用於提供安全功能的方法

2023-09-12 06:59:10 3

專利名稱：用於提供安全功能的方法
技術領域：
本發明涉及一種用於為自動化系統的安全裝置可靠地提供安全功能的方法以及一種應用該方法的自動化系統。
背景技術：
在自動化技術中經常必須實現用於保護人員、機器或環境的安全功能，如在保護門打開或者操作應急開關後切斷機器。為此，傳統的安全設計越來越多地被嵌入在有故障保護的自動化系統中的安全功能代替。這些系統包括分布式地連接到自動化總線系統的網絡上(即在現場總線系統上)的有故障保護的用戶，其中在用戶中通常既實現安全功能也實現故障識別和故障解決措施。根據現有技術，這些措施必須對應於標準IEC 61508、 IS013849等中確定的機制。在當前的自動化設備中，根據自動化程度和設備規模，使用將分散的輸入/輸出裝置(E/A裝置)與控制裝置連接的通信系統。E/A裝置和控制裝置可以是標準用戶，也可以是具有安全功能的用戶。對於安全技術的數據在公共通信系統上的傳輸，已知通過可靠的網絡協議支持網絡。標準功能和安全功能的控制可以在一公共網絡上既通過具有標準和安全控制的中央結構來實現，也通過分布在通信或現場總線系統的網絡中的分布式的控制和安全邏輯模塊來實現。對用作為用於自動化技術的有故障保護的通信系統的用戶的E/A裝置和控制裝置的要求是它們不依賴於相應的網絡和相應的控制，從而安全技術(即安全用戶)在標準控制和/或網絡切換的情況下能夠繼續使用。對於這樣的繼續使用可能性，必須提供這樣的有故障保護的自動化系統的儘可能簡單的易操作性。為此，自動化系統或設備的安全功能與標準功能分開地被提供並且分成小的可校驗的本地局限的模塊。安全功能的這個模塊化以及其與標準功能的分離使得能夠容易地對各個模塊進行校驗並且因此滿足當前安全標準的要求。此外，這也符合安全技術領域技術人員的思維方式。完整的設備或機器越來越多地由多個單獨的並且部分自主工作的設備或機器部件構成，這些部件在其交付給最終用戶之後才被組裝並且調試。對於這些模塊化地由各個部件構成的設備，所有(即整個設備的)安全功能在調試之前以及在改裝之後或在靈活地擴展之後必須被驗證，以確保安全功能的正確性。根據現有技術，必須直接在調試階段執行安全用戶中編程和安全相關參數的最終調整以及對於正確的安全功能的驗證過程。如今的分布式的模塊化的安全功能需要使用專門的有故障保護的編程工具，利用這個編程工具將安全程序和安全參數直接加載到安全的控制裝置中或安全的E/A裝置中。在修改、調整或擴展已有自動化系統的情況下，通常必須重新馬上使用這個專門的有故障保護的編程工具，利用這個編程工具實現重新的再加載和驗證。現有技術中通常的在調試期間驗證安全功能的方案要求耗時的對維護有資格使用安全相關編程工具的人員的人員使用，並且因此成本很大。

發明內容
本發明要解決的問題是提供一種相對於現有技術靈活且優化的方法，利用該方法計算機輔助地為自動化系統網絡中的多個能單一尋址的安全裝置設計、驗證安全構件形式的安全功能以及將該安全功能加載到安全裝置中。為了解決該問題，本發明提出了為自動化系統的多個安全裝置生成模塊化的安全構件，其中模塊化的安全構件包含由不依賴於地址的邏輯模塊、依賴於地址的參數模塊和通過這兩個模塊計算的故障保護的信息構成的組合。在本發明中，例如控制或實現自動化系統中安全相關功能的E/A裝置和控制裝置應被理解為是「安全裝置」。尤其地，系統的多個裝置可以作為通信網絡中用戶而相互連接， 並且相互交換針對安全的數據。在第一方法步驟中構造多個安全構件。利用故障保護的編程工具來實現構件的構造，其中邏輯功能在計算機輔助下被設計並且被設置到邏輯模塊中。這些邏輯模塊可以被用於自動化系統中具有相同安全功能的多個裝置，並且因此是不依賴於地址的。而參數模塊總是為特定的能單一尋址的安全裝置的具體安全構件而生成的，並且因此包含依賴於地址的數據。這些數據可以是需要安全裝置來進行網絡中的通信的安全通信聯繫的源地址和目標地址。故障保護的信息包含經由邏輯模塊和參數模塊計算得到的冗餘信息(例如校驗和)、以及按照已知標準的其他措施。根據本發明的方法利用模塊化的安全構件而實現了倚賴於地址的參數與在整個系統中能多次使用的不倚賴於地址的邏輯之間的清晰分離。在第二方法步驟中，所生成的安全構件被存儲，其中模塊和故障保護的信息單獨地存儲。為所生成的每個安全構件存儲恢復信息。邏輯和參數模塊以及故障保護信息的存儲在任意存儲器中實現，該存儲器基本上不必提供任何針對安全的措施。用於恢復以模塊方式存儲的安全構件的數據同樣以故障保護的編程工具來保存。恢復信息原則上也可以以表格形式作為設備配置而被輸出。在第三方法步驟中，在安全裝置連接到自動化系統之後，為該裝置而生成的安全構件藉助於來自相應邏輯和參數模塊的恢復信息以及相應的故障保護信息而被恢復並且傳輸到安全裝置。與現有技術相比，安全構件的加載現在尤其不是在利用故障保護的編程工具生成其之後就立即進行，而是只有在其安全功能分布式地在網絡上待用的自動化系統調試的情況下進行。根據本發明的方法的一個主要優點是將安全構件調整到安全裝置中與將該構件調整用於標準E/A裝置和控制裝置可以直接進行以調試自動化系統。所有功能的調整可以統一地利用一不需要支持任何針對安全的措施的計算機輔助的編程工具來實現。各個安全構件的恢復尤其是通過以下方式來實現計算機輔助的編程工具處理恢復信息，並且所存儲的模塊和故障保護信息自動地被組合。替代地，模塊的組裝也可以手動地利用非故障保護的編程工具根據表格形式的設備配置來進行。在本方法的一優選實施方式中，由相應的特定安全裝置請求安全構件的傳送。因此可能的是例如未參數化的安全裝置在自動化系統調試之後也可以作為替換裝置連接到網絡，從而在沒有手動幹預的情況下也可以由標準控制來重新加載特定的安全構件。 在最後的第四方法步驟中，傳送到安全裝置中的安全構件的正確性藉助於相應的故障保護信息來檢驗。 安全裝置可以根據參數模塊中的源地址和目標地址而自主地自行例如對可信度、 相容性、有效組合或版本進行多種檢驗，並且識別在安全構件的存儲和組合以及加載到相應裝置中期間可能出現的所有故障。在識別到基本上可以是任何類型的篡改後或替換後的數據的故障的情況下，由相應的安全裝置執行針對安全的反應，其中例如進入安全狀態。尤其地，邏輯模塊和參數模塊的無效組合可以在安全構件的恢復期間可靠地被識別。由此確保只由故障保護的編程工具接受安全裝置的合法組合。尤其可以使用標準存儲介質作為存儲邏輯模塊和參數模塊以及安全信息的存儲器，標準存儲介質不必在存儲時提供任何針對安全的措施。這樣的非安全的存儲器優選由相應自動化系統的非安全的標準控制來提供。由此使得能夠自動地將安全構件從中央控制裝置下載到安全裝置中，從而安全裝置基本上不依賴於剩餘的內部存儲器。另一優點是在自動化系統可能的擴展的情況下的可更新性和可升級性。在根據本發明的方法的另一特別優選的實施方式中，在存儲第二和每個進一步的安全構件時，相應的邏輯模塊只有在之前沒有存儲過相同的邏輯模塊時才通過故障保護的編程工具被存儲。根據本發明的一主要優點是所存儲的邏輯模塊可以多次地用於不同的模塊化的安全構件並且因此僅僅必須一次性地在非安全的存儲器中被存儲。因此，尤其是對於小的控制裝置，可以節省昂貴的且有限的存儲空間。


以下藉助於實施例參考附圖詳細地介紹本發明。在附圖中圖1示出了將分布式的安全控制的模塊化的安全構件劃分為不依賴於地址的邏輯模塊和依賴於地址的E/A參數模塊；圖2示出了事先驗證過的組合可能中由邏輯模塊和參數模塊構成模塊化的安全構件。
具體實施例方式圖1中示出了自動化系統中提供安全功能的模塊化的安全構件的原理性構造方式，自動化系統由多個模塊化組裝的設備部件構成並且包括分布式的安全控制。這樣的分布式的安全控制例如由多個安全的輸入/輸出裝置(E/A裝置)以及安全的或故障保護的控制裝置構成，這些控制裝置優選也由公共的自動化總線系統上的其他未故障保護的裝置操作。對於模塊化構造的包括多個自主的設備部件或機器的自動化系統，分布式的安全功能的邏輯結構化的構造基本上也是必需的。為此，其規劃的安全功能被組合為各個安全島，其中將各個島分配個特定的設備部件或特定的機器。安全島的安全功能由安全構件被加載到其中的模塊化的分散分布的安全的控制裝置和安全的E/A裝置提供。所有島內的以及跨島的裝置優選可以連接到一公共的線形的總線線路上。控制裝置邏輯地與其在尋址方面下級的E/A裝置直接連接，其中自動化系統的整個網絡中或至少上級部分中的通信由通信主機控制，通信主機也使得能夠實現安全相關數據的跨島的交換。如從圖1中能看到的那樣，模塊化的安全構件被劃分為不依賴於地址的邏輯模塊和依賴於地址的參數模塊，其中參數模塊包含各自的島號(即安全控制的相應地址空間) 和安全島內的所分配的E/A裝置。在邏輯模塊中限定安全島的控制裝置和E/A裝置的線路佔用和控制裝置的安全邏輯。兩個島的邏輯模塊可以組合為一設計方案，如果這兩個島內的裝置的安全邏輯和線路佔用是完全相同的話，從而島之間唯一的區別就在於其地址。利用自動化系統的其中邏輯模塊具有安全邏輯和線路佔用以及參數模塊具有相應島地址的標準控制裝置，這兩個模塊被組合為有效的安全構件，並且通過安全的冗餘的信息來保護。利用標準控制裝置，安全構件經由網絡被發送到具體尋址到的島。藉助於圖2說明在標準控制裝置100 (例如PC或SPS)內I/O構件130的依賴於地址的參數模塊1、2、3、. . . η可以如何操縱邏輯構件110的不同邏輯模塊A、B、. . . X。邏輯模塊和參數模塊的事先由安全的計算機輔助的編程工具驗證過的組合Al、Α2和A3在設備配置130中獲得，設備配置130因此包含有效組合的必需的恢復功能。邏輯模塊Α、B、... X和參數模塊1、2、3、... η與安全信息作為數據記錄被存儲在標準控制裝置110中。標準控制裝置由標準編程工具配置，並且因此能夠將所存儲的邏輯模塊與參數模塊組合為有效組合。根據設備配置130有效的組合通過相應有效並且同樣存儲在標準控制裝置中的安全信息來保護，並且經由網絡200尋址和發送到安全島，其中島的地址與相應有效的參數模塊1、2、3、... η —致。安全裝置的地址例如在其安裝時以硬體的方式設置。安全島1、2、3、... η分別包含安全控制裝置(LPSDO) 10,20,30以及多個安全輸入裝置(SDI) 11、21、31，並且可以還包括多個安全輸出裝置(SDO) 12、32。數據流視圖400示出了安全島1、2、3、. . . η內的邏輯數據流，其中數據從相應島的輸入裝置(SDI)發送到安全控制裝置(LPSDO)。相應的LPSDO處理所接收到的數據，並且發送控制指令到島內的輸出裝置(SD0)。安全控制裝置10、20、30可以相互交換安全信息，並且因此提供跨島的安全功能。從裝置視圖500說明在安全編程工具中配置安全島時為使用者只顯示簡潔的並且因此明了的安全控制。因此在配置時不必考慮硬體上分布式的構造以及網絡上與其相連的數據傳輸。
權利要求
1 一種用於計算機輔助地為多個能單一尋址的安全裝置(10，11，12，20，21，30，31， 32)提供模塊化的安全構件以實現自動化系統的網絡O00)中的安全功能的方法，其中模塊化的安全構件包含不依賴於地址的邏輯模塊(A，B, ...X)、依賴於地址的參數模塊(1， 2，... η)和經由這兩個模塊計算的故障保護信息的組合，所述方法具有以下方法步驟a)生成多個安全構件；b)存儲所述安全構件，其中所述模塊和故障保護信息單獨存儲，並且為每個安全構件存儲恢復信息；c)在將安全裝置連接到所述自動化系統上之後，為所述安全裝置生成的安全構件藉助於所述恢復信息由相應的邏輯模塊和參數模塊以及相應的故障保護信息被恢復並且傳送到所述安全裝置；d)在所述安全裝置中藉助於所述相應的故障保護信息檢驗所傳送的安全構件的正確性。
2.根據權利要求1所述的方法，其特徵在於，所述邏輯模塊和參數模塊以及所述故障保護信息被存儲在非安全的存儲器中。
3.根據權利要求2所述的方法，其特徵在於，所述非安全的存儲器由所述自動化系統的非安全的標準控制裝置提供。
4.根據權利要求3所述的方法，其特徵在於，由所述自動化系統的非安全的標準控制裝置為所述安全裝置中每一個處理所存儲的恢復信息，使得所述邏輯模塊和參數模塊以及故障保護信息從所述控制裝置的存儲器中被調用並且計算機輔助地分別組合為相應安全裝置的安全構件，並且每個安全構件被尋址地傳送到相應的特定安全裝置。
5.根據權利要求4所述的方法，其特徵在於，由相應的安全裝置請求傳送安全構件。
6.根據前述權利要求之一所述的方法，其特徵在於，在存儲第二和每個進一步的安全構件時，相應的邏輯模塊只有在先前還沒有存儲過相同的邏輯模塊時才被存儲。
7.一種自動化系統，包括由多個能單一尋址的安全裝置(10，11，12，20，21，30，31， 32)和多個模塊化的安全構件構成的網絡000)，其中所述模塊化的安全構件的數量等於所述能單一尋址的安全裝置的數量，模塊化的安全構件包含不依賴於地址的邏輯模塊(A， B，... X)、依賴於地址的參數模塊(1，2，...η)和經由這兩個模塊計算的故障保護信息的組I=I，各個安全構件的所述邏輯模塊和參數模塊以及故障保護信息與恢復信息一起存儲在存儲器中，使得在連接安全裝置之後，為這個安全裝置生成的安全構件能藉助於所述恢復信息由所述存儲器中的相應的邏輯模塊和參數模塊以及相應的故障保護信息被恢復並且能傳送到所述安全裝置，並且在所述安全裝置中能藉助於所述相應的故障保護信息檢驗所傳送的安全構件的正確性。
8.根據權利要求7所述的自動化系統，其特徵在於，所述存儲器是非安全的存儲器。
9.根據權利要求8所述的自動化系統，其特徵在於，所述非安全的存儲器包括在非安全的標準控制裝置(100)中。
10.根據權利要求9所述的自動化系統，其特徵在於，所述非安全的標準控制裝置被構造為處理所存儲的恢復信息並且從其存儲器中調用所述邏輯模塊和參數模塊以及故障保護信息並且為每個安全裝置分別組合安全構件並且將每個安全構件尋址地傳送到相應的特定安全裝置。
11.根據權利要求10所述的自動化系統，其特徵在於，相應的特定安全裝置被構造為請求傳送安全構件。
12.根據權利要求7至11之一所述的自動化系統，其特徵在於，多個相同的邏輯模塊總是只有一個模塊被存儲在所述存儲器中。
全文摘要
本發明涉及可靠地為自動化系統的安全裝置(10，11，12，20，21，30，31，32)提供安全功能的方法。為此引入包含不依賴於地址的邏輯模塊(A，B，...X)、依賴於地址的參數模塊(1，2，...n)和故障保護信息的模塊化的安全構件。模塊與恢復信息分開存儲。在安全裝置連接到自動化系統後，為特定裝置生成的安全構件可以被恢復並傳送到安全裝置。其中在安全裝置中檢驗安全構件的正確性。
文檔編號G05B19/042GK102576221SQ201080042404
公開日2012年7月11日 申請日期2010年9月21日 優先權日2009年9月23日
發明者S·霍恩 申請人:菲尼克斯電氣公司