述至少一个输入/输出单元(11)、(21)经由内部输入/输出总线(B2)与第一控制单元(1)连接;其中,控制系统(100、101)被设计在经由现场总线(FB)连接的具有其他装置的连接器中充当通信主导装置或通信从属装置或者充当两者,并且为此包括:主导通信耦合器(5)和从属通信耦合器(6)。

Description

具有主导-从属-功能性的安全关键和非安全关键的过程控制 系统
技术领域
本发明涉及控制系统,优选地涉及模块化构建的控制系统,所述控制系统根据权利要求1设置用于控制安全关键和非安全关键的过程和/或设备组件。特别地,本发明应用于过程自动化或机器控制中。
背景技术
对于用于控制技术过程或技术设备的自动化系统通常要求,将特殊的安全关键的过程或者设备组件与非安全关键的组件分开控制。
在DE 10 2005 009 795 A1中描述了在安全关键的应用中针对机器控制的微处理器系统,所述微处理器系统包括两个区域。第一区域设置用于非安全关键或非面向安全的功能,并且包括了主处理器、程序和数据存储器、输入/输出单元以及用于将上述组件彼此连接的总线。第二区域设置用于安全关键的或面向安全的功能,并且包括具有自身程序和数据存储器的安全处理器,该安全处理器以同样方式连接到总线。
借助于安全的传输链路(Übertragungsstrecke),程序和数据将被加载到安全处理器的数据存储器中,该数据存储器的功能基于,其与其他面向安全的组件(例如面向安全的输入/输出单元)配合,在紧急情况时使设备或过程进入“安全”状态。
在DE 103 53 950 A1中描述了用于控制具有现场总线的安全关键的过程的另一个控制系统,用于经由现场总线控制通信的总线主导装置(Busmaster)以及用于与安全关键的过程链接的信号单元。总线主导装置和信号单元经由现场总线相互连接。信号单元与总线主导装置的通信经由现场总线提供。此外,设置用于控制安全关键的过程的第一控制单元,其中信号单元和第一控制单元具有用于故障安全通信的安全相关装置(sicherheitsbezogene Einrichtung),以便控制安全关键的过程。第一控制单元可以是不依赖现场总线而连接到总线主导装置。
上述的面向安全的控制系统并非设置用于例如在DE 10 2004 056 363 A1中所述的那样使用的模块化构建的控制系统,或者只能利用额外花费才可集成,因为例如通信模块、接口、电压供应和监测功能要符合规定的安全标准。为此必须更换这些组件并且配备新软件,从而导致大量成本。
EP 2504739 A1示出模块化构建的用于控制安全关键和非安全关键的过程和/或设备组件的自动化系统。在此,模块化构建的、原则上非安全的控制系统额外装备有面向安全的控制器,其中控制系统被设计以用于充当通信主导装置(Kommunikationsmaster)。
现有技术存在用于改进的空间。因此存在对本发明的需求。
提供开头所述类型的具有在权利要求1中说明的特征的控制系统。在其他权利要求和描述中说明了根据本发明的装置的有利的设计方案和改进方案。
发明内容
根据第一实施例,用于控制安全关键和非安全关键的过程和/或设备组件的(优选地是模块化构建的)控制系统包括:至少一个第一控制单元,该至少一个第一控制单元设置用于控制非安全关键的过程和/或非安全关键的设备组件;以及至少一个输入/输出单元,该输入/输出单元经由内部输入/输出总线与第一控制单元连接;和至少一个通信耦合器,该至少一个通信耦合器经由内部耦合器总线与第一控制单元连接;和/或经由现场总线与其他分散的单元(例如输入/输出单元和/或远程站(Remote-Station))连接。
在此,设置至少一个第二控制单元(在下文中也称为安全控制单元或安全控制器)用于控制(一个或多个)安全关键的过程和/或安全关键的设备组件。
控制系统被设计以便在经由现场总线连接的具有其他装置的连接器(Verbund)中充当通信主导装置或者充当通信从属装置(Kommunikations-Slave)或者充当两者,并且为此包括主导通信耦合器和从属通信耦合器,并且优选地是可模块化配置的,安全控制单元至少具有相应的具有主导功能性的子单元和具有从属功能性的子单元。
优选地,安全控制单元具有用于提供面向安全的功能的至少两个处理单元(优选地作为微处理器实施)和用于经由内部耦合器总线进行数据传输的第一存储器(优选地作为双端口RAM实施)。安全控制单元中的双端口RAM这样实施,使得在其两个访问侧上同时读取和/或写入访问是可能的,从而对于两个否则分开系统(ansonstes getrenntes System)的同时访问是可能的,所述两个否则分开系统利用共同的数据工作,而所述否则分开系统无需在访问速度上相互限制。
控制系统装配有主导-从属-功能性。为此控制系统不仅具有相应的主导通信耦合器功能性而且具有从属通信耦合器功能性。在此,这两个功能性还可以在通信耦合器中组合,可以同时或准同时不仅充当主导通信耦合器而且充当从属通信耦合器。因此,可以将其作为不仅充当主导通信耦合器而且充当从属通信耦合器的模块而设置。
因此,控制系统可以与其他控制系统经由现场总线连接到具有其他控制系统和/或其他现场总线装置的复杂连接器。特别地,控制系统可以根据实施例“向上”充当从属装置,并且可选的同样根据实施例,该控制系统接收来自充当主导装置的另一个控制系统的命令。该向上充当从属装置的控制系统同时可以再次“向下”充当主导控制系统,并且向充当从属装置的其他控制系统发送命令。同样地,其他现场总线装置可以充当从属装置并且从在此相应地充当主导装置的上述控制系统中的每个控制系统接收命令。显然,以这种方式,根据实施例可以将具有一个或多个控制系统的连接器构建成模块化且高度灵活的,其中,每个控制系统既可以充当主导装置或者又可以充当从属装置或者同时充当两个角色。在此,在实施例中,主导装置或从属装置的角色可以取决于上下文来确定,即取决于相应的经由现场总线连接的通信伙伴的功能和/或角色,它应是另一个控制系统、任意的现场总线装置或诸如此类。
当确定根据实施例的控制系统与根据实施例的其他控制系统、或者与连接到现场总线的其他控制装置、或者与根据本发明的其他现场总线装置通过控制系统的(一个或多个)主导/从属通信耦合器的配置相互作用时,主导/从属特性通常还在其他模块或者控制系统的部分中根据实施例实现。特别地,第二控制单元、安全控制单元可以包括相应的一个或多个主导安全子单元和/或从属安全子单元。同样地,第一控制单元可以同样地分别包括一个或多个主导和/或从属子单元,该第一控制单元设置成用于控制(一个或多个)非安全关键的过程和/或非安全关键的设备组件。
根据实施例,安全控制单元可选地经由双端口RAM、经由内部耦合器总线,借助于或者经由非安全关键的第一控制单元直接与其他控制系统的其他通信耦合器进行通信,所述其他控制系统可选地同样根据实施例实施。在此,安全控制单元根据上述实施例在到其他系统的每个连接中可以充当主导装置或从属装置,其中,分别连接的其他控制系统分别对此共轭地起作用或者被设计。
具有用于控制非安全关键的应用的第一控制单元和用于控制安全关键的应用的第二控制单元(安全控制单元)以及上述的主导/从属功能性的这种模块化构建的控制系统可以灵活地在不同功能中使用,例如作为较大型自动化系统的控制系统与根据实施例的其他控制系统结合、例如作为这种分散的较大型自动化系统中的分散的处理设备、或者例如作为与本地可耦合的输入/输出装置结合的独立自动化装置、或者例如作为中央自动化设备。
根据实施例的控制系统的另一个优点是基于减少用于安全关键和非安全关键的功能的相应的控制单元的通信的接口。通过使用用于控制(一个或多个)安全关键的过程或安全关键的设备组件的安全控制单元并且与此相关的分离第一、非面向安全的控制单元和安全控制单元之间的功能,在安全控制单元中现有通信接口重新使用非面向安全控制单元,这显著地简化安全控制单元的设计。在此,经应用的双端口RAM供预定义的接口使用。
在此,在实施例中,非面向安全控制单元接受任务,将面向安全的电报从控制系统的安全控制单元经由内部耦合器总线以及内部输入/输出总线,或者在系统设置期间作为主导通信耦合器和/或作为从属通信耦合器(两者均用于现场总线或在现场总线上)而实施的通信耦合器,在应用所谓的“黑信道通信原理”的情况下传递到面向安全的输入/输出单元。黑信道通信原理例如通过“PROFIsafe - Profile for Safety Technology onPROFIBUS DP and PROFINET IO Profile part, related to IEC 61784-3-3Specification for PROFIBUS and PROFINET. Version 2. 4, 2007年3月, Order No:3.192b”而被得知。
此外,现场总线主导通信耦合器被设置用于,将面向安全的电报在使用上述“黑信道通信原理”的情况下从分散的面向安全的输入/输出模块传递和传递到分散的面向安全的输入/输出模块和/或传递到远程站,或者作为现场总线从属通信耦合器接收。为此,将这些电报经由一个或多个所谓的现场总线从属装置引导到面向安全的输入/输出单元。现场总线从属装置为此可以具有直接的非面向安全的输入/输出通道。
在安全控制单元中实施所谓的安全程序逻辑。在用于非安全关键的应用的控制器中与其分开地实施非面向安全的程序逻辑。在此,借助于预定义的接口经由双端口RAM和耦合器总线,在安全控制单元和非面向安全的第一控制单元之间进行用于安全关键的应用的数据的(可能相互的)数据交换,更确切地说,这与这是否发生在主导装置运行或在从属装置运行中无关。
