專利名稱:提高控制系統(tǒng)的安全完整性等級的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在控制系統(tǒng)的上下文中控制算法的監(jiān)督�����、診斷及其執(zhí)行的多樣性����。一個裝置包括功能性,其將安全特性添加到控制器中���,并使控制器能夠滿足安全控制系統(tǒng)的需求��。這種系統(tǒng)需要診斷以便確保沒有發(fā)生那些否則會危害大眾����、設(shè)備和周圍環(huán)境的意外��。
背景技術(shù):
工業(yè)控制系統(tǒng)例如在制造和加工工業(yè)中應(yīng)用����,比如在化工廠、石油生產(chǎn)廠����、精煉廠、紙漿和造紙廠����、鋼廠和自動化工廠中應(yīng)用。工業(yè)控制系統(tǒng)也廣泛地應(yīng)用在電力工業(yè)中���。這種工業(yè)控制系統(tǒng)可能需要包括或結(jié)合那些添加安全特性的裝置�����。要求除標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)所提供的特性之外的附加安全特性的過程的示例是在離岸生產(chǎn)平臺��、在核電站處的某些處理部分和化工廠的危險區(qū)處的過程�����。安全特性可與安全停機�����、消防和/或警報系統(tǒng)協(xié)作使用���,以及用于火和氣的檢測�。
在安全相關(guān)的控制系統(tǒng)中使用高級的計算機系統(tǒng)引發(fā)了在驗證大量軟件代碼和復(fù)雜電子設(shè)備的正確性方面的難題���。對于如何使這種系統(tǒng)能夠獲得更高的安全等級�����,存在例如被描述為標(biāo)準(zhǔn)的現(xiàn)有技術(shù)�。這種現(xiàn)有技術(shù)通常集中在產(chǎn)品(包括硬件部分和軟件部分)的開發(fā)過程中���。其還描述了診斷功能性和算法?���,F(xiàn)有技術(shù)還致力于以不同的硬件冗余和軟件的多樣性來在執(zhí)行的控制系統(tǒng)中得到更高的安全等級����。高級的安全控制系統(tǒng)的實現(xiàn)在正常情況下是基于雙重或三重系統(tǒng),其具有在使能一個輸出信號前的某一類型的表決�。一些安全控制系統(tǒng)已經(jīng)通過將焦點集中在系統(tǒng)設(shè)計和實施這種系統(tǒng)中的最高可能的質(zhì)量,而實現(xiàn)了一個足夠安全的單一機組解決方案�。當(dāng)今的多機機組系統(tǒng)和單機機組系統(tǒng)經(jīng)常包含軟件和硬件中的某一數(shù)量的診斷算法���。
在DE19857683“Safety critical fucntion monitoring of control systems forprocess control applications has separate unit(用于過程控制應(yīng)用的控制系統(tǒng)中的安全關(guān)鍵功能監(jiān)控具有分立單元)”文獻中描述了一個包括有安全關(guān)鍵功能的工業(yè)控制系統(tǒng)的例子。該系統(tǒng)具有主控制器總線���,該總線通過多個分散型數(shù)據(jù)接收器與不同的處理器相耦合。
在GB2277814中描述了一個在工業(yè)控制系統(tǒng)中具有提高的故障檢測能力的裝置的例子�,其涉及一種包含有中央可編程單元(CPU)的容錯PLC(可編程邏輯控制器)。將一對第一I/O模塊連接在正電源總線和負(fù)載之間����。將一對第二I/O模塊連接在負(fù)電源總線和負(fù)載之間。在GB2277814中還描述了提供給負(fù)載的電源并不在位于負(fù)載的任一側(cè)上的I/O模塊之一故障后斷開�。
在US6,201,997中描述了一種雙處理器解決方案,其中兩個處理器接收相同的輸入數(shù)據(jù)且處理相同的程序��。
發(fā)明概述本發(fā)明的目的是使得能夠提高控制系統(tǒng)的安全完整性等級���。
該目的可通過以下方法實現(xiàn)�����,從而提高用于現(xiàn)實目標(biāo)控制的控制器的安全完整性等級��,該方法的步驟為�,附接安全硬件單元,下載軟件到控制器的CPU和所附接的安全硬件單元��,配置所附接的安全硬件單元��,以將控制器的輸出值設(shè)置在安全狀態(tài)中用于在線控制���。
本發(fā)明的優(yōu)點是使基于單控制器單元的控制系統(tǒng)的安全等級提高到以前主要是雙或三控制器系統(tǒng)才可得到的等級����。本發(fā)明降低了實現(xiàn)和維護這種控制系統(tǒng)的復(fù)雜度��。
本發(fā)明的另一個優(yōu)點是基于本發(fā)明且適于作高安全等級控制的控制系統(tǒng)也可通過不使用所添加的安全硬件單元��,而用于非安全關(guān)鍵(non safety-critical)的過程控制��。本發(fā)明使得能夠提高在使用單機機組控制器時的靈活性�。與控制系統(tǒng)的完全安全等級使用相比,這種單控制器的過程控制使用將是一個花費更少且更快速的控制器����。由于該可插接的安全硬件單元不被用于非安全關(guān)鍵的控制,所以與現(xiàn)有技術(shù)相比的���、在單控制器中更少量的軟件允許更大的應(yīng)用軟件執(zhí)行得更快��。
本發(fā)明的再一個優(yōu)點是使得一個控制器在其原始被安裝用于現(xiàn)實目標(biāo)控制后的某一時間可達到一個提高的安全完整性等級�����。例如����,一個控制器可首先被安裝去執(zhí)行非安全關(guān)鍵的控制,而一年后�,將該控制器配置成用于安全關(guān)鍵控制的已提高的安全完整性等級�����。
附加的優(yōu)點是得到了如何使用戶與可插接單元相接口的解決方案�。用戶接口將被簡化,使得例如工程師將指定用于應(yīng)用的所需的安全完整性等級��。
本發(fā)明的另一個目的是提供一種控制系統(tǒng)���,打算用于現(xiàn)實目標(biāo)的安全相關(guān)的控制�����。該控制系統(tǒng)包括具有單個主CPU的控制器��,和一個附接的安全硬件單元��,該安全硬件單元包括用于提高該控制系統(tǒng)的安全完整性等級的裝置����。
結(jié)合所附的示意圖,將對本發(fā)明進行更為詳細的說明���。
圖1所示的是依照本發(fā)明的方法的總覽�����。
圖2所示的是控制器與本地輸入/輸出以及與附接的安全硬件單元的簡化圖�。
圖3所示的是控制器與附接的安全硬件單元��、與通過總線解決方案連接的遠程輸入/輸出的簡化圖��。
圖4所示的是包含控制器與附接的安全硬件單元的控制系統(tǒng)的總覽�����。
優(yōu)選實施例的描述圖1所示的是依照本發(fā)明的方法的總覽����。該方法提供了一種提高了安全完整性等級的控制器10����,例如工業(yè)控制系統(tǒng)的工業(yè)控制器����。控制器的示例是可編程邏輯控制器(PLC)和現(xiàn)場控制器����。
在本描述中,控制器具有收集測量結(jié)果和對與控制系統(tǒng)相連的現(xiàn)實目標(biāo)進行控制的用途?����,F(xiàn)實目標(biāo)的示例為閥�、發(fā)動機��、泵����、壓縮機、開關(guān)設(shè)備����、傳送帶�、產(chǎn)品�����、原料或批量���。
按安全完整性等級是指控制器滿足實際的標(biāo)準(zhǔn)安全完整性等級或標(biāo)準(zhǔn)安全完整性等級����,例如SIL 1�,SIL 2,SIL 3或SIL 4(SIL根據(jù)標(biāo)準(zhǔn)IEC 61508或之后的IEC標(biāo)準(zhǔn))��。
圖1顯示該方法包括將安全硬件單元11(圖2中所示的)附接到控制器10的步驟�。安全硬件單元11與控制器的CPU進行通信。安全硬件單元11可以是電路板的形式���,并典型地包括CPU�����,也可以包括輸入/輸出(I/O)接口�����。這樣的I/O接口可包括一組存儲芯片和現(xiàn)場可編程門陣列(FPGA)�����。該安全硬件單元還可包括本地I/O通道���,例如數(shù)字輸出(DO)��,以便提供強制的輸出信號例如給外部警報系統(tǒng)����。此外��,該安全硬件單元可包括用于存儲器影像(memoryshadowing)的功能性�����。安全硬件單元11的一個替換名稱是安全模塊���。該安全硬件單元11包括經(jīng)由總線14與控制器的CPU進行通信的通信裝置。該安全硬件單元11可經(jīng)由底板與控制器10相連�。在可替換的實施例中,該安全硬件單元11是添加到控制器10的主電路板上的可插接單元,該主電路板包括控制器10的主CPU�。
另外,圖1顯示該方法包括將具有安全相關(guān)的配置數(shù)據(jù)的軟件不僅下載到如圖2中所示的控制器10中�����,還下載到所附接的安全硬件單元11的步驟���。在一個實施例中���,這種軟件的下載是由來自計算機裝置(例如個人計算機或工作站)的、與控制器10相連的軟件工具進行的��。配置數(shù)據(jù)的示例是取決于在前所提及的安全標(biāo)準(zhǔn)的應(yīng)用分類����。配置在安全相關(guān)的應(yīng)用之間的通信能力。這種配置數(shù)據(jù)的另一個示例是應(yīng)用訪問級別��,其涉及到用戶授權(quán)控制�。
圖1中所示方法的另一個步驟是配置安全硬件單元11,使其執(zhí)行安全功能邏輯���,并將控制器10的輸出值設(shè)置于安全狀態(tài)中用于在線安全控制�����。這確保了圖4中所示的控制系統(tǒng)20進入安全狀態(tài)���。將輸出值設(shè)置于安全狀態(tài)中或者以主動方式進行或者以被動方式進行�����。安全功能邏輯的執(zhí)行取決于該配置數(shù)據(jù)�����。用本領(lǐng)域普通技術(shù)人員所公知的語言編寫該安全功能邏輯�。這樣的語言可以是根據(jù)帶有安全相關(guān)功能的可能擴展的IEC6-1131���。
控制器10在帶有和不帶有附接的硬件單元11時都具有用于非安全相關(guān)的控制的相同控制功能性���。應(yīng)該理解的是與現(xiàn)有技術(shù)相比,這使得對安全控制有更靈活的技術(shù)解決方案����。作為示例,控制器10在帶有和不帶有附接的硬件單元11時都提供相同的程序指令組�。程序語言的示例是如IEC6-1131所定義的結(jié)構(gòu)化文本。這意味著原始僅為非安全關(guān)鍵的應(yīng)用而配置的控制器10可在隨后的時間被配置以前面所提及的安全硬件單元11�,并且在被配置用于在線安全控制后,該控制器10仍然可如添加安全硬件單元11之前般地運行相同的非安全關(guān)鍵的應(yīng)用�����。
在本發(fā)明的一個實施例中���,將控制器配置和控制器代碼下載到控制器10中����。是軟件工具的用戶22來啟動該控制器配置和控制器代碼的下載�。用戶的示例是工藝工程師、維修工程師或工藝操作員�。在定義控制器配置和控制器代碼期間或之后,產(chǎn)生硬件單元的診斷信息��。在該實施例中�,將該診斷信息下載到所附接的安全硬件單元11中,并用于在線診斷目的���。
圖2顯示在如圖1所示的上述方法中所涉及到的控制器可獲得對直接與控制器相連的多個輸入和輸出單元的訪問�。
圖3顯示在如圖1所示的上述方法中所涉及到的控制器可通過連接在控制器和輸入/輸出單元之間的總線而獲得對現(xiàn)實目標(biāo)的多個輸入和輸出值的訪問�。在這樣的實施例中�����,總線通信的有效性在所附接的安全硬件單元11中得到驗證��。這樣的輸入/輸出單元的一個示例是遠程I/O�?��?偩€的一個示例是現(xiàn)場總線�?��?偩€的另一個示例是控制器的內(nèi)部總線���,例如在控制器10的底板上運行的總線。
如果不同地實現(xiàn)總線驗證邏輯��,則這是一個優(yōu)點���。此外�,如果在本發(fā)明的一個實施例中����,所附接的安全硬件單元不同地產(chǎn)生用于總線通信的安全相關(guān)的頭標(biāo)��,則這也是一個優(yōu)點����。
為了進一步改善控制系統(tǒng)的可靠性和診斷����,輸入/輸出單元15可包括兩種不同的實現(xiàn)��,每種均驗證總線業(yè)務(wù)量的正確性����,并且每種均產(chǎn)生出用于總線14通信的安全相關(guān)的頭標(biāo)。
另外���,在本發(fā)明的一個實施例中��,在所附接的安全硬件單元11中對控制器10的定時監(jiān)督進行驗證����。本發(fā)明的一個實施例還可包括在所附接的硬件單元11中對邏輯的正確次序進行驗證�����。此外,一個實施例可包括在所附接的硬件單元11中對新控制功能性邏輯的正確下載進行驗證�。例如,這樣的驗證可涉及到一個校驗和的測試����。
僅允許那些作為安全分類的用戶登錄的用戶去修改控制功能性邏輯和參數(shù)是十分有利的。這種分類可借助用戶密鑰而在控制系統(tǒng)中得到驗證�����。
可將安全硬件單元11配置成作為控制器10的從動裝置運行��。那意味著在安全硬件單元中執(zhí)行的安全功能邏輯是從控制器觸發(fā)的����。安全硬件單元監(jiān)督它是在定義的時間被觸發(fā)的。
在另一個實施例中�����,安全硬件單元11可包括冗余配置中的第一和第二模塊���。第二模塊典型情況下是由來自于第一模塊的數(shù)據(jù)更新的��,并且如果檢測到第一模塊出現(xiàn)故障����,則第二模塊從第一模塊接管控制系統(tǒng)的安全相關(guān)的控制?����?刂破骺删哂腥哂嗟腃PU單元��,其在主CPU單元出現(xiàn)故障的情況下����,從主CPU單元接管對現(xiàn)實目標(biāo)的控制�����。冗余的CPU建立與所附接的安全硬件單元的第一或第二模塊的通信�����。
本發(fā)明的另一個實施例是控制系統(tǒng)20���,其用于對現(xiàn)實目標(biāo)的安全相關(guān)的控制����。這樣一個控制系統(tǒng)包括具有單個主CPU的控制器10,和所附接的安全硬件單元11��,該安全硬件單元包括將控制器的輸出值設(shè)置于安全狀態(tài)中用于在線安全控制的裝置�����。
權(quán)利要求
1.一種為現(xiàn)實目標(biāo)控制提高控制器(10)的安全完整性等級的方法��,其特征在于以下步驟將一個安全硬件單元(11)附接到所述控制器(10)�,其中該安全硬件單元(11)與所述控制器的CPU進行通信,將具有安全相關(guān)的配置數(shù)據(jù)的軟件下載到所附接的安全硬件單元(11)和該控制器(10)中�,取決于安全相關(guān)的配置數(shù)據(jù),配置所附接的安全硬件單元(11)以執(zhí)行安全功能邏輯�����,并且以主動或被動的方式將控制器(10)的輸出值設(shè)置于安全狀態(tài)中用于在線安全控制��。
2.根據(jù)權(quán)利要求1的方法��,其特征在于�����,該控制器(10)具有執(zhí)行一組非安全關(guān)鍵的控制功能的能力,該組非安全關(guān)鍵的控制功能在附接該安全硬件單元(11)之前以及之后是相同的�����。
3.根據(jù)權(quán)利要求2的方法�����,其特征在于配置步驟包括以下的附加步驟��,將診斷信息下載到所附接的安全硬件單元(11)中�����,該診斷信息之前作為控制器(10)的用戶配置的結(jié)果而由軟件工具自動產(chǎn)生����,并且在安全關(guān)鍵的控制期間����,在所附接的安全硬件單元(11)中利用該診斷信息。
4.根據(jù)前面任何一權(quán)利要求所述的方法����,其特征在于,對多個現(xiàn)實目標(biāo)的輸入和輸出值的訪問是通過在控制器(10)和輸入/輸出單元(15)之間所連接的總線(14)而得到的,并且總線(14)通信的有效性是在所附接的安全硬件單元(11)中進行驗證的�����。
5.根據(jù)前面任何一權(quán)利要求所述的方法���,其特征在于控制器(10)的定時監(jiān)督是在所附接的安全硬件單元(11)中進行驗證的����。
6.根據(jù)前面任何一權(quán)利要求所述的方法���,其特征在于編碼邏輯的正確次序是在所附接的安全硬件單元(11)中進行驗證的�。
7.根據(jù)前面任何一權(quán)利要求所述的方法��,其特征在于控制器(10)中存儲器內(nèi)容的正確性是在所附接的安全硬件單元(11)中進行驗證的�。
8.根據(jù)前面任何一權(quán)利要求所述的方法,其特征在于新控制功能性邏輯到控制器中的下載是在所附接的安全硬件單元(11)中進行驗證的��。
9.根據(jù)前面任何一權(quán)利要求所述的方法���,其特征在于�,所附接的安全硬件單元(11)執(zhí)行核對���,以便僅允許那些作為安全分類的工程師和安全分類的操作員登錄的用戶去修改控制功能性邏輯和參數(shù)���。
10.根據(jù)權(quán)利要求4的方法���,其特征在于,在所附接的安全硬件單元(11)中總線(14)通信驗證邏輯是不同地實施的��。
11.根據(jù)權(quán)利要求4的方法��,其特征在于����,所附接的安全硬件單元(11)為總線(14)通信不同地產(chǎn)生安全相關(guān)的頭標(biāo)。
12.根據(jù)權(quán)利要求11的方法���,其特征在于,輸入/輸出單元(15)具有兩種不同的實現(xiàn)�����,每種均對總線(14)業(yè)務(wù)量的正確性進行驗證����,并且每種均為總線通信產(chǎn)生安全相關(guān)的頭標(biāo)����。
13.根據(jù)前面任何一權(quán)利要求所述的方法��,其特征在于所附接的安全硬件單元包括冗余配置中的第一和第二模塊���,在發(fā)生故障時第二模塊用第一模塊中存在的數(shù)據(jù)進行更新����,并且如果檢測到第一模塊發(fā)生故障���,則第二模塊從第一模塊接管控制系統(tǒng)的安全相關(guān)的控制����。
14.根據(jù)權(quán)利要求13的方法�����,其特征在于����,將一個冗余控制器單元附接到控制器(10),在主控制器出現(xiàn)故障的情況下由其進行接管�����,并且該冗余控制器單元建立與所附接的安全硬件單元中工作的第一模塊或工作的第二模塊的通信。
15.一種控制系統(tǒng)(20)�,用于對現(xiàn)實目標(biāo)的安全相關(guān)的控制,其特征在于該系統(tǒng)包括單個主CPU����,處理控制器(10)的主過程,附接的安全硬件單元(11)��,其包括提高控制器的安全完整性等級的裝置���,并且包括將控制器的輸出值設(shè)置于安全狀態(tài)中用于在線安全控制的裝置����。
16.根據(jù)權(quán)利要求15的控制系統(tǒng)����,其特征在于,控制器(10)具有執(zhí)行一組非安全關(guān)鍵的控制功能的能力��,該組非安全關(guān)鍵的控制功能在附接該安全硬件單元之前以及之后是相同的�。
17.根據(jù)權(quán)利要求16的控制系統(tǒng)����,其特征在于它包括用于將診斷信息下載到所附接的安全硬件單元的裝置�����,該診斷信息之前作為控制器的用戶配置的結(jié)果而由軟件工具自動產(chǎn)生�����,并且在安全關(guān)鍵的控制期間���,在所附接的安全硬件單元中利用該診斷信息。
18.根據(jù)權(quán)利要求17的控制系統(tǒng)��,其特征在于它包括輸入/輸出單元(15)�����,通過總線與控制器(10)相連����,并且總線(14)通信的有效性是在所附接的安全硬件單元中進行驗證的。
19.根據(jù)權(quán)利要求18的控制系統(tǒng)���,其特征在于��,在所附接的安全硬件單元(11)中的總線(14)通信驗證邏輯是不同地實現(xiàn)的���。
20.根據(jù)權(quán)利要求19的控制系統(tǒng)���,其特征在于,所附接的安全硬件單元(11)為總線(14)通信不同地產(chǎn)生安全相關(guān)的頭標(biāo)���。
全文摘要
一種能夠執(zhí)行非安全相關(guān)的控制邏輯的控制器�����。將安全模塊添加到該控制器中����,以便提高控制系統(tǒng)的安全完整性等級���??刂破饔谑悄軋?zhí)行對現(xiàn)實目標(biāo)的與安全相關(guān)的控制�����。這種控制系統(tǒng)可例如存在于離岸的生產(chǎn)平臺或化學(xué)工廠的危險區(qū)中。
文檔編號G06F1/00GK1791845SQ200380106396
公開日2006年6月21日 申請日期2003年12月16日 優(yōu)先權(quán)日2002年12月19日
發(fā)明者A·奧佩姆, M·岡恩馬克, K·漢森 申請人:Abb股份有限公司