JP4567728B2 - 安全性指向の制御システム - Google Patents

安全性指向の制御システム Download PDF

Info

Publication number
JP4567728B2
JP4567728B2 JP2007508782A JP2007508782A JP4567728B2 JP 4567728 B2 JP4567728 B2 JP 4567728B2 JP 2007508782 A JP2007508782 A JP 2007508782A JP 2007508782 A JP2007508782 A JP 2007508782A JP 4567728 B2 JP4567728 B2 JP 4567728B2
Authority
JP
Japan
Prior art keywords
safety
data
modules
module
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007508782A
Other languages
English (en)
Other versions
JP2007533045A (ja
Inventor
ビュットナー,ホルガー
ザクス,イェンス
Original Assignee
ベックホフ オートメーション ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34965125&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4567728(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ベックホフ オートメーション ゲーエムベーハー filed Critical ベックホフ オートメーション ゲーエムベーハー
Publication of JP2007533045A publication Critical patent/JP2007533045A/ja
Application granted granted Critical
Publication of JP4567728B2 publication Critical patent/JP4567728B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14114Integrity, error detector, switch off controller, fail safe
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23234In real time loop do one of the control modules and a safety module program

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Air Bags (AREA)

Description

発明の詳細な説明
本発明は、オートメーション・システムにおいて使用される、安全性機能指向ではないシステムコントローラの一部として安全性機能を制御するための方法および装置に関するものである。
機械を制御するためのオートメーション・コンピュータについての根本的な要求は、安全性と信頼性である。特に、もし故障したとしても、オートメーション・システムは危険性を人および環境に与えないということについて確実でなければならない。それ故、オートメーション・システムは通常、いわゆるフェイルセーフの原則で動作している。フェイルセーフの原則では、オートメーション・システムは、重要な要素が作動しない状況下において安全状態に移行する。フェイルセーフの原則に従って安全性に関する制御機能を実行している時のオートメーション・コンピュータの仕事は、制御機能を実行するためのプロセス信号の処理を最新の破損していない形式で行なうことと、安全処理状態をオートメーション・システムの作動装置に常に表示することとである。
オートメーション制御において、安全性に関連する制御機能の数は、通常、オートメーション・システムの通常の動作を維持するために用いられる、安全性に関連しない制御機能の数に対して非常に少ない。オートメーション・コンピュータにおいて、安全性に関連する制御機能の機能性が安全性に関連しない制御機能によって影響されないことを確実にするために、安全性に関連する制御機能は、安全性に関連しない制御機能とは分けられた、独立した安全性プログラムの中に従来組み込まれてきた。上記の安全性に関連する制御機能と安全性に関連しない制御機能との完全な分離を達成するために、安全性プログラムは、通常独立したオートメーション・コンピュータによって実行される。上記の独立したオートメーション・コンピュータは、緊急停止スイッチ、ライトバリア、および専用の配線系統によって機械の安全性を確実にするための他の構成要素に接続されている。
オートメーション・コンピュータにおいてハードウェアの複雑さを減少させるために、オートメーション・システムのためのコントローラ、たとえばシーメンス・シマティック・システム(Siemens' Simatic system)などもまた存在する。シーメンス・シマティック・システムは、安全性プログラムと安全性に関連しない機能とが同一のハードウェアで実行されるシステムとして知られている。このような状況では、安全性に関連しない機能を実行するための従来のオートメーション・コンピュータが、安全性プログラムによって拡張されている。しかしながら、安全性プログラムによるオートメーション・コンピュータの拡張は、精密に規定されたコンフィグレーションとデータ処理環境と(上記シマティック・システムの場合には、STEP7−ランタイム)によってのみ可能となっている。
EP-A-1 043 640は、安全性機能のために設計されていない標準的なアセンブリにおいて安全性機能が実行されるフェイルセーフ・オートメーション・システムについて開示している。そして、上記のアセンブリは、正常な機能性を備えた、安全性プログラムすなわち「F−ユーザ・プログラム」を実行する。各々のアセンブリで実行される上記の安全性プログラムは、それ故、安全性プロトコルを用いて、互いにデータの相互交換を実行するとともに、周辺のデバイスとデータの相互交換を実行する。しかしながら、それぞれのアセンブリは、標準的なユーザ・プログラムおよびオペレーティング・システムに加えて、常に一つの安全性プログラムを実行するだけである。
WO 02/50637は、関連しない制御機能が、安全プログラム・シェルを用いる安全性プログラムの中へリンクすることを可能とする方法に関して開示している。しかしながら、安全性プログラムと、安全性に関連しない制御プログラムとを共通のオートメーション・コンピュータ上に集積することは、精密に定義されたプログラム環境においては許容されるが、任意性のあるオペレーティングシステム環境、例えばウインドウズ・オペレーティング・プログラムにおいては許容されないという制限がここでも生じる。
さらに、フェイルセーフの原則を基に作動する安全性プログラムにおける一般的な要求として、プログラム・エラーの可能性を可能な限り低く保つことが挙げられる。それ故、安全性プログラムを開発する時の目標は、安全性プログラムの複雑さを可能な限り減少させることである。しかしながら、このことは、従来の閉じた安全性プログラムの場合には、難なく確実に行うことはできない。上記の閉じた安全性プログラムは、安全性に関連しない制御機能から分離されるように意図されているからである。このことは、安全性プログラムをプログラマブルコントローラにおいて用いることが意図されている場合に特にあてはまる。
本発明の目的は、安全性機能を正しく判断することのできないシステムコントローラの一部が安全性機能を制御するための方法と装置を提供することである。その安全性機能につながる安全性プログラムでは複雑さが少なく、あらゆる安全ではないプログラム環境でエラーをすることなく実行することができる。上記のエラーは、安全性機能を制御するときのエラーの結果として生じる、安全性に関連しない制御機能の制御に関するエラーである。
本発明では、上記目的を請求項1に従う方法および請求項11に従う装置によって実現する。望ましい形態については従属請求項に明記する。
オートメーション・システムにおいて、安全性機能指向ではないシステムコントローラの一部として安全性機能を制御するために、本発明は正常な機能性を有している安全性モジュールおよび安全性プロトコルを提供する。上記安全性プロトコルは、安全性メッセージの形式でデータを伝送する。各々の安全性モジュールからの入力および出力パラメータは、安全性モジュールによって隠蔽されている(encapsulated)。また個々の安全性モジュールは、データおよびフローに関して、制御されるべきシステムの安全性機能に従って、データ伝送リンクによって論理的に組み合わされる。そしてデータの相互交換が、安全性プロトコルを基にして安全性モジュール間で行なわれる。
本発明は、オートメーション・システムの制御のためにフェイルセーフの原則を基にして実行される安全性プログラムが、複雑さを制限された小さい安全性モジュールに分割されることを可能とする。上記構成によってプログラム・エラーの可能性が減少する。これらの安全性モジュールはまた、安全ではない制御環境、即ち、安全性に関連しない制御機能のための任意性のあるオペレーティング・プログラムを有するオートメーションコンピュータにおいて、安全性機能を制御するときに、安全性に関連しない制御機能がエラーとなった場合に生じるエラーを起こすことなく実行されることが可能である。さらに、それらの制御機能を実行するために用いられる、安全性に関連しない制御機能または制御プログラムは、隠蔽された安全性モジュールの機能性を害することなく、いつでも変更することができる。
本発明の、各安全性モジュールから安全性プロトコルによって発せられた入出力パラメータの隠蔽と、安全性プロトコルを基にした各々の安全性モジュール間でのデータの相互交換とは、以下のことを保証する。即ち、安全性モジュール間でのデータ伝送の間におけるデータの破損、例えば故障によるデータの破損が、安全性エンジニアリングのために、充分な確率で識別されることを保証する。そのため、安全性モジュール間を伝送されるデータを、フェイルセーフの原則に基づく安全性機能を実行するためのセーフ・プロセス・データとして扱うことができる。安全性プロトコル、および安全性モジュールの隠蔽を用いることは、2個の安全性モジュール間において、あらゆる伝送の経路で実行されるデータ伝送を可能とする。即ち、どのようなオペレーティング・システム環境であっても、当該オペレーティング・システムにおいて必要となる付加的な安全性を要求することなく、データ伝送を可能とする。
本発明の実施の一形態によれば、安全性メッセージを伝送するために、安全性プロトコルは、伝送されるデータにおける以下の種類のエラーに対する仕組みを含んでいる。即ち、繰り返し、欠落、挿入、誤ったデータ列、データの破損、データ遅延、安全性に関連するデータと安全性に関連しないデータとの結合、および誤ったアドレッシングである。このように、安全性プロトコルでは、安全性エンジニアリングを要求する可能性のある、個別の安全性モジュール間におけるデータの相互交換での全ての誤りまたは破損を識別することができる。これに関連して、安全性メッセージのためのデータ形式を用いて、安全性プロトコルによって実行される安全処理は、以下のようなものである。即ち、安全性メッセージの連続的なナンバリング、安全性メッセージ伝送のタイムモニタリング、安全性メッセージ伝送の認証モニタリング、およびチェックサムを用いた安全性メッセージのデータの完全性の保護である。
本発明の別の好ましい実施の一形態によれば、安全性機能は、安全性モジュールから発せられる入力および出力パラメータの論理的組み合わせによって実行される。このことは、あらゆる安全性機能を小さい安全性モジュールを用いることによって実行できるということを保証する。小さい安全性モジュールは、複雑さを減少させており、エラーに対する感受性を低くすることができる。
本発明の別の好ましい実施の一形態によれば、安全性モジュールの正常な機能性は、誤ったデータ値を入力として受け取った時、またはデータ値を入力として受け取らなかった時でも、独立して安全状態を出力として示すデータ値によって保証されている。この構成では、安全性機能を実行するときにフェイルセーフの原則が保護される。
安全性モジュール間でのデータの相互交換に関する安全性を向上させるということは、それぞれの安全性モジュールの入力および出力パラメータが初期設定の動作の一部分として規定されており、またそれぞれの安全性モジュールの入力および出力パラメータが、許可されていないアクセスに対して保護される形式で、関連する安全性モジュールの中に保存されることによって達成される。この構成では、安全性モジュールの確実な隠蔽が保証される。
安全性をさらに高めることは、データ伝送リンクにおいて、循環的に、かつ決定的に行なわれるデータ伝送によって達成される。また、安全性モジュールのためのデータは、伝送サイクルにおいて安全性モジュールのための全てのデータが最初に伝送され、安全性に関係しない機能がその次に伝送されるように優先的に扱われる。
本発明のより詳細な点については付記する図面とともに説明される。
図1は、オートメーション・システムの基本的な構造を示している。
図2は、オートメーション・システムのための制御プログラムを示しており、安全性に関連する制御機能と安全性に関連しない制御機能とを含んでいる。
図3は、本発明の安全性モジュールの機能ブロック図を示している。
図4は、データフローと実行プランとを示しており、図2に示した制御プログラムのなかの安全性に関連する制御機能について示している。
図5は、図4に示した安全性モジュールM2およびM4を論理的に組み合わせるためのデータ・インタフェースについて示している。
図1は、オートメーション・システムの基本的な構造を示している。オートメーション・コンピュータは、センサおよびアクチュエータとポイント・トゥ・ポイント接続またはバス・システムによって接続されている。上記接続は、プロセス信号をアクチュエータに自動的に出力するためであり、センサによって捕らえられたプロセス信号に基づいた制御プログラムが用いられている。オートメーション・コンピュータによって実行される制御プログラムへの重要な要求は、オートメーション・システムが機能しなかった場合に、人間および環境に対して脅威を与えないということを保証することである。上記要求は、リアルタイム性能、即ちオートメーション・コンピュータがプロセス信号をアクチュエータに規定のプロセス時間内に出力するという要求とともに求められている。それ故、通常の制御機能に加えて、オートメーション・コンピュータは、オートメーション・システムの重要な構成要素が作動しなかったときに、フェイルセーフの原理として知られている原理に基づいてオートメーション・システムが自動的に安全状態に切り替わることを保証する安全性機能を実行する必要がある。上記のような安全性機能としては、例えば機器における緊急停止回路などがある。
オートメーション・コンピュータで動作している制御プログラム中の安全性機能の数は、通常安全性に関連しない制御機能の数に比べて少ない。安全性機能が実行されたとき、それらが正常に実行されるように保証することが必要である。特に、安全性に関連しない制御機能が、安全性機能の機能性に影響を与えないように保証されなければならない。このことは、特に安全性機能が制御コンピュータにおいて実行されるプログラム環境、即ちオートメーション・コンピュータのオペレーティング・プログラムが、あらゆる安全性基準に従っていない場合にもあてはまる。
安全性機能指向ではないオートメーションコントローラの一部として、安全性機能を制御するために、本発明は正常な機能性を有する安全性モジュールを形成している。上記の安全性モジュールでは、各安全性モジュールからの入力および出力パラメータが安全性プロトコルによって隠蔽される。上記安全性プロトコルは、安全性メッセージの形式でデータを伝送し、それぞれの安全性モジュールは、制御を受けるオートメーション・システムの安全性機能に従ったデータ伝送リンクによって、データおよびフローに関して互いに論理的に結合している。そしてデータの相互交換が、安全性プロトコルを基にして安全性モジュール間で行なわれる。
本発明に従うと、安全性機能を実行するための安全性プログラムは、それ故、機能の範囲を限定された小さい機能ユニットに分割される。これによって、安全性プログラムの開発の複雑さを低減することができる。安全性プログラムの正常な機能性を保証するために、プログラム・エラーの可能性は安全性の閾値より低く保たれる必要がある。その場合にのみ、安全性プログラムもまた保証される。この要求は、本発明の安全性モジュールを用いれば、閉じられた安全性プログラムと比較して、より簡単で高価ではない方法で達成される。上記本発明の安全性モジュールは、限定された機能性のみを有しており、それ故、プログラムの複雑さが限定されている。上記の安全性モジュールは、データの正常な移動を保証するとともに、安全性モジュールの入力において不正なデータ値を受け取ったとき、またはデータ値を受け取らなかったときに、独立した出力部が安全状態を示すデータの値を出力するようにデザインされている。
本発明の安全性プロトコルは、それぞれの安全性モジュールからの入力および出力パラメータが隠蔽され、それ故破損されないということを保証する。さらに、上記安全性プロトコルは、安全性メッセージの形式で、安全性データが個々の安全性モジュール間で相互交換されることを保証する。上記の安全性プロトコルは、制御されるべき安全性機能に従って、データおよびフローに関して上記安全性モジュールを論理的に相互に結合している。上記の方法では、安全性機能を、安全性に関連しない制御機能をも含む安全ではないプログラム環境で実行することができる。それ故、それ自身はフェイルセーフ・プログラムでの安全性エンジニアリングの要求を満たす必要がない、あらゆるオペレーティング・プログラムで上記オートメーション・コンピュータを作動させることができる。これに関連して、上記の安全性プロトコルは、データ伝送の間のデータの破損が、安全性エンジニアリングのために充分な確率のレベルで識別されるように伝送されるデータを保護する。本発明の安全性プロトコルは、あらゆるデータ伝送経路によって、データを安全性モジュール間で伝送するために用いることができる。さらに、上記の安全性プロトコルは、安全性モジュールが論理的に自在に結合することを許可する。上記の事項は、プログラマブルコントローラの場合に特に有利である。なぜなら、そのときに要求される、可能な論理的組み合わせの多様性が、もはや安全性プログラムの複雑さの増加に反映されないからである。
安全性メッセージを安全に伝送するために、安全性プロトコルは以下の種類のエラーに対する機構を含んでいる。即ち、繰り返し、欠落、挿入、誤ったデータ列、データの破損、データ遅延、安全性に関係するデータと安全性に関連しないデータとの結合、および誤ったアドレッシングである。これに関係して用いられる安全性処置は、以下の安全性処置を実行するための安全性メッセージのデータ形式である。即ち、上記安全性処置とは、安全性メッセージの連続的なナンバリング、安全性メッセージを伝送したときの、時間のオーバーシュートのモニタリング、安全性メッセージ伝送の認証モニタリング、パスワードが好ましく用いられているか、およびチェックサムを用いた安全性メッセージのデータの完全性の保護である。
図2は、安全性機能および安全性に関連しない制御タスクの両方を含むオートメーション・コンピュータのための可能な制御プログラムの例を示している。この場合、安全性に関連する制御機能はタスク1と結びついており、安全性に関連しない機能はタスク2に結びついている。オートメーション・コンピュータと、接続されているアクチュエータおよびセンサとのデータの相互交換は、このような状況において循環的であり、かつ決定的に行なわれる。安全性モジュールのためのデータは、伝送サイクルにおいて、優先的に扱われ、それゆえ、安全性モジュールのための全てのデータが最初に伝送され、安全性に関連しない機能がその次に伝送される。
示されている実施の形態では、安全性のタスク1が6個の安全性モジュールM1〜M6に分配されている。これらの安全性モジュールは、それら自身において隠蔽されており、それらの間で安全性プロトコルを用いて2方向性のデータの相互交換(2方向の矢によって特定されている)が行われる。上記の場合、安全性モジュールM1は、センサからの安全性に関連するデータを含むプロセス信号のための入力インタフェースを形成する。安全性モジュールM6は、接続されたアクチュエータのフェイルセーフ状態を制御するためのプロセス信号のための出力インタフェースを形成する。この場合、6個の安全性モジュールM1〜M6は、オートメーション・システムの望ましい安全性機能が行なわれるように、互いに論理的に結合している。制御タスク2は、安全性に関連しない全ての制御機能を含んでいる。またデータの相互交換は、センサからのプロセス信号を入力するためのインタフェースと、プロセス信号をアクチュエータへ出力するためのインタフェースとによって単一方向で行なわれる。安全性に関連する制御機能および安全性に関連しない制御機能を備えた制御プログラムは、上記の場合には、オペレーティング環境自身があらゆる安全性の要求を受けていない、即ち、保証されることが必要でない、どのようなオペレーティング環境下でも実行される。
図2に示す安全性モジュールM1〜M6はオペレーティング・システム内で結合しており、好ましくはライブラリ内で結合している。また上記安全性モジュールM1〜M6は他の制御プログラムによってファンクション・コールを用いてアドレスされる。安全性モジュールの複雑さは、この場合には異なっており、例えば、ブール組み合わせ論理機能または単純な制御機能であってもよい。個々の安全性モジュールは、このような状況において、規定された安全性の要求に基づいて、データの移動における安全な機能性を保証している。安全性モジュール間での安全なコミュニケーションは、安全性プロトコルによって達成される。このために、安全性モジュールからの全ての入力および出力パラメータは、安全性プロトコルによって隠蔽される。
図3は、図2に示した1個の入力インタフェースと2個の出力インタフェースを備える安全性モジュールM1を示しており、上記入力インタフェースは3個のパラメータを備え、上記2個の出力インタフェースは、安全性プロトコルによってそれぞれ隠蔽された2個のパラメータをそれぞれ備えている。安全性プロトコルは、図4に示すように、要求される安全性の基準に従って、隠蔽された入力および出力インタフェースを論理的に結合している。例えば、安全性プログラムがシングル・プロセッサのハードウェアで実行されると、安全性プロトコルは、それぞれの安全性モジュール内で安全性プログラムの機能シーケンスを二重で実行することを保証する。この場合、データのフローおよび制御タスク1の実行シーケンスは、図4の左から、即ちセンサからプロセスデータを受け取った安全性モジュールM1から行なわれ、右へ、即ち安全状態を示すプロセス信号をアクチュエータに出力する安全性モジュールM6へ向かって行なわれる。
さらに、安全性モジュールM2およびM4を論理的に結合するデータ・インタフェースを図5に示す。安全性プロトコルに従って、安全性モジュールM2から安全性モジュールM4に伝送されるデータは、制御ビットF−Control、シーケンス番号F−SeqNo、およびチェックサムF−CRC2を用いて隠蔽されている。データ・インタフェースが正常であるかどうかを安全性モジュールM2が確認できるように、安全性モジュールM4は、状態ビットF−Status、シーケンス番号F−SeqNo、およびチェックサムF−CRC2を安全性モジュールM2に返す。このようにして、上流にある安全性モジュールM2は、下流にある安全性モジュールM4に関して、受信された後に返送される必要のある、シーケンス番号F−SeqNoおよびチェックサムF−CRC2を特定する。この場合では、2個の安全性モジュールM2およびM4の間のデータの相互交換が、予め定められた時間内に行なわれる必要がある。特に、この時間内に、シーケンス番号が安全性モジュールM4によって安全性モジュールM2に折り返し送信される必要がある。次のサイクルでは、シーケンス番号は、データの相互交換を制御するために安全性モジュールM2によって1増加させられる。この処理を通じて、正しいデータ伝送が安全性モジュールM2と安全性モジュールM4との間で行なわれたかどうか、および/または実行の順番が正しく行なわれたかどうかを確実に確認することができる。
さらに、安全性プロトコルは、データのあらゆる反転を識別するために、2個の安全性モジュール間における全ての接続に関してチェックサムが異なることを規定する。そのために、それぞれの安全性インタフェースは、チェックサムの計算結果に含まれる特有の識別子を受け取る。安全性モジュールのための識別子は、この場合安全性プロトコルの中の論理ツールによって規定される。上記論理ツールはまた、安全性モジュール間でのデータ伝送のためのフローチャートを規定している。安全性プロトコルの論理ツールは、安全性モジュールのための識別子が2重に割り当てられないこと、および実行ステップにおいて、データおよびフローに関する安全性モジュールの論理的結合が安全性モジュールのために規定され、関連する識別子が保存されることを保証する。論理ツールによる上記の実行は、この場合パスワードによって保護されることが好ましい。
本発明では、安全性機能を、複雑さの少なさによって特徴付けられる多数の安全性モジュールに分割できることによって、安全性機能を容易に制御することが可能となる。そして、安全性エンジニアリングの観点からみた個々の安全性モジュールまたはそれら自身におけるそれらの機能性を考慮すること、およびそれらを保証することだけが必要となる。安全モジュール間での安全なコミュニケーションは、安全性モジュールからの入力および出力のパラメータを隠蔽し、安全なデータの相互交換を保証する安全性プロトコルによって保証される。この安全性プロトコルはまた、初期化状態における安全性モジュール間での安全性機能のためのフローチャートについて規定している。
図1は、オートメーション・システムの基本的な構造を示す図である。 図2は、オートメーション・システムのための制御プログラムを示す図である。 図3は、本発明の安全性モジュールの機能ブロック図である。 図4は、データフローと実行プランとを示ず図である。 図5は、図4に示した安全性モジュールM2およびM4を論理的に組み合わせるためのデータ・インタフェースについて示している図である。

Claims (19)

  1. オートメーション・コンピュータのオペレーティングシステム環境における安全性のタスクを実行する方法であって、
    上記オートメーション・コンピュータは、上記安全性のタスクを実行するときに、フェイルセーフ制御信号をアクチュエータに対して出力するものであり、
    上記安全性のタスクは、複数の安全性モジュールに分割され、
    上記複数の安全性モジュールはそれぞれ、安全性の閾値より低いエラーの可能性で上記安全性のタスクの一部を実行し、かつ、入力および出力インタフェースを包含し、
    上記複数の安全性モジュールに包含された上記入力および出力インタフェースは、データ伝送リンクによって互いに結合しており、
    上記入力および出力インタフェースの間における上記データ伝送リンクを介したデータ伝送に用いられる安全性データメッセージは、安全性プロトコルによって伝送され、
    上記安全性プロトコルは、伝送される上記安全性データメッセージに含まれるエラーを識別する機構を含んでおり、
    上記安全性プロトコルの実行工程によって、上記データ伝送リンクが規定され、かつ、上記安全性モジュールそれぞれに対して特有の識別子が割り当てられ、
    上記特有の識別子は、上記安全性データメッセージが伝送されるときに、2つの安全性モジュールの間で伝送されるチェックサムの計算結果に含まれる、安全性のタスクを実行する方法。
  2. 上記安全性データメッセージを伝送するために、上記安全性プロトコルは、繰り返し、欠落、挿入、誤ったデータ列、データの破損、データ遅延、安全性データとその他データとの結合、誤ったアドレッシングという、伝送される上記安全性データメッセージに含まれるエラーを識別する機構を含んでいる請求項1に記載の方法。
  3. 上記安全性プロトコルは、上記安全性データメッセージの連続的なナンバリング、上記安全性データメッセージの伝送に要する時間のオーバーシュートのモニタリング、上記安全性データメッセージの伝送に関するパスワードによる認証モニタリング、およびチェックサムを用いた上記安全性データメッセージの、データの完全性の保護という安全性処置を実行するために、上記安全性データメッセージのためのデータ形式を使用する請求項2に記載の方法。
  4. 上記安全性モジュールはそれぞれ、不正なデータの値を上記入力インタフェースにおいて受け取った場合、またはデータの値を上記入力インタフェースにおいて受け取らなかった場合に、上記出力インタフェースが安全状態を示すデータの値を独立して出力する請求項1〜3の何れか1項に記載の方法。
  5. 上記安全性のタスクは、上記安全性モジュールそれぞれにおける、上記入力インタフェースの入力パラメータと上記出力インタフェースの出力パラメータとの論理的結合によって実行される請求項1〜4の何れか1項に記載の方法。
  6. 上記安全性モジュールそれぞれにおける、上記入力インタフェースの入力パラメータ及び上記出力インタフェースの出力パラメータは、上記安全性プロトコルの上記実行工程によって規定され、許可されていないアクセスに対して保護される形式で、関連する上記安全性モジュール内に保存されている請求項5に記載の方法。
  7. 上記安全性プロトコルは、上記安全性モジュール間において上記安全性データメッセージの形式で2方向性のデータ伝送を行うように設計されている請求項1〜6の何れか1項に記載の方法。
  8. 上記安全性モジュールは、正常なデータの移動のために設計されている請求項1〜7の何れか1項に記載の方法。
  9. 第1の安全性モジュールがプロセス信号のための入力インタフェースとして用いられており、第2の安全性モジュールがプロセス信号のための出力インタフェースとして用いられている請求項1〜8の何れか1項に記載の方法。
  10. 上記データ伝送が循環的に、かつ決定的に行なわれ、
    上記安全性モジュールのための上記データは、優先的に扱われ、それゆえ、伝送サイクルにおいて安全性モジュールのための全てのデータが最初に伝送され、その他データがその次に伝送される請求項1〜9の何れか1項に記載の方法。
  11. オートメーション・コンピュータであって、
    オペレーティングシステム環境と、
    安全性のタスクと、
    安全性プロトコルと、を備え、
    上記安全性のタスクは、上記オペレーティングシステム環境で実行され、さらに、複数の安全性モジュールに分割され、
    上記オートメーション・コンピュータは、上記安全性のタスクを実行するときに、フェイルセーフ制御信号をアクチュエータに対して出力し、
    上記複数の安全性モジュールはそれぞれ、安全性の閾値より低いエラーの可能性で上記安全性のタスクの一部を実行し、かつ、入力および出力インタフェースを包含し、
    上記複数の安全性モジュールに包含された上記入力および出力インタフェースは、データ伝送リンクによって互いに結合しており、
    上記安全性プロトコルは、上記入力および出力インタフェースの間における上記データ伝送リンクを介したデータ伝送に用いられる安全性データメッセージを伝送するために使用されると共に、論理ツールを有し、
    上記論理ツールは、上記安全性モジュールの上記データ伝送リンクを規定すると共に、上記安全性モジュールそれぞれに対して特有の識別子を割り当て、
    上記特有の識別子は、上記安全性データメッセージが伝送されるときに、2つの安全性モジュールの間で伝送されるチェックサムの計算結果に含まれる、オートメーション・コンピュータ。
  12. 上記安全性データメッセージを伝送するために、上記安全性プロトコルは、繰り返し、欠落、挿入、誤ったデータ列、データの破損、データ遅延、安全性データとその他データとの結合、誤ったアドレッシングという、伝送される上記安全性データメッセージに含まれるエラーを識別する機構を含んでいる請求項11に記載のオートメーション・コンピュータ。
  13. 上記安全性プロトコルは、上記安全性データメッセージの連続的なナンバリング、上記安全性データメッセージの伝送に要する時間のオーバーシュートのモニタリング、上記安全性データメッセージの伝送に関するパスワードによる認証モニタリング、およびチェックサムを用いた上記安全性データメッセージの、データの完全性の保護という安全性処置を実行するために、上記安全性データメッセージのためのデータ形式を使用する請求項12に記載のオートメーション・コンピュータ。
  14. 上記安全性モジュールはそれぞれ、不正なデータの値を上記入力インタフェースにおいて受け取った場合、またはデータの値を上記入力インタフェースにおいて受け取らなかった場合に、上記出力インタフェースが安全状態を示すデータの値を独立して出力する請求項11〜13の何れか1項に記載のオートメーション・コンピュータ。
  15. 上記安全性プロトコルは、上記安全性モジュール間において上記安全性データメッセージの形式で2方向性のデータ伝送を行うように設計されている請求項11〜14の何れか1項に記載のオートメーション・コンピュータ。
  16. 上記安全性モジュールは、正常なデータの移動のために設計されている請求項11〜15の何れか1項に記載のオートメーション・コンピュータ。
  17. 第1の安全性モジュールがプロセス信号のための入力インタフェースとして用いられており、第2の安全性モジュールがプロセス信号のための出力インタフェースとして用いられている請求項11〜16の何れか1項に記載のオートメーション・コンピュータ。
  18. 上記データ伝送が循環的に、かつ決定的に行なわれ、
    上記安全性モジュールのための上記データは、優先的に扱われ、それゆえ、伝送サイクルにおいて安全性モジュールのための全てのデータが最初に伝送され、その他データがその次に伝送される請求項11〜17の何れか1項に記載のオートメーション・コンピュータ。
  19. 請求項11〜18の何れか1項に記載のオートメーション・コンピュータと、センサと、アクチュエータとを含み、
    上記センサおよび上記アクチュエータは、上記オートメーション・コンピュータに接続されており、
    上記オートメーション・コンピュータは、上記センサによって捕えられたプロセス信号に基づいて上記安全性のタスクを実行することにより、フェイルセーフ制御信号を上記アクチュエータに対して自動的に出力するオートメーション・システム。
JP2007508782A 2004-04-19 2005-04-13 安全性指向の制御システム Active JP4567728B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004018857A DE102004018857A1 (de) 2004-04-19 2004-04-19 Sicherheitssteuerung
PCT/EP2005/003853 WO2005101145A1 (de) 2004-04-19 2005-04-13 Sicherheitssteuerung

Publications (2)

Publication Number Publication Date
JP2007533045A JP2007533045A (ja) 2007-11-15
JP4567728B2 true JP4567728B2 (ja) 2010-10-20

Family

ID=34965125

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007508782A Active JP4567728B2 (ja) 2004-04-19 2005-04-13 安全性指向の制御システム

Country Status (8)

Country Link
US (1) US8335573B2 (ja)
EP (1) EP1738233B2 (ja)
JP (1) JP4567728B2 (ja)
CN (1) CN100480913C (ja)
AT (1) ATE397240T1 (ja)
DE (2) DE102004018857A1 (ja)
ES (1) ES2308480T3 (ja)
WO (1) WO2005101145A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2026147A1 (de) * 2007-08-13 2009-02-18 Siemens Aktiengesellschaft Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät
DE102007062920A1 (de) * 2007-12-21 2009-06-25 Endress + Hauser Gmbh + Co. Kg Verfahren zur Überwachung der logischen Ausführungsreihenfolge und der Datenübertragung eines in einzelne Module unterteilten Programms
DE102007063291A1 (de) 2007-12-27 2009-07-02 Robert Bosch Gmbh Sicherheitssteuerung
DE102008019195A1 (de) * 2008-04-17 2009-10-29 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
DE102009019087A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
US20100299218A1 (en) * 2009-05-19 2010-11-25 Nokia Corporation Method and apparatus of providing discovery and payment for online commerce
DE102009042354C5 (de) * 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
WO2011044603A1 (de) * 2009-10-15 2011-04-21 Fts Computertechnik Gmbh Verfahren zum ausführen von sicherheits-relevanten und nicht-sicherheits-relevanten softwarekomponenten auf einer hardwareplattform
DE102009055247A1 (de) 2009-12-23 2011-06-30 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG, 70839 Anordnung mit einer übergeordneten Steuereinheit und zumindest einem mit der Steuereinheit verbindbaren intelligenten Feldgerät
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
EP2605096B1 (de) * 2011-12-14 2014-03-19 Siemens Aktiengesellschaft Sicherheitsgerichtete Steuerung in Kombination mit Cloud-Computing
DE102012016406B4 (de) 2012-08-21 2014-12-24 Krohne Messtechnik Gmbh Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
DE102016102282B4 (de) * 2016-02-10 2024-01-04 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
CN106774111B (zh) * 2016-11-28 2019-12-13 北京龙鼎源科技股份有限公司 Plc***中的任务处理方法、装置以及plc***
CN111781891B (zh) * 2020-06-10 2021-07-16 杭州凯尔达机器人科技股份有限公司 机器人安全逻辑控制***
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6999824B2 (en) * 1997-08-21 2006-02-14 Fieldbus Foundation System and method for implementing safety instrumented systems in a fieldbus architecture
JPH11161321A (ja) * 1997-11-28 1999-06-18 Toshiba Corp プラント監視装置
EP1043640A2 (de) * 1999-04-09 2000-10-11 Siemens Aktiengesellschaft Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
US6711698B1 (en) * 2000-07-07 2004-03-23 Schneider Automation Inc. Programmable logic controller with provisions for safety systems
DE10063350C1 (de) * 2000-12-19 2002-07-18 Siemens Ag Verfahren zur Überwachung einer Datenverarbeitung und -übertragung
DE60225443T2 (de) 2001-05-31 2009-03-26 Omron Corp. Sicherheitseinheit, steuerungsverkettungsverfahren, steuerungssystemsteuerverfahren und steuerungssystemüberwachungsverfahren
US7472106B2 (en) * 2001-06-22 2008-12-30 Omron Corporation Safety network system and safety slave
US6915444B2 (en) 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
JP2003181900A (ja) * 2001-12-20 2003-07-02 Omron Corp コントローラ並びにモーション制御装置
DE10211941A1 (de) * 2002-03-18 2003-10-16 Sick Ag Sensor-Maschinen-Interface und Verfahren zu dessen Betrieb
GB0304628D0 (en) 2003-02-28 2003-04-02 Imec Inter Uni Micro Electr Method for hardware-software multitasking on a reconfigurable computing platform
US7330768B2 (en) * 2003-01-28 2008-02-12 Fisher-Rosemount Systems, Inc. Integrated configuration in a process plant having a process control system and a safety system
US7269468B2 (en) * 2003-09-05 2007-09-11 Fisher-Rosemount Systems, Inc. State machine function block with a user modifiable output configuration database

Also Published As

Publication number Publication date
US8335573B2 (en) 2012-12-18
ES2308480T3 (es) 2008-12-01
DE102004018857A1 (de) 2005-11-10
CN1942839A (zh) 2007-04-04
EP1738233A1 (de) 2007-01-03
JP2007533045A (ja) 2007-11-15
US20070124115A1 (en) 2007-05-31
EP1738233B1 (de) 2008-05-28
CN100480913C (zh) 2009-04-22
EP1738233B2 (de) 2014-10-29
WO2005101145A1 (de) 2005-10-27
DE502005004279D1 (de) 2008-07-10
ATE397240T1 (de) 2008-06-15

Similar Documents

Publication Publication Date Title
JP4567728B2 (ja) 安全性指向の制御システム
EP1517200B1 (en) Safety controller providing for execution of standard and safety control programs
EP1517203B1 (en) Safety controller with simplified interface
JP4504165B2 (ja) 制御システム
EP1573407B1 (en) Method to increase the safety integrity level of a control system
EP1517199B1 (en) High speed synchronization in dual-processor safety controller
US20030051203A1 (en) Network independent safety protocol for industrial controller using data manipulation techniques
JPWO2003001307A1 (ja) 安全ネットワークシステム及び安全スレーブ並びに通信方法
US11846923B2 (en) Automation system for monitoring a safety-critical process
US6704899B1 (en) Method and device for secure transmission of data signals over a bus system
JP2002358106A (ja) 安全コントローラ
JP4941365B2 (ja) 産業用コントローラ
US6487695B1 (en) Method for providing fail-safe secure data transmission between a numerical control system and a spatially separate unit
RU2647684C2 (ru) Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки
EP1515205B1 (en) Safety controller with hardware memory lock
US11982984B2 (en) Automation system for monitoring a safety-critical process
JP4812546B2 (ja) 送信装置,受信装置及び通信システム
US20230259095A1 (en) Control System Method for Controlling an Apparatus or Installation
Schiffer et al. Introduction to DeviceNet safety
Gerstinger Thomas Novak
Schenk SIMATIC S7-400F/FH: Safety-related programmable logic controller
Jacobson et al. Safety of distributed machine control systems.
Schenk Safety-Related Programmable Logic Controller
Buchheit et al. SIS in Industry

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090910

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100727

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100805

R150 Certificate of patent or registration of utility model

Ref document number: 4567728

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130813

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250