專利名稱:用于提供安全功能的方法
技術領域:
本發(fā)明涉及一種用于為自動化系統(tǒng)的安全裝置可靠地提供安全功能的方法以及一種應用該方法的自動化系統(tǒng)。
背景技術:
在自動化技術中經常必須實現(xiàn)用于保護人員、機器或環(huán)境的安全功能,如在保護門打開或者操作應急開關后切斷機器。為此,傳統(tǒng)的安全設計越來越多地被嵌入在有故障保護的自動化系統(tǒng)中的安全功能代替。這些系統(tǒng)包括分布式地連接到自動化總線系統(tǒng)的網絡上(即在現(xiàn)場總線系統(tǒng)上)的有故障保護的用戶,其中在用戶中通常既實現(xiàn)安全功能也實現(xiàn)故障識別和故障解決措施。根據(jù)現(xiàn)有技術,這些措施必須對應于標準IEC 61508、 IS013849等中確定的機制。在當前的自動化設備中,根據(jù)自動化程度和設備規(guī)模,使用將分散的輸入/輸出裝置(E/A裝置)與控制裝置連接的通信系統(tǒng)。E/A裝置和控制裝置可以是標準用戶,也可以是具有安全功能的用戶。對于安全技術的數(shù)據(jù)在公共通信系統(tǒng)上的傳輸,已知通過可靠的網絡協(xié)議支持網絡。標準功能和安全功能的控制可以在一公共網絡上既通過具有標準和安全控制的中央結構來實現(xiàn),也通過分布在通信或現(xiàn)場總線系統(tǒng)的網絡中的分布式的控制和安全邏輯模塊來實現(xiàn)。對用作為用于自動化技術的有故障保護的通信系統(tǒng)的用戶的E/A裝置和控制裝置的要求是它們不依賴于相應的網絡和相應的控制,從而安全技術(即安全用戶)在標準控制和/或網絡切換的情況下能夠繼續(xù)使用。對于這樣的繼續(xù)使用可能性,必須提供這樣的有故障保護的自動化系統(tǒng)的盡可能簡單的易操作性。為此,自動化系統(tǒng)或設備的安全功能與標準功能分開地被提供并且分成小的可校驗的本地局限的模塊。安全功能的這個模塊化以及其與標準功能的分離使得能夠容易地對各個模塊進行校驗并且因此滿足當前安全標準的要求。此外,這也符合安全技術領域技術人員的思維方式。完整的設備或機器越來越多地由多個單獨的并且部分自主工作的設備或機器部件構成,這些部件在其交付給最終用戶之后才被組裝并且調試。對于這些模塊化地由各個部件構成的設備,所有(即整個設備的)安全功能在調試之前以及在改裝之后或在靈活地擴展之后必須被驗證,以確保安全功能的正確性。根據(jù)現(xiàn)有技術,必須直接在調試階段執(zhí)行安全用戶中編程和安全相關參數(shù)的最終調整以及對于正確的安全功能的驗證過程。如今的分布式的模塊化的安全功能需要使用專門的有故障保護的編程工具,利用這個編程工具將安全程序和安全參數(shù)直接加載到安全的控制裝置中或安全的E/A裝置中。在修改、調整或擴展已有自動化系統(tǒng)的情況下,通常必須重新馬上使用這個專門的有故障保護的編程工具,利用這個編程工具實現(xiàn)重新的再加載和驗證?,F(xiàn)有技術中通常的在調試期間驗證安全功能的方案要求耗時的對維護有資格使用安全相關編程工具的人員的人員使用,并且因此成本很大。
發(fā)明內容
本發(fā)明要解決的問題是提供一種相對于現(xiàn)有技術靈活且優(yōu)化的方法,利用該方法計算機輔助地為自動化系統(tǒng)網絡中的多個能單一尋址的安全裝置設計、驗證安全構件形式的安全功能以及將該安全功能加載到安全裝置中。為了解決該問題,本發(fā)明提出了為自動化系統(tǒng)的多個安全裝置生成模塊化的安全構件,其中模塊化的安全構件包含由不依賴于地址的邏輯模塊、依賴于地址的參數(shù)模塊和通過這兩個模塊計算的故障保護的信息構成的組合。在本發(fā)明中,例如控制或實現(xiàn)自動化系統(tǒng)中安全相關功能的E/A裝置和控制裝置應被理解為是“安全裝置”。尤其地,系統(tǒng)的多個裝置可以作為通信網絡中用戶而相互連接, 并且相互交換針對安全的數(shù)據(jù)。在第一方法步驟中構造多個安全構件。利用故障保護的編程工具來實現(xiàn)構件的構造,其中邏輯功能在計算機輔助下被設計并且被設置到邏輯模塊中。這些邏輯模塊可以被用于自動化系統(tǒng)中具有相同安全功能的多個裝置,并且因此是不依賴于地址的。而參數(shù)模塊總是為特定的能單一尋址的安全裝置的具體安全構件而生成的,并且因此包含依賴于地址的數(shù)據(jù)。這些數(shù)據(jù)可以是需要安全裝置來進行網絡中的通信的安全通信聯(lián)系的源地址和目標地址。故障保護的信息包含經由邏輯模塊和參數(shù)模塊計算得到的冗余信息(例如校驗和)、以及按照已知標準的其他措施。根據(jù)本發(fā)明的方法利用模塊化的安全構件而實現(xiàn)了倚賴于地址的參數(shù)與在整個系統(tǒng)中能多次使用的不倚賴于地址的邏輯之間的清晰分離。在第二方法步驟中,所生成的安全構件被存儲,其中模塊和故障保護的信息單獨地存儲。為所生成的每個安全構件存儲恢復信息。邏輯和參數(shù)模塊以及故障保護信息的存儲在任意存儲器中實現(xiàn),該存儲器基本上不必提供任何針對安全的措施。用于恢復以模塊方式存儲的安全構件的數(shù)據(jù)同樣以故障保護的編程工具來保存。恢復信息原則上也可以以表格形式作為設備配置而被輸出。在第三方法步驟中,在安全裝置連接到自動化系統(tǒng)之后,為該裝置而生成的安全構件借助于來自相應邏輯和參數(shù)模塊的恢復信息以及相應的故障保護信息而被恢復并且傳輸?shù)桨踩b置。與現(xiàn)有技術相比,安全構件的加載現(xiàn)在尤其不是在利用故障保護的編程工具生成其之后就立即進行,而是只有在其安全功能分布式地在網絡上待用的自動化系統(tǒng)調試的情況下進行。根據(jù)本發(fā)明的方法的一個主要優(yōu)點是將安全構件調整到安全裝置中與將該構件調整用于標準E/A裝置和控制裝置可以直接進行以調試自動化系統(tǒng)。所有功能的調整可以統(tǒng)一地利用一不需要支持任何針對安全的措施的計算機輔助的編程工具來實現(xiàn)。各個安全構件的恢復尤其是通過以下方式來實現(xiàn)計算機輔助的編程工具處理恢復信息,并且所存儲的模塊和故障保護信息自動地被組合。替代地,模塊的組裝也可以手動地利用非故障保護的編程工具根據(jù)表格形式的設備配置來進行。在本方法的一優(yōu)選實施方式中,由相應的特定安全裝置請求安全構件的傳送。因此可能的是例如未參數(shù)化的安全裝置在自動化系統(tǒng)調試之后也可以作為替換裝置連接到網絡,從而在沒有手動干預的情況下也可以由標準控制來重新加載特定的安全構件。 在最后的第四方法步驟中,傳送到安全裝置中的安全構件的正確性借助于相應的故障保護信息來檢驗。 安全裝置可以根據(jù)參數(shù)模塊中的源地址和目標地址而自主地自行例如對可信度、 相容性、有效組合或版本進行多種檢驗,并且識別在安全構件的存儲和組合以及加載到相應裝置中期間可能出現(xiàn)的所有故障。在識別到基本上可以是任何類型的篡改后或替換后的數(shù)據(jù)的故障的情況下,由相應的安全裝置執(zhí)行針對安全的反應,其中例如進入安全狀態(tài)。尤其地,邏輯模塊和參數(shù)模塊的無效組合可以在安全構件的恢復期間可靠地被識別。由此確保只由故障保護的編程工具接受安全裝置的合法組合。尤其可以使用標準存儲介質作為存儲邏輯模塊和參數(shù)模塊以及安全信息的存儲器,標準存儲介質不必在存儲時提供任何針對安全的措施。這樣的非安全的存儲器優(yōu)選由相應自動化系統(tǒng)的非安全的標準控制來提供。由此使得能夠自動地將安全構件從中央控制裝置下載到安全裝置中,從而安全裝置基本上不依賴于剩余的內部存儲器。另一優(yōu)點是在自動化系統(tǒng)可能的擴展的情況下的可更新性和可升級性。在根據(jù)本發(fā)明的方法的另一特別優(yōu)選的實施方式中,在存儲第二和每個進一步的安全構件時,相應的邏輯模塊只有在之前沒有存儲過相同的邏輯模塊時才通過故障保護的編程工具被存儲。根據(jù)本發(fā)明的一主要優(yōu)點是所存儲的邏輯模塊可以多次地用于不同的模塊化的安全構件并且因此僅僅必須一次性地在非安全的存儲器中被存儲。因此,尤其是對于小的控制裝置,可以節(jié)省昂貴的且有限的存儲空間。
以下借助于實施例參考附圖詳細地介紹本發(fā)明。在附圖中圖1示出了將分布式的安全控制的模塊化的安全構件劃分為不依賴于地址的邏輯模塊和依賴于地址的E/A參數(shù)模塊;圖2示出了事先驗證過的組合可能中由邏輯模塊和參數(shù)模塊構成模塊化的安全構件。
具體實施例方式圖1中示出了自動化系統(tǒng)中提供安全功能的模塊化的安全構件的原理性構造方式,自動化系統(tǒng)由多個模塊化組裝的設備部件構成并且包括分布式的安全控制。這樣的分布式的安全控制例如由多個安全的輸入/輸出裝置(E/A裝置)以及安全的或故障保護的控制裝置構成,這些控制裝置優(yōu)選也由公共的自動化總線系統(tǒng)上的其他未故障保護的裝置操作。對于模塊化構造的包括多個自主的設備部件或機器的自動化系統(tǒng),分布式的安全功能的邏輯結構化的構造基本上也是必需的。為此,其規(guī)劃的安全功能被組合為各個安全島,其中將各個島分配個特定的設備部件或特定的機器。安全島的安全功能由安全構件被加載到其中的模塊化的分散分布的安全的控制裝置和安全的E/A裝置提供。所有島內的以及跨島的裝置優(yōu)選可以連接到一公共的線形的總線線路上??刂蒲b置邏輯地與其在尋址方面下級的E/A裝置直接連接,其中自動化系統(tǒng)的整個網絡中或至少上級部分中的通信由通信主機控制,通信主機也使得能夠實現(xiàn)安全相關數(shù)據(jù)的跨島的交換。如從圖1中能看到的那樣,模塊化的安全構件被劃分為不依賴于地址的邏輯模塊和依賴于地址的參數(shù)模塊,其中參數(shù)模塊包含各自的島號(即安全控制的相應地址空間) 和安全島內的所分配的E/A裝置。在邏輯模塊中限定安全島的控制裝置和E/A裝置的線路占用和控制裝置的安全邏輯。兩個島的邏輯模塊可以組合為一設計方案,如果這兩個島內的裝置的安全邏輯和線路占用是完全相同的話,從而島之間唯一的區(qū)別就在于其地址。利用自動化系統(tǒng)的其中邏輯模塊具有安全邏輯和線路占用以及參數(shù)模塊具有相應島地址的標準控制裝置,這兩個模塊被組合為有效的安全構件,并且通過安全的冗余的信息來保護。利用標準控制裝置,安全構件經由網絡被發(fā)送到具體尋址到的島。借助于圖2說明在標準控制裝置100 (例如PC或SPS)內I/O構件130的依賴于地址的參數(shù)模塊1、2、3、. . . η可以如何操縱邏輯構件110的不同邏輯模塊A、B、. . . X。邏輯模塊和參數(shù)模塊的事先由安全的計算機輔助的編程工具驗證過的組合Al、Α2和A3在設備配置130中獲得,設備配置130因此包含有效組合的必需的恢復功能。邏輯模塊Α、B、... X和參數(shù)模塊1、2、3、... η與安全信息作為數(shù)據(jù)記錄被存儲在標準控制裝置110中。標準控制裝置由標準編程工具配置,并且因此能夠將所存儲的邏輯模塊與參數(shù)模塊組合為有效組合。根據(jù)設備配置130有效的組合通過相應有效并且同樣存儲在標準控制裝置中的安全信息來保護,并且經由網絡200尋址和發(fā)送到安全島,其中島的地址與相應有效的參數(shù)模塊1、2、3、... η —致。安全裝置的地址例如在其安裝時以硬件的方式設置。安全島1、2、3、... η分別包含安全控制裝置(LPSDO) 10,20,30以及多個安全輸入裝置(SDI) 11、21、31,并且可以還包括多個安全輸出裝置(SDO) 12、32。數(shù)據(jù)流視圖400示出了安全島1、2、3、. . . η內的邏輯數(shù)據(jù)流,其中數(shù)據(jù)從相應島的輸入裝置(SDI)發(fā)送到安全控制裝置(LPSDO)。相應的LPSDO處理所接收到的數(shù)據(jù),并且發(fā)送控制指令到島內的輸出裝置(SD0)。安全控制裝置10、20、30可以相互交換安全信息,并且因此提供跨島的安全功能。從裝置視圖500說明在安全編程工具中配置安全島時為使用者只顯示簡潔的并且因此明了的安全控制。因此在配置時不必考慮硬件上分布式的構造以及網絡上與其相連的數(shù)據(jù)傳輸。
權利要求
1 一種用于計算機輔助地為多個能單一尋址的安全裝置(10,11,12,20,21,30,31, 32)提供模塊化的安全構件以實現(xiàn)自動化系統(tǒng)的網絡O00)中的安全功能的方法,其中模塊化的安全構件包含不依賴于地址的邏輯模塊(A,B, ...X)、依賴于地址的參數(shù)模塊(1, 2,... η)和經由這兩個模塊計算的故障保護信息的組合,所述方法具有以下方法步驟a)生成多個安全構件;b)存儲所述安全構件,其中所述模塊和故障保護信息單獨存儲,并且為每個安全構件存儲恢復信息;c)在將安全裝置連接到所述自動化系統(tǒng)上之后,為所述安全裝置生成的安全構件借助于所述恢復信息由相應的邏輯模塊和參數(shù)模塊以及相應的故障保護信息被恢復并且傳送到所述安全裝置;d)在所述安全裝置中借助于所述相應的故障保護信息檢驗所傳送的安全構件的正確性。
2.根據(jù)權利要求1所述的方法,其特征在于,所述邏輯模塊和參數(shù)模塊以及所述故障保護信息被存儲在非安全的存儲器中。
3.根據(jù)權利要求2所述的方法,其特征在于,所述非安全的存儲器由所述自動化系統(tǒng)的非安全的標準控制裝置提供。
4.根據(jù)權利要求3所述的方法,其特征在于,由所述自動化系統(tǒng)的非安全的標準控制裝置為所述安全裝置中每一個處理所存儲的恢復信息,使得所述邏輯模塊和參數(shù)模塊以及故障保護信息從所述控制裝置的存儲器中被調用并且計算機輔助地分別組合為相應安全裝置的安全構件,并且每個安全構件被尋址地傳送到相應的特定安全裝置。
5.根據(jù)權利要求4所述的方法,其特征在于,由相應的安全裝置請求傳送安全構件。
6.根據(jù)前述權利要求之一所述的方法,其特征在于,在存儲第二和每個進一步的安全構件時,相應的邏輯模塊只有在先前還沒有存儲過相同的邏輯模塊時才被存儲。
7.一種自動化系統(tǒng),包括由多個能單一尋址的安全裝置(10,11,12,20,21,30,31, 32)和多個模塊化的安全構件構成的網絡000),其中所述模塊化的安全構件的數(shù)量等于所述能單一尋址的安全裝置的數(shù)量,模塊化的安全構件包含不依賴于地址的邏輯模塊(A, B,... X)、依賴于地址的參數(shù)模塊(1,2,...η)和經由這兩個模塊計算的故障保護信息的組I=I,各個安全構件的所述邏輯模塊和參數(shù)模塊以及故障保護信息與恢復信息一起存儲在存儲器中,使得在連接安全裝置之后,為這個安全裝置生成的安全構件能借助于所述恢復信息由所述存儲器中的相應的邏輯模塊和參數(shù)模塊以及相應的故障保護信息被恢復并且能傳送到所述安全裝置,并且在所述安全裝置中能借助于所述相應的故障保護信息檢驗所傳送的安全構件的正確性。
8.根據(jù)權利要求7所述的自動化系統(tǒng),其特征在于,所述存儲器是非安全的存儲器。
9.根據(jù)權利要求8所述的自動化系統(tǒng),其特征在于,所述非安全的存儲器包括在非安全的標準控制裝置(100)中。
10.根據(jù)權利要求9所述的自動化系統(tǒng),其特征在于,所述非安全的標準控制裝置被構造為處理所存儲的恢復信息并且從其存儲器中調用所述邏輯模塊和參數(shù)模塊以及故障保護信息并且為每個安全裝置分別組合安全構件并且將每個安全構件尋址地傳送到相應的特定安全裝置。
11.根據(jù)權利要求10所述的自動化系統(tǒng),其特征在于,相應的特定安全裝置被構造為請求傳送安全構件。
12.根據(jù)權利要求7至11之一所述的自動化系統(tǒng),其特征在于,多個相同的邏輯模塊總是只有一個模塊被存儲在所述存儲器中。
全文摘要
本發(fā)明涉及可靠地為自動化系統(tǒng)的安全裝置(10,11,12,20,21,30,31,32)提供安全功能的方法。為此引入包含不依賴于地址的邏輯模塊(A,B,...X)、依賴于地址的參數(shù)模塊(1,2,...n)和故障保護信息的模塊化的安全構件。模塊與恢復信息分開存儲。在安全裝置連接到自動化系統(tǒng)后,為特定裝置生成的安全構件可以被恢復并傳送到安全裝置。其中在安全裝置中檢驗安全構件的正確性。
文檔編號G05B19/042GK102576221SQ201080042404
公開日2012年7月11日 申請日期2010年9月21日 優(yōu)先權日2009年9月23日
發(fā)明者S·霍恩 申請人:菲尼克斯電氣公司