DE102019201708A1 - Apparatus and method for operating a system - Google Patents

Apparatus and method for operating a system Download PDF

Info

Publication number
DE102019201708A1
DE102019201708A1 DE102019201708.8A DE102019201708A DE102019201708A1 DE 102019201708 A1 DE102019201708 A1 DE 102019201708A1 DE 102019201708 A DE102019201708 A DE 102019201708A DE 102019201708 A1 DE102019201708 A1 DE 102019201708A1
Authority
DE
Germany
Prior art keywords
monitoring
switching
server
switching device
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019201708.8A
Other languages
German (de)
Inventor
Felix Hess
Hans-Leo Ross
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019201708.8A priority Critical patent/DE102019201708A1/en
Publication of DE102019201708A1 publication Critical patent/DE102019201708A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

Vorrichtung (100) zum Betreiben eines Systems (200), aufweisend:- eine erste Servereinrichtung (10a, 10b) mit einer ersten Sicherheitseinrichtung (11a) und einer funktional mit der ersten Sicherheitseinrichtung (11a) verbundenen ersten Überwachungseinrichtung (12a) zum Überwachen der ersten Sicherheitseinrichtung (11a); und- eine funktional mit der ersten Überwachungseinrichtung (12a) verbundenen Schalteinrichtung (20) zum Überprüfen der von der ersten Überwachungseinrichtung (12a) durchgeführten Überwachung der ersten Sicherheitseinrichtung (11a), wobei in Abhängigkeit vom Ergebnis der Überwachung mittels der Schalteinrichtung (20) das System (200) auf eine fehlerfreie Funktionseinheit umgeschaltet werden kann oder abgeschaltet werden kann.Device (100) for operating a system (200), comprising: - a first server device (10a, 10b) with a first security device (11a) and a first monitoring device (12a) functionally connected to the first security device (11a) for monitoring the first Safety device (11a); and a switching device (20) functionally connected to the first monitoring device (12a) for checking the monitoring of the first safety device (11a) carried out by the first monitoring device (12a), the system depending on the result of the monitoring by means of the switching device (20) (200) can be switched to a fault-free functional unit or can be switched off.

Description

Die Erfindung betrifft eine Vorrichtung zum Betreiben eines Systems. Die Erfindung betrifft ferner ein Verfahren zum Betreiben eines Systems. Die Erfindung betrifft ferner ein Computerprogrammprodukt.The invention relates to a device for operating a system. The invention also relates to a method for operating a system. The invention also relates to a computer program product.

Stand der TechnikState of the art

Viele Maschinen und Prozessabläufe in der Verfahrenstechnik müssen Sicherheitsfunktionen ausführen, um z.B. eine Gefährdung von Personen zu vermeiden. Dabei ist es immer häufiger notwendig, große Datenmengen mit hoher Leistungsfähigkeit zu verarbeiten.Many machines and processes in process engineering have to perform safety functions, e.g. to avoid endangering people. It is increasingly necessary to process large amounts of data with high performance.

Diese großen Datenmengen entstehen beispielsweise durch den Einsatz hochauflösender Sensoren, wie z.B. Laserscanner (LiDAR) oder Kameras. Die Algorithmen zur Entscheidungsfindung sind dabei komplex und lassen sich mit einfachen logischen Operationen (AND, OR, IF-THEN) nicht abbilden.These large amounts of data arise, for example, through the use of high-resolution sensors such as Laser scanners (LiDAR) or cameras. The decision-making algorithms are complex and cannot be mapped with simple logical operations (AND, OR, IF-THEN).

Deshalb sind die nach dem Stand der Technik für wenig komplexe Sicherheitsfunktionen eingesetzten Sicherheit-SPS dafür ungeeignet. Diese erlauben zwar mit garantierten, sehr kleinen Hardware-Ausfallraten einen sicheren Betrieb. Allerdings können sie nur sehr einfache Daten verarbeiten (z.B. Daten einer Lichtschranke). Beispielsweise wird im Falle, dass die Lichtschranke unterbrochen ist, ein Schweißroboter angehalten oder Ähnliches, wie es z.B. aus der Automobilproduktion bekannt ist.Therefore, the state-of-the-art safety PLCs used for less complex safety functions are unsuitable for this. These allow safe operation with guaranteed, very low hardware failure rates. However, they can only process very simple data (e.g. data from a light barrier). For example, in the event that the light barrier is interrupted, a welding robot is stopped or the like, e.g. is known from automobile production.

Nach dem Stand der Technik wird für komplexe Sicherheitsfunktionen deshalb meist spezialisierte Hardware entwickelt. Dabei müssen die gültigen Normen (z.B. IEC 61508) bei der Entwicklung berücksichtigt werden. Eine ausreichende Ausfallsicherheit wird oft durch Redundanz reicht, indem beispielsweise CPUs und RAM doppelt vorhanden sind und redundant arbeiten. Oft werden mehrere CPUs im sogenannten Lockstep betrieben, d.h., dass sie gleichzeitig die gleichen Programme abarbeiten und Zwischenergebnisse miteinander vergleichen. Dies erfordert einen hohen Aufwand, um die Prozessoren zu synchronisieren. Derartige Hardware-Entwicklungen sind aufwendig und erfordern speziell geschulte Entwickler.According to the state of the art, specialized hardware is therefore usually developed for complex safety functions. The applicable standards (e.g. IEC 61508) must be taken into account during development. Sufficient fail-safety is often sufficient through redundancy, for example, CPUs and RAM are duplicated and work redundantly. Often several CPUs are operated in a so-called lockstep, i.e. they process the same programs at the same time and compare intermediate results with one another. This requires a great deal of effort to synchronize the processors. Such hardware developments are complex and require specially trained developers.

