CN110799912B - 安全关键和非安全关键的过程的控制*** - Google Patents
安全关键和非安全关键的过程的控制*** Download PDFInfo
- Publication number
- CN110799912B CN110799912B CN201880030769.4A CN201880030769A CN110799912B CN 110799912 B CN110799912 B CN 110799912B CN 201880030769 A CN201880030769 A CN 201880030769A CN 110799912 B CN110799912 B CN 110799912B
- Authority
- CN
- China
- Prior art keywords
- safety
- control unit
- control system
- communication
- critical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004886 process control Methods 0.000 title description 2
- 238000004891 communication Methods 0.000 claims abstract description 104
- 238000000034 method Methods 0.000 claims abstract description 25
- 230000008569 process Effects 0.000 claims abstract description 24
- 230000009977 dual effect Effects 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 4
- 102100025691 Dapper homolog 1 Human genes 0.000 description 5
- 101100031414 Dictyostelium discoideum psmE3 gene Proteins 0.000 description 5
- 101100120432 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RAM1 gene Proteins 0.000 description 5
- 101150113198 dact1 gene Proteins 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 239000000758 substrate Substances 0.000 description 3
- 101150056585 DACT2 gene Proteins 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/38—Concurrent instruction execution, e.g. pipeline or look ahead
- G06F9/3877—Concurrent instruction execution, e.g. pipeline or look ahead using a slave processor, e.g. coprocessor
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24182—Redundancy
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33156—Communication between two processors over shared, dualport ram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/38—Concurrent instruction execution, e.g. pipeline or look ahead
- G06F9/3877—Concurrent instruction execution, e.g. pipeline or look ahead using a slave processor, e.g. coprocessor
- G06F2009/3883—Two-engine architectures, i.e. stand-alone processor acting as a slave processor
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
Abstract
提供用于控制安全关键和非安全关键的过程和/或设备组件的控制***(100、101)。它包括至少一个控制单元(1),该至少一个控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件;至少一个安全控制单元(2),该至少一个安全控制单元(2)用于控制安全关键的过程和/或安全关键的设备组件;至少一个输入/输出单元(11)、(21),所述至少一个输入/输出单元(11)、(21)经由内部输入/输出总线(B2)与第一控制单元(1)连接;其中,控制***(100、101)被设计在经由现场总线(FB)连接的具有其他装置的连接器中充当通信主导装置或通信从属装置或者充当两者,并且为此包括:主导通信耦合器(5)和从属通信耦合器(6)。
Description
技术领域
本发明涉及控制***,优选地涉及模块化构建的控制***,所述控制***根据本发明第一方面的设置用于控制安全关键和非安全关键的过程和/或设备组件。特别地,本发明应用于过程自动化或机器控制中。
背景技术
对于用于控制技术过程或技术设备的自动化***通常要求,将特殊的安全关键的过程或者设备组件与非安全关键的组件分开控制。
在DE 10 2005 009 795 A1中描述了在安全关键的应用中针对机器控制的微处理器***,所述微处理器***包括两个区域。第一区域设置用于非安全关键或非面向安全的功能,并且包括了主处理器、程序和数据存储器、输入/输出单元以及用于将上述组件彼此连接的总线。第二区域设置用于安全关键的或面向安全的功能,并且包括具有自身程序和数据存储器的安全处理器,该安全处理器以同样方式连接到总线。
借助于安全的传输链路(Übertragungsstrecke),程序和数据将被加载到安全处理器的数据存储器中,该数据存储器的功能基于,其与其他面向安全的组件(例如面向安全的输入/输出单元)配合,在紧急情况时使设备或过程进入“安全”状态。
在DE 103 53 950 A1中描述了用于控制具有现场总线的安全关键的过程的另一个控制***,用于经由现场总线控制通信的总线主导装置(Busmaster)以及用于与安全关键的过程链接的信号单元。总线主导装置和信号单元经由现场总线相互连接。信号单元与总线主导装置的通信经由现场总线提供。此外,设置用于控制安全关键的过程的第一控制单元,其中信号单元和第一控制单元具有用于故障安全通信的安全相关装置(sicherheitsbezogene Einrichtung),以便控制安全关键的过程。第一控制单元可以是不依赖现场总线而连接到总线主导装置。
上述的面向安全的控制***并非设置用于例如在DE 10 2004 056 363 A1中所述的那样使用的模块化构建的控制***,或者只能利用额外花费才可集成,因为例如通信模块、接口、电压供应和监测功能要符合规定的安全标准。为此必须更换这些组件并且配备新软件,从而导致大量成本。
EP 2504739 A1示出模块化构建的用于控制安全关键和非安全关键的过程和/或设备组件的自动化***。在此,模块化构建的、原则上非安全的控制***额外装备有面向安全的控制器,其中控制***被设计以用于充当通信主导装置(Kommunikationsmaster)。
现有技术存在用于改进的空间。因此存在对本发明的需求。
提供开头所述类型的具有在按照本发明的第一方面中说明的特征的控制***。在按照本发明的其他方面中说明了根据本发明的装置的有利的设计方案和改进方案。
发明内容
根据第一实施例,用于控制安全关键和非安全关键的过程和/或设备组件的(优选地是模块化构建的)控制***包括:至少一个第一控制单元,该至少一个第一控制单元设置用于控制非安全关键的过程和/或非安全关键的设备组件;以及至少一个输入/输出单元,该输入/输出单元经由内部输入/输出总线与第一控制单元连接;和至少一个通信耦合器,该至少一个通信耦合器经由内部耦合器总线与第一控制单元连接;和/或经由现场总线与其他分散的单元(例如输入/输出单元和/或远程站(Remote-Station))连接。
在此,设置至少一个第二控制单元(在下文中也称为安全控制单元或安全控制器)用于控制(一个或多个)安全关键的过程和/或安全关键的设备组件。
控制***被设计以便在经由现场总线连接的具有其他装置的联合体(Verbund)中充当通信主导装置或者充当通信从属装置(Kommunikations-Slave)或者充当两者,并且为此包括主导通信耦合器和从属通信耦合器,并且优选地是可模块化配置的,安全控制单元至少具有相应的具有主导功能性的子单元和具有从属功能性的子单元。
优选地,安全控制单元具有用于提供面向安全的功能的至少两个处理单元(优选地作为微处理器实施)和用于经由内部耦合器总线进行数据传输的第一存储器(优选地作为双端口RAM实施)。安全控制单元中的双端口RAM这样实施,使得在其两个访问侧上同时读取和/或写入访问是可能的,从而对于两个否则分开***(ansonstes getrenntes System)的同时访问是可能的,所述两个否则分开***利用共同的数据工作,而所述否则分开***无需在访问速度上相互限制。
控制***装配有主导-从属-功能性。为此控制***不仅具有相应的主导通信耦合器功能性而且具有从属通信耦合器功能性。在此,这两个功能性还可以在通信耦合器中组合,可以同时或准同时不仅充当主导通信耦合器而且充当从属通信耦合器。因此,可以将其作为不仅充当主导通信耦合器而且充当从属通信耦合器的模块而设置。
因此,控制***可以与其他控制***经由现场总线连接成具有其他控制***和/或其他现场总线装置的复杂联合体。特别地,控制***可以根据实施例“向上”充当从属装置,并且可选的同样根据实施例,该控制***接收来自充当主导装置的另一个控制***的命令。该向上充当从属装置的控制***同时可以再次“向下”充当主导控制***,并且向充当从属装置的其他控制***发送命令。同样地,其他现场总线装置可以充当从属装置并且从在此相应地充当主导装置的上述控制***中的每个控制***接收命令。显然,以这种方式,根据实施例可以将具有一个或多个控制***的联合体构建成模块化且高度灵活的,其中,每个控制***既可以充当主导装置或者又可以充当从属装置或者同时充当两个角色。在此,在实施例中,主导装置或从属装置的角色可以取决于上下文来确定,即取决于相应的经由现场总线连接的通信伙伴的功能和/或角色,它应是另一个控制***、任意的现场总线装置或诸如此类。
当确定根据实施例的控制***与根据实施例的其他控制***、或者与连接到现场总线的其他控制装置、或者与根据本发明的其他现场总线装置通过控制***的(一个或多个)主导/从属通信耦合器的配置相互作用时,主导/从属特性通常还在其他模块或者控制***的部分中根据实施例实现。特别地,第二控制单元、安全控制单元可以包括相应的一个或多个主导安全子单元和/或从属安全子单元。同样地,第一控制单元可以同样地分别包括一个或多个主导和/或从属子单元,该第一控制单元设置成用于控制(一个或多个)非安全关键的过程和/或非安全关键的设备组件。
根据实施例,安全控制单元可选地经由双端口RAM、经由内部耦合器总线,借助于或者经由非安全关键的第一控制单元直接与其他控制***的其他通信耦合器进行通信,所述其他控制***可选地同样根据实施例实施。在此,安全控制单元根据上述实施例在到其他***的每个连接中可以充当主导装置或从属装置,其中,分别连接的其他控制***分别对此共轭地起作用或者被设计。
具有用于控制非安全关键的应用的第一控制单元和用于控制安全关键的应用的第二控制单元(安全控制单元)以及上述的主导/从属功能性的这种模块化构建的控制***可以灵活地在不同功能中使用,例如作为较大型自动化***的控制***与根据实施例的其他控制***结合、例如作为这种分散的较大型自动化***中的分散的处理设备、或者例如作为与本地可耦合的输入/输出装置结合的独立自动化装置、或者例如作为中央自动化设备。
根据实施例的控制***的另一个优点是基于减少用于安全关键和非安全关键的功能的相应的控制单元的通信的接口。通过使用用于控制(一个或多个)安全关键的过程或安全关键的设备组件的安全控制单元并且与此相关的分离第一、非面向安全的控制单元和安全控制单元之间的功能,在安全控制单元中现有通信接口重新使用非面向安全控制单元,这显著地简化安全控制单元的设计。在此,经应用的双端口RAM供预定义的接口使用。
在此,在实施例中,非面向安全控制单元接受任务,将面向安全的电报从控制***的安全控制单元经由内部耦合器总线以及内部输入/输出总线,或者在***设置期间作为主导通信耦合器和/或作为从属通信耦合器(两者均用于现场总线或在现场总线上)而实施的通信耦合器,在应用所谓的“黑信道通信原理”的情况下传递到面向安全的输入/输出单元。黑信道通信原理例如通过“PROFIsafe - Profile for Safety Technology onPROFIBUS DP and PROFINET IO Profile part, related to IEC 61784-3-3Specification for PROFIBUS and PROFINET. Version 2. 4, 2007年3月, Order No:3.192b”而被得知。
此外,现场总线主导通信耦合器被设置用于,将面向安全的电报在使用上述“黑信道通信原理”的情况下从分散的面向安全的输入/输出模块传递和传递到分散的面向安全的输入/输出模块和/或传递到远程站,或者作为现场总线从属通信耦合器接收。为此,将这些电报经由一个或多个所谓的现场总线从属装置引导到面向安全的输入/输出单元。现场总线从属装置为此可以具有直接的非面向安全的输入/输出通道。
在安全控制单元中实施所谓的安全程序逻辑。在用于非安全关键的应用的控制器中与其分开地实施非面向安全的程序逻辑。在此,借助于预定义的接口经由双端口RAM和耦合器总线,在安全控制单元和非面向安全的第一控制单元之间进行用于安全关键的应用的数据的(可能相互的)数据交换,更确切地说,这与这是否发生在主导装置运行或在从属装置运行中无关。
在此,在实施例中,安全控制单元的两个处理器中的仅一个处理器经由双端口RAM直接与内部耦合器总线连接。安全控制器的处理器这样实施,使得它们相互监测和同步。监测和同步机构例如可以根据“PROFIsafe- Profile for Safety Technology on PROFIBUSDP and PROFINEt IO Profile part, related to Iec 61784-3-3 Specification forPRoFIBUS and PROFINET. Version 2.4, 2007年3月, Order No: 3. 192b”或类似地实施。
安全控制单元中还可以设置不同于上述的1oo2(2中的1)架构(该内部安全架构由两个处理器组成)的内部安全架构,例如loo3架构等。在所描述的loo2架构中,直接访问双端口RAM的第一处理器不能确定循环冗余校验(CRC,用于确定数据的校验值的方法,以便能够识别在传输或存储期间的错误),所述循环冗余校验对于经由双端口RAM的接口生成有效的电报而言是必需的。该CRC确定可以仅由冗余处理器执行,并且被通知给第一处理器。这确保两个处理器对有效电报一起作用。这是必要的,以便在安全控制单元的两个处理器中的一个故障或有错误的操作模式(Funktionsweise)期间保证***的安全性。
在此,将非面向安全的第一控制单元以及分别在主导和/或从属子单元中的安全控制单元是通常但不是必须地经由程序逻辑来实现。
附图说明
根据在以下附图中示出的实施例应详细阐述和描述本发明以及本发明的有利的设计方案和改进方案。
其中:
图1示出了根据本发明的具有主导和/或从属功能性的控制***的示例性实施方式,该控制***被设置用于经由现场总线来控制面向安全的和非面向安全的过程,该控制***具有另外的经驱动的单元;
图2示出了根据本发明的控制***的详细实施方式;
图3示出了具有loo2***架构的第二控制单元的实施方式;
图4示出了如图1所示的控制***,该控制***作为主导装置驱动另一个根据本发明的控制器以及分别经由现场总线驱动作为从属装置的另一个单元。
具体实施方式
图1示出了优选地模块化构建的具有第一控制单元1的控制或自动化***100、101,该第一控制单元1被设置用于控制非安全关键的过程和/或非安全关键的设备组件。第一控制单元1具有至少一个主导子单元la和/或至少一个从属子单元lb,它们通常在控制单元1内以程序逻辑方式实现。中央输入/输出单元11、21的连接到其上的模块经由内部输入/输出总线(在图1中未示出)与第一控制单元1连接。为了将控制单元1连接到现场总线FB上,使用至少一个通信耦合器5、6,包括至少一个主导通信耦合器5和/或至少一个从属通信耦合器6,所述至少一个主导通信耦合器5和/或至少一个从属通信耦合器6经由现场总线FB来接受与多个分散的现场总线从属装置7、8和连接到这些现场总线从属装置上的输入/输出单元71、72、81、82的通信。输入/输出单元71、81表示非安全输入/输出单元,并且输入/输出单元72、82表示安全输入/输出单元。在此,根据术语表(Nomenklatur)主导通信耦合器5可以控制通信,或者从属通信耦合器6可以由另一控制***或装置的控制单元控制。在图1中,仅示出了主动控制主导通信耦合器5的连接,在此,从属通信耦合器6的连接是可选的,这将在下面参照图4更详细地进行讨论。
通常,根据实施例,控制***100、101为此被设计成在经由现场总线FB连接的具有其他装置的联合体充当通信主导装置或通信从属装置,或者同时或几乎同时充当两者。为此,它包括主导通信耦合器(5)和/或从属通信耦合器(6),尤其是还包括这两者。在实施例中,联合体中的其他/另外装置中的至少一个装置同样是根据实施例的这种控制***100、101,这种控制***100、101在此通常充当从属装置,并且第一***充当主导装置。
在图1的实施例中,设置至少一个第二控制单元2,也称作安全控制单元2。这用于控制安全关键的应用和/或安全关键的设备组件。安全控制单元2包括至少一个主导安全子单元2a和/或至少一个从属安全子单元2b,它们通常以程序逻辑方式实现。安全控制单元2经由双端口RAM和内部耦合器总线B1借助于或经由非安全关键的控制单元1直接与通信耦合器5、6中的至少一个进行通信。
设计用于控制非安全关键的过程和/或非安全关键的设备组件的控制单元1还分别包括具有主导功能性la的子单元和具有从属功能性lb的子单元。
输入和输出单元通常不仅包括安全单元21、72、82而且包括非安全单元11、71、81,其中非安全单元11、71、81可以由第一控制单元1在没有安全功能的情况下控制,并且安全单元21、72、81可以由安全控制单元2在具有安全功能的情况下控制。
安全和非安全控制单元1、2经由内部耦合器总线B1和集成在第二控制单元2中的双端口RAM DPR1彼此进行通信,以及经由内部耦合器总线Bl和借助于主导或从属通信耦合器5、6与任意的、连接到现场总线FB上的其他的、优选分散的单元进行通信。
不仅中央输入/输出单元11、21的直接与用于中央单元CL的模块连接的模块,而且分散的单元7、8、71、72、81、82的模块可以如已经提到的那样根据其功能不仅实施为面向安全的装置而且实施为非面向安全的装置。它们通常被配置成从属装置。
中央单元CL(也与输入/输出单元11、21和通信耦合器5、6一样)可以借助于模块载体布置在不同的可延伸的基板(Grundplatte)上,其中输入/输出单元11、21可直接耦合到中央单元CL和通信耦合器5、6。此外,基板具有至少一个用于耦合器的插槽(Steckplatz),该耦合器用于现场总线端口(Feldbusanschluss),该现场总线端口用于到分散的单元7、8和/或站的标准现场总线连接。
在特别的设计方案中,基板卡固到标准安装轨(Norm-Hutschiene)上,其中输入/输出单元11、21中的至少一个同样地可卡固到安装轨上并且与相应的基板可以电方式和以机械方式插接在一起。
此外,已经证明有利的是,中央单元CL、输入/输出单元11、21和主导/从属通信耦合器5、6的模块都可以经由插接连接以电方式无线地连接或者连接。优选地,中央单元CL、输入/输出单元11、21和主导/从属通信耦合器5、6分别借助于插接和/或卡锁装置(Rastmitteln)可拆卸地相互连接或连接。
图2示出根据实施例的模块化构建的控制***100的详细实施方式。该***通常包括具有集成的以太网和/或串行接口IF1的终端块(未示出)和第一控制单元1,该第一控制单元经由内部输入/输出耦合器总线Bl与被实施为安全控制单元2的第二控制单元以及主导通信耦合器5和/或从属通信耦合器6进行通信,在实施例中,这些通信耦合器中仅一个通信耦合器(主导装置或从属装置)、或者两个通信耦合器(主导装置和从属装置)可以实现,后者还可以在一个共同的模块中实现。第一控制单元1的模块配备有电压供应单元3,该电压供应单元3经由连接线路SB与第一和第二控制单元1、2以及通信耦合器5、6以电方式连接。其他布置在基板上的装置(例如中央输入/输出单元11、21)还可以电方式连接到连接线路SB。
除了时钟发生器14和存储器13之外,第一控制单元1还具有第一微处理器12,该第一微处理器12经由内部输入/输出耦合器总线Bl与至少一个主导通信耦合器5和/或从属通信耦合器6经由集成的另外的双端口RAM DPR2的这种包括主导通信耦合器模块进行通信。到中央输入/输出单元11、21(在图2中未示出)的连接经由内部输入/输出总线B2实现。
对于控制***的应用,还对于安全关键的应用,在基板上设置有安全控制单元2,其具有至少两个另外的实施为安全处理器的处理单元22a、22b,所述处理单元22a、22b具有所分配的存储器23a、23b和时钟发生器24a、24b。处理器22a、22b经由另一接口IF2相互同步。处理器22a、22b的构建及其工作原理从相关的现有技术已知。
在所描述的loo2架构中,直接访问双端口RAM DPR1的第一处理器22a不能确定经由双端口RAM DPR1的接口用于生成有效的电报所需的循环冗余校验(CRC)。该CRC确定可以仅由冗余处理器22b执行,并且被传送到第一处理器22a。以此要确保两个处理器22a、22b对有效电报一起作用。这是必要的,以便在安全控制单元2的两个处理器22a、22b中的一个故障或有错误功能的情况下保证***的安全性。
经由集成另外的双端口RAM DPR2的通信耦合器模块,通常在使用前述"黑信道通信原理"的情况下,将安全控制单元2的面向安全的电报从分散的输入/输出单元71、72、81、82传递并且传递到分散的输入/输出单元71、72、81、82和/或传递到现场总线FB上的远程和另外的装置或站。为此,电报经由现场总线FB和(典型的)现场总线从属装置7、8被引导到输入/输出单元71、72、81、82。
安全控制单元2经由其双端口RAM DPR1并且经由内部耦合器总线B1通过非安全关键的第一控制单元1与主导通信耦合器5或从属通信耦合器6经由集成的双端口RAM DPR2进行通信。通信通常在使用上述黑信道通信原理的情况下进行,但也不是必须的。
在安全控制单元2的其他处理器22a、22b中实施安全程序逻辑。在第一控制单元1的微处理器12中与其分开地实施非面向安全的程序逻辑。用于非安全关键的应用的在安全控制单元2和第一控制单元1之间的数据的数据交换借助于预定义的接口经由布置在安全控制单元中的第一双端口RAM DPR1进行。如上所述的那样,根据控制***100的配置,上述处理分别地在主导安全子单元2a与主导子单元la之间、或者从属安全子单元2b与从属子单元lb之间进行。第一控制单元1和安全控制单元2的这些相应的子单元在图2中出于说明的原因而未示出,因为这些典型的、但不一定仅以程序逻辑方式实现,在其他情况下也可以以硬件方式实现。
图3示出了作为loo2***架构的安全控制单元2的实施方式,所述安全控制单元2具有微处理器22a、22b以及具有相应的固有的与处理器22a、22b一起作用的零电压安全存储器FLASH和易失性存储器SDRAM,所述存储器FLASH优选地设置为用于用户程序的存储设备,所述易失性存储器SDRAM优选地设置为数据存储器。微处理器22a、22b分别与一个自身时钟发生器24a、24b共同工作。此外,通常设置用于显示状态和故障提示的显示装置DP,该显示装置DP优选地仅与第一处理器22a直接连接。安全控制单元2的主导安全子单元2a和从属安全子单元2b在该示例中以程序逻辑方式实施并且因此没有明确示出。
安全控制单元2的两个处理器22a、22B中的仅第一处理器22a经由第一双端口RAMDPR1直接与内部耦合器总线B1连接(参见图2)。
在有利的设计方案中,安全控制单元2的处理器22a、22b这样实施,使得它们相互监测。为此,处理器22a、22b经由另外的接口IF2相互同步。监测和同步机制可以例如根据“PROFIsafe-Profile for Safety Technology on PROFIBUS DP and PROFINET IOProfile part,related to IEC 61784-3-3 Specification for PROFIBUS andPROFINET.Version 2.4,2007年3月,Order No:3.192b”或类似地实施。
不仅用于两个处理器22a、22b、存储器FLASH、SDRAM而且用于分别与处理器22a、22b连接的电压供应监测和诊断单元9、15的电压供应SB是经由连接线路SB提供的。
通常在实施例中为了位于安全控制单元2中的处理器22a、22b分别设置自身单独电压供应监测和诊断单元9、15。
图4示出了如图1所示的控制***100,该控制***100借助主导通信耦合器5经由现场总线FB与根据实施例的另一控制***101连接。该控制***100经由其从属通信耦合器6连接到现场总线FB。另外,与图1所示类似,控制***100控制分散的现场总线从属装置8和与该控制***连接的输入/输出单元81、82。
在控制***100、101中,第一控制单元1(非安全控制)接受任务,该任务是将安全电报从具有安全通信主导装置2a和安全通信从属装置2b的安全控制单元2导引至主导通信耦合器5或从属通信耦合器6。为此该第一控制单元1使用内部耦合器总线B1。安全控制器2实施安全程序逻辑,并且包含安全通信主导功能性和安全通信从属功能性。非安全控制1单独执行非安全程序逻辑。在安全与不安全控制之间的程序数据交换经由预定义的接口通过双端口RAM支持。安全控制中的微处理器中的仅一个微处理器具有对双端口RAM的访问。
为了实现在一个或多个控制***100、101之间的安全相关的和非安全性相关的数据交换,每个控制***100、101必须具有关于安全通信主导功能性和安全通信从属功能性。因此,在图4的示例中,每个控制***100、101具有主导通信耦合器5和从属通信耦合器6。以这种方式,各种控制***100、101可以同时包括安全通信主导功能性和安全通信从属功能性,并且当它们正确地配置和连接时,不仅可以交换安全数据而且可以交换非安全数据。
以下应通过两个实施例更详细地说明。
在第一示例中,数据传递从第一控制***100中的非安全控制1到第一控制***100中的通信主导耦合器5,然后经由现场总线到第二控制***101的从属通信耦合器6,从那里通过第二控制***101中的非安全控制1'到第二控制***101的通信主导耦合器5',并且然后继续到远程通信从属装置8以及与其连接的具有非安全I/O单元81和安全I/O单元82的输入/输出单元81、82。
在第二个示例中,实现了安全通信。这里,将数据从第一控制***100中的具有安全通信主导装置2a的安全控制2传递到第一控制***100中的非安全控制1。从那里数据经由现场总线FB继续行进到第二控制***101的从属装置通信耦合器6',并且然后经由非安全控制1'到具有安全通信从属功能性2b'的安全控制2',并且从那里进一步至作为安全控制器2'的一部分的安全通信主导装置2a',并且然后返回到非安全控制1'并且从那里进一步至第二控制***101的连接的通信主导耦合器5',并且然后进一步到具有远程安全I/O单元82的远程通信从属装置8,该远程通信从属装置8支持安全从属通信。
安全控制2、2'不仅可以包括安全通信主导功能性2a、2a',还可以包括通信从属功能性2b、2b'。因此,取决于给定控制***的要求,可以适当地选择根据本发明的控制***100、101是否例如仅具有安全通信主导功能性、仅具有安全通信从属功能性或者具有这两者。
Claims (9)
1.一种用于控制安全关键和非安全关键的过程和/或设备组件的控制***(100、101),包括:
-至少一个第一控制单元(1),所述至少一个第一控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件,
-至少一个安全控制单元(2),所述至少一个安全控制单元(2)用于控制安全关键的过程和/或安全关键的设备组件,
-至少一个输入/输出单元(11、21),所述至少一个输入/输出单元(11、21)经由内部输入/输出总线(B2)与所述第一控制单元(1)连接,
其中,所述控制***(100、101)被设计成在经由现场总线(FB)连接的具有同样控制***(100、101)的联合体中同时充当通信主导装置和充当通信从属装置,并且为此包括主导通信耦合器(5)和从属通信耦合器(6),
并且其中,所述控制***是可模块化配置的,
并且其中,至少所述安全控制单元(2)具有相应的具有主导功能性的子单元(2a)和具有从属功能性的子单元(2b),
其中,所述第一控制单元(1)还具有相应的具有主导功能性的子单元(1a)和具有从属功能性的子单元(1b),所述第一控制单元(1)被设计用于控制非安全关键的过程和/或非安全关键的设备组件。
2.根据权利要求1所述的控制***,其中,相应的子单元以程序逻辑方式实现,所述程序逻辑在非易失性存储器中被提供。
3.根据权利要求1-2中的任一项所述的控制***,其中,所述安全控制单元(2)经由内部耦合器总线(B1)与所述第一控制单元(1)进行通信,并且其中,所述第一控制单元(1)被设计成将数据从所述安全控制单元(2)经由所述内部耦合器总线(B1)传送到所述主导通信耦合器(5)。
4.根据权利要求1-2中的任一项所述的控制***,作为不仅包括面向安全的输入/输出单元(21、72、82)还包括非面向安全的输入/输出单元(11、71、81)的输入/输出单元,其中,所述非面向安全的输入/输出单元(11、71、81)受所述第一控制单元(1)控制,并且所述面向安全的输入/输出单元(21、72、82)受所述安全控制单元(2)控制。
5.根据权利要求4所述的控制***,其中,设置所述主导通信耦合器(5),以用于将面向安全的电报从分散的输入/输出单元传递并且传递到所述分散的输入/输出单元,和/或在使用黑信道通信原理的情况下传递到远程站。
6.根据权利要求5所述的控制***,其中,将所述面向安全的电报经由现场总线从属装置(7、8)引导到所述分散的输入/输出单元。
7.根据权利要求3所述的控制***,其中:
-所述安全控制单元(2)具有用于提供面向安全功能的至少两个处理器(22a、22b)和第一双端口RAM(DPR1),其中所述两个处理器(22a、22b)中的仅一个处理器与所述第一双端口RAM(DPR1)连接,以及
-所述安全控制单元(2)经由所述第一双端口RAM(DPR1)和所述内部耦合器总线(B1)与所述第一控制单元(1)进行通信,并且所述第一控制单元(1)将所述数据从所述安全控制单元(2)经由所述内部耦合器总线(B1)和集成在所述主导通信耦合器(5)中的另一个双端口RAM(DPR2),传递到所述主导通信耦合器(5),
并且其中,所述双端口RAM(DPR1、DPR2)是具有预定义的标准接口。
8.根据权利要求7所述的控制***,其特征在于,所述安全控制单元(2)的所述处理器(22a、22b)这样实施,使得它们相互监测和同步。
9.一种根据前述权利要求中的一项所述的控制***(100、101)的应用,用作为:
-控制***,所述控制***在自动化***中具有主导功能性,所述自动化***具有至少一个另一个控制***,所述至少一个另一个控制***具有根据前述权利要求中的任一项所述的从属功能性,或者
-作为如上所述的自动化***中的分散的处理设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017109886.0A DE102017109886A1 (de) | 2017-05-09 | 2017-05-09 | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität |
| DE102017109886.0 | 2017-05-09 | ||
| PCT/EP2018/056488 WO2018206183A1 (de) | 2017-05-09 | 2018-03-15 | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110799912A CN110799912A (zh) | 2020-02-14 |
| CN110799912B true CN110799912B (zh) | 2023-04-28 |
Family
ID=61683796
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880030769.4A Active CN110799912B (zh) | 2017-05-09 | 2018-03-15 | 安全关键和非安全关键的过程的控制*** |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11487265B2 (zh) |
| EP (1) | EP3622357B1 (zh) |
| CN (1) | CN110799912B (zh) |
| DE (1) | DE102017109886A1 (zh) |
| WO (1) | WO2018206183A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017109886A1 (de) | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität |
| DE102018120347A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| EP3644145A1 (en) * | 2018-10-25 | 2020-04-29 | ABB Schweiz AG | Control system for controlling safety-critical and non-safety-critical processes |
| DE102019125867B4 (de) * | 2019-09-25 | 2022-05-05 | Keba Industrial Automation Germany Gmbh | Programmierbarer elektronischer Leistungssteller |
| CN114024794B (zh) * | 2020-07-15 | 2023-01-10 | 辽宁邮电规划设计院有限公司 | 电力总线通信的安全与非安全数据传输、隔离方法与装置 |
| DE102021106820A1 (de) | 2021-03-19 | 2022-09-22 | Krohne S.A.S. | System mit einem Feldgerät und einem Steuergerät und Verfahren zum Betreiben eines solchen Systems |
| DE102022120198A1 (de) * | 2022-08-10 | 2024-02-15 | Pilz Gmbh & Co. Kg | Modulare Steuerungseinrichtung |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19928517C2 (de) | 1999-06-22 | 2001-09-06 | Pilz Gmbh & Co | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| DE19939567B4 (de) * | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
| JP3748078B2 (ja) * | 2001-06-22 | 2006-02-22 | オムロン株式会社 | 安全ネットワークシステム及び安全スレーブ |
| DE10325263B4 (de) * | 2003-06-03 | 2013-09-19 | Phoenix Contact Gmbh & Co. Kg | Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen |
| DE10353950C5 (de) * | 2003-11-18 | 2013-10-24 | Phoenix Contact Gmbh & Co. Kg | Steuerungssystem |
| DE102004034862A1 (de) * | 2004-07-19 | 2006-03-16 | Siemens Ag | Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe |
| DE102004056363B4 (de) | 2004-11-22 | 2018-10-04 | Abb Ag | Flexibles erweiterbares Automatisierungsgerät |
| DE102005009795A1 (de) | 2005-03-03 | 2006-09-14 | Wago Verwaltungsgesellschaft Mbh | Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen |
| DE102009042368B4 (de) * | 2009-09-23 | 2023-08-17 | Phoenix Contact Gmbh & Co. Kg | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| DE102009054157C5 (de) * | 2009-11-23 | 2014-10-23 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
| DE102009054155A1 (de) * | 2009-11-23 | 2011-05-26 | Abb Ag | Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät |
| ES2593831T3 (es) * | 2013-02-13 | 2016-12-13 | Phoenix Contact Gmbh & Co. Kg | Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo |
| DE102013112816A1 (de) * | 2013-11-20 | 2015-05-21 | Wieland Electric Gmbh | Sicherheitssteuerung |
| DE102017109886A1 (de) | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität |
-
2017
- 2017-05-09 DE DE102017109886.0A patent/DE102017109886A1/de not_active Withdrawn
-
2018
- 2018-03-15 CN CN201880030769.4A patent/CN110799912B/zh active Active
- 2018-03-15 WO PCT/EP2018/056488 patent/WO2018206183A1/de unknown
- 2018-03-15 EP EP18711549.8A patent/EP3622357B1/de active Active
-
2019
- 2019-11-08 US US16/677,791 patent/US11487265B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20200073355A1 (en) | 2020-03-05 |
| EP3622357A1 (de) | 2020-03-18 |
| DE102017109886A1 (de) | 2018-11-15 |
| EP3622357B1 (de) | 2021-10-13 |
| US11487265B2 (en) | 2022-11-01 |
| WO2018206183A1 (de) | 2018-11-15 |
| CN110799912A (zh) | 2020-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110799912B (zh) | 安全关键和非安全关键的过程的控制*** | |
| US9244454B2 (en) | Control system for controlling safety-critical and non-safety-critical processes | |
| US9104190B2 (en) | Safety module for an automation device | |
| US7783814B2 (en) | Safety module and automation system | |
| JP4480311B2 (ja) | プロセス制御システム | |
| US7269465B2 (en) | Control system for controlling safety-critical processes | |
| JP2021119496A (ja) | フィールドデバイスをプロセス制御システムのコントローラに通信的に連結する装置、コンピュータが読出し可能な媒体、及び装置 | |
| RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
| US20130007319A1 (en) | Method and system for implementing redundant network interface modules in a distributed i/o system | |
| US10089271B2 (en) | Field bus system | |
| JP4542733B2 (ja) | フィールドバスに接続されたステーションのコンフィギュレーション実施方法およびステーション | |
| US8549136B2 (en) | System for operating at least one non-safety-critical and at least one safety-critical process | |
| EP3629114B1 (en) | High availability industrial automation system having primary and secondary industrial automation controllers and method of communicating information over the same | |
| CN110099402B (zh) | 具有额外主控器的无线io链路通信网络和所述无线io链路通信网络的操作方法 | |
| CN110320829B (zh) | 安全控制***以及安全控制单元 | |
| RU2510932C2 (ru) | Система автоматизации и способ управления системой автоматизации | |
| US20180373213A1 (en) | Fieldbus coupler and system method for configuring a failsafe module | |
| US8321040B2 (en) | Method for operating a safety control and automation network having such a safety control | |
| CN111103824A (zh) | 用于控制安全关键和非安全关键过程的控制*** | |
| KR100724495B1 (ko) | 피엘씨 이중화 시스템 및 운전 방법 | |
| US9241043B2 (en) | Method of connecting a hardware module to a fieldbus | |
| CN219496953U (zh) | 冗余可编程逻辑控制器*** | |
| US20230244201A1 (en) | Technology for processing and exchanging field signals | |
| Blanco et al. | Exploiting the can bus as a potential interface for future aerospace vehicles based on a modular, intelligent, and autonomous architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |