专利名称:用于控制多个安全关键及非安全关键进程的控制系统的制作方法
技术领域:
本实用新型涉及一种控制系统,其用于控制多个安全关键及非安全关键的进程和 /或设备组件。本实用新型尤其能够应用在进程自动化或机器控制中。
背景技术:
对于用于控制技术性进程或技术性设备的自动化系统来说,通常要求对多个安全 关键的进程或设备组件与多个非安全关键的组件分开地控制。在DE 102005009795A1中描述了一种在安全关键应用中用于机器控制的微处理 系统,该系统包括两个区域。第一区域设置用于非安全关键或非安全设置的功能,该区域包 括主处理器、程序及数据存储器、输入/输出单元以及用于相互连接上述组件的总线。第二 区域设置用于安全关键或安全设置的功能,该区域包括安全处理器,该安全处理器带有自 身的、连接到总线上的程序及数据存储器。通过安全的传输线路,程序及数据被加载到安全处理器的数据存储器中,基于其 功能,该安全处理器在设备或进程处于一种在“安全”状态下的冲突情况时与其他的安全设 置的组件一同进行工作,这些组件例如是安全设置的输入/输出单元。在DE 10353950A1中描述了另一种用于控制安全关键进程的控制系统,其具有现 场总线、总线主设备(用于在现场总线上控制通讯)以及信号单元(用于与安全关键进程 进行联系)。总线主设备和信号单元通过现场总线相互连接。通过现场总线,信号单元与总 线主设备进行通讯。另外,还设有用于控制安全关键进程的第一控制单元,其中信号单元和 第一控制单元具有针对安全性的装置,用于确保无故障的通讯,以便于对安全关键进程进 行控制。第一控制单元能够不依靠现场总线连接到总线主设备上。前述的安全设置的控制系统不能应用在模块化构架的控制系统(例如在DE 102004056363A1中公开的),或者只能通过额外的成本进行集成,因为例如通讯模块、接 口、电源和监控功能都要适配预设的安全标准。为此,这些组件必须进行更换并且配备新的 软件,由此明显增加了成本。通常,要对安全关键功能与非安全功能进行明确地区别,也是比较困难的。
实用新型内容因此,本实用新型的目的在于提出一种优选模块化构架的自动化系统,用于控制 安全关键及非安全关键的进程和/或设备组件,这种系统避免了现有技术中的缺陷。特别 是,根据本实用新型的控制系统将适用于,一个现存的、模块化构架的非安全控制系统以简 单而廉价的方式配备一个安全设置的控制器。该目的根据本实用新型通过一种用于控制多个安全关键及非安全关键的进程和/ 或设备组件的控制系统实现。根据本实用新型的、优选模块化构架的控制系统,用于控制多 个安全关键及非安全关键的进程和/或设备组件,该控制系统包括至少一个第一控制单 元,其设置用于控制非安全关键的进程和/或非安全关键的设备组件;至少一个输入/输出单元,其通过一条内部输入/输出总线与第一控制单元连接;以及可选的至少一个通讯联 接器,其通过一条内部联接器总线与第一控制单元连接和/或通过一条现场总线与其他的 分散的单元(例如输入/输出单元和/或对方站)连接,其特征在于,设有至少一个用于控 制安全关键的进程和/或安全关键的设备组件的第二控制单元,为提供安全设置功能的第 二控制单元具有至少两个处理器以及一个第一双端口内存,其中仅两个处理器中的一个处 理器与第一双端口内存连接,并且第二控制单元通过第一双端口内存和内部联接器总线, 并且利用第一控制单元与另一个集成在通讯联接器中的双端口内存进行通讯。通讯联接器优选设置为现场总线-主设备联接器。根据本实用新型设有至少一个第二控制单元(也称为安全控制器),用于控制安 全关键的进程和/或安全关键的设备组件,其中安全控制器为提供安全设置功能具有至少 两个优选设置为微处理器的处理器,并且为通过内部联接器总线传输数据具有一个第一优 选设计为双端口内存的存储器。在安全控制器中的双端口内存这样设置,即能够在其两个 访问端同时实现读取访问和/或写入访问,从而对于两个在某种情况下分开的系统实现同 时的访问,而分开的系统不会受到访问速度上的限制。安全控制器通过其双端口内存进行通讯,并且非安全关键的第一控制单元通过联 接器总线直接与其他通讯联接器进行通讯。该控制系统具有用于控制非安全关键应用的第一控制单元和用于控制安全关键 应用的第二控制单元(安全控制器)。这种模块化构架的控制系统能够灵活地在不同的功 能上使用,例如作为大型自动化系统的控制系统、作为在这类分散的大型自动化系统中的 分散的处理装置、或者作为与可本地链接的输入设备连接的独立自动化设备、或者作为中 央自动化设备。根据本实用新型的控制系统的一个特别的优点在于,减少了接口,该接口用于安 全关键及非安全关键功能的各个控制单元之间的通讯。通过使用用于控制安全关键进程或安全关键设置组件的安全控制器,以及在第一 非安全设置的控制单元和安全控制器之间相关功能的划分,在安全控制器中还能使用到现 存的用于非安全设置的控制单元,从而明显简化了安全控制器的设计。在此还有利于,支配 利用使用双端口内存所预定的多个接口。根据本实用新型的控制系统的另一优点在于,一种对于非安全关键应用的优选模 块化构架的控制系统也能够以简单而廉价的方式且无需大量硬件成本地着力于安全关键 的应用,其中对于也用以安全关键应用的控制系统使用来说,现存的硬件仅仅是为了对第 二安全单元(安全控制器)进行补充,该第二安全单元具有其至少两个处理器、至少一个 双端口内存及内部联接器总线。在此,在安全设置的输入/输出单元使用所谓的“黑色通道通讯原理”下进行系 统安装时,非安全设置的控制单元承担的任务是,从控制系统的安全控制器中通过内部联 接器总线和内部输入/输出总线或设置为现场总线-主设备-联接器的通讯联接器传递 安全设置的电报。黑色通道通讯原理例如在“PROFIsafe-PROFIBUS DP安全技术概况以及 PROFINET IO 概况部分,参见 PR0FIBUS 及 PR0FINET 的 IEC61784-3-3 说明书。2. 4 版,2007 年3月,文档编号3. 192b"中公开。现场总线-主设备-联接器还设置用于,在使用所谓的“黑色通道通讯原理”时在分散的安全设置的输入/输出模块和/或对方站之间将安全设置的电报进行往返传输。为 此,电报通过所谓的现场总线-次设备引导到安全设置的输入/输出单元。现场总线-次 设备对此能够具有直接的非安全设置的输入/输出通道。在安全控制器中设有所谓的安全程序逻辑电路,并且在应用于非安全关键的控制 器中从中分设有非安全设置的程序逻辑电路。在安全控制器和非安全设置的第一控制单元 (应用于安全关键应用)之间的数据交换通过双端口内存和联接器总线上的预定接口来实 现。在安全控制器的两个处理器中,仅一个处理器通过双端口内存直接与内部联接器 总线连接。安全控制器的多个处理器这样设置,即它们相互之间进行监控及同步。监控及 同步机制可以例如根据“PROFIsafe-PROFIBUS DP安全技术概况以及PROFINET IO概况部 分,参见PR0FIBUS及PR0FINET的IEC 61784-3-3说明书。2. 4版,2007年3月,文档编号 3. 192b”或类似的方式来进行。在安全控制器中也可以设置不同于前述的1002 选1)-架构(由两个处理器构 成)的另一种的内部安全架构,例如是一种1οο3-架构等等。在所述的1οο2-架构中,直接 访问双端口内存的第一处理器不可能确认出一种循环冗余检验(CRC-—种用于确定数据 的校验值的方法,以使得在传输或存储中能够识别出故障),该循环冗余检验在双端口内存 的接口上有效生成电报时是必须的。这种CRC确认可以仅通过冗余的处理器执行并且报告 给第一处理器。以此而确保,两个处理器在多个有效的电报上进行协作。这样的要求将使 得,在安全控制器的两个处理器中的一个出现故障或者错误的功能时确保系统的安全性。
本实用新型及本实用新型的有利设计方案及改进方案将通过在附图中示出的实 施例来详细描述和说明。其中图1示出了根据本实用新型的模块化构架的控制系统的实施例,该系统设置用于 控制安全设置及非安全设置的进程,图2示出了根据本实用新型的控制系统的详细示例,图3示出了 1οο2架构中第二控制单元的实施例。
具体实施方式
图1示出了一种模块化构架的控制或自动化系统,该系统具有第一控制单元1, 其设置用于控制非安全关键的处理器和/或非安全关键的设备组件;多个中央输入/输出 单元的与其连接的模块,该输入/输出单元通过内部输入/输出总线与第一控制单元连接; 以及可选的设置为现场总线-主设备联接器的通讯联接器模块5、6,其将控制通过现场总 线FB与多个分散的现场总线-次设备7、8以及在其之上连接的输入/输出单元71、72、81、 82的通讯。根据本实用新型设有至少一个第二控制单元2 (安全控制器),用于控制安全关键 进程和/或安全关键设备组件。安全控制器2通过其双端口内存和内部联接器总线Bi,并 且通过非安全关键的控制单元1直接与其他的通讯联接器5、6进行通讯。输入及输出单元不仅包括安全的输入/输出单元21、72、82,也包括非安全的输入/输出单元11、71、81,其中非安全的输入/输出单元11、71、81通过不具有安全功能的第一 控制单元1控制,并且安全的输入/输出单元21、72、82通过具有安全功能的安全控制器控 制。控制单元1、2相互之间通过内部联接器总线Bl和集成在第二控制单元2中的双 端口内存DPR1,并通过内部联接器总线Bl和具有连接到现场总线FB上的分散单元的通讯 联接器模块5、6进行通讯。第一控制单元1使得电源单元3和显示和/或操作单元4构成一个用于控制系统 的分散单元CL的模块。中央输入/输出单元的直接与中央单元CL模块连接的模块和分散的现场总 线-次设备7、8及输入/输出单元71、72、81、82的模块都能够如前文所述那样根据其功能 设置为安全设置与非安全设置的设备。中央单元CL(也像输入/输出单元和通讯联接器5、6那样)通过模块载体设置 在不同的可扩展基板上,其中输入/输出单元可以直接联接到中央单元CL和通讯联接器5 上。基板还具有至少一个用于联接器的插接板,该联接器用于对分散的现场总线-次设备 7、8和/或基站进行标准现场总线连接的现场总线端口。在特别的设计方案中,基板卡到标准支承轨道上,其中至少一个输入/输出单元 也可以卡到支承轨道上并且通过相应的基板电气及机械一同插接。还证实了有利的是,中央单元CL的模块、输入/输出单元和通讯联接器5、6彼此 之间所有都能够通过插塞连接进行连接或被连接。优选的,中央单元CL、输入/输出单元和 通讯联接器5、6分别通过插塞和/或卡锁装置可解除地彼此连接或被连接。图2示出了根据本实用新型的模块化构架的控制系统的详细实施例,该控制系统 包括集成有以太网和/或串行接口 IFl的接线模块4以及第一控制单元1,其用于通过内部 输入/输出联接器总线Bl与设置为安全控制器的第二控制单元和通讯联接器5进行通讯。 第一控制单元1的模块配备有电源单元3,其通过连接导线SB与第一及第二控制单元1、2 以及通讯联接器5电气连接。在连接导线SB上也电气连接有其他设置在基板上的设备,例 如中央输入/输出单元。第一控制单元1除了时钟发生器14和存储器13之外,还具有第一微处理器12,其 通过内部输入/输出联接器总线Bl与至少一个通讯联接器5经由集成在通讯联接器中的 另外的双端口内存DPR2进行通讯。中央输入/输出单元(在图2中未示出)的连接通过 内部输入/输出总线B2实现。对于使用用于安全关键应用的控制系统来说,在基板上设有第二控制单元2,其 具有至少两个另外设置为安全处理器的处理器22a、22b,该处理器具有对应的存储器23a、 23b以及时钟发生器Ma J4b。处理器22a、22b本身通过另一接口 IF2相互之间进行同步。 处理器22a、22b的架构及其功能在相关的现有技术已公开。在所述的1οο2-架构中,直接访问双端口内存DPRl的第一处理器2 不可能确认 出循环冗余检验,该循环冗余检验在双端口内存DPRl的接口上有效生成电报时是必须的。 这种CRC确认可以仅由冗余的处理器22b来执行并且报告给第一处理器22a。以此而确保, 两个处理器22a、22b在多个有效的电报上进行协作。这样的要求将使得,在安全控制器2 的两个处理器22a、22b中的一个出现故障或者错误的功能时确保系统的安全性。[0039]通过其他集成在通讯联接器5中的双端口内存DPR2,使用所谓的“黑色通道通讯 原理”时将安全设置的电报由安全控制器2往返传输给分散的输入/输出单元71、72、81、 82和/或对方站。为此,电报通过现场总线FB及现场总线-次设备7、8引导到输入/输出 单元 71、72、81、82。安全控制器2在非安全关键的第一控制单元1上通过其双端口内存DPRl和内部 联接器总线Bl与通讯联接器5经由集成的双端口内存DPR2进行通讯。通讯使用“黑色通 道通讯原理”进行。在安全控制器2的其他处理器22a、22b中设有安全程序逻辑电路,并且在第一控 制单元1的第一微处理器12中分设有一个未安全设置的程序逻辑电路。在安全控制器2 和非安全设置的第一控制单元1(应用于安全关键应用)之间的数据交换通过设置在安全 控制器中的双端口内存DPRl上的预定接口来实现。图3示出了作为1οο2系统架构的安全控制2的实施例,该安全控制器具有微处 理器22a、22b ;分别本身与处理器22a、22b—同工作的零电压安全的存储器FLASH,其优 选作为应用程序的存储器;以及暂时的存储器SDRAM,其优选作为数据存储器。微处理器 22a、22b分别与本身的时钟发生器Ma、24b —同工作。另外,在安全控制器2中设有用于显 示状态及故障报告的显示装置DP,该显示装置优选仅仅直接与第一处理器2 连接。在安全控制器2的两个处理器22a、22b中,仅第一处理器2 通过第一双端口内 存DPRl直接与内部联接器总线Bl连接。在有利的设计方案中,安全控制器2的处理器22a、22b这样设置,即它们相互之间 进行监控。为此,处理器22a、22b相互之间通过另一接口 IF2进行同步。监控及同步机制 可以例如根据“PROFIsafe-PROFIBUS DP安全技术概况以及PROFINET IO概况部分,参见 PR0FIBUS 及 PR0FINET 的 IEC 61784-3-3 说明书。2. 4 版,2007 年 3 月,文档编号 3. 192b” 或类似的方式来进行。电源SB通过连接导线SB不仅为两个处理器22a、22b、存储器FLASH、SDRAM供电, 也为分别与处理器22a、2^连接的电源监控及诊断单元9、15供电。对于处在安全控制器2中的处理器22a、22b分别设有一个独立的电源监控及诊断 单元9、15。
权利要求1.一种用于控制多个安全关键及非安全关键的进程和/或设备组件的控制系统,所述 控制系统包括至少一个第一控制单元(1),其设置用于控制非安全关键的进程和/或非安 全关键的设备组件;至少一个输入/输出单元,其通过一条内部输入/输出总线(B》与第 一控制单元(1)连接;以及可选的至少一个通讯联接器(5、6),其通过一条内部联接器总线 (Bi)与第一控制单元(1)连接和/或通过一条现场总线(FB)与现场总线-次设备(7、8) 连接,其特征在于,设有至少一个用于控制安全关键的进程和/或安全关键的设备组件的第二控制单元(2),为提供安全设置功能的所述第二控制单元(2)具有至少两个处理器Oh、22b)以及一 个第一双端口内存(DPRl),其中仅两个处理器Qh、22b)中的一个处理器与所述第一双端 口内存(DPRl)连接,并且所述第二控制单元( 通过所述第一双端口内存(Drai)和所述内部联接器总 线(Bi),并且利用所述第一控制单元(1)与另一个集成在通讯联接器(5)中的双端口内存 (DPR2)进行通讯。
2.根据权利要求1所述的控制系统,其特征在于,所述控制系统由模块构成。
3.根据权利要求1或2所述的控制系统,其特征在于,所述输入/输出单元不仅包括安 全的输入/输出单元(21、72、82),也包括非安全的输入/输出单元(11、71、81),其中所述 非安全的输入/输出单元(11、71、81)通过第一控制单元(1)控制,所述安全的输入/输出 单元(21、72、81)通过第二控制单元(2)控制。
4.根据权利要求1所述的控制系统,其特征在于,所述通讯联接器设置为现场总 线-主设备联接器。
5.根据权利要求4所述的控制系统,其特征在于,所述控制系统具有使用“黑色通道通 讯原理”时将安全设置的电报往返传输给分散的所述输入/输出单元(71、72、81、82)和/ 或对方站且安全设置的电报通过所述现场总线-次设备(7、8)引导到所述输入/输出单元 (71、72、81、82)的现场总线-主设备联接器。
6.根据权利要求5所述的控制系统,其特征在于,所述现场总线-次设备(7、8)具有直 接的非安全设置的输入/输出通道。
7.根据权利要求5或6中一项所述的控制系统,其特征在于,所述至少一个输入/输出 单元(71、72、81、82)通过内部输入/输出总线与现场总线-次设备(7、8)连接。
8.根据权利要求1所述的控制系统,其特征在于,所述双端口内存(DPRl)以及集成在 通讯联接器(5)中的双端口内存(DTO2)具有多个预定的标准接口。
9.根据权利要求1所述的控制系统,其特征在于,所述控制系统具有在相互之间自身 进行监控及同步的所述第二控制单元O)的处理器Oh、22b)。
10.根据权利要求1所述的控制系统,其特征在于,在“黑色通道通讯原理”下进行系 统安装时的所述第一控制单元(1)从所述第二控制单元( 中将安全设置的电报通过所述 内部联接器总线(Bi)和所述内部输入/输出总线(B2)传递给安全设置的输入/输出单元 01)。
专利摘要本实用新型涉及一种控制系统,用于控制多个安全关键及非安全关键的进程和/或设备组件,该控制系统包括第一控制单元(1);输入/输出单元;以及通讯联接器(5、6),在控制系统中设有至少一个第二控制单元(2),第二控制单元(2)具有至少两个处理器(22a、22b)以及一个第一双端口内存(DPR1),其中仅两个处理器(22a、22b)中的一个处理器与第一双端口内存(DPR1)连接,并且第二控制单元(2)通过第一双端口内存(DPR1)和内部联接器总线(B1)通过第一控制单元(1)与另一个集成在通讯联接器(5)中的双端口内存(DPR2)进行通讯。
文档编号G05B19/048GK201837860SQ20092027458
公开日2011年5月18日 申请日期2009年12月21日 优先权日2009年11月23日
发明者于尔根·施托尔, 亚乌赫尼·韦里哈, 布里吉特·布莱, 海因里希·纽帕特尔, 赫尔诺特·高布 申请人:Abb股份有限公司