在此,在实施例中,安全控制单元的两个处理器中的仅一个处理器经由双端口RAM直接与内部耦合器总线连接。安全控制器的处理器这样实施,使得它们相互监测和同步。监测和同步机构例如可以根据“PROFIsafe- Profile for Safety Technology on PROFIBUSDP and PROFINEt IO Profile part, related to Iec 61784-3-3 Specification forPRoFIBUS and PROFINET. Version 2.4, 2007年3月, Order No: 3. 192b”或类似地实施。
安全控制单元中还可以设置不同于上述的1oo2(2中的1)架构(该内部安全架构由两个处理器组成)的内部安全架构,例如loo3架构等。在所描述的loo2架构中,直接访问双端口RAM的第一处理器不能确定循环冗余校验(CRC,用于确定数据的校验值的方法,以便能够识别在传输或存储期间的错误),所述循环冗余校验对于经由双端口RAM的接口生成有效的电报而言是必需的。该CRC确定可以仅由冗余处理器执行,并且被通知给第一处理器。这确保两个处理器对有效电报一起作用。这是必要的,以便在安全控制单元的两个处理器中的一个故障或有错误的操作模式(Funktionsweise)期间保证系统的安全性。
在此,将非面向安全的第一控制单元以及分别在主导和/或从属子单元中的安全控制单元是通常但不是必须地经由程序逻辑来实现。
附图说明
根据在以下附图中示出的实施例应详细阐述和描述本发明以及本发明的有利的设计方案和改进方案。
其中:
图1示出了根据本发明的具有主导和/或从属功能性的控制系统的示例性实施方式,该控制系统被设置用于经由现场总线来控制面向安全的和非面向安全的过程,该控制系统具有另外的经驱动的单元;
图2示出了根据本发明的控制系统的详细实施方式;
图3示出了具有loo2系统架构的第二控制单元的实施方式;
图4示出了如图1所示的控制系统,该控制系统作为主导装置驱动另一个根据本发明的控制器以及分别经由现场总线驱动作为从属装置的另一个单元。
具体实施方式
图1示出了优选地模块化构建的具有第一控制单元1的控制或自动化系统100、101,该第一控制单元1被设置用于控制非安全关键的过程和/或非安全关键的设备组件。第一控制单元1具有至少一个主导子单元la和/或至少一个从属子单元lb,它们通常在控制单元1内以程序逻辑方式实现。中央输入/输出单元11、21的连接到其上的模块经由内部输入/输出总线(在图1中未示出)与第一控制单元1连接。为了将控制单元1连接到现场总线FB上,使用至少一个通信耦合器5、6,包括至少一个主导通信耦合器5和/或至少一个从属通信耦合器6,所述至少一个主导通信耦合器5和/或至少一个从属通信耦合器6经由现场总线FB来接受与多个分散的现场总线从属装置7、8和连接到这些现场总线从属装置上的输入/输出单元71、72、81、82的通信。输入/输出单元71、81表示非安全输入/输出单元,并且输入/输出单元72、82表示安全输入/输出单元。在此,根据术语表(Nomenklatur)主导通信耦合器5可以控制通信,或者从属通信耦合器6可以由另一控制系统或装置的控制单元控制。在图1中,仅示出了主动控制主导通信耦合器5的连接,在此,从属通信耦合器6的连接是可选的,这将在下面参照图4更详细地进行讨论。
通常,根据实施例,控制系统100、101为此被设计成在经由现场总线FB连接的具有其他装置的连接器充当通信主导装置或通信从属装置,或者同时或几乎同时充当两者。为此,它包括主导通信耦合器(5)和/或从属通信耦合器(6),尤其是还包括这两者。在实施例中,连接器中的其他/另外装置中的至少一个装置同样是根据实施例的这种控制系统100、101,这种控制系统100、101在此通常充当从属装置,并且第一系统充当主导装置。
在图1的实施例中,设置至少一个第二控制单元2,也称作安全控制单元2。这用于控制安全关键的应用和/或安全关键的设备组件。安全控制单元2包括至少一个主导安全子单元2a和/或至少一个从属安全子单元2b,它们通常以程序逻辑方式实现。安全控制单元2经由双端口RAM和内部耦合器总线B1借助于或经由非安全关键的控制单元1直接与通信耦合器5、6中的至少一个进行通信。
设计用于控制非安全关键的过程和/或非安全关键的设备组件的控制单元1还分别包括具有主导功能性la的子单元和具有从属功能性lb的子单元。
输入和输出单元通常不仅包括安全单元21、72、82而且包括非安全单元11、71、81,其中非安全单元11、71、81可以由第一控制单元1在没有安全功能的情况下控制,并且安全单元21、72、81可以由安全控制单元2在具有安全功能的情况下控制。
安全和非安全控制单元1、2经由内部耦合器总线B1和集成在第二控制单元2中的双端口RAM DPR1彼此进行通信,以及经由内部耦合器总线Bl和借助于主导或从属通信耦合器5、6与任意的、连接到现场总线FB上的其他的、优选分散的单元进行通信。
不仅中央输入/输出单元11、21的直接与用于中央单元CL的模块连接的模块,而且分散的单元7、8、71、72、81、82的模块可以如已经提到的那样根据其功能不仅实施为面向安全的装置而且实施为非面向安全的装置。它们通常被配置成从属装置。
中央单元CL(也与输入/输出单元11、21和通信耦合器5、6一样)可以借助于模块载体布置在不同的可延伸的基板(Grundplatte)上,其中输入/输出单元11、21可直接耦合到中央单元CL和通信耦合器5、6。此外,基板具有至少一个用于耦合器的插槽(Steckplatz),该耦合器用于现场总线端口(Feldbusanschluss),该现场总线端口用于到分散的单元7、8和/或站的标准现场总线连接。
在特别的设计方案中,基板卡固到标准安装轨(Norm-Hutschiene)上,其中输入/输出单元11、21中的至少一个同样地可卡固到安装轨上并且与相应的基板可以电方式和以机械方式插接在一起。
此外,已经证明有利的是,中央单元CL、输入/输出单元11、21和主导/从属通信耦合器5、6的模块都可以经由插接连接以电方式无线地连接或者连接。优选地,中央单元CL、输入/输出单元11、21和主导/从属通信耦合器5、6分别借助于插接和/或卡锁装置(Rastmitteln)可拆卸地相互连接或连接。
图2示出根据实施例的模块化构建的控制系统100的详细实施方式。该系统通常包括具有集成的以太网和/或串行接口IF1的终端块(未示出)和第一控制单元1,该第一控制单元经由内部输入/输出耦合器总线Bl与被实施为安全控制单元2的第二控制单元以及主导通信耦合器5和/或从属通信耦合器6进行通信,在实施例中,这些通信耦合器中仅一个通信耦合器(主导装置或从属装置)、或者两个通信耦合器(主导装置和从属装置)可以实现,后者还可以在一个共同的模块中实现。第一控制单元1的模块配备有电压供应单元3,该电压供应单元3经由连接线路SB与第一和第二控制单元1、2以及通信耦合器5、6以电方式连接。其他布置在基板上的装置(例如中央输入/输出单元11、21)还可以电方式连接到连接线路SB。
除了时钟发生器14和存储器13之外,第一控制单元1还具有第一微处理器12,该第一微处理器12经由内部输入/输出耦合器总线Bl与至少一个主导通信耦合器5和/或从属通信耦合器6经由集成的另外的双端口RAM DPR2的这种包括主导通信耦合器模块进行通信。到中央输入/输出单元11、21(在图2中未示出)的连接经由内部输入/输出总线B2实现。
对于控制系统的应用,还对于安全关键的应用,在基板上设置有安全控制单元2,其具有至少两个另外的实施为安全处理器的处理单元22a、22b,所述处理单元22a、22b具有所分配的存储器23a、23b和时钟发生器24a、24b。处理器22a、22b经由另一接口IF2相互同步。处理器22a、22b的构建及其工作原理从相关的现有技术已知。
在所描述的loo2架构中,直接访问双端口RAM DPR1的第一处理器22a不能确定经由双端口RAM DPR1的接口用于生成有效的电报所需的循环冗余校验(CRC)。该CRC确定可以仅由冗余处理器22b执行,并且被传送到第一处理器22a。以此要确保两个处理器22a、22b对有效电报一起作用。这是必要的,以便在安全控制单元2的两个处理器22a、22b中的一个故障或有错误功能的情况下保证系统的安全性。
经由集成另外的双端口RAM DPR2的通信耦合器模块,通常在使用前述"黑信道通信原理"的情况下,将安全控制单元2的面向安全的电报从分散的输入/输出单元71、72、81、82传递并且传递到分散的输入/输出单元71、72、81、82和/或传递到现场总线FB上的远程和另外的装置或站。为此,电报经由现场总线FB和(典型的)现场总线从属装置7、8被引导到输入/输出单元71、72、81、82。
安全控制单元2经由其双端口RAM DPR1并且经由内部耦合器总线B1通过非安全关键的第一控制单元1与主导通信耦合器5或从属通信耦合器6经由集成的双端口RAM DPR2进行通信。通信通常在使用上述黑信道通信原理的情况下进行,但也不是必须的。
在安全控制单元2的其他处理器22a、22b中实施安全程序逻辑。在第一控制单元1的微处理器12中与其分开地实施非面向安全的程序逻辑。用于非安全关键的应用的在安全控制单元2和第一控制单元1之间的数据的数据交换借助于预定义的接口经由布置在安全控制单元中的第一双端口RAM DPR1进行。如上所述的那样,根据控制系统100的配置,上述处理分别地在主导安全子单元2a与主导子单元la之间、或者从属安全子单元2b与从属子单元lb之间进行。第一控制单元1和安全控制单元2的这些相应的子单元在图2中出于说明的原因而未示出,因为这些典型的、但不一定仅以程序逻辑方式实现,在其他情况下也可以以硬件方式实现。