EP 2 605 096 B1 offenbart ein Betriebsverfahren, ein Steuerprogramm und eine Steuereinrichtung für einen industriellen technischen Prozess. EP 2 605 096 B1 discloses an operating method, a control program and a control device for an industrial technical process.

Offenbarung der ErfindungDisclosure of the invention

Es ist eine Aufgabe der vorliegenden Erfindung, eine Vorrichtung und ein Verfahren zum verbesserten Betreiben eines Prozesses oder einer Maschine bereitzustellen.It is an object of the present invention to provide an apparatus and a method for improved operation of a process or a machine.

Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einer Vorrichtung zum Betreiben eines Systems, aufweisend:

  • - eine erste Servereinrichtung mit einer ersten Sicherheitseinrichtung und einer funktional mit der ersten Sicherheitseinrichtung verbundenen ersten Überwachungseinrichtung zum Überwachen der ersten Sicherheitseinrichtung; und
  • - eine funktional mit der ersten Überwachungseinrichtung verbundenen Schalteinrichtung zum Überprüfen der von der ersten Überwachungseinrichtung durchgeführten Überwachung der ersten Sicherheitseinrichtung, wobei in Abhängigkeit vom Ergebnis der Überwachung mittels der Schalteinrichtung das System auf eine fehlerfreie Funktionseinheit umgeschaltet werden kann oder abgeschaltet werden kann.
The object is achieved according to a first aspect with a device for operating a system, having:
  • a first server device with a first security device and a first monitoring device functionally connected to the first security device for monitoring the first security device; and
  • A switching device functionally connected to the first monitoring device for checking the monitoring of the first safety device carried out by the first monitoring device, the system being able to be switched to a fault-free functional unit or being switched off depending on the result of the monitoring by means of the switching device.

Dadurch lassen sich zum definierten Um- oder Abschalten des Systems vorteilhaft Standardkomponenten verwenden, was einen geringen technischen Aufwand und eine massive Kostenersparnis zur Folge hat. Vorteilhaft kann dadurch auch eine eigene Hardwareentwicklung zum Abschalten des Systems eingespart werden.As a result, standard components can advantageously be used for the defined switchover or switch-off of the system, which results in little technical effort and massive cost savings. In this way, it is advantageous to save having to develop your own hardware to switch off the system.

Die Aufgabe wird gemäß einem zweiten Aspekt gelöst mit einem Verfahren zum Betreiben eines Systems mit den Schritten:

  • - Überwachen einer in einer ersten Servereinrichtung angeordneten ersten Sicherheitseinrichtung mittels einer ersten Überwachungseinrichtung; und
  • - Überprüfen eines Ergebnisses der Überwachung der ersten Servereinrichtung mittels einer Schalteinrichtung; und
  • - Umschalten des Systems auf eine fehlerfreie Funktionseinheit oder Abschalten des Systems mittels der Schalteinrichtung in Abhängigkeit vom Ergebnis der Überwachung.
The object is achieved according to a second aspect with a method for operating a system with the steps:
  • - Monitoring a first security device arranged in a first server device by means of a first monitoring device; and
  • Checking a result of the monitoring of the first server device by means of a switching device; and
  • - Switching the system to a fault-free functional unit or switching off the system by means of the switching device depending on the result of the monitoring.

Vorteilhafte Weiterbildungen der Vorrichtung sind Gegenstand von jeweils abhängigen Ansprüchen.Advantageous further developments of the device are the subject of the respective dependent claims.

Eine vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass die Um- oder Abschalteinrichtung eine zertifizierte Hardware mit einer definierten Sicherheitsintegrität aufweist. Auf diese Weise kann vorteilhaft eine hohe Zuverlässigkeit der Vorrichtung bereitgestellt werden. Vorteilhaft können zudem zuverlässige Standardkomponenten zum Abschalten des Systems benutzt werden.An advantageous development of the device provides that the switchover or switch-off device has certified hardware with a defined safety integrity. In this way, a high reliability of the device can advantageously be provided. Reliable standard components can also advantageously be used to switch off the system.

Eine weitere vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass von der Überwachungseinrichtung ein binäres Ergebnis an die Schalteinrichtung übermittelt wird. Auf diese Weise ist die Überprüfungsfunktionalität der Schalteinrichtung zweistufig ausgebildet, was eine einfache und damit kostengünstige Ausbildung der Schalteinrichtung ermöglicht. Another advantageous development of the device provides that the monitoring device transmits a binary result to the switching device. In this way, the checking functionality of the switching device is designed in two stages, which enables a simple and thus inexpensive design of the switching device.

Eine vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass die Schalteinrichtung einen Zustand der Überwachungseinrichtung aktiv abfragt. Dadurch kann zum Beispiel ein Zeitintervall, in dem die Schalteinrichtung Ergebnisse der Überwachungseinrichtung abfragt, definiert festgelegt werden.An advantageous development of the device provides that the switching device actively queries a state of the monitoring device. In this way, for example, a time interval in which the switching device queries the results of the monitoring device can be defined in a defined manner.

Eine weitere vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass sie eine zweite redundante Servereinrichtung aufweist, wobei mittels der Schalteinrichtung Ergebnisse der beiden Sicherheitseinrichtungen miteinander vergleichbar sind. Auf diese Weise kann ein Betriebsverhalten der Vorrichtung noch weiter verbessert werden. Weiterhin kann dadurch betrieblich im Falle eines Hardware-Fehlers der einen Servereinrichtung die zweite Servereinrichtung einen geregelten Betrieb für eine gewisse Zeit sicherstellen.
Eine weitere vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass zum Vergleichen der Ergebnisse der Sicherheitseinrichtungen Hash-Funktionen verwendet werden. Im Falle, dass die Hash-Werte exakt identisch sind, ist auch die komplexe Datenstruktur die gleiche. Vorteilhaft lässt sich dadurch ein Datenvolumen entscheidend verringern.Another advantageous development of the device provides that it has a second redundant server device, with the results of the two safety devices being able to be compared with one another by means of the switching device. In this way, an operating behavior of the device can be improved even further. Furthermore, in the event of a hardware failure of the one server device, the second server device can ensure regulated operation for a certain time.
Another advantageous development of the device provides that hash functions are used to compare the results of the safety devices. In the event that the hash values are exactly identical, the complex data structure is also the same. In this way, a data volume can advantageously be significantly reduced.

Eine weitere vorteilhafte Weiterbildung der Vorrichtung sieht vor, dass die Schalteinrichtung als Einschubkarte für wenigstens eine der Servereinrichtungen ausgebildet ist. Vorteilhaft lässt sich auf diese Weise ein Platz- bzw. Raumbedarf für die Vorrichtung minimieren.Another advantageous development of the device provides that the switching device is designed as a plug-in card for at least one of the server devices. In this way, the space or space requirement for the device can advantageously be minimized.

Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von mehreren Figuren detailliert beschrieben. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung, sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Figuren.The invention is described in detail below with further features and advantages on the basis of several figures. All of the features described or shown form the subject matter of the invention individually or in any combination, regardless of how they are summarized in the claims or their back-references, and regardless of their formulation or representation in the description or in the figures.

Offenbarte Merkmale und Vorteile der Vorrichtung ergeben sich in analoger Weise aus offenbaren Merkmalen und Vorteilen des Verfahrens und umgekehrt.Disclosed features and advantages of the device result in an analogous manner from disclosed features and advantages of the method and vice versa.

In den Figuren zeigt:

  • 1 eine erste Ausführungsform einer vorgeschlagenen Vorrichtung;
  • 2 eine zweite Ausführungsform einer vorgeschlagenen Vorrichtung; und
  • 3 ein prinzipielles Ablaufdiagramm einer Ausführungsform des vorgeschlagenen Verfahrens;
In the figures shows:
  • 1 a first embodiment of a proposed device;
  • 2 a second embodiment of a proposed device; and
  • 3 a basic flowchart of an embodiment of the proposed method;

Beschreibung von AusführungsformenDescription of embodiments

Ein Kerngedanke der Erfindung ist es insbesondere, eine Bereitstellung einer sicheren Rechnerarchitektur, die den Einsatz von Standardservern für Sicherheitsfunktionen erlaubt. Diese ermöglicht kurze Entwicklungszyklen mit entsprechend kurzen Time-to-market Zeiten.A key concept of the invention is, in particular, to provide a secure computer architecture that allows the use of standard servers for security functions. This enables short development cycles with correspondingly short time-to-market times.

Die vorgeschlagene sichere Rechnerarchitektur sieht vor, dass Sicherheitsfunktionen auf einem Standardserver ausgeführt werden. Dies ist in 1 dargestellt, die eine erste Ausführungsform der vorgeschlagenen Vorrichtung 100 zeigt. Die Vorrichtung 100 weist eine erste Servereinrichtung 10a mit einer ersten Sicherheitseinrichtung 11a und einer ersten Überwachungseinrichtung 12a zum Überwachen der ersten Sicherheitseinrichtung 11a auf. Diese Architektur der ersten Servereinrichtung 10a stellt eine hohe Rechenleistung für eine gute Performance von komplexer Funktionalität bereit. Schnittstellenkarten (nicht dargestellt) der ersten Servereinrichtung 10a erlauben eine Anbindung an viele verschiedene industriell verwendete Kommunikationsbusse. Man erkennt eine von der ersten Sicherheitseinrichtung 11a an das System 200 übermittelte Stellgröße SG zum Steuern bzw. Stellen des Systems 200.The proposed secure computer architecture provides that security functions are carried out on a standard server. This is in 1 shown showing a first embodiment of the proposed device 100 shows. The device 100 has a first server device 10a with a first safety device 11a and a first monitoring device 12a for monitoring the first safety device 11a on. This architecture of the first server device 10a provides high computing power for good performance of complex functionality. Interface cards (not shown) of the first server device 10a allow a connection to many different industrial communication buses. One recognizes one of the first security devices 11a to the system 200 transmitted manipulated variable SG for controlling or setting the system 200 .

