ES2446349T3 - Control de seguridad y procedimiento para el control de una instalación automática - Google Patents

Control de seguridad y procedimiento para el control de una instalación automática Download PDF

Info

Publication number
ES2446349T3
ES2446349T3 ES10718871T ES10718871T ES2446349T3 ES 2446349 T3 ES2446349 T3 ES 2446349T3 ES 10718871 T ES10718871 T ES 10718871T ES 10718871 T ES10718871 T ES 10718871T ES 2446349 T3 ES2446349 T3 ES 2446349T3
Authority
ES
Spain
Prior art keywords
value
processor
fsv1a
security
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES10718871T
Other languages
English (en)
Inventor
Peter Moosmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Application granted granted Critical
Publication of ES2446349T3 publication Critical patent/ES2446349T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14006Safety, monitoring in general
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14012Safety integrity level, safety integrated systems, SIL, SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1076Parity data used in redundant arrays of independent storages, e.g. in RAID systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1417Boot up procedures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

Control de seguridad para el control de una instalación automatizada (12) de acuerdo con un programa deaplicación (34) que se ejecuta en el control de seguridad, en el que la instalación (12) comprende una pluralidad desensores (16) y una pluralidad de actuadores (14), y en el que el programa de aplicación (34) comprende unapluralidad de instrucciones de control (44, 46, 48) para el control de los actuadores (14), con un primer procesador (20), que está configurado para ejecutar, a través del procesamiento de una pluralidad deprimeras variables del programa, al menos una parte de las instrucciones de control (44), con un segundo procesador (22), que está configurado para ejecutar, a través del procesamiento de una pluralidadde segundas variables del programa, al menos una parte de las instrucciones de control (48), y con una memoria de datos no volátil (92) para el almacenamiento de datos a prueba de tensión cero, que debenestar presentes durante la conexión del control de seguridad después de un fallo de la tensión, en el que el primero y el segundo procesador (20, 22) están configurados, respectivamente, para calcula valores deprueba, con los que se puede verificar la validez de un valor registrado en la memoria de datos (92), caracterizado porque el primer procesador (20) está configurado para calcular para al menos una de las primerasvariables del programa (FSV1A) un primer valor de prueba (CRCFSV1A(n)) en función de un valor momentáneo(FSV1A(n)) presente para la primera variable del programa (FSV1A) en un primer instante definido, porque elsegundo procesador (22) está configurado, además, para calcular un segundo valor de prueba (CRCFSV1B(n)), quecorresponde con el primer valor de prueba (CRCFSV1A(n)) y porque la memoria de datos (92) está configurada pararegistrar el valor momentáneo (FSV1A(n)), el primer valor de prueba (CRCFSV1A(n)) y el segundo valor de prueba(CRCFSV1B(n)), en el que el control de seguridad (10) está configurado para realizar durante su nuevo arranqueuna verificación de la validez del valor momentáneo (FSV1A(n)), en el que el control de seguridad (10) estáconfigurado para determinar la factibilidad del valor momentáneo (FSV1A(n)) con el primer valor de prueba(CRCFSV1A(n)) por medio del primer procesador (20) y para determinar la factibilidad del valor momentáneo(FSV1A(n)) con el segundo valor de prueba (CRCFSV1B(n)), por medio del segundo procesador (22).

Description

Control de seguridad y procedimiento para el control de una instalación automática
La invención se refiere a un control de seguridad para el control de una instalación automatizada de acuerdo con un programa de aplicación que se ejecuta en el control de seguridad, en el que la instalación comprende una pluralidad de sensores y una pluralidad de actuadores, y en el que el programa de aplicación comprende una pluralidad de instrucciones de control para el control de los actuadores, con un primer procesador, que está configurado para ejecutar, a través del procesamiento de una pluralidad de primeras variables del programa, al menos una parte de las instrucciones de control, con un segundo procesador, que está configurado para ejecutar, a través del procesamiento de una pluralidad de segundas variables del programa, al menos una parte de las instrucciones de control, y con una memoria de datos no volátil para el almacenamiento de datos a prueba de tensión cero, que deben estar presentes durante la conexión del control de seguridad después de un fallo de la tensión.
La invención se refiere, además, a un procedimiento para el control de una instalación automatizada, en el que la instalación comprende una pluralidad de sensores y una pluralidad de actuadores.
Un control de seguridad en el sentido de la presente invención es un aparato o un dispositivo, que recibe la señales de entrada suministradas por sensores y a partir de ellas genera señales de salida a través de enlaces lógicos y eventualmente otras etapas de procesamiento de señales o de datos. Las señales de salida se pueden conducir entonces a actuadores que, en función de las señales de entrada, realizan acciones o reacciones en una instalación controlada.
Un campo de aplicación preferido para tales controles de seguridad es la supervisión de teclas de desconexión de emergencia, controles de dos manos, puertas de protección o rejillas ópticas en el campo de la seguridad de las máquinas. Tales sensores se utilizan para asegurar, por ejemplo, una máquina, desde la que parte durante el funcionamiento un peligro para las personas o para los productos materiales. En el caso de apertura de la puerta de protección o en el caso de activación de la tecla de desconexión de emergencia se genera en cada caso una señal, que es alimentada al control de seguridad como señal de entrada. Como reacción a ello, el control de seguridad desconecta entonces, por ejemplo con la ayuda de un actuador, la parte peligrosa de la máquina.
En un control de seguridad es característico, en oposición a un control “normal”, que el control de seguridad propiamente dicho, cuando aparece una función errónea en él o en un aparato conectado con él, garantiza siempre un estado seguro de las instalaciones o máquinas peligrosas. Por lo tanto, en los controles de seguridad se plantean requerimientos extremadamente altos a la propia seguridad contra fallos, lo que tiene como consecuencia un gasto considerable en el desarrollo y fabricación.
En general, los controles de seguridad necesitan, antes de su utilización, una autorización especial a través de las autoridades de inspección competentes, como por ejemplo en Alemania a través de las Asociaciones Profesionales
o la TÜV. El control de seguridad debe contener en este caso normas de seguridad predeterminadas, que están depositadas, por ejemplo, en la Norma Europea EN 954-1 o en una norma comparable, por ejemplo la Norma IEC 61508 o la Norma EN ISO 13849-1. A continuación se entiende, por lo tanto, por un control de seguridad un aparato
o bien un dispositivo, que cumple al menos la categoría de seguridad 3 de la Norma Europea mencionada EN 954-1 su Nivel de Integridad de Seguridad (SIL) alcanza al menos la Fase 2 de acuerdo con la Norma IEC 61508 mencionada.
Un control de seguridad programable ofrece al usuario la posibilidad de establecer individualmente los enlaces lógicos y, dado el caso, otras etapas de procesamiento de señales o de datos con la ayuda de un software, el llamado programa de aplicación, de acuerdo con sus necesidades. De ello resulta una gran flexibilidad en comparación con soluciones más antiguas, en las que los enlaces lógicos son generados a través de un cableado definido entre diferentes módulos de seguridad. Un programa de aplicación se puede crear, por ejemplo, con la ayuda de un ordenador personal (PC) de venta en el comercio y utilizando programas de software instalados de forma correspondiente.
Como ya se ha mencionado, en un control de seguridad se plantean requerimientos extremadamente altos a la propia seguridad contra fallos, es decir, con vistas a fallos que aparecen en el control de seguridad. Una medida consiste, por ejemplo, en diseñar de forma redundante un control de seguridad al menos en los componentes que procesan datos, como por ejemplo los procesadores. De esta manera se consigue una disponibilidad máxima posible del control de seguridad con vistas a fallos que aparecen en el control de seguridad. De la misma manera es deseable una alta disponibilidad de un control de seguridad con vistas a fallos que aparecen posiblemente fuera del control de seguridad. Así, por ejemplo, un control de seguridad, después de un fallo de la tensión, debería continuar funcionando de nuevo sin problemas en aquel estado que tenía el control de seguridad antes del fallo de la tensión. Pero precisamente con respecto a la disponibilidad en el caso de fallos que aparecen fuera del control de seguridad, los controles de seguridad no son todavía óptimos.
El documento DE 198 02 728 A1 publica un control de seguridad con una memoria de datos no volátil, en la que se
registran parámetros de las máquinas MP. Los parámetros de las máquinas deben permanecer inalterados durante toda la vida útil de la máquina o el control. Para supervisar los parámetros de las máquinas con respecto a modificaciones, se calculan en canales redundantes del control de seguridad sumas de prueba-CRC independientes y se registran junto con los parámetros de las máquinas en la memoria de datos no volátil. En el funcionamiento regular, se verifican cíclicamente las sumas de prueba-CRC a intervalos de tiempo determinados, de manera que un primer procesador calcula la primera suma de prueba y un segundo procesador calcula la segunda suma de prueba.
El documento DE 20 2006 016 012 U1 publica una arquitectura de sistema para un Firmware, que se aplica en un aparato dirigido a la seguridad. El Firmware posee una primera parte, que es competente para una evaluación técnica de la seguridad, y una parte no segura, específica de la aplicación. Para posibilitar una modificación de la parte no segura específica de la aplicación, sin comprometer la parte segura, la parte segura y la parte específica de la aplicación están registradas en memorias diferentes separadas una de la otra y están aseguradas en cada caso con una suma de prueba-CRC propia. Además, los datos de entrada relevantes para la seguridad y los datos de salida relevantes para la seguridad son asegurados con otra suma de prueba-CRC. Con la ayuda de las sumas de prueba-CRC debe asegurarse que en el caso de una modificación o ejecución de la parte específica de la aplicación no tenga lugar ninguna modificación de la parte segura y ninguna modificación de los datos de entrada y de salida seguros.
Por lo tanto, un cometido de la presente invención es desarrollar un control de seguridad y un procedimiento del tipo mencionado al principio para elevar la disponibilidad del control de seguridad con respecto a fallos que aparecen fuera del control de seguridad y al mismo tiempo reducir los costes para un control de seguridad.
Este cometido se soluciona por medio de un control de seguridad del tipo mencionado al principio, en el que el primer procesador está configurado para calcular para al menos una de las primeras variables del programa un primer valor de prueba en función de un valor momentáneo presente para la primera variable del programa en un primer instante definido, en el que el segundo procesador está configurado, además, para calcular un segundo valor de prueba, que corresponde con el primer valor de prueba y en el que la memoria de datos está configurada para registrar el valor momentáneo, el primer valor de prueba y el segundo valor de prueba, en el que el control de seguridad está configurado para realizar durante su nuevo arranque una verificación de la validez del valor momentáneo, en el que el control de seguridad está configurado para determinar la factibilidad del valor momentáneo con el primer valor de prueba por medio del primer procesador y para determinar la factibilidad del valor momentáneo con el segundo valor de prueba, por medio del segundo procesador.
El cometido se soluciona, además, por medio de un procedimiento del tipo mencionado al principio, en el que se ejecutan las siguientes etapas:
-
procesamiento de una pluralidad de variables del programa con el primer procesador,
-
cálculo de un primer valor de prueba para al menos una de las primeras variables del programa en función de un valor momentáneo que está presente para esta primera variable del programa en un primer instante definido con la ayuda del primer procesador,
-
procesamiento de una pluralidad de segundas variables del programa con el segundo procesador,
-
cálculo de un segundo valor de prueba, que se corresponde con el primer valor de prueba, con el segundo procesador,
-
registro del valor momentáneo, del primer valor de prueba y del segundo valor de prueba en una memoria de datos no volátil, y
-
realización de una prueba de validez del valor momentáneo durante un nuevo arranque del control de seguridad, en el que el control de seguridad determina la factibilidad del valor momentáneo con el primer valor de prueba, por medio del primer procesador y determina la factibilidad del valor momentáneo con el segundo valor de prueba por medio del segundo procesador.
El nuevo control de seguridad y el nuevo procedimiento se basan en la idea de registrar en una memoria de datos para una variable del programa un valor momentáneo y tanto un primer valor de ensayo, que se calcula con un primer procesador y, por lo tanto, para un primer canal del control de seguridad, y un segundo valor de ensayo, que se calcula con un segundo procesador y, por lo tanto, para un segundo canal. De esta manera, en el caso de un nuevo arranque, por ejemplo después de una interrupción inesperada del ciclo de funcionamiento, se puede verificar para ambos canales de manera redundante la validez del valor momentáneo todavía memorizado. Esto eleva la disponibilidad del control de seguridad. Puesto que ambos valores de ensayo son registrados en una memoria de datos, es suficiente prever una memoria de datos solamente para uno de los dos canales. No es necesario prever una memoria de datos propia para cada uno de los dos canales. Esto reduce los costes para la realización de un control de seguridad.
El control de seguridad está configurado para realizar en el caso de un arranque nuevo una verificación de la validez del valor momentáneo y determinar la factibilidad del valor momentáneo con el primer valor de ensayo por medio del primer procesador y determinar la factibilidad del valor momentáneo con el segundo valor de ensayo por medio del segundo procesador.
Esta medida tiene la ventaja de que con un solo valor momentáneo, que se calcula, además, solamente para uno de los dos canales, se puede realizar una verificación de la validez para los dos canales de un control de seguridad. De esta manera se puede reducir, por ejemplo, el gasto para el registro del valor momentáneo. De este modo es suficiente preparar solamente una única memoria de datos. Con preferencia, esta memoria de datos está asociada a aquel canal del control de seguridad, en el que se procesan tanto variables del programa relevante para la seguridad como también variables del programa no relevantes para la seguridad.
Por lo tanto, se soluciona totalmente el cometido mencionado anteriormente.
En una configuración de la invención, el segundo procesador está configurado, además, para calcular el segundo valor de ensayo en función de un valor momentáneo de una de las segundas variables del programa, en el que la segunda variable del programa corresponde con la primera variable del programa.
En algunas variantes de esta configuración, la primera y la segunda variables del programa son variables del programa redundantes entre sí, que representan un valor momentáneo común de la instalación controlada. Esta medida posee varias ventajas. Por una parte, los dos valores de ensayo se calculan de manera autónoma y, por lo tanto, de forma independiente uno del otro. De este modo, la verificación de si el valor momentáneo registrado es válido o no es más fiable. Además, para cada uno de los dos canales está disponible un valor de ensayo propio. Por lo tanto, para ambos canales se puede realizar una verificación autónoma de la validez y la factibilidad del valor momentáneo registrado. Esta redundancia eleva la disponibilidad del control de seguridad y, por lo tanto, de la instalación a controlar.
En otra configuración de la medida mencionada anteriormente, el valor momentáneo de las primeras variables del programa y el valor momentáneo de las segundas variables del programa están presentes en el mismo ciclo de sincronización.
En general, los procesadores ejecutan cíclicamente su programa de control respectivo, de manera que cada procesador lee de forma repetida cíclicamente sus variables del programa. En esta configuración, la primera y la segunda variable del programa proceden de un ciclo común. Por lo tanto, representan dos valores momentáneos presentes en gran medida al mismo tiempo. A través de esta medida se asegura que los dos valores momentáneos correspondan en el tiempo entre sí. Por lo tanto, se pueden comparar mejor y es suficiente registrar solamente un valor momentáneo para una verificación de la validez. Esto posibilita un dimensionado económico de la memoria de datos. El ciclo de sincronización se define de manera ventajosa a través del primer instante definido.
En otra configuración, el control de seguridad está configurado para calcula ambos valores de ensayo de forma diversa.
Esta medida contribuye a elevar la fiabilidad de un ensayo de validez. Con preferencia, para los dos canales de un control de seguridad se utilizan diferentes algoritmos para el cálculo del valor de ensayo respectivo.
En otra configuración, la memoria de datos está configurada como memoria de datos no volátil.
Esta medida asegura que el valor momentáneo registrado y los dos valores de ensayo registrados están disponibles inmediatamente durante un nuevo arranque del control de seguridad, en particular después de una interrupción inesperada. La instalación se puede poner en funcionamiento de nuevo más rápidamente. Con preferencia, la memoria de datos está configurada, por decirlo así, como Memoria de Acceso Aleatorio Magneto-resistiva (MRAM) o como Memoria de Acceso Aleatorio Ferroeléctrica (FRAM).
En otra configuración, el control de seguridad está configurado para calcular los dos valores de ensayo de forma repetida para instantes sucesivos.
Esta medida asegura que el valor momentáneo registrado se pueda actualizar de forma repetida. Con preferencia, la actualización se realiza a intervalos de tiempo regulares. La configuración contribuye de manera ventajosa a que un nuevo arranque de la instalación se pueda realizar en cada caso con valores muy actualizados. Un nuevo arranque de la instalación se puede realizar, por lo tanto, de una manera más sencilla y rápida.
En otra configuración de la invención, el primer procesador está configurado, además, para realizar una comparación del valor momentáneo.
En esta configuración, el prior procesador compara los valores momentáneos de diferentes instantes. Esta medida posibilita un registro óptimo del valor momentáneo actual respectivo y de los dos valores de ensayo. La comparación del valor momentáneo se realiza para establecer si existe una modificación del valor momentáneo frente a un valor
momentáneo previo ya registrado. Si se establece que no existe ninguna modificación, no se registran de nuevo adicionalmente el valor momentáneo actual y los dos valores de ensayo actuales. Con otras palabras, solamente se lleva a cabo de manera más ventajosa un registro cuando existe realmente una modificación. De esta manera se puede emplear una memoria de datos más pequeña, lo que conduce a un ahorro de costes. Con respecto al modo de trabajo del control de seguridad, esta medida proporciona una optimización del gasto. En efecto, esta medida conduce a que no se registren para cada ciclo de sincronización un valor momentáneo y valores de ensayo correspondientes.
En otra configuración, la memoria de datos presenta dos zonas de memoria asociadas a la primera variable del programa.
Esta medida posibilita registrar un valor momentáneo actual y los dos valores de ensayo correspondientes, respectivamente, para dos instantes diferentes y, por lo tanto, para dos ciclos de sincronización diferentes. Por lo tanto, con preferencia se registra un historial del valor momentáneo sobre al menos dos ciclos de sincronización diferentes en las zonas de la memoria. De esta manera se eleva adicionalmente la disponibilidad de la instalación a controlar durante un arranque nuevo. Si se establece durante la verificación de la validez que el valor momentáneo más actualizado, último registrado, no es válido y, por lo tanto, no se puede utilizar para la inicialización del control de seguridad, está disponible siempre todavía un valor momentáneo más antiguo, registrado anteriormente, que se puede utilizar de manera ventajosa para el nuevo arranque.
En otra configuración, el control de seguridad está configurado para registrar el valor momentáneo y los dos valores de ensayo de forma alterna en las dos zonas de la memoria.
Esta configuración utiliza dos zonas de la memoria, para actualizar el historial del valor momentáneo de forma alterna. La configuración mantiene en cualquier momento un valor momentáneo más actualizado (a partir del ciclo de sincronización Z actual) en una de las zonas de la memoria y un valor momentáneo más antiguo (a partir el ciclo de sincronización Z-1 precedente) en la otra zona de la memoria. Cuando ahora se inscribe en el ciclo de sincronización siguiente Z-1 un valor momentáneo actual, esta configuración sobrescribe el valor momentáneo registrado más antiguo, respectivamente. Esta configuración asegura que en el funcionamiento del control de seguridad están registrados siempre las dos generaciones más recientes de los valores momentáneos con un mínimo de necesidad de memoria y, por lo tanto, están disponibles para una nueva inicialización del control de seguridad después de una interrupción.
En otra configuración, al menos uno de los dos procesadores está configurado para calcular un valor para un contador de escritura.
De manera ventajosa, el contador de escritura representa cuál de las dos zonas de la memoria mencionadas anteriormente contiene el valor momentáneo más reciente, respectivamente. Con esta configuración, para el caso de que en la memoria de datos estén registrados varios valores momentáneos presentes en instantes diferentes, se puede establecer más fácilmente cual de estos valores momentáneos es el más reciente y, por lo tanto, debe someterse el primero a una verificación de la validez. Con preferencia, cada uno de los dos procesadores calcula un contador de escritura propio. De esta manera se eleva adicionalmente la disponibilidad del control de seguridad.
En otra configuración, el primer procesador está configurado, además, para calcular el primer valor de ensayo en función del valor momentáneo y del valor del contador de escritura.
En esta configuración, el primer procesador no sólo tiene en cuenta el valor momentáneo, sino también el valor del contador de escritura durante el cálculo de la suma de prueba. Con preferencia, el primer valor de ensayo se calcula de la siguiente manera: el valor momentáneo y el valor del contador de escritura están registrados en dos celdas de memoria de una zona de la memoria. El primer valor de ensayo es calculado entonces a través de los valores en las dos celdas de la memoria. La configuración posee la ventaja de que el valor de ensayo asegura tanto el valor momentáneo como también su actualidad, lo que eleva adicionalmente la fiabilidad de la información en el caso de un nuevo arranque de la instalación.
En otra configuración, en la primera y en la segunda variable del sistema se trata, respectivamente, de variables del sistema relevantes para la seguridad.
Esta medida garantiza que en el caso de un nuevo arranque y de una inicialización implicada con ello, están disponibles los valores de aquellas variables del sistema, que se necesitan en el control de seguridad para el procesamiento de las instrucciones de control de seguridad. De esta manera se garantiza la seguridad de funcionamiento de la instalación desde el nuevo arranque. Pero también se pueden registrar valores momentáneos de variables del programa no relevantes para la seguridad en la memoria de datos.
Los datos, que deben estar disponibles durante un nuevo arranque el control de seguridad y que, por lo tanto, deben registrarse en la memoria de datos, se designan, en general, como datos a prueba de tensión cero. Como ya se ha indicado, los datos a prueba de tensión cero son esencialmente datos relevantes para la seguridad. En este caso se
puede tratar de valores momentáneos de variables de entrada del programa relevantes para la seguridad, del valor momentáneo de variables de salida del programa relevantes para la seguridad o de valores momentáneos de variables intermedias del programa que son relevantes para la seguridad. En resumen, se puede tratar de datos, que aparecen durante el procesamiento de instrucciones de control relevantes para la seguridad. Pero también se puede tratar de datos no relevantes para la seguridad, que aparecen durante el procesamiento de instrucciones de control no relevantes para la seguridad, es decir, de valores momentáneos de variables de entrada del programa no relevantes para la seguridad, del valor momentáneo de variables de salida del programa no relevantes para la seguridad o de valores momentáneos de variables intermedias del programa que no son relevantes para la seguridad. También los datos no relevantes para la seguridad pueden ser importantes para la aceleración de una instalación. Como ejemplo se menciona una variable de contador no relevante para la seguridad, cuyo valor momentáneo representa el número de aquella silla de una telesilla que no se encuentran ya en el cable de transporte, sino que se encuentran ya en un depósito de almacenamiento.
Con preferencia, el primer procesador puede estar configurado para calcular, respectivamente, un primer valor de ensayo para un número discrecional de primeras variables del programa. De manera correspondiente, el segundo procesador puede estar configurado para calcular para cada uno de los primeros valores de ensayo un segundo valor de ensayo correspondiente.
Se entiende que las características mencionadas anteriormente y las características que se explicarán todavía posteriormente no sólo se pueden aplicar en la combinación indicada en cada caso, sino también en otras combinaciones o en posición individual, sin abandonar el marco de la presente invención.
Los ejemplos de realización de la invención se representan en el dibujo y se explican en detalle en la descripción siguiente. En este caso:
La figura 1 muestra una representación esquemática de una instalación a controlar.
La figura 2 muestra una representación esquemática de una memoria de datos para la explicación del registro de datos de acuerdo con una primera forma de realización.
La figura 3 muestra una representación esquemática de una memoria de datos para la explicación del registro de datos de acuerdo con una segunda forma de realización.
En la figura 1 se designa un control de seguridad con el número de referencia 10. El control de seguridad 10 está configurado para controlar una instalación automática designada, en su generalidad, con el número de referencia 12. La instalación 12 comprende una pluralidad de actuadores 14 y una pluralidad de sensores 16. A modo de ejemplo se representa un consumidor 18 contenido en la instalación 12, en el que se puede tratar, por ejemplo de un robot.
El control de seguridad 10 está constituido redundante de dos canales para conseguir la segundad contra fallo necesaria para el control de aplicaciones o bien de procesos críticos para la seguridad. En representación de la estructura de dos canales se representan en la figura 1 dos procesadores separados uno del otro, a saber, un primer procesador 20 y un segundo procesador 22. Los dos procesadores 20, 22 están conectados entre sí a través de una interfaz de comunicaciones bidireccional 24, para poder supervisarse mutuamente e intercambiar datos. Con preferencia, los dos canales del control de seguridad 10 y los dos procesadores 20, 22 están constituidos diversos, es decir, diferentes uno del otro para excluir en gran medida errores sistemáticos.
Con el número de referencia 26 se designa una unidad de entrada y salida, que está conectada con cada uno de los dos procesadores 20, 22. Una unidad de entrada y salida 26 recibe señales de entrada de control 28 desde los sensores 16 y las transmite en un formato de datos adaptado a cada uno de los dos procesadores 20, 22. Además, la unidad de entrada y salida 26 genera en función de los procesadores 20, 22 señales de salida de control 30 con las que se activan los actuadores 14.
Con el número de referencia 32 se designa una memoria de programa, en la que está registrado un programa de aplicación 34 en forma de código de máquina. El programa de aplicación 34 es ejecutado por el control de seguridad
10. El programa de aplicación 34 es creado, en general, con la ayuda de una herramienta de programación, siendo creado en primer lugar un código fuente, que se convierte entonces en un código de máquina. En la herramienta de programación se trata, por ejemplo, de un programa de ordenador 36, que se puede ejecutar en un PC 38 convencional. Con preferencia, le memoria del programa 32 está ejecutada como SD-Card o como CF-Card. Esto posibilita una sustitución sencilla del programa de aplicación 34 también sin conexión directa en el PC 38. De manera alternativa a ello, el programa de usuario 34 puede estar registrado también en una memoria incorporada fijamente en el control de seguridad 10, por ejemplo en una EEPROM. En cualquier caso, la memoria del programa 32 está realizada a prueba de tensión cero.
Para un procesamiento a prueba de fallos de variables de programa relevantes para la seguridad, en la memoria del programa 32 están registrados un primer código de máquina 40 y un segundo código de máquina 42. El primer código de máquina 40 está destinado para el primer procesador 20 y el segundo código de máquina 42 está
destinado para el segundo procesador 22. El primer código de máquina 40 comprende un primer código de seguridad 44 y un código estándar 46. El primer código de seguridad 44 comprende aquellas instrucciones de control de seguridad, que deben procesarse por el primer procesador 20 en el marco de las tareas de seguridad que deben ser realizadas por el control de seguridad 10. El código estándar 46 comprende aquellas instrucciones de control estándar, que deben ser procesadas por el primer procesador 20 en el marco de las tareas estándar que deben ser realizadas por el control de seguridad 10. El segundo código de máquina 42 comprende un segundo código de seguridad 48, que comprende aquellas instrucciones de control de seguridad, que deben ser procesadas por el segundo procesador 22. Las instrucciones de control de seguridad y las instrucciones de control estándar son designadas aquí de forma resumida como instrucciones de control.
En función del progreso de la ejecución se procesa en el primer procesador 20, por una parte, una primera instrucción de control de seguridad actual 50 y, por otra parte, una instrucción de control estándar actual 52. Esencialmente al mismo tiempo se ejecuta en el segundo procesador 22 una segunda instrucción de control de seguridad actual 54.
En el marco del procesamiento de la instrucción de control estándar actual 52, en la que se rata de una instrucción de control no relevante para la seguridad, se intercambian primeros datos 56 no relevantes para la seguridad entre el primer procesador 20 y la unidad de entrada y salida 26. En este caso, se conducen al primer procesador 20, utilizando variables de entrada del programa no relevantes para la seguridad, valores momentáneos de señales de entrada de control 58 no relevantes para la seguridad, que son generada por sensores 60 no relevantes para la seguridad. En los sensores 60 no relevantes para la seguridad se trata de sensores, cuyas señales son importantes en primer término para el ciclo de funcionamiento de la instalación, pero de las que no se deriva, en caso de fallo, ninguna amenaza inmediata para la vida. Por ejemplo, los sensores no relevantes para la seguridad registran la posición de una herramienta para la mecanización de una pieza de trabajo. Los sensores 60 no relevantes para la seguridad están configurados, en general, no aprueba de fallo. A la unidad de entrada y salida 26 se conducen, utilizando variables de salida del programa no relevantes para la seguridad, valores momentáneos de señales de salida de control 62 no relevantes para la seguridad, que son conducida a actuadores 64 no relevantes para la seguridad para su activación. En los actuadores 64 no relevantes para la seguridad se puede tratar, por ejemplo, de motores o servo cilindros. Los valores momentáneos de las señales de salida 62 no relevantes para la seguridad son calculados en función de la señales de entrada de control 58 no relevantes para la seguridad de acuerdo con las instrucciones de control estándar. En este caso puede ser necesario calcular magnitudes intermedias, cuyos valores momentáneos son asignados a variables intermedia del programa no relevantes para la seguridad. Los valores momentáneos de las variables intermedia del programa no relevantes para la seguridad son conducidos por medio de segundos datos 66 no relevantes para la seguridad a una memoria de trabajo 6 y son registrados temporalmente en ella.
En el marco del procesamiento de la primera instrucción de control de seguridad actual 50, en la que se trata de una instrucción de control relevante para la seguridad, se intercambian primeros datos 70 relevantes para la seguridad entre el primer procesador 20 y la unidad de entrada y salida 26. En este caso, se conducen al primer procesador 20, utilizando variables de entrada del programa relevantes para la seguridad, valores momentáneos de señales de entrada de control 72 relevantes para la seguridad, que son generadas por sensores 74 revelantes para la seguridad. En los sensores 74 relevantes para la seguridad se trata, por ejemplo, de teclas de desconexión de emergencia, conmutadores de puertas de protección, rejillas luminosas, aparatos de supervisión del número de revoluciones y otros sensores para el registro de parámetros relevantes para la seguridad. A la unidad de entrada y salida 26se conducen, utilizando variables de salida del programa relevantes para la seguridad, valores momentáneos de señales de salida de control 76 relevantes para la seguridad, que son conducidos a actuadores 78 relevantes para la seguridad para su activación. En los actuadores 78 relevantes para la seguridad se trata, por ejemplo, de relés, cuyos contactos de trabajo están dispuestos en la conexión entre una alimentación de contacto 80 y el consumidor 18, se trata de válvulas magnéticas relevantes para la seguridad o de otros actuadores, con los que se puede detener de una manera fiable un accionamiento peligroso. De esta manera, se puede desconectar la alimentación de corriente 80 del consumidor 18, con lo que es posible, en el caso de que aparezca una función errónea correspondiente, transferir al menos el consumidor 18 a un estado seguro. Los valores momentáneos de las señales de salida de control 76 relevantes para la seguridad son calculados, en función de las señales de entrada de control 72 relevantes para la seguridad, de acuerdo con las instrucciones de control de seguridad. A este respecto, puede ser necesario calcular magnitudes intermedias relevantes para la seguridad, cuyos valores momentáneos se asignan a variables intermedias del programa relevantes para la seguridad. Los valores momentáneos de las variables intermedias del programa relevantes para la seguridad son conducidos por medio de segundos datos 82 relevantes para la seguridad a la memoria de trabajo 68 y son registrados allí temporalmente.
En el marco del procesamiento de la segunda instrucción de control de seguridad 54 actual, en la que se trata de una instrucción relevante para la seguridad, se procede de acuerdo con la primera instrucción de control de seguridad 50 actual. Con respecto a la segunda instrucción de control de seguridad 54 actual se utilizan de manera correspondiente terceros datos 84 relevantes para la seguridad, que corresponde a los primeros datos 70 relevantes para la seguridad, y cuartos datos 86 relevantes para la seguridad, que corresponden a los segundos datos 82
relevantes para la seguridad.
El primer procesador 20 está configurado, por lo tanto, para procesar a través de enlaces lógicos de una pluralidad de primeras variables del programa al menos una parte de las instrucciones de control del programa de aplicación. El primer procesador 20 forma parte de un primer canal 88, que se designa como canal A. El segundo procesador 22 está configurado, por lo tanto, para procesar a través del procesamiento de una pluralidad de segundas variables del programa al menos una parte de las instrucciones de control del programa de usuario. El segundo procesador 22 forma parte de un segundo canal 90, que se designa como canal B.
Para el registro de datos a prueba de tensión cero, en el control de seguridad 10 está presente una memoria de datos 92. En estos datos a prueba de tensión cero se trata de aquellos datos, que deben estar presente, por ejemplo, durante la conexión del control de seguridad 10 después de un fallo de la tensión y, por lo tanto, durante la aceleración de la instalación 12 a controlar. Esta memoria de datos está configurada como memoria de datos novolátil. La memoria de datos 92 está asociada al primer procesador 20, es decir, a aquel procesador que procesa tanto instrucciones de control de seguridad como también instrucciones de control estándar. Esto tiene la ventaja de que se pueden registrar de manera sencilla datos relevantes para la seguridad y datos no relevantes para la seguridad, que son procesador por el primer procesador 20, en la memoria de datos 92. Los datos relevantes para la seguridad, que son procesador en el segundo procesador 22 y que deben registrarse en la memoria de datos 92, son alimentados al primer procesador 20 a través de la interfaz de comunicación bidireccional 24 para la inscripción en la memoria de datos 92. En un modo de proceder inverso correspondiente, el segundo procesador 22 recupera datos registrados en la memoria de datos 92. La asociación de la memoria de datos 92 al primer procesador 20 no tiene que tener ningún efecto limitativo. También es concebible asociar la memoria de datos al segundo procesador
22. De la misma manera es concebible que ambos procesadores 20, 22 puedan acceder directamente a la memoria de daros 92.
La inscripción de datos en la memoria de datos 92 se representa por medio de una flecha 94 y la lectura de datos desde la memoria de datos 92 se representa por medio de una flecha 96. En conexión con las figuras 2 y 3 se explica en concreto que datos se escriben en la memoria de datos 92 y, por lo tanto, son registrados en ella.
A través de una unidad de entrada y salida 26 se intercambian señales de ensayo 98 entre el control de seguridad 10 y los sensores 74 relevantes para la seguridad así como los actuadores 78 relevantes para la seguridad. Con la ayuda de las señales de ensayo 98 se puede establecer en el control de seguridad 10 si los componentes conectado en él trabajan sin errores, lo que es necesario, puesto que debe garantizarse un estado segurote la instalación 12 a controlar, tan pronto como aparece una función errónea en un aparato conectado con el control de seguridad 10.
Las indicaciones anteriores, según las cuales tanto desde el primer procesador 20 como también desde el segundo procesador 22 son generados valores momentáneos para las señales de salida de control 76 relevantes para la seguridad, no significan que los valores momentáneos generados por estos dos procesadores 20, 22 se emiten al mismo tiempo como señales de salida de control 76. Las indicaciones anteriores solamente deben reproducir la estructura redundante, con respecto a las tareas de seguridad a realizar, del control de seguridad 10. Ambos procesadores 20, 22 están configurados para calcular valores momentáneos para las señales de salida de control 76 relevantes para la seguridad. Durante el funcionamiento libre de errores del control de seguridad 10 solamente se emiten los valores calculados por un procesador, por ejemplo por el primer procesador 20. La representación seleccionada en la figura 2, de acuerdo con la cual en el control de seguridad 10 se procesan tanto instrucciones de control no relevantes para la seguridad como también instrucciones de control relevantes para la seguridad, no debe tener ningún efecto limitativo. También es concebible que el control de seguridad 10 esté configurado para el procesamiento exclusivo de instrucciones de control relevantes para la seguridad.
En la figura 2 se representa la memoria de datos 92, en la que se registran diferentes valores de acuerdo con una primera forma de realización. La memoria de datos 92 presenta una primera zona parcial de la memoria 110, que está prevista para el registro de variables del programa relevantes para la seguridad. Además, la memoria de datos 92 presenta una segunda zona parcial de la memoria 112, que está prevista para el registro de variables el programa no relevantes para la seguridad. Esta estructura de la memoria de datos 92 no debe tener ningún efecto limitativo. También es concebible prever dos memorias de datos de estructura autónoma, una de las cuales está prevista para las variables del programa relevantes para la seguridad y la otra está prevista para las variables del programa no relevantes para la seguridad.
Como ya se ha indicado con relación a la figura 1, el control de seguridad 10 está constituido de forma redundante de dos canales. Con el número de referencia 114 se designa un procesamiento, que tiene lugar en un primer canal 88, de una pluralidad de primeras variables del programa relevantes para la seguridad. Una de las primeras variables del programa relevantes para la seguridad, procesadas en el primer canal 88, es la variable del programa FSV1A relevante para la seguridad designada con el número de referencia 116. La nomenclatura utilizada tiene en este caso el siguiente significado: FS representa “failsafe” (a prueba de fallos) y con ello se indica que se trata de una variable del programa relevante para la seguridad. V1 es el nombre propiamente dicho de las variables del programa relevantes para la seguridad consideradas, con cuya ayuda se puede identificar ésta en la pluralidad de
primeras variables del programa relevantes para la seguridad, que son procesadas por el primer procesador 20. La letra A indica que se trata de una variable del programa procesada en el primer canal 88. Esta nomenclatura se utiliza unitariamente para las figuras 2 y 3.
Con el número de referencia 118 se designa un contador de escritura SZA utilizado en el primer canal 88. El valor del contador de escritura SZA india en este caso el número de los procesos de escritura, con los que están inscritos valores momentáneos de las variables del programa FSV1A relevantes para la seguridad en la primera zona parcial de la memoria 110. El número de referencia 120 designa un cálculo del valor de prueba CRCFSV1A, realizado en el primer canal 88, para la variable del programa FSV1A relevante para la seguridad. A través de las letras CRC (chequeo de redundancia cíclico) se indica que dicho cálculo del valor de prueba se realiza de acuerdo con el procedimiento CRC.
Con el número de referencia 122 se designa un procesamiento, que tiene lugar en un primer canal 90, de una pluralidad de segundas variables del programa relevantes para la seguridad. Una de las segundas variables del programa relevantes para la seguridad, procesadas en el segundo canal 90, es la variable del programa FSV1B relevante para la seguridad designada con el número de referencia 124. La letra B indica que se trata de una variable del programa procesada en el segundo canal 90. Con el número de referencia 126 se designa un contador de escritura SZB utilizado en el segundo canal 90. El valor del contador de escritura SB corresponde en este caso al valor del contador de escritura SZA. El número de referencia 128 designa un cálculo del valor de prueba CRCFSV1B, realizado en el segundo canal 90, para la variable del programa FSV1B relevante para la seguridad.
La variable del programa FSV1B relevante para la seguridad corresponde en este caso con las variables del programa FSV1A relevantes para la seguridad. Con ello se entiende lo siguiente: como ya se ha indicado con referencia a la figura 1, para un trabajo libre de fallos del control de seguridad 10, en la memoria del programa se ha registrado un primer código de máquina 40 para el primer canal 88 y un segundo código de máquina 42 para el segundo canal 90, comprendiendo ambos códigos de máquina 40, 42, respectivamente, un código de seguridad autónomo 44, 48. Con cada uno de los dos códigos de seguridad 44, 48 se procesan las mismas señales de entrada de control 72 relevantes para la seguridad de los sensores 74 relevantes para la seguridad y se calculan señales de salida de control 76 relevantes para la seguridad para los mismos actuadores 78 relevantes para la seguridad. A tal fin, cada uno de los dos códigos de seguridad 44, 48 contiene variables propias del programa, el primer código de seguridad 44 primeras variables del programa relevantes para la seguridad y el segundo código de seguridad 48 segundas variables del programa relevantes para la seguridad. Éstas son, en efecto, independientes entre sí en el sentido de que las primeas variables del programa y las segundas variables del programa ocupan zonas autónomas de la memoria en las memorias respectivas. Los dos códigos de seguridad 44, 48 contienen, sin embargo, variables del programa correspondientes por parejas. De esta manera, tanto el primer código de seguridad 44 como también el segundo código de seguridad 48 contienen, por ejemplo, respectivamente, una variable de entrada del programa relevante para la seguridad, con la que se pueden inscribir valores momentáneos de la señal de sensor generada por la misma tecla de desconexión de emergencia. Lo mismo se aplica de manera correspondiente para variables de salida del programa relevantes para la seguridad y, dado el caso, para variables intermedias del programa relevantes para la seguridad que son necesarias.
En la primera zona parcial de la memoria 110 se registran ahora valores momentáneos de las variables del programa FV1A relevantes para la seguridad, valores del contador de escritura SZA y valores de prueba calculados con los dos cálculos de valores de prueba CRCFSV1A y CRCFSV1B, como se indica a continuación: La primera zona parcial de la memoria presenta dos zonas de memoria 130, 132. Un valor momentáneo FSV1A1(n) presente en un primer instante definido es registrado en la primera zona de la memoria 130 en una primera celda de la memoria 134, lo que se representa por medio de una flecha 136. La nomenclatura utilizada tiene en este caso el siguiente significado: la expresión anexa entre paréntesis (n) indica que se trata de un valor momentáneo. Este valor momentáneo está presente en este caso en un primer instante definido, estando este instante dentro del ciclo de exploración n. El ciclo de exploración es en este caso aquella duración de tiempo, que necesita el control de seguridad 10 para ejecutar una vez el programa de aplicación, comenzando con la actualización de la copia de entrada, el procesamiento de las instrucciones de control individuales y terminando con la preparación de la copia de salida. Por consiguiente, por ejemplo, en el caso de una variable de entrada del programa relevante para la seguridad y en el caso de una variable de salida del programa relevante para la seguridad proporcionar como unidad mínima de tiempo el ciclo de exploración, puesto que para estas variables del programa por cada ciclo de exploración solamente se realiza una modificación. De esta manera resulta el siguiente significado: la letra minúscula n designa un primer instante definido y, por lo tanto, aquel ciclo de exploración, en el que se encuentra este instante. El término (n-1) designa un instante más antiguo y, por lo tanto, uno de los ciclos de exploración precedentes. El término (n+1) designa un instante más reciente y, por lo tanto, un ciclo de exploración siguiente.
El valor SZA(n) presente en el primer instante definido del contador de escritura SZA se registra igualmente en la primera zona de la memoria 130 y, en concreto, en una segunda celda de la memoria 138, lo que se representa a través de una flecha 140. Por lo demás, en la primera zona de la memoria 130 se registra un primer valor de prueba CRCFSV1A(n), que se calcula en función del valor momentáneo FSV1A(n) por el cálculo del valor de prueba CRCFSV1A, y un segundo valor de prueba CRCFSV1B(n), y en concreto en una tercera celda de la memoria 142 y
en una cuarta celda de la memoria 144, lo que se representa por medio de flechas 146, 148.
El segundo valor de prueba CRCFSV1B(n) calculado con el segundo cálculo del valor de prueba CRCFSV1B corresponde en este caso con el primer valor de prueba CRCFSV1A(n). Por una parte, se calcula el segundo valor de prueba CRCFSV1B(n) en función de un valor momentáneo de aquella segunda variable del programa FSV1B, que corresponde con la primera variable del programa FSV1A. Además, el valor momentáneo de la segunda variable del programa FSV1B está presente en el mismo ciclo de exploración, que el valor momentáneo FSV1A(n) de la primera variable del programa FSV1A. Con preferencia, los dos valores de prueba CRCFSV1A(n) y CRCFSV1B(n) se calculan de forma diversa. A tal fin, los dos cálculos de los valores de prueba CRCFSV1A y CRCFSV1B se realiza de forma diversa según la técnica de hardware y/o según la técnica de software.
En la segunda zona de la memoria 13 están registrados para un instante más antiguo y, por lo tanto, para un ciclo de exploración precedente un valor momentáneo FSV1A(n-1) de la primera variable del programa FSV1A, un valor SZA(n-1) del contador de escritura SZA, un primer valor de prueba CRCFSV1A(n-1) y un segundo valor de prueba CRCFSV1B)n-1) en una quinta celda de la memoria 150, en una sexta celda de la memoria 152, en una séptima celda de la memoria 154 y en una octava celda de la memoria 156, lo que se representa por medio de flechas 158, 160, 162, 164. Los valores individuales registrados en la zona de la memoria 132 son calculados de manera correspondiente, como se ha descrito para los valores correspondientes, registrados en la zona de la memoria 130.
Los valores registrados en las celdas de la memoria 134, 138, 142, 150, 152, 154 con calculados por el primer procesador 20. Los valores registrados en las celdas de la memoria 144, 156 son calculados por el segundo procesador 22.
Tanto el valor momentáneo de la primera variable del programa FSV1A como también los dos valores de prueba calculados con los cálculos de los valores de prueba CRCFSV1A y CRCFSV1B son registrados de forma alterna en las dos zonas de la memoria 130, 132. Los dos valores de prueba se calculan de forma repetida de esta manera para instantes sucesivos y se registran. Para un instante más reciente y, por lo tanto, para un instante siguiente se registran el valor momentáneo FSV1A(n+1) presente en este instante y los dos valores de prueba CRCFSV1A(n+1) y CRCFSV1B(n+1) entonces en la celdas de la memoria 150, 152, 154, 156 correspondientes de la zona de la memoria 132.
La memoria de datos 92 presenta dos zonas de memoria 130, 132, que están asociadas a la variable FSV1A relevante para la seguridad. Si se registran otras variables del programa relevantes para la seguridad de acuerdo con el modo de proceder descrito anteriormente en la memoria de datos 92, entonces ésta presenta igualmente dos zonas de la memoria para cada una de estas variables del programa.
El primer procesador 20 puede estar configurado para realizar una comparación del valor momentáneo. Con esta comparación del valor momentáneo se comparan entre sí los valores momentáneos, presentes en instantes diferentes, de las variables del programa FSV1A relevantes para la seguridad. Si se establece a través de la comparación de valores momentáneos que los dos valores momentáneos de dos instantes inmediatamente sucesivos no se diferencian, entonces se puede prescindir del registro del valor momentáneo más reciente y de los dos valores de prueba más recientes. Con otras palabras: solamente se registran el valor momentáneo más reciente y los dos valores momentáneos más recientes cuando el valor momentáneo más reciente se diferencia del valor momentáneo presente para el instante inmediatamente precedente.
En este instante hay que indicar que, por ejemplo, el primer valor de prueba CRCFSV1A(n) se calcula en función del valor momentáneo FSV1A(n) a través del cálculo del valor de prueba CRCFSV1A. De manera correspondiente se calcula, por ejemplo, el segundo valor de prueba CRCFSV1B(n) en función del valor momentáneo FSV1B(n) a través del cálculo del valor de prueba CRCFSV1B. Esto se puede entender de tal manera que el valor de prueba respectivo se calcula solamente para el valor momentáneo de las variables del programa relevantes para la seguridad correspondientes. De manera alternativa, el primer valor de prueba CRCFSV1A(n) se puede calcular también para la combinación que resulta a partir del valor momentáneo FSV1A(n) y el valor SZA(n) del contador de escritura SZA. De manera correspondiente se puede proceder para el segundo valor de prueba CRCFSV1B(n).
El registro descrito anteriormente de valores momentáneos, valores de contadores de escritura y valores de prueba en la primera zona parcial de la memoria se basa en la siguiente consideración. Por ejemplo, mientras no exista ningún fallo de la tensión, por lo tanto el control de seguridad 10 trabaja libre de averías, las dos variables del programa FSV1A y FSV1B relevantes para la seguridad presentan valores momentáneos idénticos en los ciclos de exploración individuales. Por lo tanto, es suficiente registrar en la memoria de datos 92 solamente los valores momentáneos de las variables del programa FSV1A relevantes para la seguridad. Los dos contadores de escritura SZA y SZB presentan dentro de un ciclo de exploración de la misma manera valores idénticos.
Con la ayuda de los dos valores de prueba calculados individualmente para los dos canales 88, 90 se puede verificar ahora si el último valor momentáneo FV1A(n) registrado en la memoria de datos 92 es válido o no. A tal fin, por ejemplo, en el caso de un nuevo arranque, que es necesario después de un fallo de la tensión, se alimentan al
primer procesador 20 el valor momentáneo FSV1A(n) y el primer valor de prueba CRCFSV1A(n).
Al segundo procesador 22 se alimenta de la misma manera el valor momentáneo FSV1A(n), pero el segundo valor de prueba CRCFSV1B(n). Si el control de seguridad 10 trabaja libre de averías en la ventana de tiempo, en la que se calculan los dos valores de prueba CRCFSV1A(n) y CRCFSV1B(n), y tanto el valor momentáneo FSV1A(n) como también estos dos valores de prueba han sido registrados en la memoria de datos 92, entonces un cálculo de nuevo de un primer valor de prueba actual CRCFSV1A(n+1) y de un segundo valor de prueba actual CRCFSV1B(n+1) da como resultado que tanto el primer valor de prueba CRCFSV1A(n) registrado y el primer valor de prueba CRCFSV1A(n+1) son idénticos como también el segundo valor de prueba CRCFSV1B(n) registrado y el segundo valor de prueba actual CRCFSV1B(n+1) son idénticos. En este caso, el valor momentáneo FSV1A(n) registrado es válido y se puede utilizar para la inicialización del control de seguridad 10. Se procesa en los dos canales 88, 90. En cambio, si se establece que o bien el primer valor de prueba CRCFSV1A(n) registrado y el primer valor de prueba actual CRCFSV1A(n+1) no son idénticos o el segundo valor de prueba CRCFSV1B(n) registrado y el segundo valor de prueba actual CRCFSV1B(n+1) no son idénticos, entonces el valor momentáneo FSV1A(n) registrado no es válido y, por lo tanto, no se puede utilizar para la inicialización del control de seguridad 10. En este caso, en su lugar se utiliza el valor momentáneo FSV1A(n-1) registrado anteriormente para la inicialización. Con preferencia, este valor momentáneo, antes de que sea utilizado para la inicialización, se somete en primer lugar igualmente a una verificación de la validez. Se esta manera, se pueden iniciar de nuevo el control de seguridad 10 y la instalación 12, sin que sean necesarios para ello el empleo de valores por efecto para la primera variable el programa FSV1A relevante para la seguridad o la realización de una marcha de referencia.
Durante la verificación de la validez descrita anteriormente se establece en primer lugar con la ayuda de los valores SZA(n) y SZA(n-1) del contador de escritura SZA cuál de los dos valores momentáneos, que están registrados en la primera celda de la memoria 134 y en la quinta celda de la memoria 150, es más reciente. El valor momentáneo más reciente se verifica en primer lugar en la verificación de la validez.
La memoria de datos 92 presenta una segunda zona parcial de memoria 112, que está prevista para el registro de variables del programa no relevantes para la seguridad, de manera que las variables del programa no relevantes para la seguridad son procesadas en el primer canal 88.
Con el número de referencia 166 se designa un procesamiento, que tiene lugar en un primer canal 88, de una pluralidad de variables del programa no relevantes para la seguridad. Una de las primeras variables del programa no relevantes para la seguridad procesada en el primer canal 88 es la variable del programa STV1A relevante para la seguridad designada con el número de referencia 168. En este caso ST representa “estándar” y con ello indica que se trata de una variable del programa no relevante para la seguridad. El significado de la designación V1 y de la letra A se puede deducir a partir de las explicaciones sobre el procesamiento designado con el número de referencia 114. El número de referencia 170 designa un cálculo del valor de prueba CRCFSV1A realizado en el primer canal 88 para la variable del programa STV1A no relevante para la seguridad.
En la segunda zona de la memoria 112 se registran ahora valores momentáneos de las variables del programa TV1A no relevantes para la seguridad, valores el contador de escritura SZA y valores de prueba calculados con el cálculo de los valores de prueba CRCFSV1A de la siguiente manera: La segunda zona parcial de la memoria 112 presenta dos zonas de memoria 172, 174. Un valor momentáneo STV1A(n) presente en un primer instante definido de las primeras variables del programa STV1A no relevantes para la seguridad es registrado en la tercera zona de la memoria 172 en una novena celda de la memoria 176, lo que se representa por medio de una flecha 178. El valor SZA(n) del contador de escritura SZA, que está presente en el primer instante definido, es registrado de la misma manera en una décima celda de la memoria 180, lo que se representa a través de una flecha 182. Por lo demás, se registra un valor de prueba CRCFSV1A(n), que se calcula en función el valor momentáneo STV1A(n) por el cálculo de valores de prueba CRCFSV1A y, en concreto, en una undécima celda de la memoria 184, lo que se representa por medio de una flecha 186.
En la cuarta zona de la memoria 174 se registran para un instante más antiguo y, por lo tanto, para un ciclo de exploración precedente un valor momentáneo STV1A(n-1) de las variables del programa STV1A no relevantes para la seguridad, un valor SZA(n-1) del contador de escritura SZA y un valor de prueba CRCFSV1A(n-1) de una duodécima celda de la memoria 188, de una décimo tercera celda de la memoria 190 y de una décimo cuarta celda de la memoria 192, lo que se representa por medio de las flechas 194, 196, 198. Los valores individuales registrados en la cuarta zona de la memoria 1174 son calculados de manera correspondiente, como se ha descrito para los valores correspondientes registrados en la tercera zona de la memoria 172. Los valores registrados en las celdas de la memoria 176, 180, 184, 188, 190, 192 son calculados por el primer procesador 20.
Tanto el valor momentáneo de las variables del programa STV1A no relevantes para la seguridad como también el valor de prueba calculado con el cálculo del valor reprueba CRCFSV1A son registrados alternando en las dos zonas de la memoria 172, 174. Para un instante más reciente y, por lo tanto, para un ciclo de exploración siguiente se registran el valor momentáneo STV1A(n+1) presente en este instante y el valor de prueba CRCFSV1A(n+1)
entonces el as celdas correspondientes de la memoria 188, 190, 192 de la cuarta zona de la memoria 174.
La memoria de datos 92 presenta dos zonas de memoria 12, 174, que están asociadas a las variables del programa STV1A no relevantes para la seguridad. Si se registran otras variables del programa no relevantes para la seguridad de acuerdo con el modo de proceder descrito anteriormente en la memoria de datos 92, entonces ésta presenta igualmente dos zonas de la memoria para cada una de estas variables del programa.
También el registro de variables del programa no relevantes para la seguridad se puede realizar teniendo en cuenta una comparación de los valores momentáneos. De la misma manera se puede tener en cuenta el valor del contador de escritura SZA en el cálculo de valores de prueba. La verificación de la validez de un último valor momentáneo STV1A(n) registrado se realiza de manera correspondiente, como se ha descrito anteriormente para las variables del programa relevantes para la seguridad.
De manera correspondiente se puede verificar también para la variable del programa STV1A no relevante para la seguridad si el último valor momentáneo STV1A(n) registrado en la memoria de datos 92 es válido o no.
A tal fin se conducen, por ejemplo, en el caso de un nuevo arranque del control de seguridad 10 al primer procesador 20 el valor momentáneo STV1A(n) y el valor de prueba CRCFSV1A(n). Si el control de seguridad 10 ha trabajado sin averías en la ventana de tiempo, en la que se ha calculado el valor de prueba CRCFSV1A(n) y tanto el valor momentáneo STV1A(n) como también el valor de prueba CRCFSV1B’A(n) han sido registrados en la memoria de datos 92, entonces un cálculo de nuevo de un valor de prueba actual CRCFSV1A(n+1) da como resultado que el valor de prueba CRCFSV1A(n) registrado y el valor de prueba actual CRCFSV1A(n+1) son idénticos. En este caso, el valor momentáneo STV1A(n) registrado es válido y se puede utilizar para la inicialización el control de seguridad
10. Este procesado en el primer canal 88. En cambio, si se establece que el valor de prueba CRCFSV1A(n) registrado y el valor de prueba actual CRCFSV1A(n+1) no son idénticos, entonces el valor momentáneo STV1A(n) registrado no es válido y, por lo tanto, no se puede utilizar para la inicialización del control de seguridad 10. En este caso, en lugar de éste se utiliza el valor momentáneo STV1A(n-1) registrado anteriormente para la inicialización. Con preferencia, este valor momentáneo, antes de que sea utilizado para la inicialización, es sometido de la misma manera a una verificación de la validez. De esta manera, el control de seguridad 10 y la instalación 12 se pueden arrancar de nuevo si que sean necesarios para ello el empleo de valores por defecto para la variable del programa STV1A no relevante para la seguridad o la realización de una marcha de referencia.
En la verificación de la validez descrita anteriormente se establece en primer lugar con la ayuda de los valores SZA(n) y SZA(n-1) del contador de escritura SZA cuál de los dos valores momentáneos, que están registrados en la novela celda de la memoria 176 y en la duodécima celda de la memoria 188, es el más reciente. El valor momentáneo más reciente es verificado en primer lugar en la verificación de la validez.
Las variables del programa procesadas con el primer procesador 20 se designan en resumen como primeras variables del programa y las variables del programa procesadas con el segundo procesador 22 se designan, en resumen, como segundas variables del programa.
En la figura 3 se representa la memoria de datos 92, en la que se registran diferentes valores de acuerdo con una segunda forma de realización.
Con el número de referencia 114’ se designa un procesamiento, que tiene lugar en el primer canal 88, de una pluralidad de primeras variables del programa relevantes para la seguridad, que se diferencia del procesamiento 114 porque no se tiene en cuenta ningún contador de escritura SZA. De manera correspondiente, el número de referencia 122’ designa un procesamiento, que tiene lugar en el segundo canal 90, de segundas variables del programa relevantes para la seguridad y el número de referencia 166’ designa un procesamiento, que tiene lugar en el primer canal 88, de variables del programa no relevantes para la seguridad.
En una quinta zona de la memoria 200 están registrados un valor momentáneo FSV1A(n) de las primeras variables del programa FSV1A, un primer valor de prueba CRCFSV1A(n) y un segundo valor de prueba CRCFSV1B(n) en una décimo quina celda de la memoria 202, de una décimo sexta celda de la memoria 204 y de una décimo séptima celda de la memoria 206, lo que se representa a través de flechas 208, 210, 212. En una sexta zona de la memoria 214 están registrados un valor momentáneo STV1A(n) de las variables del programa STV1A no relevantes para la seguridad y un valor de prueba CRCFSV1A(n) en una décimo octava celda de la memoria 216 y de una décimo novena celda de la memoria 218, lo que se representa a través de flechas 220, 222.
Los valores registrados en las celdas de la memoria 202, 204, 216, 218 son calculados por el primer procesador 20. El valor registrado en la celda de la memoria 206 es calculado por el segundo procesador 22. Los valores individuales registrados son calculados de acuerdo con las explicaciones relacionadas con la figura 2.
Si deben registrarse otras variables del programa relevantes para la seguridad en la memoria de datos 92, entonces ésta presenta un número correspondientemente mayor de quintas zonas de la memoria 20. Lo mismo se aplica de manera correspondiente para las variables del programa no relevantes para la seguridad y para la sexta zona de la memoria 214. De la misma manera se puede realizar el registro de las variables del programa no relevantes para la seguridad y de las variables del programa relevantes para la seguridad teniendo en cuenta una comparación de los valores momentáneos.
La verificación de la validez de los valores momentáneos FSV1A(n) y STV1A(n) registrados se realiza de la misma
5 manera que se ha descrito con relación a la figura 2. No obstante, con la siguiente diferencia: si se establece, por ejemplo, que el valor momentáneo FSV1A(n) no es válido, entonces no se registra en la memoria de datos 92 ningún otro valor momentáneo para la primera variable del programa FSV1A relevante para la seguridad, que podría utilizarse en lugar del valor momentáneo FSV1A(n). En este caso, el control de seguridad 10 o bien es inicializado con un valor por defecto para la primera variable del programa FSV1A relevante para la seguridad o debe realizarse
10 una marcha de referencia con la instalación 12. Lo mismo se aplica de manera correspondiente para la variable del programa STV1A no relevante para la seguridad.
Sin embargo, el concepto de memoria descrito con la ayuda de la figura 3 tienen, frente al concepto de memoria descrito con la ayuda de la figura 2, la ventaja de que la memoria de datos se puede dimensionar más pequeña y, por lo tanto, es más económica.
15 En la presente solicitud no se reivindica explícitamente ninguna protección sobre el concepto de memoria, que se aplica en el registro de datos no relevantes para la seguridad. Se reserva formular y seguir una solicitud de protección dirigida a este concepto de memoria.

Claims (12)

  1. REIVINDICACIONES
    1.-Control de seguridad para el control de una instalación automatizada (12) de acuerdo con un programa de aplicación (34) que se ejecuta en el control de seguridad, en el que la instalación (12) comprende una pluralidad de sensores (16) y una pluralidad de actuadores (14), y en el que el programa de aplicación (34) comprende una pluralidad de instrucciones de control (44, 46, 48) para el control de los actuadores (14),
    con un primer procesador (20), que está configurado para ejecutar, a través del procesamiento de una pluralidad de primeras variables del programa, al menos una parte de las instrucciones de control (44),
    con un segundo procesador (22), que está configurado para ejecutar, a través del procesamiento de una pluralidad de segundas variables del programa, al menos una parte de las instrucciones de control (48), y
    con una memoria de datos no volátil (92) para el almacenamiento de datos a prueba de tensión cero, que deben estar presentes durante la conexión del control de seguridad después de un fallo de la tensión,
    en el que el primero y el segundo procesador (20, 22) están configurados, respectivamente, para calcula valores de prueba, con los que se puede verificar la validez de un valor registrado en la memoria de datos (92),
    caracterizado porque el primer procesador (20) está configurado para calcular para al menos una de las primeras variables del programa (FSV1A) un primer valor de prueba (CRCFSV1A(n)) en función de un valor momentáneo (FSV1A(n)) presente para la primera variable del programa (FSV1A) en un primer instante definido, porque el segundo procesador (22) está configurado, además, para calcular un segundo valor de prueba (CRCFSV1B(n)), que corresponde con el primer valor de prueba (CRCFSV1A(n)) y porque la memoria de datos (92) está configurada para registrar el valor momentáneo (FSV1A(n)), el primer valor de prueba (CRCFSV1A(n)) y el segundo valor de prueba (CRCFSV1B(n)), en el que el control de seguridad (10) está configurado para realizar durante su nuevo arranque una verificación de la validez del valor momentáneo (FSV1A(n)), en el que el control de seguridad (10) está configurado para determinar la factibilidad del valor momentáneo (FSV1A(n)) con el primer valor de prueba (CRCFSV1A(n)) por medio del primer procesador (20) y para determinar la factibilidad del valor momentáneo (FSV1A(n)) con el segundo valor de prueba (CRCFSV1B(n)), por medio del segundo procesador (22).
  2. 2.-Control de seguridad de acuerdo con la reivindicación 1, caracterizado porque el segundo procesador (22) está configurado, además, para calcular el segundo valor de prueba (CRCFSV1B(n)), en función de un valor momentáneo (FV1B(n)) de una de las segundas variables (FSV1B), en el que la segunda variable del programa (FSV1B) se corresponde con la primera variable del programa (FSV1A).
  3. 3.-Control de seguridad de acuerdo con la reivindicación 2, caracterizado porque el valor momentáneo (FSV1A(n)) de las primeras variables del programa (FSV1A) y el valor momentáneo (FSV1B(n)) de las segundas variables del programa (FSV1B) están presentes en el mismo ciclo de sincronización (n).
  4. 4.-Control de seguridad de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el control de seguridad (10) está configurado para calcular de forma diversa los dos valores de prueba (CRCFSV1A(n)), (CRCFSV1B(n)),
  5. 5.-Control de seguridad de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el control de seguridad (10) está configurado para calcularlos dos valores de prueba (CRCFSV1A(n)), (CRCFSV1B(n)) de forma repetida en instantes sucesivos.
  6. 6.-Control de seguridad de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el primer procesador (20) está configurado, además, para realizar una comparación de los valores momentáneos.
  7. 7.-Control de seguridad de acuerdo con una de las reivindicaciones anteriores, caracterizado porque la memoria de datos (92) presenta dos zonas de seguridad (130, 132) asociadas a las primeras variables del programa (116).
  8. 8.-Control de seguridad de acuerdo con la reivindicación 7, caracterizado porque el control de seguridad (10) está configurado pata registrar el valor momentáneo (FSV1A(n)) y los dos valores de prueba (CRCFSV1A(n)), (CRCFSV1B(n)) alternando en las dos zonas de la memoria (130, 132).
  9. 9.-Control de seguridad de acuerdo con la reivindicación 78, caracterizado porque al menos uno de los dos procesadores (20, 22) está configurado para calcular un valor (SZA(n), (SZB(n)) para un contador de escritura (SZA, SZB), en el que el contador de escritura (SZA, SZB) representa cuál de las dos zonas de la memoria (130, 132) contiene el valor momentáneo más reciente, respectivamente.
  10. 10.-Control de seguridad de acuerdo con la reivindicación 9, caracterizado porque el primer procesador (20) está configurado, además, para calcular el primer valor de prueba (CRCFSV1A(n)), en función del valor momentáneo (FSV1A(n)) y del valor (SZA(n)) del contador de escritura (SZA).
  11. 11.-Control de seguridad de acuerdo con una de las reivindicaciones anteriores, caracterizado porque en las primeras y en las segundas variables del programa se trata, respectivamente, de variables del programa relevantes para la seguridad.
  12. 12.-Procedimiento para el control de una instalación automatizada (12) con la ayuda de un control de seguridad, 5 que comprende un primer procesador (20) y un segundo procesador (22), en el que la instalación (12) comprende una pluralidad de sensores (16) y una pluralidad de actuadores (14), con las etapas:
    -
    procesamiento de una pluralidad de variables del programa con el primer procesador (20),
    -
    cálculo de un primer valor de prueba (CRCFSV1A(n)) para al menos una de las primeras variables del programa (FSV1A) en función de un valor momentáneo (FSV1A(n)) que está presente para esta primera variable del programa
    10 (FSV1A) en un primer instante definido con la ayuda del primer procesador (20),
    -
    procesamiento de una pluralidad de segundas variables del programa con el segundo procesador (22),
    -
    cálculo de un segundo valor de prueba (CRCFSV1B(n)), que se corresponde con el primer valor de prueba (CRCFSV1A(n)), con el segundo procesador (2),
    -
    registro del valor momentáneo (FSV1A(n)), del primer valor de prueba (CRCFSV1A(n)) y del segundo valor de 15 prueba (CRCFSV1B(n)) en una memoria de datos no volátil (92), y
    -
    realización de una prueba de validez del valor momentáneo (FSV1A(n)) durante un nuevo arranque del control de seguridad, en el que el control de seguridad (10) determina la factibilidad del valor momentáneo (FSV1A(n)) con el primer valor de prueba (CRCFSV1A(n)), por medio del primer procesador (20) y determina la factibilidad del valor momentáneo (FSV1A(n)) con el segundo valor de prueba (CRCFSV1B(n)) por medio del segundo procesador (22).
    20 13.-Producto de programa de ordenador con un soporte de datos con código de programa, que está configurado para realizar un procedimiento de acuerdo con la reivindicación 12, cuando se ejecuta el código del programa en un control de seguridad (10) de acuerdo con una de las reivindicaciones 1 a 11.
ES10718871T 2009-04-20 2010-04-20 Control de seguridad y procedimiento para el control de una instalación automática Active ES2446349T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE200910019087 DE102009019087A1 (de) 2009-04-20 2009-04-20 Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
DE102009019087 2009-04-20
PCT/EP2010/002436 WO2010121796A1 (de) 2009-04-20 2010-04-20 Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage

Publications (1)

Publication Number Publication Date
ES2446349T3 true ES2446349T3 (es) 2014-03-07

Family

ID=42334649

Family Applications (1)

Application Number Title Priority Date Filing Date
ES10718871T Active ES2446349T3 (es) 2009-04-20 2010-04-20 Control de seguridad y procedimiento para el control de una instalación automática

Country Status (8)

Country Link
US (1) US9098074B2 (es)
EP (1) EP2422244B1 (es)
JP (2) JP5645921B2 (es)
CN (1) CN102460316B (es)
DE (1) DE102009019087A1 (es)
ES (1) ES2446349T3 (es)
HK (1) HK1166523A1 (es)
WO (1) WO2010121796A1 (es)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008060005A1 (de) * 2008-11-25 2010-06-10 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten
JP5683294B2 (ja) * 2011-01-31 2015-03-11 三菱重工業株式会社 安全装置、安全装置の演算方法
DE102011088236A1 (de) * 2011-12-12 2013-06-13 Endress + Hauser Wetzer Gmbh + Co. Kg Verfahren zum sicheren Betreiben eines Feldgerätes der Prozessautomatisierungstechnik
US9696692B2 (en) * 2012-04-13 2017-07-04 Rockwell Automation Technologies, Inc. Industrial automation control system
DE102012012521A1 (de) 2012-06-26 2014-01-02 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und Verfahren für eine sicherheitskritische Anwendung
JP5545380B1 (ja) * 2013-01-28 2014-07-09 株式会社安川電機 ロボットシステム
US10185291B2 (en) * 2013-06-28 2019-01-22 Fisher Controls International Llc System and method for shutting down a field device
DE102016202749A1 (de) * 2016-02-23 2017-08-24 Festo Ag & Co. Kg Sicherheitsgerichtete Steuervorrichtung und Verfahren zum Betrieb einer sicherheitsgerichteten Steuervorrichtung
DE102016125240A1 (de) * 2016-12-21 2018-06-21 Endress+Hauser SE+Co. KG Elektronische Schaltung für ein Feldgerät der Automatisierungstechnik
US11879871B2 (en) * 2018-11-30 2024-01-23 Illinois Tool Works Inc. Safety systems requiring intentional function activation and material testing systems including safety systems requiring intentional function activation
CN113127262B (zh) * 2020-01-13 2024-05-14 北京地平线机器人技术研发有限公司 镜像文件的生成方法、装置、电子设备及存储介质

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3751684A (en) * 1972-04-14 1973-08-07 Allen Bradley Co Fault mode detection system
US4193120A (en) * 1978-09-13 1980-03-11 Zenith Radio Corporation Addressable event display and control system
US4787041A (en) * 1985-08-01 1988-11-22 Honeywell Data control system for digital automatic flight control system channel with plural dissimilar data processing
JPH02114827A (ja) * 1988-10-21 1990-04-26 Tokyo Electric Co Ltd バックアップ電源装置
JPH0527880A (ja) * 1991-07-23 1993-02-05 Nippon Steel Corp システムリスタート装置
US5414836A (en) * 1993-09-29 1995-05-09 International Business Machines Corporation Software testing system that employs a graphical interface to generate test cases configured as hybrid tree structures
JPH07295602A (ja) * 1994-04-22 1995-11-10 Shimadzu Corp 二重化制御装置
JP3210833B2 (ja) * 1995-05-09 2001-09-25 株式会社日立製作所 エラーチェック方法および装置
JP3208060B2 (ja) * 1996-05-27 2001-09-10 三菱電機株式会社 並列二重系電子連動装置
DE19636703C2 (de) * 1996-09-10 1998-12-03 Roland Man Druckmasch Vorrichtung zur automatischen Steuerung eines Druckplattenwechselvorganges
DE19802728A1 (de) * 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Verfahren und Schaltungsanordnung zur Überwachung von Maschinenparametern
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
DE19927635B4 (de) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Sicherheitsbezogenes Automatisierungsbussystem
US6556950B1 (en) * 1999-09-30 2003-04-29 Rockwell Automation Technologies, Inc. Diagnostic method and apparatus for use with enterprise control
US6777830B1 (en) * 2000-03-17 2004-08-17 Pilz Gmbh & Company System for reliable prevention of the restarting of a machine
FR2806934B1 (fr) * 2000-03-30 2003-04-18 Eisenmann France Sarl Dispositif de controle d'une installation de traitement de surface, notamment pour l'industrie automobile
US6745107B1 (en) * 2000-06-30 2004-06-01 Honeywell Inc. System and method for non-invasive diagnostic testing of control valves
AU2001284667A1 (en) * 2000-07-25 2002-02-05 Dutec, Inc. System, device and method for comprehensive input/output interface between process or machine transducers and controlling device or system
US6643555B1 (en) * 2000-10-10 2003-11-04 Schneider Automation Inc. Method and apparatus for generating an application for an automation control system
US6549827B1 (en) * 2000-11-20 2003-04-15 John Yen Fire prevention automation commanding control system using satellite-location/geography-information
US20050188351A1 (en) * 2002-04-02 2005-08-25 Siemens Aktiengesellschaft Device and method for automatically generating automation software
FR2841007B1 (fr) * 2002-06-18 2004-07-23 Schneider Automation Systeme de communication de securite
US7610119B2 (en) 2003-07-08 2009-10-27 Omron Corporation Safety controller and system using same
US7133727B2 (en) * 2003-08-01 2006-11-07 Invensys Systems, Inc. System and method for continuous online safety and reliability monitoring
US7213168B2 (en) * 2003-09-16 2007-05-01 Rockwell Automation Technologies, Inc. Safety controller providing for execution of standard and safety control programs
US7187989B2 (en) * 2003-12-22 2007-03-06 Fakhruddin T Attarwala Use of core process models in model predictive controller
DE102004018857A1 (de) * 2004-04-19 2005-11-10 Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik Sicherheitssteuerung
US7453677B2 (en) * 2004-10-06 2008-11-18 Teknic, Inc. Power and safety control hub
DE102004058472B4 (de) * 2004-11-24 2006-12-14 Pilz Gmbh & Co. Kg Sicherheitseinrichtung und Verfahren zum Bestimmen eines Nachlaufweges bei einer Maschine
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
US7599752B2 (en) * 2005-05-17 2009-10-06 Utah State University Tuning methods for fractional-order controllers
US20070019641A1 (en) * 2005-07-22 2007-01-25 Rockwell Automation Technologies, Inc. Execution of industrial automation applications on communication infrastructure devices
US20070035255A1 (en) * 2005-08-09 2007-02-15 James Shuster LED strobe for hazard protection systems
US7933676B2 (en) * 2005-09-30 2011-04-26 Rockwell Automation Technologies, Inc. Automation system with integrated safe and standard control functionality
US20070271002A1 (en) * 2006-05-22 2007-11-22 Hoskinson Reed L Systems and methods for the autonomous control, automated guidance, and global coordination of moving process machinery
DE202006016012U1 (de) * 2006-10-19 2006-12-21 Sick Ag Systemarchitektur für eine Firmware
US7617412B2 (en) * 2006-10-25 2009-11-10 Rockwell Automation Technologies, Inc. Safety timer crosscheck diagnostic in a dual-CPU safety system
US8409441B2 (en) * 2007-02-27 2013-04-02 Deka Products Limited Partnership Blood treatment systems and methods
US20080208374A1 (en) * 2007-02-27 2008-08-28 Rockwell Automation Technologies, Inc. Testing utilizing controller engine instances
DE102007045398A1 (de) * 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
US8165863B2 (en) * 2008-09-11 2012-04-24 Siemens Corporation Visualization method for electrical machine operation models based on mechanical machine operation models
US8949480B2 (en) * 2009-05-11 2015-02-03 GM Global Technology Operations LLC Method and system for testing safety automation logic of a manufacturing cell

Also Published As

Publication number Publication date
US20120095573A1 (en) 2012-04-19
EP2422244B1 (de) 2013-11-27
CN102460316B (zh) 2014-06-18
CN102460316A (zh) 2012-05-16
JP5911922B2 (ja) 2016-04-27
HK1166523A1 (en) 2012-11-02
JP2014225276A (ja) 2014-12-04
WO2010121796A1 (de) 2010-10-28
US9098074B2 (en) 2015-08-04
DE102009019087A1 (de) 2010-11-11
EP2422244A1 (de) 2012-02-29
JP5645921B2 (ja) 2014-12-24
JP2012524353A (ja) 2012-10-11

Similar Documents

Publication Publication Date Title
ES2446349T3 (es) Control de seguridad y procedimiento para el control de una instalación automática
ES2417309T3 (es) Procedimiento y dispositivo para la creación de un programa de usuario para un control de seguridad
ES2236501T3 (es) Procedimiento y dispositivo para la programacion de un mando de seguridad.
ES2493068T3 (es) Procedimiento y dispositivo para crear un programa de aplicación para un mando de seguridad
ES2318192T3 (es) Dispositivo de seguridad para realizar un control a prueba de fallos de procesos criticos en cuanto a seguridad y metodo para implementar un nuevo programa de explotacion en dicho dispositivo.
ES2308480T3 (es) Control de seguridad.
ES2557520T3 (es) Dispositivo de seguridad para el control de varios canales de una instalación técnica de seguridad
ES2434874T3 (es) Control de seguridad y procedimiento para el control de una instalación automática con una pluralidad de componentes de hardware de la instalación
ES2333550T3 (es) Procedimiento y dispositivo para la conversion de mensajes presentes en multiples canales en un mensaje seguro de un solo canal.
ES2781853T3 (es) Instalación de quemador con un dispositivo de seguridad
JP5241706B2 (ja) 電気駆動システムの電子制御装置、電気駆動システムの電子駆動ユニットおよび電気駆動システム
CN110678817B (zh) 用于参数化现场设备的方法和可参数化的现场设备
JP5422448B2 (ja) 制御装置
JP4941365B2 (ja) 産業用コントローラ
JP5041290B2 (ja) プログラマブルコントローラおよびその異常時復旧方法
ES2363650T3 (es) Control de seguridad.
ES2546530T3 (es) Procedimiento para el funcionamiento de una dirección asistida eléctrica
US20150340111A1 (en) Device for detecting unauthorized manipulations of the system state of an open-loop and closed-loop control unit and a nuclear plant having the device
JP6149393B2 (ja) 通信カプラ、情報処理装置、制御方法およびプログラム
JP7267400B2 (ja) 安全性が要求されるプロセスを監視する自動化システム
ES2853724T3 (es) Conmutación entre controladores de elementos en operaciones ferroviarias
JP5348418B2 (ja) コントローラ
ES2260474T3 (es) Procedimiento para la verificacion de un nucleo de ordenador de un microprocesador o de un micro controlador.
Buchheit et al. SIS in Industry
CN116157752A (zh) 用于控制设备或设施的控制系统