專利名稱:安全控制期間工業(yè)控制器中的故障檢測的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在工業(yè)控制系統(tǒng)環(huán)境中執(zhí)行安全控制指令的CPU的診斷����。
背景技術(shù):
工業(yè)控制系統(tǒng)應(yīng)用于例如制造與加工業(yè),諸如化工廠���、油生產(chǎn)廠�、冶煉廠�、紙漿和造紙廠���、鋼廠和自動化工廠���。工業(yè)控制系統(tǒng)還廣泛用于電力工業(yè)。定義工業(yè)控制系統(tǒng)語言結(jié)構(gòu)的標(biāo)準(zhǔn)是IEC 61131-3�。這種工業(yè)控制系統(tǒng)可包含或可結(jié)合附加有安全特性的某些設(shè)備。這種設(shè)備的例子有安全控制器����。需要附加安全特性而不是標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)所提供的加工的例子有在近海處生產(chǎn)平臺上的加工、核能工廠的某些加工區(qū)和化工廠的危險區(qū)��。安全特性可與安全關(guān)閉���、火和/或報警系統(tǒng)以及火和氣檢測結(jié)合使用���。涉及附加了安全特性的工業(yè)控制系統(tǒng)的復(fù)雜計算機系統(tǒng)的使用����,給不斷增加的檢測工業(yè)控制器故障的需求提出了挑戰(zhàn)�����。
GB2277814中描述了一種已提高了故障檢測能力的工業(yè)控制系統(tǒng)中設(shè)備的例子���,其是關(guān)于包括CPU的容錯PLC(可編程邏輯控制器)���。在正電源總線與負載之間連接一對第一I/O模塊。在負電源總線與負載之間連接一對第二I/O模塊��。GB2277814還描述了電源到負載不會因為負載任何一側(cè)的一個I/O模塊失效而斷開�����。該方法的缺點是它沒有將CPU中的可能失效考慮進去��。
通常�,計算讓程序執(zhí)行包括CPU指令的測試并將結(jié)果與預(yù)定義的正確結(jié)果相比較是已知的。這可在啟動時執(zhí)行一次,或在運行時間內(nèi)循環(huán)執(zhí)行���。US 6081908描述了一種存儲和驗證測試碼的方法���。該方法關(guān)于具有至少在單一封裝中裝有CPU和ROM的單片微計算機的測試。
檢測CPU中故障的其他已知通用計算方法利用看門狗定時器����。定時器計數(shù)器接收預(yù)定頻率的時鐘輸入脈沖,并且每次施加時鐘輸入脈沖�����,定時器計數(shù)器便增加計數(shù)�。在計數(shù)達到預(yù)設(shè)最大計數(shù)的情況下�,定時器計數(shù)器產(chǎn)生輸出脈沖。用檢查計算機處理器是否正確運行的自測試模塊來對CPU進行編程�。CPU周期性地將從自測試模塊得到的信號提供給復(fù)位輸入以對計數(shù)器進行復(fù)位。如果CPU中發(fā)生故障����,將不會發(fā)生復(fù)位,并且計數(shù)器將達到其指示故障的最大值�。用這種方法的缺點是當(dāng)CPU中發(fā)生故障時,復(fù)位信號可能被阻塞,且盡管CPU中有故障�����,但計數(shù)器可能永遠達不到其最大值����。
EP 1063591描述了一種檢測運行主程序的計算機處理器中故障條件的方法。該方法包括基于初始輸入值來順序執(zhí)行多個功能的步驟���。用這種故障檢測方法的缺點是它沒有描述如何檢測CPU中的故障�����,換句話說���,可能在執(zhí)行包括安全相關(guān)指令的應(yīng)用程序期間發(fā)生故障。
在先有技術(shù)中��,可通過離線執(zhí)行應(yīng)用程序來測試將用于安全控制的CPU�,即在安全控制器用于現(xiàn)實世界對象的在線安全控制之前。用這種方法的缺點是一旦CPU用于在線安全控制�����,就在執(zhí)行應(yīng)用程序期間可能發(fā)生CPU故障,因此這種方法不會檢測出在線安全控制期間的CPU故障��。另一個缺點是這種離線測試不是自動進行的�����,因此只有當(dāng)操作人員啟動離線測試時才進行離線測試���。先有技術(shù)中已知的更完全測試是離線運行包括CPU所有主指令的測試程序����。用這種測試方法的缺點是它不適于在線測試�,因為它太耗CPU。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種檢測將用于現(xiàn)實世界對象安全控制的工業(yè)控制器CPU中故障的方法����。本發(fā)明允許在應(yīng)用程序在線執(zhí)行期間通過重復(fù)執(zhí)行測試應(yīng)用(test application)來檢測CPU中的故障�。所述測試應(yīng)用包括CPU可用的匯編指令總數(shù)的子集。
根據(jù)在權(quán)利要求1中描述的方法��,本發(fā)明實現(xiàn)了這個和其它目的��。在從屬權(quán)利要求中描述了有利的實施例�。
基于本發(fā)明的方法包括如下步驟在應(yīng)用程序中定義的高級語言結(jié)構(gòu)又在測試應(yīng)用中定義。用將用于安全控制的高級語言來定義應(yīng)用程序,并隨后編譯成匯編指令����。所述方法包括如下步驟將測試應(yīng)用編譯成匯編指令,其中所述匯編指令是CPU可用的指令總數(shù)的子集�。應(yīng)用程序以及測試應(yīng)用被下載到工業(yè)控制器。在工業(yè)控制器中�����,重復(fù)執(zhí)行測試應(yīng)用���。進一步地���,將來自測試應(yīng)用的結(jié)果與在測試模塊中預(yù)定義的結(jié)果相比較。所述方法還包括如下步驟在現(xiàn)實世界對象在線安全控制期間檢測CPU中的故障�,其中通過執(zhí)行所述測試應(yīng)用來檢測CPU中的故障。
基于本發(fā)明的方法允許檢測CPU中的故障��,在執(zhí)行包含在所述測試應(yīng)用中的某匯編指令時該故障變得明顯���。CPU中故障的例子有CPU寄存器中的失效和存儲器(諸如高速緩沖存儲器)中的失效���。本發(fā)明允許在安全關(guān)鍵應(yīng)用程序執(zhí)行匯編指令之前檢測CPU故障�。本發(fā)明的一個重要方面是在現(xiàn)實世界對象在線安全控制期間�����,在某匯編指令執(zhí)行時進行CPU故障檢測�。基于本發(fā)明的方法的步驟不必按它們被提到的順序執(zhí)行��。
在本發(fā)明上下文中����,術(shù)語“工業(yè)控制器”不應(yīng)限制本發(fā)明的范圍,并且備選術(shù)語的例子有PLC(可編程邏輯控制器)�����。
本發(fā)明的又一目的是提供一種用在工業(yè)控制系統(tǒng)中的計算機程序產(chǎn)品��,包含可加載到將用于現(xiàn)實世界對象安全控制的工業(yè)控制器中央單元中的軟件碼裝置��。所述計算機程序產(chǎn)品包括使工業(yè)控制器執(zhí)行上述方法的相關(guān)步驟的裝置��。
本發(fā)明的再一目的是提供一個工業(yè)控制系統(tǒng)��,包括帶有配備了將用于現(xiàn)實世界對象安全控制的CPU的中央單元的工業(yè)控制器�、以及根據(jù)上述方法CPU受到故障檢測的I/O系統(tǒng)。
本發(fā)明直接的重要優(yōu)點是它提供了安全關(guān)鍵應(yīng)用的增強的安全整體水平�����。
本發(fā)明的進一步優(yōu)點是它公開了一種涉及現(xiàn)實世界對象安全控制的測試CPU指令并檢測故障的有效方法����,其中用諸如IEC61131-3的高級控制語言來定義安全應(yīng)用。
本發(fā)明的另一有利特征是它提供了CPU中故障的檢測����,其故障在執(zhí)行某CPU指令時變得明顯。
結(jié)合所附示意圖�����,將更加詳細地描述本發(fā)明����。
圖1示出了測試應(yīng)用的簡化圖(用例如IEC 61131-3的高級語言),測試應(yīng)用被編譯成匯編CPU指令�。
圖2示出了基于本發(fā)明的方法的概略圖。
圖3是基于本發(fā)明的系統(tǒng)的示意性概略圖�����。
具體實施例方式
圖1示出了包括CPU 8、22的工業(yè)控制器6的中央單元6����。將用于現(xiàn)實世界對象24安全控制的CPU 8、22通常是將用于一般工業(yè)用途的CPU�。這種CPU包含在工業(yè)控制器的中央單元6中。這種CPU的例子有摩托羅拉公司的MPC86x CPU���。這種CPU有約230條主指令的指令集�。涉及現(xiàn)實世界對象安全控制的典型應(yīng)用程序使用1/3的主指令����。發(fā)明人已經(jīng)發(fā)現(xiàn)CPU的有效在線故障檢測要執(zhí)行只包含預(yù)先來自用高級控制語言(例如IEC 61131)定義的測試應(yīng)用的那些匯編指令的測試應(yīng)用。
圖1示出了本發(fā)明的概略圖�����。測試應(yīng)用1包括用于現(xiàn)實世界對象24安全控制的所有相關(guān)高級語言結(jié)構(gòu)����。在優(yōu)選實施例中,根據(jù)IEC61131-3定義高級測試應(yīng)用����。語言型式可以是在IEC 61131-3中所定義的任一種,諸如結(jié)構(gòu)文本��、階梯或功能框圖��。測試應(yīng)用1被編譯2成匯編碼3中的測試應(yīng)用�����。已編譯成匯編碼3的測試應(yīng)用包括是CPU的所有可用主指令4的子集的指令�����。因此�����,大多數(shù)主CPU指令5不用在測試應(yīng)用3中���,這使得與包括所有可用CPU指令的測試相比該測試應(yīng)用在執(zhí)行期間消耗的資源較少�。在本發(fā)明的一個實施例中�,測試應(yīng)用包括對應(yīng)于在線安全控制應(yīng)用程序的匯編指令。進一步地�,圖1示出了匯編碼的測試應(yīng)用被下載7到工業(yè)控制器的至少一個中央單元6。中央單元6可包括多個模塊和/或板����,例如電路板���。典型的中央單元6包括底板和與現(xiàn)實世界對象通信的通信裝置。出于冗余原因���,中央單元可包括多個特定類型的電路板和/或模塊�����。冗余的主CPU板是這種冗余的一個例子���。將用于現(xiàn)實世界對象24安全控制的CPU 8、22執(zhí)行測試應(yīng)用3�����。確認模塊11用于測試應(yīng)用執(zhí)行結(jié)果10的測試確認功能�����。模塊11接收來自執(zhí)行測試應(yīng)用3的CPU的輸出值10��,并將結(jié)果與預(yù)定義結(jié)果相比較。模塊11還可將輸入值9發(fā)送到在CPU中執(zhí)行的測試應(yīng)用����。當(dāng)輸出值可用時,在CPU 8與模塊11之間的同步12可用來為測試確認功能標(biāo)記��。在一個實施例中��,確認模塊11包括一個雙端口存儲器�����,其用于更新來自測試應(yīng)用3的輸出����,并允許模塊11的確認功能存取輸出值�。該輸出值可包含順序號,確認功能用該順序號來建立測試應(yīng)用已經(jīng)應(yīng)答的測試參數(shù)���。
應(yīng)該理解到�,與在先有技術(shù)中所顯示的相比�,本發(fā)明極大提高了在線安全控制的可靠性。這是由于即使在在線安全控制期間也執(zhí)行該測試應(yīng)用��,并且它以其編譯形式包含應(yīng)用程序的所有單個匯編指令。在穩(wěn)定過程和現(xiàn)實世界對象正?��?刂破陂g���,不執(zhí)行某些匯編指令。在應(yīng)用程序的初始下載之后���,可幾周或幾個月進行檢測異?�;蛭kU過程情況�,例如炸藥或毒氣的檢測��。在異?�;蛭kU過程情況的檢測之后���,現(xiàn)實世界對象安全控制的應(yīng)用程序可以執(zhí)行例程��,并且在穩(wěn)定過程與現(xiàn)實世界對象正?����?刂破陂g��,不執(zhí)行某些匯編指令��。本發(fā)明確保由測試應(yīng)用執(zhí)行某些匯編指令�,以檢測CPU中的故障。
圖2示出了基于本發(fā)明的方法的概略圖�����。它是一種在線安全控制現(xiàn)實世界對象期間檢測工業(yè)控制器的CPU中故障的方法��。圖2顯示該方法包括步驟16�����,將用于安全控制的高級語言所定義的應(yīng)用程序編譯成匯編碼����。該方法包括步驟17����,將測試應(yīng)用1編譯成匯編指令3,其中用與應(yīng)用程序相同的高級語言預(yù)先定義該測試應(yīng)用�����。作為備選項,匯編碼可用來代替匯編指令���。編譯的測試應(yīng)用的匯編指令是定義測試應(yīng)用的CPU可用的匯編指令總數(shù)的子集�,其中測試應(yīng)用至少覆蓋用在應(yīng)用程序中的所有語言結(jié)構(gòu)��。
圖2還示出了下載步驟17����,在此應(yīng)用程序、測試應(yīng)用和測試應(yīng)用的預(yù)定義結(jié)果被下載到工業(yè)控制器的中央單元6��。在優(yōu)選實施例中�����,由于應(yīng)用程序中的更新或改變�,順序進行測試應(yīng)用與應(yīng)用程序的下載7。最好����,管理應(yīng)用程序下載的軟件例程自動下載該測試應(yīng)用。然而����,業(yè)可以這種方式執(zhí)行下載步驟在應(yīng)用程序外的其它時間下載測試應(yīng)用和預(yù)定義結(jié)果����。該方法包括另一步驟18��,重復(fù)執(zhí)行工業(yè)控制器中的匯編測試應(yīng)用�。在本發(fā)明的一個實施例中,循環(huán)執(zhí)行測試應(yīng)用����。最好,在正常在線安全操作期間�����,根據(jù)給定過程安全時間值來確定循環(huán)時間��。在現(xiàn)實世界對象24在線控制期間進行測試應(yīng)用3的執(zhí)行�,這意味著應(yīng)用程序也在CPU中執(zhí)行�。在一個實施例中,在重復(fù)執(zhí)行循環(huán)之前執(zhí)行的是完全測試應(yīng)用��。在優(yōu)選實施例中���,測試應(yīng)用被劃分成多個功能部分�,其中在重復(fù)執(zhí)行循環(huán)之前執(zhí)行各功能部分。在優(yōu)選實施例中�����,每個功能部分都有相應(yīng)的預(yù)定義結(jié)果����。
圖2還示出了比較步驟19,將測試應(yīng)用的結(jié)果10與預(yù)定義結(jié)果或預(yù)定義結(jié)果之一相比較���。在一個優(yōu)選實施例中��,比較步驟主要由確認模塊11來執(zhí)行��。圖2還示出了步驟20�����,檢測CPU 8���、22中的錯誤。在一個實施例中�����,進行檢測,以便例如借助報警系統(tǒng)來通知操作人員���。該檢測可包括出于分析目的在日志(log)或類似裝置中存儲匯編指令和/或測試功能����。進一步的終止步驟21�����,應(yīng)用程序的執(zhí)行禁止匯編指令的執(zhí)行�,否則將引起應(yīng)用程序失效。
上述步驟按順序提到��,這是步驟可按順序執(zhí)行的例子��。
圖3示出了本發(fā)明的另一實施例��,它作為一個系統(tǒng)��,例如工業(yè)控制系統(tǒng)25���,包括將用于現(xiàn)實世界對象24安全控制、配備有CPU 22的中央單元21的工業(yè)控制器��、I/O系統(tǒng)23,其中CPU 8��、22根據(jù)上述方法進行故障檢測���。
須經(jīng)安全控制的現(xiàn)實世界對象的例子有致動器����、電子管�、發(fā)動機、驅(qū)動系統(tǒng)和風(fēng)扇��。進一步的例子有更復(fù)雜的現(xiàn)實世界對象���,諸如氣/煙/火檢測系統(tǒng)�����、鉆孔設(shè)備���、管和管道、蒸餾塔�����、壓縮機、傳送系統(tǒng)��、鍋爐和渦輪機�����。圖3示出了更復(fù)雜的現(xiàn)實世界對象24的例子�。
權(quán)利要求
1.一種在現(xiàn)實世界對象在線安全控制期間檢測工業(yè)控制器的CPU中故障的方法,包括如下步驟-將應(yīng)用程序編譯成匯編指令�����,其中預(yù)先用將用于安全控制的高級語言來定義應(yīng)用程序�,其特征在于,所述方法包括如下步驟-將測試應(yīng)用編譯成匯編指令���,其中所述匯編指令是所述CPU可用的匯編指令總數(shù)的子集���,其中預(yù)先用將用于安全控制的所述高級語言來定義測試應(yīng)用,并且所述測試應(yīng)用至少覆蓋了用在所述應(yīng)用程序中的所有語言結(jié)構(gòu)�����;-將所述應(yīng)用程序和所述測試應(yīng)用下載到工業(yè)控制器的中央單元��;-在所述工業(yè)控制器中重復(fù)執(zhí)行所述測試應(yīng)用��;-通過測試模塊將來自所述測試應(yīng)用的結(jié)果與所述測試模塊中的預(yù)定義結(jié)果進行重復(fù)比較���;-當(dāng)來自所述測試應(yīng)用的所述結(jié)果不等于在所述測試模塊中存儲的所述預(yù)定義結(jié)果�����、且所述測試應(yīng)用的意外結(jié)果是由于執(zhí)行所述測試應(yīng)用的匯編指令時��,檢測所述CPU中的故障��;-終止所述應(yīng)用程序的執(zhí)行�����,其中所述應(yīng)用程序被禁止執(zhí)行所述匯編指令�����,否則會引起所述應(yīng)用程序失效�����。
2.如權(quán)利要求1所述的方法�����,其中所述測試應(yīng)用的匯編型式包括從可用于現(xiàn)實世界對象安全控制的所述高級語言中的所有語言結(jié)構(gòu)中得到的匯編碼�。
3.如權(quán)利要求1或2所述的方法,其中將用于安全控制的所述高級語言基于IEC 61131-3�����。
4.如權(quán)利要求3所述的方法��,其特征在于���,定義測試應(yīng)用的步驟包括分析應(yīng)用����,以便確定用在所述應(yīng)用碼中的子集和軟件庫�。
5.如權(quán)利要求4所述的方法,其特征在于�����,定義測試應(yīng)用的步驟是自動進行的����,無需來自應(yīng)用程序員的任何附加命令����。
6.如權(quán)利要求5所述的方法�����,其特征在于���,重復(fù)執(zhí)行所述測試應(yīng)用的步驟是通過所述測試應(yīng)用的循環(huán)執(zhí)行來實現(xiàn)的,其中循環(huán)時間根據(jù)給定過程安全時間值來確定�。
7.如權(quán)利要求6所述的方法,其特征在于��,所述測試應(yīng)用在執(zhí)行之前接收一組輸入值���,并且所述輸入值通過所述測試模塊產(chǎn)生���。
8.如權(quán)利要求7所述的方法,其特征在于����,應(yīng)用程序和測試應(yīng)用的下載步驟包括下載預(yù)定義結(jié)果的附加步驟�����。
10.一種用在工業(yè)控制系統(tǒng)中的計算機程序產(chǎn)品����,包含可加載到將用于現(xiàn)實世界對象安全控制的工業(yè)控制器中央單元中的軟件碼裝置�,所述計算機程序產(chǎn)品,其特征在于�����,它包括使所述工業(yè)控制器執(zhí)行如下步驟的裝置-在所述工業(yè)控制器中重復(fù)執(zhí)行所述測試應(yīng)用�����;-通過測試模塊將來自所述測試應(yīng)用的結(jié)果與所述測試模塊中的預(yù)定義結(jié)果進行重復(fù)比較�;-當(dāng)來自所述測試應(yīng)用的所述結(jié)果不等于在所述測試模塊中存儲的所述預(yù)定義結(jié)果、且所述測試應(yīng)用的意外結(jié)果是由于執(zhí)行所述測試應(yīng)用的匯編指令時���,檢測所述CPU中的故障���;-終止所述應(yīng)用程序的執(zhí)行,其中所述應(yīng)用程序被禁止執(zhí)行所述匯編指令�����,否則會引起所述應(yīng)用程序失效,所有步驟根據(jù)權(quán)利要求1所述的方法�。
11.一種工業(yè)控制系統(tǒng),包括具有配備了將用于現(xiàn)實世界對象安全控制的CPU的中央單元的工業(yè)控制器��,一種I/O系統(tǒng)���,其特征在于,根據(jù)權(quán)利要求1所述的方法所述CPU受故障檢測�。
全文摘要
本發(fā)明涉及現(xiàn)實世界對象安全關(guān)鍵(critical)控制中的改進的可靠性。現(xiàn)實世界對象須經(jīng)安全控制的例子有氣/煙/火檢測系統(tǒng)��、鉆孔設(shè)備��、管和管道����、蒸餾塔、壓縮機��、傳送系統(tǒng)����、鍋爐和渦輪機�����。測試應(yīng)用包括所有相關(guān)高級語言結(jié)構(gòu)���,并作為匯編碼在工業(yè)控制器中重復(fù)執(zhí)行,在線安全控制期間其CPU須經(jīng)故障檢測���。
文檔編號G06F11/36GK1723445SQ200380105314
公開日2006年1月18日 申請日期2003年10月13日 優(yōu)先權(quán)日2002年10月15日
發(fā)明者M·古馬爾卡, K·漢森, A·奧皮姆 申請人:Abb股份有限公司