CN1879087A - 输入值的安全记录 - Google Patents
输入值的安全记录 Download PDFInfo
- Publication number
- CN1879087A CN1879087A CNA2004800332694A CN200480033269A CN1879087A CN 1879087 A CN1879087 A CN 1879087A CN A2004800332694 A CNA2004800332694 A CN A2004800332694A CN 200480033269 A CN200480033269 A CN 200480033269A CN 1879087 A CN1879087 A CN 1879087A
- Authority
- CN
- China
- Prior art keywords
- value
- module
- computing unit
- arbitrary
- operating means
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 53
- 230000006870 function Effects 0.000 claims description 51
- 230000000295 complement effect Effects 0.000 claims description 27
- 238000012360 testing method Methods 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000006854 communication Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000011990 functional testing Methods 0.000 claims description 4
- 230000000052 comparative effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 7
- 230000008569 process Effects 0.000 description 20
- 238000012986 modification Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 11
- 238000012546 transfer Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000008676 import Effects 0.000 description 4
- 101000879673 Streptomyces coelicolor Subtilisin inhibitor-like protein 3 Proteins 0.000 description 3
- 230000033228 biological regulation Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000011058 failure modes and effects analysis Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000006386 neutralization reaction Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101000880160 Streptomyces rochei Subtilisin inhibitor-like protein 2 Proteins 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/004—Error avoidance
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Safety Devices In Control Systems (AREA)
- Input From Keyboards Or The Like (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明涉及一种用于安全记录输入值的系统和方法,所述输入值在一故障安全计算单元中接受处理。为了在使用一个非故障安全操作装置的情况下实现输入值的安全记录,本发明提供如下建议:借助一个操作装置(1),用第一显示模块(6)显示通过输入模块(3)输入的第一个值,将第一个值和一个识别值一起不加密地传输给一个故障安全计算单元(2),将由计算单元(2)传输过来的第二个值换算成第三个值,用第二显示模块(7)显示第三个值,用第三显示模块(8)显示通过输入模块(3)输入的第四个值,将第四个值换算成第五个值,并将第五个值和识别值一起不加密地传输给计算单元(2);其中,计算单元(2)的作用是:存储第一个值、校验值和极限值,借助第一比较模块(11)比较识别值和其中一个校验值,借助第二比较模块(12)比较第一个值和极限值,将第一个值换算成第二个值,将第二个值不加密地传输给操作装置(1),借助第三比较模块(13)比较第五个值和第一个值。
Description
技术领域
本发明涉及一种用于安全记录输入值的系统和方法,所述输入值在一故障安全计算单元中接受处理。
背景技术
与非故障安全自动化系统一样,对故障安全自动化系统也有这样一个要求,即可以修改参数或值。根据DIN V VDE 0801或VDI/IDE3542,“故障安全”(fail-safe)这一概念指的是一个系统在出现故障时维持在安全状态或直接转入另一种安全状态的能力。在故障安全自动化系统中,极限值(例如最大压力,最高温度)是一种典型的参数;当超过所述极限值时,就会出现临界状态。例如在装料过程中,所述极限值与有待生产的配料无关,但应该可以与各个装料过程相匹配。目前还没有已知的安全操作方法。根据相关标准(特别是IEC 61508/IEC 61511)的要求,对涉及故障安全功能的修改必须进行测试和验证。当涉及的是参数修改时,这一要求会使整个修改过程变得极为繁琐。安全技术方面对参数修改提出了下列要求。当参数修改会影响到自动化系统的故障安全功能时,就必须在完成这样的参数修改之后,对自动化系统进行一次完整的功能测试。这是因为一旦参数有误,就会出现危及生命的状态。
发明内容
本发明的目的是通过一个非故障安全操作装置来实现输入值的安全记录。
这个目的通过一种具有权利要求1所述特征的系统而实现。这个用于安全记录输入值的系统具有一个操作装置和一个故障安全计算单元;其中,所述操作装置具有
·用于显示可通过输入模块输入的第一个值的第一显示模块,
·用于将第一个值和一个识别值一起不加密地传输给计算单元的通讯模块,
·用于将可由计算单元传输的第二个值换算成第三个值的计算模块,
·用于显示第三个值的第二显示模块,以及
·用于显示可通过输入模块输入的第四个值的第三显示模块,其中,计算模块用于将第四个值换算成第五个值,通讯模块用于将第五个值和识别值一起不加密地传输给计算单元;
其中,所述计算单元具有
·用于存储第一个值、校验值和极限值的存储模块,
·用于将识别值和其中一个校验值进行比较的第一比较模块,
·用于将第一个值和极限值进行比较的第二比较模块,
·用于将第一个值换算成第二个值的计算模块,
·用于将第二个值不加密地传输给操作装置的传输模块,以及
·用于将第五个值和第一个值进行比较的第三比较模块。
本发明的目的通过一种具有权利要求13所述特征的安全记录输入值的方法而达成,这种方法是借助一个操作装置
·用第一显示模块显示通过输入模块输入的第一个值,
·将第一个值和一个识别值一起不加密地传输给一个故障安全计算单元,
·将由计算单元传输的第二个值换算成第三个值,
·用第二显示模块显示第三个值,
·用第三显示模块显示通过输入模块输入的第四个值,
·将第四个值换算成第五个值,以及
·将第五个值和识别值一起不加密地传输给计算单元,
在这种方法中,计算单元的作用是
·存储第一个值、校验值和极限值,
·借助第一比较模块比较识别值和其中一个校验值,
·借助第二比较模块比较第一个值和极限值,
·将第一个值换算成第二个值,
·将第二个值不加密地传输给操作装置,以及
·借助第三比较模块比较第五个值和第一个值。
本发明基于如下认识,即,为了在不使用故障安全操作装置的情况下实现输入值的安全记录,在记录过程中必须避免故障安全的F功能发生变化。这是因为一旦发生这种变化,若想维持安全等级,就必须针对F功能进行完整的功能测试。
但如果只修改一个安全参数,根据有关标准和准则,不需要进行完整的功能测试,因为与改变安全功能(=F-Funktion)不同,在此过程中涉及的是许可的安全参数传输/修改(参见例如IEC 61511,第一部分,第11.7.1.5章,注解2)。其优点在于,操作装置的硬件和软件都不需要获得验收机构(例如德国技术监督协会TV)的认证。另一个优点是,修改参数时不需要停止F功能或F程序。也就是说,输入值的记录或修改可以持续进行。这样就可以通过一个明确的、已获得认证的接口在故障安全计算单元中管理或修改有关值和F参数(例如实值、整数值或布尔值)。操作装置的附属程序无需获得认证,可以在任何一个操作装置上运行。所述程序可以由用户编写。
通过使用比较模块和其中一个校验值对识别值进行安全检验,特别可以发现值或识别值在传输过程中的地址失真(address corruption)情况。从相关安全标准(例如IEC 61508)的角度来看,操作装置和计算单元之间的接口可以视为一个预装的接口,对其功能必须进行相应的测试。
根据本发明的一种有利的设计方案,计算模块用于生成值的一个补数。通过映射所述值或所述补数可以发现传输错误和数据失真(data corruption),尤其是通用模式(Common-Mode)数据失真。
根据本发明的另一种有利的设计方案,计算单元具有根据比较模块的比较结果释放第一个值的模块。针对值的确认(又称为Acceptance)的正确性所进行的测试有助于发现数据失真、错误的确认和同时操作多个操作装置的情况。
分别用于显示第一个值和第三个值的第一显示模块和第二显示模块优选被不同地格式化。因而,根据恢复的值/补数可以算出标准值,并例如以不同字体显示。由此可以发现操作装置中的一个逻辑故障(logic short)。用户将键盘输入的字符与输入区相比较时可以发现输入转换过程中出现的错误。用户将输入区与“Readback”相比较时可以发现输出转换过程中出现的错误。通过用不同字体显示Readback,并通过将之与“接收值”相比较,可以特别容易地发现输入区与Readback区之间的故障。有利的是,由于操作装置具有一个可以通过输入模块启动的中断功能,用户可以取消输入操作。
借助计算单元中用于监控第一个值和第四个值传输时间的、可程控的监控模块,可以发现同时操作多个操作装置这种不允许的情况。
为了向用户告知最终由计算单元作为安全值所接收的值,操作装置有利地具有用于显示可由计算单元传输的第六个值的第四显示模块。
如果设置以不同方式存储校验值的存储模块,并且/或者,如果输入模块不支持拖放功能(Drag and Drop-function),从而迫使用户每次都须重新输入值,就可以进一步提高所述系统和所述方法的安全性。必须通过键盘来进行值的输入。
计算单元有利地具有故障安全功能模块,这些功能模块用于对操作装置进行安全的功能测试。通过在操作装置中安全地实施对操作功能的测试,特别可以发现操作装置的系统错误。这样就可以在系统开始运行的时候和每个检验间隔期间对操作装置中的功能进行测试。由此也可以发现输入区与Readback区之间的故障。
在无法有效避免未经授权人员访问系统的环境中,操作装置有利地具有对用户进行鉴别的模块。
附图说明
下面借助附图所示的实施例对本发明作进一步说明,其中:
图1为一个用于安全记录输入值的系统,其具有一个非故障安全操作装置和一个故障安全计算单元;
图2为一种安全记录输入值的方法的流程;以及
图3为另一个用于安全记录输入值的系统,其具有一个操作装置和一个故障安全计算单元。
具体实施方式
图1显示的是一个用于安全记录输入值的系统,其具有一个非故障安全操作装置1和一个故障安全计算单元2,例如一个自动化系统的一个中央处理单元(CPU=Central Processing Unit)。操作装置1具有第一显示模块6、第二显示模块7、第三显示模块8和第四显示模块9。此外,操作装置1还具有输入模块3,例如一个键盘,和用于鉴别用户的模块18,例如一个锁或一个(芯片)读卡器。操作装置1还具有计算模块5和通讯模块4。通讯模块4通过一个通讯连接19与计算单元2的通讯模块14连接在一起。计算单元2具有第一比较模块11、第二比较模块12和第三比较模块13。计算单元2具有存储模块10和计算模块15。除此之外,计算单元2还具有可程控的监控模块16和故障安全功能模块17。
下面根据图1所示的实施例对输入值的安全记录作进一步说明。所述系统的用户可以通过操作装置1的输入模块3输入第一个值,即所述输入值,随后,第一显示模块6会向其显示这个值。用户从输入后直接显示出来的第一个值中得到一个关于所输入的第一个值的反馈,必要时可以对其进行修改。用户通过按回车键或特地为此而设的确认键来完成输入,所述回车键或确认键均是输入模块3的一部分。按这种方式输入的第一个值与一个分配给它的识别值一起被不加密地传输到故障安全计算单元2中。所述识别值在下文中又被称为标识符或Val-ID。故障安全计算单元2存储所接收到的第一个值,一方面借助第一比较模块11对同时传输过来的识别值和一个存储在计算单元2的存储模块10中的校验值进行比较,另一方面借助第二比较模块12对第一个值和存储在计算单元2的存储模块10中的极限值进行比较。接着,计算单元2的计算模块15将第一个值换算成第二个值。在所示实施例中,这个换算过程是生成第一个值的补数(=互补值)的过程。按这种方式换算或变换成的第二个值(在此是第一个值的补数)还是以不加密的形式被传输回(映射到)操作装置1,并在计算单元2中由计算模块5换算成第三个值。这次从第二个值到第三个值的换算是一种相对于第一次从第二个值到第三个值的换算的反向操作(在此涉及的仍然是补数的生成)。因此,按这种方式换算或变换成的第三个值在数字上应该与第一个值相一致。第三个值由第二显示模块显示给用户。用户检验其所看到的第三个值,必要时通过操作装置1的输入模块3再一次,即第二次输入同样的值作为第四个值,来确认其所看到的第一个值与其所看到的第三个值相一致。输入的第四个值由第三显示模块8直接显示给用户,从而使得用户获得一个直接的反馈,并在必要时可以对他的输入直接进行修改。接着,操作装置1借助计算模块5将第四个值换算成第五个值,在此还是换算成一个互补值,并将第五个值与识别值一起不加密地传输给计算单元2。随后,计算单元2借助第三比较模块13对第五个值和存储在存储模块10中的第一个值进行比较。第五个值应该是第一个值的补数。最后,在从所有借助比较模块11、12、13所进行的比较中成功获得一个结果后,计算单元2就可以将通过这种方法记录的第一个值作为安全输入值来对其进行进一步处理。
图2显示的是一种安全记录输入值的方法的流程。该方法是借助一个F功能28(F=Failsafe)来安全记录一个输入值作为安全值(所谓的F-Value)45,所述F功能例如在图1所示的计算单元2中运行。用户通过输入模块,例如一个操作终端,进行按键输入20。由用户输入的值显示在一个输入区22中。用户将显示在输入区22中的值与其所输入的值相比较。由用户进行的这个比较过程在图2中用参考符号21表示。当用户认为值的输入正确时,就按下接收键23。接着,输入值作为值24被写入一个存储字25中。这个存储字25在一个写入语句26中和一个标识符一起被传输到一个通向F功能28的输入接口27上。输入接口27本身不带有故障安全设计。F功能28通过一个所谓的镜像接口30将输入值映射成补数29。所述补数作为存储字32由操作装置借助一种读取服务31巡视(Polling)读取。操作装置通过一个转换过程33将所述存储字转换成其互补值。存储字32的互补值应该就是在第一步中被输入的值。随后,该互补值被显示在一个显示区34上。用户对显示在输入区22和显示区34中的两个值进行比较35,如果两个值一致,就通过按键输入36再次输入该值来表示确认。按这种方式输入的值被显示在另一个输入区38中,并由用户通过进一步比较37来直接检验。当该输入值与之前所显示的值相一致时,用户可以按下接收键39,借此促使该输入值转换40成其补数。该补数被暂存为存储字41,并在一个写入语句42中和所述标识符一起作为所谓的Acceptance 44被传输到一个通向F功能28的Acceptance接口上。F功能28检验Acceptance 44,并在确认无误后接收所述输入值作为安全值45。在图2所示的实施例中,该值作为安全值46还被传输给操作装置,并显示在另一个显示区47中。当显示在显示区47中的值与预期的输入值不一致时,用户还可以重新进行一次安全输入或停止所述功能。
图3显示的是另一个用于安全记录输入值的系统,该系统具有一个操作装置和一个故障安全计算单元。图3可以特别清楚地显示,这样一个系统的哪些部分承担故障安全功能,因而必须实施为故障安全或必须由一个验收机构(例如TV)验收或获得其认证。所述系统的这些承担故障安全功能的部分在图3中用参考符号62至71表示。所述系统的其他部分(用参考符号50至61表示)可以实施为标准型,即非故障安全型。
在图3所示的实施例中,一个第一用户51将一个新值53作为输入值输入到非故障安全操作装置50中。这个新值与一个标识符一起作为数据56被传输给故障安全的F功能64。F功能64或者将所述新值作为读回值57返回给操作装置50,或者报告一个状态值58,例如一个错误。接着,第一用户51可以通过再次输入54所述新值作为Acceptance来接受被读回的值。操作装置将Acceptance 59传输给F功能64。特别是为了提高安全性,也可以由一个第二用户52通过向操作装置50发送一个Acceptance 55来接受该值。当用户51或52选择中断或希望F功能64复位时,就会有一个中断信号或复位信号60发送到故障安全的F功能64上。除了通过非故障安全接口读入的操作装置50的值外,还设置了其他故障安全参数65至71作为F功能的输入值。一个第一参数65规定一个新值与以往的F值相比所允许的最大变化程度。一个或多个其他参数66规定各个设备的绝对极限值。标识符被存储为参数67。为了对操作装置50进行测试,在参数68中模拟一个读回值。通过使用或不使用参数69可以启动或停止F功能64。一个或多个参数70为可程控的监控模块规定时间监控的时隙范围。参数71规定F功能64的各种运行方式。被认为安全的输入值以一种安全的方式63被接收为所谓的安全F值62,需要时,以一种非安全方式61被传输到操作装置50中。故障安全的F功能64通常在一个自动化系统的中央处理单元(CPU),特别是在一个故障安全的中央处理单元(F-CPU)中运行。所述F功能可以作为F功能组件集成在一个自动化系统的内部。
有可能出现、但必须得到控制的错误或故障有:
·传输错误/故障
·输入转换过程中出现的错误
·输出转换过程中出现的错误
·地址失真
·操作装置中的系统错误
·输入区和读回(Readback)区之间的故障
·数据修改过早或过晚
·不同操作装置同时访问计算单元。
由于为获得F值同时还发送一个Val-ID,并且在F-CPU中还为所述值使用不同形式的Val-ID(在上述实施例中使用的是补数),因而可以发现地址失真情况。F功能对Val-ID进行比较。所述Val-ID在整个过程中必须是独一无二的。
原则上可以认为,实施安全相关输入的用户均接受过相应培训。因而不会出现极其随意的输入。通常可以认为,承担安全相关任务、因此而比较可靠的用户在一千次输入操作中平均最多有一次错误输入。在此之前,用户必须自己通过相应的故障安全程序设计来发现和控制所有前文所述的错误或故障,这些错误或故障有可能出现在操作装置中、与F功能的通讯过程中和通过寻址来访问F功能的过程中。如果用户没有这个能力,他就得在F程序中修改参数,重新为程序编码,再将程序装载到F-CPU中,对所作的参数修改进行测试。
下面通过另一个实施例说明(普通)系统支持的安全操作(F操作)的操作顺序。操作装置的用户界面上为每个可操作的安全相关值/参数设置了
·一个输入区,
·一个Readback显示区(用不同字体显示数字),
·一个重新输入区(Acceptance),
·一个用于显示目前在F程序中使用的值的显示区。
用户通过键盘将新值输入输入区。操作装置(在下文中又称为OS=Operator Station)将该值及其ID(=Val-ID)一起不加密地发送给F功能。F侧上的接口是一个标准(非F)输入端“New Value”。F功能检验输入值,并在检验完成之后将补数放在Readback值上。OS转换所述补数,并将结果显示在Readback显示区上。用户将输入区中的值与Readback值相比较,当两者不一致时,必须选择中断功能。当他认为这两个值相一致时,他就通过再次输入该值来确认他的输入(也可以由另一个用户来进行这第二次输入)。OS从这个值中获得补数,并将这个补数作为Acceptance传输给F功能。F功能将“new value”与“Acceptance”(也就是值和补数)相比较,如果两者一致,F功能就释放所述新值。
该值必须输入到一个固定的输入区(分配给F值,因而内部具有一个F-ID,—在安装模板/操作程序时)中。在输入过程中,用户将每个单个数字与预期的数字相比较(用于检验键盘功能的安全要求)。按下接收键后,OS将该值和Val-ID一起传输给F功能“安全输入操作”(在设备内部可使用任意一种通讯方法)。F功能将该值的“补数”映射到OS中来进行检验。OS将所述补数重新换算成值,并在下面的输出区中显示该值来对其进行校验。用户将该值与之前输入的值相比较。如果两者一致,而且用户表示同意,他就第二次输入作为Acceptance的该值,并按下接收键。OS将该值与Val-ID一起作为补数传输给F功能。F功能检验Acceptance,在时间和值均为正确的情况下,就将该值接收为安全值。该值再次由OS显示出来,还可由用户进行最后的检验。当该值与预期的值不一致时,用户必须重新开始一次安全输入或者停止这个功能。但是从安全技术角度来看,也就是从达到安全等级SIL3这个目的来看,上文所述的最后检查是没有必要的。
针对OS中的功能和数据传输必须进行一次符合SIL2的概率测试(SIL=IEC 61508规定的安全完整性水平,即Safety Integrity Level)。所述概率测试可以是一次失效模式及影响分析(FMEA=Failure Mode and Effect Analysis)。就安全要求而言,F功能组件必须符合SIL3。由于用户对操作过程进行了全程观察,整个功能达到了SIL3。在正确位置输入正确值的责任由用户承担。OS和整个“安全输入”功能只承担正确传输被显示的值的责任。Val-ID通常具有1与FFFF(十六进制)之间的值。当在所述方法实施过程中出现错误或故障时,总是保留最后一个有效安全值。重新启动后必须重新输入值。
在一种可以使用本发明的典型方案中,一个工艺设备在明确的条件下工作。在一个OS的一个显示区中显示一个当前设备值。根据目前正在生产的产品,必须对所述设备故障安全部分中的温度值或压力值进行修改。但是在进行所期望的修改时,上述值并不超过或低于设备所特有的极限值,所述极限值也不应该发生变化。需要修改的值不一定只与安全有关,它们也可能是影响产品质量的值。而其他需要修改的安全相关值有可能还会对潜在的风险产生影响。根据一个第一方案,一个用户将一个修改请求(change request)输入操作装置。接着,该方案中的有关安全功能进入安全状态(从安全技术角度来看,这一点通常是没有必要的)。用户将新值输入一个为此而设的输入区内。然后,用户用其自有钥匙(机械的或更复杂的钥匙种类,例如芯片卡、生物钥匙等等)对这个输入进行确认,从而设定一个一位值(用户确认)。比较输入值和设备极限值。当输入有误时,可以确认一个事先已被参数化了的替代值。被接受的值或替代值显示在一个为此而设的显示区中。“接受”或“不接受”的状态通过一个自有的一位值(接受状态)显示在一个独立的显示区中。
根据一个第二方案,一个第二用户,即超级用户,用其自有钥匙对第一用户的输入和映射值进行检验和确认。根据他的确认生成并显示一个一位值(超级用户确认)。一个被接受的值显示为当前有效值。如果超级用户在一个可以界定的时间间隔内不接受第一用户所输入的值,输入功能就会复位。
在停止和重新启动(F-)CPU后和/或出现供电故障时,F功能维持在安全状态,各默认值则显示为当前有效安全值。
综上所述,本发明涉及一种用于安全记录输入值的系统和方法,所述输入值在一故障安全计算单元中接受处理。为了在使用一个非故障安全操作装置的情况下实现输入值的安全记录,本发明提供如下建议:借助一个操作装置,用第一显示模块显示通过输入模块输入的第一个值,将第一个值和一个识别值一起不加密地传输给一个故障安全计算单元,将由计算单元传输过来的第二个值换算成第三个值,用第二显示模块显示第三个值,用第三显示模块显示通过输入模块输入的第四个值,将第四个值换算成第五个值,并将第五个值和识别值一起不加密地传输给计算单元;其中,计算单元的作用是:存储第一个值、校验值和极限值,借助第一比较模块11比较识别值和其中一个校验值,借助第二比较模块12比较第一个值和极限值,将第一个值换算成第二个值,将第二个值不加密地传输给操作装置,借助第三比较模块13比较第五个值和第一个值。
Claims (24)
1.一种用于安全记录输入值的系统,所述系统具有一个操作装置(1)和一个故障安全计算单元(2),其中,所述操作装置(1)具有
用于显示可通过输入模块(3)输入的第一个值的第一显示模块(6),
用于将所述第一个值和一个识别值不加密地传输给所述计算单元(2)的通讯模块(4),
用于将可由所述计算单元(2)传输的第二个值换算成第三个值的计算模块(5),
用于显示所述第三个值的第二显示模块(7),
用于显示可通过所述输入模块(3)输入的第四个值的第三显示模块(8),其中,所述计算模块(5)用于将所述第四个值换算成第五个值,所述通讯模块(4)用于将所述第五个值和所述识别值一起不加密地传输给所述计算单元(2),
其中,所述计算单元(2)具有
用于存储所述第一个值、校验值和极限值的存储模块(10),
用于将所述识别值和其中一个校验值进行比较的第一比较模块(11),
用于将所述第一个值和所述极限值进行比较的第二比较模块(12),
用于将所述第一个值换算成第二个值的计算模块(15),
用于将所述第二个值不加密地传输给所述操作装置(1)的传输模块(14),以及
用于将所述第五个值和所述第一个值进行比较的第三比较模块(13)。
2.根据权利要求1所述的系统,其特征在于,
所述计算模块(5,15)用于生成所述值的一个补数。
3.根据权利要求1或2所述的系统,其特征在于,
所述计算单元(2)具有根据所述比较模块(11,12,13)的比较结果释放所述第一个值的模块。
4.根据上述权利要求中任一权利要求所述的系统,其特征在于,
分别用于显示所述第一个值和所述第三个值的所述第一显示模块(6)和所述第二显示模块(7)被不同地格式化。
5.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述操作装置(1)具有一个可以通过所述输入模块(3)启动的中断功能。
6.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述计算单元(2)具有可程控的监控模块(16),所述监控模块用于监控所述第一个值和所述第四个值的传输时间。
7.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述操作装置(1)具有用于显示可由所述计算单元(2)传输的第六个值的第四显示模块(9)。
8.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述存储模块(15)用于以不同方式存储所述校验值。
9.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述输入模块(3)不支持拖放功能。
10.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述计算单元(2)具有故障安全功能模块(17),所述功能模块用于对所述操作装置(1)进行安全的功能测试。
11.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述操作装置(1)具有对用户进行鉴别的模块(18)。
12.根据上述权利要求中任一权利要求所述的系统,其特征在于,
所述系统是一个自动化系统的一部分。
13.一种安全记录输入值的方法,所述方法是借助一个操作装置(1)
用第一显示模块(6)显示通过输入模块(3)输入的第一个值,
将所述第一个值和一个识别值一起不加密地传输给一个故障安全计算单元(2),
将由所述计算单元(2)传输的第二个值换算成第三个值,
用第二显示模块(7)显示所述第三个值,
用第三显示模块(8)显示通过所述输入模块(3)输入的第四个值,
将所述第四个值换算成第五个值,以及
将所述第五个值和所述识别值一起不加密地传输给所述计算单元(2),
在这种方法中,所述计算单元(2)的作用是
存储所述第一个值、校验值和极限值,
借助第一比较模块(11)比较所述识别值和其中一个校验值,
借助第二比较模块(12)比较所述第一个值和所述极限值,
将所述第一个值换算成第二个值,
将所述第二个值不加密地传输给所述操作装置(1),以及
借助第三比较模块(13)比较所述第五个值和所述第一个值。
14.根据权利要求13所述的方法,其特征在于,
所述计算模块(5,15)分别生成所述值的一个补数。
15.根据权利要求13或14所述的方法,其特征在于,
所述计算单元(2)根据所述比较模块(11,12,13)的比较结果释放所述第一个值。
16.根据权利要求13至15中任一权利要求所述的方法,其特征在于,
所述第一显示模块(6)和所述第二显示模块(7)用不同格式分别显示所述第一个值和所述第三个值。
17.根据权利要求13至16中任一权利要求所述的方法,其特征在于,
通过所述输入模块(3)可以启动所述操作装置(1)的一个中断功能。
18.根据权利要求13至17中任一权利要求所述的方法,其特征在于,
借助所述计算单元(2)中可程控的监控模块(16)对所述第一个值和所述第四个值的传输时间进行监控。
19.根据权利要求13至18中任一权利要求所述的方法,其特征在于,
用第四显示模块(9)显示可由所述计算单元(2)传输的第六个值。
20.根据权利要求13至19中任一权利要求所述的方法,其特征在于,
以不同方式存储所述校验值。
21.根据权利要求13至20中任一权利要求所述的方法,其特征在于,
所述输入模块(3)不支持拖放功能。
22.根据权利要求13至21中任一权利要求所述的方法,其特征在于,
所述计算单元(2)的故障安全功能模块(17)对所述操作装置(1)安全地进行一次功能测试。
23.根据权利要求13至22中任一权利要求所述的方法,其特征在于,
所述操作装置(1)对用户进行鉴别。
24.根据权利要求13至23中任一权利要求所述的方法,其特征在于,
所述用于记录输入值的方法在一个自动化系统内部实施。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10353210A DE10353210A1 (de) | 2003-11-13 | 2003-11-13 | Sichere Erfassung von Eingabewerten |
| DE10353210.2 | 2003-11-13 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1879087A true CN1879087A (zh) | 2006-12-13 |
| CN100421079C CN100421079C (zh) | 2008-09-24 |
Family
ID=34585098
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800332694A Expired - Fee Related CN100421079C (zh) | 2003-11-13 | 2004-11-08 | 输入值的安全记录 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7890557B2 (zh) |
| EP (1) | EP1683016B1 (zh) |
| CN (1) | CN100421079C (zh) |
| DE (2) | DE10353210A1 (zh) |
| WO (1) | WO2005048103A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103631216A (zh) * | 2012-08-21 | 2014-03-12 | 克洛纳测量技术有限公司 | 用于为现场装置给定参数的方法以及用于给定参数的系统 |
| CN112740122A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1847891A1 (de) * | 2006-04-21 | 2007-10-24 | Siemens Aktiengesellschaft | Sichere Parametrierung einer Sicherheitsschaltungsvorrichtung |
| EP2246756B1 (de) * | 2009-04-30 | 2019-03-06 | Siemens Aktiengesellschaft | Verfahren und Bediengerät zum Bedienen einer sicherheitsgerichteten industriellen Automatisierungskomponente |
| DE102010026392B4 (de) * | 2010-07-07 | 2012-02-09 | Leuze Electronic Gmbh & Co. Kg | Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts |
| WO2015128341A1 (de) * | 2014-02-26 | 2015-09-03 | Bernecker + Rainer Industrie-Elektronik Ges.M.B.H | Verfahren zur betätigung eines sicheren schaltelements einer anlage |
| DE102015114717A1 (de) * | 2015-09-03 | 2017-03-09 | Euchner Gmbh + Co. Kg | Verfahren zur Einstellung einer Betriebsart eines Sicherheitssystems |
| EP3644145A1 (en) * | 2018-10-25 | 2020-04-29 | ABB Schweiz AG | Control system for controlling safety-critical and non-safety-critical processes |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3442418A1 (de) * | 1984-11-20 | 1986-05-22 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum betrieb eines signaltechnisch sicheren mehrrechnersystems mit mehreren signaltechnisch nicht sicheren ein/ausgabebaugruppen |
| DE3567975D1 (en) | 1985-11-13 | 1989-03-02 | Nippon Denki Home Electronics | Fail-safe control circuit |
| US4858117A (en) * | 1987-08-07 | 1989-08-15 | Bull Hn Information Systems Inc. | Apparatus and method for preventing computer access by unauthorized personnel |
| TW283223B (zh) * | 1994-12-01 | 1996-08-11 | Casio Computer Co Ltd | |
| US6026449A (en) * | 1995-02-14 | 2000-02-15 | Casio Computer Co., Ltd. | Computers with a proof function |
| US5608661A (en) * | 1995-09-01 | 1997-03-04 | Phillip J. Hoolehan | Method and apparatus for semi-automatic number verification |
| DE10020074C5 (de) | 2000-04-22 | 2010-04-29 | Pilz Gmbh & Co. Kg | Modulares Sicherheitsschaltgeräte-System |
| JP4998314B2 (ja) * | 2008-02-19 | 2012-08-15 | コニカミノルタホールディングス株式会社 | 通信制御方法および通信制御プログラム |
-
2003
- 2003-11-13 DE DE10353210A patent/DE10353210A1/de not_active Withdrawn
-
2004
- 2004-11-08 DE DE502004008985T patent/DE502004008985D1/de active Active
- 2004-11-08 WO PCT/EP2004/012623 patent/WO2005048103A1/de active Application Filing
- 2004-11-08 EP EP04818386A patent/EP1683016B1/de not_active Not-in-force
- 2004-11-08 CN CNB2004800332694A patent/CN100421079C/zh not_active Expired - Fee Related
- 2004-11-08 US US10/578,426 patent/US7890557B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103631216A (zh) * | 2012-08-21 | 2014-03-12 | 克洛纳测量技术有限公司 | 用于为现场装置给定参数的方法以及用于给定参数的系统 |
| CN112740122A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
| CN112740122B (zh) * | 2018-08-21 | 2024-03-15 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100421079C (zh) | 2008-09-24 |
| US7890557B2 (en) | 2011-02-15 |
| EP1683016A1 (de) | 2006-07-26 |
| WO2005048103A1 (de) | 2005-05-26 |
| DE502004008985D1 (de) | 2009-03-26 |
| EP1683016B1 (de) | 2009-02-11 |
| US20070185945A1 (en) | 2007-08-09 |
| DE10353210A1 (de) | 2005-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10268557B2 (en) | Network monitoring device, network system, and computer program product | |
| CN101405666B (zh) | 用于验证安全通信部件安装位置的方法及控制和数据传送系统 | |
| JP5068436B2 (ja) | 安全性関連処理のバス結合のための方法と装置 | |
| US10922071B2 (en) | Centralized off-board flash memory for server devices | |
| US20070220369A1 (en) | Fault isolation and availability mechanism for multi-processor system | |
| RU2013135240A (ru) | Способ и устройство управления доступом к компьютерной системе | |
| CN105398225A (zh) | 墨盒芯片、墨盒、墨盒识别系统和墨盒识别方法 | |
| CN101840221A (zh) | 可移动安全模块及相关方法 | |
| CN104169817B (zh) | 用于控制安全关键过程的控制装置及其参数化方法 | |
| CN113138929A (zh) | 分布式接口测试方法、装置、电子设备及存储介质 | |
| CN1879087A (zh) | 输入值的安全记录 | |
| JP6477553B2 (ja) | プログラム開発支援装置、プログラム開発支援プログラムおよびプログラム開発支援方法 | |
| CN107463516A (zh) | 控制装置 | |
| CN107102851A (zh) | 存储器芯片与数据保护方法 | |
| CN115437341A (zh) | 一种车辆以太网诊断方法、装置、设备和介质 | |
| CN105868657A (zh) | 装置和用于安全地操作该装置的方法 | |
| CN112579452A (zh) | 软件自动化测试方法、装置、设备及存储介质 | |
| CN101751311B (zh) | 请求处理设备、请求处理系统和存取测试方法 | |
| CN113589790B (zh) | 基于伺服驱动器指纹的伺服驱动器和控制器安全接入方法 | |
| CN113708922B (zh) | 一种汽车指纹vfp的安全更新方法 | |
| US11909821B2 (en) | Method for processing application programs in a distributed automation system | |
| US20220050740A1 (en) | Method and Apparatus for Memory Error Detection | |
| CN109299008B (zh) | 一种核电站控制系统安全功能自动测试系统及方法 | |
| CN106204405A (zh) | 一种高安全性校车信息处理系统 | |
| US20040093357A1 (en) | Method for parameterizing an apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080924 Termination date: 20171108 |