NO331420B1 - Fremgangsmåte og midler for å øke sikkerhetsintegritets¬nivået til et kontrollsystem - Google Patents
Fremgangsmåte og midler for å øke sikkerhetsintegritets¬nivået til et kontrollsystem Download PDFInfo
- Publication number
- NO331420B1 NO331420B1 NO20052770A NO20052770A NO331420B1 NO 331420 B1 NO331420 B1 NO 331420B1 NO 20052770 A NO20052770 A NO 20052770A NO 20052770 A NO20052770 A NO 20052770A NO 331420 B1 NO331420 B1 NO 331420B1
- Authority
- NO
- Norway
- Prior art keywords
- controller
- safety
- hardware unit
- security
- control
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 33
- 230000006870 function Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 5
- 230000001419 dependent effect Effects 0.000 claims 2
- 238000004519 manufacturing process Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract description 3
- 231100001261 hazardous Toxicity 0.000 abstract 1
- 230000008569 process Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 6
- 238000004886 process control Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 229910000831 Steel Inorganic materials 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 229920002678 cellulose Polymers 0.000 description 1
- 239000001913 cellulose Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012774 diagnostic algorithm Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 239000010959 steel Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25323—Intelligent modules
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
- Control Of Non-Electrical Variables (AREA)
- Crystals, And After-Treatments Of Crystals (AREA)
- Alarm Systems (AREA)
- Control Of Steam Boilers And Waste-Gas Boilers (AREA)
Abstract
En kontroller er i stand til å utføre ikke-sikkerhetsrelatert kontrollogikk. En sikkerhetsmodul er tilføyd kontrolleren i den hensikt å øke sikkerhetsintegritetsnivået til et kontrollsystem. Kontrolleren er da i stand til å utføre sikkerhetsrelatert kontroll av objekter i den virkelige verden. Et slikt kontrollsystem kan for eksempel befinne seg på en offshore produksjonsplattform eller i et farlig område på en kjemisk fabrikk.
Description
Teknisk område
Den foreliggende oppfinnelsen vedrører en fremgangsmåte for overvåkning, diagnostisering og variasjon i utførelse av kontrollalgoritmer i forbindelse med kontrollsystemer. Den foreliggende oppfinnelse omfatter også et system inkluderende midler for å utføre en slik fremgangsmåte.
En innretning innbefatter funksjonalitet som tilfører sikkerhetsegenskaper til en kontroller og gjør det mulig for kontrolleren å oppnå kravene til et sikkerhetskontrollsystem. Et slikt system trenger diagnostiseringsmuligheter for å sikre at ingen ulykker oppstår som ellers kunne skade mennesker, utstyr eller miljøet.
Tidligere kjent teknikk
Industrielle kontrollsystemer blir for eksempel anvendt i fabrikker og i prosess-industrien, som for eksempel i kjemiske anlegg, oljeproduksjonsanlegg, raffinerier, cellulose og papirindustri, stålverk og automatiserte fabrikker. Industrielle kontrollsystemer benyttes også i stor grad i kraftproduksjon. Slike industrielle kontrollsystemer kan innbefatte, eller kan kombineres med, visse enheter som tilfører sikkerhetsegenskaper. Eksempler på prosesser som krever sikkerhetsegenskaper ut-over det et standard industrielt kontrollsystem kan tilveiebringe, er prosesser på offshore produksjonsplattformer, visse prosess-seksjoner ved atomkraftverk og eksplosjonsfarlige områder på kjemiske anlegg. Sikkerhetsegenskaper kan benyttes i forbindelse med sikkerhetsstans, brann- og/eller alarmsystemer så vel som ved brann og gassdeteksjon.
Bruken av avanserte datamaskinsystemer i forbindelse med sikkerhetsrelaterte kontrollsystemer gir utfordringer i forbindelse med verifikasjonen av korrektheten av store mengder programkode og den komplekse elektronikken. Det foreligger kjent teknikk på området, for eksempel beskrevet som standarder for hvordan høyere sikkerhetsnivå oppnås for slike systemer. Slik kjent teknikk konsentrerer seg normalt om prosessen med utviklingen av produkter, både maskinvaredelen og programvaredelene. Den beskriver også diagnostiseringsfunksjonalitet og algo-ritmer. Kjent teknikk omhandler også det høyere sikkerhetsnivået som oppnås ved gjennomføring med forskjellige former for maskinvareredundans og programvare-mangfoldighet. Gjennomføringen av et avansert sikkerhetskontrollsystem er van-ligvis basert på et dobbel- eller trippelsystem med en eller annen form for avstem-ning før et utgangssignal gjøres klart. Noen sikkerhetskontrollsystemer er gjen-nomført med en tilstrekkelig sikker enkeltstående løsning ved å samle seg om konstruksjonen av systemet og den høyest mulige kvaliteten i utviklingen av slike systemer. Både flerenhetssystemer og enkeltenhetssystemer har i dag ofte inkludert et antall diagnostiseringsalgoritmer både i programvare og i maskinvare.
Et eksempel på et industrielt kontrollsystem, som innbefatter en sikkerhetskritisk
funksjon, er beskrevet i DE19857683 "Safety critical function monitoring of control systems for process control applications has separate unit" (sikkerhetskritisk funk-sjonsovervåkning av kontrollsystemer for prosesskontrollapplikasjoner har en egen enhet). Systemet har en hovedkontrollbuss koblet til ulike prosessorer via et antall desentraliserte datamottagere.
Et eksempel på en enhet i et industrielt kontrollsystem som har større muligheter til feildeteksjon er beskrevet i GB2277814, som vedrører en feiltolerant PLS (Programmerbar logisk styring) inkludert en sentralprosessor (CPU). Et par med første l/O moduler er tilkoblet mellom en positiv strømskinne og en last. Et par med andre l/O moduler er tilkoblet mellom den negative strømskinnen og lasten. GB 2 277 814 beskriver videre at strømmen til lasten ikke kobles ut ved feil på en av l/O modulene på en vilkårlig side av lasten.
US 6,201,997 beskriver en toprosessorløsning der begge prosessorene mottar de samme inngangsdataene og utfører det samme programmet.
Kontrollen av de sikkerhetskritiske prosesser for maskiner vist i DE 10025085 A1 har en modul med en feiltoleranse eller en to-kanals struktur der det finnes redundante maskinvaretrinn som inneholder forskjellig programvare. Feil blir identifisert og handlinger iverksatt for å forebygge feilaktig maskindrift.
Sammendrag for oppfinnelsen
Hensikten med oppfinnelsen er å gjøre det mulig å oppnå et øket sikkerhetsintegritetsnivå for et kontrollsystem.
Denne hensikten oppnås ved hjelp av en fremgangsmåte for å øke sikkerhetsintegritetsnivået til et kontrollsystem for styring av objekter i den virkelige verden hvor trinnene omfatter å tilknytte en sikkerhetsmaskinvareenhet, laste ned programvare til en prosessor i kontrollerenheten og den tilknyttede sikkerhetsmaskinvareenheten, konfigurere sikkerhetsmaskinvareenheten til å sette kontrollerenhetens utgangsverdier i en sikker tilstand for online kontroll.
En fordel med oppfinnelsen er at den øker sikkerhetsnivået for et kontrollsystem basert på en enkelt kontrollenhet til et nivå som tidligere var tilgjengelig hoved-sakelig for doble eller tredobbelte kontrollsystemer. Oppfinnelsen reduserer kom-pleksiteten med iverksetting og vedlikehold av slike kontrollsystemer.
En annen fordel med oppfinnelsen er at et kontrollsystem basert på oppfinnelsen, og som er kvalifisert for et sikkerhetsnivå, også kan benyttes til ikke-sikkerhetskritisk prosesskontroll ved ikke å benytte den tilføyde sikkerhetsmaskinvareenheten. Oppfinnelsen muliggjør øket fleksibilitet i bruken av enkeltenhet kontrolleren.
Slik prosesskontrollbruk av den enkle kontrolleren blir på denne måten en mindre kostbar og raskere kontroller enn bruken med fullt sikkerhetsnivå for kontrollsystemet. Fordi den pluggbare sikkerhetsmaskinvareenheten ikke benyttes til ikke-sikkerhetskritisk kontroll, vil en mindre mengde med programvare i den enkle kontrolleren, sammenlignet med teknikkens stand, gjøre det mulig å utføre større mengder applikasjonsprogramvare raskere.
En annen fordel med oppfinnelsen er at den åpner for at en kontroller kan oppnå et øket sikkerhetsintegritetsnivå på et tidspunkt etter at kontrolleren opprinnelig ble installert for kontroll av objekter i den virkelige verden. Som et eksempel kan en kontroller først bli installert for å utføre en ikke-sikkerhetskritisk kontrolloppgave og ett år senere blir kontrolleren konfigurert for et økt sikkerhetsintegritetsnivå for sikkerhetskritisk kontroll.
En tilleggsfordel er løsningene som oppnås i forbindelse med hvordan brukeren forholder seg til den pluggbare enheten. Brukergrensesnittet vil bli forenklet slik at, for eksempel, en tekniker kan spesifisere det ønskede nivået på sikkerhetsintegri-tet for anvendelsen.
En annen hensikt med oppfinnelsen er å tilveiebringe et kontrollsystem tilsiktet
sikkerhetsrelatert kontroll av objekter i den virkelige verden. Kontrollsystemet innbefatter en kontroller med en enkel hoved-CPU og en tilknyttet sikkerhetsmaskinvareenhet som innbefatter muligheter til å øke kontrollsystemets sikkerhetsintegritetsnivå.
Ytterligere trekk ved oppfinnelsen fremkommer av de tilhørende selvstendige patenkravene, mens utførelsesformer i henhold til oppfnnelsen fremkommer av de uselvstendige patentkravene.
Kort beskrivelse av tegningene
Den foreliggende oppfinnelsen blir beskrevet mer detaljert i forbindelse med de vedlagte skjematiske tegningene.
Figur 1 viser en oversikt over en fremgangsmåte i henhold til oppfinnelsen.
Figur 2 viser et forenklet diagram av en kontroller med en lokal inngang/utgang og med en tilknyttet sikkerhetsmaskinvareenhet. Figur 3 viser et forenklet diagram av kontrolleren med en tilknyttet sikkerhetsmaskinvareenhet med en fjerntliggende inngang/utgang tilkoblet ved hjelp av en buss-løsning. Figur 4 viser en oversikt over et kontrollsystem som innbefatter en kontroller med en tilknyttet sikkerhetsmaskinvareenhet.
Beskrivelse av de foretrukne utførelsesformer
Figur 1 viser en oversikt over en fremgangsmåte i henhold til oppfinnelsen. Fremgangsmåten tilveiebringer et øket sikkerhetsintegritetsnivå til en kontroller 10, som for eksempel en industriell kontroller i et industrielt kontrollsystem. Eksempler på en kontroller er en programmerbar logisk styring (PLS) og en feltkontroller.
I denne beskrivelsen har en kontroller til hensikt å samle inn målinger og å kontrol-lere objekter i den virkelige verden, tilkoblet et kontrollsystem. Eksempler på den virkelige verdens objekter er ventiler, motorer, pumper, kompressorer, manøveror-ganer, transportbånd, drivverk, et produkt, råmateriale eller et parti.
Med sikkerhetsintegritetsnivå menes en kontroller som tilfredsstiller de facto-standard sikkerhetsintegritetsnivåer eller standard sikkerhetsintegritetsnivåer, slik som SIL 1, SIL 2, SIL 3 eller SIL 4 (SIL i henhold til standarden IEC 61508 eller nyere IEC-standarder).
Figur 1 viser at fremgangsmåten innbefatter ett trinn med tilknytning av en sikkerhetsmaskinvareenhet 11 (vist i figur 2) til kontrolleren 10. Sikkerhetsmaskinvareenheten 11 kommuniserer med kontrollerens CPU. Sikkerhetsmaskinvareenheten 11 kan være utført som et kretskort og innbefatter typisk en CPU og kan også innbefatte et inngangs-/utgangsgrensesnitt (l/O). Et slikt l/O-grensesnitt kan innbefatte et sett med hukommelsesbrikker og et "Field Programmable Gate Array" (FPGA). Sikkerhetsmaskinvareenheten kan også innbefatte lokale l/O-kanaler slik som digi-tal utgang (DO) i den hensikt å tilveiebringe tvungne utgangssignaler, for eksempel, til et eksternt alarmsystem. Videre kan sikkerhetsmaskinvareenheten innbefatte funksjonalitet for skyggehukommelse. Et alternativt navn for sikkerhetsmaskinvareenheten 11 er en sikkerhetsmodul. Sikkerhetsmaskinvareenheten 11 innehar muligheter til å kommunisere med kontrollerens CPU via en buss 14. Sikkerhetsmaskinvareenheten 11 kan kobles via et bakplan til kontrolleren 10.1 en alternativ utførelsesform er sikkerhetsmaskinvareenheten 11 en pluggbar enhet til-føyd hoved kretskortet til kontrolleren 10 som igjen innbefatter hoved-CPU'en til kontrolleren 10.
Videre viser figur 1 at fremgangsmåten innbefatter trinnet med nedlasting av programvare med sikkerhetsrelaterte konfigurasjonsdata, ikke bare til kontrolleren 10 vist i figur 2, men også til den tilknyttede sikkerhetsmaskinvareenheten 11.1 en ut-førelsesform gjennomføres nedlastingen av slik programvare ved hjelp av et pro-gramvareverktøy tilkoblet kontrolleren 10 fra en datamaskinenhet, som for eksempel en personlig datamaskin eller en arbeidsstasjon. Et eksempel på konfigurasjonsdata er applikasjonsklassifisering avhengig av den tidligere nevnte sikker-hetsstandarden. Konfigurasjon av kommunikasjonsmuligheter mellom sikkerhetsrelaterte applikasjoner. Et annet eksempel på slike konfigurasjonsdata er applika-sjonstilgangsnivå, som har å gjøre med kontroll av brukerautorisasjon.
Et annet trinn i fremgangsmåten, vist i figur 1, er konfigurasjon av sikkerhetsmaskinvareenheten 11 for å utføre sikkerhetsfunksjonslogikk og til å sette kontrollerens 10 utgangsverdier i en sikker tilstand for online sikkerhetskontroll. Dette sikrer at kontrollsystemet 20, vist i figur 4, går inn i en sikker tilstand. Å sette ut-gangsverdiene inn i en sikker tilstand gjøres enten på en aktiv måte eller en passiv måte. Utførelsen av sikkerhetsfunksjonslogikken avhenger av konfigurasjonsdataene. Sikkerhetsfunksjonslogikken skrives i et språk som vil være godt kjent av fagpersoner. Et slikt språk kan være i henhold til IEC 6-1131 med mulige utvidel-ser for sikkerhetsrelaterte funksjoner.
Kontrolleren 10 har den samme kontrollfunksjonaliteten for ikke-sikkerhetsrelatert kontroll både med og uten den tilknyttede maskinvareenheten 11. Det bør aner-kjennes at sammenlignet med teknikkens stand muliggjør dette mer fleksible tek-niske løsninger for sikkerhetskontroll. Som et eksempel kan kontrolleren 10 ha det samme settet med programinstruksjoner tilgjengelig både med og uten den tilknyttede maskinvareenheten 11. Et eksempel på et programspråk er strukturert tekst slik som beskrevet i IEC 6-1131. Dette innebærer at en kontroller 10, som opprinnelig er konfigurert bare for en ikke-sikkerhetskritisk applikasjon, på et senere tidspunkt kan konfigureres med sikkerhetsmaskinvareenheten 11 som nevnt ovenfor, og etter å ha blitt konfigurert for online sikkerhetskontroll kan kontrolleren 10 fortsatt kjøre den samme ikke-sikkerhetskritiske applikasjonen som før tilføyel-sen av sikkerhetsmaskinvareenheten 11.
I en utførelsesform av oppfinnelsen blir en kontrollerkonfigurasjon og kontroller-kode lastet ned til kontrolleren 10. Det er en bruker 22 av et programvareverktøy som setter i gang en nedlasting av kontrollerkonfigurasjonen og kontrollerkoden. Et eksempel på en bruker er en prosessingeniør, en serviceingeniør eller en pro-sessoperatør. I løpet av eller etter at kontrollerkonfigurasjonen og kontrollerkoden er definert, blir maskinvare diagnostiseringsinformasjon generert. I en utførelses-form blir diagnostiseringsinformasjonen lastet ned til den tilknyttede sikkerhetsmaskinvareenheten 11 og er tiltenkt online diagnostiseringsformål. Figur 2 viser at en kontroller, som referert til i den ovenfor nevnte fremgangsmåten, vist i figur 1, kan få tilgang til en flerfoldighet av inngangs og utgangsenheter som er koblet direkte til kontrolleren. Figur 3 viser at en kontroller, som referert til i den ovenfor nevnte fremgangsmåten, vist i figur 1, kan få tilgang til en flerfoldighet av inngangs- og utgangsverdier fra et objekt i den virkelige verden gjennom en buss tilkoblet mellom kontrolleren og en inngangs-/utgangsenhet. I en slik utførelsesform blir busskommunikasjon-ens gyldighet verifisert i den tilknyttede sikkerhetsmaskinvareenheten 11. Et eksempel på en slik inngangs-/utgangsenhet er en fjerntliggende l/O. Et eksempel på en buss er en feltbuss. Et annet eksempel på en buss er en intern buss i kontrolleren, som for eksempel en buss som opererer på bakplanet til kontrolleren 10.
Det er en fordel dersom buss verifikasjonslogikken er distribuert spredt. Videre er det en fordel dersom den tilknyttede sikkerhetsmaskinvare i en utførelsesform av oppfinnelsen genererer spredt et sikkerhetsrelatert meldingshode for busskommunikasjonen.
For videre å forbedre påliteligheten og diagnostiseringsegenskapene til kontrollsystemet, kan inngangs-/utgangsenheten 15 innbefatte to ulike utførelser som begge verifiserer riktigheten av busstrafikken og som begge fremskaffer et sikkerhetsrelatert meldingshode til buss-14 kommunikasjonen.
Videre blir, i en utførelsesform av oppfinnelsen, tidsstyringsovervåkningen av kontrolleren 10 verifisert i den tilknyttede sikkerhetsmaskinvareenheten 11. En utførelsesform av oppfinnelsen kan også innbefatte verifikasjon av korrekt logikk-sekvens i den tilknyttede maskinvareenheten 11. Videre kan en utførelsesform innbefatte verifikasjon av nedlasting av den nye verifikasjonslogikken til den tilknyttede maskinvareenheten 11. En slik verifikasjon kan for eksempel omfatte en sjekksumtest.
Det er fordelaktig å tillate kun brukere som er logget på som sikkerhetsklassifiserte brukere å endre kontrollfunksjonalitetslogikk og parametre. En slik klassifisering kan verifiseres i kontrollsystemet ved hjelp av en brukernøkkel.
Sikkerhetsmaskinvareenheten 11 kan konfigureres til å kjøre som en slave av kontrolleren 10. Det innebærer at en sikkerhetsfunksjonslogikk som utføres i sikkerhetsmaskinvareenheten blir iverksatt fra kontrolleren. Sikkerhetsmaskinvareenheten overvåker at den iverksettes på et besluttet tidspunkt.
I en annen utførelsesform kan sikkerhetsmaskinvareenheten 11 innbefatte en første og en andre modul i en redundant konfigurasjon. Den andre modulen blir typisk oppdatert med data fra den første modulen og den andre modulen tar over den sikkerhetsrelaterte kontrollen av kontrollsystemet fra den første modulen dersom det oppdages en feil i den første modulen. Kontrolleren kan ha en redundant CPU-enhet som overtar kontrollen over virkelige objekter fra hovedprosessoren. Den redundante CPU'en oppretter kommunikasjon med den første eller den andre modulen til den tilknyttede sikkerhetsmaskinvareenheten.
En annen utførelsesform av oppfinnelsen er et kontrollsystem 20 tiltenkt sikkerhetskontroll av objekter i den virkelige verden. Et slikt kontrollsystem innbefatter en kontroller 10 med en enkelt hoved-CPU og en tilknyttet sikkerhetsmaskinvareenhet 11 som innbefatter muligheter til sette kontrollerens utgangsverdier i en sikker tilstand for online sikkerhetskontroll.
Claims (18)
1. Fremgangsmåte for å øke sikkerhetsintegritetsnivået til en kontroller (10) for kontroll av objekter i den virkelige verden, inkluderende - å tilknytte, til nevnte kontroller (10), en sikkerhetsmaskinvareenhet (11) der sikkerhetsmaskinvareenheten (11) kommuniserer med nevnte kontrollers CPU, - å laste ned sikkerhetsrelaterte konfigurasjonsdata og/eller diagnostiseringsrelatert informasjon til den tilknyttede sikkerhetsmaskinvareenheten (11) og å laste ned kontrollfunksjonsprogramvare til kontrolleren (10), - å konfigurere den tilknyttede sikkerhetsmaskinvareenheten (11) til å utføre logikk som er avhengig av de nedlastede sikkerhetsrelaterte konfigurasjonsdataene og/eller den diagnostiseringsrelaterte informasjonen og på en aktiv eller passiv måte å sette kontrollerens (10) utgangsverdier til en sikker tilstand for online sikkerhetskontroll
karakterisert veddet videre trinn av å utføre et sett med ikke-sikkerhetskritiske kontrollfunksjoner hvis sett med ikke-sikkerhetskritiske kontrollfunksjoner er det samme før og etter at sikkerhetsmaskinvareenheten (11) ble tilknyttet.
2. Fremgangsmåte ifølge krav 1,
karakterisert vedat trinnet med å konfigurere i tillegg innbefatter trinnene med å laste ned, til den tilknyttede sikkerhetsmaskinvareenheten (11), diagnostiseringsrelatert informasjon som tidligere ble generert automatisk av et programvareverktøy som et resultat av brukeres konfigurasjon av kontrolleren (10) og hvis diagnostiseringsrelaterte informasjon blir benyttet i den tilknyttede sikkerhetsmaskinvareenheten (11) under sikkerhetskritisk kontroll.
3. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat tilgang til en flerfoldighet av inngangs- og utgangsverdier fra et objekt i den virkelige verden er tilveiebrakt gjennom en buss (14) koblet mellom kontrolleren (10) og en inngangs-/utgangsenhet (15) og at buss- (14) kommunikasjonens gyldighet verifiseres i den tilknyttede sikkerhetsmaskinvareenheten (11).
4. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat timingovervåkningen av kontrolleren (10) verifiseres i den tilknyttede sikkerhetsmaskinvareenheten (11).
5. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat korrekt rekkefølge av kodelogikk verifiseres i den tilknyttede sikkerhetsmaskinvareenheten (11).
6. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat korrekthet av hukommelsesinnhold i kontrolleren (10) verifiseres i den tilknyttede sikkerhetsmaskinvareenheten (11).
7. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat en nedlasting av ny kontrollfunksjonalitetslogikk til kontrolleren verifiseres i den tilknyttede sikkerhetsmaskinvareenheten (11).
8. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat den tilknyttede sikkerhetsmaskinvareenheten (11) utfører kontroller i den hensikt kun å tillate brukere logget inn som sikkerhetsklassifiserte teknikere og sikkerhetsklassifiserte operatører modifikasjon av kontrollfunksjonalitetslogikk og parametre.
9. Fremgangsmåte ifølge krav 3,
karakterisert vedat buss- (14) kommunikasjonsverifikasjonslogikken i den tilknyttede sikkerhetsmaskinvareenheten (11) er implementert på flere ulike måter.
10. Fremgangsmåte ifølge krav 3,
karakterisert vedat den tilknyttede sikkerhetsmaskinvareenheten (11) på flere ulike måter genererer et sikkerhetsrelatert meldingshode til buss- (14) kommunikasjonen.
11. Fremgangsmåte ifølge krav 3,
karakterisert vedat inngangs-/utgangsenheten (15) har to ulike imple-mentasjoner som begge verifiserer buss- (14) trafikkens korrekthet og som begge genererer et sikkerhetsrelatert meldingshode for busskommunikasjonen.
12. Fremgangsmåte ifølge et hvilket som helst av tidligere krav,karakterisert vedat den tilknyttede sikkerhetsmaskinvareenheten innbefatter en første og en andre modul i en redundant konfigurasjon, der den andre modulen oppdateres med data som finnes i den første modulen på tidspunktet det oppstår en feil og den andre modulen tar over den sikkerhetsrelaterte kontrollen av kontrollsystemet fra den første modulen dersom en feil i den første modulen blir oppdaget.
13. Fremgangsmåte ifølge krav 12,
karakterisert vedat en redundant kontrollerenhet knyttes til kontrolleren (10) og som tar over i tilfelle en feil oppstår i en primær kontroller og at den redundante kontrollerenheten etablerer kommunikasjon med enten den aktive første modulen eller den aktive andre modulen til den tilknyttede sikkerhetsmaskinvareenheten.
14. Et kontrollsystem (20) tiltenkt sikkerhetsrelatert kontroll av objekter i den virkelige verden, inkluderende: -midler for å tilknytte, til nevnte kontroller (10), en sikkerhetsmaskinvareenhet (11) der sikkerhetsmaskinvareenheten (11) kommuniserer med nevnte kontrollers CPU, - midler for å laste ned sikkerhetsrelaterte konfigurasjonsdata og/eller diagnostiseringsrelatert informasjon til den tilknyttede
sikkerhetsmaskinvareenheten (11) og å laste ned kontrollfunksjonsprogramvare til kontrolleren (10), - midler for å konfigurere den tilknyttede sikkerhetsmaskinvareenheten (11) til å utføre logikk som er avhengig av de nedlastede sikkerhetsrelaterte konfigurasjonsdataene og/eller den diagnostiseringsrelaterte informasjonen og på en aktiv eller passiv måte å sette kontrollerens (10) utgangsverdier til en sikker tilstand for online sikkerhetskontroll
karakterisert vedet ytterligere middel for å utføre et sett av ikke-sikkerhetskritiske kontrollfunksjoner hvis sett av ikke-sikkerhetskritiske kontrollfunksjoner er det samme før så vel som etter at den sikkerhetsmaskinvareenheten er tilknyttet.
15. Et kontrollsystem ifølge krav 14,
karakterisert vedat den innbefatter, - muligheter til nedlasting, til den tilknyttede sikkerhetsmaskinvareenheten, av diagnostiseringsrelatert informasjon som tidligere ble automatisk generert av et programvareverktøy som et resultat av brukers konfigurasjon av kontrolleren og hvis diagnostiseringsrelaterte informasjon blir benyttet i den tilknyttede sikkerhetsmaskinvareenheten ved sikkerhetskritisk kontroll.
16. Et kontrollsystem ifølge krav 15,
karakterisert vedat den innbefatter - en inngangs-/utgangsenhet (15) tilkoblet kontrolleren (10) med en buss og at gyldigheten til buss- (14) kommunikasjonen verifiseres i den tilknyttede sikkerhetsmaskinvareenheten.
17. Et kontrollsystem ifølge krav 16,
karakterisert vedat buss- (14) kommunikasjonsverifikasjonslogikken i den tilknyttede sikkerhetsmaskinvareenheten (11) er implementert flerfoldig.
18. Et kontrollsystem ifølge krav 16,
karakterisert vedat den tilknyttede sikkerhetsmaskinvareenheten (11) på flere måter genererer et sikkerhetsrelatert meldingshode til buss- (14) kommunikasjonen.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SE0203819A SE0203819D0 (sv) | 2002-12-19 | 2002-12-19 | Method to increase the safety integrity level of a control system |
| PCT/IB2003/006021 WO2004057430A1 (en) | 2002-12-19 | 2003-12-16 | Method to increase the safety integrity level of a control system |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| NO20052770D0 NO20052770D0 (no) | 2005-06-08 |
| NO20052770L NO20052770L (no) | 2005-08-26 |
| NO331420B1 true NO331420B1 (no) | 2011-12-27 |
Family
ID=20289968
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| NO20052770A NO331420B1 (no) | 2002-12-19 | 2005-06-08 | Fremgangsmåte og midler for å øke sikkerhetsintegritets¬nivået til et kontrollsystem |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US7813820B2 (no) |
| EP (1) | EP1573407B1 (no) |
| CN (1) | CN1791845B (no) |
| AT (1) | ATE346329T1 (no) |
| AU (1) | AU2003286358A1 (no) |
| DE (1) | DE60309928T2 (no) |
| NO (1) | NO331420B1 (no) |
| SE (1) | SE0203819D0 (no) |
| WO (1) | WO2004057430A1 (no) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7289861B2 (en) | 2003-01-28 | 2007-10-30 | Fisher-Rosemount Systems, Inc. | Process control system with an embedded safety system |
| GB2423835B (en) * | 2003-01-28 | 2008-01-09 | Fisher Rosemount Systems Inc | Process control system with an embedded safety system 1 |
| US7865251B2 (en) | 2003-01-28 | 2011-01-04 | Fisher-Rosemount Systems, Inc. | Method for intercontroller communications in a safety instrumented system or a process control system |
| US8180466B2 (en) * | 2003-11-21 | 2012-05-15 | Rosemount Inc. | Process device with supervisory overlayer |
| US20050193378A1 (en) * | 2004-03-01 | 2005-09-01 | Breault Richard E. | System and method for building an executable program with a low probability of failure on demand |
| JP4438552B2 (ja) | 2004-07-29 | 2010-03-24 | 株式会社ジェイテクト | 安全plc、シーケンスプログラム作成支援ソフトウェア及びシーケンスプログラムの判定方法 |
| US8055814B2 (en) * | 2005-03-18 | 2011-11-08 | Rockwell Automation Technologies, Inc. | Universal safety I/O module |
| DE102005061393A1 (de) * | 2005-12-22 | 2007-07-05 | Robert Bosch Gmbh | Verfahren zur Verteilung von Softwaremodulen |
| ATE479927T1 (de) | 2006-11-01 | 2010-09-15 | Abb Research Ltd | Simulator-anwendungsmethode für ein kommunikationssystem |
| US8260487B2 (en) * | 2008-01-08 | 2012-09-04 | General Electric Company | Methods and systems for vital bus architecture |
| US8149554B2 (en) * | 2008-11-18 | 2012-04-03 | Rockwell Automation Technologies, Inc. | Apparatus for fault tolerant digital inputs |
| US8441766B2 (en) * | 2008-11-18 | 2013-05-14 | Rockwell Automation Technologies, Inc. | Apparatus for fault tolerant digital outputs |
| DE102008060005A1 (de) * | 2008-11-25 | 2010-06-10 | Pilz Gmbh & Co. Kg | Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten |
| US20110225327A1 (en) * | 2010-03-12 | 2011-09-15 | Spansion Llc | Systems and methods for controlling an electronic device |
| US20110224810A1 (en) * | 2010-03-12 | 2011-09-15 | Spansion Llc | Home and building automation |
| DE202010010172U1 (de) * | 2010-07-14 | 2011-10-20 | Babel Management Consulting | Sensor zur Flüssigkeits- oder Gasanalyse |
| US8589214B1 (en) * | 2010-09-30 | 2013-11-19 | AE Solutions | Health meter for evaluating the status of process safety of at least one facility as an executive dashboard on a client device connected to a network |
| US8732105B1 (en) | 2010-09-30 | 2014-05-20 | Applied Engineering Solutions, Inc. | Method to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8635176B2 (en) | 2010-09-30 | 2014-01-21 | Applied Engineering Solutions, Inc. | System to create and use test plans usable in validating a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8954369B1 (en) | 2010-09-30 | 2015-02-10 | Applied Engineering Solutions, Inc. | Method to build, analyze and manage a safety instrumented model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8639646B1 (en) | 2010-09-30 | 2014-01-28 | Applied Engineering Solutions, Inc. | System to build, analyze and manage a computer generated risk assessment model and perform layer of protection analysis using a real world model in software of a safety instrumented system architecture |
| US8732106B1 (en) | 2010-09-30 | 2014-05-20 | Applied Engineering Solutions, Inc. | Computer instructions to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility |
| US8694152B2 (en) | 2010-12-15 | 2014-04-08 | Symbotic, LLC | Maintenance access zones for storage and retrieval systems |
| US9678483B2 (en) | 2011-01-26 | 2017-06-13 | Honeywell International Inc. | Programmable controller with both safety and application functions |
| US9235727B2 (en) | 2012-04-09 | 2016-01-12 | Dana Belgium N.V. | Functional architecture pattern for safety applications |
| US20140215096A1 (en) * | 2013-01-28 | 2014-07-31 | Ge Intelligent Platforms, Inc. | Method and system for a configurable hardware module |
| KR102265424B1 (ko) * | 2013-03-15 | 2021-06-15 | 심보틱 엘엘씨 | 통합 보안 직원 액세스 구역 및 원격 로버 조업 중지를 구비한 자율화된 저장 및 인출 시스템 |
| TWI642028B (zh) * | 2013-03-15 | 2018-11-21 | 辛波提克有限責任公司 | 具有整合式受保護的人員接觸區及遠端漫遊機關機之運送系統及自動化儲存和取放系統 |
| CN103163867B (zh) * | 2013-03-22 | 2015-07-08 | 长兴精盛液压机械有限公司 | 蓄电池极群自动装配控制系统 |
| US9128841B2 (en) | 2013-11-12 | 2015-09-08 | Thales Canada Inc. | Remote shutdown via fiber |
| US9582376B2 (en) | 2014-11-14 | 2017-02-28 | Invensys Systems, Inc. | Unified communications module (UCM) |
| EP3252550B1 (de) * | 2016-06-01 | 2020-02-19 | Siemens Aktiengesellschaft | Modulare sicherheits-steuerungseinrichtung mit kryptografischer funktionalität |
| JP7087952B2 (ja) * | 2018-11-22 | 2022-06-21 | オムロン株式会社 | 制御システム、サポート装置、サポートプログラム |
| US11378934B2 (en) | 2019-09-09 | 2022-07-05 | Baker Hughes Oilfield Operations Llc | Shadow function for protection monitoring systems |
| US11424865B2 (en) | 2020-12-10 | 2022-08-23 | Fisher-Rosemount Systems, Inc. | Variable-level integrity checks for communications in process control environments |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10025085A1 (de) * | 2000-05-20 | 2001-12-06 | Peter Wratil | Modul zur Steuerung oder Regelung von sicherheitsrelevanten Vorgängen oder Abläufen für den Betrieb von Maschinen oder Anlagen |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO921830D0 (no) * | 1992-05-08 | 1992-05-08 | Defa Electronic As | Anordning ved alarmsystemer, spesielt bil-alarmsystemer |
| CA2122384A1 (en) | 1993-05-05 | 1994-11-06 | Joseph John Cieri | Fault tolerant programmable controller |
| CN2257040Y (zh) * | 1995-08-04 | 1997-06-25 | 中国科学院自动化研究所 | 安全防范工程中的多媒体计算机-可编程序控制器结构 |
| DE19529434B4 (de) * | 1995-08-10 | 2009-09-17 | Continental Teves Ag & Co. Ohg | Microprozessorsystem für sicherheitskritische Regelungen |
| DE19742716C5 (de) * | 1997-09-26 | 2005-12-01 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| DE19857683B4 (de) | 1998-12-14 | 2007-06-28 | Wratil, Peter, Dr. | Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen |
| US6647301B1 (en) * | 1999-04-22 | 2003-11-11 | Dow Global Technologies Inc. | Process control system with integrated safety control system |
| DE10119791B4 (de) * | 2001-04-23 | 2006-11-02 | Siemens Ag | Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem |
| US7289861B2 (en) * | 2003-01-28 | 2007-10-30 | Fisher-Rosemount Systems, Inc. | Process control system with an embedded safety system |
| DE10240584A1 (de) * | 2002-08-28 | 2004-03-11 | Pilz Gmbh & Co. | Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche |
| US6975966B2 (en) * | 2003-01-28 | 2005-12-13 | Fisher-Rosemount Systems, Inc. | Integrated diagnostics in a process plant having a process control system and a safety system |
| US6898468B2 (en) * | 2003-03-28 | 2005-05-24 | Fisher-Rosemount Systems, Inc. | Function block implementation of a cause and effect matrix for use in a process safety system |
| US7203885B2 (en) * | 2003-09-30 | 2007-04-10 | Rockwell Automation Technologies, Inc. | Safety protocol for industrial controller |
-
2002
- 2002-12-19 SE SE0203819A patent/SE0203819D0/xx unknown
-
2003
- 2003-12-16 EP EP03777103A patent/EP1573407B1/en not_active Expired - Lifetime
- 2003-12-16 DE DE60309928T patent/DE60309928T2/de not_active Expired - Lifetime
- 2003-12-16 AU AU2003286358A patent/AU2003286358A1/en not_active Abandoned
- 2003-12-16 WO PCT/IB2003/006021 patent/WO2004057430A1/en active IP Right Grant
- 2003-12-16 US US10/539,629 patent/US7813820B2/en not_active Expired - Lifetime
- 2003-12-16 CN CN200380106396.8A patent/CN1791845B/zh not_active Expired - Lifetime
- 2003-12-16 AT AT03777103T patent/ATE346329T1/de not_active IP Right Cessation
-
2005
- 2005-06-08 NO NO20052770A patent/NO331420B1/no not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10025085A1 (de) * | 2000-05-20 | 2001-12-06 | Peter Wratil | Modul zur Steuerung oder Regelung von sicherheitsrelevanten Vorgängen oder Abläufen für den Betrieb von Maschinen oder Anlagen |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060142873A1 (en) | 2006-06-29 |
| WO2004057430A1 (en) | 2004-07-08 |
| AU2003286358A1 (en) | 2004-07-14 |
| CN1791845B (zh) | 2010-10-06 |
| DE60309928D1 (de) | 2007-01-04 |
| NO20052770L (no) | 2005-08-26 |
| US7813820B2 (en) | 2010-10-12 |
| NO20052770D0 (no) | 2005-06-08 |
| EP1573407B1 (en) | 2006-11-22 |
| DE60309928T2 (de) | 2007-04-12 |
| EP1573407A1 (en) | 2005-09-14 |
| ATE346329T1 (de) | 2006-12-15 |
| CN1791845A (zh) | 2006-06-21 |
| SE0203819D0 (sv) | 2002-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| NO331420B1 (no) | Fremgangsmåte og midler for å øke sikkerhetsintegritets¬nivået til et kontrollsystem | |
| US6898468B2 (en) | Function block implementation of a cause and effect matrix for use in a process safety system | |
| JP4128083B2 (ja) | ソフトウェア共通類型故障を排除したデジタル原子炉保護システム | |
| KR101135274B1 (ko) | 플랜트 제어 시스템 및 방법 | |
| NO334446B1 (no) | Feildeteksjon i en industriell styreanordning ved sikkerhetskontroll | |
| CN104252164B (zh) | 用于关停现场设备的系统和方法 | |
| KR101865666B1 (ko) | 원자로노심보호계통 소프트웨어 검증용 시뮬레이션 장치 및 시스템 | |
| US20150088286A1 (en) | Method and Apparatus for Automatically Creating an Executable Safety Function for a Device | |
| EP3703075A1 (en) | Method for verifying measurement control system of nuclear power plant, and verification device therefor | |
| WO2004003739A1 (en) | Revalidation of a compiler for safety control | |
| US20110264396A1 (en) | Electrical circuit with physical layer diagnostics system | |
| JP7202448B2 (ja) | 安全性が要求されるプロセスを監視する自動化システム | |
| US20190171197A1 (en) | Automation System and Method for Error-Protected Acquisition of a Measured Value | |
| CN107924722A (zh) | 核电站安全管理系统 | |
| JP4102814B2 (ja) | 入出力制御装置,情報制御装置及び情報制御方法 | |
| EP3885853A1 (en) | I/o mesh architecture for a safety instrumented system | |
| Squillante et al. | Safety in supervisory control for critical systems | |
| Sklyar | Application of reliability theory to functional safety of computer control systems | |
| US20230259095A1 (en) | Control System Method for Controlling an Apparatus or Installation | |
| JP5352815B2 (ja) | 制御装置および制御方法 | |
| Harmon et al. | Integrating the I&C at Shin-Kori 3 | |
| CN112417453A (zh) | 自动化系统安全装置 | |
| JP2006276957A (ja) | 安全システム | |
| ENGİN | FUNCTIONAL SAFETY IN PROGRAMMABLE LOGIC CONTROLLERS | |
| JP2766549B2 (ja) | プラント監視装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| CHAD | Change of the owner's name or address (par. 44 patent law, par. patentforskriften) |
Owner name: ABB SCHWEIZ AG, CH |
|
| MK1K | Patent expired |