EP1853979A1 - Machine controller featuring a security function - Google Patents

Machine controller featuring a security function

Info

Publication number
EP1853979A1
EP1853979A1 EP06707010A EP06707010A EP1853979A1 EP 1853979 A1 EP1853979 A1 EP 1853979A1 EP 06707010 A EP06707010 A EP 06707010A EP 06707010 A EP06707010 A EP 06707010A EP 1853979 A1 EP1853979 A1 EP 1853979A1
Authority
EP
European Patent Office
Prior art keywords
standard
safety
controller
bus
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP06707010A
Other languages
German (de)
French (fr)
Inventor
Thomas Staab
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bosch Rexroth AG
Original Assignee
Bosch Rexroth AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bosch Rexroth AG filed Critical Bosch Rexroth AG
Publication of EP1853979A1 publication Critical patent/EP1853979A1/en
Ceased legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B23MACHINE TOOLS; METAL-WORKING NOT OTHERWISE PROVIDED FOR
    • B23QDETAILS, COMPONENTS, OR ACCESSORIES FOR MACHINE TOOLS, e.g. ARRANGEMENTS FOR COPYING OR CONTROLLING; MACHINE TOOLS IN GENERAL CHARACTERISED BY THE CONSTRUCTION OF PARTICULAR DETAILS OR COMPONENTS; COMBINATIONS OR ASSOCIATIONS OF METAL-WORKING MACHINES, NOT DIRECTED TO A PARTICULAR RESULT
    • B23Q35/00Control systems or devices for copying directly from a pattern or a master model; Devices for use in copying manually
    • B23Q35/04Control systems or devices for copying directly from a pattern or a master model; Devices for use in copying manually using a feeler or the like travelling along the outline of the pattern, model or drawing; Feelers, patterns, or models therefor
    • B23Q35/08Means for transforming movement of the feeler or the like into feed movement of tool or work
    • B23Q35/12Means for transforming movement of the feeler or the like into feed movement of tool or work involving electrical means
    • B23Q35/127Means for transforming movement of the feeler or the like into feed movement of tool or work involving electrical means using non-mechanical sensing
    • B23Q35/128Sensing by using optical means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36248Generate automatically machining, stitching points from scanned contour
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/37Measurements
    • G05B2219/37379Profile, diameter along workpiece
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/45Nc applications
    • G05B2219/45044Cutting

Definitions

  • the invention relates to a programmable control for machine and / or plant automation with a standard controller with standard control functions and a .
  • Safety control based on a personal computer (PC) with a PC CPU and a PC bus, the PC being operated with a standard operating system and the standard functions being provided on the PC or a standard PC plug-in module. Control are realized.
  • PC personal computer
  • the invention further relates to a method for operating such a programmable controller.
  • Control systems based on automation and drive bus systems are today used in large numbers, in particular in automated manufacturing processes.
  • manufacturing machines are controlled by means of one or more mostly programmable controllers via the bus systems.
  • data can be passed from the production devices to the controller, for example via the respective process and machine parameters, via the bus systems.
  • control system is subject to increased requirements regarding fault and failure safety.
  • Design guidelines for such control systems are laid down in standards such as EN 954 and EN 61508.
  • desired Safety category or the desired safety integrity level Measures such as dual-channel redundant design, cyclical diagnosis in operation with sufficient coverage or sufficiently low error and probability of failure prescribed.
  • Safety controllers approved today are therefore more likely to be assigned to the single control area. Due to their safety overhead, they are not economically viable for standard tasks and are less suitable for demanding automation tasks because of their simplicity. Their use is therefore generally limited to safety applications.
  • DE 199 27 635 discloses an automation system which has at least one bus system, I / O bus users connected thereto and a standard control device and at least one safety analyzer, wherein the safety analyzer overhears the data flow via the bus system and is designed to execute at least safety-related functions.
  • the standard control device controls at least one safety-related output and the The safety analyzer is set up to check and / or process safety-related data in the bus data stream.
  • Process control is performed with the processing of process-bound I / O data and a safety-related control with the processing of safety-related data and further processing of safety-related data is performed on at least one safety analyzer, wherein in the safety analyzer safety-related data, in particular safety-related link data in
  • the system allows the implementation of standard functions based on a PC solution.
  • the separation between standard function and safety function occurs at fieldbus level.
  • the object of the invention relating to the device of the programmable controller is achieved in that the safety controller consists of one or more with the PC- Bus-related security modules exists and that security-certified firmware is provided in the security modules.
  • the control according to the invention thus offers a separation between the non-safety-related ⁇ standard function and the safety function through modular division within the control unit.
  • the standard function is subject to this division no safety-related restrictions and can be correspondingly complex, for example, based on a standard PC processor and a standard operating system, realized.
  • the tasks of the security modules are limited to the. safety applications of the system and are designed and certified for its requirements. They are designed in such a way that, in the event of a fault, they can autonomously achieve the attainment of a secure state on their own.
  • the safety-related units can monitor each other and thus ensure the achievement of a secure state for the entire system.
  • Standard functions and safety-related functions can thus be integrated on a PC-based hardware platform.
  • the programmable controller is designed as a feedback-free combination of standard control functions and at least one safety module.
  • the freedom from retroactivity must be proven during certification. It prevents malfunctioning of the standard controller from affecting the safety features of the safety controller. If the freedom from feedback is guaranteed, PC-based solutions or even software control on a standard PC are possible for standard functions.
  • the at least one security module is designed as a PC plug-in module with at least one interface to a PC bus.
  • the plug-in module can be adapted directly to the PC-PCI bus or it can be connected via a separate PCI Interface to be connected to the standard controller.
  • the infrastructure of the PC such as the power supply, can be used.
  • the standard control functions are implemented in a running in the PC-CPU under control of the PC operating system software and the security module has an interface to the PC bus.
  • the connection between the standard controller and the safety module is made via the PC-PCI bus. It thus existing units of the PC are used as PC-CPU 3 PC operating system and PC-PCI bus and ' no additional components are needed for the realization of the standard control functions.
  • the standard control functions are implemented in a PC plug-in module and this PC plug-in module has an interface 'for connection to the safety controller.
  • the PC serves as the controller of the functional unit control (safety and standard control) and provides the infrastructure (power supply unit, operating and display function, etc.) required to operate this control.
  • the programming and configuration software can be available as an application on the PC.
  • the control function itself, represented by the application program, runs independently of the PC and its operating system on the PC plug-in module, under the control of a runtime system and a separate real-time operating system.
  • a particularly variable architecture of the programmable controller with regard to the usable interfaces provides that the communication interfaces of the programmable controller are part of the.
  • PC plug-in modules of the standard controller are and / or designed as additional interface modules in the form of plug-in cards.
  • control of plant parts or manufacturing equipment and machines is made possible by one or more decentralized digital and / or analog outputs via an automation bus and / or designed for the drive communication Drive bus within the programmable controller can be controlled.
  • the programmable controller is connected via the automation bus and / or the drive bus to drives which can be controlled via the respective bus, a large number of commercially available drives can be connected to the programmable controller.
  • Simplified programming of the standard and safety functions can be achieved by providing a standard engineering and programming interface for programming standard functions and safety functions.
  • the programmer will combine the engineering and programming software for the standard and for the safety functions before and does not have different systems as a consistent unified user interface for '.
  • the object relating to the method is achieved by the fact that security functions are executed exclusively in security modules. This ensures that a clear separation of safety-related functions and standard functions is possible, which allows separate certification of the safety-relevant modules.
  • the standard controller realizes a master function for the data transmission via the PC bus when implementing the standard control functions in the PC CPU as well as in the form of a PC plug-in module, it can be achieved that the standard controller is the safety-relevant one as well as non-security-relevant data can be distributed to the respectively associated interfaces.
  • the security module at least temporarily performs the master function for the security-related data transmission via the PC bus, it is possible to achieve that the security module connected to the PC bus of the PC plug-in module It is preferable to handle high-priority data without interfering with the traffic on the PC-PCI bus.
  • safety controller can access interfaces and / or the standard controller directly, safety-relevant processes can be triggered without the standard controller initiating a data transfer.
  • FIG. 1 shows a schematic representation of the basic system architecture
  • FIG. 2 shows an embodiment with a security module on the PC-PCI bus
  • FIG. 3 shows an embodiment with the security module on the bus of a standard controller in the form of a PC plug-in module.
  • FIG. 1 shows an overview of the system architecture of a safety controller with a function module for safety functions.
  • the programmable controller 1 consists of a personal computer (PC) 10 and with it via an automation bus 40, a drive bus 50 and other non-secure communication links 60 connected external devices.
  • the PC 10 is constructed of a standard controller 20 and a safety controller 30 connected thereto via a PC bus 12.
  • the standard controller 20 is loaded via a programming 70 with programs for the operating system, standard functions and also security functions. Over all system levels, a mixed operation of safe and non-safe control functions and components is provided.
  • the automation bus 40 connects the standard controller 20 to a decentralized standard input / output (I / O) 41, a decentralized safety input / output (I / O) 42 and one or more drives 43, each consisting of a drive controller 44 and an integrated safety function 45 are constructed.
  • the safety function 45 autonomously ensures that a safe state is reached in the event of an error.
  • the distributed standard I / O 41 and the distributed safety I / O 42 can process digital and analog signals.
  • the data transmission between the safety controller 30 and the decentralized safety I / O 42 takes place via the transmission paths used also for the non-secure communication, but is additionally secured by the error models known from the standards and the literature.
  • checksums For this purpose, methods such as the formation of checksums, numbering, time monitoring and redundancy can be used. These procedures are used to create data packets that are transported intact via the standard components and standard channels ("gray channels"), and only in the respective communication end users who check the data packets for safety integrity.
  • further drives 51 are connected via the drive bus 50 to the standard controller 20. Like the drives 43, they have drive controllers 52 and integrated safety functions 53, which autonomously ensure the achievement of a safe condition in the event of a fault.
  • the non-secure functional units execute the standard functions.
  • the safety-related functional units are designed so that the standard functions have no direct influence on the safety functions.
  • the non-secure functional units are therefore not subject to safety-related restrictions. In the development of hardware and software therefore no need security-specific rules are applied. In particular. As a result, changes to these functional units have no effect on the safety functions.
  • Each of the safety - related functional units has the required safety category (Cat. 3 or Cat. 4 according to EN 954-1) or the safety class
  • To program 70 of the programmable controller 1 is an engineering suite can be provided • includes the programming and parameterization of safety-related functional units.
  • the tools provided for this purpose are certified in accordance with the desired security categories or security integrity levels.
  • the advantage here is that the user can use a consistent programming interface for standard and safety functions.
  • FIG. 2 shows an embodiment of the PC 10 in which the standard controller 20 acts on the PC bus 12 either as a PC CPU 11 or as a PC plug-in module 21 with an interface 22.
  • the standard controller may be implemented as pure software when using the PC-CPU 11.
  • the safety controller 30 is connected directly to the PC bus 12 in the form of one or more security modules 31, 32.
  • the PC bus 12 can be designed as a standard PCI bus. Interface modules 23 are acted upon by the PC-CPU 11 via the PC bus 12 with data and queried.
  • the PC 10 provides the infrastructure of power supply, control and display function and also interface modules 23 for both the standard controller 20 and the security controller 30 available.
  • FIG. 3 shows an embodiment in which, in addition to the safety controller 30 directly connected to the PC bus 12 shown in FIG.
  • another safety controller 30 is connected to a PC bus 13 of the standard controller 20 embodied as a functional module is.
  • the security of the data transmission is maintained during the data transmission between the safety controller 30 arranged on the PC bus 13 and the decentralized safety I / O 42 and / or the drives 43, 51 not shown here.
  • the master functionality for data transfer over the PC bus 12 is perceived by the standard controller 20. It initiates and monitors the data transfer and distributes the data to the interfaces 23. For data transfer via the PC bus .
  • the standard controller 20 embodied as a PC plug-in module 21
  • the standard controller 20 generally also assumes the master functionality.
  • PC bus 13 is temporarily or permanently assigned to the safety controller 30, the master functionality and can access the interfaces 23 and the standard controller 20 directly. Furthermore, it is conceivable that in this embodiment, the safety controller

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Programmable Controllers (AREA)

Abstract

The invention relates to a programmable controller for automating machines and/or installations by means of a standard controller featuring standard control functions and a security controller with security functions based on a personal computer (PC) that is equipped with a PC CPU and a PC bus and is operated using a standard operating system, the standard functions being implemented on the PC or a PC insertion module for the standard controller. If the security controller is composed of one or several security modules that are connected to the PC bus and if a security-certified firmware is provided in the security modules, the controller makes it possible to distinguish between the standard function that is not security-oriented and the security function by means of a modular separation within the control device. The standard function is subject to no security-related restrictions during said separation and can be implemented in a correspondingly complex manner, e.g. based on a standard PC processor and a standard operating system.

Description

Maschinensteuerung mit Sicherheitsfunktion Machine control with safety function
Stand der TechnikState of the art
Die Erfindung betrifft eine programmierbare Steuerung zur Maschinen- und/oder Anlagenautomatisierung mit einer Standard-Steuerung mit Standard-Steuerungsfunktionen und einer . Sicherheits-Steuerung mit Sicherheitsfunktionen auf Basis eines Personal- Computers (PC) mit einer PC-CPU und einem PC-Bus wobei der PC mit einem Standard- Betriebssystem betrieben wird und wobei die Standardfunktionen auf dem PC oder einem PC- Einschubmodul für die Standard-Steuerung realisiert sind.The invention relates to a programmable control for machine and / or plant automation with a standard controller with standard control functions and a . Safety control based on a personal computer (PC) with a PC CPU and a PC bus, the PC being operated with a standard operating system and the standard functions being provided on the PC or a standard PC plug-in module. Control are realized.
Die Erfindung betrifft weiterhin ein Verfahren zum Betrieb einer solchen programmierbaren Steuerung.The invention further relates to a method for operating such a programmable controller.
Steuerungssysteme auf Basis von Automatisierungs- und Antriebsbussystemen werden heute in großer Zahl insbesondere in automatisierten Fertigungsprozessen eingesetzt. Dabei werden beispielsweise Fertigungsmaschinen mit Hilfe einer oder mehrerer zumeist programmierbarer Steuerungen über die Bussysteme gesteuert. Als Rückmeldung können von den Fertigungseinrichtungen Daten beispielsweise über die jeweiligen Prozess- und Maschinenparameter über die Bussysteme an die Steuerung geleitet werden.Control systems based on automation and drive bus systems are today used in large numbers, in particular in automated manufacturing processes. For example, manufacturing machines are controlled by means of one or more mostly programmable controllers via the bus systems. As feedback, data can be passed from the production devices to the controller, for example via the respective process and machine parameters, via the bus systems.
Werden sicherheitskritische Anlagenteile angesteuert, so werden an das Steuerungssystem erhöhte Anforderungen bezüglich der Fehler- und Ausfallsicherheit gestellt. Gestaltungsrichtlinien für solche Steuerungssysteme sind in den Normen wie EN 954 und EN 61508 festgelegt. Dabei werden für die Steuerung entsprechend der angestrebten Sicherheitskategorie beziehungsweise des angestrebten , Sicherheitsintegritätslevels Maßnahmen wie beispielsweise zweikanalig redundanter Aufbau, zyklische Diagnose im Betrieb mit ausreichendem Deckungsgrad oder genügend geringe Fehler-, und Ausfallwahrscheinlichkeit vorgeschrieben. .If safety-critical system components are controlled, the control system is subject to increased requirements regarding fault and failure safety. Design guidelines for such control systems are laid down in standards such as EN 954 and EN 61508. Here are for the control according to the desired Safety category or the desired safety integrity level Measures such as dual-channel redundant design, cyclical diagnosis in operation with sufficient coverage or sufficiently low error and probability of failure prescribed. ,
Die Eignung und Zulassung einer Steuerung zur Durchfuhrung sicherheitsrelevanter Steuerungsaufgaben wird durch eine entsprechende Zertifizierung bestätigt. Dabei steigt der Zertifizierungsaufwänd mit zunehmender Komplexität der Steuerung. Steuerungen auf Basis einer Standard-PC-Hardware (z.B. Pentium-Prozessor) mit einem Standard-Betriebssystem (z.B. Windows) werden heute aufgrund ihrer Komplexität für Sicherheitssteuerungen als nicht zertifϊzierbar angesehen.The suitability and approval of a control system for carrying out safety-relevant control tasks is confirmed by a corresponding certification. In doing so, the certification effort increases with increasing complexity of the control. Controls based on standard PC hardware (e.g., Pentium processor) with a standard operating system (e.g., Windows) are now considered non-certifiable due to their complexity for security controls.
Heute zugelassene Sicherheitssteuerungen sind daher eher dem Einfach-Steuerungsbereich zuzuordnen. Sie sind aufgrund ihres sicherheitstechnischen Overheads für Standardaufgaben nicht wirtschaftlich einsetzbar und wegen ihrer Einfachheit für anspruchsvolle Automatisierungsaufgaben weniger geeignet. Ihr Einsatz ist daher im Allgemeinen auf sicherheitstechnische Anwendungen beschränkt.Safety controllers approved today are therefore more likely to be assigned to the single control area. Due to their safety overhead, they are not economically viable for standard tasks and are less suitable for demanding automation tasks because of their simplicity. Their use is therefore generally limited to safety applications.
Zur Durchführung anspruchsvoller Automatisierungsaufgaben findet heute eine Trennung einer beliebig komplexen Standardsteuerung und einer den genannten Restriktionen unterliegenden sicherheitsgerichteten Steuerung statt. Diese Trennung erfolgt in den bekannten Automatisierungsstrukturen im Allgemeinen auf der System- oder Anlagenebene. Nachteilig bei einer solchen Trennung ist der Einsatz unterschiedlicher Steuerungsgeräte mit separater Projektierung, Installation und Programmierung, letztere in der Regel mit unterschiedlichen Programmierwerkzeugen.To carry out demanding automation tasks, a separation of an arbitrarily complex standard control and a safety-related control subject to the mentioned restrictions takes place today. This separation takes place in the known automation structures generally at the system or plant level. The disadvantage of such a separation is the use of different control devices with separate configuration, installation and programming, the latter usually with different programming tools.
Aus der DE 199 27 635 ist ein Automatisierungssystem bekannt, welches zumindest ein Bussystem, daran angeschlossene E/A-Busteilnehmer und eine Standardsteuerungseinrichtung sowie wenigstens einen Sicherheitsanalysator aufweist, wobei der Sicherheitsanalysator den Datenfluss über das Bussystem mithört und zum Ausführen zumindest sicherheitsbezogener Funktionen ausgebildet ist. Dabei steuert die Standardsteuerungseinrichtung zumindest einen sicherheitsbezogenen Ausgang und der Sicherheitsanalysator ist zum Überprüfen und/oder Verarbeiten von sicherheitsbezogenen Daten im Busdatenstrom eingerichtet.DE 199 27 635 discloses an automation system which has at least one bus system, I / O bus users connected thereto and a standard control device and at least one safety analyzer, wherein the safety analyzer overhears the data flow via the bus system and is designed to execute at least safety-related functions. The standard control device controls at least one safety-related output and the The safety analyzer is set up to check and / or process safety-related data in the bus data stream.
Aus der genannten Schrift ist weiterhin ein Verfahren zum Betrieb eines Automatisierungssystems bekannt, bei welchem durch die Standardsteuerungseinrichtung dieFrom the cited document, a method for operating an automation system is further known, in which by the standard control device the
Prozesssteuerung mit der Verarbeitung von prozessgebundenen E/A-Daten und eine sicherheitsbezogene Steuerung mit der Verarbeitung von sicherheitsbezogenen Daten durchgeführt wird und weiterhin eine Verarbeitung sicherheitsbezogener Daten auf zumindest einem Sicherheitsanalysator durchgeführt wird, wobei im Sicherheitsanalysator sicherheitsbezogene Daten, insbesondere sicherheitsbezogene Verknüpfungsdaten imProcess control is performed with the processing of process-bound I / O data and a safety-related control with the processing of safety-related data and further processing of safety-related data is performed on at least one safety analyzer, wherein in the safety analyzer safety-related data, in particular safety-related link data in
Busdatenstrom verarbeitet werden. ■»Bus data stream to be processed. ■ "
Dabei erlaubt das System die Realisierung der Standardfunktionen auf Basis einer PC- Lösung. Die Trennung zwischen Standardfunktion und Sicherheitsfunktion erfolgt auf Feldbusebene.The system allows the implementation of standard functions based on a PC solution. The separation between standard function and safety function occurs at fieldbus level.
Nachteilig bei diesem Automatisierungssystem ist, dass es den Einsatz eines bestimmten Feldbusses voraussetzt. Die Sicherheitsfunktionen beziehen sich lediglich auf Teilnehmer dieses Feldbusses. Nachteilig ist weiterhin, dass das System zusätzliche Komponenten in Form der Sicherheitsanalysatoren an dem Feldbus benötigt, die separat mit einem Sicherheitsprogramm programmiert werden müssen.The disadvantage of this automation system is that it requires the use of a specific fieldbus. The safety functions relate only to subscribers of this fieldbus. A further disadvantage is that the system requires additional components in the form of safety analyzers on the fieldbus, which must be programmed separately with a safety program.
Es ist Aufgabe der Erfindung, eine programmierbare Steuerung der Eingangs erwähnten Art zu schaffen, welche wirtschaftlich einsetzbar sowohl die Standardfunktionen als auch die Sicherheitsfunktionen wahrnimmt.It is an object of the invention to provide a programmable control of the type mentioned input, which perceives both the standard functions as well as the security functions economically applicable.
Es ist weiterhin Aufgabe der Erfindung, dafür ein Verfahren bereitzustellen.It is a further object of the invention to provide a method therefor.
Vorteile der ErfindungAdvantages of the invention
Die die Vorrichtung der programmierbaren Steuerung betreffende Aufgabe der Erfindung wird dadurch gelöst, dass die Sicherheits-Steuerung aus einem oder mehreren mit dem PC- Bus verbundenen Sicherheits-Modulen besteht und dass in den Sicherheits-Modulen eine sicherheitszertifizierte Firmware vorgesehen ist.The object of the invention relating to the device of the programmable controller is achieved in that the safety controller consists of one or more with the PC- Bus-related security modules exists and that security-certified firmware is provided in the security modules.
Die erfindungsgemäße Steuerung bietet so eine Trennung zwischen der nicht sicherheitsgerichteten Standardfunktion und der Sicherheitsfunktion durch modulare Aufteilung innerhalb des Steuergerätes. Die Standardfunktion unterliegt bei dieser Aufteilung keinen sicherheitstechnisch begründeten Restriktionen und kann entsprechend komplex, zum Beispiel auf Basis eines Standard-PC-Prozessors und eines Standard-Betriebssystems, realisiert sein. Die Aufgaben der Sicherheits-Module beschränken sich auf die . sicherheitstechnischen Anwendungen des Systems und sind für dessen Anforderungen ausgelegt und zertifiziert. Sie sind dabei so ausgelegt, dass sie im Fehlerfall autark für sich alleine das Erreichen- eines gesicherten Zustandes erreichen. Die sicherheitsgerichteten Einheiten können sich gegenseitig überwachen und gewährleisten so für das Gesamtsystem das Erreichen eines gesicherten Zustandes.The control according to the invention thus offers a separation between the non-safety-related standard function and the safety function through modular division within the control unit. The standard function is subject to this division no safety-related restrictions and can be correspondingly complex, for example, based on a standard PC processor and a standard operating system, realized. The tasks of the security modules are limited to the. safety applications of the system and are designed and certified for its requirements. They are designed in such a way that, in the event of a fault, they can autonomously achieve the attainment of a secure state on their own. The safety-related units can monitor each other and thus ensure the achievement of a secure state for the entire system.
Standard-Funktionen und sicherheitsbezogene Funktionen können so auf einer PC- basierenden Hardware-Plattform integriert werden.Standard functions and safety-related functions can thus be integrated on a PC-based hardware platform.
Eine wesentliche Voraussetzung zur Zertifizierung der Steuerung ist, dass die programmierbare Steuerung als rückwirkungsfreie Kombination aus Standard- Steuerungsfunktionen und mindestens einem Sicherheits-Modul ausgeführt ist. Die Rückwirkungsfreiheit ist dabei bei der Zertifizierung nachzuweisen. Sie verhindert, dass sich Fehlfunktionen der Standardsteuerung auf die sicherheitstechnischen Merkmale der Sicherheitssteuerung auswirken. Ist die Rückwirkungsfreiheit gewährleistet, sind für die Standardfunktioή PC-basierte Lösungen bis hin zur reinen Softwaresteuerung auf einem Standard-PC möglich.An essential prerequisite for the certification of the controller is that the programmable controller is designed as a feedback-free combination of standard control functions and at least one safety module. The freedom from retroactivity must be proven during certification. It prevents malfunctioning of the standard controller from affecting the safety features of the safety controller. If the freedom from feedback is guaranteed, PC-based solutions or even software control on a standard PC are possible for standard functions.
Eine einfache und variable Integration des Sicherheits-Mpduls in die PC-Hardware lässt sich dadurch erreichen, dass das zumindest eine Sicherheits-Modul als PC-Einsteckmodul mit zumindest einer Schnittstelle zu einem PC-Bus ausgeführt ist. Dabei kann das Einsteckmodul unmittelbar an den PC-PCI-Bus adaptiert werden oder es kann über eine gesonderte PCI- Schnittstelle mit der Standard-Steuerung verbunden werden. Die Infrastruktur des PC's, wie beispielsweise die Spannungsversorgung, kann genutzt werden.A simple and variable integration of the security Mpduls in the PC hardware can be achieved in that the at least one security module is designed as a PC plug-in module with at least one interface to a PC bus. The plug-in module can be adapted directly to the PC-PCI bus or it can be connected via a separate PCI Interface to be connected to the standard controller. The infrastructure of the PC, such as the power supply, can be used.
In einer bevorzugten Ausgestaltung der Erfindung sind die Standard-Steuerungsfunktionen in einer in der PC-CPU unter Kontrolle des PC-Betriebssystems laufenden Software realisiert und das Sicherheits-Modul weist eine Schnittstelle zum PC-Bus auf. Die Verbindung zwischen Standard-Steuerung und Sicherheits-Modul erfolgt dabei über den PC-PCI-Bus. Es werden so bestehende Einheiten des PC's wie PC-CPU3 PC-Betriebssystem und PC-PCI-Bus genutzt und es werden für die Realisierung der Standard-Steuerungsfunktionen' keine zusätzlichen Komponenten benötigt. Vorteilhaft kann die Programmier- undIn a preferred embodiment of the invention, the standard control functions are implemented in a running in the PC-CPU under control of the PC operating system software and the security module has an interface to the PC bus. The connection between the standard controller and the safety module is made via the PC-PCI bus. It thus existing units of the PC are used as PC-CPU 3 PC operating system and PC-PCI bus and ' no additional components are needed for the realization of the standard control functions. Advantageously, the programming and
Projektierungssoftware als Anwendung auf dem PC vorliegen.Configuration software available as an application on the PC.
In einer weiteren Ausgestaltung der Erfindung sind die Standard-Steuerungsfunktionen in einem PC-Einschubmodul realisiert und dieses PC-Einschubmodül weist eine Schnittstelle' zur Verbindung mit der Sicherheitssteuerung auf. Bei diesem Aufbau dient der PC als Träger der Funktionseinheit Steuerung (Sicherheits- und Standard-Steuerung) und stellt die zum Betrieb dieser Steuerung erforderliche Infrastruktur (Netzteil, Bedien- und Anzeigefunktion usw.) zur Verfügung. Auch hier kann die Programmier- und Projektierungssoftware als Anwendung auf dem PC vorliegen. Die Steuerungsfunktion selbst, repräsentiert durch das Anwendeφrogramm, läuft unabhängig vom PC und dessen Betriebssystem auf dem PC- Einschubmodul ab, unter Kontrolle eines Laufzeitsystems und eines separaten Echtzeit- Betriebssystems.In a further embodiment of the invention, the standard control functions are implemented in a PC plug-in module and this PC plug-in module has an interface 'for connection to the safety controller. In this setup, the PC serves as the controller of the functional unit control (safety and standard control) and provides the infrastructure (power supply unit, operating and display function, etc.) required to operate this control. Here, too, the programming and configuration software can be available as an application on the PC. The control function itself, represented by the application program, runs independently of the PC and its operating system on the PC plug-in module, under the control of a runtime system and a separate real-time operating system.
Eine besonders variable Architektur der programmierbaren Steuerung hinsichtlich der verwendbaren Schnittstellen sieht vor, dass Kommunikationsschnittstellen der programmierbaren Steuerung Bestandteil des . PC-Einschubmoduls der Standard-Steuerung sind und/oder als zusätzliche Schnittstellenmodule in Form von Einschubkarten ausgeführt sind.A particularly variable architecture of the programmable controller with regard to the usable interfaces provides that the communication interfaces of the programmable controller are part of the. PC plug-in modules of the standard controller are and / or designed as additional interface modules in the form of plug-in cards.
Die Steuerung von Anlagenteilen oder Fertigungseinrichtungen und -maschinen wird dadurch ermöglicht, dass ein oder mehrere dezentral angeordnete digitale und/oder analoge Ausgänge über einen Automatisierungsbus und/oder einen für die Antriebskommunikation ausgelegten Antriebsbus innerhalb der programmierbaren Steuerung ansteuerbar sind. Dabei erfolgt über diese Schnittstellen sowohl der Datentransfer von der Steuerung zu den angeschlossenen Anlageteilen wie auch der rückläufige Datentransfer von den Anlägeteilen zu der Steuerung, beispielsweise mit Informationen zu Prozessabweichungen zu den vorgegebenen Werten.The control of plant parts or manufacturing equipment and machines is made possible by one or more decentralized digital and / or analog outputs via an automation bus and / or designed for the drive communication Drive bus within the programmable controller can be controlled. In this case, both the data transfer from the controller to the connected system parts as well as the declining data transfer from the Anlägeteilen to the controller, for example, with information on process deviations to the predetermined values via these interfaces.
Ist die programmierbare Steuerung über den Automatisierungsbus und/oder den Antriebsbus mit Antrieben verbunden, die über den jeweiligen Bus ansteuerbar sind, kann eine große Zahl marktgängiger Antriebe mit der programmierbaren Steuerung verbunden werden.If the programmable controller is connected via the automation bus and / or the drive bus to drives which can be controlled via the respective bus, a large number of commercially available drives can be connected to the programmable controller.
Eine vereinfachte Programmierung der Standard- und der Sicherheitsfunktionen lässt sich dadurch erreichen, dass für eine Programmierung von Standard-Funktionen und Sicherheitsfunktionen eine einheitliche Engineering- und Programmieroberfläche vorgesehen ist. Der Programmierer findet so eine durchgängige vereinheitlichte Bedienoberfläche für ' die Projektierungs- und Programmiersoftware für die Standard- als auch für die Sicherheitsfunktionen vor und muss nicht unterschiedliche Systeme kombinieren.Simplified programming of the standard and safety functions can be achieved by providing a standard engineering and programming interface for programming standard functions and safety functions. The programmer will combine the engineering and programming software for the standard and for the safety functions before and does not have different systems as a consistent unified user interface for '.
Die das Verfahren betreffende Aufgabe wird dadurch gelöst, dass Sicherheitsfunktionen ausschließlich in Sicherheits-Modulen ablaufen. Hierdurch wird erreicht, dass eine klare Trennung von sicherheitsbezogenen Funktionen und Standardfunktionen möglich ist, die eine getrennte Zertifizierung der sicherheitsrelevanten Baugruppen ermöglicht.The object relating to the method is achieved by the fact that security functions are executed exclusively in security modules. This ensures that a clear separation of safety-related functions and standard functions is possible, which allows separate certification of the safety-relevant modules.
Eine weitgehende Nutzung der mfrastruktur des Standard-PC wird ermöglicht, indem eine nicht sicherheitsbezogene Datenübertragung und eine sicherheitsbezogene Datenübertragung über den PC-Bus erfolgt, wobei die sicherheitsbezogene Datenübertragung über abgesicherte Datenpakete erfolgt, die unangetastet über den PC-Bus transportiert werden und von Kommunikationsendteilnehmern auf Integrität geprüft werden.An extensive use of the infrastructure of the standard PC is made possible by a non-safety-related data transmission and a safety-related data transmission via the PC bus, the safety-related data transmission via secure data packets that are transported intact via the PC bus and by communication end users Integrity.
Nimmt bei der Realisierung der Standard-Steueπmgsfunktionen in der PC-CPU als auch in Form eines PC-Einschubmoduls die Standard-Steuerung eine Masterfunktion für die Datenübertragung über den PC-Bus wahr, kann erreicht werden, dass die Standard-Steuerung die sicherheits-relevanten als auch nicht sicherheitsrelevanten Daten auf die jeweils zugehörigen Schnittstellen verteilen kann. Nimmt bei der Realisierung der Standard-Steuerungsfunktionen in Form des PC- Einschubmoduls das Sicherheits-Modul zumindest zeitweise die Masterrunktion für die sicherheitsbezogene Datenübertragung über den PC-Bus wahr, kann erreicht werden, dass das mit dem PC-Bus des PC-Einschubmoduls verbundene Sicherheitsmodul Daten mit hoher Priorität bevorzugt behandeln kann ohne mit dem Datenverkehr auf dem PC-PCI-Bus in Konflikt zu kommen.If the standard controller realizes a master function for the data transmission via the PC bus when implementing the standard control functions in the PC CPU as well as in the form of a PC plug-in module, it can be achieved that the standard controller is the safety-relevant one as well as non-security-relevant data can be distributed to the respectively associated interfaces. If, during the implementation of the standard control functions in the form of the PC plug-in module, the security module at least temporarily performs the master function for the security-related data transmission via the PC bus, it is possible to achieve that the security module connected to the PC bus of the PC plug-in module It is preferable to handle high-priority data without interfering with the traffic on the PC-PCI bus.
Kann die Sicherheits-Steuerung direkt auf Schnittstellen und/oder auf die Standard-Steuerung zugreifen, können sicherheitsrelevante Vorgänge ausgelöst werden, ohne dass die Standard- Steuerung einen Datentransfer initiiert.If the safety controller can access interfaces and / or the standard controller directly, safety-relevant processes can be triggered without the standard controller initiating a data transfer.
Zeichnungendrawings
Die Erfindung wird im folgenden anhand der in . den Figuren dargestellten Ausführungsbeispiele näher erläutert. Es zeigen:The invention will be described below with reference to FIGS. The embodiments illustrated in the figures explained in more detail. Show it:
Figur 1 eine schematische Darstellung der prinzipiellen Systemarchitektur, Figur 2 eine Ausführung mit einem Sicherheitsmodul am PC-PCI-Bus,1 shows a schematic representation of the basic system architecture, FIG. 2 shows an embodiment with a security module on the PC-PCI bus,
Figur 3 eine Ausführung mit dem Sicherheitsmodul am Bus einer Standard-Steuerung in Form eines PC-Einschubmoduls. < ' 3 shows an embodiment with the security module on the bus of a standard controller in the form of a PC plug-in module. <'
Beschreibung der AusführungsbeispieleDescription of the embodiments
Figur 1 zeigt einen Überblick über die Systemarchitektur einer Sicherheitssteuerung mit einem Funktionsmodul für Sicherheitsfunktionen. Die programmierbare Steuerung 1 besteht aus einem Personal-Computer (PC) 10 und mit ihm über einen Automatisierungsbus 40, einen Antriebsbus 50 und weitere nicht sichere Kommunikationsverbindungen 60 verbundenen externen Geräten. Der PC 10 ist aus einer Standard-Steuerung 20 und einer über einen PC- Bus 12 mit ihr verbundenen Sicherheits-Steuerung 30 aufgebaut. Die Standard-Steuerung 20 wird über eine Programmierung 70 mit Programmen für das Betriebssystem, Standard- Funktionen und auch Sicherheitsfunktionen geladen. Über alle Systemebenen ist ein Mischbetrieb von sicheren und nicht-sicheren Steuerungsfunktionen und Komponenten vorgesehen.FIG. 1 shows an overview of the system architecture of a safety controller with a function module for safety functions. The programmable controller 1 consists of a personal computer (PC) 10 and with it via an automation bus 40, a drive bus 50 and other non-secure communication links 60 connected external devices. The PC 10 is constructed of a standard controller 20 and a safety controller 30 connected thereto via a PC bus 12. The standard controller 20 is loaded via a programming 70 with programs for the operating system, standard functions and also security functions. Over all system levels, a mixed operation of safe and non-safe control functions and components is provided.
Der Automatisierungsbus 40 verbindet die Standard-Steuerung 20 mit einer dezentralen Standard-Ein/Ausgabe (E/A) 41, einer dezentralen Sicherheits-Ein/ Ausgabe (E/A) 42 und einem oder mehreren Antrieben 43, die jeweils aus einem Antriebsregler 44 und einer integrierten Sicherheitsfunktion 45 aufgebaut sind. Hierbei sorgt die Sicherheitsfunktion 45 im Fehlerfall autark für das Erreichen eines sicheren Zustandes. Die dezentrale Standard-E/A 41 und die dezentrale Sicherheits-E/A 42 können digitale und analoge Signale verarbeiten. Die Datenübertragung zwischen der Sicherheits-Steuerung 30 und der dezentralen Sicherheits-E/A 42 erfolgt über die auch für die nicht-sichere Kommunikation genutzten Übertagungswege, wird jedoch zusätzlich durch die aus den Normen und der Literatur bekannten Fehlermodelle abgesichert. Hierzu können Verfahren wie Bildung von Checksummen, Nummerierung, Zeitüberwachung und Redundanz eingesetzt werden. Mit diesen Verfahren werden Datenpakete gebildet, die unangetastet über die Standard- Komponenten und Standard-Kanäle („graue Kanäle") transportiert werden. Die Absicherung erfolgt nur in den jeweiligen Kommunikations-Endteilnehmern, die die Datenpakete auf Sicherheitsintegrität prüfen.The automation bus 40 connects the standard controller 20 to a decentralized standard input / output (I / O) 41, a decentralized safety input / output (I / O) 42 and one or more drives 43, each consisting of a drive controller 44 and an integrated safety function 45 are constructed. In this case, the safety function 45 autonomously ensures that a safe state is reached in the event of an error. The distributed standard I / O 41 and the distributed safety I / O 42 can process digital and analog signals. The data transmission between the safety controller 30 and the decentralized safety I / O 42 takes place via the transmission paths used also for the non-secure communication, but is additionally secured by the error models known from the standards and the literature. For this purpose, methods such as the formation of checksums, numbering, time monitoring and redundancy can be used. These procedures are used to create data packets that are transported intact via the standard components and standard channels ("gray channels"), and only in the respective communication end users who check the data packets for safety integrity.
In der vorliegenden Ausführung sind weitere Antriebe 51 über den Antriebsbus 50 mit der Standard- Steuerung 20 verbunden. Wie auch die Antriebe 43 weisen sie Antriebsregler 52 und integrierte Sicherheitsfunktionen 53 auf, die autark für die Erreichung eines sichern Zustandes im Fehlerfall sorgen.In the present embodiment, further drives 51 are connected via the drive bus 50 to the standard controller 20. Like the drives 43, they have drive controllers 52 and integrated safety functions 53, which autonomously ensure the achievement of a safe condition in the event of a fault.
Die nicht-sicheren Funktionseinheiten führen die Standard-Funktionen aus. Die sicherheitsbezogenen Funktionseinheiten sind so ausgelegt, dass die Standard-Funktionen keinen unmittelbaren Einfluss auf die Sicherheitsfunktionen haben. Die nicht-sicheren Funktionseinheiten unterliegen daher keinen sicherheitstechnisch begründeten Einschränkungen. Bei der Entwicklung von Hardware und Software müssen daher keine sicherheitsspezifischen Regeln angewendet werden. Insbesondere haben . hierdurch Änderungen dieser Funktionseinheiten keine Rückwirkung auf die Sicherheitsfunktionen.The non-secure functional units execute the standard functions. The safety-related functional units are designed so that the standard functions have no direct influence on the safety functions. The non-secure functional units are therefore not subject to safety-related restrictions. In the development of hardware and software therefore no need security-specific rules are applied. In particular. As a result, changes to these functional units have no effect on the safety functions.
Die sicherheitsbezogenen Funktionseinheiten weisen jede für sich die für die angestrebte Sicherheitskategorie (Kat. 3 oder Kat. 4 gemäß EN 954-1) beziehungsweise die für denEach of the safety - related functional units has the required safety category (Cat. 3 or Cat. 4 according to EN 954-1) or the safety class
Sicherheitsintegritätslevel (SIL2 oder SIL3 gemäß EN 61508) normativ geforderteSafety Integrity Level (SIL2 or SIL3 according to EN 61508) normatively required
Architektur und Sicherheitsintegrität auf. Hierzu können zweikanalig redundanter Aufbau, zyklische Diagnose im Betrieb mit ausreichendem Deckungsgrad sowie genügend geringeArchitecture and security integrity. For this purpose, two-channel redundant design, cyclical diagnostics in operation with sufficient coverage and low enough
Fehler- und/oder Ausfallwahrscheinlichkeit vorgesehen sein. Für diese Funktionseinheiten wird von der Konzepterstellung bis zur Außerbetriebnahme der in der EN 61508 definierteError and / or failure probability may be provided. For these functional units, the concept creation to decommissioning is defined in EN 61508
Lebenszyklus zugrunde gelegt und bei der Entwicklung werden alle erforderlichen fehlervermeidenden Maßnahmen getroffen.Life cycle and development takes all the necessary preventive measures.
Für die Programmierung 70 der programmierbaren Steuerung 1 kann eine Engineering-Suite vorgesehen sein, die auch die Programmierung und Parametrisierung der sicherheitsbezogenen Funktionseinheiten umfasst. Die dafür -vorgesehenen Tools sind gemäß der angestrebten Sicherheits-Kategorien beziehungsweise Sicherheitsintegritätslevel zertifiziert. Vorteilhaft ist hier, dass der Anwender eine durchgängige Programmier-Oberfläche für Standard- und Sicherheitsfunktionen verwenden kann.To program 70 of the programmable controller 1 is an engineering suite can be provided includes the programming and parameterization of safety-related functional units. The tools provided for this purpose are certified in accordance with the desired security categories or security integrity levels. The advantage here is that the user can use a consistent programming interface for standard and safety functions.
In Figur 2 ist eine Ausführung des PC 10 dargestellt, bei der die Standard-Steuerung 20 entweder als PC-CPU 11 oder als PC Einschubmodul 21 mit einer Schnittstelle 22 auf den PC-Bus 12 wirkt. Die Standard-Steuerung kann bei Verwendung der PC-CPU 11 als reine Software ausgeführt sein. Die Sicherheits-Steuerung 30 ist in Form von einem oder mehreren Sicherheitsmodulen 31, 32 direkt mit dem PC-Bus 12 verbunden. Der PC-Bus 12 kann dabei als Standard-PCI-Bus ausgeführt sein. Schnittstellenmodule 23 werden von der PC-CPU 11 über den PC-Bus 12 mit Daten beaufschlagt und abgefragt. In dieser Ausführung stellt der PC 10 die Infrastruktur aus Netzteil, Bedien- und Anzeigefunktion und auch Schήittstellenmodule 23 sowohl für die Standard-Steuerung 20 als auch für die Sicherheits-Steuerung 30 zur Verfügung. In Figur 3 ist eine Ausfuhrungsform dargestellt, bei der zusätzlich zu der in Figur 2 dargestellten direkt mit dem PC-Bus 12 verbundenen Sicherheits-Steuerung 30 eine weitere Sicherheits- Steuerung 30 mit einem PC-Bus 13 der als Funktionsmodul ausgeführten Standard-Steuerung 20 verbunden ist. Auch in dieser Ausfuhrungsform wird sichergestellt, dass bei der Datenübertragung zwischen der am PC-Bus 13 angeordneten Sicherheits- Steuerung 30 und dem hier nicht dargestellten dezentralen Sicherheits-E/A 42 und/oder den Antrieben 43, 51 die Sicherheit der Datenübertragung eingehalten wird.FIG. 2 shows an embodiment of the PC 10 in which the standard controller 20 acts on the PC bus 12 either as a PC CPU 11 or as a PC plug-in module 21 with an interface 22. The standard controller may be implemented as pure software when using the PC-CPU 11. The safety controller 30 is connected directly to the PC bus 12 in the form of one or more security modules 31, 32. The PC bus 12 can be designed as a standard PCI bus. Interface modules 23 are acted upon by the PC-CPU 11 via the PC bus 12 with data and queried. In this embodiment, the PC 10 provides the infrastructure of power supply, control and display function and also interface modules 23 for both the standard controller 20 and the security controller 30 available. FIG. 3 shows an embodiment in which, in addition to the safety controller 30 directly connected to the PC bus 12 shown in FIG. 2, another safety controller 30 is connected to a PC bus 13 of the standard controller 20 embodied as a functional module is. In this embodiment too, it is ensured that the security of the data transmission is maintained during the data transmission between the safety controller 30 arranged on the PC bus 13 and the decentralized safety I / O 42 and / or the drives 43, 51 not shown here.
Die Master-Funktionalität für die Datenübertragung über den PC-Bus 12 wird von der Standard-Steuerung 20 wahrgenommen. Sie initiiert und überwacht die Datenübertragung und verteilt die Daten an die Schnittstellen 23. Für die Datenübertragung über den PC-Bus.13 bei der als PC-Einschubmodul 21 ausgeführten Standard-Steuerung 20 übernimmt generell auch die Standard-Steuerung 20 die Master-Funktionalität. Es ist jedoch auch denkbar, dass amThe master functionality for data transfer over the PC bus 12 is perceived by the standard controller 20. It initiates and monitors the data transfer and distributes the data to the interfaces 23. For data transfer via the PC bus . In the case of the standard controller 20 embodied as a PC plug-in module 21, the standard controller 20 generally also assumes the master functionality. However, it is also conceivable that on
PC-Bus 13 zeitweise oder dauernd die Sicherheits-Steuerung 30 die Master-Funktionalität zugewiesen bekommt und direkt auf die Schnittstellen 23 und auf die Standard-Steuerung 20 zugreifen kann. Weiterhin ist denkbar, dass in dieser Ausführung die Sicherheits- SteuerungPC bus 13 is temporarily or permanently assigned to the safety controller 30, the master functionality and can access the interfaces 23 and the standard controller 20 directly. Furthermore, it is conceivable that in this embodiment, the safety controller
30 selbst Schnittstellen besitzt und diese bedienen kann, ohne den PC-Bus- 13 zu benutzen. 30 owns interfaces and can operate them without using the PC bus 13.

Claims

Ansprüche . Claims .
1. Programmierbare Steuerung (1) zur Maschinen- und/oder Anlagenautomatisierung mit einer Standard-Steuerung (20) mit Standard-Steuerungsfunktionen und einer Sicherheits-Steuerung (30) mit Sicherheitsfunktionen auf Basis eines Personal- Computers (PC) (10) mit einer PC-CPU (11) und einem PC-Bus (12, 13), wobei der PC (10) mit einem Standard-Betriebssystem betrieben wird und wobei die Standardfunktionen auf dem PC (10) oder einem PC-Einschubmodul (21) für die1. Programmable control (1) for machine and / or plant automation with a standard controller (20) with standard control functions and a safety controller (30) with safety functions based on a personal computer (PC) (10) with a PC-CPU (11) and a PC-Bus (12, 13), wherein the PC (10) is operated with a standard operating system and wherein the standard functions on the PC (10) or a PC plug-in module (21) for the
Standard-Steuerung (20) realisiert sind, dadurch gekennzeichnet, ' dass die Sicherheits-Steuerung (30) aus einem oder mehreren mit dem PC-Bus (12, 13) verbundenen Sicherheits-Modulen (31, 32) besteht und dass die Sicherheits-Module (31, 32) eine sicherheitszertifizierte Hardware und/oder Firmware umfassen.Standard controller (20), characterized in that the safety controller (30) consists of one or more safety modules (31, 32) connected to the PC bus (12, 13) and that the safety Modules (31, 32) comprise a safety-certified hardware and / or firmware.
2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die programmierbare Steuerung (1) als rückwirkungsfreie Kombination aus Standard-Steueningsfunktionen und mindestens' einem Sicherheits-Modul (31, 32) ausgeführt ist.2. Apparatus according to claim 1, characterized in that the programmable controller (1) as a non-reactive combination of standard Steueningsfunktionen and at least ' a security module (31, 32) is executed.
3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das zumindest eine Sicherheits-Modul (31, 32) als PC-Einsteckmodul mit zumindest einer Schnittstelle zu einem PC-Bus (12, 13) ausgeführt ist. 3. Apparatus according to claim 1 or 2, characterized in that the at least one security module (31, 32) is designed as a PC plug-in module with at least one interface to a PC bus (12, 13).
4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Standard-Steuerungsfunktionen in einer in der PC-CPU (11) unter Kontrolle des PC-Betriebssystems laufenden Software realisiert sind und dass das Sicherheits- Modul (31 , 32) eine Schnittstelle zum PC-Bus (12, 13) aufweist.4. Device according to one of claims 1 to 3, characterized in that the standard control functions are implemented in a running in the PC-CPU (11) under control of the PC operating system software and that the security module (31, 32) an interface to the PC bus (12, 13).
5. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Standard-Steuerungsfunktionen in einem PC-Einschubmodul (21) realisiert sind und dass dieses PC-Einschubmodul (21) eine Schnittstelle zur Verbindung mit der Sicherheits-Steuerung (30) aufweist.5. Device according to one of claims 1 to 3, characterized in that the standard control functions in a PC plug-in module (21) are realized and in that this PC plug-in module (21) has an interface for connection to the safety controller (30). having.
6. Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass Kommunikationsschnittstellen (22, 23) der programmierbaren Steuerung (1)6. Device according to one of claims 1 to 5, characterized in that communication interfaces (22, 23) of the programmable controller (1)
Bestandteil des PC-Einschubmoduls (21) der Standard-Steuerung (20) sind und/oder als zusätzliche Schnittstellenmodule (23) in Form von Einschubkarten ausgeführt sind.Part of the PC plug-in module (21) of the standard controller (20) and / or as additional interface modules (23) are designed in the form of plug-in cards.
7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, ' ■ • dass ein oder mehrere dezentral angeordnete digitale und/oder analoge Ausgänge (41, 42) über einen Automatisierangsbus (40) und/oder einen für die Antriebskommunikation ausgelegten Antriebsbus (50) innerhalb der programmierbaren Steuerung (1) ansteuerbar sind.7. Device according to one of claims 1 to 6, characterized in that the '■ • that one or more decentralized arranged digital and / or analog outputs (41, 42) via a Automatisierangsbus (40) and / or designed for drive communication drive bus ( 50) within the programmable controller (1) are controllable.
8. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die programmierbare Steuerung (1) über den Automatisierungsbus (40) und/oder den Antriebsbus (50) mit Antrieben (43, 51) verbunden ist, die über den jeweiligen Bus ansteuerbar sind.8. Device according to one of claims 1 to 7, characterized in that the programmable controller (1) via the automation bus (40) and / or the drive bus (50) with drives (43, 51) is connected, via the respective bus are controllable.
9. Vorrichtung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass für eine Programmierung von Standard-Funktionen und Sicherheitsfunktionen eine einheitliche Engineering- und Programmieroberfläche vorgesehen ist.9. Device according to one of claims 1 to 8, characterized in that a uniform engineering and programming interface is provided for programming standard functions and safety functions.
10. Verfahren zum Betrieb einer programmierbaren Steuerung (1) zur Maschinen- und/oder Anlagenautomatisierung mit einer Standard-Steuerung (20) mit Standard- Steuerungsfunktionen und einer Sicherheits-Steuerung (30) mit Sicherheitsfunktionen auf Basis eines Personal-Computers (PC) (10) mit einer PC-CPU (11) und einem PC- Bus (12, 13), wobei der PC (10) mit einem Standard-Betriebssystem betrieben wird und wobei die Standard-Steuerungsfunktionen auf dem PC (10) oder einem10. A method for operating a programmable controller (1) for machine and / or plant automation with a standard controller (20) with standard control functions and a safety controller (30) with security functions based on a personal computer (PC) ( 10) with a PC-CPU (11) and a PC bus (12, 13), wherein the PC (10) is operated with a standard operating system and wherein the standard control functions on the PC (10) or a
Einschubmodul (21) für den PC (10) realisiert sind, dadurch gekennzeichnet, dass Sicherheitsfunktionen ausschließlich in Sicherheits-Modulen (31, 32) ablaufen.Insert module (21) for the PC (10) are realized, characterized in that ■ run security functions exclusively in security modules (31, 32).
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass eine nicht, sicherheitsbezogene Datenübertragung und eine sicherheitsbezogene Datenübertragung über deii PC-Bus (12, 13) erfolgt, wobei die sicherheitsbezogene Datenübertragung über abgesicherte Datenpakete erfolgt, die unangetastet über den PCrBus (12, 13) transportiert werden und von Kόmmunikationsendteilnehmern auf11. The method according to claim 10, characterized in that a non, security-related data transmission and a security-related data transmission via deii PC bus (12, 13), wherein the security-related data transmission via secure data packets takes place, the untouched via the PCrBus (12, 13 ) and from communication end users
Integrität geprüft werden.Integrity.
12. "Verfahren nach einem der Ansprüche 10 oder 11, dadurch gekennzeichnet, . ' dass bei der Realisierung der Standard-Steuerungsfunktionen in der PC-CPU (11) als auch in Form eines PC-Einschubmoduls (21) die Standard-Steuerung (20) eine Masterfunktion für eine sicherheitsbezogene Datenübertragung über den PC-Bus (12, 13) wahrnimmt.12. "The method according to any one of claims 10 or 11, characterized in that ' in the realization of the standard control functions in the PC-CPU (11) as well as in the form of a PC plug-in module (21), the standard controller (20 ) performs a master function for security-related data transmission via the PC bus (12, 13).
13. Verfahren nach einem der Ansprüche 10 oder 11, dadurch gekennzeichnet, dass bei der Realisierung der Standard-Steuerungsfunktionen in Form des PC- Einschubmoduls (21) das Sicherheits-Modul (31, 32) zumindest zeitweise die Masterfunktion für die sicherheitsbezogene Datenübertragung über den PC-Bus (13) währnimmt. ' 13. The method according to any one of claims 10 or 11, characterized in the realization of the standard control functions in the form of the PC plug-in module (21), the security module (31, 32) at least temporarily assumes the master function for the security-related data transmission via the PC bus (13). '
14. Verfahren nach einem der Ansprüche 10 und 11 oder 13, dadurch gekennzeichnet, dass die Sicherheits-Steuerung .(30). direkt auf Schnittstellen (22, 23, 41, 42) und/oder auf die Standard-Steuerung (20) zugreifen kann. 14. The method according to any one of claims 10 and 11 or 13, characterized in that the safety controller (30). directly to interfaces (22, 23, 41, 42) and / or to the standard controller (20).
Bezugszeichenliste 1 Programmierbare SteuerungList of Reference Numerals 1 Programmable controller
10 Personal-Computer (PC)10 personal computers (PC)
11 PC-CPU11 PC CPU
12 PC-Bus12 PC bus
13 . PC-Bus13. PC bus
20 Standard-Steuerung20 standard control
21 PC-Einschubmodul21 PC plug-in module
22 Schnittstelle22 interface
23 Schnittstellenmodul23 interface module
30 Sicherheits-Steuerung30 safety control
31 Sicherheitsmodul 32 Sicherheitsmodul 0 Automatisierungsbus 1 Dezentraler Standard-E/A 2 Dezentraler Sicherheits-E/A 3 Antrieb 4 Aήtriebsregler 5 Integrierte Sicherheitsfunktion 0 Antriebsbus 1 Antrieb 2 Antriebsregler 3 Integrierte Sicherheitsfunktion 0 Kommunikationsverbindung 0 Programmierung 0 Programm der Sicherheitsfunktion und Parameter 1 Diagnose- und Statusdaten 2 Steuerdaten 3 Prozessvariablen 4 Prozessdaten 5 Daten zu Schnittstellen 31 Safety module 32 Safety module 0 Automation bus 1 Distributed standard I / O 2 Distributed safety I / O 3 Drive 4 Actuator controller 5 Integrated safety function 0 Drive bus 1 Drive 2 Controller 3 Integrated safety function 0 Communication connection 0 Programming 0 Program of safety function and parameter 1 Diagnostic and Status data 2 Control data 3 Process variables 4 Process data 5 Data on interfaces
EP06707010A 2005-02-17 2006-02-16 Machine controller featuring a security function Ceased EP1853979A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005007477.4A DE102005007477B4 (en) 2005-02-17 2005-02-17 Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
PCT/EP2006/001409 WO2006087191A1 (en) 2005-02-17 2006-02-16 Machine controller featuring a security function

Publications (1)

Publication Number Publication Date
EP1853979A1 true EP1853979A1 (en) 2007-11-14

Family

ID=36202171

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06707010A Ceased EP1853979A1 (en) 2005-02-17 2006-02-16 Machine controller featuring a security function

Country Status (3)

Country Link
EP (1) EP1853979A1 (en)
DE (1) DE102005007477B4 (en)
WO (1) WO2006087191A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202012013193U1 (en) 2012-06-26 2015-05-06 INTER CONTROL Hermann Köhler Elektrik GmbH & Co KG Device for a safety-critical application
RU2638000C1 (en) * 2017-02-08 2017-12-08 Акционерное общество "Лаборатория Касперского" Method of monitoring execution system of programmable logic controller
DE102019125867B4 (en) * 2019-09-25 2022-05-05 Keba Industrial Automation Germany Gmbh Programmable electronic power controller

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2145854A1 (en) * 1992-11-30 1994-06-09 Alan J. Eisenberg A safety critical processor and processing method for a data processing system
ATE195819T1 (en) * 1995-05-11 2000-09-15 Siemens Ag DEVICE FOR THE NUMERICAL CONTROL OF A MACHINE TOOL OR A ROBOT
DE29824062U1 (en) * 1998-07-30 2000-04-20 Bosch Gmbh Robert Safety device for a programmable logic controller
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US7289861B2 (en) * 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
US7565660B2 (en) * 2002-09-26 2009-07-21 Siemens Energy & Automation, Inc. System and method for universal extensibility that supports a plurality of programmable logic controllers

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006087191A1 *

Also Published As

Publication number Publication date
WO2006087191A1 (en) 2006-08-24
DE102005007477B4 (en) 2015-06-11
DE102005007477A1 (en) 2006-08-24

Similar Documents

Publication Publication Date Title
DE10353950C5 (en) control system
EP2315088B1 (en) Safety control
DE102009054157B3 (en) Control system for controlling safety-critical and non-safety-critical processes
DE102009042368B4 (en) Control system for controlling safety-critical processes
EP1923759B1 (en) Secure data transfer method and system
EP0742500A2 (en) Fail-safe touch-switch functions and switch functions with error avoidance
DE19928517A1 (en) Control system for controlling safety-critical processes
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
EP2246756B1 (en) Method and operating device for operating a security-oriented industrial automation component
DE102017109886A1 (en) Control system for controlling safety-critical and non-safety-critical processes with master-slave functionality
DE102008044018A1 (en) Method for determining a security level and security manager
WO2010060573A2 (en) Safety control and method for controlling an automated system having a plurality of system hardware components
EP3100121A1 (en) Method and apparatus for safely disconnecting an electrical load
EP2835699A1 (en) Method and device for configuring and/or programming a safety controller
DE102005007477B4 (en) Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
EP2701019B1 (en) Method for adjusting the parameters of a field device and corresponding system and adjustment of parameters
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
EP1248168A2 (en) Process and device for the evaluation of diagnostic-information
DE102011005239B4 (en) Safety system and method for exchanging safety-related data in a safety system
WO2011113405A1 (en) Controller arrangement
WO2017144176A1 (en) Aircraft
DE102021123596A1 (en) Technique for providing diagnostic functionality for a programmable logic controller based application
EP2482154A1 (en) Method and operating device for operating a security-oriented industrial automation component
EP1921525A1 (en) Method for operating a security related system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070917

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20080103

DAX Request for extension of the european patent (deleted)
APBK Appeal reference recorded

Free format text: ORIGINAL CODE: EPIDOSNREFNE

APBN Date of receipt of notice of appeal recorded

Free format text: ORIGINAL CODE: EPIDOSNNOA2E

APBR Date of receipt of statement of grounds of appeal recorded

Free format text: ORIGINAL CODE: EPIDOSNNOA3E

APAF Appeal reference modified

Free format text: ORIGINAL CODE: EPIDOSCREFNE

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

APBT Appeal procedure closed

Free format text: ORIGINAL CODE: EPIDOSNNOA9E

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20130412