Zusätzlich wird die Sicherheitsfunktion der ersten Sicherheitseinrichtung 11a um Überwachungsfunktionen bzw. Monitorings mittels der ersten Überwachungseinrichtung 12a ergänzt, die Ergebnisse der Sicherheitsfunktionen der ersten Sicherheitseinrichtung 11a auf Plausibilität prüfen, wobei diese Überwachungen auf der ersten Servereinrichtung 10a ausgeführt werden. Auf diese Weise sind komplexe Monitoringfunktionen möglich, die auch tiefgehende Prüfungen erlauben.In addition, the safety function of the first safety device 11a to monitoring functions or monitoring by means of the first monitoring device 12a added, the results of the safety functions of the first safety device 11a Check for plausibility, with this monitoring on the first server device 10a are executed. In this way, complex monitoring functions are possible that also allow in-depth tests.

Dafür ist insbesondere ein Nachweis erforderlich, dass die Überwachungsfunktionen einen ausreichenden Diagnosedeckungsgrad (engl. diagnostic coverage) aufweisen, um eine Rate gefährlicher Fehler ausreichend zu reduzieren. Zu diesem Zweck stehen geeignete Werkzeuge, wie beispielsweise FMEA (engl. failure mode and effects analysis) zur Verfügung.In particular, this requires proof that the monitoring functions have a sufficient diagnostic coverage in order to sufficiently reduce the rate of dangerous errors. Suitable tools such as FMEA (failure mode and effects analysis) are available for this purpose.

Die Vorrichtung 100 weist weiterhin eine funktional mit der ersten Servereinrichtung 10a verbundene Schalteinrichtung 20 vor, die vorzugsweise als eine Sicherheits-SPS ausgebildet ist und die dazu dient, zu prüfen, ob alle Überwachungen der ersten Sicherheitseinrichtung 11a durch die erste Überwachungseinrichtung 12a rechtzeitig und mit positivem Ergebnis ausgeführt worden sind. Dabei kann vorgesehen sein, dass die Überwachungseinrichtung 12a ihr Ergebnis in definierten Zeitintervall an die Schalteinrichtung 20 übermittelt, oder dass die Schalteinrichtung 20 Ergebnisse der Überwachungseinrichtung 12a proaktiv abfragt.The device 100 furthermore has a functionally connected to the first server device 10a connected switching device 20th before, preferably as a safety PLC is designed and is used to check whether all monitoring of the first safety device 11a by the first monitoring device 12a have been carried out on time and with a positive result. It can be provided that the monitoring device 12a their result to the switching device in a defined time interval 20th transmitted, or that the switching device 20th Results of the monitoring device 12a proactively queries.

Die dazu vorgesehene Software der Schalteinrichtung 20 besitzt vorteilhaft nur eine geringe Komplexität und kann daher vorteilhaft mit geringem Aufwand bzw. einfachen Instruktionen programmiert werden. Für die Prüfung stellt die Schalteinrichtung 20 zu definierten Zeitpunkten einen zufälligen Schlüssel für jeden Überwachungsvorgang bereit. Der Überwachungsvorgang der ersten Überwachungseinrichtung 12a teilt der Schalteinrichtung 20 ein positives Ergebnis mit, indem der Schlüssel auf eine bestimmte Art transformiert in einem definierten Zeitintervall an die Schalteinrichtung 20 zurückgeschickt wird.The software provided for the switching device 20th advantageously has only a low level of complexity and can therefore advantageously be programmed with little effort or simple instructions. The switchgear provides for the test 20th a random key for every monitoring process at defined times. The monitoring process of the first monitoring device 12a divides the switching device 20th a positive result by having the key transformed in a certain way in a defined time interval to the switching device 20th is returned.

Vorteilhaft ist dabei, die Transformation des Schlüssels in mehrere Teiltransformationen aufzuteilen, die dann in den Programmablauf der Überwachung der ersten Überwachungseinrichtung 12a eingefügt werden. Dadurch kann ein korrekt transformierter Schlüssel nur dann ausgegeben werden, wenn der Überwachungsprozess durch die erste Überwachungseinrichtung 12a vollständig durchlaufen wurde, wodurch die Überwachung der ersten Überwachungseinrichtung 12a verbessert ist.It is advantageous here to divide the transformation of the key into several partial transformations, which are then included in the program sequence for monitoring the first monitoring device 12a inserted. As a result, a correctly transformed key can only be output when the monitoring process is carried out by the first monitoring device 12a has been run through completely, thereby monitoring the first monitoring device 12a is improved.

Die Schalteinrichtung 20 kann nunmehr prüfen, ob sie den Schlüssel rechtzeitig von der ersten Überwachungseinrichtung 12a empfangen hat und ob die erwartete Transformation des Schlüssels durchgeführt wurde. Liegen nicht von allen Überwachungsprozessen rechtzeitig positive Rückmeldungen vor, so bringt die Schalteinrichtung 20 das System 200 mittels eines Abschaltsignals AS in einen sicheren Zustand. Vorzugsweise umfasst die Schalteinrichtung 20 eine zertifizierte Hardware mit einer definierten Sicherheitsintegrität, was eine Verwendung von Standardkomponenten für die Schalteinrichtung 20 ermöglicht.The switching device 20th can now check whether they have received the key in time from the first monitoring device 12a and whether the expected transformation of the key has been carried out. If positive feedback is not available in good time from all monitoring processes, the switching device brings 20th the system 200 into a safe state by means of a shutdown signal AS. The switching device preferably comprises 20th certified hardware with a defined safety integrity, which means that standard components are used for the switching device 20th enables.

Im Ergebnis kann dadurch das System 200 mittels der Schalteinrichtung 20 auf eine fehlerfreie Funktionseinheit umgeschaltet oder abgeschaltet werden. As a result, the system 200 by means of the switching device 20th switched to a fault-free functional unit or switched off.

Vorzugsweise wird von der Überwachungseinrichtung 12a ein binäres Ergebnis an die Schalteinrichtung 20 übermittelt. Auf diese Weise ist die Überprüfungsfunktionalität der Schalteinrichtung 20 zweistufig ausgebildet, was einen Betrieb der Schalteinrichtung 20 unterstützt.Preferably the monitoring device 12a a binary result to the switching device 20th transmitted. In this way, the checking functionality of the switching device 20th designed in two stages, which means operation of the switching device 20th supported.

Beispielsweise kann sie eine Maschine über einen ihrer Ausgänge stromlos schalten und somit ein Anhalten erzwingen. Das von der vorgeschlagenen Vorrichtung 100 ausgeführte Verfahren lässt sich vorzugsweise also überall dort einsetzen, wo ein sicherer Zustand durch Abschalten einer Maschine oder Trennen einer Kommunikationsverbindung erreicht werden soll, bzw. wo der energielose Zustand der Maschine oder eine nicht bestehende Kommunikationsverbindung als ein gefahrloser Zustand angesehen werden kann.For example, it can de-energize a machine via one of its outputs and thus force it to stop. That of the proposed device 100 The methods carried out can therefore preferably be used wherever a safe state is to be achieved by switching off a machine or disconnecting a communication link, or where the de-energized state of the machine or a non-existent communication link can be viewed as a safe state.

Dies trifft auf viele Maschinen (z.B. Maschinen der chemischen Industrie, Fertigungsmaschinen, Presse einer Produktionsmaschine, Schweißroboter, Systeme zum Steuern von automatisierten Fahrzeugen z.B. in Parkhäusern, usw.) zu, aber auch auf Fahrzeuge, die sich mit nicht allzu großer Geschwindigkeit fortbewegen. Diese können bei Vorliegen von Gefahrensituationen (z.B. Erkennen von Personen im nahen Umfeld der Fahrzeuge) durch Abschalten mittels der Schalteinrichtung 20 zum Anhalten gezwungen werden. In einem Umfeld, in dem sich andere Fahrzeuge ebenfalls mit geringer Geschwindigkeit fortbewegen (wie z.B. in einem Parkhaus), ist dies ein sicherer Zustand.This applies to many machines (e.g. machines in the chemical industry, manufacturing machines, press of a production machine, welding robots, systems for controlling automated vehicles, e.g. in parking garages, etc.), but also to vehicles that do not move at too great a speed. This can be done in the presence of dangerous situations (e.g. recognizing people in the immediate vicinity of the vehicles) by switching off using the switching device 20th be forced to stop. This is a safe condition in an environment in which other vehicles are also moving at low speed (such as in a parking garage).

Kann mit der ersten Servereinrichtung 10a alleine eine ausreichend kleine Ausfallrate nicht nachgewiesen werden, ist es auch möglich, mehrere Servereinrichtungen redundant zu verwenden, wie es in 2 dargestellt ist. In diesem Fall muss die Schalteinrichtung 20 zusätzlich überprüfen, ob die Sicherheitseinrichtungen 11a, 11b der Servereinrichtungen 10a, 10b jeweils zum gleichen Ergebnis kommen. Bei umfangreichen Ergebnissen kann zu diesem Zweck auf den Servereinrichtungen 10a, 10b eine Hash-Funktion 13a, 13b verwendet werden, um den Ergebnisumfang der Sicherheitseinrichtungen 11a, 11b zu reduzieren.Can with the first server setup 10a If only a sufficiently low failure rate cannot be detected, it is also possible to use several server devices redundantly, as shown in 2 is shown. In this case the switching device must 20th also check whether the safety devices 11a , 11b of the server facilities 10a , 10b each come to the same result. In the case of extensive results, this can be done on the server facilities 10a , 10b a hash function 13a , 13b used to determine the scope of the safety equipment 11a , 11b to reduce.

Die Ergebnisse der Überwachungseinrichtung 12a, 12 b werden an Überprüfungseinrichtungen 21a, 22b übermittelt. Eine dritte Überprüfungseinrichtung 22 überprüft eine Gleichheit der Ausgänge der Hash-Funktionen 13a, 13b der Servereinrichtungen 10a, 10b. Dabei werden die Ausgänge der Überprüfungseinrichtungen 21a, 22, 21b einem UND-Glied 23 zugeführt, welches bei Vorliegen von entsprechenden Bedingungen ein Abschaltsignal AS an das System 200 übermittelt und damit das System 200 abschaltet.The results of the monitoring device 12a , 12th b are sent to verification facilities 21a , 22b transmitted. A third verification facility 22nd checks the equality of the outputs of the hash functions 13a , 13b of the server facilities 10a , 10b . The outputs of the checking devices 21a , 22nd , 21b an AND element 23 supplied, which when appropriate conditions exist, a shutdown signal AS to the system 200 transmitted and with it the system 200 turns off.

Gleiche Ergebnisse können nur erwartet werden, wenn beide Servereinrichtungen 10a, 10b auf den gleichen Eingangsdaten rechnen, wobei zu diesem Zweck entsprechende Synchronisationsmechanismen implementiert werden müssen.The same results can only be expected if both server facilities 10a , 10b calculate on the same input data, whereby for this purpose appropriate synchronization mechanisms have to be implemented.

Dabei kann die Schalteinrichtung 20 als eine separate Einrichtung ausgebildet oder in eine der beiden Servereinrichtungen 10a, 10b integriert sein, wodurch eine hohe Auslegungsvielfalt für die Vorrichtung 100 bereitgestellt wird. Beispielsweise kann die Schalteinrichtung 20 als eine Einschubkarte für wenigstens eine der Servereinrichtungen 10a, 10b ausgebildet sein. The switching device 20th designed as a separate device or in one of the two server devices 10a , 10b be integrated, whereby a high variety of designs for the device 100 provided. For example, the switching device 20th as a plug-in card for at least one of the server devices 10a , 10b be trained.

Die Sicherheit des vorgeschlagenen Ansatzes basiert insbesondere auf folgenden Aspekten:

  • - Die verwendeten Servereinrichtungen 10a, 10b müssen ausreichend zuverlässig sein, wobei zu dieser Charakterisierung eine Angabe einer MTTF (engl. mean time to failure) vorgesehen sein kann, die in eine Ausfallrate umgerechnet werden kann
  • - Zusammen mit den Diagnosefunktionen der Überwachungsfunktionen muss eine geforderte Restfehlerwahrscheinlichkeit erreicht werden
  • - Einsatz einer unabhängigen Schalteinrichtung 20 zur Überwachung der Überwachungsfunktionen der Sicherheitseinrichtungen 11a, 11b
The security of the proposed approach is based in particular on the following aspects:
  • - The server facilities used 10a , 10b must be sufficiently reliable, whereby an MTTF (mean time to failure) specification can be provided for this characterization, which can be converted into a failure rate
  • - Together with the diagnostic functions of the monitoring functions, a required residual error probability must be achieved
  • - Use of an independent switching device 20th for monitoring the monitoring functions of the safety devices 11a , 11b

Der Vorteil des vorgeschlagenen Verfahrens basiert insbesondere darin, dass die Überwachungen spezifisch auf die Sicherheitsfunktion der Servereinrichtungen 10a, 10b zugeschnitten sind. Dadurch können Fehler der Servereinrichtungen 10a, 10b, welche die Sicherheitsfunktion beeinflussen, erkannt werden. Es erfolgt dabei aber keine Überwachung der Servereinrichtungen 10a, 10b selbst. Wenn bei diesen ein Defekt auftritt, beispielsweise an einer nicht verwendeten Schnittstelle, Speicherzelle, usw., der in der Sicherheitsfunktion der Sicherheitseinrichtung 11a, 11b nicht sichtbar wird, dann ist dieser Fehler für das vorgeschlagene Verfahren nicht relevant.
Ein praktischer Anwendungsfall des vorgeschlagenen Verfahrens besteht beispielsweise darin, dass in einem Parkhaus eine Belegungskarte mittels Daten von LiDAR- oder Kamera-Sensoren erstellt wird. Nunmehr erfolgt mittels der Sensoren des Parkhauses eine Prüfung in einem Umfeld von Fahrzeugen, ob Zellen der Belegungskarte belegt sind. Dabei wird im Falle, dass eine Zelle belegt ist, ein Hindernis (z.B. eine Person) in der Zelle detektiert. Erkennt die Überwachungseinrichtung einen Fehler beim Erstellen der Belegungskarte, können daraufhin mittels der Schalteinrichtung 20 Fahrbefehle zum Fahrzeug unterbrochen werden und dadurch zum Stehen gebracht werden. Ein Sicherheitsniveau innerhalb des Parkhauses ist dadurch vorteilhaft erhöht.The advantage of the proposed method is based, in particular, on the fact that the monitoring is specific to the security function of the server devices 10a , 10b are tailored. This can cause errors in the server facilities 10a , 10b which influence the safety function can be detected. However, there is no monitoring of the server facilities 10a , 10b itself. If a defect occurs in these, for example at an unused interface, memory cell, etc., that is in the safety function of the safety device 11a , 11b is not visible, then this error is not relevant for the proposed method.
A practical application of the proposed method is, for example, that an occupancy card is created in a parking garage using data from LiDAR or camera sensors. The sensors of the parking garage are now used to check in the vicinity of vehicles whether cells on the occupancy card are occupied. In the event that a cell is occupied, an obstacle (eg a person) is detected in the cell. If the monitoring device detects an error when creating the occupancy card, the switching device 20th Driving commands to the vehicle are interrupted and thereby brought to a standstill. This advantageously increases the level of security within the parking garage.

3 zeigt einen prinzipiellen Ablauf eines Verfahrens zum Betreiben eines Systems 200. 3 shows a basic sequence of a method for operating a system 200 .

In einem Schritt 300 erfolgt ein Überwachen einer in einer ersten Servereinrichtung 10a angeordneten ersten Sicherheitseinrichtung 11a mittels einer ersten Überwachungseinrichtung 12a.In one step 300 a monitoring takes place in a first server device 10a arranged first safety device 11a by means of a first monitoring device 12a .

In einem Schritt 310 erfolgt ein Überprüfen eines Ergebnisses der Überwachung der ersten Servereinrichtung 10a mittels einer Schalteinrichtung 20.In one step 310 a check of a result of the monitoring of the first server device takes place 10a by means of a switching device 20th .

In einem Schritt 320 erfolgt ein Umschalten des Systems 200 auf eine fehlerfreie Funktionseinheit oder ein Abschalten des Systems 200 mittels der Schalteinrichtung 20 in Abhängigkeit vom Ergebnis der Überwachung.In one step 320 the system switches over 200 a fault-free functional unit or a shutdown of the system 200 by means of the switching device 20th depending on the result of the monitoring.

Vorteilhaft ist es mit der Erfindung nicht erforderlich, die Sicherheitsfunktionen in der Schalteinrichtung auszuführen, was einen sehr hohen technischen Aufwand erfordert, sondern sie kann in den Servereinrichtungen 10a, 10b belassen werden, die sich in den wesentlichen Funktionen selbst überwachen. Im Ergebnis reicht für das eigentliche Abschalten eine einfach ausgebildete und kostengünstige Schalteinrichtung.Advantageously, with the invention it is not necessary to carry out the safety functions in the switching device, which requires a very high level of technical effort, but rather it can be in the server devices 10a , 10b that monitor themselves in the essential functions. As a result, a simply designed and inexpensive switching device is sufficient for the actual shutdown.

Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen.The person skilled in the art will modify the features of the invention in a suitable manner and / or combine them with one another without departing from the essence of the invention.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturPatent literature cited

  • EP 2605096 B1 [0006]EP 2605096 B1 [0006]

Claims (9)

Vorrichtung (100) zum Betreiben eines Systems (200), aufweisend: - eine erste Servereinrichtung (10a, 10b) mit einer ersten Sicherheitseinrichtung (11a) und einer funktional mit der ersten Sicherheitseinrichtung (11a) verbundenen ersten Überwachungseinrichtung (12a) zum Überwachen der ersten Sicherheitseinrichtung (11a); und - eine funktional mit der ersten Überwachungseinrichtung (12a) verbundenen Schalteinrichtung (20) zum Überprüfen der von der ersten Überwachungseinrichtung (12a) durchgeführten Überwachung der ersten Sicherheitseinrichtung (11a), wobei in Abhängigkeit vom Ergebnis der Überwachung mittels der Schalteinrichtung (20) das System (200) auf eine fehlerfreie Funktionseinheit umgeschaltet werden kann oder abgeschaltet werden kann.Device (100) for operating a system (200), comprising: - A first server device (10a, 10b) with a first security device (11a) and a first monitoring device (12a) functionally connected to the first security device (11a) for monitoring the first security device (11a); and - A switching device (20) functionally connected to the first monitoring device (12a) for checking the monitoring of the first safety device (11a) carried out by the first monitoring device (12a), the system (20) being dependent on the result of the monitoring by means of the switching device (20). 200) can be switched to an error-free functional unit or can be switched off. Vorrichtung (100) nach Anspruch 1, dadurch gekennzeichnet, dass die Schalteinrichtung (20) eine zertifizierte Hardware mit einer definierten Sicherheitsintegrität aufweist.Device (100) after Claim 1 , characterized in that the switching device (20) has a certified hardware with a defined safety integrity. Vorrichtung (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass von der Überwachungseinrichtung (12a) ein binäres Ergebnis an die Schalteinrichtung (20) übermittelt wird.Device (100) after Claim 1 or 2 , characterized in that the monitoring device (12a) transmits a binary result to the switching device (20). Vorrichtung (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schalteinrichtung (20) einen Zustand der Überwachungseinrichtung (12a) aktiv abfragt.Device (100) according to one of the preceding claims, characterized in that the switching device (20) actively queries a state of the monitoring device (12a). Vorrichtung (100) nach einem der vorhergehenden Ansprüche, aufweisend eine zweite redundante Servereinrichtung (10b), wobei mittels der Schalteinrichtung (20) Ergebnisse der beiden Sicherheitseinrichtungen (11a, 11 b) miteinander vergleichbar sind oder im Falle von Defekten der einen Servereinrichtung auf die andere nicht-defekte Servereinrichtung umgeschaltet wird.Device (100) according to one of the preceding claims, having a second redundant server device (10b), wherein by means of the switching device (20) results of the two safety devices (11a, 11b) can be compared with one another or, in the case of defects, of one server device to the other non-defective server device is switched. Vorrichtung (100) nach Anspruch 5, dadurch gekennzeichnet, dass zum Vergleichen der Ergebnisse der Sicherheitseinrichtungen (10a, 10b) Hash-Funktionen (13a, 13b) verwendet werden.Device (100) after Claim 5 , characterized in that hash functions (13a, 13b) are used to compare the results of the safety devices (10a, 10b). Vorrichtung (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schalteinrichtung (20) als Einschubkarte für wenigstens eine der Servereinrichtungen (10a, 10b) ausgebildet ist.Device (100) according to one of the preceding claims, characterized in that the switching device (20) is designed as a plug-in card for at least one of the server devices (10a, 10b). Verfahren zum Betreiben eines Systems (200) mit den Schritten: - Überwachen einer in einer ersten Servereinrichtung (10a) angeordneten ersten Sicherheitseinrichtung (11a) mittels einer ersten Überwachungseinrichtung (12a); und - Überprüfen eines Ergebnisses der Überwachung der ersten Servereinrichtung (10a) mittels einer Schalteinrichtung (20); und - Umschalten des Systems (200) auf eine fehlerfreie Funktionseinheit oder Abschalten des Systems (200) mittels der Schalteinrichtung (20) in Abhängigkeit vom Ergebnis der Überwachung.Method for operating a system (200) with the steps: - Monitoring a first security device (11a) arranged in a first server device (10a) by means of a first monitoring device (12a); and - checking a result of the monitoring of the first server device (10a) by means of a switching device (20); and - Switching the system (200) to an error-free functional unit or switching off the system (200) by means of the switching device (20) depending on the result of the monitoring. Computerprogrammprodukt mit Programmcodemitteln zur Durchführung des Verfahrens nach Anspruch 8, wenn es auf einer elektronischen Vorrichtung (100) abläuft oder auf einem computerlesbaren Datenträger gespeichert ist.Computer program product with program code means for performing the method according to Claim 8 when it runs on an electronic device (100) or is stored on a computer-readable data carrier.
DE102019201708.8A 2019-02-11 2019-02-11 Apparatus and method for operating a system Pending DE102019201708A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019201708.8A DE102019201708A1 (en) 2019-02-11 2019-02-11 Apparatus and method for operating a system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019201708.8A DE102019201708A1 (en) 2019-02-11 2019-02-11 Apparatus and method for operating a system

Publications (1)

Publication Number Publication Date
DE102019201708A1 true DE102019201708A1 (en) 2020-08-13

Family

ID=71738987

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019201708.8A Pending DE102019201708A1 (en) 2019-02-11 2019-02-11 Apparatus and method for operating a system

Country Status (1)

Country Link
DE (1) DE102019201708A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004015617A1 (en) * 2003-04-01 2004-11-11 Fisher-Rosemount Systems, Inc., Austin Online device test block that is integrated into a process control / safety system
DE102016212196A1 (en) * 2016-07-05 2018-01-11 Robert Bosch Gmbh Method for evaluating sensor data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004015617A1 (en) * 2003-04-01 2004-11-11 Fisher-Rosemount Systems, Inc., Austin Online device test block that is integrated into a process control / safety system
DE102016212196A1 (en) * 2016-07-05 2018-01-11 Robert Bosch Gmbh Method for evaluating sensor data

Similar Documents

Publication Publication Date Title
EP0742500A2 (en) Fail-safe touch-switch functions and switch functions with error avoidance
EP2447843B1 (en) Method for verifying an application program of an error-free memory-programmable control device and memory-programmable control device for carrying out the method
EP1040028A1 (en) Method for detecting errors of microprocessors in control devices of an automobile
DE19509150C2 (en) Method for controlling and regulating vehicle brake systems and vehicle brake system
EP3709166B1 (en) Method and system for secure signal manipulation for testing integrated security functionalities
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
EP2207097A1 (en) Method and device for operating a control device
EP1639465B1 (en) Method for monitoring the execution of a program in a micro-computer
EP3642717A1 (en) Device and method for controlling a vehicle module
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
WO2008014940A1 (en) Control device and method for the control of functions
DE10142511A1 (en) Error handling of software modules
EP1128241B1 (en) Method and device for safety monitoring of a control device
DE102010041437B4 (en) Checking functions of a control system with components
DE102019201708A1 (en) Apparatus and method for operating a system
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
WO2010046200A1 (en) Method for monitoring the functionality of an electronic module
DE102020209228A1 (en) Method for monitoring at least one computing unit
DE19545645A1 (en) Control system operating method e.g for motor vehicles
WO2011113405A1 (en) Controller arrangement
DE102012204763A1 (en) Method for recognizing security input extension within modular security system in industrial automation field for e.g. controlling consumer, involves outputting signal by base module over output when another signal is received at two inputs
DE102017212560A1 (en) Method for fail-safe performance of a safety-related function
DE102015119611A1 (en) Improving the diagnosability of fail-operational systems
EP2950174A1 (en) Method and Apparatus for safely monitoring the state of two devices
EP1447830A1 (en) Switching device for coding of different states

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication