JP5274667B2 - 安全ステップの判定方法および安全マネージャ - Google Patents

安全ステップの判定方法および安全マネージャ Download PDF

Info

Publication number
JP5274667B2
JP5274667B2 JP2011536848A JP2011536848A JP5274667B2 JP 5274667 B2 JP5274667 B2 JP 5274667B2 JP 2011536848 A JP2011536848 A JP 2011536848A JP 2011536848 A JP2011536848 A JP 2011536848A JP 5274667 B2 JP5274667 B2 JP 5274667B2
Authority
JP
Japan
Prior art keywords
safety
subscribers
subscriber
automation network
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011536848A
Other languages
English (en)
Other versions
JP2012510194A (ja
Inventor
ザックス,イェンス
ベックマン,グイド
Original Assignee
ベックホフ オートメーション ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=41800680&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5274667(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ベックホフ オートメーション ゲーエムベーハー filed Critical ベックホフ オートメーション ゲーエムベーハー
Publication of JP2012510194A publication Critical patent/JP2012510194A/ja
Application granted granted Critical
Publication of JP5274667B2 publication Critical patent/JP5274667B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31461Use risk analysis to identify process parts that should be specially monitored

Description

本発明は、複数のサブスクライバを含むオートメーションネットワークにおける安全ステップの判定方法に関する。また、本発明は、安全マネージャおよびオートメーションネットワークに関する。
産業オートメーション(すなわち、技術的な処理のソフトウェア制御およびソフトウェア監視)は、分散センサ/分散アクチュエータ層を含む中央制御の考え方に基づいている。したがって、複数のサブスクライバは、お互いと、および、上位システムと、産業ローカルネットワーク(以下では、オートメーションネットワークとも称する)を介して通信を行う。オートメーションネットワークは、通常、いわゆるマスタースレーブ通信ネットワークとして構成される。マスタースレーブ通信ネットワークにおいて、マスターサブスクライバは制御層を表すものであり、スレーブサブスクライバは、センサ/アクチュエータ層を表すものである。
安全は、産業オートメーションにおいて必須要件である。オートメーションタスクを実行する時には、オートメーションネットワークは、サブスクライバの不具合またはその他のエラーが発生した場合に人間および環境をいかなる危険にも晒さないことが守られなければならない。オートメーションネットワークによって表される危険を分類可能にするために、危険アセスメントが行われていることが必須である。欧州規格EN1050によれば、リスクアセスメントは、オートメーションネットワークおよび/または個々のサブスクライバから生じる危険を系統的に分析することを可能にする一連の論理的ステップで実行される必要がある。この危険の分析に基づいて、オートメーションネットワークにとって技術的および組織的な要件は、その後、十分な安全性を保障するために判定される。
これに関連して、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”は、危険の分析を実行するための機器および設備の安全性の分野における国際規格を確立している。この規格は、安全関連サブスクライバのタイプにかかわらずこれら全てのサブスクライバを考慮に入れる。また、この規格は、これらの安全関連のキャパシティを分類する。判定された安全カテゴリに基づいて、オートメーションネットワークにおける制御構造は、エラーの場合における必要なシステムの動作を実現するためだけでなく安全機能の要件を満たすために、その後構成される。
安全要件に関して、プログラマブル電子制御システムの個々を公正に評価可能にするために、ここ数年の間、EN954−1規格に加えて、更なる規格が導入されている。オートメーションネットワークにおける危険の分析に関して、EN ISO13849−1およびIEC/EN62061規格が特に関連している。これら二つの規格によって、安全機能の定量的計画は、EN954−1規格の定性的アプローチに加えて実行される。
EN ISO13849−1およびIEC/EN62061規格は、リスク削減に必要なプログラマブル電子制御システムの安全関連のキャパシティを特定している。安全関連のキャパシティを分類するために、上記二つの規格は、安全ステップを定義している。このために、オートメーションネットワークの全ての安全機能は、これらの実行に関与している全てのサブスクライバと共に考慮されている。
オートメーションネットワークの安全ステップは、安全機能に関与しているサブスクライバの安全関連パラメータに基づいて判定される。EN ISO13849−1規格等によれば、これらのパラメータは、故障までの平均時間(MTTF)、診断率(DC)、一時間当たりの危険側故障確率(PFH)、使用時間(T)、磨耗被害を受けたサブスクライバのサンプルの10%が危険であると発覚したときのサイクル数(B10d)、および共通原因故障(CCF)である。前述の安全関連パラメータとは別に、更なる要因(例えば安全機能の要求率または試験率などの使用可能な要因と同等の要因)は、安全ステップに影響を与えるであろう。
オートメーションネットワークの安全ステップを判定するために、オートメーションネットワークにおけるサブスクライバ間の論理演算の正確な情報は、安全機能に関与している全てのサブスクライバの安全関連パラメータの情報とは別に、さらに必要とされる。
オートメーションネットワークによって晒される危険を確実に分類可能にするために、複雑な計算(例えば、マルコフ分析)が要求される。加えて、個々のサブスクライバの故障確率は、不十分なデータが原因で部分的に見積もられる必要がある。不十分なデータは、明確にすることを難しくする。オートメーションネットワークにおける安全ステップの判定をすることは、中小企業にとってこのように相当な問題をもたらす。
この数年間、安全ツールは、例えば、ドイツのオストフィルダーンのピルツ社によって提供された安全計算機PAScalおよびドイツのヴァイスキルヒのジック社によって提供されたSafeexpertプログラムなど、ますます市場に達している。これら安全ツールは、使用されたサブスクライバに応じて、オートメーションネットワークにおける安全機能の安全ステップを評価する。したがって、サブスクライバに固有の安全パラメータは、ソフトウェアライブラリから選ばれる。しかし、加えて、システムの構造(すなわちオートメーションネットワーク内のサブスクライバのデータおよび処理に固有のリンク)は、個別に入力される。安全ツールは、EN ISO13849−1およびEN/EC62061規格に従って要求された安全ステップによって評価された安全ステップを検証する。また、安全ツールは、オートメーションネットワーク内での安全性を改善するために処理のための潜在的必要性を示す。
サブスクライバに固有の安全パラメータを検出するためのソフトウェアライブラリの利用は、安全評価の間、新しいサブスクライバを考慮可能とするために、および/または、サブスクライバにおいて実行された変更点を考慮可能とするために、このライブラリの持続的なアップデートを要求する。更に、安全ツール中のオートメーションネットワークにおけるサブスクライバ間の個別に入力しているデータおよび処理に固有のリンクの要件は、多大な時間を必要とし、エラーが起こりやすくなる。ゆえに、安全ステップを判定する時、通常、オートメーションネットワークにおける制御ロジックの簡略化された計画が実行される。オートメーションネットワークが拡大または変更された場合、現行の安全ステップを判定可能にするために変更された構造を、再検出することを更に要求する。
独国特許出願公開第103 18 837 A1号明細書には、安全マネージャによってサブスクライバ間のデータおよび処理に固有のリンクを自動的に検出するネットワークが開示されている。
欧州特許出願公開第1 300 657 A2明細書および独国特許出願公開第44 09 543 A1号明細書には、サブスクライバに固有のパラメータが自動的に判定されるネットワークが開示されている。
CIC-webオンラインマガジンのサービスボックスの“Wahrscheinlichkeitsrechnung leicht gemacht”(簡単にされる確率計算)((Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>)には、サブスクライバを含んでいるオートメーションネットワーク内の安全ステップの判定方法が示されている。上記において、オートメーションネットワークにおける安全ステップは、サブスクライバに固有の安全パラメータと同様にオートメーションネットワークにおけるサブスクライバ間のデータおよび処理に固有のリンクと関連しているアルゴリズムを用いて評価される。この方法は、ピルツ社の“Safety Calculator PAScal”プログラムで実現される。
独国特許出願公開第103 18 837 A1号明細書 欧州特許出願公開第1 300 657 A2明細書 独国特許出願公開第44 09 543 A1号明細書
CIC-webオンラインマガジンのサービスボックスの"Wahrscheinlichkeitsrechnung leicht gemacht"(簡単にされる確率計算)(Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>
本発明は、オートメーションネットワークにおける安全ステップを判定する判定方法、および/または、安全ステップの自動評価を可能にするオートメーションネットワークのための安全マネージャを、特に更なる変更がオートメーションネットワークに導入された場合において簡単および確実な方法で提供することを目的とする。
本発明によれば、この目的は、請求項1に係る方法、請求項6に係るコンピュータプログラム製品、請求項9に係る安全マネージャおよび請求項12に係るオートメーションネットワークによって解決される。好ましい実施形態が従属請求項に示される。
複数のサブスクライバを含んでいるオートメーションネットワークにおける安全ステップを判定するために、本発明によれば、上記オートメーションネットワークにおける上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンク、並びに、上記サブスクライバに固有の複数の安全パラメータを自動的に検出させる。上記オートメーションネットワークにおける上記安全ステップは、その後、上記オートメーションネットワークにおける上記複数のサブスクライバの上記検知されたデータおよび処理に固有の複数のリンクと上記検知されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて評価される。したがって、本発明によれば、上記処理は、アルゴリズムを実行するための評価器と同様に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための構成検出器、並びに、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器を含む安全マネージャで実行される。
オートメーションネットワークにおける安全ステップの判定方法、および/または、これに関連した安全マネージャは、安全ステップの自動評価を可能にする。特に、オートメーションネットワークの構造を分析する動作、および、評価器に入力する動作が必要ではない。更に、本発明の方法および対応する構成の安全マネージャは、オートメーションネットワークにおいて拡大または変更を自動的に検出すること、および、安全ステップを評価している時にこれらを考慮することが可能である。
好ましい実施形態によれば、上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、かつ、上記複数のサブスクライバに接続しているオートメーションネットワークを介して、上記安全ステップを評価するために上記安全マネージャによって自動的に読み出される。サブスクライバに固有の安全パラメータを直接、サブスクライバに格納することによって、および、これらをオンラインで読み出すことによって、多大な時間を必要とするソフトウェアライブラリのアップデートを行う必要がない。安全マネージャの評価器は、同様に、最新のまたは未知のサブスクライバが簡単な方法で関与されるように、サブスクライバに固有の安全パラメータを直接、サブスクライバから取得する。したがって、安全機能の変更および拡大、またはオートメーションネットワークにおけるサブスクライバの交替は、安全ステップを判定している間、確実に考慮に入れられることを保障される。
好ましい実施形態によれば、上記オートメーションネットワークの上記あらかじめ定められた構成から、上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクは、オートメーションタスクを実行するために判定される。オートメーションタスクを実行するための制御ロジックの構成は、安全ステップを評価している時、顧慮に入れるべき全ての必要なデータおよび処理に固有のリンクを含んでいる。データおよび処理に固有のリンクは、その後、簡単な方法で制御ハードウェアに基づいて判定される。
上記複数のサブスクライバ間の上記データおよび処理に固有のリンクを検出するために、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクは、上記オートメーションタスクを実行するために検出されることが好ましい。この情報は、安全ステップを評価している間、サブスクライバのデータおよび処理に固有のリンクを十分考慮に入れることを可能とするために、必要な全データを含んでいる。
以下の通り、添付の図面を参照しながら、本発明をより詳細に説明する。
安全領域を含んでいるオートメーションネットワーク概略的に示した図である。 オートメーションシステムの安全マネージャを示した図である。
産業オートメーション(すなわち、技術的な処理のコンピュータ上のソフトウェア制御およびソフトウェア監視)においては、分散配置されたセンサ/アクチュエータ層のデバイス(例えば、I/Oモジュール、データロガーおよびバルブ)が高効率リアルタイム通信ネットワークを介して制御層のオートメーションコンピュータとの通信を行う分散制御システム(以下、オートメーションネットワークとも称する)がますます使用される。オートメーションネットワークにおけるサブスクライバ(すなわち、オートメーションコンピュータおよび/またはセンサ/アクチュエータ層のデバイス)は、ポイントツーポイント接続またはバスシステムを介して、互いに連結されていてもよい。それゆえ、フィールドバスシステムが使用されることが望ましい。
オートメーションネットワークは、通常、階層的に構成され、マスタースレーブの原則に従って動作する。マスターサブスクライバは、制御層に割り当てられており、オートメーションネットワークにおける通信リンクにアクセスするおよびデータ送信を判定する権限を有するアクティブサブスクライバである。スレーブサブスクライバは、センサ/アクチュエータ層に属する、パッシブサブスクライバである。スレーブサブスクライバは、通信リンクにアクセスするための独立した権限を持たない。すなわち、スレーブサブスクライバは、受信したデータに応答し、マスターサブスクライバによる要求に応じて、データをマスターサブスクライバに送信するのみでよい。
図1は、オートメーションネットワークの基本構造を概略的に示した図である。オートメーションネットワークは、制御層を形成する2つのマスターサブスクライバM、SMと、センサ/アクチュエータ層を表す8つのスレーブサブスクライバS〜S、SS〜SSと、を含んでいる。上記オートメーションネットワークにおける全てのサブスクライバはシリアルバス1によって互いに接続され、シリアルバス1によってサブスクライバ間のデータ交換が行われる。サブスクライバ間のデータ交換は、通常、マスターサブスクライバM、SMにより、制御データおよびユーザデータからなるデータパケットの形にまとめられる。データパケット内の制御データはアドレス情報を含んでいる。それゆえ、例えば、イーサネット(登録商標)プロトコルに基づいたデータ交換が行われる。イーサネットプロトコルでは、最大1500バイトの長さのデータパケットを毎秒100メガビットの伝送レートで伝送することが可能である。
サブスクライバの不具合、および/または、機能的エラーの場合のオートメーションネットワークが、人間および環境を危険に晒さないことを保護することは、オートメーションネットワークにとって必須の要件である。したがって、危険の程度は、本質的にオートメーションネットワークにおけるサブスクライバのタイプおよび機能、並びに制御プログラムの信頼性次第である。人間および/または環境を危険から守るために、オートメーションネットワークにおける危険サブスクライバは、適切な保安装置を使用することによって操作され、維持されるのみである。さらに、通常の制御機能とは別に、安全機能がオートメーションネットワークの制御層内で実行されなければならない。安全機能は、オートメーションネットワークにおける安全関連のサブスクライバに不具合が発生した場合に、オートメーションネットワークが安全状態に切り替わることを確実にする。そのような安全状態の一例としては、オートメーションネットワークの緊急スイッチを切ることが挙げられる。
オートメーションネットワークのサブスクライバおよび/または制御プログラムから生じた危険を分類可能にするために、危険アナリシスを実行することが必須である。複数の規格は、安全関連のオートメーションネットワークのデザイン、統合性および妥当性の要件および提案を含んで存在している。したがって、最もよく使用された規格は、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”であり、この規格は、使用されたエネルギーの形態に関わらず全ての安全関連の制御部に当てはまる。また、この規格は、それぞれ必要な安全関連のキャパシティを分類するためのカテゴリを含んでいる。しかし、欧州規格EN954−1は、定性的アプローチを提供するのみであり、それによって、例えば、オートメーションネットワークにおける個々のサブスクライバの不具合の可能性が考慮されない。
確かな危険アセスメント、とりわけオートメーションネットワークを可能にするこのような定量的アプローチは、最新の規格EN ISO13849−1およびIEC/EN62061に含まれる。これらの規格は、異なる安全関連のキャパシティを分類するための安全ステップを定義している。この安全ステップは、一時間当たりのオートメーションネットワークの危険側故障の異なる平均確率値を表す。EN ISO13849−1およびIEC/EN62061規格によれば、安全ステップを判定するために、サブスクライバに固有の安全パラメータを検出する必要がある。サブスクライバのこのような安全パラメータは、故障までの平均時間(MTTF)、一時間当たりの危険側故障確率(PFH)、診断率(DC)、安全側故障比率(SFF)、使用時間(T)、共通原因故障(CCF)、および規格に含まれる特定のその他のパラメータである。
サブスクライバに固有の安全パラメータとは別に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための、オートメーションネットワークの安全ステップを判定することが更に求められている。上記規格に規定されたアルゴリズムを用いて、安全ステップがその後判定されるであろう。
一般に、オートメーションネットワークにおける全てのサブスクライバが安全関連であるとは限らない。加えて、オートメーションネットワークにおける安全機能の数は、通常、安全と関連しない制御機能の数より少ない。したがって、安全領域は、通常、オートメーションネットワーク内で定義される。図1に示されたオートメーションネットワークにおいて、安全領域は、安全関連マスターサブスクライバSM(以下では、セーフティマスターSMとも称する)、および、安全関連スレーブサブスクライバSS〜SSによって形成される。図1のオートメーションネットワークにおける更に最新の安全と関連しないスレーブサブスクライバS〜Sは、第2のマスターサブスクライバM(以下では、標準マスターMとも称する)によって制御される。
個々のマスターサブスクライバを提供することによる安全と関連しない制御機能と安全機能とを区別する代わりに、図1に示されているオートメーションネットワークに提供されている通り、個々のマスターサブスクライバ上の安全と関連しない制御機能と同じように安全機能も実行することが可能である。しかしながら、それによって、安全と関連しない制御機能が安全機能に影響を及ぼさないことを保障する必要がある。
適用規格に従って判定されるオートメーションネットワークにおける安全ステップを用いた既知の安全ツールの場合、オートメーションネットワークにおける安全機能を実行するために、サブスクライバのデータおよび処理に固有のリンクを個々に入力することが要求される。さらに、既知の安全ツールについては、安全ステップを評価している時に、考慮されたサブスクライバに固有の安全パラメータが、ソフトウェアライブラリから選ばれる。新しい安全関連のサブスクライバを考慮に入れること、および/または、サブスクライバのうち技術的またはソフトウェア固有の調整に基づいたサブスクライバに固有の安全パラメータの変更を検出することを可能にするために、連続的にソフトウェアライブラリのアップデートが必要である。オートメーションネットワークにおける安全ステップの判定に関与した時間と労力は、本発明によって提供される安全マネージャ2を用いることによってかなり削減される。
図1に示すようにオートメーションネットワークにおいては、安全マネージャ2は、安全マスターSMに組み込まれている。これに関して、安全マネージャ2は、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。図1に示す実施形態の代わりとして、安全マネージャ2は、例えば、標準マスターMといった、オートメーションネットワークの好ましいその他のサブスクライバにて提供されてもよい。一方、安全マネージャ2は、オートメーションネットワークにおける独立したサブスクライバとして構成されていてもよい。
安全マネージャ2の構成は、図2において、概念的に示される。安全マネージャの個々のコンポーネントも同様に、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。安全マネージャ2は、3つのインターフェースを含んでいる。3つのインターフェースとは、安全マネージャをオートメーションシステムに接続するためのバスインターフェース21、データインターフェース22、および、マンマシンインターフェース23である。安全マネージャ2がオートメーションネットワークにおける独立したサブスクライバではなく、マスターサブスクライバの一部またはネットワークにおけるその他のサブスクライバの一部である場合、安全マネージャは、上述したホストサブスクライバのインターフェースに相当するものを代わりに用いる。
安全マネージャ2は、例えば、データインターフェース22を介してオートメーションタスクを実行するための構成ツール4によって判定されたオートメーションネットワークの構成をインポートする。データインターフェース22に接続されている構成検出器24において、インポートされたシステム構成は、標準形のオートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを検出するシステムモデルに変換される。あるいは、構成検出器24は、同様に、オートメーションネットワークのテストモードにおいて、独立して、オートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを表すシステムモジュールを検出する。このために、構成検出器24は、例えば、テストデータを用いて、オートメーションタスクが実行される間、安全関連のサブスクライバの入力および出力の論理的リンクを検出する。さらに、構成検出器24は、これらからの安全関連のサブスクライバのデータおよび処理に固有のリンクを検出しているとき、安全マスターSMからのセーフティコントロールを読み出すことを可能にする。
安全マネージャ2は、更に、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器25を含んでいる。これらのサブスクライバに固有の安全パラメータは、外部データベース5からデータインターフェース22を介してパラメータ検出器25によって読み込まれる。または、これらのサブスクライバに固有の安全パラメータは、バスインターフェース21を介してオートメーションネットワークにおける安全関連のサブスクライバから直接読み出される。パラメータ検出器25は、アップデートされたサブスクライバに固有の安全パラメータを安全関連のサブスクライバおよび/または外部データベース5に戻すことを更に可能とする。
図1に示すように、各安全関連のサブスクライバSS〜SSは、パラメータメモリ3を含んでいる。パラメータメモリ3には、サブスクライバに固有の安全パラメータが格納されている。上記パラメータメモリ3は、書込み禁止であり、識別子が備わっている。識別子としては、例えばサブスクライバに固有のパラメータのチェックサムが用いられている。個々のパラメータメモリが割り当てられた識別子は、更にパラメータ検出器25に格納される。これらの識別子を用いて、パラメータ検出器25およびオートメーションネットワークにおける個々のサブスクライバ間のセーフデータ通信は、サブスクライバに固有の安全パラメータを交換するために実行される。
安全マネージャ2において、構成検出器24およびパラメータ検出器25は、オートメーションネットワークにおける安全ステップを評価するために、さらに、評価器26に接続される。評価器26は、提供された安全規格を考慮に入れた、提供されたアルゴリズムを用いて安全ステップを判定することを実行する。したがって、それぞれ用いられているアルゴリズムは、ユーザによって、マンマシンインターフェース23を介して、接続された入力/復元ユニット6を用いて、選択される。しかしながら、評価器26に使用されるアルゴリズムを自動的に提供することも可能である。一方、検出された安全ステップは、入力/復元ユニット6に対するメッセージの形式でマンマシンインターフェース23を介して評価器に出力する。
オートメーションネットワークにおける安全ステップを評価するために、安全マネージャ2は、さまざまなモードで操作される。したがって、第1の動作モードにおいて、安全マネージャ2は、それぞれの安全ステップのデザインを前もって判定するためにシステムデザインの枠組みの中で用いられる。これに関連して、システム構成およびサブスクライバに固有の安全パラメータは、データインターフェース22を介して構成ツール4および/または外部データベース5から読み出される。
オートメーションシステムが動作しているとき、定期的に、または、例えば、安全マネージャ2における第2の動作モードにおけるオートメーションネットワークの初期設定期間内で、安全ステップの再評価が可能である。安全マネージャ動作モードにおいて、パラメータ検出器25は、その後、安全関連のサブスクライバのパラメータメモリ3からサブスクライバに固有のパラメータを出力する。更に、構成検出器24は、オートメーションネットワークに接続された構成および/または安全マスターの制御プログラムから、データおよび処理に固有の構成を直接検出する。
本発明における安全マネージャおよび本発明における安全ステップ評価方法を用いることによって、とりわけ、オートメーションネットワークにおいて変更が実行された後(例えば、安全関連のサブスクライバと更に接続した後)に、簡単な方法で、オートメーションネットワークにおける安全ステップが、自動的に判定可能となる。

Claims (9)

  1. 複数のサブスクライバを有したオートメーションネットワークにおける安全ステップを判定する判定方法において、
    構成検出器(24)によって、上記オートメーションネットワークにおける上記複数のサブスクライバ間のデータおよび処理に固有の複数のリンクの存在を自動的に判定する第1判定ステップと、
    上記サブスクライバに固有の複数の安全パラメータを判定する第2判定ステップと、
    上記オートメーションネットワークにおける上記複数のサブスクライバの上記判定されたデータおよび処理に固有の複数のリンクと、上記判定されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて、上記オートメーションネットワークにおける上記安全ステップを評価する評価ステップと、を含んでいることを特徴とする判定方法。
  2. 上記サブスクライバに固有の複数の安全パラメータは、パラメータ検出器(25)によって、自動的に判定されることを特徴とする請求項1に記載の判定方法。
  3. 上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、上記パラメータ検出器(25)を用いて上記サブスクライバによって読み出されることを特徴とする請求項に記載の判定方法。
  4. 上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクの存在は、オートメーションタスクを実行するために、上記オートメーションネットワークの上記あらかじめ定められた構成から判定されることを特徴とする請求項1からの何れか1項に記載の判定方法。
  5. 上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクの存在を判定する上記第1判定ステップにおいて、上記複数のサブスクライバにおける複数の入力および複数の出力の複数の論理的リンクは、上記オートメーションタスクを実行するために判定されることを特徴とする請求項に記載の判定方法。
  6. 複数のサブスクライバを含むオートメーションネットワークに対する安全マネージャであって、
    オートメーションネットワーク構成から上記オートメーションネットワークにおける上記複数のサブスクライバのデータおよび処理に固有の複数のリンクの存在を自動的に検出するための構成検出器(24)と、
    サブスクライバに固有の複数の安全パラメータを検出するためのパラメータ検出器(25)と、
    上記オートメーションネットワークにおける上記複数のサブスクライバの上記検出されたデータおよび処理に固有の複数のリンクを、上記検出されたサブスクライバに固有の複数の安全パラメータに関連付けるアルゴリズムを用いて上記オートメーションネットワークの安全ステップを評価するための評価器(26)と、を備えていることを特徴とする安全マネージャ。
  7. 上記複数のサブスクライバの上記データおよび処理に固有の複数のリンクの存在を自動的に検出するための構成検出器(24)は、オートメーションタスクを実行するために、上記複数のサブスクライバにおける複数の入力および複数の出力の複数の論理的リンクを自動的に検出するように構成されていることを特徴とする請求項に記載の安全マネージャ。
  8. 上記パラメータ検出器(25)は、上記サブスクライバに固有の複数の安全パラメータを自動的に検出することを特徴とする請求項またはに記載の安全マネージャ。
  9. 請求項からの何れか1項に記載の安全マネージャ(2)を上記複数のサブスクライバとともに含むオートメーションネットワークであって、
    上記複数のサブスクライバは、サブスクライバに固有の割り当てられた複数の安全パラメータが格納されるパラメータメモリ(3)を含み、
    上記複数のサブスクライバは、要求により、上記複数の安全パラメータを上記パラメータ検出器(25)に送信するように構成されていることを特徴とするオートメーションネットワーク。
JP2011536848A 2008-11-24 2009-11-18 安全ステップの判定方法および安全マネージャ Active JP5274667B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102008044018A DE102008044018B4 (de) 2008-11-24 2008-11-24 Verfahren zum Bestimmen einer Sicherheitsstufe und Sicherheitsmanager
DE102008044018.3 2008-11-24
PCT/EP2009/065370 WO2010057908A1 (de) 2008-11-24 2009-11-18 Verfahren zum bestimmen einer sicherheitsstufe und sicherheitsmanager

Publications (2)

Publication Number Publication Date
JP2012510194A JP2012510194A (ja) 2012-04-26
JP5274667B2 true JP5274667B2 (ja) 2013-08-28

Family

ID=41800680

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011536848A Active JP5274667B2 (ja) 2008-11-24 2009-11-18 安全ステップの判定方法および安全マネージャ

Country Status (6)

Country Link
US (1) US9665072B2 (ja)
EP (1) EP2359201B1 (ja)
JP (1) JP5274667B2 (ja)
CN (1) CN102224466B (ja)
DE (1) DE102008044018B4 (ja)
WO (1) WO2010057908A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012139638A1 (de) * 2011-04-13 2012-10-18 Siemens Aktiengesellschaft Verfahren zur automatischen ermittlung der fehlerwahrscheinlichkeit einer sicherheitsapplikation
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
DE102012102187C5 (de) * 2012-03-15 2016-11-03 Phoenix Contact Gmbh & Co. Kg Steuerungsvorrichtung zum Steuern von sicherheitskritischen Prozessen in einer automatisierten Anlage und Verfahren zur Parametrierung der Steuerungsvorrichtung
EP2908195B1 (de) 2014-02-13 2017-07-05 Siemens Aktiengesellschaft Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
US20180341617A1 (en) * 2015-09-25 2018-11-29 Kabushiki Kaisha Toshiba Control device
DE102016102282B4 (de) * 2016-02-10 2024-01-04 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
DE102017123910A1 (de) 2017-10-13 2019-04-18 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102017123911A1 (de) 2017-10-13 2019-04-18 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen der Reaktionszeit einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102019205915A1 (de) * 2019-04-25 2020-10-29 Robert Bosch Gmbh Verfahren zur Sicherheitsbeurteilung, Computerprogramm, maschinenlesbares Speichermedium und Sicherheitsbeurteilungseinrichtung
KR102432807B1 (ko) * 2019-11-18 2022-08-16 한국전자통신연구원 마이크로서비스 구조 재구성 방법 및 장치
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes
WO2024070540A1 (ja) * 2022-09-29 2024-04-04 パナソニックIpマネジメント株式会社 制御システム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4409543A1 (de) * 1993-04-07 1994-10-13 Volkswagen Ag Steuer- oder Regeleinrichtung, insbesondere für eine Brennkraftmaschine eines Kraftfahrzeugs
AT5042U3 (de) * 2001-10-08 2002-10-25 Avl List Gmbh Messanordnung
US7418733B2 (en) * 2002-08-26 2008-08-26 International Business Machines Corporation Determining threat level associated with network activity
WO2004095716A2 (en) 2003-04-17 2004-11-04 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
DE10318837A1 (de) * 2003-04-25 2004-11-11 Siemens Ag Verfahren und Vorrichtung zur Erkennung einer Ordnung in einem Netzwerk
US7133727B2 (en) 2003-08-01 2006-11-07 Invensys Systems, Inc. System and method for continuous online safety and reliability monitoring
US7117119B2 (en) * 2003-08-01 2006-10-03 Invensys Systems, Inc System and method for continuous online safety and reliability monitoring
CN1312880C (zh) * 2004-01-13 2007-04-25 重庆邮电学院 基于tcp/ip的工业控制网络的安全策略实现方法及系统
DE102004020994B4 (de) * 2004-04-19 2013-07-04 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum computergestützten Konstruieren einer sicherheitsgerichteten elektrischen Schaltung
US20060129810A1 (en) * 2004-12-14 2006-06-15 Electronics And Telecommunications Research Institute Method and apparatus for evaluating security of subscriber network
DE102004061344A1 (de) 2004-12-20 2006-07-06 Siemens Ag Verfahren zur sicheren Auslegung eines Systems, zugehörige Systemkomponente und Software
DE102005019970B4 (de) * 2005-04-27 2007-04-26 Phoenix Contact Gmbh & Co. Kg Adressvergabe für sichere Busteilnehmer
US7539550B2 (en) 2006-02-23 2009-05-26 Rockwell Automation Technologies, Inc. Safety versus availability graphical user interface
US7313502B2 (en) * 2006-02-23 2007-12-25 Rockwell Automation Technologies, Inc. System and method to combine and weight multiple sensors with overlapping sensing range to create a measurement system utilized in a high integrity or safety environment
ATE479927T1 (de) 2006-11-01 2010-09-15 Abb Research Ltd Simulator-anwendungsmethode für ein kommunikationssystem
CN101242629B (zh) 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
DE502008003097D1 (de) 2007-02-08 2011-05-19 Siemens Ag Verfahren und system zur ermittlung von zuverlässigkeitsparametern einer technischen anlage
EP1980964B1 (en) 2007-04-13 2016-03-23 Yogitech Spa Method and computer program product for performing failure mode and effects analysis of an integrated circuit
DE102008002266B4 (de) * 2007-06-12 2019-03-28 Omron Corp. Programmentwicklung-Unterstützungsvorrichtung einer Sicherheitssteuerung
US7869889B2 (en) * 2008-07-02 2011-01-11 Saudi Arabian Oil Company Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown

Also Published As

Publication number Publication date
CN102224466A (zh) 2011-10-19
DE102008044018A1 (de) 2010-05-27
WO2010057908A1 (de) 2010-05-27
DE102008044018B4 (de) 2010-08-19
EP2359201A1 (de) 2011-08-24
EP2359201B1 (de) 2015-06-24
JP2012510194A (ja) 2012-04-26
US9665072B2 (en) 2017-05-30
US20120022671A1 (en) 2012-01-26
CN102224466B (zh) 2013-08-21

Similar Documents

Publication Publication Date Title
JP5274667B2 (ja) 安全ステップの判定方法および安全マネージャ
US9874869B2 (en) Information controller, information control system, and information control method
EP3333657B1 (en) Communication system, communication device, and communication program
CN103124938B (zh) 对可编程逻辑控制器的执行环境进行升级的方法及系统
WO2014200070A1 (ja) 情報処理装置、情報処理装置の制御方法および制御プログラム
CN102073538B (zh) 实时运转时间系统以及此运转时间系统功能性模块
CN106054822B (zh) 规划和工程设计方法,软件工具和模拟工具
EP3660612B1 (en) Method and system for elimination of fault conditions in a technical installation
US20190355228A1 (en) Method to configure control system alarms by associating alarms to tags
CN105515821A (zh) 分析控制网络的装置及方法
CN110678817B (zh) 用于参数化现场设备的方法和可参数化的现场设备
JP6606293B2 (ja) 安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス
EP3702855A1 (en) A method and system for determining machine safety and product quality for a flexible cyber-physical production system
WO2018193571A1 (ja) 機器管理システム、モデル学習方法およびモデル学習プログラム
EP3952223B1 (en) Network management device, management method, management program, and recording medium
US11595409B2 (en) Method for monitoring an industrial network
US11513490B2 (en) I/O mesh architecture for a safety instrumented system
US20220327206A1 (en) Control system
EP3889702A1 (en) Controller system
CN110488772A (zh) 一种dcs的集中监控方法、装置及集中监控终端
JP7159731B2 (ja) フィールド機器情報表示システム
EP3979024A1 (en) Support device and setting program
EP4099656A1 (en) Computer-implemented method and surveillance arrangement for identifying manipulations of cyber-physical-systems as well as computer-implemented-tool and cyber-physical-system
Mahalik et al. Flexible distributed control of production line with the LON fieldbus technology: a laboratory study
JP7103214B2 (ja) サポート装置および支援プログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121002

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20121217

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20121225

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130514

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5274667

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250