用于安全相关地输入至控制系统的方法和系统与流程

本发明是关于用于安全相关地输入至控制系统的方法和系统，所述控制系统包括plc，其表示可编程逻辑控制器。控制系统包括用于控制非安全过程的非安全控制模块和用于控制功能性安全过程的安全控制模块，所述系统还包含操作者面板，其用于通过操作者面板方式的安全相关的对象输入的用户选择。专利申请涉及在工厂和过程自动化应用中的功能性安全控制系统。

背景技术：

ep2551787b1公开安全相关输入的装置，其包括：具有触摸式输入(尤其通过触摸屏的方式)的显示装置，其具有用于采集在显示器上的不同触摸式输入的采集模块；图像数据线，用于将图像数据从计算机单元传送至显示装置；以及测试单元，其连接至图像数据线和连接至显示装置的采集模块或至额外采集模块用于选择监测区，其中监测区对应于触摸式输入在其中发生的该部分区；以及其适配成用于生成对于将在监测区中显示的图像数据部分的测试码，以及用于输出和/或读取出生成的测试码(尤其考虑发起聚焦于安全的反应)。

因此在现有技术中已知有用于触发来自操作者面板的安全动作的系统和方法，但如果这样的标准操作者面板将被用于安全相关输入，则这些已知的系统要求在标准操作者面板中的硬件改变。因此，在现有技术解决方案中通常需要相当的额外的努力用于标准操作者面板的修改(例如在通信、接口、控制部件等中)，以便实现从这样的操作者面板触发安全动作的功能性。因此正是本发明的目的来创建用于安全相关地输入到控制系统的系统和方法，其不要求在标准操作者面板硬件中的改变来触发安全动作。

技术实现要素：

通过根据权利要求1的方法和根据权利要求7的系统实现目的。

根据本发明，该方法包含以下步骤：

-选择所述操作者面板上的安全相关对象，

-在所述操作者面板和所述安全控制模块之间在两个方向上传输对象码和掩蔽对象码，

-使用两个不同的通信路径，用于对象码的第一通信路径以及用于掩蔽对象码的第二通信路径，每个通信路径通过非安全控制模块，

-使用存储在所述安全控制模块上的参考码值，用于验证在安全控制模块中接收的对象码和掩蔽对象码的正确性。

根据本发明的方法因此允许标准操作者面板的使用以用于触发安全动作。

对于通过使用操作者面板触发安全动作的发明性方法的优势在于：其能被用于安全应用，其中安全功能执行即使没有(多个)操作者面板的情况下也由功能性安全控制系统来保证。在这样的应用中(多个)操作者面板使用的主要目的是以满足sil(安全完整性等级，如在iec61508:2010中定义)或其它功能性安全标准来允许功能性安全控制系统配置行为(例如改变安全限制的速度值、选择的关机等)中的修改。

本发明上下文中的标准操作者面板能够例如是具有触摸式输入(尤其通过触摸屏的方式)的显示装置，诸如例如但不限于平板式pc、智能电话或类似物。

根据本发明的优选实施例，每个通信路径使用不同的通信协议。

根据本发明的优选实施例，每个通信路径建立在同一或不同的(多个)物理层上。

根据本发明的优选实施例，每个通信路径不被实现为安全通信路径。

根据本发明的优选实施例，所述安全控制模块包括建立1oo2安全架构的两个安全cpu(微处理器、闪速存储器、ram等)。

根据本发明的优选实施例，所述掩蔽对象码在所述安全控制模块中去掩蔽，以及所述参考码值与所接收的对象码和去掩蔽之后的掩蔽对象码进行比较，以及在所接收的码与所述参考码值不对应的情况下检测到错误。

根据本发明用于安全相关地输入到控制系统的系统包括plc，其包括用于控制非安全过程的非安全控制模块和用于控制功能性安全过程的安全控制模块，以及特征在于：所述系统包括在所述操作者面板和安全控制模块之间的两个通信路径；通信路径中的每个使用不同的通信协议；每个通信路径通过所述非安全控制模块至和起于安全控制模块；第一通信路径传输对象码以及第二通信路径传输掩蔽对象码。

根据本发明的优选实施例，通信路径二者实现在同一或不同的物理层上。

根据本发明的优选实施例，安全控制模块包括用于存储对于每个用户选择的所预先定义的码参考值的存储模块。

根据本发明的优选实施例，安全控制模块包括用于存储安全应用程序的程序存储器，该程序配置成：用于将从操作者面板接收在安全控制模块中的用户选择与所存储的码参考值进行比较，以及用于在所接收的用户选择与所存储的码参考值不对应的情况下检测到错误。

根据本发明的优选实施例，安全应用程序配置成用于去掩蔽进入的掩蔽对象码，以及将去掩蔽对象码与通过所述另一个通信路径传递的对象码、所存储的码参考值进行比较，以及用于在去掩蔽对象码和对象码与所存储的码参考值不对应的情况下检测错误。

根据本发明的优选实施例，安全控制模块包括建立1oo2安全架构的两个安全cpu。

根据本发明的优选实施例，多于一个操作者面板能连接至所述控制系统。

根据本发明的优选实施例，多于一个控制系统能连接至所述操作者面板。

附图说明

现将参考附图更详细地描述本发明和根据本发明的方法和系统的另外优势。

附图中，

图1示意性和示例性地示出根据本发明实施例的系统，

图2-5示出根据本发明实施例的用于安全相关地输入到控制系统的方法的步骤，

图6示意性和示例性地示出根据本发明实施例的操作者面板的用户界面。

具体实施方式

本发明的主旨是提供关于如何通过使用标准操作者面板来触发功能性安全动作的系统和方法。

参考图1，系统包括操作者面板1，或多于一个操作者面板(如果要求)，其连接至plc(可编程逻辑控制器)11，plc包括非安全cpu模块4和安全cpu模块7。在示例中操作者面板1在此为具有触摸式输入(尤其通过触摸屏的方式)的显示装置，诸如例如平板式pc。

非安全cpu模块4是用于控制非安全过程12，以及安全cpu模块7是用于控制功能性安全过程13。非安全过程12和功能性安全过程13共同组成将由plc11控制的过程或机器14。

操作者面板1具有通过非安全cpu模块4到安全cpu模块7的两个通信路径。那些通信路径彼此不相同，例如其使用不同的通信协议，以及基于在操作者面板1上进行的选择，以在两个方向上通过非安全cpu模块4到安全cpu模块7来传输码和掩蔽码的值。

每个通信路径能相应地被分离成两部分：2、5和3、6。部分1从操作者面板引出至非安全cpu4，以及部分2通过非安全cpu模块4引出至安全cpu模块7。

从操作者面板1到安全cpu模块4的通信路径2、5和3、6二者能实现在同一或不同物理层(多个)上(如果要求)，但将必须使用不同的和独立的通信协议。

安全cpu模块7包含两个安全cpu9和10，其建立1oo2安全架构。1oo2安全架构意味如果安全cpu9或10中至少一个指示危险状态则执行安全功能。

安全cpu9和10二者能够从操作者面板1相应地通过两个相异的和独立的通信路径2、5和3、6(其通过非安全cpu模块4)接收数据(表示的是码和掩蔽码)。

安全cpu模块7能够将数据(表示的是码和掩蔽码)以一致的方式通过两个相异的和独立的通信路径2、5和3、6发送至操作者面板1，其意味在数据被发送至操作者面板1之前1oo2安全架构也用于数据验证。

同步通道8在安全cpu9和10之间使用以同步其接收的数据(表示的是码和掩蔽码)，以及验证将发送至操作者面板1的数据(码和掩蔽码)。存在有在安全cpu9和10二者上唯一存储的参考码值，其被用于验证接收的(多个)码和掩(多个)蔽码(从(多个)操作者面板1接收的)。

系统100包含操作者面板1，或多于一个操作者面板(如果要求)，其连接至plc(可编程逻辑控制器)11，plc包含非安全cpu模块4和安全cpu模块7。操作者面板1具有通过非安全cpu模块4到安全cpu模块7的两个通信路径。那些通信路径彼此不相同，例如其使用不同的通信协议，以及基于在操作者面板上的选择，以在两个方向上通过非安全cpu模块4到安全cpu模块7来传输码和掩蔽码的值。每个通信路径能被相应地分离成两部分：2、5和3、6：部分1，从操作者面板至非安全cpu4；以及部分2，通过非安全cpu模块4至安全cpu模块7。从操作者面板1到安全cpu模块4的通信路径2、5和3、6二者能实现在同一物理层上(如果要求)，但将必须使用不同的和独立的通信协议。安全cpu模块7包含两个安全cpu9和10，其建立1oo2安全架构。1oo2安全架构意味着如果安全cpu9或10中至少一个指示危险状态则执行安全功能。安全cpu9和10二者能够从操作者面板1相应地通过两个相异的和独立的通信路径2、5和3、6(其通过非安全cpu模块4)接收数据(码和掩蔽码)。安全cpu模块7能够将数据(码和掩蔽码)以一致的方式通过两个相异的和独立的通信路径2、5和3、6发送至操作者面板1，其意味在数据被发送至操作者面板1之前1oo2安全架构也用于数据验证。

同步通道8在安全cpu9和10之间使用以同步其接收的数据(码和掩蔽码)，以及验证将发送至操作者面板1的数据(码和掩蔽码)。在安全cpu9和10二者上存在有存储的参考码值，其被用于验证从(多个)操作者面板1接收的(多个)码和(多个)掩蔽码。

在操作者面板上的用户选择之后，存储的码(例如数值)和掩蔽码(其中掩蔽是将掩蔽应用到值的动作)分别在两个不同和独立的通信路径2、5和3、6上到达plc(可编程逻辑控制器)11的安全cpu模块7。在数据掩蔽中，数据的格式保持相同，但值被改变。数据可被更改用于以多个方式(包括加密、按位运算等)掩蔽。

通信路径2、5和3、6二者都不应必然地实现为安全通信。因此，码和掩蔽码的危险数据毁损理论上能发生。安全cpu模块负责错误检测，包括比较接收的码和掩蔽码的功能。应注意：掩蔽码在与码和存储的参考码作比较前被去掩蔽。

对于错误检测，在安全cpu模块7中，对于每个用户选择的预先定义的码参考值被安全地存储例如在每个安全cpu9和10上的闪速存储器中。这些存储的码参考值与从(多个)操作者面板1通过第一通信路径1(2,5)接收的码作比较。比较发生在运行在安全cpu9和10二者上的安全应用程序中，包括对通过在安全cpu9和10之间的同步通道8的最终结果(end-result)进行交叉检查(cross-check)。如果接收的码与存储的码参考值不相对应，则在安全cpu模块7上检测为错误。

除了码本身之外，掩蔽码(例如通过使用按位xor运算来掩蔽)通过第二通信路径2(3,6)被发送至安全cpu模块7。在安全cpu模块7上，进入的掩蔽码再次被去掩蔽，以便其能与经由通信路径1发送的有效接收的码进行比较，其中有效意味其与存储的参考码值相等。

比较再次发生在运行在安全cpu9和10二者上的安全应用程序中，包括对通过安全cpu9和10之间的同步通道8的最终结果(end-result)进行交叉检查(cross-check)。只有在通过第一通信路径1的有效接收的码与通过第二通信路径2有效接收的掩蔽码的比较是成功的时候，才会接受用户选择关于其由终端用户的进一步确认，如在图2-5中描述。通过操作者面板1的用户选择的确认以与用于选择过程相同的方式来实现，其意味着码和掩蔽码的值被用于相应地通过通信路径1和2发送以及在到达时针对安全cpu9和10上存储的码参考值作比较。

此时结合图1和6看图2到5，将在示例性实施例中解释根据本发明的方法。

该方法在步骤1中开始，其中用户通过使用在操作者面板1上的相关图形用户界面(gui)对象(例如按键或类似物)来选择一个或多个需要的对象1…n。

接下来，两样事并行发生。在步骤2a中，关于(多个)选择的gui对象的信息(例如码)通过第一通信路径(图1中2和5)传输至plc11的安全cpu模块7。在那里，见步骤3a，接收的信息((多个)码)保存在一个或两个安全cpu模块9、10的ram或flash存储器中。

在并行于步骤2a的步骤2b中，关于(多个)选择的gui对象的额外信息(例如掩蔽码)通过第二通信路径(图1中3和6)传输至plc11的安全cpu模块7。在那里，见步骤3b，接收的额外信息((多个)掩蔽码)保存在一个或两个安全cpu模块9、10的ram或flash存储器中。

现在步骤4中，如果(多个)码或(多个)掩蔽码单独地在没有预期的成对值(例如相应(多个)码或(多个)掩蔽码)的情况下可用，则在安全cpu模块上启动看门狗计时器。

如果看门狗计时器时间已期满而没有结果，步骤5中的质询环节则给出stop信号以及发出“在安全cpu模块处传送错误”信号。只要看门狗计时器运行，步骤6中另一个质询环节检查码和掩蔽码是否匹配于最初存储的码参考值。这是例如通过在安全cpu程序存储器中的安全cpu应用程序中的比较来完成。在存在有不匹配的情况下，创建stop信号以及忽略接收的码和掩蔽码的对用于进一步过程。

在步骤6得到结果为匹配的情况下，方法继续进行步骤7，见图3。接受接收的(多个)码和相关(多个)掩蔽码的对。

使用第一通信路径2、5将((多个)码被接收)的确认发送回至操作者面板1以示现用户选择被接受，见步骤8a。

并行地，使用第二通信路径3、6将((多个)掩蔽码被接收)的确认发送回至操作者面板1以示现用户选择被接受，见步骤8b。

一旦只有码或只有掩蔽码到达，在操作者面板1上启动看门狗计时器以等待相应地通过第一或第二通信路径(取决于缺失的是码还是掩蔽码)的确认直到对于选择的(多个)对象的相关gui符号被示现为已被选择，见步骤9。

在步骤10中，质询环节检查操作者面板1上的看门狗计时器是否在预期的确认到来之前已经期满。在是这样的情况下，发出stop信号，通知在操作者面板1处对于选择的对象(多个)的传送错误。

如果看门狗计时器仍还没有期满，质询环节(见步骤11)检查接收的码和掩蔽码是否匹配于彼此，例如通过在作为操作者面板应用程序的部分的软件模块中执行的比较。

在存在有不匹配的情况下，创建stop信号以忽略选择的(多个)对象的接收的码和掩蔽码。

在步骤11得出结果为匹配的情况下，方法继续进行步骤12，见图4。

在该步骤中，在操作者面板1上，选择的(多个)对象被示现为已被选择，例如通过使用专用gui对象作为反馈，见图6操作者面板1中第二行。

在接下来步骤13中，用户通过使用操作者面板1上的相关gui对象(例如按键等)来确认选择的(多个)对象1…n，见图6第三行。

现在再次两样事并行发生。

在步骤14a中，关于选择的确认对象(多个)的信息(例如(多个)码)通过第一通信路径(图1中2和5)传输至plc11的安全cpu模块7。在那里，见步骤15a，接收的信息((多个)码)保存在(多个)安全cpu模块9、10的ram或flash存储器中。

在步骤14b，并行于步骤14a，关于选择的确认对象(多个)的额外信息(例如(多个)掩蔽码)通过第二通信路径(图1中3和6)传输至plc11的安全cpu模块7。

在那里，见步骤15b，接收的额外信息((多个)掩蔽码)保存在(多个)安全cpu模块9、10的ram或flash存储器中。

一旦从确认动作只有码或只有掩蔽码已到达，在安全cpu7上启动看门狗计时器以等待相应地通过第一或第二通信路径(取决于缺失的是码还是掩蔽码)关于操作者面板1上选择的确认对象(多个)的确认，见步骤16。

在接下来步骤17中，见图5，质询环节检查安全cpu7上的看门狗计时器是否在预期的确认到来之前已期满。在是这样的情况下，发出stop信号，通知在安全cpu7处对于选择的确认对象(多个)的传送错误。

如果看门狗计时器仍还没有期满，则质询环节(见步骤18)检查码和掩蔽码是否匹配于最初存储的码参考值，例如通过在作为安全cpu应用程序部分的模块中执行的比较。

在存在有不匹配的情况下，创建stop信号以忽略确认对象(多个)的接收的码和掩蔽码。

在步骤18得出结果为匹配的情况下，方法继续进行最后步骤19。这在确认具有相关掩蔽码的码被接受之后，在安全应用程序中(通过操作者面板选择)激活关于码和掩蔽码的(多个)对的安全功能性。

参考符号列表

1操作者面板

2从操作者面板到plc的第一通信路径

3从操作者面板到plc的第二通信路径

4非安全cpu模块

5从非安全cpu模块到安全cpu模块的第一通信路径

6从非安全cpu模块到安全cpu模块的第二通信路径

7安全cpu模块

8同步通道

9第一安全cpu

10第二安全cpu

11plc

12非安全过程

13功能性安全过程

14过程或机器

100系统