DE102016202749A1 - Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung - Google Patents

Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung Download PDF

Info

Publication number
DE102016202749A1
DE102016202749A1 DE102016202749.2A DE102016202749A DE102016202749A1 DE 102016202749 A1 DE102016202749 A1 DE 102016202749A1 DE 102016202749 A DE102016202749 A DE 102016202749A DE 102016202749 A1 DE102016202749 A1 DE 102016202749A1
Authority
DE
Germany
Prior art keywords
function
safety
operating
control device
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016202749.2A
Other languages
English (en)
Inventor
Jörg Quaas
Udo Walden
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Festo SE and Co KG
Original Assignee
Festo SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Festo SE and Co KG filed Critical Festo SE and Co KG
Priority to DE102016202749.2A priority Critical patent/DE102016202749A1/de
Priority to US15/436,053 priority patent/US10295984B2/en
Priority to CN201710099011.3A priority patent/CN107102597B/zh
Publication of DE102016202749A1 publication Critical patent/DE102016202749A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft eine sicherheitsgerichtete Steuervorrichtung zur Ansteuerung eines Aktors, insbesondere eines Prozessventils und/oder Stellglieds, mit einer ersten Verarbeitungseinrichtung, die konfiguriert ist, eine Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, des Aktors bereitzustellen, und einer zweiten Verarbeitungseinrichtung konfiguriert ist, eine Betriebs- und/oder Zusatzfunktion zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale bereitzustellen, und wobei die zweite Verarbeitungseinrichtung ferner konfiguriert ist, eine Testfunktion zur Überwachung der Funktionalität der Sicherheitsfunktion bereitzustellen.

Description

  • Die Erfindung betrifft eine sicherheitsgerichtete Steuervorrichtung, die ausgebildet ist, eine Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, eines Aktors, insbesondere eines Prozessventils und/oder Stellglieds, bereitzustellen.
  • Eine solche sicherheitsgerichtete Steuervorrichtung soll beispielsweise gewährleisten, dass ein Aktor, wie z.B. ein Ventil, im Notfall in einen sicheren Zustand versetzt werden kann. Ein sicherer Zustand kann beispielsweise eine Sperrstellung oder offene Stellung eines Ventilglieds des Ventils sein. Die Sicherheitsfunktion, die die sicherheitsgerichtete Ansteuerung gewährleisten soll, muss bestimmte Sicherheitsanforderungen, wie beispielsweise eine sehr geringe Ausfallwahrscheinlichkeit, erfüllen. Wird die Sicherheitsfunktion als Softwarefunktion bzw. mit Hilfe von Software implementiert, so muss gewährleistet werden, dass diese Softwarefunktion bzw. Software deterministisch ausgeführt wird und innerhalb einer bestimmten Zeitperiode das gewünschte Ergebnis, z.B. die sicherheitsgerichtete Ansteuerung, bereitstellt. Die Sicherheitsfunktion kann beispielsweise als Echtzeitsystem konzipiert sein. Die zu erfüllenden Sicherheitsanforderungen sind z.B. in der Norm DIN EN 61508 definiert.
  • Es ist wünschenswert, die sicherheitsgerichtete Steuervorrichtung mit weiteren Funktionen auszustatten. Insbesondere ist es wünschenswert, die sicherheitsgerichtete Steuervorrichtung mit Funktionen zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale auszustatten. Denkbar sind insbesondere Funktionen zur Diagnose, Übermittlung und/oder Darstellung von vorzugsweise im Zusammenhang mit der Sicherheitsfunktion erlangten Daten. Beispielsweise kann es sich um eine Funktion zur Ansteuerung eines Displays oder um ein Funktion zur Kommunikation über einen Feldbus handeln. Darüber hinaus ist auch denkbar, Funktionen in der sicherheitsgerichteten Steuervorrichtung zu integrieren, die nicht direkt mit der Sicherheitsfunktion zusammenhängen sondern stattdessen beispielsweise den Normalbetrieb des anzusteuernden Aktors betreffen. Im Rahmen einer solchen Funktionsintegration ist z.B. denkbar, sämtliche Ansteuerfunktionen für den Aktor sowie die vorstehend genannte Sicherheitsfunktion in einer einzigen sicherheitsgerichteten Steuervorrichtung bereitzustellen. Eine solche sicherheitsgerichtete Steuervorrichtung kann beispielsweise als Positioner und/oder Steuerkopf ausgebildet sein.
  • Die genannten weiteren Funktionen, die zusätzlich durch die sicherheitsgerichtete Steuervorrichtung bereitgestellt werden sollen, werden im Nachfolgenden auch als Betriebs- und/oder Zusatzfunktionen bezeichnet. Sie können sich von der Sicherheitsfunktion z.B. dadurch unterscheiden, dass sie nicht-sicherheitsgerichtet sind und daher weniger strenge Sicherheitsanforderungen erfüllen müssen als die Sicherheitsfunktion. Vorzugsweise werden an die zugehörige Software und Elektronik keine Sicherheitsanforderungen gestellt. Bei den Betriebs- und/oder Zusatzfunktionen kann es sich insbesondere um nicht-deterministische und/oder nicht-echtzeitfähige Softwarefunktionen handeln.
  • Es gibt Ansätze, die Sicherheitsfunktion gemeinsam mit Betriebs- und/oder Zusatzfunktionen auf einer Verarbeitungseinrichtung, wie beispielsweise einem Mikrocontroller zu implementieren. Bei einer solchen Vorgehensweise müssen die Betriebs- und/oder Zusatzfunktionen oftmals mit denselben hohen Sicherheitsanforderungen wie die Sicherheitsfunktion implementiert werden.
  • Die Erfindung geht hier einen anderen Weg. Erfindungsgemäß umfasst die sicherheitsgerichtete Steuervorrichtung eine erste Verarbeitungseinrichtung, die konfiguriert ist, eine Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, des Aktors bereitzustellen, und eine zweite Verarbeitungseinrichtung, die konfiguriert ist, eine Betriebs- und/oder Zusatzfunktion zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale bereitzustellen.
  • Erfindungsgemäß werden die Sicherheitsfunktion und die Betriebs- und/oder Zusatzfunktion demnach auf zwei verschiedenen Verarbeitungseinrichtungen, wie beispielsweise zwei verschiedenen Mikrocontrollern, realisiert.
  • Auf diese Weise wird der Vorteil erzielt, dass die Betriebs- und/oder Zusatzfunktion nicht dieselben Sicherheitsanforderungen erfüllen muss wie die Sicherheitsfunktion. Dadurch wird die Entwicklung der Betriebs- und/oder Zusatzfunktion erleichtert.
  • Werden stattdessen Sicherheitsfunktion und Betriebs- und/oder Zusatzfunktion auf derselben Verarbeitungseinrichtung ausgeführt, so hängt die Verlässlichkeit der Sicherheitsfunktion immer auch von der Implementierung der Betriebs- und/oder Zusatzfunktion ab, da dann das Risiko besteht, dass die Betriebs- und/oder Zusatzfunktion zumindest zeitweise bestimmte Ressourcen belegt und die Sicherheitsfunktion deshalb nicht wie benötigt ausgeführt werden kann. Eine Implementierung der Betriebs- und/oder Zusatzfunktion, die dieses Risiko ausschließt bzw. ausreichend vermindert, wird umso schwieriger, je umfangreicher und komplexer die Betriebs- und/oder Zusatzfunktion ausgestaltet ist. Gerade bei zunehmender Funktionsintegration (Diagnose, hochwertige Displays, Feldbusse) entsteht dann zunehmend ein Interessenskonflikt zwischen den hohen Anforderungen an die Sicherheitsintegrität der Sicherheitsfunktion und den funktionalen Anforderungen der Betriebs- und/oder Zusatzfunktion.
  • Durch die erfindungsgemäße Implementierung der Sicherheitsfunktion und der Betriebs- und/oder Zusatzfunktion auf zwei Verarbeitungseinrichtungen, wie beispielsweise zwei separaten Mikrocontrollern, wird dieses Problem gelöst.
  • Die erste Verarbeitungseinrichtung ist dabei vorzugsweise als Echtzeitsystem konfiguriert, so dass eine Bereitstellung der Sicherheitsfunktion innerhalb eines fest definierten Zeitintervalls gewährleistet ist. Insbesondere ist die erste Verarbeitungseinrichtung als deterministisches Echtzeitsystem konfiguriert, so dass zeitliche Anforderungen an die Sicherheitsfunktion gewährleistet werden. Vorzugsweise wird auf der ersten Verarbeitungseinrichtung keine nicht-sicherheitsgerichtete Funktion bereitgestellt.
  • Um die Funktionalität der Sicherheitsfunktion abzusichern, ist es zudem wünschenswert, eine Testfunktion vorzusehen, die die Funktionalität der Sicherheitsfunktion überwacht. Eine solche Testfunktion wird z.B. in der Norm DIN 13849-1, Kategorie 2 – einkanalige Struktur mit separater Testeinrichtung, vorgeschlagen.
  • Konventionell wird eine solche Testfunktion mittels eines einfachen, diskreten Elektronikbausteins realisiert, dessen Funktion im Wesentlichen darin besteht, an die Sicherheitsfunktion in regelmäßigen Abständen ein Testsignal auszugeben und zu prüfen, ob in Ansprechen auf das Testsignal ein erwartetes Bestätigungssignal empfangen wird. Wird kein Bestätigungssignal empfangen, so gibt die Testfunktion ein Alarmsignal aus und/oder führt eine Not-Ansteuerung, wie beispielsweise eine Notabschaltung, durch. Die Testfunktion kann vorzugsweise Diagnosefunktionen umfassen, die von einem höheren System, wie beispielsweise einer übergeordneten speicherprogrammierbaren Steuerung (SPS) verwendet werden, um die Sicherheitsfunktion zu überwachen.
  • Erfindungsgemäß ist nun vorgesehen, dass die zweite Verarbeitungseinrichtung – also diejenige Verarbeitungseinrichtung, auf der bereits die Betriebs- und/oder Zusatzfunktion realisiert ist – ferner konfiguriert ist, eine Testfunktion zur Überwachung der Funktionalität der Sicherheitsfunktion bereitzustellen.
  • Erfindungsgemäß wird die Testfunktion also insbesondere nicht mittels eines einfachen, diskreten Elektronikbausteins realisiert, sondern stattdessen auf derselben Verarbeitungseinrichtung, wie beispielsweise ein Mikrocontroller, bereitgestellt, auf der bereits die Betriebs- und/oder Zusatzfunktion bereitgestellt wird.
  • Hierdurch wird insbesondere der Vorteil erzielt, dass keine zusätzliche Hardwarekomponente erforderlich ist, um die Testfunktion bereitzustellen. Zudem wird der Vorteil erzielt, dass die Testfunktion nun auf einer Verarbeitungseinrichtung, wie beispielsweise einem Mikrocontroller, implementiert ist, die leistungsstärker als ein einfacher, diskreter Elektronikbaustein ist, und es somit möglich wird, die Testfunktion je nach Einsatzgebiet bzw. Anforderung auch komplexer auszugestalten. Zudem kann die Testfunktion, da sie nun auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, in einfacher Weise auf die Betriebs- und/oder Zusatzfunktion zugreifen.
  • Die Testfunktion ist vorzugsweise ausgebildet, gemäß dem Ergebnis der Überwachung der Sicherheitsfunktion eine Ansteuerung des Aktors vorzunehmen und/oder über ein Alarmmodul ein Alarmsignal, beispielsweise an eine übergeordnete SPS, auszugeben. Insbesondere ist die Testfunktion ausgebildet, einen Ausfall der Sicherheitsfunktion zu erkennen und diesen zu melden.
  • Bei der Steuervorrichtung handelt es sich vorzugsweise um ein Gerät, das in der Prozessautomatisierung verwendet wird. Insbesondere handelt es sich bei der Steuervorrichtung um ein Gerät mit Sicherheit-Integritätslevel (SIL) 2 für Anwendungen im Low-Demand-Mode oder High-Demand-Mode. Ein solches Gerät ist beispielsweise gemäß der Norm DIN EN 61508 ausgebildet.
  • Erfindungsgemäß wird ferner ein Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung bereitgestellt. Die sicherheitsgerichtete Steuervorrichtung dient einer Ansteuerung eines Aktors, insbesondere eines Prozessventils und/oder Stellglieds, und weist eine erste und eine zweite Verarbeitungseinrichtung auf. Das Verfahren umfasst die Schritte: Bereitstellen einer Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme einer Sicherheitsstellung, des Aktors auf der ersten Verarbeitungseinrichtung, Bereitstellen einer Betriebs- und/oder Zusatzfunktion zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale auf der zweiten Verarbeitungseinrichtung und Bereitstellen einer Testfunktion zur Überwachung der Funktionalität der Sicherheitsfunktion auf der zweiten Verarbeitungseinrichtung.
  • Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
  • Vorzugsweise umfasst die erste Verarbeitungseinrichtung einen ersten Prozessorkern und/oder ein Logikbauteil und ist ausgebildet, die Sicherheitsfunktion auf dem ersten Prozessorkern und/oder dem Logikbauteil bereitzustellen. Die zweite Verarbeitungseinrichtung umfasst vorzugsweise einen zweiten Prozessorkern und ist ausgebildet, die Testfunktion und die Betriebs- und/oder Zusatzfunktion auf dem zweiten Prozessorkern bereitzustellen.
  • Die Sicherheitsfunktion und die Betriebs- und/oder Zusatzfunktion werden insbesondere auf verschiedenen Hardwarekomponenten ausgeführt. Dadurch wird sichergestellt, dass die Betriebs- und/oder Zusatzfunktion keine Rückwirkung auf die Ausführung der Sicherheitsfunktion hat und diese insbesondere nicht stören kann.
  • Die Sicherheitsfunktion wird auf einer eigenen Hardwarekomponente – der ersten Verarbeitungseinrichtung – bereitgestellt. Dadurch wird es einfacher, die Sicherheitsfunktion entsprechend der normativen Vorgaben zu entwickeln und zu testen.
  • Ferner wird die Betriebs- und/oder Zusatzfunktion von der Sicherheitsfunktion separiert und auf einer anderen Hardwarekomponente – der zweiten Verarbeitungseinrichtung – bereitgestellt. Insbesondere werden dabei sämtlich nicht-sicherheitsgerichteten Funktionen auf einer anderen Hardwarekomponente bzw. Verarbeitungseinrichtung als die Sicherheitsfunktion bereitgestellt. Dadurch wird eine Erweiterbarkeit der Betriebs- und/oder Zusatzfunktion erleichtert.
  • Die Sicherheitsfunktion kann auf einem ersten Prozessorkern oder einem Logikbaustein bereitgestellt werden. Als Logikbaustein kommt z.B. ein FPGA, PLA oder ASIC in Frage. Der Prozessorkern kann Teil eines Einzelkern- oder Mehrkern-Prozessors sein.
  • Die Testfunktion und die Betriebs- und/oder Zusatzfunktion werden bevorzugt auf einem zweiten Prozessorkern bereitgestellt. In einer vorteilhaften Weiterbildung können der erste Prozessorkern und der zweite Prozessorkern demselben Mehrkern-Prozessor zugehörig sein.
  • Zweckmäßigerweise sind die erste Verarbeitungseinrichtung und die zweite Verarbeitungseinrichtung kommunikativ miteinander verbunden, vorzugsweise über eine digitale Kommunikationsschnittstelle.
  • In bevorzugter Ausgestaltung umfasst die erste Verarbeitungseinrichtung einen ersten Mikrocontroller und/oder die zweite Verarbeitungseinrichtung umfasst einen zweiten Mikrocontroller.
  • Die Sicherheitsfunktion kann dabei auf dem ersten Mikrocontroller bereitgestellt werden und die Testfunktion und die Betriebs- und/oder Zusatzfunktion können auf dem zweiten Mikrocontroller bereitgestellt werden.
  • Auf diese Weise lässt sich eine besonders gute Separierung zwischen sicherheitsrelevanten und nicht-sicherheitsrelevanten Funktionen erzielen.
  • Gemäß einer bevorzugten Ausgestaltung ist die Betriebs- und/oder Zusatzfunktion eine nicht-sicherheitsgerichtete Funktion. Beispielsweise ist die Betriebs- und/oder Zusatzfunktion eine nicht-echtzeitfähige und/oder nicht deterministische Softwarefunktion.
  • Aufgrund der vorstehend diskutierten Separierung der Betriebs- und/oder Zusatzfunktion von der Sicherheitsfunktion muss die Betriebs- und/oder Zusatzfunktion nicht dieselben Sicherheitsanforderungen erfüllen wie die Sicherheitsfunktion. Dadurch verringert sich der Entwicklungsaufwand der Betriebs- und/oder Zusatzfunktion. Die Betriebs- und/oder Zusatzfunktion kann optional als nicht-echtzeitfähige und/oder nicht deterministische Softwarefunktion ausgebildet sein.
  • Zweckmäßigerweise ist die Sicherheitsfunktion ausgebildet, vorzugsweise periodisch, ein Prüfsignal an die Testfunktion auszugeben, um zu bewirken, dass die Testfunktion eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion durchführt.
  • Bei der Überwachungsoperation handelt es sich beispielsweise um die Ausgabe eines Testsignals an die Sicherheitsfunktion und die Prüfung, ob in Ansprechen auf das Testsignal ein erwartetes Bestätigungssignal von der Sicherheitsfunktion empfangen wird.
  • Insbesondere verfügt die zweite Verarbeitungseinrichtung über Informationen bzw. über eine Erwartungshaltung bezüglich der Zeitpunkte und/oder des Inhalts der Ausgabe des Prüfsignals und ist ausgebildet, die Bereitstellung der Testfunktion und/oder der Betriebs- und/oder Zusatzfunktion basierend auf diesen Informationen bzw. der Erwartungshaltung anzupassen.
  • Vorzugsweise sind die beiden Verarbeitungseinrichtungen über eine digitale Kommunikationsschnittstelle verbunden, und die genannten Informationen werden über diese Kommunikationsschnittstelle der zweiten Verarbeitungseinrichtung bereitgestellt.
  • Durch die Anpassung der Bereitstellung der Testfunktion und/oder der Betriebs- und/oder Zusatzfunktion kann sichergestellt werden, dass die Testfunktion zu den gegebenen Zeitpunkten ordnungsgemäß ausgeführt werden kann, so dass die Sicherheitsfunktion geeignet überwacht wird.
  • Gemäß einer bevorzugten Ausgestaltung ist die Testfunktion als Softwaremodul ausgebildet. Vorzugsweise handelt es sich dabei um ein portierbares Softwaremodul.
  • Eine derart ausgebildete Testfunktion lässt sich autonom in komplexere Softwaresysteme integrieren ohne auf Sicherheitseigenschaften des umschließenden Systems angewiesen zu sein.
  • Insbesondere umfasst die zweite Verarbeitungseinrichtung eine Diagnosefunktion zur Validitätsprüfung der Testfunktion, vorzugsweise mittels einer Speicher-Integritätsprüfung.
  • Auf diese Weise kann sichergestellt werden, dass die Testfunktion ordnungsgemäß ausgeführt werden kann.
  • Vorzugsweise ist die Testfunktion ausgebildet, basierend auf einem Ergebnis der Überwachung der Sicherheitsfunktion, Einfluss auf den Betrieb der Betriebs- und/oder Zusatzfunktion zu nehmen und/oder auf diese zuzugreifen.
  • Somit kann die Betriebs- und/oder Zusatzfunktion dazu verwendet werden, auf ein Ergebnis der Überwachung der Sicherheitsfunktion zu reagieren. Beispielsweise kann mittels einer Betriebs- und/oder Zusatzfunktion, die der Ansteuerung eines Displays dient, eine Darstellung einer entsprechenden Meldung auf dem Display erfolgen. Ferner ist es möglich, mittels einer Betriebs- und/oder Zusatzfunktion, die der Kommunikation über einen Feldbus dient, eine entsprechende Meldung über den Feldbus auszugeben. Beispielsweise kann dabei ein sicherheitsgerichteter Kanal, wie z.B. ein sogenannter "Black Channel" des Feldbusses bereitgestellt werden.
  • Der Zugriff bzw. die Einflussnahme der Testfunktion auf die Betriebs- und/oder Zusatzfunktion kann vorzugsweise als Ergebnis der Auswertung einer Watchdog-Funktion der Testfunktion erfolgen, beispielsweise dann, wenn innerhalb einer vorbestimmten Zeitperiode kein erwartetes Bestätigungssignal von der Sicherheitsfunktion empfangen wird.
  • Vorteilhafte Ausführungsformen der Erfindung sind in der Zeichnung dargestellt. Dabei zeigt
  • 1 ein Blockdiagramm eines sicherheitsgerichteten Steuersystems mit einer sicherheitsgerichteten Steuervorrichtung
  • 2 ein Blockdiagramm einer Software- und Elektronikarchitektur für ein sicherheitsgerichtetes Steuersystem
  • Die 1 zeigt ein Blockdiagramm eines sicherheitsgerichteten Steuersystems 10, das eine übergeordnete speicherprogrammierbare Steuerung (SPS) 8, eine sicherheitsgerichtete Steuervorrichtung 1 und einen Aktor 2 umfasst.
  • Die sicherheitsgerichtete Steuervorrichtung 1 ist dabei insbesondere als Steuerkopf oder Positioner ausgebildet und dient dazu, den Aktor 2 anzusteuern. Vorzugsweise ist die sicherheitsgerichtete Steuervorrichtung 1 als IP-Wandler ausgebildet, der dazu dient, elektrische Signale in pneumatische Signale umzusetzen. Bei der Steuervorrichtung 1 handelt es sich vorzugsweise um ein Gerät, das in der Prozessautomatisierung verwendet wird. Insbesondere handelt es sich bei der Steuervorrichtung um ein Gerät das Teil einer Sicherheitsfunktion ist und durch ein Sicherheit-Integritätslevel (SIL) 2 gemäß der Norm DIN EN 61508 beschrieben ist.
  • Der Aktor 2 umfasst ein steuerbares Element, das nachfolgend auch als Aktorglied 26 bezeichnet wird. Der Aktor 2 umfasst ferner eine Sensoreinrichtung 25, die dazu dient, einen Zustand des Aktors 2, wie beispielsweise eine Stellung des Aktorglieds 26, zu erfassen und entsprechende Sensorsignale an die sicherheitsgerichtete Steuervorrichtung 1 auszugeben.
  • Im gezeigten Beispiel ist die Sensoreinrichtung 25 Teil des Aktors 2. Alternativ dazu ist es auch möglich, dass die Sensoreinrichtung 25 an der Steuervorrichtung 1 angeordnet ist. Die Kommunikation der Sensoreinrichtung 25 mit der sicherheitsgerichteten Steuervorrichtung 1 erfolgt über eine Sensorverbindung 23 sowie über einen Sensoranschluss 21 der Steuervorrichtung 1.
  • Bei dem Aktor 2 handelt es sich beispielsweise um ein Stellglied in der Prozessautomatisierung, insbesondere um ein Prozessventil. Das Aktorglied 26 kann einen Antrieb und eine Armatur darstellen, deren Stellung durch die sicherheitsgerichteten Steuervorrichtung 1 gesteuert und/oder geregelt wird. Die Sensoreinrichtung 25 dient dazu, die Stellung des Ventilglieds 26 zu erfassen.
  • Der Antrieb des Aktorglieds 26 erfolgt über eine Antriebseinrichtung 22 und eine Antriebsverbindung 24. Handelt es sich bei dem Aktor 2 um ein fluidisch angetriebenes Ventil, so kann die Antriebseinrichtung 22 beispielsweise als Steuerventil und die Antriebsverbindung 24 als Fluidverbindung ausgebildet sein. Alternativ dazu ist es auch möglich, dass der Aktor 2 mechanisch angetrieben wird. In diesem Fall kann die Antriebseinrichtung 22 beispielsweise als Elektromotor und die Antriebsverbindung 24 als mechanisches Koppelelement, wie beispielsweise als Antriebswelle, ausgebildet sein. Zudem kann der Aktor 2 elektrisch angesteuert werden. In diesem Fall kann der Antrieb beispielsweise ein pneumatischer oder elektrischer Antrieb sein. Die Antriebseinrichtung 22 ist beispielsweise als elektrische Treibereinheit und die Antriebsverbindung 24 als elektrische Verbindung ausgebildet.
  • Die sicherheitsgerichtete Steuervorrichtung 1 stellt eine Betriebs- und/oder Zusatzfunktion 6 bereit, die zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe von mit dem Betrieb der Steuervorrichtung 1 und/oder des Aktors 2 in Verbindung stehenden Signalen dient. Im vorliegenden Ausführungsbeispiel dient die Betriebs- und/oder Zusatzfunktion 6 insbesondere dazu, im Normalbetrieb Steuersignale zu erzeugen, die an die Antriebseinrichtung 22 ausgegeben werden, um das Aktorglied 26 in eine gewünschte Stellung zu versetzten bzw. auf eine gewünschte Art und Weise zu bewegen. Die Betriebs- und/oder Zusatzfunktion 6 dient ferner dazu, von der Sensoreinrichtung 25 empfangene Sensorsignale zu verarbeiten.
  • Zudem ist die Betriebs- und/oder Zusatzfunktion 6 ausgebildet, eine Kommunikation mit der SPS 8 durchzuführen. Im gezeigten Ausführungsbeispiel ist diese Kommunikation bidirektional und erfolgt über einen Kommunikationspfad, der über die Steuerungsanschlüsse 11 und 18 verläuft, die über eine Steuerungsverbindung 15 miteinander verbunden sind. Der Kommunikationspfad kann beispielsweise als Feldbus implementiert sein. Die Steuerungsverbindung 15 ist beispielsweise eine 2-Leiter-Schnittstelle.
  • Über diesen Kommunikationspfad empfängt die Betriebs- und/oder Zusatzfunktion 6 beispielsweise Steuersignale von der SPS 8, die anzeigen, in welche Stellung das Aktorglied 26 versetzt werden soll. Ferner kann die Betriebs- und/oder Zusatzfunktion 6 der SPS 8 über diesen Kommunikationspfad mitteilen, in welcher Stellung sich das Aktorglied 26 momentan befindet.
  • Die Betriebs- und/oder Zusatzfunktion 6 kann ferner eine Diagnosefunktion umfassen, die dazu dient, verfügbare Daten auszuwerten. Zudem kann die Betriebs- und/oder Zusatzfunktion 6 dazu dienen, ein in der Figur nicht gezeigtes Display anzusteuern, um beispielsweise mittels der Diagnosefunktion erhaltene Daten anzuzeigen.
  • Die sicherheitsgerichtete Steuervorrichtung 1 umfasst ferner eine Sicherheitsfunktion 5, die bestimmte Anforderungen, insbesondere bestimmte Sicherheitsanforderungen, beispielsweise gemäß der Norm DIN EN 61508 erfüllt. Dabei handelt es sich beispielsweise um die Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung des Aktors 2, um den Aktor 2 in einen sicheren Zustand versetzen zu können. Handelt es sich bei dem Aktor 2 um das vorstehend genannte Stellglied bzw. Prozessventil in der Prozessautomatisierung, so kann der sichere Zustand beispielsweise darin bestehen, dass sich das Ventilglied in einer Sperrstellung oder einer geöffneten Stellung befindet.
  • Die Sicherheitsfunktion 5 soll gewährleisten, dass der Aktor 2 zuverlässig, vorzugsweise jederzeit, in den sicheren Zustand versetzt werden kann, selbst dann, wenn die Betriebs- und/oder Zusatzfunktion 6, die, wie vorstehend bereits beschrieben, auch der Ansteuerung des Aktors 2 dient, ausfällt.
  • Aus diesem Grund muss die Sicherheitsfunktion 5 höhere Anforderungen, beispielsweise gemäß der Norm DIN EN 61508, insbesondere Sicherheitsanforderungen, erfüllen als die Betriebs- und/oder Zusatzfunktion 6. Vorzugsweise ist die Sicherheitsfunktion 5 eine sicherheitsgerichtete Funktion, während die Betriebs- und/oder Zusatzfunktion 6 insbesondere eine nicht-sicherheitsgerichtete Funktion ist. Eine sicherheitsgerichtete Funktion soll in diesem Zusammenhang eine Funktion sein, die mit einer vorbestimmten Ausfallwahrscheinlichkeit innerhalb einer vorbestimmten Zeitperiode eine bestimmte Operation ausführt. Eine sicherheitsgerichtete Funktion kann beispielsweise als echtzeitfähige oder deterministische Funktion ausgebildet sein.
  • Für die Bereitstellung der Sicherheitsfunktion 5 und der vorstehend genannten Betriebs- und/oder Zusatzfunktion 6 umfasst die sicherheitsgerichtete Steuervorrichtung 1 eine erste Verarbeitungseinrichtung 3 und eine zweite Verarbeitungseinrichtung 4. Die erste Verarbeitungseinrichtung 3 und die zweite Verarbeitungseinrichtung 4 sind insbesondere jeweils dazu geeignet, Logikfunktionen und/oder Softwarefunktionen bereitzustellen ohne dabei auf der jeweils anderen Verarbeitungseinrichtung 3 oder 4 bereitgestellte Logikfunktionen und/oder Softwarefunktionen zu stören bzw. von diesen benötigte Ressourcen zu belegen.
  • Die erste Verarbeitungseinrichtung 3 ist beispielsweise ein erster Mikrocontroller oder ein Logikbaustein der Steuervorrichtung 1. Die zweite Verarbeitungseinrichtung 4 ist beispielsweise ein zweiter Mikrocontroller.
  • Die Sicherheitsfunktion 5 wird nun auf der ersten Verarbeitungseinrichtung 3 bereitgestellt, während die vorstehend genannte Betriebs- und/oder Zusatzfunktion 6 auf der zweiten Verarbeitungseinrichtung 4 bereitgestellt wird.
  • Die Sicherheitsfunktion 5 und die Betriebs- und/oder Zusatzfunktion 6 werden demnach auf verschiedenen Verarbeitungseinrichtungen ausgeführt. Dadurch wird insbesondere sichergestellt, dass die Betriebs- und/oder Zusatzfunktion 6 die Ausführung der Sicherheitsfunktion 5 nicht stören kann.
  • Da die Sicherheitsfunktion 5 auf einer eigenen Verarbeitungseinrichtung bereitgestellt wird, wird es zudem einfacher, die Sicherheitsfunktion 5 entsprechend der Sicherheitsanforderungen zu entwickeln und zu testen.
  • Auch wird es durch die hardwaremäßige Trennung von Sicherheitsfunktion 5 und Betriebs- und/oder Zusatzfunktion 6 einfacher, die Betriebs- und/oder Zusatzfunktion zu entwickeln bzw. zu erweitern. Insbesondere müssen dabei nicht die für die Sicherheitsfunktion 5 geltenden hohen Anforderungen, beispielsweise gemäß der Norm DIN EN 61508, insbesondere Sicherheitsanforderungen, erfüllt werden.
  • Die sicherheitsgerichtete Ansteuerung durch die Sicherheitsfunktion 5 wird beispielsweise durch ein Befehl ausgelöst, der von der SPS 8 erhalten wird.
  • Im gezeigten Beispiel weist die SPS 8 einen sicherheitsgerichteten SPS-Ausgang 12 auf, der über eine Sicherheitsverbindung 16 mit einem sicherheitsgerichteten Eingang 19 der sicherheitsgerichteten Steuervorrichtung 1 kommunikativ verbunden ist. Über den sicherheitsgerichteten Eingang 19 kann die Sicherheitsfunktion 5 Befehle von der SPS 8 erhalten.
  • Der durch den sicherheitsgerichteten SPS-Ausgang 12, die Sicherheitsverbindung 16 sowie den sicherheitsgerichteten Eingang 19 gebildete Kommunikationspfad kann dabei ein physikalischer oder ein logischer Kommunikationspfad sein. Beispielsweise kann der Kommunikationspfad mittels eines eigens vorgesehen Leiters physikalisch realisiert sein. Alternativ dazu kann der Kommunikationspfad auch logisch als Kanal eines zwischen der SPS und der Steuervorrichtung 1 bereitgestellten Feldbusses realisiert sein. Dabei kann es sich insbesondere um denselben Feldbus handeln, der bereits den vorstehend diskutierten Kommunikationspfad zwischen der SPS 8 und der Betriebs- und/oder Zusatzfunktion bereitstellt.
  • Auf der vorgenannten zweiten Verarbeitungseinrichtung 4, auf der bereits die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, wird erfindungsgemäß ferner eine Testfunktion 7 bereitgestellt. Diese Testfunktion 7 dient dazu, die Funktionalität der Sicherheitsfunktion 5 zu überwachen.
  • Dadurch, dass diese Testfunktion 7 auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, wird insbesondere der Vorteil erzielt, dass keine zusätzliche Hardwarekomponente erforderlich ist, um die Testfunktion 7 bereitzustellen. Zudem wird der Vorteil erzielt, dass die Testfunktion 7 nun je nach Einsatzgebiet bzw. Anforderung auch komplexer ausgestaltet werden kann, da die zweite Verarbeitungseinrichtung 4 die dazu benötigte Leistungsstärke aufweist. Zudem kann die Testfunktion 7, da sie nun auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion 6 bereitgestellt wird, in einfacher Weise auf die Betriebs- und/oder Zusatzfunktion 6 zugreifen.
  • Die Testfunktion 7 stellt beispielsweise die Funktionalität der gemäß der Norm DIN 13849-1, Kategorie 2 – einkanalige Struktur mit separater Testeinrichtung – vorgeschlagenen Testeinrichtung bereit.
  • Zwischen der ersten Verarbeitungseinrichtung 3 und der zweiten Verarbeitungseinrichtung 4 ist eine digitale Kommunikationsschnittstelle vorgesehen, über welche die Sicherheitsfunktion 5 und die Testfunktion 7 miteinander kommunizieren können.
  • Beispielsweise ist die Sicherheitsfunktion 5 ausgebildet, über diese Kommunikationsschnittstelle periodisch ein Prüfsignal an die Testfunktion 7 auszugeben, um zu bewirken, dass die Testfunktion 7 eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion 5 durchführt. Bei der Überwachungsoperation handelt es sich beispielsweise um die Ausgabe eines Testsignals an die Sicherheitsfunktion 5 und die Prüfung, ob die Testfunktion 7 ein erwartetes Bestätigungssignal von der Sicherheitsfunktion 5 als Reaktion auf das Testsignal empfängt.
  • Wird kein erwartetes Bestätigungssignal empfangen, so gibt die Testfunktion 7 ein Alarmsignal an die SPS 8 aus.
  • Zu diesem Zweck ist die Testfunktion 7 über einen Kommunikationspfad mit der SPS 8 verbunden. Im gezeigten Beispiel verläuft dieser Kommunikationspfad über einen Alarmausgang 17 der sicherheitsgerichteten Steuervorrichtung 1, eine Alarmverbindung 14 und einen Alarmeingang 9 der SPS 8. Dieser Kommunikationspfad kann als physikalischer oder als logischer Kommunikationspfad bereitgestellt werden. Beispielsweise kann der Kommunikationspfad mittels eines eigens vorgesehen Leiters physikalisch realisiert sein. Alternativ dazu kann der Kommunikationspfad auch logisch als Kanal eines zwischen der SPS 8 und der Steuervorrichtung 1 bereitgestellten Feldbusses realisiert sein. Dabei kann es sich insbesondere um denselben Feldbus handeln, der bereits den vorstehend diskutierten Kommunikationspfad zwischen der SPS 8 und der Betriebs- und/oder Zusatzfunktion bereitstellt.
  • Die Testfunktion 7 kann ferner dazu ausgebildet sein, alternativ oder zusätzlich zu der Ausgabe des Alarmsignals an die SPS 8 eine Ansteuerung des Aktors 2 durchzuführen oder zu bewirken, um den Aktor 2 in einen sicheren Zustand zu versetzen.
  • Zu diesem Zweck kann die Testfunktion 7 beispielsweise ausgebildet sein, auf die Betriebs- und/oder Zusatzfunktion 6 zuzugreifen, um mittels der Betriebs- und/oder Zusatzfunktion 6 eine entsprechende Ansteuerung des Aktors 2 vorzunehmen. Alternativ dazu kann die Testfunktion 7 auch einen eigenen Kommunikationspfad zu der Antriebseinrichtung 22 aufweisen, um eine entsprechende Ansteuerung des Aktors 2 zu bewirken.
  • Ferner kann die Testfunktion 7 ausgebildet sein, mittels einer Betriebs- und/oder Zusatzfunktion 6, die der Ansteuerung eines in der Figur nicht gezeigten Displays dient, eine Darstellung einer Meldung auf dem Display zu bewirken, die beispielsweise das Ergebnis der Überwachung der Sicherheitsfunktion 5 anzeigt. Ferner kann die Testfunktion 7 ausgebildet sein, mittels einer Betriebs- und/oder Zusatzfunktion 6, die der Kommunikation über einen Feldbus dient, eine Meldung über den Feldbus an die SPS 8 auszugeben. Beispielsweise kann über die Steuerungsschnittstellen 11 und 18 und die Steuerungsverbindung 15 ein solcher Feldbus bereitgestellt werden. In diesem Fall kann der oben beschriebene Kommunikationspfad über den Alarmausgang 17, die Alarmverbindung 14 und den Alarmeingang 9 entfallen.
  • Die zweite Verarbeitungseinrichtung 4 ist vorzugsweise ausgebildet, über die digitale Kommunikationsschnittstelle Informationen von der ersten Verarbeitungseinrichtung 3 bezüglich der Zeitpunkte der Ausgabe des Prüfsignals zu erhalten. Die zweite Verarbeitungseinrichtung 4 ist insbesondere ausgebildet, basierend auf diesen Informationen die Bereitstellung der Testfunktion 7 und/oder der Betriebs- und/oder Zusatzfunktion 6 anzupassen. Beispielsweise ist die zweite Verarbeitungseinrichtung 4 ausgebildet, dafür zu sorgen, dass zum Zeitpunkt der Ausgabe des Prüfsignals an die Testfunktion 7 genügend Ressourcen verfügbar sind, so dass die Testfunktion 7 ausgeführt werden kann.
  • Um zu gewährleisten, dass die Testfunktion 7 ordnungsgemäß ausgeführt wird, kann die zweite Verarbeitungseinrichtung 4 zudem eine Diagnosefunktion zur Validitätsprüfung der Testfunktion 7, vorzugsweise mittels einer Speicher-Integritätsprüfung, aufweisen.
  • Die 2 zeigt ein Blockdiagramm einer Software- und Elektronikarchitektur 20 für ein sicherheitsgerichtetes Steuersystem.
  • Die gezeigte Software- und Elektronikarchitektur 20 kann beispielsweise für das vorstehend diskutierte sicherheitsgerichtete Steuersystem 10 eingesetzt werden.
  • Die Software- und Elektronikarchitektur 20 umfasst dabei einen sicherheitsgerichteten Abschnitt und einen nicht-sicherheitsgerichteten Abschnitt.
  • Der sicherheitsgerichtete Abschnitt umfasst einen sicherheitsgerichteten Eingang 27, eine Sicherheitsfunktion 5 sowie einen sicherheitsgerichteten Ausgang 31.
  • Der nicht-sicherheitsgerichtete Abschnitt umfasst eine Betriebs- und/oder Zusatzfunktion 6 sowie eine Testfunktion 7. Der Nicht-sicherheitsgerichtete Abschnitt umfasst ferner einen Betriebs- und/oder Zusatzausgang 28 sowie einen Alarmausgang 29.
  • Die gestrichelte Linie 32 ist als Hardware-Trennlinie zu verstehen und soll anzeigen, dass die Betriebs- und/oder Zusatzfunktion 6 und die Testfunktion 7 auf einer anderen Hardwarekomponente bereitgestellt werden als die Sicherheitsfunktion 5.
  • Die Sicherheitsfunktion 5 dient dazu, als Reaktion auf einen an dem sicherheitsgerichteten Eingang 27 empfangenen oder erzeugten Befehl eine sicherheitsgerichtete Ansteuerung am sicherheitsgerichteten Ausgang 31 bereitzustellen.
  • Zusätzlich dazu ist die Sicherheitsfunktion 5 ausgebildet, anhand der Überwachungspfade 33 und 34 die Funktionalität des sicherheitsgerichteten Eingangs 27 und des sicherheitsgerichteten Ausgangs 31 zu überwachen.
  • Im Kontext des vorstehend diskutierten sicherheitsgerichteten Steuersystems 10 kann beispielsweise die SPS 8 den sicherheitsgerichteten Eingang 27 darstellen, und die Antriebseinrichtung 22 oder der Aktor 2 den sicherheitsgerichteten Ausgang 31. Die Sicherheitsfunktion 5 der 2 entspricht dabei der in der 1 auf der ersten Verarbeitungseinrichtung 3 ausgeführten Sicherheitsfunktion 5.
  • Die Testfunktion 7 dient dazu, die Funktionalität der Sicherheitsfunktion 5 zu überwachen. Die Sicherheitsfunktion 5 sendet über einen Prüfpfad 35 ein Prüfsignal an die Testfunktion 7, das bewirkt, dass die Testfunktion 7 über einen Überwachungspfad 36 eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion 5 ausführt.
  • Die Testfunktion 7 ist ferner ausgebildet, über den Alarmausgang 29 eine Meldung über das Ergebnis der Überwachung der Sicherheitsfunktion 5 auszugeben. Schließlich ist die Testfunktion 7 auch noch ausgebildet, auf die Betriebs- und/oder Zusatzfunktion Einfluss zu nehmen und/oder auf diese zuzugreifen.
  • Die Betriebs- und/oder Zusatzfunktion 6 ist ausgebildet, von dem sicherheitsgerichteten Eingang 27 Signale zu empfangen und Signale an den Betriebs- und/oder Zusatzausgang 28 auszugeben.
  • Im Kontext des vorstehend diskutierten sicherheitsgerichteten Steuersystems 10 kann beispielsweise die digitale Kommunikationsschnittstelle zwischen den beiden Verarbeitungseinrichtungen 3 und 4 den Prüfpfad 35 und den Überwachungspfad 36 darstellen. Ferner kann der Alarmausgang 17 den Alarmausgang 29 darstellen, und die Antriebseinrichtung 22 kann den sicherheitsgerichteten Ausgang 31 in Kombination mit dem Betriebs- und/oder Zusatzausgang 28 darstellen. Die Testfunktion 7 und die Betriebs- und/oder Zusatzfunktion 6 der 2 entsprechen dabei der Testfunktion 7 und der Betriebs- und/oder Zusatzfunktion 6 der 1.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Norm DIN EN 61508 [0002]
    • Norm DIN 13849-1 [0012]
    • Norm DIN EN 61508 [0018]
    • Norm DIN EN 61508 [0049]
    • Norm DIN EN 61508 [0058]
    • Norm DIN EN 61508 [0060]
    • Norm DIN EN 61508 [0066]
    • Norm DIN 13849-1 [0072]

Claims (10)

  1. Sicherheitsgerichtete Steuervorrichtung (1) zur Ansteuerung eines Aktors (2), insbesondere eines Prozessventils und/oder Stellglieds, mit einer ersten Verarbeitungseinrichtung (3), die konfiguriert ist, eine Sicherheitsfunktion (5) zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, des Aktors (2) bereitzustellen, und einer zweite Verarbeitungseinrichtung (4), die konfiguriert ist, eine Betriebs- und/oder Zusatzfunktion (6) zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung (1) und/oder des Aktors (2) in Verbindung stehender Signale bereitzustellen, wobei die zweite Verarbeitungseinrichtung (4) ferner konfiguriert ist, eine Testfunktion (7) zur Überwachung der Funktionalität der Sicherheitsfunktion (5) bereitzustellen.
  2. Sicherheitsgerichtete Steuervorrichtung (1) nach Anspruch 1, dadurch gekennzeichnet, dass die erste Verarbeitungseinrichtung (3) einen ersten Prozessorkern und/oder ein Logikbauteil umfasst und ausgebildet ist, die Sicherheitsfunktion (5) auf dem ersten Prozessorkern und/oder dem Logikbauteil bereitzustellen, und die zweite Verarbeitungseinrichtung (4) einen zweiten Prozessorkern umfasst und ausgebildet ist, die Testfunktion (7) und die Betriebs- und/oder Zusatzfunktion (6) auf dem zweiten Prozessorkern bereitzustellen.
  3. Sicherheitsgerichtete Steuervorrichtung (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Verarbeitungseinrichtung (3) einen ersten Mikrocontroller umfasst und/oder die zweite Verarbeitungseinrichtung (4) einen zweiten Mikrocontroller umfasst.
  4. Sicherheitsgerichtete Steuervorrichtung (1) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die Betriebs- und/oder Zusatzfunktion (6) eine nicht-sicherheitsgerichtete Funktion ist.
  5. Sicherheitsgerichtete Steuervorrichtung (1) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitsfunktion (5) ausgebildet ist, vorzugsweise periodisch, ein Prüfsignal an die Testfunktion (7) auszugeben, um zu bewirken, dass die Testfunktion (7) eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion (5) durchführt.
  6. Sicherheitsgerichtete Steuervorrichtung (1) nach Anspruch 5, dadurch gekennzeichnet, dass die zweite Verarbeitungseinrichtung (4) über Informationen bezüglich der Zeitpunkte und/oder des Inhalts der Ausgabe des Prüfsignals verfügt und ausgebildet ist, die Bereitstellung der Testfunktion (7) und/oder der Betriebs- und/oder Zusatzfunktion (6) basierend auf diesen Informationen anzupassen.
  7. Sicherheitsgerichtete Steuervorrichtung (1) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die Testfunktion (7) als vorzugsweise portierbares Softwaremodul ausgebildet ist.
  8. Sicherheitsgerichtete Steuervorrichtung (1) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die zweite Verarbeitungseinrichtung (4) eine Diagnosefunktion zur Validitätsprüfung der Testfunktion (7), vorzugsweise mittels einer Speicher-Integritätsprüfung, umfasst.
  9. Sicherheitsgerichtete Steuervorrichtung (1) nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die Testfunktion (7) ausgebildet ist, vorzugsweise basierend auf einem Ergebnis der Überwachung der Sicherheitsfunktion (5), Einfluss auf den Betrieb der Betriebs- und/oder Zusatzfunktion (6) zu nehmen und/oder auf diese zuzugreifen.
  10. Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung (1) zur Ansteuerung eines Aktors (2), insbesondere eines Ventils, mit einer ersten Verarbeitungseinrichtung (3) und einer zweiten Verarbeitungseinrichtung (4), umfassend die Schritte: Bereitstellen einer Sicherheitsfunktion (5) zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme einer Sicherheitsstellung, des Aktors (2) auf der ersten Verarbeitungseinrichtung (3), Bereitstellen einer Betriebs- und/oder Zusatzfunktion (6) zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung (1) und/oder des Aktors (2) in Verbindung stehender Signale auf der zweiten Verarbeitungsvorrichtung (4) und Bereitstellen einer Testfunktion (7) zur Überwachung der Funktionalität der Sicherheitsfunktion (5) auf der zweiten Verarbeitungseinrichtung (4).
DE102016202749.2A 2016-02-23 2016-02-23 Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung Pending DE102016202749A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016202749.2A DE102016202749A1 (de) 2016-02-23 2016-02-23 Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
US15/436,053 US10295984B2 (en) 2016-02-23 2017-02-17 Safety-related control device and method for operating a safety-related control device
CN201710099011.3A CN107102597B (zh) 2016-02-23 2017-02-23 安全相关的控制设备和运行安全相关的控制设备的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016202749.2A DE102016202749A1 (de) 2016-02-23 2016-02-23 Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung

Publications (1)

Publication Number Publication Date
DE102016202749A1 true DE102016202749A1 (de) 2017-08-24

Family

ID=59522520

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016202749.2A Pending DE102016202749A1 (de) 2016-02-23 2016-02-23 Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung

Country Status (3)

Country Link
US (1) US10295984B2 (de)
CN (1) CN107102597B (de)
DE (1) DE102016202749A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022120198A1 (de) 2022-08-10 2024-02-15 Pilz Gmbh & Co. Kg Modulare Steuerungseinrichtung

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT201600117298A1 (it) * 2016-11-21 2018-05-21 Pizzato Elettrica Srl Interruttore di sicurezza con cpu differenziate
DE102018102788A1 (de) * 2018-02-08 2019-08-08 Hengstler Gmbh Verfahren zur Datenübertragung zwischen einem Encoder und einer Motor- und/oder Aktor-Kontrolleinheit über einen unsicheren Kanal

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19756616A1 (de) * 1997-12-19 1999-07-01 Bosch Gmbh Robert Überwachungsvorrichtung für Garagentorantriebe
DE102013213402A1 (de) * 2013-07-09 2015-01-15 Robert Bosch Gmbh Mikrocontroller mit mindestens zwei Kernen

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10320031A1 (de) * 2003-05-06 2004-12-16 Samson Ag Verfahren und Vorrichtung zum Prüfen der Betriebssicherheit eines Prozessstellgeräts
US8180466B2 (en) * 2003-11-21 2012-05-15 Rosemount Inc. Process device with supervisory overlayer
DE102009014620B4 (de) * 2009-03-24 2014-03-27 Siemens Aktiengesellschaft Adressabhängige Sicherheitscodefolgen für sichere Eingangsslaves bei AS-Interface
DE102009019087A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
US8996328B2 (en) * 2009-12-29 2015-03-31 Fisher Controls International Llc Methods, apparatus and articles of manufacture to test safety instrumented system solenoids
EP2537091A4 (de) * 2010-02-16 2014-08-06 Freescale Semiconductor Inc Datenverarbeitungsverfahren, datenprozessor und vorrichtung mit einem datenprozessor
JP5735383B2 (ja) * 2011-09-02 2015-06-17 アズビル株式会社 調節弁の異常診断方法および装置
US9090265B2 (en) * 2012-08-28 2015-07-28 GM Global Technology Operations LLC Active safety systems of vehicles with graphical microprocessors
US10185291B2 (en) * 2013-06-28 2019-01-22 Fisher Controls International Llc System and method for shutting down a field device
JP5862614B2 (ja) * 2013-07-11 2016-02-16 横河電機株式会社 フィールド機器及びデータ処理方法
CN105813970B (zh) * 2013-12-12 2019-04-12 奥的斯电梯公司 用于在驱动系统中使用的安全系统
CN204965181U (zh) * 2015-09-25 2016-01-13 中国矿业大学 一种基于异构网络的汽车远程故障诊断系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19756616A1 (de) * 1997-12-19 1999-07-01 Bosch Gmbh Robert Überwachungsvorrichtung für Garagentorantriebe
DE102013213402A1 (de) * 2013-07-09 2015-01-15 Robert Bosch Gmbh Mikrocontroller mit mindestens zwei Kernen

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Norm DIN 13849-1
Norm DIN EN 61508

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022120198A1 (de) 2022-08-10 2024-02-15 Pilz Gmbh & Co. Kg Modulare Steuerungseinrichtung

Also Published As

Publication number Publication date
US20170242417A1 (en) 2017-08-24
CN107102597B (zh) 2021-04-20
CN107102597A (zh) 2017-08-29
US10295984B2 (en) 2019-05-21

Similar Documents

Publication Publication Date Title
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1392546B1 (de) Vorrichtung zum steuern elektrischer systeme mit einem testmodul
DE102013112488A1 (de) Sicherheitssteuerung mit konfigurierbaren Eingängen
DE102013103454A1 (de) Messumformerspeisegerät, System zum Einsatz in der Automatisierungstechnik, sowie Verfahren zum Bedienen eines solchen Systems
DE102007054672A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE102013103380A1 (de) Steuer- und Datenübertragungsanlage, Prozesseinrichtung und Verfahren zur redundanten Prozesssteuerung mit dezentraler Redundanz
CH702454A1 (de) Anordnung mit einer übergeordneten Steuereinheit und zumindest einem mit der Steuereinheit verbindbaren intelligenten Feldgerät.
EP2707999B1 (de) Signalverarbeitungssystem und verfahren zur verarbeitung von signalen in einem busknoten
DE102011077318B4 (de) Simulationssystem, Verfahren zur Durchführung einer Simulation, Leitsystem und Computerprogrammprodukt
DE112008003195T5 (de) Elektrischer Schaltkreis mit einem physikalischen Übertragungsschicht-Diagnosesystem
DE102016202749A1 (de) Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
EP3100121A1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP2701019B1 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
EP1860565A1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
DE102007063291A1 (de) Sicherheitssteuerung
EP3510453B1 (de) Kommunikationsvorrichtung zum durchführen einer steuerungs-interaktion zwischen einer bedienelektronik und einem stellgerät
EP2187278A1 (de) Steuerungsanbindung eines Sicherheitsschaltgerätes
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
EP3492339B1 (de) Diagnoseverfahren für subsysteme in schienenfahrzeugen sowie vorrichtung zur durchführung des diagnoseverfahrens
EP3404430B1 (de) Verfahren zur überwachung eines betriebs einer binären schnittstelle und entsprechende binäre schnittstelle
EP3448632B1 (de) System und verfahren zum steuern eines roboters
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
EP2984495B1 (de) Mehrbenutzerfähige testumgebung für eine mehrzahl von testobjekten
EP2733718A2 (de) Verfahren und Vorrichtung zur Auswertung von Signalen, die von einem OSSD-Ausgangselement kommen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: FESTO SE & CO. KG, DE

Free format text: FORMER OWNER: FESTO AG & CO. KG, 73734 ESSLINGEN, DE

Owner name: FESTO AG & CO. KG, DE

Free format text: FORMER OWNER: FESTO AG & CO. KG, 73734 ESSLINGEN, DE

R082 Change of representative

Representative=s name: PATENTANWAELTE MAGENBAUER & KOLLEGEN PARTNERSC, DE