CN116157752A - 用于控制设备或设施的控制系统 - Google Patents
用于控制设备或设施的控制系统 Download PDFInfo
- Publication number
- CN116157752A CN116157752A CN202180061166.2A CN202180061166A CN116157752A CN 116157752 A CN116157752 A CN 116157752A CN 202180061166 A CN202180061166 A CN 202180061166A CN 116157752 A CN116157752 A CN 116157752A
- Authority
- CN
- China
- Prior art keywords
- safety
- security
- oriented
- control
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/406—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
- G05B23/0291—Switching into safety or degraded mode, e.g. protection and supervision after failure
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1479—Generic software techniques for error detection or fault masking
- G06F11/1487—Generic software techniques for error detection or fault masking using N-version programming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/182—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/50—Machine tool, machine tool null till machine tool work handling
- G05B2219/50193—Safety in general
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Human Computer Interaction (AREA)
- Manufacturing & Machinery (AREA)
- Computer Security & Cryptography (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
Abstract
用于控制设备或设施的控制系统。本发明涉及一种用于控制设备或设施(400,420,430)的控制系统(100),其中,关于设备或设施(400,420,430)的控制设置有至少一个第一安全功能,并且其中,控制系统(100)包括第一安全导向的控制装置(200),控制装置设计和设置用于执行至少一个第一安全功能,其中,第一安全导向的控制装置(200)还设计和设置为第一安全导向的控制应用(200),第一安全导向的控制应用在云端(500)中实现,并且第一安全导向的控制应用(200)和设备或设施(400,420,430)经由第一安全导向的通信连接(210,220,230)通信地耦合连接。
Description
技术领域
本发明涉及一种用于控制设备或设施的控制系统,其中,关于设备或设施的控制设置有至少一个第一安全功能,并且其中,控制系统包括第一安全导向的控制装置,控制装置设计和设置用于执行至少一个第一安全功能。
背景技术
这种方法从现有技术中已知。因此,例如公开文献DE 10 2018 118 243A1描述了一种具有控制器的安全系统,该控制器经由云端、例如服务器或数据库与一个或多个空间分布的机器连接。在此,控制器能够是满足安全标准的安全控制装置。控制器例如经由被保护的数据连接传输要通过机器执行的命令、特别是安全相关的命令。命令能够存储在云端,并在那里提供给机器以调用。然后,机器能够从云端调用和实施命令。
现有技术的缺点是:在此使用的安全技术相对不灵活。
发明内容
因此,本发明的目的是:更灵活地设计安全导向的控制系统。
目的通过具有专利权利要求1的特征的控制装置来实现。
这种控制系统设计和设置用于控制设备或设施,
其中,关于设备或设施的控制器设置有至少一个第一安全功能。在此,控制系统包括第一安全导向的控制装置,第一安全导向的控制装置设计和设置用于实施至少一个第一安全功能。
在此,第一安全导向的控制装置设计和设置为第一安全导向的控制应用,第一安全导向的控制应用在云端实现,其中,第一安全导向的控制应用和设备或设施经由第一安全导向的通信连接通信地耦合连接。
这种控制系统例如能够实现将云端用作为用于分开的安全控制器的暂时的或永久的替代。在此,安全功能完全地在云端处理。第一安全导向的控制应用与设备或设施之间的安全通信(即例如借助PROFIsafe)是有利地或甚至是必需的,以便显现在到云端和来自云端的路径上的消息错误。
以该方式,例如,安全导向的控制系统能够更灵活地匹配于相应的情况。
在此,到云端的连接虽然是可行的,但不非常可靠,但是这不损害控制的安全性。因为每个安全系统都设计成,使得故障总是导致安全状态,例如通过由安全执行器做出的相应的反应。然而,相应的运行功能的可用性因此降低。
将安全导向的控制装置作为安全导向的控制应用转移到云端例如尤其在用作为用于处于设施中的安全控制的暂时替代的范畴中是有利的。
以该方式,本发明也能够实现更灵活的、安全导向的控制系统。
设备或设施例如能够相应地设计和设置为机器、设备、机器人、生产设施等,或者也能够包括这种部件作为组件。这种设备或设施例如能够包括一个或多个这种或相应的组件、驱动器、传感器、机器、设备、通信装置等。
此外,该设备或设施例如能够设计和设置为用于保护人或环境或周边的设备或设施,或者能够包括这种设备或设施。这种设备例如能够是或包括保护装置或警告装置,即例如光势垒、光栅、移动传感器等。此外,设备或设施还能够是相机、具有相应关闭和打开装置或机制的保护格栅、烟雾或火灾警报器、自动喷水灭火设施、紧急停止装置或类似的设备或设施,或包括这种设备或设施。
控制装置例如能够是所谓的可编程逻辑控制器(PLC),例如所谓的模块化的可编程逻辑控制器。控制装置例如也能够设计和设置为任何类型的计算机或计算机系统,其设计和设置用于控制设备或设施并且为此例如能够包括实时操作系统。控制装置例如也能够设计和设置为计算机、计算机系统或数据网络或云端,在其上实施或实现控制软件或控制软件应用程序,例如所谓的控制应用。
一般来说,关于机器环境、设施环境和/或生产环境中的安全性能够考虑系统安全的三个方面。
第一是“首要安全”,首要安全涉及例如直接由硬件引起的触电和烧伤的风险。
第二是“功能安全”,功能安全包括设备安全(所谓的“EUC”——见下文),设备安全与为了降低风险而采取的措施相关,进而与措施的符合规定的工作关联。
第三是间接安全,间接安全涉及系统的不符合规定的工作方式的间接后果,即例如通过信息系统(如医疗数据库)产生故障信息。
标准“IEC 61508”主要涉及所述方面中的第二方面,即功能安全。但是,那里使用的原则是普遍适用的。
在维护或控制机器和设施的安全范畴中,除了IEC 61508之外,还有三个行业特定标准值得一提。德国标准DIN 19250标题为“MSR保护装置的基本安全注意事项(Grundlegende Sicherheitsbetrachtungen für MSR-Schutzeinrichtungen)”是在国际标准初稿之前已经制定的,并且其内容在本文中使用。美国标准S84与IEC 61508的前身同时制定,并且其根据其原理来设计。此外,国际标准IEC 61511在IEC 61508之后制定,以便为加工行业实现真正的行业特定解释。
在本说明书的范畴中呈现的安全架构和概念能够基于标准IEC 61508、IEC61131-6、IS013849、IEC 62061、IEC 61511等和/或设计和设置为,使得安全架构和概念满足这些标准中的至少一个。标准限定由安全系统(例如,根据本说明书的相应的控制装置或用于这种控制装置的组件或模块)形成的所谓的安全功能。
相反地,标准61131-2包含对工业适用性的要求(EMV、环境影响等)。因此,该标准特别涉及安全导向的系统内的控制装置。
在本说明书的范畴中使用的术语“安全要求等级”来自功能安全领域,并且在根据IEC61508/IEC61511的国际标准中也被称为安全等级或安全完整性等级(safetyintegrity level,简称SIL)。其用于在安全功能的可靠性方面评估电气/电子/可编程的电子系统。然后,从所寻求的等级中得到必须遵守的安全导向的设计原则,以便能够将故障风险最小化。
下面是一些基于IEC 61508的第4部分列出的限定,并且在本说明书的范畴中使用。为限定选择的术语被认为对于本说明书的上下文最重要的。
-受控设备(EUC:Equipment under Control):用于制造活动、加工活动、运输活动、医疗或其他活动的装备、机器、装置或设施。
-EUC控制系统:响应于来自过程和/或由操作员的输入信号,并产生引起EUC以期望方式工作的输出信号的系统。这种EUC控制系统例如能够包括根据本说明书的一个或多个安全导向的控制装置或安全应用。
-可编程电子系统(PES)或电气/电子/可编程的电子系统(E/E/PE-System):分别用于基于一个或多个可编程电子设备控制、保护或监控的系统,电子设备包括系统的所有元件、例如供电装置、传感器或其他输入设备、通信连接和其他通信路径以及执行器和其他输出设备。这种E/E/PE系统的实例例如能够是例如根据本说明书描述的安全导向的控制装置或安全应用。
-安全:免于不可接受的风险。
-安全状态:机器或设施的状态,在该状态中不存在通过设备或设施引起的不可接受的风险。
-安全相关的系统或安全导向的系统:该系统
-实施所需要的安全功能,需要该安全功能以实现或维持EUC的安全状态;和
-旨在用于:单独或与其他安全相关的E/E/PE系统、其他安全相关的技术和/或用于降低风险的外部装置一起实现对于所需的安全功能的安全完整性。
-功能安全:与EUC和EUC控制系统相关的整体安全的一部分,该部分与安全相关的系统E/E/PE的、该技术的其他安全相关的系统的、用于降低风险的外部装置的符合规定的功能相关。
-安全功能:由安全相关的E/E/PE系统、另一安全相关的技术系统或外部风险减小装置要履行的功能,它们应当在特定的危险事件方面实现或维持EUC的安全状态。
-安全完整性:安全相关的系统在特定时间段内在所有指定条件下令人满意地执行所需安全功能的概率。
-软件安全完整性:安全相关的系统的安全完整性的一部分,并且涉及确保可编程电子系统的软件在所确定的时间内在所有所确定的条件下实现相应的安全功能的措施。
-硬件安全完整性:安全相关的系统的安全完整性的一部分,该部分涉及处于危险状态的随机的硬件故障。
-安全完整性等级(SIL):用于确定与安全相关的E/E/PE系统相关联的安全功能的安全完整性要求的离散级别(四个可行的级别之一),其中,SIL4表示最高程度的安全完整性并且SIL1表示最低程度的安全完整性。
-安全要求规范:包含安全导向的系统必须执行或满足的关于安全功能的所有要求的规范。
-对安全功能要求的规范:包含对安全功能的要求的规范,安全功能必须由安全相关的系统执行。[安全要求规范的一部分]。
-安全完整性要求的规范:包含对安全功能的安全完整性的要求的规范,该安全功能必须由安全相关的系统执行。这集成到安全要求的范中。
如上所述,安全功能也与本说明书相关地是由安全相关的E/E/PE系统、另一安全相关的技术系统或外部风险降低装置满足的功能,并且应当在特定的危险事件方面实现或维持EUC的安全状态。
与此相反,在安全技术中以及在本说明书中,用运行功能表示如下功能,该功能结合设备或设施的控制来使用,并且没有将安全功能的标准提供给该功能,并且该功能不必满足该标准。在该上下文中,运行功能也能够设计和设置为非安全导向的功能。
在功能安全的上下文中,以及在本说明书的上下文中,因此将必须满足安全导向标准(例如在本说明书和那里引用的标准的上下文中限定的安全导向标准)的功能称作为安全功能,而用于控制设备或设施的、不必遵守该标准的功能称为运行功能。
安全导向的控制装置能够设计和设置为,使得能够保证在安全导向的控制装置运行中不会形成危险状态,例如由于部件失效引起。安全导向的控制装置还能够设计和设置为,使得在安全导向的控制装置运行范畴中不能够通过设备或设施形成不可接受的风险。
例如,在安全导向的控制装置的上下文中,能够在软件和/或硬件安全完整性的范畴中实施以下机制:
-为了识别随机故障,在安全导向的控制装置中持续自动地执行自检:其中,例如检查中央构件、输入/输出卡、接口以及外围设备的可用性;
-能够存在硬件的冗余设计,以便能够识别硬件中的或控制程序运行中的故障;
-能够在控制程序的运行时设置所谓的“编码处理”,以便能够识别控制程序的流程中的故障;
-能够执行附加的测试和监控功能:电网电压的监控、中央单元关于标志可写性的测试、寻址测试等、输入通道测试、测试输出通道、经由内部总线的数据传输测试。
安全导向的控制装置例如能够设计和设置为,使得其经由安全相关的操作系统可用。例如,该操作系统能够满足安全标准,例如标准IEC61131-2。通过符合安全标准,能够保护安全导向的控制器例如免受干扰、反极性和/或过压影响。
例如,安全导向控制器能够具有两个子单元,两个子单元相互彼此同步,使得在输出输出值之前在程序运行的不同位置处能够将输出值相互比较。如果现在一个子单元的输出与另一子单元的输出不同,则阻止值的输出。响应于这种故障可行的是:重新启动程序流程,借助于诊断装置求出故障和/或中断处理或纠正故障。
特别地,安全导向的控制装置能够以符合标准IEC 61508、DIN 19520或IEC 61511之一的方式设计和设置。
安全导向的控制装置例如能够设计和设置为所谓的可编程逻辑控制器(PLC)。此外,安全导向的控制装置也能够设计和设置为所谓的模块化的可编程逻辑控制器(模块化PLC)。
此外,安全导向的控制装置能够设计和设置为所谓的EDGE设备,其中这种EDGE设备例如能够包括用于控制设备或设施的应用程序。例如,能够将这种应用程序设计和设置为具有可编程逻辑控制器功能的应用程序。例如,在此,EDGE设备能够与安全导向的设施的控制装置连接,或者也能够直接与要控制的设备或设施连接。此外,EDGE设备能够设计和设置为,使得其附加地还与数据网络或云端连接,或者设计和设置用于与相应的数据网络或相应的云端连接。
例如,安全导向的控制应用能够设计和设置为程序代码形式的安全导向的控制装置的实现方案或设计和设置为软件。在这种情况下,这种软件或这种程序代码能够设计和设置为,使得其在计算机上运行时产生安全导向的控制装置的功能。例如,安全导向的控制应用也能够设计和设置为用于安全导向的控制装置的模拟或模拟软件。
例如,第一安全导向的控制应用在云端的实现能够设计和设置为,使得第一安全导向的控制应用设计和设置为例如根据本说明书的软件应用程序,并且所述软件应用程序或所述软件应用程序的主管机关在云端安装或实施。
安全导向的控制程序能够设计和设置为,使得能够保证:在安全导向的控制程序运行时,在控制设备或设施的范畴中不会形成危险状态,例如由于组件失效引起的危险状态。安全导向的控制程序能够设计和设置为,使得在安全导向的控制程序运行中在设备或设施的控制范畴中不会通过设备或设施产生不可接受的风险。
特别地,能够以符合标准IEC 61508、DIN 19520或IEC 61511标准中的至少一项的方式来设计和设置安全导向的控制程序。
云端能够是每个数据网络和/或每个基础设施,该数据网络和/或基础设施实现通过具有云端能力的客户端设备访问和使用共用的计算机服务。云端能够是公共云端,能够经由互联网通过具有互联网连接和用于使用服务的相应权限的设备来访问该公共云端。
在此,云端还能够设计和设置为所谓的云端平台。在此,例如除了云端的数据网络结构之外,云端平台还能够包括软件工具,借助软件工具例如能够在云端实现云端软件和/或用户软件或云端软件和/或用户服务或者能够对其进行管理。在一些场景中,云端能够作为所谓的云端平台由云端提供商作为平台即服务(PaaS)来提供,并且例如自动化解决方案或还有安全自动化解决方案的制造商的服务能够存储在云端平台上作为基于云端的服务并且执行。
在所述配置中的一些配置中,对云端或云端平台以及例如对相应服务的访问能够作为订阅服务由服务所有者提供给客户。替代地,云端或云端平台能够是内部例如由工业公司运行的私有云端。一个示例性的私有云端或云端平台能够由一系列服务器构成或者包括他们,这些服务器提供相应的服务并且位于受防火墙保护的公司网络中。
例如,第一安全状态、并且非常普遍地每个安全状态能够是通过限定的设备或设施参数确定的状态。此外,第一安全状态或安全状态或者广义的安全状态例如根据标准IEC61508标准来设计和设置。
这样限定的设备或设施参数例如能够包括用于这种设备或设施参数或其相应的组合的特定的单独值。此外,限定的设备或设施参数也能够包括特定的机器或设施参数的值范围。
还能够为设备或设施限定或预设多个安全状态,其中,能够根据本说明书设计和设置每个安全状态。
例如,能够通过对设备或设施切断、停止和/或断电来提供安全状态。此外,能够例如通过机器或设施或其相应部件的特定位置或方位来提供安全状态。安全状态例如也能够通过设备或设施或其部件的停止或特定速度来提供。
设备或设施参数的值范围例如能够是如下参数范围,该参数范围导致用于设备或设施或其相应的部件的特定的位置或方位范围。相应地,用于设备或设施参数的值范围例如能够是导致用于设备或设施或其相应的部件的特定的速度范围的参数范围。
也能够通过参数值的序列提供安全状态或第一安全状态。因此,例如,参数值的序列能够设计和设置为,使得设备或设施或其相应的部件或组件依次根据参数值的序列占有对应于相应的参数值的运行状态。以此这种方式,安全状态例如也能够被限定为例如最终导致安全地实现安全的最终状态的状态序列。
例如,安全功能的触发能够理解为在标准IEC 61508的意义上安全导向的系统的安全功能的触发。
例如,能够通过以下方式实现安全反应的触发:即通过特定的测量的传感器值超过特定的、在安全导向的系统中预设的边界值。此外,特定传感器值的存在也能够触发相应的安全反应。这种传感器值的实例例如能够是光势垒或接触开关的传感器值,或者也能够是特定温度的测量值、测量的有害物浓度、特定声学信息、亮度值或类似的传感器值。相应的传感器例如能够是任何类型的光传感器或接触传感器、温度传感器、各种相机或类似的传感器。
此外,安全导向控制器的范畴中的安全反应的触发例如也能够通过以下方式来实现:通过在安全导向控制器的范畴中使用的变量占据特定值或超过和/或低于特定的边界值。这种变量例如能够是如下变量,该变量存储在可编程逻辑控制器的所谓的过程映像中和/或在安全导向的控制程序的流程的范畴中使用。此外,这种变量例如也能够是例如所谓的标志或也能够是所谓的标签,如其能够在系统或相应的SCADA系统(SCADA:监督控制和数据采集;例如操作和观察系统)的范畴中使用。
安全导向的通信连接例如能够设计和设置为例如根据标准IEC 61784-3的安全传输系统。
例如,安全导向的通信连接能够设计和设置为经由现场总线协议、以太网协议或工业以太网协议的通信连接,在其上也实施安全协议。例如,能够根据所谓的“ProfiSafe”标准或类似标准来设计和设置这种安全协议。
在此,设备或设施和/或云端或云端平台能够分别包括通信接口,该通信接口设计和设置用于经由安全导向的通信连接进行通信。
此外,云端平台还设计和设置为,使得例如在云端平台内的安全导向的控制应用附近也在云端平台的上述通信接口之间存在安全导向的通信连接。
在一个实施方式中,通信接口能够是具有用于有线的通信连接的连接端口、特别是以太网端口或USB端口的有线通信接口。替代地,通信接口也能够设计和设置为用于无线通信的无线通信接口,例如设计和设置为WLAN、蓝牙和/或移动无线电接口。
在一个可行的实施方式中,通信接口能够设计和设置用于经由安全导向的通信连接来接收用于发送受保护的传感器值或控制参数的请求信号,和/或相应地在接收到请求信号时经由安全导向的通信连接来发送相应的受保护的传感器值和/或控制参数。
在一个有利的设计方案中,控制系统能够包括第二安全导向的控制装置,该第二安全导向的控制装置设计和设置用于执行至少一个第一安全功能和/或至少一个第二安全功能。
在此,第二安全导向的控制装置和设备或设施经由第二安全导向的通信连接通信地耦合连接。
第二安全导向的控制装置例如能够根据按照本说明书的第一安全导向的控制装置来设计和设置。
第二个安全导向的通信连接例如能够经由物理介质(例如相同的线路或这两者都无线地)运行或也经由不同的物理介质(例如不同的线路)运行。在此,第二安全导向的通信连接还能够按照根据本说明书的第一安全导向的通信连接来设计和设置。
此外,根据本说明书的控制系统能够设计和设置为,使得第二安全导向的控制装置作为在云端实现的第二安全导向的控制应用(250)设计和设置用于执行至少一个第一安全功能和/或第二安全功能。替代地,第二安全导向的控制装置(250)能够作为结构上分开的、电子的安全导向的控制装置(250)设计和设置用于执行至少一个第一安全功能和/或第二安全功能。
结构上分开的电子控制装置能够设计和设置为所谓的可编程逻辑控制器(PLC),例如所谓的模块化可编程逻辑控制器。此外,控制器也能够是任何类型的计算机或计算机系统,计算机或计算机系统构建和设计用于控制设备或设施。控制器例如也能够是计算机或计算机系统,在所述计算机或计算机系统上运行控制软件或控制软件应用程序,例如控制应用。
该安全导向的控制装置设计和设置为结构上分开的电子的安全导向的控制装置例如能够设计和设置为,使得设计为硬件的电子控制装置完全或部分地由壳体包围或者具有壳体或包括壳体。在此,电子控制装置例如能够是可自由移动的、或者例如经由壳体也可拆卸地或固定地与其他装置、物体或设备连接。例如,这种电子控制装置能够固定在帽式轨道处或是可固定在帽式轨道处的,并且经由例如共同的载体和/或插头(例如经由所谓的背板总线)与用于控制设备或设施的其他部件或模块连接。
在此,还能够提出,第二安全导向的控制装置和/或控制应用经由第二安全导向的通信连接与设备或设施通信地耦合连接。
其中控制系统包括第二安全导向的控制装置的有利的设计方案例如能够实现用于以安全导向方式控制设备或设施的如下变体方案:
-第一变体方案:一些安全功能在云端处理,其他功能,如之前那样在现场的设计为硬件的安全控制器上处理(对于棕地扩展感兴趣)。
在这种情况下,代替整个安全应用程序,仅一些安全功能在云端(暂时或永久地)运行。当运行的设施应当被继续运行但是必须更换或更新一些安全组件时,云端的这种暂时使用是尤其有意义的(节约棕地应用程序的停机时间)。
在这种情况下,于是能够将在要更换的电子安全组件中实施的安全功能转移到云端,以便随后更换或更新所述安全组件。在进行更换后,然后能够将安全功能再次从云端返回转移到然后更换的或更新的电子安全组件中。在此,安全功能的安全特性通过暂时转移到云端来确保。
-第二变体方案:安全控制器的安全功能在云端冗余(即额外)地处理。仅当两个通道都提供相同的结果时,它们才生效,否则采用安全状态。从冗余中产生总体安全。(对于棕地扩展感兴趣)。
除了安全导向的电子控制装置中的现有的安全应用程序之外,安全应用程序的副本(附加通道)在云端(冗余)运行。由此,如果现有的安全应用程序不再能够或允许不改变地使用,则能够维持安全。在此,实现通道的链接(安全冗余),其中,在此形成的冗余是安全相关的。这意味着:通道的不同的值显示了必须安全做出响应的安全问题。在此,能够缩短停机时间。原本的安全控制器尽管继续使用,但通道的链接需要附加的硬件和/或软件(尤其对于棕地是感兴趣的)。
-第三变体方案:安全控制器的安全功能在云端冗余地处理。当然,在此,冗余用于可用性:如果一个通道失效,另一通道能够继续工作。每个通道都足够安全,例如经由在每个控制器中使用编码处理。
整个安全应用程序被复制,使得在安全导向的电子控制器中实施的本地安全应用程序和云端的并行的安全应用程序都已经单独地提供必要的安全性(可用性冗余)。如果一个安全应用程序内出现故障,则另一通道继续工作并确保安全(故障安全高可用性系统)。在此,整个系统的可用性被提高。
此外,根据本说明书的控制系统能够设计和设置为,使得第二安全导向的控制装置设计和设置用于执行至少一个第一安全功能,并且
第一安全导向的控制装置和第二安全导向的控制装置设计和设置用于并行地执行至少一个第一安全功能。
在此,控制系统能够关于至少一个第一安全功能例如根据上述第二变体方案和第三变体方案来设计和设置。在此,例如,根据选定的变体方案,在第一与第二安全导向的控制装置之间在至少一个第一安全功能方面提供冗余,其中,冗余例如能够安全相关地构成。在该情况下,控制系统例如能够设计和设置为,使得如果在第一和第二安全导向的控制装置中执行至少一个第一安全功能时产生不同的结果,则触发实现安全状态。
冗余例如还能够如之前已经提到的那样设计和设置用于提高可用性。在此,在执行至少一个第一安全功能时在两个安全导向的控制装置之一中出现故障的情况下,安全导向的控制装置中的相应另一个承担控制。
在一个有利的设计方案中,第一安全导向的控制装置和第二安全导向的控制装置能够设计和设置为,使得在通过第一安全导向的控制装置和第二安全导向的控制装置并行执行至少一个第一安全功能之后,分别存在至少一个第一安全功能的相应的执行的结果,并且然后如果结果不同,则触发故障措施,
特别地,将通过设备或设施(400,420,430)采取安全状态设置为故障措施。
安全控制器的安全功能在云端冗余(即额外)地进行处理。仅当两个通道都提供相同的结果时,其才生效,否则采取安全状态。于是,安全性至少部分地从冗余中得出。例如,本发明的设计方案对于所谓的“棕地”设施的扩展是令人感兴趣的,在那里例如除了设施或设备处的现有控制器之外,通过在云端的安全控制器能够实现对于设施或设备的安全的控制。
如已经描述的那样,故障措施能够包括例如采取安全状态、输出故障消息、输出一个或多个警告信号(例如警告音和/或光符号)、切断供电装置和/或类似措施。
在一个替代的设计方案中能够提出:在至少一个第一安全功能通过两个安全导向的控制装置中的一个错误执行的情况下,将通过另一安全导向的控制装置执行至少一个第一安全功能的结果用于控制设备或设施。
在此,如果在执行安全功能的情况下识别到故障,则例如能够存在错误执行。
例如,如果在安全导向控制器内并行地执行安全功能时确定不相等的结果或中间结果,则能够识别出这种故障。此外,例如,当在借助于“编码处理”和/或“多样化编码”方法执行安全功能的范畴中确定故障,则例如能够识别出故障。
例如,如果在安全导向控制器之一内执行至少一个安全功能没有提供结果,则例如能够存在错误执行,其中,实际上必须提供结果。此外,例如如果在执行至少一个安全功能的范畴中在安全导向控制器之一内通过相应的控制器产生和/或输出故障消息,则能够存在错误执行。
利用所述设计方案,安全控制器的安全功能冗余地例如在云端、在本地或各在云端和在本地处理。在所述设计方案中,冗余至少还用于可用性:如果一个通道失效,则另一通道能够继续工作。在此,例如安全控制器内的相应的安全功能能够分别每个本身例如通过使用所谓的“编码处理”已经足够安全地实施。
在一个有利的设计方案中,根据本说明书的控制系统能够设计和设置为,使得通过第一安全导向的控制应用执行至少一个第一安全功能,
和/或在使用“编码处理”方法的情况下,通过第二安全导向的控制装置执行至少一个第一安全功能和/或第二安全功能。
在另一有利的设计方案中,还能够提出:通过第一安全导向的控制应用执行至少一个第一安全功能,
和/或在利用“多样化编码”的方法使用编码处理的情况下,通过第二安全导向的控制装置执行至少一个第一安全功能和/或第二安全功能。
编码处理方法的执行或使用能够实现:使得用于控制机器或设施的程序流程安全导向地运行,而与所使用的硬件无关。由此,例如还能够更加灵活地设计相应的控制系统。
通常并且在本说明书的上下文中,将“编码处理”或“编码处理”方法理解为软件解决方案,该软件解决方案也称作为“软件编码处理”。由于其硬件无关性,该解决方案提供利用非安全关键硬件构建安全关键系统的灵活性。
在此,编码处理方法例如能够设计和设置为,使得通过执行相应程序代码的编码和/或数据的编码和然后利用处理过的数据的相应的检查步骤实现对所确定的可能在程序代码的程序运行期间出现的故障进行检查,其中,然后通过程序代码来处理数据。
ISO标准26262将第5卷中在D2.3.6下将编码处理列为用于发现硬件实施方案故障的技术(ISO/DIS 26262-道路车辆-功能安全,技术报告,瑞士日内瓦,2011年7月)。在IEC标准61508中,将第2卷中在A.4(电气/电子/可编程电子安全相关系统的功能安全)中将编码处理(技术报告IEC 61508,国际电工委员会,3,Rue de Varemb,Case postale 131,CH-1211日内瓦20,瑞士,2010))列举为用于可在安全导向的控制系统中识别执行错误的解决选项。
软件编码处理(SCP)建立在P.Forin的编码处理技术之上(P.Forin,Vital codedmicroprocessor principles and application for various transit Systems,IFA-GCCT,第79-84页,1989年9月)。SCP向软件程序添加信息冗余,以发现执行错误。为了将SCP集成到软件程序中,必须要么手动重写程序或能够使用自动工作的代码转换工具。SCP应用于程序的整个安全关键的数据流:所有常量、变量和运算都必须编码,以便能够使用SCP。
在文献中描述了用于编码处理和多样化编码的各种编码和设计可行性。与之相关例如参见:
-P.Forin,Vital coded microprocessor principles and application forvarious transit Systems。IFA-GCCT,第79-84页,1989年9月;
-Ute SchiffeI,Martin Süβkraut,and Christof Fetzer.Anencodingcompiler:Building safety-critical systems with commodity hardware.InSAFECOMP'09:Proceedings of the 28th International Conference on ComputerSafety,Reliability,and Security,第283-296页,柏林,海德堡,2009年。Springer出版社;
-Ute SchiffeI,Andre Schmitt,Martin Süβkraut,and Christof Fetzer.ANB-and ANBDmem-Encoding:Detecting Hardware Errors in Software。Erwin Schoitsch,InErwin Schoitsch,editor,Computer Safety,Reliability,and Security,Lecture Notesin Computer Science第6351卷,第169-182页,Springer柏林/海德堡,2010年;
-Oh,N;Mittra,S;McCluskey,E.J.,“ED4I:error detection by diverse dataand duplicated instructions”,IEEE Transactions on Computers,第51卷,第2期,180-199页;和
-德国专利文献DE 10 219 501 B4。
编码处理范畴中最常用的编码之一是AN编码:程序中的每个值都乘以常数A。不是A的倍数的值被评价为是无效的。利用SCP,所有运算都必须借助该编码值进行工作。执行错误会产生无效编码的值。
编码处理方法论在实现功能安全领域中的频繁应用是所谓的“利用软件编码处理的多样化编码”方法。在此,通过所谓的“多样化编码”与“编码处理”的组合实现用于发现执行错误的灵活的解决方案,该解决方案提供实现安全等级ASIL-D和SIL-4的可行性。
在此,上面提到的“多样化编码”基于相同的安全功能的两个不同的实施方案。这两个实施方案是:
-原始实施方案:原始实施方案对应于没有编码的原本安全功能的实施方案。原本安全功能的源代码在此形成原始实施方案的源代码。原始实施方案以原始(原本)输入值和原始状态进行工作。所述原始实施方案仅改变原始状态。原始实施方案的结果是原始输出。
-编码实施方案:编码实施方案(利用编码处理)基于安全功能的编码的变量。编码实施方案以编码的输入值和编码的状态工作。结果是编码的输出。
这两个实施方案都是完全独立的计算,然而,计算以相同的值进行运算。编码的输入值是原始输入值的编码的变型。原始安全功能的源代码用于创建编码实施方案的源代码。该创建能够手动进行,或者(对于可复现性推荐)利用工具进行。
调用安全功能的组件借助于校验和来识别和处理执行错误。所谓的“多样性框架”产生两个校验和:一个经由原始输出值产生,一个经由编码输出值产生。调用方组件仅利用原始输入和输出工作。在执行安全功能后,调用方组件必须将经由原始输出的校验和与经由编码输出的校验和进行比较。如果校验和不同,则检测到执行错误并且必须处理。
根据本说明书的控制系统也能够设计和设置为,使得为了控制设备或设施还设置有至少一个运行功能,其中控制系统还包括用于执行至少一个运行功能的与设备或设施通信地耦合连接的另一控制装置。
在此,运行功能以及控制装置能够例如根据本说明书设计和设置。此外,另一控制装置例如能够设计和设置为安全导向的或非安全导向的控制装置。
所述设计方案能够实现:除了关于设备或设施的安全导向的功能之外,也并行地执行如下功能,该功能不必满足相应的安全导向的标准,而不必使用控制系统的安全导向的控制器或控制应用。通过使用另一控制装置来执行这种运行功能,例如能够实现:为此使用非安全导向的控制装置。这种非安全导向的控制装置通常在技术上能够更简单地实现并且也更便宜。以该方式,能够更有效和更目标导向地使用所使用的控制器,这进一步提高了相应的控制器的灵活性。
在该情况下,控制系统例如能够设计和设置为,使得另一控制装置作为在云端实现的第二控制应用设计和设置用于执行至少一个运行功能。
替代地,控制系统还能够设计和设置为,使得另一控制装置作为结构上单独的电子控制装置设计和设置用于执行至少一个运行功能。
另一控制装置结构上分开地构成例如能够设计和设置为,使得另一控制装置具有或包括壳体。另一控制装置结构上分开地构造,还能够根据本说明书来设计和设置。
在此,例如能够将云端用于安全控制也能够用于常规控制。例如,所述设计方案能够实现如下系统,在该系统中安全和运行功能完全在云端处理。为了确保系统的安全。需要例如在使用所谓的PROFIsafe协议的情况下在安全控制器与设备或设施之间的安全通信。
上述目的还通过根据本说明书的用于运行控制系统的方法来实现,其中
-设施信息经由第一安全导向的通信连接从设备或设施传输至云端中的第一安全导向的控制应用,
-然后,利用设施信息通过第一安全导向的控制应用执行至少一个安全功能,并且
-随后将用于设备或设施的控制信息从第一安全导向的控制应用经由第一安全导向的通信连接传输至设备或设施。
这种方法例如能够实现将云端用作单独的安全控制器的临时的或永久的替代。在此,安全功能完全在云端处理。第一安全导向的控制应用与设备或设施之间例如利用所谓的PROFIsafe通信协议的安全通信是有利的,并且或者也是必需的,以便发现在到云端或来自云端的路径上的消息错误。
利用这种方法,例如,相应的安全导向的控制系统能够更灵活地匹配于相应的情况。
在此,设施信息能够是来自设备或设施的任何类型的信息,该信息用于控制设备或设施或者对于控制设备或设施是必需的。这例如能够是任何类型的传感器数据、测量数据、特性数据、网络地址、通信信息或关于设备或设施的其他信息,或者设备或设施的状态。
利用这种设施信息来执行至少一个安全功能例如能够设计和设置为,使得例如通过第一安全导向的控制应用处理上述系统信息,其中至少还产生用于设备或设施的相应的控制信息。
这种控制信息能够是任何类型的数据或信息,该数据或信息能够由设备或设施处理和/或实施,或者如果该数据或信息经由通信连接传输至设备或设施,则由设备或设施实施。
例如,所述设计方案能够实现:使得所有安全功能都在云端处理。此外,也能够在云端处理一些安全功能,而其他安全功能如之前那样在安全控制器现场处理(对于棕地扩展而言是感兴趣的)。
该方法也能够设计为,使得设施信息既经由第一安全导向的通信连接从设备或设施传输至在云端的第一安全导向的控制应用,并且还经由第二安全导向的通信连接传输至第二安全导向的控制装置(250),并且然后
利用设施信息通过第一安全导向的控制应用执行至少一个安全功能,其中,产生第一结果,并且此外利用设施信息通过第二安全导向的控制装置(250)执行至少一个安全功能,其中产生第二结果,然后,比较第一结果和第二结果,其中,在结果一致的情况下,将用于设备或设施的控制信息从第一安全导向的控制应用经由第一安全导向的通信连接传输至设备或设施,或者在结果一致的情况下,将用于设备或设施的控制信息从第二安全导向的控制应用经由第二安全导向的通信连接传输至设备或设施。
借助于所述方法,两个并行的控制装置或控制应用能够产生安全导向的功能,使得在两者上并行执行相同的安全功能,并且只有当两者都获得相同的结果时才引起设备或设施的相应的控制动作。
如果两个控制器产生不同的结果,则例如能够触发根据本描述的故障措施,即例如实现安全状态。
在此,控制器之一在云端实现,而第二控制器能够在云端实现或实施为相应的控制硬件。
在此,该方法例如也能够实现将云端例如作为用于单独的安全控制器的临时的或永久的替代。
因此,在此能够利用这种方法例如将相应的安全导向的控制系统更灵活地匹配于相应的情况。
在此,上面解释的方法还能够设计和设置为,使得仅在结果一致的情况下,将用于设备或设施的控制信息从安全导向的控制应用经由第一安全导向的通信连接传输至设备或设施。
上述方法还能够设计和设置为,使得在结果不一致的情况下触发相应的故障措施。故障措施例如能够是或包括通过相应设备或设施实现的安全状态。此外,故障措施能够是或包括输出警告消息和/或警告信号和/或切断供电装置。故障措施或故障措施的触发也能够根据本说明书来设计和设置。
例如,能够根据本说明书来设计和设置设施信息。例如,设施信息例如能够是传感器值或测量值、关于设施或设施的一个或多个组件的信息、关于设施或设施的一个或多个组件的状态的信息或类似的信息或包括这些信息。
在此,根据上述方法产生的结果例如能够对应于根据本说明书的控制信息。此外,结果也能够设计和设置为如下输出,该输出在通过相应的控制装置或控制应用执行安全功能时产生或能够产生。
也能够根据本说明书设计和设置控制信息。在此,例如,控制信息还能够对应于在执行安全功能时产生的结果,也能够基于该结果或者是独立于该结果的其他信息。
安全控制器的安全功能在云端冗余(即额外)地处理。仅当两个通道提供相同的结果时,其才生效,否则占据安全状态。总体安全从冗余中得出。(对棕地扩展是感兴趣的)
此外,用于运行控制系统的方法根据本说明书还能够设计和设置为,使得设施信息不仅经由第一安全导向的通信连接从设备或设施传输至第一安全导向的控制应用,并且经由第二安全导向的通信连接传输至第二安全导向的控制装置,然后,利用设施信息通过第一安全导向的控制应用执行至少一个安全功能,并且此外利用设施信息通过第二安全导向的控制装置执行至少一个安全功能。
在此,如果识别到两个控制装置之一中的安全功能的错误执行,则从安全导向的控制装置的另一个控制装置经由配属的安全导向的通信连接输出用于设备和设施的控制信息。
在所提出的方法中,安全控制器的安全功能能够冗余地处理。当然,在此,与上述方法相反,将冗余用于可用性:如果一个通道失效,则另一通道能够继续工作。每个通道都是足够安全的方法(例如通过使用编码处理方法)。
借助于上述方法,两个并行的控制装置或控制应用能够产生安全导向的功能,使得并行地在这两者上执行相同的安全功能。在此,安全导向的功能在每个控制器上执行,使得这两者分别本身满足对安全导向控制器的标准,例如借助于通过编码处理来执行。
在所述方法变体方案的范畴中,定期比较两个控制器的安全导向的功能的执行的结果,或者在通过每个控制器执行安全导向的功能的范畴中对功能检查相应的错误执行。如果两个结果一致或者没有识别到错误执行,则将共同产生的值用于控制设备或设施。
如果例如在根据编码处理的检查步骤中在控制器之一中执行安全导向的功能时识别到错误执行,则将另一控制器的安全导向的功能的执行的结果用于控制设备或设施。当然,这例如仅当在通过所述另一控制器执行安全导向的功能时没有同样识别到错误执行时执行。
在此,控制器之一在云端实现,而第二控制器或者能够在云端实现,或者能够设置为相应的控制硬件。
在此,该方法例如也能够实现将云端用作为用于单独的安全控制器的临时的或永久的替代。
因此,在此也通过使用这种方法例如将相应的安全导向的控制系统更灵活地匹配于相应的情况。
在此,设施信息、控制信息、安全导向的通信连接、设备或设施、第一安全导向的控制应用、第二安全导向的控制装置程序、至少一个安全功能还能够根据本说明书来设计和设置。
在一个有利的设计方案中,根据本说明书的方法能够设计为,使得通过第一安全导向的控制应用或第一安全导向的控制装置执行安全功能,和/或在使用“编码处理”方法的情况下,通过第二安全导向的控制装置执行安全功能。
此外,通过第一安全导向的控制应用或第一安全导向的控制装置执行至少一个第一安全功能,
和/或也在利用“多样化编码”的方法使用“编码处理”的情况下,通过第二安全导向的控制装置执行至少一个第一安全功能和/或第二安全功能。
在此,能够根据本说明书设计和设置“编码处理”方法或“多样化编码”方法。
上述目的还通过用于根据本说明书的控制系统的安全导向的控制应用来实现,其中,在执行根据本说明书的相应的方法的范畴中,将安全导向的控制应用设计和设置用于比较第一和第二结果。此外,在第一和第二结果一致的情况下将安全导向的控制应用设计和设置用于输出用于设备或设施的控制信息。
在此,例如能够根据本说明书来设计和设置安全导向的控制应用。
第一和第二结果的比较也能够根据本说明书来设计和设置。
此外,控制应用能够例如设计和设置为,使得其设计和设置用于确定控制应用或控制装置,控制应用在结果一致的情况下将一致的结果传输至设备或设施。这种确定或关于确定的相应的信息例如能够存储在存储装置中,控制应用能够访问该存储装置。此外,能够提出:在控制应用的范畴中确定或能够确定:如果结果不一致则触发故障措施。此外,能够确定:然后触发哪个故障措施。例如,触发故障测量的事实或者以及是哪个故障措施同样能够分别存储在控制装置中,控制应用能够访问存储装置。
在此,也能够例如根据本说明书来设计和设置故障措施以及故障措施的触发。
在从属权利要求中得出其他有利的设计方案。
附图说明
下面示例性地参考附图更详细地解释本发明。
附图示出:
图1:具有为硬件的标准控制器作和在云端的安全导向的控制应用的设施控制器的示例;
图2:在云端的具有安全导向的控制应用和标准控制应用的设施控制器的示例;
图3:具有安全导向的控制器和标准控制器分别作为硬件以及在云端的第一安全导向的控制应用的设施控制器的示例;
图4:具有安全导向的控制器和标准控制器分别作为硬件以及在云端的第一安全导向的控制应用的设施控制器的示例,其中,第一安全导向的控制应用和安全导向控制器是耦合连接的。
具体实施方式
图1示出包括在云端500实现的安全导向的控制应用200的控制系统100。此外,控制系统包括设计和设置为硬件控制装置的标准PLC 300或标准控制器300。安全导向的控制应用200经由相应的安全导向的通信连接210与设施400链接,并且在那里借助于安全导向的控制应用200的相应的设施安全功能经由相应地设置在设施400中的传感器和执行器来控制安全相关的过程。
此外,安全导向的控制应用200经由另一安全导向的通信连接220与人员保护装置420连接。在安全导向的控制应用420中还设置有人员安全功能,人员安全功能与人员保护装置420的相应的传感器和执行器协作以保护操作设施400的人员。这种人员保护装置420例如能够包括相应的护栏、移动传感器、闭合机构、光势垒、紧急停止按钮等。
此外,安全导向的控制应用200经由附加的安全导向的通信连接230与相应的环境保护装置430连接。在安全导向的控制应用200中还设置有环境安全功能,环境安全功能与环境保护装置430的相应的传感器和执行器协作以保护环境免受通过设施400的故障引起的破坏。这种环境保护装置430例如能够包括通风装置、喷水灭火设施、烟雾探测器、温度传感器、气体探测器等。
在此,设施400、人员保护装置420和环境保护装置430与控制系统100设计和设置为协作地根据标准IEC 61508以实现功能安全。
设施400的非安全相关的功能还通过位于设施400的区域中的标准PLC 300借助于在标准PLC 300中实现的设施运行功能来控制。
以该方式,对于设施400以及人员和环境保护装置420、430得到有效的控制系统100,其中在云端500中设置有安全相关的控制机制,而设施的基本控制经由标准PLC 300来实现。
在此,例如,所谓的编码处理方法能够在安全导向的控制应用200中实施。替代地,安全导向的控制应用200的安全导向特性也能够经由两个独立的内部实施的并行的控制流程来实现。
图2示出图1中所示的系统的通过如下的变型:即通过代替标准PLC 300而设置标准的控制应用305,标准PLC在附图所示的系统的范畴中设计为硬件,标准控制应用现在同样在云端500中实现。图2中所示的标准控制应用305控制设施400的非安全相关的功能,代替图1所示的标准PLC 300。
图2所示的其他附图标记的含义与图1中相对应。
图3示出图1所示的系统的另一变型,其中,附加地设置有第二安全导向的控制器250,第二安全导向的控制器设计为本地硬件控制器或本地硬件PLC。设施400的安全导向的功能或安全功能经由第二安全导向的通信连接260由第二安全导向的控制器250控制,而人员和环境保护装置420、430的安全功能还由来自云端的安全导向的控制应用200来控制。
在此,第二安全导向的PLC 250同样位于设施400的区域中。
图3中所示的其他附图标记的含义对应于图1中的附图标记。
图3中所示的控制系统100设计和设置为,使得用于设施400的安全导向控制的设施安全功能在本地的、以硬件的方式实施的本地第二安全导向的控制装置250中实施。在云端500实施的安全导向的控制应用200中设置有人员和环境安全功能。
以该方式,通过以下方式得到对设施400以及人员和环境保护安全装置420、430的更有效的安全导向的控制器:即例如通过将用于设施400的快速作用的安全机制在处于本地的安全导向的PLC 250内实施,并且或者例如对于人员和环境保护措施的允许具有较长响应时间的安全功能灵活地且本地独立地在云端500中实施。
图4示出图3中所示系统的另一可行的设计方案。
在此,在云端实现的安全导向的控制应用200中和在安全导向的本地PLC 250中实现用于控制设施400和人员和环境保护装置420、430的所有安全功能。为此,由云端500中的安全导向的控制应用200分别设置到设施400、到人员保护装置420以及到环境保护装置430的安全导向的通信连接210、220、230。相应地,由本地安全导向的PLC 250设置到设施400、到人员保护装置420以到及环境保护装置430的相应的安全导向的通信连接260、270、280。
在图4中所示的控制系统100的第一运行模式中,云端400中的安全导向的控制应用200和在硬件中本地实施的安全导向的PLC 250经由另一通信连接来连接。在此,安全导向的控制应用200和本地安全导向的PLC 250设计和设置为,使得在这两者中一个或多个控制程序在这两个控制器200、250中并行运行以控制设施400、人员保护装置420和环境保护装置430。在此,控制装置200、250设计和设置用于循环处理控制程序,其中,在每个循环后将针对设施400的、人员保护装置420的和环境保护装置430的分别计算的输出信号进行比较,其中,仅当计算的输出信号一致时才将其输出给相应的设施部件400、420、430。
以该方式,能够通过控制应用200与PLC 250的协作来实现对于相应的控制系统100的安全导向特性所必需的冗余。在此,控制器200、250能够设计和设置为,使得如果两个控制器200、250的计算值一致,则确定两个控制器中的哪个随后将输出值输出给设施400、人员保护装置420和环境保护装置430。
此外,控制器200、250设计和设置为,使得在由两个控制器200、250计算的值不一致的情况下,通过两个控制器200、250之一或这两者,将设施400、人员保护装置420和环境保护装置430置于相应的安全状态中。
在所描述的所述第一运行模式中,已经单独通过两个控制器200、250的所描述的冗余来实现控制系统100的相应的功能安全,该冗余例如设置为已经设置在控制应用250以及本地PLC 250中的安全措施、即例如借助于编码处理机制执行控制程序。
在图4中所示的控制系统100的第二运行模式中,安全导向的控制应用200以及安全导向的本地PLC 250同样经由通信连接205耦合连接。然而,在所述第二运行模式中,两个安全导向的控制装置200、250设计和设置为,使得两个控制器200、250之一通常承担设施400、人员保护装置420和环境保护装置430的控制,而在控制装置200、250的另一控制装置中并行执行控制程序,但不将输出信号输出给设施400、人员保护装置420和环境保护装置430。
如果现在在进行控制的安全导向的控制装置200、250中出现例如经由所实施的编码处理机制证实到的故障,则该故障的控制装置200、250经由通信连接205将用于接管控制功能的信息或消息传输至安全导向的控制装置200、250中的另一个。
然后,另一安全导向的控制装置200、250于是承担设施400、人员保护装置420和环境保护装置430的控制,而原本进行控制的安全导向的控制装置200、250的控制活动被停用。
借助第二运行模式例如能够尤其提高用于设施400、人员保护装置420和环境保护装置430的安全导向的控制器的可用性,这进一步降低控制系统的总体失效概率100。
关于图4中所示的控制系统100的所示的运行模式,第一运行模式例如能够概括为图4中所示的控制系统100的安全增强模式并且第二运行模式概括为可用性增强模式。
Claims (14)
1.一种用于控制设备或设施(400,420,430)的控制系统(100),
其中,关于设备或设施(400,420,430)的控制设置有至少一个第一安全功能,并且
其中,所述控制系统(100)包括第一安全导向的控制装置(200),所述第一安全导向的控制装置设计和设置用于执行至少一个第一安全功能,
其特征在于,
所述第一安全导向的控制装置(200)设计和设置为第一安全导向的控制应用(200),所述第一安全导向的控制应用在云端(500)实现,并且
所述第一安全导向的控制应用(200)和所述设备或设施(400,420,430)经由第一安全导向的通信连接(210,220,230)通信地耦合连接。
2.根据权利要求1所述的控制系统,其特征在于,
所述控制系统(100)包括第二安全导向的控制装置(250),所述第二安全导向的控制装置设计和设置用于执行所述至少一个第一安全功能和/或至少一个第二安全功能,
并且,所述第二安全导向的控制装置(250)和所述设备或设施(400,420,430)经由第二安全导向的通信连接(260,270,280)通信地耦合连接。
3.根据权利要求2所述的控制系统,其特征在于,
用于执行所述至少一个第一安全功能和/或第二安全功能的所述第二安全导向的控制装置(250)设计和设置为在所述云端实现的第二安全导向的控制应用(250),
或者,
用于执行所述至少一个第一安全功能和/或第二安全功能的所述第二安全导向的控制装置(250)设计和设置为结构上分开的、电子的、安全导向的控制装置(250)。
4.根据权利要求2或3所述的控制系统,其特征在于,
所述第二安全导向的控制装置(250)设计和设置用于执行所述至少一个第一安全功能,并且
所述第一安全导向的控制装置(200)和所述第二安全导向的控制装置(250)设计和设置用于并行地执行所述至少一个第一安全功能。
5.根据权利要求4所述的控制系统,其特征在于,
所述第一安全导向的控制装置(200)和第二安全导向的控制装置(250)设计和设置为,使得在通过所述第一安全导向的控制装置(200)和所述第二安全导向的控制装置(250)并行地执行所述至少一个第一安全功能之后,分别存在所述至少一个第一安全功能的各自的执行的结果,然后,如果结果不同,则触发故障措施,
特别地,将通过所述设备或设施(400,420,430)采取安全状态设置为所述故障措施。
6.根据权利要求4所述的控制系统,其特征在于,
在通过两个安全导向的控制装置(200,250)中的一个安全导向的控制装置错误执行所述至少一个第一安全功能时,将通过另一安全导向的控制装置(200,250)执行所述至少一个第一安全功能的结果用于控制所述设备或设施(400,420,430)。
7.根据前述权利要求中任一项所述的控制系统,其特征在于,
通过所述第一安全导向的控制应用(200)执行所述至少一个第一安全功能,
和/或,在使用“编码处理”方法的情况下,通过第二安全导向的控制装置(250)执行所述至少一个第一安全功能和/或第二安全功能,
特别地,通过所述第一安全导向的控制应用(200)执行所述至少一个第一安全功能,
和/或在使用“多样化编码”的方法使用编码处理的情况下,通过所述第二安全导向的控制装置(250)执行所述至少一个第一安全功能和/或第二安全功能。
8.根据前述权利要求中任一项所述的控制系统,其特征在于,
为了控制所述设备或设施(400,420,430)还设置有至少一个运行功能,
其中,所述控制系统还包括用于执行所述至少一个运行功能的、与所述设备或设施通信地耦合连接的另一控制装置(300,305)。
9.根据权利要求8所述的控制系统,其特征在于,
用于执行所述至少一个运行功能的所述另一控制装置(300,305)设计和设置为在所述云端(400)中实现的第二控制应用(305),
或者,
用于执行所述至少一个运行功能的所述另一控制装置(300,305)设计和设置为结构上分开的、电子的控制装置(300)。
10.一种用于运行根据权利要求1至9中任一项所述的控制系统(100)的方法,其特征在于,
设施信息经由所述第一安全导向的通信连接(210,220,230)从所述设备或设施(400,420,430)传输至在所述云端(500)的所述第一安全导向的控制应用(200),
然后,利用所述设施信息通过所述第一安全导向的控制应用(200)执行至少一个安全功能,并且
随后将用于所述设备或设施(400,420,430)的控制信息从所述第一安全导向的控制应用(200)经由所述第一安全导向的通信连接(210,220,230)传输至所述设备或设施(400,420,430)。
11.一种用于运行根据权利要求2至9中任一项所述的控制系统的方法,其特征在于,
将设施信息经由所述第一安全导向的通信连接(210,220,230)从所述设备或设施(400,420,430)传输至在云端(500)的第一安全导向的控制应用(200),并且
还将所述设施信息经由第二安全导向的通信连接(260,270,
280)传输至第二安全导向的控制装置(250),
然后,利用所述设施信息通过所述第一安全导向的控制应用(200)执行至少一个安全功能,其中,产生第一结果,并且此外利用所述设施信息通过所述第二安全导向的控制装置(250)执行所述至少一个安全功能,其中,产生第二结果,
然后,比较所述第一结果和所述第二结果,并且
在结果一致的情况下,将用于所述设备或设施的控制信息从所述第一安全导向的控制应用(200)经由所述第一安全导向的通信连接(210,220,230)传输至所述设备或设施(400,420,430),或者
在结果一致的情况下,将用于所述设备或设施的控制信息从所述第二安全导向的控制应用(250)经由所述第二安全导向的通信连接(260,270,280)传输至所述设备或设施(400,420,430)。
12.一种用于运行根据权利要求2至9中任一项所述的控制系统的方法,其特征在于,
设施信息经由所述第一安全导向的通信连接(210,220,230)从所述设备或设施(400,420,430)传输至所述第一安全导向的控制应用(200),并且
所述设施信息经由所述第二安全导向的通信连接(260,270,
280)传输至所述第二安全导向的控制装置(250),
然后,利用所述设施信息通过所述第一安全导向的控制应用(200)执行至少一个安全功能,并且此外
利用所述设施信息通过所述第二安全导向的控制装置(250)执行至少一个安全功能,
其中,所述方法设计和设置为,使得在识别到两个控制装置(200,250)之一中错误执行安全功能之后,从另一安全导向的控制装置(200,250)经由配属的安全导向的通信连接(210,220,230,260,
270,280)输出用于所述设备或设施(400,420,430)的控制信息。
13.根据权利要求10至12中任一项所述的方法,其特征在于,
通过所述第一安全导向的控制应用(200)或控制装置(200)执行安全功能,
和/或,在使用“编码处理”方法的情况下,通过第二安全导向的控制装置(250)执行安全功能,
特别地,通过所述第一安全导向的控制应用(200)或控制装置(200)执行所述至少一个第一安全功能,
和/或,在利用“多样化编码”的方法使用“编码处理”的情况下,通过所述第二安全导向的控制装置(250)执行所述至少一个第一安全功能和/或第二安全功能。
14.一种用于根据权利要求2至9中任一项所述的控制系统的安全导向的控制应用(200),
其中,在执行根据权利要求11或权利要求11和13所述的方法的范畴中,所述安全导向的控制应用(200)设计和设置用于比较第一结果和第二结果,以及所述安全导向的控制应用还设计和设置用于在结果一致的情况下输出用于所述设备或设施的控制信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20185513.7A EP3940467A1 (de) | 2020-07-13 | 2020-07-13 | Steuerungssystem zur steuerung einer vorrichtung oder anlage |
| EP20185513.7 | 2020-07-13 | ||
| PCT/EP2021/068326 WO2022012971A1 (de) | 2020-07-13 | 2021-07-02 | Steuerungssystem zur steuerung einer vorrichtung oder anlage |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116157752A true CN116157752A (zh) | 2023-05-23 |
Family
ID=71614689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180061166.2A Pending CN116157752A (zh) | 2020-07-13 | 2021-07-02 | 用于控制设备或设施的控制系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230259095A1 (zh) |
| EP (2) | EP3940467A1 (zh) |
| CN (1) | CN116157752A (zh) |
| WO (1) | WO2022012971A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10219501B4 (de) | 2002-04-30 | 2010-04-01 | Siemens Ag | System und Verfahren zur Verbesserung von Fehlerbeherrschungsmassnahmen, insbesondere in Automatisierungssystemen |
| EP3428748B1 (de) * | 2017-07-13 | 2020-08-26 | Siemens Aktiengesellschaft | Verfahren und anordnung zum betrieb von zwei redundanten systemen |
| EP3547618B1 (de) * | 2018-03-29 | 2023-03-01 | Siemens Aktiengesellschaft | Verfahren zum aufbau einer redundanten kommunikationsverbindung und ausfallgesicherte steuerungseinheit |
| DE102018118243A1 (de) | 2018-07-27 | 2020-01-30 | Phoenix Contact Gmbh & Co. Kg | Techniken zur Bereitstellung eines abgesicherten Steuerungsparameters zur mehrkanaligen Steuerung einer Maschine |
-
2020
- 2020-07-13 EP EP20185513.7A patent/EP3940467A1/de not_active Withdrawn
-
2021
- 2021-07-02 WO PCT/EP2021/068326 patent/WO2022012971A1/de unknown
- 2021-07-02 CN CN202180061166.2A patent/CN116157752A/zh active Pending
- 2021-07-02 US US18/015,810 patent/US20230259095A1/en active Pending
- 2021-07-02 EP EP21739636.5A patent/EP4158430A1/de active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230259095A1 (en) | 2023-08-17 |
| EP4158430A1 (de) | 2023-04-05 |
| EP3940467A1 (de) | 2022-01-19 |
| WO2022012971A1 (de) | 2022-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6853292B1 (en) | Security control system, method for the operation thereof | |
| EP1573407B1 (en) | Method to increase the safety integrity level of a control system | |
| US7130703B2 (en) | Voter logic block including operational and maintenance overrides in a process control system | |
| CN204065793U (zh) | 用于控制现场设备的系统 | |
| CN102460397A (zh) | 用于创建安全控制装置的应用程序的方法和装置 | |
| JP2007533045A (ja) | 安全性指向の制御システム | |
| US11846923B2 (en) | Automation system for monitoring a safety-critical process | |
| US20120030524A1 (en) | High reliability method of data processing, and controller unit | |
| JP2009223398A (ja) | 産業用コントローラ | |
| US20150340111A1 (en) | Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device | |
| EP1850554A2 (en) | Safe communications in a network | |
| CN116157752A (zh) | 用于控制设备或设施的控制系统 | |
| US11982984B2 (en) | Automation system for monitoring a safety-critical process | |
| US11409272B2 (en) | Method for checking an industrial facility, computer program, computer-readable medium and system | |
| Schmeling et al. | The detector safety system for LHC experiments | |
| Kanamaru et al. | Functional safety application using safety PLC | |
| Birch et al. | Personnel safety systems for the European Spallation Source | |
| CN218158810U (zh) | 用于控制安全阀的系统 | |
| US20230281076A1 (en) | Data processing procedure for safety instrumentation and control (i&c) systems, i&c system platform, and design procedure for i&c system computing facilities | |
| Kanamaru et al. | Safety field network technology and its implementation | |
| FI129898B (en) | Security arrangements for automation systems | |
| Sammarco et al. | Programmable electronic mining systems: best practice recommendations (in nine parts): part 2, 2.1 System safety | |
| Buchheit et al. | SIS in Industry | |
| Wessels | Research–with the Spirit of Safety | |
| Konuk | Redundant and safe work implementation for S7-1200 PLC family |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |