-
Die Erfindung betrifft eine sicherheitsgerichtete Steuervorrichtung, die ausgebildet ist, eine Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, eines Aktors, insbesondere eines Prozessventils und/oder Stellglieds, bereitzustellen.
-
Eine solche sicherheitsgerichtete Steuervorrichtung soll beispielsweise gewährleisten, dass ein Aktor, wie z.B. ein Ventil, im Notfall in einen sicheren Zustand versetzt werden kann. Ein sicherer Zustand kann beispielsweise eine Sperrstellung oder offene Stellung eines Ventilglieds des Ventils sein. Die Sicherheitsfunktion, die die sicherheitsgerichtete Ansteuerung gewährleisten soll, muss bestimmte Sicherheitsanforderungen, wie beispielsweise eine sehr geringe Ausfallwahrscheinlichkeit, erfüllen. Wird die Sicherheitsfunktion als Softwarefunktion bzw. mit Hilfe von Software implementiert, so muss gewährleistet werden, dass diese Softwarefunktion bzw. Software deterministisch ausgeführt wird und innerhalb einer bestimmten Zeitperiode das gewünschte Ergebnis, z.B. die sicherheitsgerichtete Ansteuerung, bereitstellt. Die Sicherheitsfunktion kann beispielsweise als Echtzeitsystem konzipiert sein. Die zu erfüllenden Sicherheitsanforderungen sind z.B. in der Norm DIN EN 61508 definiert.
-
Es ist wünschenswert, die sicherheitsgerichtete Steuervorrichtung mit weiteren Funktionen auszustatten. Insbesondere ist es wünschenswert, die sicherheitsgerichtete Steuervorrichtung mit Funktionen zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale auszustatten. Denkbar sind insbesondere Funktionen zur Diagnose, Übermittlung und/oder Darstellung von vorzugsweise im Zusammenhang mit der Sicherheitsfunktion erlangten Daten. Beispielsweise kann es sich um eine Funktion zur Ansteuerung eines Displays oder um ein Funktion zur Kommunikation über einen Feldbus handeln. Darüber hinaus ist auch denkbar, Funktionen in der sicherheitsgerichteten Steuervorrichtung zu integrieren, die nicht direkt mit der Sicherheitsfunktion zusammenhängen sondern stattdessen beispielsweise den Normalbetrieb des anzusteuernden Aktors betreffen. Im Rahmen einer solchen Funktionsintegration ist z.B. denkbar, sämtliche Ansteuerfunktionen für den Aktor sowie die vorstehend genannte Sicherheitsfunktion in einer einzigen sicherheitsgerichteten Steuervorrichtung bereitzustellen. Eine solche sicherheitsgerichtete Steuervorrichtung kann beispielsweise als Positioner und/oder Steuerkopf ausgebildet sein.
-
Die genannten weiteren Funktionen, die zusätzlich durch die sicherheitsgerichtete Steuervorrichtung bereitgestellt werden sollen, werden im Nachfolgenden auch als Betriebs- und/oder Zusatzfunktionen bezeichnet. Sie können sich von der Sicherheitsfunktion z.B. dadurch unterscheiden, dass sie nicht-sicherheitsgerichtet sind und daher weniger strenge Sicherheitsanforderungen erfüllen müssen als die Sicherheitsfunktion. Vorzugsweise werden an die zugehörige Software und Elektronik keine Sicherheitsanforderungen gestellt. Bei den Betriebs- und/oder Zusatzfunktionen kann es sich insbesondere um nicht-deterministische und/oder nicht-echtzeitfähige Softwarefunktionen handeln.
-
Es gibt Ansätze, die Sicherheitsfunktion gemeinsam mit Betriebs- und/oder Zusatzfunktionen auf einer Verarbeitungseinrichtung, wie beispielsweise einem Mikrocontroller zu implementieren. Bei einer solchen Vorgehensweise müssen die Betriebs- und/oder Zusatzfunktionen oftmals mit denselben hohen Sicherheitsanforderungen wie die Sicherheitsfunktion implementiert werden.
-
Die Erfindung geht hier einen anderen Weg. Erfindungsgemäß umfasst die sicherheitsgerichtete Steuervorrichtung eine erste Verarbeitungseinrichtung, die konfiguriert ist, eine Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme eines sicheren Zustands, des Aktors bereitzustellen, und eine zweite Verarbeitungseinrichtung, die konfiguriert ist, eine Betriebs- und/oder Zusatzfunktion zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale bereitzustellen.
-
Erfindungsgemäß werden die Sicherheitsfunktion und die Betriebs- und/oder Zusatzfunktion demnach auf zwei verschiedenen Verarbeitungseinrichtungen, wie beispielsweise zwei verschiedenen Mikrocontrollern, realisiert.
-
Auf diese Weise wird der Vorteil erzielt, dass die Betriebs- und/oder Zusatzfunktion nicht dieselben Sicherheitsanforderungen erfüllen muss wie die Sicherheitsfunktion. Dadurch wird die Entwicklung der Betriebs- und/oder Zusatzfunktion erleichtert.
-
Werden stattdessen Sicherheitsfunktion und Betriebs- und/oder Zusatzfunktion auf derselben Verarbeitungseinrichtung ausgeführt, so hängt die Verlässlichkeit der Sicherheitsfunktion immer auch von der Implementierung der Betriebs- und/oder Zusatzfunktion ab, da dann das Risiko besteht, dass die Betriebs- und/oder Zusatzfunktion zumindest zeitweise bestimmte Ressourcen belegt und die Sicherheitsfunktion deshalb nicht wie benötigt ausgeführt werden kann. Eine Implementierung der Betriebs- und/oder Zusatzfunktion, die dieses Risiko ausschließt bzw. ausreichend vermindert, wird umso schwieriger, je umfangreicher und komplexer die Betriebs- und/oder Zusatzfunktion ausgestaltet ist. Gerade bei zunehmender Funktionsintegration (Diagnose, hochwertige Displays, Feldbusse) entsteht dann zunehmend ein Interessenskonflikt zwischen den hohen Anforderungen an die Sicherheitsintegrität der Sicherheitsfunktion und den funktionalen Anforderungen der Betriebs- und/oder Zusatzfunktion.
-
Durch die erfindungsgemäße Implementierung der Sicherheitsfunktion und der Betriebs- und/oder Zusatzfunktion auf zwei Verarbeitungseinrichtungen, wie beispielsweise zwei separaten Mikrocontrollern, wird dieses Problem gelöst.
-
Die erste Verarbeitungseinrichtung ist dabei vorzugsweise als Echtzeitsystem konfiguriert, so dass eine Bereitstellung der Sicherheitsfunktion innerhalb eines fest definierten Zeitintervalls gewährleistet ist. Insbesondere ist die erste Verarbeitungseinrichtung als deterministisches Echtzeitsystem konfiguriert, so dass zeitliche Anforderungen an die Sicherheitsfunktion gewährleistet werden. Vorzugsweise wird auf der ersten Verarbeitungseinrichtung keine nicht-sicherheitsgerichtete Funktion bereitgestellt.
-
Um die Funktionalität der Sicherheitsfunktion abzusichern, ist es zudem wünschenswert, eine Testfunktion vorzusehen, die die Funktionalität der Sicherheitsfunktion überwacht. Eine solche Testfunktion wird z.B. in der Norm DIN 13849-1, Kategorie 2 – einkanalige Struktur mit separater Testeinrichtung, vorgeschlagen.
-
Konventionell wird eine solche Testfunktion mittels eines einfachen, diskreten Elektronikbausteins realisiert, dessen Funktion im Wesentlichen darin besteht, an die Sicherheitsfunktion in regelmäßigen Abständen ein Testsignal auszugeben und zu prüfen, ob in Ansprechen auf das Testsignal ein erwartetes Bestätigungssignal empfangen wird. Wird kein Bestätigungssignal empfangen, so gibt die Testfunktion ein Alarmsignal aus und/oder führt eine Not-Ansteuerung, wie beispielsweise eine Notabschaltung, durch. Die Testfunktion kann vorzugsweise Diagnosefunktionen umfassen, die von einem höheren System, wie beispielsweise einer übergeordneten speicherprogrammierbaren Steuerung (SPS) verwendet werden, um die Sicherheitsfunktion zu überwachen.
-
Erfindungsgemäß ist nun vorgesehen, dass die zweite Verarbeitungseinrichtung – also diejenige Verarbeitungseinrichtung, auf der bereits die Betriebs- und/oder Zusatzfunktion realisiert ist – ferner konfiguriert ist, eine Testfunktion zur Überwachung der Funktionalität der Sicherheitsfunktion bereitzustellen.
-
Erfindungsgemäß wird die Testfunktion also insbesondere nicht mittels eines einfachen, diskreten Elektronikbausteins realisiert, sondern stattdessen auf derselben Verarbeitungseinrichtung, wie beispielsweise ein Mikrocontroller, bereitgestellt, auf der bereits die Betriebs- und/oder Zusatzfunktion bereitgestellt wird.
-
Hierdurch wird insbesondere der Vorteil erzielt, dass keine zusätzliche Hardwarekomponente erforderlich ist, um die Testfunktion bereitzustellen. Zudem wird der Vorteil erzielt, dass die Testfunktion nun auf einer Verarbeitungseinrichtung, wie beispielsweise einem Mikrocontroller, implementiert ist, die leistungsstärker als ein einfacher, diskreter Elektronikbaustein ist, und es somit möglich wird, die Testfunktion je nach Einsatzgebiet bzw. Anforderung auch komplexer auszugestalten. Zudem kann die Testfunktion, da sie nun auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, in einfacher Weise auf die Betriebs- und/oder Zusatzfunktion zugreifen.
-
Die Testfunktion ist vorzugsweise ausgebildet, gemäß dem Ergebnis der Überwachung der Sicherheitsfunktion eine Ansteuerung des Aktors vorzunehmen und/oder über ein Alarmmodul ein Alarmsignal, beispielsweise an eine übergeordnete SPS, auszugeben. Insbesondere ist die Testfunktion ausgebildet, einen Ausfall der Sicherheitsfunktion zu erkennen und diesen zu melden.
-
Bei der Steuervorrichtung handelt es sich vorzugsweise um ein Gerät, das in der Prozessautomatisierung verwendet wird. Insbesondere handelt es sich bei der Steuervorrichtung um ein Gerät mit Sicherheit-Integritätslevel (SIL) 2 für Anwendungen im Low-Demand-Mode oder High-Demand-Mode. Ein solches Gerät ist beispielsweise gemäß der Norm DIN EN 61508 ausgebildet.
-
Erfindungsgemäß wird ferner ein Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung bereitgestellt. Die sicherheitsgerichtete Steuervorrichtung dient einer Ansteuerung eines Aktors, insbesondere eines Prozessventils und/oder Stellglieds, und weist eine erste und eine zweite Verarbeitungseinrichtung auf. Das Verfahren umfasst die Schritte: Bereitstellen einer Sicherheitsfunktion zur Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung, insbesondere zur Einnahme einer Sicherheitsstellung, des Aktors auf der ersten Verarbeitungseinrichtung, Bereitstellen einer Betriebs- und/oder Zusatzfunktion zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe weiterer mit dem Betrieb der Steuervorrichtung und/oder des Aktors in Verbindung stehender Signale auf der zweiten Verarbeitungseinrichtung und Bereitstellen einer Testfunktion zur Überwachung der Funktionalität der Sicherheitsfunktion auf der zweiten Verarbeitungseinrichtung.
-
Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
-
Vorzugsweise umfasst die erste Verarbeitungseinrichtung einen ersten Prozessorkern und/oder ein Logikbauteil und ist ausgebildet, die Sicherheitsfunktion auf dem ersten Prozessorkern und/oder dem Logikbauteil bereitzustellen. Die zweite Verarbeitungseinrichtung umfasst vorzugsweise einen zweiten Prozessorkern und ist ausgebildet, die Testfunktion und die Betriebs- und/oder Zusatzfunktion auf dem zweiten Prozessorkern bereitzustellen.
-
Die Sicherheitsfunktion und die Betriebs- und/oder Zusatzfunktion werden insbesondere auf verschiedenen Hardwarekomponenten ausgeführt. Dadurch wird sichergestellt, dass die Betriebs- und/oder Zusatzfunktion keine Rückwirkung auf die Ausführung der Sicherheitsfunktion hat und diese insbesondere nicht stören kann.
-
Die Sicherheitsfunktion wird auf einer eigenen Hardwarekomponente – der ersten Verarbeitungseinrichtung – bereitgestellt. Dadurch wird es einfacher, die Sicherheitsfunktion entsprechend der normativen Vorgaben zu entwickeln und zu testen.
-
Ferner wird die Betriebs- und/oder Zusatzfunktion von der Sicherheitsfunktion separiert und auf einer anderen Hardwarekomponente – der zweiten Verarbeitungseinrichtung – bereitgestellt. Insbesondere werden dabei sämtlich nicht-sicherheitsgerichteten Funktionen auf einer anderen Hardwarekomponente bzw. Verarbeitungseinrichtung als die Sicherheitsfunktion bereitgestellt. Dadurch wird eine Erweiterbarkeit der Betriebs- und/oder Zusatzfunktion erleichtert.
-
Die Sicherheitsfunktion kann auf einem ersten Prozessorkern oder einem Logikbaustein bereitgestellt werden. Als Logikbaustein kommt z.B. ein FPGA, PLA oder ASIC in Frage. Der Prozessorkern kann Teil eines Einzelkern- oder Mehrkern-Prozessors sein.
-
Die Testfunktion und die Betriebs- und/oder Zusatzfunktion werden bevorzugt auf einem zweiten Prozessorkern bereitgestellt. In einer vorteilhaften Weiterbildung können der erste Prozessorkern und der zweite Prozessorkern demselben Mehrkern-Prozessor zugehörig sein.
-
Zweckmäßigerweise sind die erste Verarbeitungseinrichtung und die zweite Verarbeitungseinrichtung kommunikativ miteinander verbunden, vorzugsweise über eine digitale Kommunikationsschnittstelle.
-
In bevorzugter Ausgestaltung umfasst die erste Verarbeitungseinrichtung einen ersten Mikrocontroller und/oder die zweite Verarbeitungseinrichtung umfasst einen zweiten Mikrocontroller.
-
Die Sicherheitsfunktion kann dabei auf dem ersten Mikrocontroller bereitgestellt werden und die Testfunktion und die Betriebs- und/oder Zusatzfunktion können auf dem zweiten Mikrocontroller bereitgestellt werden.
-
Auf diese Weise lässt sich eine besonders gute Separierung zwischen sicherheitsrelevanten und nicht-sicherheitsrelevanten Funktionen erzielen.
-
Gemäß einer bevorzugten Ausgestaltung ist die Betriebs- und/oder Zusatzfunktion eine nicht-sicherheitsgerichtete Funktion. Beispielsweise ist die Betriebs- und/oder Zusatzfunktion eine nicht-echtzeitfähige und/oder nicht deterministische Softwarefunktion.
-
Aufgrund der vorstehend diskutierten Separierung der Betriebs- und/oder Zusatzfunktion von der Sicherheitsfunktion muss die Betriebs- und/oder Zusatzfunktion nicht dieselben Sicherheitsanforderungen erfüllen wie die Sicherheitsfunktion. Dadurch verringert sich der Entwicklungsaufwand der Betriebs- und/oder Zusatzfunktion. Die Betriebs- und/oder Zusatzfunktion kann optional als nicht-echtzeitfähige und/oder nicht deterministische Softwarefunktion ausgebildet sein.
-
Zweckmäßigerweise ist die Sicherheitsfunktion ausgebildet, vorzugsweise periodisch, ein Prüfsignal an die Testfunktion auszugeben, um zu bewirken, dass die Testfunktion eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion durchführt.
-
Bei der Überwachungsoperation handelt es sich beispielsweise um die Ausgabe eines Testsignals an die Sicherheitsfunktion und die Prüfung, ob in Ansprechen auf das Testsignal ein erwartetes Bestätigungssignal von der Sicherheitsfunktion empfangen wird.
-
Insbesondere verfügt die zweite Verarbeitungseinrichtung über Informationen bzw. über eine Erwartungshaltung bezüglich der Zeitpunkte und/oder des Inhalts der Ausgabe des Prüfsignals und ist ausgebildet, die Bereitstellung der Testfunktion und/oder der Betriebs- und/oder Zusatzfunktion basierend auf diesen Informationen bzw. der Erwartungshaltung anzupassen.
-
Vorzugsweise sind die beiden Verarbeitungseinrichtungen über eine digitale Kommunikationsschnittstelle verbunden, und die genannten Informationen werden über diese Kommunikationsschnittstelle der zweiten Verarbeitungseinrichtung bereitgestellt.
-
Durch die Anpassung der Bereitstellung der Testfunktion und/oder der Betriebs- und/oder Zusatzfunktion kann sichergestellt werden, dass die Testfunktion zu den gegebenen Zeitpunkten ordnungsgemäß ausgeführt werden kann, so dass die Sicherheitsfunktion geeignet überwacht wird.
-
Gemäß einer bevorzugten Ausgestaltung ist die Testfunktion als Softwaremodul ausgebildet. Vorzugsweise handelt es sich dabei um ein portierbares Softwaremodul.
-
Eine derart ausgebildete Testfunktion lässt sich autonom in komplexere Softwaresysteme integrieren ohne auf Sicherheitseigenschaften des umschließenden Systems angewiesen zu sein.
-
Insbesondere umfasst die zweite Verarbeitungseinrichtung eine Diagnosefunktion zur Validitätsprüfung der Testfunktion, vorzugsweise mittels einer Speicher-Integritätsprüfung.
-
Auf diese Weise kann sichergestellt werden, dass die Testfunktion ordnungsgemäß ausgeführt werden kann.
-
Vorzugsweise ist die Testfunktion ausgebildet, basierend auf einem Ergebnis der Überwachung der Sicherheitsfunktion, Einfluss auf den Betrieb der Betriebs- und/oder Zusatzfunktion zu nehmen und/oder auf diese zuzugreifen.
-
Somit kann die Betriebs- und/oder Zusatzfunktion dazu verwendet werden, auf ein Ergebnis der Überwachung der Sicherheitsfunktion zu reagieren. Beispielsweise kann mittels einer Betriebs- und/oder Zusatzfunktion, die der Ansteuerung eines Displays dient, eine Darstellung einer entsprechenden Meldung auf dem Display erfolgen. Ferner ist es möglich, mittels einer Betriebs- und/oder Zusatzfunktion, die der Kommunikation über einen Feldbus dient, eine entsprechende Meldung über den Feldbus auszugeben. Beispielsweise kann dabei ein sicherheitsgerichteter Kanal, wie z.B. ein sogenannter "Black Channel" des Feldbusses bereitgestellt werden.
-
Der Zugriff bzw. die Einflussnahme der Testfunktion auf die Betriebs- und/oder Zusatzfunktion kann vorzugsweise als Ergebnis der Auswertung einer Watchdog-Funktion der Testfunktion erfolgen, beispielsweise dann, wenn innerhalb einer vorbestimmten Zeitperiode kein erwartetes Bestätigungssignal von der Sicherheitsfunktion empfangen wird.
-
Vorteilhafte Ausführungsformen der Erfindung sind in der Zeichnung dargestellt. Dabei zeigt
-
1 ein Blockdiagramm eines sicherheitsgerichteten Steuersystems mit einer sicherheitsgerichteten Steuervorrichtung
-
2 ein Blockdiagramm einer Software- und Elektronikarchitektur für ein sicherheitsgerichtetes Steuersystem
-
Die 1 zeigt ein Blockdiagramm eines sicherheitsgerichteten Steuersystems 10, das eine übergeordnete speicherprogrammierbare Steuerung (SPS) 8, eine sicherheitsgerichtete Steuervorrichtung 1 und einen Aktor 2 umfasst.
-
Die sicherheitsgerichtete Steuervorrichtung 1 ist dabei insbesondere als Steuerkopf oder Positioner ausgebildet und dient dazu, den Aktor 2 anzusteuern. Vorzugsweise ist die sicherheitsgerichtete Steuervorrichtung 1 als IP-Wandler ausgebildet, der dazu dient, elektrische Signale in pneumatische Signale umzusetzen. Bei der Steuervorrichtung 1 handelt es sich vorzugsweise um ein Gerät, das in der Prozessautomatisierung verwendet wird. Insbesondere handelt es sich bei der Steuervorrichtung um ein Gerät das Teil einer Sicherheitsfunktion ist und durch ein Sicherheit-Integritätslevel (SIL) 2 gemäß der Norm DIN EN 61508 beschrieben ist.
-
Der Aktor 2 umfasst ein steuerbares Element, das nachfolgend auch als Aktorglied 26 bezeichnet wird. Der Aktor 2 umfasst ferner eine Sensoreinrichtung 25, die dazu dient, einen Zustand des Aktors 2, wie beispielsweise eine Stellung des Aktorglieds 26, zu erfassen und entsprechende Sensorsignale an die sicherheitsgerichtete Steuervorrichtung 1 auszugeben.
-
Im gezeigten Beispiel ist die Sensoreinrichtung 25 Teil des Aktors 2. Alternativ dazu ist es auch möglich, dass die Sensoreinrichtung 25 an der Steuervorrichtung 1 angeordnet ist. Die Kommunikation der Sensoreinrichtung 25 mit der sicherheitsgerichteten Steuervorrichtung 1 erfolgt über eine Sensorverbindung 23 sowie über einen Sensoranschluss 21 der Steuervorrichtung 1.
-
Bei dem Aktor 2 handelt es sich beispielsweise um ein Stellglied in der Prozessautomatisierung, insbesondere um ein Prozessventil. Das Aktorglied 26 kann einen Antrieb und eine Armatur darstellen, deren Stellung durch die sicherheitsgerichteten Steuervorrichtung 1 gesteuert und/oder geregelt wird. Die Sensoreinrichtung 25 dient dazu, die Stellung des Ventilglieds 26 zu erfassen.
-
Der Antrieb des Aktorglieds 26 erfolgt über eine Antriebseinrichtung 22 und eine Antriebsverbindung 24. Handelt es sich bei dem Aktor 2 um ein fluidisch angetriebenes Ventil, so kann die Antriebseinrichtung 22 beispielsweise als Steuerventil und die Antriebsverbindung 24 als Fluidverbindung ausgebildet sein. Alternativ dazu ist es auch möglich, dass der Aktor 2 mechanisch angetrieben wird. In diesem Fall kann die Antriebseinrichtung 22 beispielsweise als Elektromotor und die Antriebsverbindung 24 als mechanisches Koppelelement, wie beispielsweise als Antriebswelle, ausgebildet sein. Zudem kann der Aktor 2 elektrisch angesteuert werden. In diesem Fall kann der Antrieb beispielsweise ein pneumatischer oder elektrischer Antrieb sein. Die Antriebseinrichtung 22 ist beispielsweise als elektrische Treibereinheit und die Antriebsverbindung 24 als elektrische Verbindung ausgebildet.
-
Die sicherheitsgerichtete Steuervorrichtung 1 stellt eine Betriebs- und/oder Zusatzfunktion 6 bereit, die zur Erzeugung, Verarbeitung, Diagnose, Darstellung und/oder Ausgabe von mit dem Betrieb der Steuervorrichtung 1 und/oder des Aktors 2 in Verbindung stehenden Signalen dient. Im vorliegenden Ausführungsbeispiel dient die Betriebs- und/oder Zusatzfunktion 6 insbesondere dazu, im Normalbetrieb Steuersignale zu erzeugen, die an die Antriebseinrichtung 22 ausgegeben werden, um das Aktorglied 26 in eine gewünschte Stellung zu versetzten bzw. auf eine gewünschte Art und Weise zu bewegen. Die Betriebs- und/oder Zusatzfunktion 6 dient ferner dazu, von der Sensoreinrichtung 25 empfangene Sensorsignale zu verarbeiten.
-
Zudem ist die Betriebs- und/oder Zusatzfunktion 6 ausgebildet, eine Kommunikation mit der SPS 8 durchzuführen. Im gezeigten Ausführungsbeispiel ist diese Kommunikation bidirektional und erfolgt über einen Kommunikationspfad, der über die Steuerungsanschlüsse 11 und 18 verläuft, die über eine Steuerungsverbindung 15 miteinander verbunden sind. Der Kommunikationspfad kann beispielsweise als Feldbus implementiert sein. Die Steuerungsverbindung 15 ist beispielsweise eine 2-Leiter-Schnittstelle.
-
Über diesen Kommunikationspfad empfängt die Betriebs- und/oder Zusatzfunktion 6 beispielsweise Steuersignale von der SPS 8, die anzeigen, in welche Stellung das Aktorglied 26 versetzt werden soll. Ferner kann die Betriebs- und/oder Zusatzfunktion 6 der SPS 8 über diesen Kommunikationspfad mitteilen, in welcher Stellung sich das Aktorglied 26 momentan befindet.
-
Die Betriebs- und/oder Zusatzfunktion 6 kann ferner eine Diagnosefunktion umfassen, die dazu dient, verfügbare Daten auszuwerten. Zudem kann die Betriebs- und/oder Zusatzfunktion 6 dazu dienen, ein in der Figur nicht gezeigtes Display anzusteuern, um beispielsweise mittels der Diagnosefunktion erhaltene Daten anzuzeigen.
-
Die sicherheitsgerichtete Steuervorrichtung 1 umfasst ferner eine Sicherheitsfunktion 5, die bestimmte Anforderungen, insbesondere bestimmte Sicherheitsanforderungen, beispielsweise gemäß der Norm DIN EN 61508 erfüllt. Dabei handelt es sich beispielsweise um die Erzeugung und/oder Verarbeitung eines Signals für eine sicherheitsgerichtete Ansteuerung des Aktors 2, um den Aktor 2 in einen sicheren Zustand versetzen zu können. Handelt es sich bei dem Aktor 2 um das vorstehend genannte Stellglied bzw. Prozessventil in der Prozessautomatisierung, so kann der sichere Zustand beispielsweise darin bestehen, dass sich das Ventilglied in einer Sperrstellung oder einer geöffneten Stellung befindet.
-
Die Sicherheitsfunktion 5 soll gewährleisten, dass der Aktor 2 zuverlässig, vorzugsweise jederzeit, in den sicheren Zustand versetzt werden kann, selbst dann, wenn die Betriebs- und/oder Zusatzfunktion 6, die, wie vorstehend bereits beschrieben, auch der Ansteuerung des Aktors 2 dient, ausfällt.
-
Aus diesem Grund muss die Sicherheitsfunktion 5 höhere Anforderungen, beispielsweise gemäß der Norm DIN EN 61508, insbesondere Sicherheitsanforderungen, erfüllen als die Betriebs- und/oder Zusatzfunktion 6. Vorzugsweise ist die Sicherheitsfunktion 5 eine sicherheitsgerichtete Funktion, während die Betriebs- und/oder Zusatzfunktion 6 insbesondere eine nicht-sicherheitsgerichtete Funktion ist. Eine sicherheitsgerichtete Funktion soll in diesem Zusammenhang eine Funktion sein, die mit einer vorbestimmten Ausfallwahrscheinlichkeit innerhalb einer vorbestimmten Zeitperiode eine bestimmte Operation ausführt. Eine sicherheitsgerichtete Funktion kann beispielsweise als echtzeitfähige oder deterministische Funktion ausgebildet sein.
-
Für die Bereitstellung der Sicherheitsfunktion 5 und der vorstehend genannten Betriebs- und/oder Zusatzfunktion 6 umfasst die sicherheitsgerichtete Steuervorrichtung 1 eine erste Verarbeitungseinrichtung 3 und eine zweite Verarbeitungseinrichtung 4. Die erste Verarbeitungseinrichtung 3 und die zweite Verarbeitungseinrichtung 4 sind insbesondere jeweils dazu geeignet, Logikfunktionen und/oder Softwarefunktionen bereitzustellen ohne dabei auf der jeweils anderen Verarbeitungseinrichtung 3 oder 4 bereitgestellte Logikfunktionen und/oder Softwarefunktionen zu stören bzw. von diesen benötigte Ressourcen zu belegen.
-
Die erste Verarbeitungseinrichtung 3 ist beispielsweise ein erster Mikrocontroller oder ein Logikbaustein der Steuervorrichtung 1. Die zweite Verarbeitungseinrichtung 4 ist beispielsweise ein zweiter Mikrocontroller.
-
Die Sicherheitsfunktion 5 wird nun auf der ersten Verarbeitungseinrichtung 3 bereitgestellt, während die vorstehend genannte Betriebs- und/oder Zusatzfunktion 6 auf der zweiten Verarbeitungseinrichtung 4 bereitgestellt wird.
-
Die Sicherheitsfunktion 5 und die Betriebs- und/oder Zusatzfunktion 6 werden demnach auf verschiedenen Verarbeitungseinrichtungen ausgeführt. Dadurch wird insbesondere sichergestellt, dass die Betriebs- und/oder Zusatzfunktion 6 die Ausführung der Sicherheitsfunktion 5 nicht stören kann.
-
Da die Sicherheitsfunktion 5 auf einer eigenen Verarbeitungseinrichtung bereitgestellt wird, wird es zudem einfacher, die Sicherheitsfunktion 5 entsprechend der Sicherheitsanforderungen zu entwickeln und zu testen.
-
Auch wird es durch die hardwaremäßige Trennung von Sicherheitsfunktion 5 und Betriebs- und/oder Zusatzfunktion 6 einfacher, die Betriebs- und/oder Zusatzfunktion zu entwickeln bzw. zu erweitern. Insbesondere müssen dabei nicht die für die Sicherheitsfunktion 5 geltenden hohen Anforderungen, beispielsweise gemäß der Norm DIN EN 61508, insbesondere Sicherheitsanforderungen, erfüllt werden.
-
Die sicherheitsgerichtete Ansteuerung durch die Sicherheitsfunktion 5 wird beispielsweise durch ein Befehl ausgelöst, der von der SPS 8 erhalten wird.
-
Im gezeigten Beispiel weist die SPS 8 einen sicherheitsgerichteten SPS-Ausgang 12 auf, der über eine Sicherheitsverbindung 16 mit einem sicherheitsgerichteten Eingang 19 der sicherheitsgerichteten Steuervorrichtung 1 kommunikativ verbunden ist. Über den sicherheitsgerichteten Eingang 19 kann die Sicherheitsfunktion 5 Befehle von der SPS 8 erhalten.
-
Der durch den sicherheitsgerichteten SPS-Ausgang 12, die Sicherheitsverbindung 16 sowie den sicherheitsgerichteten Eingang 19 gebildete Kommunikationspfad kann dabei ein physikalischer oder ein logischer Kommunikationspfad sein. Beispielsweise kann der Kommunikationspfad mittels eines eigens vorgesehen Leiters physikalisch realisiert sein. Alternativ dazu kann der Kommunikationspfad auch logisch als Kanal eines zwischen der SPS und der Steuervorrichtung 1 bereitgestellten Feldbusses realisiert sein. Dabei kann es sich insbesondere um denselben Feldbus handeln, der bereits den vorstehend diskutierten Kommunikationspfad zwischen der SPS 8 und der Betriebs- und/oder Zusatzfunktion bereitstellt.
-
Auf der vorgenannten zweiten Verarbeitungseinrichtung 4, auf der bereits die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, wird erfindungsgemäß ferner eine Testfunktion 7 bereitgestellt. Diese Testfunktion 7 dient dazu, die Funktionalität der Sicherheitsfunktion 5 zu überwachen.
-
Dadurch, dass diese Testfunktion 7 auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion bereitgestellt wird, wird insbesondere der Vorteil erzielt, dass keine zusätzliche Hardwarekomponente erforderlich ist, um die Testfunktion 7 bereitzustellen. Zudem wird der Vorteil erzielt, dass die Testfunktion 7 nun je nach Einsatzgebiet bzw. Anforderung auch komplexer ausgestaltet werden kann, da die zweite Verarbeitungseinrichtung 4 die dazu benötigte Leistungsstärke aufweist. Zudem kann die Testfunktion 7, da sie nun auf derselben Verarbeitungseinrichtung wie die Betriebs- und/oder Zusatzfunktion 6 bereitgestellt wird, in einfacher Weise auf die Betriebs- und/oder Zusatzfunktion 6 zugreifen.
-
Die Testfunktion 7 stellt beispielsweise die Funktionalität der gemäß der Norm DIN 13849-1, Kategorie 2 – einkanalige Struktur mit separater Testeinrichtung – vorgeschlagenen Testeinrichtung bereit.
-
Zwischen der ersten Verarbeitungseinrichtung 3 und der zweiten Verarbeitungseinrichtung 4 ist eine digitale Kommunikationsschnittstelle vorgesehen, über welche die Sicherheitsfunktion 5 und die Testfunktion 7 miteinander kommunizieren können.
-
Beispielsweise ist die Sicherheitsfunktion 5 ausgebildet, über diese Kommunikationsschnittstelle periodisch ein Prüfsignal an die Testfunktion 7 auszugeben, um zu bewirken, dass die Testfunktion 7 eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion 5 durchführt. Bei der Überwachungsoperation handelt es sich beispielsweise um die Ausgabe eines Testsignals an die Sicherheitsfunktion 5 und die Prüfung, ob die Testfunktion 7 ein erwartetes Bestätigungssignal von der Sicherheitsfunktion 5 als Reaktion auf das Testsignal empfängt.
-
Wird kein erwartetes Bestätigungssignal empfangen, so gibt die Testfunktion 7 ein Alarmsignal an die SPS 8 aus.
-
Zu diesem Zweck ist die Testfunktion 7 über einen Kommunikationspfad mit der SPS 8 verbunden. Im gezeigten Beispiel verläuft dieser Kommunikationspfad über einen Alarmausgang 17 der sicherheitsgerichteten Steuervorrichtung 1, eine Alarmverbindung 14 und einen Alarmeingang 9 der SPS 8. Dieser Kommunikationspfad kann als physikalischer oder als logischer Kommunikationspfad bereitgestellt werden. Beispielsweise kann der Kommunikationspfad mittels eines eigens vorgesehen Leiters physikalisch realisiert sein. Alternativ dazu kann der Kommunikationspfad auch logisch als Kanal eines zwischen der SPS 8 und der Steuervorrichtung 1 bereitgestellten Feldbusses realisiert sein. Dabei kann es sich insbesondere um denselben Feldbus handeln, der bereits den vorstehend diskutierten Kommunikationspfad zwischen der SPS 8 und der Betriebs- und/oder Zusatzfunktion bereitstellt.
-
Die Testfunktion 7 kann ferner dazu ausgebildet sein, alternativ oder zusätzlich zu der Ausgabe des Alarmsignals an die SPS 8 eine Ansteuerung des Aktors 2 durchzuführen oder zu bewirken, um den Aktor 2 in einen sicheren Zustand zu versetzen.
-
Zu diesem Zweck kann die Testfunktion 7 beispielsweise ausgebildet sein, auf die Betriebs- und/oder Zusatzfunktion 6 zuzugreifen, um mittels der Betriebs- und/oder Zusatzfunktion 6 eine entsprechende Ansteuerung des Aktors 2 vorzunehmen. Alternativ dazu kann die Testfunktion 7 auch einen eigenen Kommunikationspfad zu der Antriebseinrichtung 22 aufweisen, um eine entsprechende Ansteuerung des Aktors 2 zu bewirken.
-
Ferner kann die Testfunktion 7 ausgebildet sein, mittels einer Betriebs- und/oder Zusatzfunktion 6, die der Ansteuerung eines in der Figur nicht gezeigten Displays dient, eine Darstellung einer Meldung auf dem Display zu bewirken, die beispielsweise das Ergebnis der Überwachung der Sicherheitsfunktion 5 anzeigt. Ferner kann die Testfunktion 7 ausgebildet sein, mittels einer Betriebs- und/oder Zusatzfunktion 6, die der Kommunikation über einen Feldbus dient, eine Meldung über den Feldbus an die SPS 8 auszugeben. Beispielsweise kann über die Steuerungsschnittstellen 11 und 18 und die Steuerungsverbindung 15 ein solcher Feldbus bereitgestellt werden. In diesem Fall kann der oben beschriebene Kommunikationspfad über den Alarmausgang 17, die Alarmverbindung 14 und den Alarmeingang 9 entfallen.
-
Die zweite Verarbeitungseinrichtung 4 ist vorzugsweise ausgebildet, über die digitale Kommunikationsschnittstelle Informationen von der ersten Verarbeitungseinrichtung 3 bezüglich der Zeitpunkte der Ausgabe des Prüfsignals zu erhalten. Die zweite Verarbeitungseinrichtung 4 ist insbesondere ausgebildet, basierend auf diesen Informationen die Bereitstellung der Testfunktion 7 und/oder der Betriebs- und/oder Zusatzfunktion 6 anzupassen. Beispielsweise ist die zweite Verarbeitungseinrichtung 4 ausgebildet, dafür zu sorgen, dass zum Zeitpunkt der Ausgabe des Prüfsignals an die Testfunktion 7 genügend Ressourcen verfügbar sind, so dass die Testfunktion 7 ausgeführt werden kann.
-
Um zu gewährleisten, dass die Testfunktion 7 ordnungsgemäß ausgeführt wird, kann die zweite Verarbeitungseinrichtung 4 zudem eine Diagnosefunktion zur Validitätsprüfung der Testfunktion 7, vorzugsweise mittels einer Speicher-Integritätsprüfung, aufweisen.
-
Die 2 zeigt ein Blockdiagramm einer Software- und Elektronikarchitektur 20 für ein sicherheitsgerichtetes Steuersystem.
-
Die gezeigte Software- und Elektronikarchitektur 20 kann beispielsweise für das vorstehend diskutierte sicherheitsgerichtete Steuersystem 10 eingesetzt werden.
-
Die Software- und Elektronikarchitektur 20 umfasst dabei einen sicherheitsgerichteten Abschnitt und einen nicht-sicherheitsgerichteten Abschnitt.
-
Der sicherheitsgerichtete Abschnitt umfasst einen sicherheitsgerichteten Eingang 27, eine Sicherheitsfunktion 5 sowie einen sicherheitsgerichteten Ausgang 31.
-
Der nicht-sicherheitsgerichtete Abschnitt umfasst eine Betriebs- und/oder Zusatzfunktion 6 sowie eine Testfunktion 7. Der Nicht-sicherheitsgerichtete Abschnitt umfasst ferner einen Betriebs- und/oder Zusatzausgang 28 sowie einen Alarmausgang 29.
-
Die gestrichelte Linie 32 ist als Hardware-Trennlinie zu verstehen und soll anzeigen, dass die Betriebs- und/oder Zusatzfunktion 6 und die Testfunktion 7 auf einer anderen Hardwarekomponente bereitgestellt werden als die Sicherheitsfunktion 5.
-
Die Sicherheitsfunktion 5 dient dazu, als Reaktion auf einen an dem sicherheitsgerichteten Eingang 27 empfangenen oder erzeugten Befehl eine sicherheitsgerichtete Ansteuerung am sicherheitsgerichteten Ausgang 31 bereitzustellen.
-
Zusätzlich dazu ist die Sicherheitsfunktion 5 ausgebildet, anhand der Überwachungspfade 33 und 34 die Funktionalität des sicherheitsgerichteten Eingangs 27 und des sicherheitsgerichteten Ausgangs 31 zu überwachen.
-
Im Kontext des vorstehend diskutierten sicherheitsgerichteten Steuersystems 10 kann beispielsweise die SPS 8 den sicherheitsgerichteten Eingang 27 darstellen, und die Antriebseinrichtung 22 oder der Aktor 2 den sicherheitsgerichteten Ausgang 31. Die Sicherheitsfunktion 5 der 2 entspricht dabei der in der 1 auf der ersten Verarbeitungseinrichtung 3 ausgeführten Sicherheitsfunktion 5.
-
Die Testfunktion 7 dient dazu, die Funktionalität der Sicherheitsfunktion 5 zu überwachen. Die Sicherheitsfunktion 5 sendet über einen Prüfpfad 35 ein Prüfsignal an die Testfunktion 7, das bewirkt, dass die Testfunktion 7 über einen Überwachungspfad 36 eine Überwachungsoperation in Bezug auf die Sicherheitsfunktion 5 ausführt.
-
Die Testfunktion 7 ist ferner ausgebildet, über den Alarmausgang 29 eine Meldung über das Ergebnis der Überwachung der Sicherheitsfunktion 5 auszugeben. Schließlich ist die Testfunktion 7 auch noch ausgebildet, auf die Betriebs- und/oder Zusatzfunktion Einfluss zu nehmen und/oder auf diese zuzugreifen.
-
Die Betriebs- und/oder Zusatzfunktion 6 ist ausgebildet, von dem sicherheitsgerichteten Eingang 27 Signale zu empfangen und Signale an den Betriebs- und/oder Zusatzausgang 28 auszugeben.
-
Im Kontext des vorstehend diskutierten sicherheitsgerichteten Steuersystems 10 kann beispielsweise die digitale Kommunikationsschnittstelle zwischen den beiden Verarbeitungseinrichtungen 3 und 4 den Prüfpfad 35 und den Überwachungspfad 36 darstellen. Ferner kann der Alarmausgang 17 den Alarmausgang 29 darstellen, und die Antriebseinrichtung 22 kann den sicherheitsgerichteten Ausgang 31 in Kombination mit dem Betriebs- und/oder Zusatzausgang 28 darstellen. Die Testfunktion 7 und die Betriebs- und/oder Zusatzfunktion 6 der 2 entsprechen dabei der Testfunktion 7 und der Betriebs- und/oder Zusatzfunktion 6 der 1.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm DIN EN 61508 [0002]
- Norm DIN 13849-1 [0012]
- Norm DIN EN 61508 [0018]
- Norm DIN EN 61508 [0049]
- Norm DIN EN 61508 [0058]
- Norm DIN EN 61508 [0060]
- Norm DIN EN 61508 [0066]
- Norm DIN 13849-1 [0072]