图3示出了作为loo2系统架构的安全控制单元2的实施方式,所述安全控制单元2具有微处理器22a、22b以及具有相应的固有的与处理器22a、22b一起作用的零电压安全存储器FLASH和易失性存储器SDRAM,所述存储器FLASH优选地设置为用于用户程序的存储设备,所述易失性存储器SDRAM优选地设置为数据存储器。微处理器22a、22b分别与一个自身时钟发生器24a、24b共同工作。此外,通常设置用于显示状态和故障提示的显示装置DP,该显示装置DP优选地仅与第一处理器22a直接连接。安全控制单元2的主导安全子单元2a和从属安全子单元2b在该示例中以程序逻辑方式实施并且因此没有明确示出。
安全控制单元2的两个处理器22a、22B中的仅第一处理器22a经由第一双端口RAMDPR1直接与内部耦合器总线B1连接(参见图2)。
在有利的设计方案中,安全控制单元2的处理器22a、22b这样实施,使得它们相互监测。为此,处理器22a、22b经由另外的接口IF2相互同步。监测和同步机制可以例如根据“PROFIsafe-Profile for Safety Technology on PROFIBUS DP and PROFINET IOProfile part,related to IEC 61784-3-3 Specification for PROFIBUS andPROFINET.Version 2.4,2007年3月,Order No:3.192b”或类似地实施。
不仅用于两个处理器22a、22b、存储器FLASH、SDRAM而且用于分别与处理器22a、22b连接的电压供应监测和诊断单元9、15的电压供应SB是经由连接线路SB提供的。
通常在实施例中为了位于安全控制单元2中的处理器22a、22b分别设置自身单独电压供应监测和诊断单元9、15。
图4示出了如图1所示的控制系统100,该控制系统100借助主导通信耦合器5经由现场总线FB与根据实施例的另一控制系统101连接。该控制系统100经由其从属通信耦合器6连接到现场总线FB。另外,与图1所示类似,控制系统100控制分散的现场总线从属装置8和与该控制系统连接的输入/输出单元81、82。
在控制系统100、101中,第一控制单元1(非安全控制)接受任务,该任务是将安全电报从具有安全通信主导装置2a和安全通信从属装置2b的安全控制单元2导引至主导通信耦合器5或从属通信耦合器6。为此该第一控制单元1使用内部耦合器总线B1。安全控制器2实施安全程序逻辑,并且包含安全通信主导功能性和安全通信从属功能性。非安全控制1单独执行非安全程序逻辑。在安全与不安全控制之间的程序数据交换经由预定义的接口通过双端口RAM支持。安全控制中的微处理器中的仅一个微处理器具有对双端口RAM的访问。
为了实现在一个或多个控制系统100、101之间的安全相关的和非安全性相关的数据交换,每个控制系统100、101必须具有关于安全通信主导功能性和安全通信从属功能性。因此,在图4的示例中,每个控制系统100、101具有主导通信耦合器5和从属通信耦合器6。以这种方式,各种控制系统100、101可以同时包括安全通信主导功能性和安全通信从属功能性,并且当它们正确地配置和连接时,不仅可以交换安全数据而且可以交换非安全数据。
以下应通过两个实施例更详细地说明。
在第一示例中,数据传递从第一控制系统100中的非安全控制1到第一控制系统100中的通信主导耦合器5,然后经由现场总线到第二控制系统101的从属通信耦合器6,从那里通过第二控制系统101中的非安全控制1'到第二控制系统101的通信主导耦合器5',并且然后继续到远程通信从属装置8以及与其连接的具有非安全I/O单元81和安全I/O单元82的输入/输出单元81、82。
在第二个示例中,实现了安全通信。这里,将数据从第一控制系统100中的具有安全通信主导装置2a的安全控制2传递到第一控制系统100中的非安全控制1。从那里数据经由现场总线FB继续行进到第二控制系统101的从属装置通信耦合器6',并且然后经由非安全控制1'到具有安全通信从属功能性2b'的安全控制2',并且从那里进一步至作为安全控制器2'的一部分的安全通信主导装置2a',并且然后返回到非安全控制1'并且从那里进一步至第二控制系统101的连接的通信主导耦合器5',并且然后进一步到具有远程安全I/O单元82的远程通信从属装置8,该远程通信从属装置8支持安全从属通信。
安全控制2、2'不仅可以包括安全通信主导功能性2a、2a',还可以包括通信从属功能性2b、2b'。因此,取决于给定控制系统的要求,可以适当地选择根据本发明的控制系统100、101是否例如仅具有安全通信主导功能性、仅具有安全通信从属功能性或者具有这两者。

Claims (10)

1.一种用于控制安全关键和非安全关键的过程和/或设备组件的控制系统(100、101),包括:
- 至少一个控制单元(1),所述至少一个控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件,
- 至少一个安全控制单元(2),所述至少一个安全控制单元(2)用于控制安全关键的过程和/或安全关键的设备组件,
- 至少一个输入/输出单元(11)、(21),所述至少一个输入/输出单元(11)、(21)经由内部输入/输出总线(B2)与第一控制单元(1)连接,
其中,所述控制系统(100、101)被设计成在经由现场总线(FB)连接的具有其他装置的连接器中充当通信主导装置或者充当通信从属装置或者充当两者,并且为此包括主导通信耦合器(5)和从属通信耦合器(6),
并且其中,所述控制系统优选地是可模块化配置的,
并且其中,至少所述安全控制单元(2)具有相应的具有主导功能性的子单元(2a)和具有从属功能性的子单元(2b)。
2.根据权利要求1所述的控制系统(100、101),其中,所述控制单元(1)还具有相应的具有主导功能性的子单元(1a)和具有从属功能性的子单元(1b),所述控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件。
3.根据权利要求1或2所述的控制系统,其中,相应的子单元(2a、2b、1a、1b)以程序逻辑方式实现,所述程序逻辑在非易失性存储器中被提供。
4.根据前述权利要求中的任一项所述的控制系统,其中,所述安全控制单元(2)经由内部耦合器总线(B1)与所述控制单元(1)进行通信,并且其中,所述控制单元(1)被设计成将数据从所述安全控制单元(2)经由所述内部耦合器总线(B1)传送到所述通信耦合器(5)。
5.根据前述权利要求中的任一项所述的控制系统,作为不仅包括面向安全的单元(21)、(72)、(82)还包括非面向安全的输入/输出单元(11)、(71)、(81)的输入/输出单元,其中,所述非面向安全的输入/输出单元(11)、(71)、(81)受所述第一控制单元(1)控制,并且所述面向安全的输入/输出单元(21)、(71)、(82)受所述安全控制单元(2)控制。
6.根据权利要求5所述的控制系统,其中,设置所述主导通信耦合器(5),以用于将面向安全的电报从分散的输入/输出单元(71)、(72)、(81)、(82)传递并且传递到所述分散的输入/输出单元(71)、(72)、(81)、(82),和/或在使用黑信道通信原理的情况下传递到远程站。
7.根据权利要求6所述的控制系统,其中,将所述面向安全的电报经由现场总线从属装置(7)、(8)引导到所述分散的输入/输出单元(71)、(72)、(81)、(82)。
8.根据前述权利要求中的任一项所述的控制系统,其中:
- 所述安全控制单元(2)具有用于提供面向安全功能的至少两个处理器(22a)、(22b)和第一双端口RAM(DPR1),其中所述两个处理器(22a)、(22b)中的仅一个处理器与所述第一双端口RAM(DPR1)连接,以及
- 所述第二控制单元(2)经由所述第一双端口RAM(DPR1)和所述内部耦合器总线(B1)与所述第一控制单元(1)进行通信,并且所述第一控制单元(1)将所述数据从所述第二控制单元(2)经由所述内部耦合器总线(B1)和集成在所述通信耦合器(5)中的另一个双端口RAM(DPR2),传递到所述通信耦合器(5),
并且其中,所述双端口RAM(DPR1)、(DPR2)优选地是具有预定义的标准接口。
9.根据前述权利要求中的任一项所述的控制系统,其特征在于,所述安全控制单元(2)的所述处理器(22a)、(22b)这样实施,使得它们相互监测和同步。
10.一种根据前述权利要求中的一项所述的控制系统(100、101)的应用,用作为:
- 控制系统,所述控制系统在自动化系统中具有主导功能性,所述自动化系统具有至少一个另一个控制系统,所述至少一个另一个控制系统具有根据前述权利要求中的任一项所述的从属功能性,或者
- 作为如上所述的自动化系统中的分散的处理设备。
CN201880030769.4A 2017-05-09 2018-03-15 安全关键和非安全关键的过程的控制系统 Active CN110799912B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102017109886.0 2017-05-09
DE102017109886.0A DE102017109886A1 (de) 2017-05-09 2017-05-09 Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
PCT/EP2018/056488 WO2018206183A1 (de) 2017-05-09 2018-03-15 Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität

Publications (2)

Publication Number Publication Date
CN110799912A true CN110799912A (zh) 2020-02-14
CN110799912B CN110799912B (zh) 2023-04-28

Family

ID=61683796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880030769.4A Active CN110799912B (zh) 2017-05-09 2018-03-15 安全关键和非安全关键的过程的控制系统

Country Status (5)

Country Link
US (1) US11487265B2 (zh)
EP (1) EP3622357B1 (zh)
CN (1) CN110799912B (zh)
DE (1) DE102017109886A1 (zh)
WO (1) WO2018206183A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024794A (zh) * 2020-07-15 2022-02-08 辽宁邮电规划设计院有限公司 电力总线通信的安全与非安全数据传输、隔离方法与装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017109886A1 (de) 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
DE102018120347A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
EP3644145A1 (en) * 2018-10-25 2020-04-29 ABB Schweiz AG Control system for controlling safety-critical and non-safety-critical processes
DE102019125867B4 (de) * 2019-09-25 2022-05-05 Keba Industrial Automation Germany Gmbh Programmierbarer elektronischer Leistungssteller
DE102021106820A1 (de) 2021-03-19 2022-09-22 Krohne S.A.S. System mit einem Feldgerät und einem Steuergerät und Verfahren zum Betreiben eines solchen Systems
DE102022120198A1 (de) * 2022-08-10 2024-02-15 Pilz Gmbh & Co. Kg Modulare Steuerungseinrichtung

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19928517A1 (de) * 1999-06-22 2001-01-11 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
US20020093951A1 (en) * 1999-08-20 2002-07-18 Roland Rupp Apparatus for controlling safety-critical processes
DE102009054157B3 (de) * 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
EP2767877A1 (de) * 2013-02-13 2014-08-20 Phoenix Contact GmbH & Co. KG Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
EP2876510A1 (de) * 2013-11-20 2015-05-27 Wieland Electric GmbH Sicherheitssteuerung zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchetrs

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003001749A1 (fr) * 2001-06-22 2003-01-03 Omron Corporation Systeme de reseau securise et esclave securise
DE10325263B4 (de) * 2003-06-03 2013-09-19 Phoenix Contact Gmbh & Co. Kg Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
DE10353950C5 (de) * 2003-11-18 2013-10-24 Phoenix Contact Gmbh & Co. Kg Steuerungssystem
DE102004034862A1 (de) * 2004-07-19 2006-03-16 Siemens Ag Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe
DE102004056363B4 (de) 2004-11-22 2018-10-04 Abb Ag Flexibles erweiterbares Automatisierungsgerät
DE102005009795A1 (de) 2005-03-03 2006-09-14 Wago Verwaltungsgesellschaft Mbh Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
DE102009042368B4 (de) 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102009054155A1 (de) * 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
DE102017109886A1 (de) 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19928517A1 (de) * 1999-06-22 2001-01-11 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
US20020093951A1 (en) * 1999-08-20 2002-07-18 Roland Rupp Apparatus for controlling safety-critical processes
DE102009054157B3 (de) * 2009-11-23 2011-04-28 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
CN102725700A (zh) * 2009-11-23 2012-10-10 Abb股份有限公司 用于控制多个安全关键及非安全关键进程的控制系统
EP2767877A1 (de) * 2013-02-13 2014-08-20 Phoenix Contact GmbH & Co. KG Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
EP2876510A1 (de) * 2013-11-20 2015-05-27 Wieland Electric GmbH Sicherheitssteuerung zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchetrs

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024794A (zh) * 2020-07-15 2022-02-08 辽宁邮电规划设计院有限公司 电力总线通信的安全与非安全数据传输、隔离方法与装置

Also Published As

Publication number Publication date
EP3622357B1 (de) 2021-10-13
US20200073355A1 (en) 2020-03-05
DE102017109886A1 (de) 2018-11-15
EP3622357A1 (de) 2020-03-18
CN110799912B (zh) 2023-04-28
WO2018206183A1 (de) 2018-11-15
US11487265B2 (en) 2022-11-01

Similar Documents

Publication Publication Date Title
CN110799912B (zh) 安全关键和非安全关键的过程的控制系统
US9244454B2 (en) Control system for controlling safety-critical and non-safety-critical processes
US9104190B2 (en) Safety module for an automation device
US7783814B2 (en) Safety module and automation system
JP4480311B2 (ja) プロセス制御システム
US7269465B2 (en) Control system for controlling safety-critical processes
US10089271B2 (en) Field bus system
US8762618B2 (en) Apparatus and methods to communicatively couple field devices to controllers in a process control system
US7430451B2 (en) Safety unit, controller system, connection method of controllers, control method of the controller system and monitor method of the controller system
JP2021119496A (ja) フィールドデバイスをプロセス制御システムのコントローラに通信的に連結する装置、コンピュータが読出し可能な媒体、及び装置
US11016463B2 (en) Control and data-transfer system, gateway module, I/O module, and method for process control
US10095594B2 (en) Methods and apparatus to implement communications via a remote terminal unit
US20130007319A1 (en) Method and system for implementing redundant network interface modules in a distributed i/o system
EP3629114B1 (en) High availability industrial automation system having primary and secondary industrial automation controllers and method of communicating information over the same
US8549136B2 (en) System for operating at least one non-safety-critical and at least one safety-critical process
CN110099402B (zh) 具有额外主控器的无线io链路通信网络和所述无线io链路通信网络的操作方法
CN110320829B (zh) 安全控制系统以及安全控制单元
RU2510932C2 (ru) Система автоматизации и способ управления системой автоматизации
US20180373213A1 (en) Fieldbus coupler and system method for configuring a failsafe module
KR20180123627A (ko) 자동화 시스템 및 작동 방법
KR20190013659A (ko) 로터리 엔코더와 모터 제어 장치 또는 평가 유닛 사이의 데이터 전송 방법
KR101648144B1 (ko) 프로그래머블 게이트웨이 제어 시스템 및 이를 이용한 프로그래머블 게이트웨이 제어방법
KR100724495B1 (ko) 피엘씨 이중화 시스템 및 운전 방법
CN205486081U (zh) 一种嵌入式CPU外部内存总线扩展Profinet总线装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant