用于控制带有多个设备硬件部件的自动化设备的安全控制装置和方法

专利名称：用于控制带有多个设备硬件部件的自动化设备的安全控制装置和方法
用于控制带有多个设备硬件部件的自动化设备的安全控制
装置和方法本发明涉及一种用于控制带有多个设备硬件部件的自动化设备的安全控制装置， 其中所述多个设备硬件部件分别包括至少一个传感器和/或至少一个执行器。此外，本发明涉及一种用于控制带有多个设备硬件部件的自动化设备的方法，其中所述多个设备硬件部件分别包括至少一个传感器和/或至少一个执行器。所述类型的安全控制装置和方法以多种方式从现有技术中已知。在本发明的意义下的安全控制装置是如下设备或者装置其接收传感器提供的输入信号并且由此通过逻辑链接和可能另外的信号处理步骤或数据处理步骤产生输出信号。 输出信号可以输送给执行器，执行器根据输入信号在环境中引起有针对性的动作或者反应。这种安全控制装置的一个优选的应用领域是在机械安全的范围中监控应急关断按键、双手控制装置、安全门或者光栅。这种传感器用于对机器进行防护，其中在工作中从该机器中产生对于人或者材料物品的危险。在打开安全门或者在操作应急关断按键时，分别产生信号，该信号输送给安全控制装置作为输入信号。响应于此，安全控制装置于是例如借助执行机构将机器的带来危险的部分关断。不同于“正常”控制装置，对安全控制设备典型的是，当在安全控制设备中或者与其相连的设备中出现故障时，安全控制设备于是始终保证引起危险的设备或者机器的安全状态。因此，在安全控制装置中对于自己的故障安全性提出了极高的要求，这导致在开发和制造时的巨大开销。通常，安全控制装置在其使用之前需要通过主管的监管部门的特别许可，例如在德国通过专业协会或者τ ν许可。在此，安全控制装置必须遵守预先给定的安全标准，其例如记录在欧洲标准EN %4-1或类似的标准例如标准IEC 61508或者标准EN ISO 13849-1中。因此，以下安全控制装置理解为如下设备或者装置其至少满足所述欧洲标准 EN 954-1的安全类型3。可编程的安全控制装置为用户提供了如下可能性借助软件、所谓的应用程序根据其要求单独地确定逻辑链接以及必要时其他的信号或者数据处理步骤。由此，得到与以前的解决方案相比大的灵活性，在以前的解决方案中，逻辑链接通过在不同的安全模块之间的限定的布线来产生。应用程序例如可以借助市面上可获得的个人计算机(PC)并且通过使用相应地设计的软件程序来创建。在安全控制装置中运行的应用程序确定了在通过安全控制装置控制的设备上运行的过程。该过程借助过程诊断来监控。在过程诊断的范围中，检验在限定的时刻存在要控制的设备的多个过程状态中的哪个过程状态。由此，检测允许的以及不允许的过程状态。 目的是，检测不允许的过程状态、所谓的干扰，并且在显示单元上显示这些过程状态，使得要控制的设备的操作人员可以排除干扰。通常，这种显示单元是集成到要控制的设备的控制台中的显示单元。总之，通过过程诊断和与其关联的对所检测的、即确定的过程状态的显示，在显示单元上示出了过程图像，该过程图像不仅包括允许的过程状态而且包括不允许的过程状态。借助过程诊断检测的过程状态尤其是通过逻辑询问来确定，因此所确定的不允许的过程状态也被称为逻辑错误。在这种逻辑询问情况下，例如对于借助传感器检测的量进行边界值比较或者范围比较，即所检测的量的各存在的测量值与一个或者多个边界值比较。对此的一个例子是监控容器的料位。为此，料位传感器与容器关联。料位传感器产生料位信号，其代表所检测到的容器的料位。通常，料位信号是电压，其中电压值与容器中存在的料位成比例。根据进一步的处理是模拟还是数字地进行，将该电压值本身或者从中导出的量与边界值比较。如果在该比较中确定超过了边界值，则这解释为“容器满”，并且不生成诊断报告。而如果在比较中确定，低于边界值，则这解释为“容器空”。据此得出，存在不允许的过程状态，错误状态。在显示单元上于是显示诊断报告，其代表该不允许的过程状态。由此，在显示单元上显示逻辑错误。然而现在两种情况是可能的。在第一种情况中，容器确实是空的。在该情况中，所确定的过程状态、即所确定的逻辑错误与实际情况相对应。在显示单元上示出的诊断报告正确地反映了实际情况。容器要由操作人员、例如维护员填充。然而第二情况也是可能的，其中容器实际上并不空。在该情况中，所确定的过程状态、即所确定的逻辑错误并未对应于实际情况，并且在显示单元上示出的诊断报告没有正确地反映实际情况。当料位传感器故障时或者在料位传感器中连接到安全控制装置上的布线存在故障或者在安全控制装置本身中存在故障时，例如情况才会如此。在所有这些情况中，显示诊断报告，其指示空的容器，虽然容器是满的。该诊断报告的显示不仅让人迷惑，此外操作人员并未得到关于实际原因的指示，该实际原因导致通过过程诊断确定所显示的诊断报告所基于的过程状态。前述说明表明，在已知的安全控制装置和方法中使用的诊断措施还不是最优的。因此，本发明的任务是，改进开头所述类型的安全控制装置和方法，以便更好地通知设备的操作人员在设备的工作中出现的干扰，并且在消除这种干扰时进行更好地辅助。该任务通过开头所述类型的安全控制装置来解决，其具有以下装置控制单元，其被多个传感器输送多个控制输入信号，其中控制单元构建用于根据控制输入信号按照在控制单元中运行的应用程序产生多个控制输出信号，其中借助多个控制输出信号来激励多个执行器；用于显示单元的接口，其中显示单元构建用于显示诊断报告；过程诊断分析单元， 其被输送多个过程诊断输入信号，其中过程诊断分析单元构建用于根据所述多个过程诊断输入信号来确定在限定的第一时刻存在要控制的设备的多个过程状态的哪个，其中过程诊断分析单元构建用于产生多个过程状态信号，其中多个过程状态信号代表多个确定的过程状态，其中在限定的第一时刻存在多个确定的过程状态；系统诊断分析单元，其被所述多个系统诊断输入信号，其中系统诊断分析单元构建用于根据多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个，其中系统诊断分析单元构建用于产生多个系统状态信号，其中多个系统状态信号代表多个确定的系统状态，其中在限定的第二时刻存在多个确定的系统状态；诊断报告单元，其被输送多个过程状态信号和多个系统状态信号，其中诊断报告单元构建用于为多个确定的过程状态以及为多个确定的系统状态提供多个诊断报告，其中至少对于确定的过程状态之一根据该过程状态以及多个关联的系统状态来提供诊断报告，其中所述多个关联的系统状态包含在多个确定的系统状态中并且与该过程状态关联，其中诊断报告单元产生多个诊断信号，其中多个诊断信号代表多个诊断报告，其中多个诊断信号被输送给显示单元用于显示多个诊断报告。此外，该任务通过开头所述类型的方法来解决，其中实施以下步骤-根据多个过程诊断输入信号来确定在限定的第一时刻存在要控制的设备的多个过程状态的哪个，并且产生多个过程状态信号，其中多个过程状态信号代表多个确定的过程状态，其中在限定的第一时刻存在多个确定的过程状态，-根据多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个，并且产生多个系统状态信号，其中多个系统状态信号代表多个确定的系统状态，其中在限定的第二时刻存在多个确定的系统状态，-将多个过程状态信号和多个系统状态信号输送给诊断报告单元，-为多个确定的过程状态以及为多个确定的系统状态提供多个诊断报告，其中至少对于确定的过程状态之一根据该过程状态以及多个关联的系统状态来提供诊断报告，所述多个关联的系统状态包含在多个确定的系统状态中并且与该过程状态关联，并且在诊断报告单元中产生多个诊断信号，其中多个诊断信号代表多个诊断报告，-将多个诊断信号输送给显示单元用于显示多个诊断报告。根据本发明的安全控制装置和根据本发明的方法所基于的思想是，将过程诊断与系统诊断链接。为此，设计了过程诊断分析单元，其构建用于根据输送给其的多个过程诊断输入信号来确定在限定的第一时刻存在要控制的设备的多个过程状态的哪个。总之，在限定的第一时刻可以存在多个确定的过程状态。此外，设计了系统诊断分析单元，其构建用于根据输送给其的多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个。总之，在限定的第二时刻可以存在多个确定的系统状态。安全控制装置的系统状态是如下状态一方面这样的安全控制装置、即在其中安置有逻辑部件例如处理器和存储器的结构单元可以占据该状态，处理器和存储器对于实现控制任务是必需的，以及另一方面要控制的设备的与该结构单元电连接的部件例如传感器和执行器，以及此外同样与该结构单元连接的所谓的报告设备例如工作方式选择开关可以占据该状态。在该考虑中也一同包括全部的布线。关于诊断，尤其是感兴趣如下系统状态 其中在前面列举的部件之一上出现故障。这些故障被称为物理错误。过程诊断和系统诊断的链接通过如下方式进行对于确定的过程状态(对于该过程状态在确定的系统状态中包含与该过程状态关联的系统状态)，根据该过程状态本身以及多个关联的系统状态提供诊断报告。通过根据本发明的方式，实现了在提供诊断报告时同时考虑过程状态本身以及与该过程状态关联的系统状态。也就是说，在提供诊断报告中，不仅涉及确定的过程状态本身，而且也涉及引起该过程状态的系统状态。换而言之，在提供诊断报告时，不仅考虑逻辑错误，而且也考虑引起该逻辑错误的物理错误。过程状态和引起该过程状态的系统状态的同时考虑形成了使操作人员全面地获悉设备工作时出现的干扰的基础。可以通知操作人员逻辑错误所基于的物理错误。由此， 操作人员可以立即采取措施以消除物理错误并且由此消除干扰。
同时，通过根据本发明的方式，提高了关于诊断报告的可靠性，该诊断报告代表确定的过程状态。如果在显示单元上显示诊断报告，其仅仅包含对于确定的过程状态、即对于逻辑错误的信息，而并不包含对基础的系统状态并且由此对于引起逻辑错误的物理错误的指示，则基于根据本发明的方式这意味着，确定的过程状态正确反映了实际情况，并且不存在对于诊断报告的物理错误原因。因为安全控制装置必须实现为使得为了实现故障安全的控制而检测全部可能的物理错误。通过根据本发明的方式，由此实现了使操作人员获悉在设备的工作中出现的干扰以及实现了在消除这些干扰时更好的辅助。在结合根据本发明的安全控制装置以及根据本发明的方法谈及操作人员时，其不仅理解为设备的传统的操作员，而且也理解为维护员、装配员、应用程序的创建者或者安全控制装置的制造商。上述任务因此被完全解决。在下面示出本发明的优选的扩展方案之前，要提出一些考虑。根据上述说明，过程诊断分析单元构建用于确定在限定的第一时刻存在要控制的设备的多个过程状态的哪个，而系统诊断分析单元构建用于确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个。在限定的第一时刻和第二时刻中的区别考虑了以下事实可编程的安全控制装置是基于微处理器时间离散地以限定的时钟频率工作的系统。基于此，将时间连续的、即模拟的信号(如其例如由传感器所提供的那样)转换为数字信号， 由此其在安全控制装置中的处理是完全可能的。该转换在通过时钟频率预先给定的时刻进行。由此会出现的是，对于过程状态和关联的系统状态，在相差较小的时刻进行询问，借助该询问可以确定存在相应的状态。例如当在安全控制装置中比对于系统状态而要分析的量更早地提供对于过程状态要分析的量时，情况如此。于是，在安全控制装置中在不同的时刻确定过程状态和系统状态。通常，这两个时刻在限定的小的时间间隔内，其长度对应于通过时钟频率预先给定的周期持续时间的多倍。在该情况中，限定的第一时刻和限定的第二时刻彼此非常紧密，系统状态和过程状态几乎同时确定。对限定的第一时刻和限定的第二时刻的考虑也应当包括如下事实其中在确定过程状态和确定系统状态之间存在数秒或者甚至数分钟。前面示出的基于功能的划分为过程诊断分析单元、系统诊断分析单元和诊断报告单元对于在安全控制装置内具体实现的结构构型不应具有预先的限定。于是可能的是，这三个单元的思想在结构上独立地实施，或者过程诊断分析单元和系统诊断分析单元实施为共同的结构单元，或者甚至所有三个单元实施为共同的结构单元。在本发明的一个优选的扩展方案中，诊断报告单元构建为确定多个关联量，其中关联量显示出多个确定的系统状态的哪个分别与多个确定的过程状态的哪个关联，其中诊断报告单元构建用于根据多个关联量来确定多个关联的系统状态。该措施为系统状态与过程状态的关联提供了简单的方式。由此，引起确定的过程状态的多个确定的系统状态与该过程状态关联。在本发明的一个优选的扩展方案中，诊断报告单元具有关联存储单元，其中至少对于多个过程状态中的多个以及至少对于多个系统状态中的多个而存储了多个关联量，其中储存的关联量表明，基于预先定义的关联，多个系统状态中的哪个分别与多个过程状态中的哪个关联，其中诊断报告单元构建用于对于多个确定的系统状态和多个确定的过程状态构成的多个对选择多个储存的关联量，其中这些选择的关联量的每个代表所述对的至少一个，其中诊断报告单元构建用于根据多个关联量来确定多个关联的系统状态。通过该措施，以简单的并且此外非常可靠的方式和方法能够确定多个关联的系统状态。通过在关联存储单元中固定储存预先限定的、在多个系统状态和多个过程状态之间分别存在的关联，可以明确地确定，确定的系统状态的哪个与确定的过程状态的哪个分别关联。由此，保证了完全并且可靠地告知设备的操作人员。优选的是，这些关联量构建为逻辑量，其示出，对于在多个系统状态和多个过程状态之间可能的组合的哪个分别存在关联。对于关联量而言，多种实施形式是可能的。于是， 例如可以是矩阵，其中当在属于其矩阵区的过程状态和属于该矩阵区的系统状态之间存在预先限定的关联时，于是在矩阵区中输入逻辑1，并且当在属于该矩阵区的过程状态和属于该矩阵区的系统状态之间并不存在预先限定的关联时，于是在矩阵区中输入逻辑0。可替选地，关联量可以是多个向量。在此，这些向量的每个都代表多个过程状态的一个，并且说明通过预先限定的关联与该过程状态关联的系统状态。在另一可替选方案中，关联量可以是多个元组(Dupel)。这些元组的每个代表多个系统状态之一和多个过程状态之一的组合，在它们之间存在预先限定的关联。在本发明的一个优选的扩展方案中，诊断报告单元构建用于在存在确定的过程状态和多个关联的系统状态情况下提供多个系统诊断报告作为对于该过程状态的诊断报告， 其中多个系统诊断报告代表多个关联的系统状态。如已经阐述的那样，过程状态(即逻辑错误)具有系统状态(即物理错误)作为原因。通过该措施，实现了，对于确定的过程状态在显示单元上并不显示代表该过程状态的过程诊断报告，而是立即显示代表多个关联的系统状态的系统诊断报告。由此，对于设备的操作人员立即显示存在哪种物理错误。操作人员由此可以立即开始排除干扰。该措施由此能够实现时间上最优的干扰排除。在本发明的一个优选的扩展方案中，诊断报告单元构建用于，在存在确定的过程状态和多个关联的系统状态情况下，提供组合诊断报告作为对于该过程状态的诊断报告， 其中组合诊断报告不仅包含过程诊断报告而且包含多个系统诊断报告，其中过程诊断报告代表确定的过程状态，并且多个系统诊断报告代表多个关联的系统状态。该措施具有的优点是，设备的操作人员被全面地告知确定的过程状态以及与该过程状态关联的确定的系统状态。由此，操作人员被告知存在的逻辑错误以及引起该逻辑错误的物理错误。不仅保证了全面地告知操作人员，基于全面的告知，直接排除干扰状态是可能的。在前面提及的措施的另一扩展方案中，显示单元构建用于-首先显示过程诊断报告并且在存在系统诊断要求的情况下用多个系统诊断报告的至少之一来替代过程诊断报告，或者补充于过程诊断报告显示多个系统诊断报告的至少之一，或者-同时显示过程诊断报告和多个系统诊断报告的至少之一，或者-仅仅显示多个系统诊断报告的至少之一。如果提供组合诊断报告作为诊断报告，则就显示组合诊断报告中包含的信息而言原则上不同方式也是可能的。第一替选方案(其中首先显示过程诊断报告并且在存在系统诊断要求的情况下替代地或者补充地显示系统诊断报告的至少之一)以及第二替选方案(其中从开始就同时显示过程诊断报告和系统诊断报告的至少之一)都具有全面通知操作人员的优点。相对于第二替选方案，第一体替选方案具有的优点是，在显示单元上的显示首先更为清楚，并且在需要时，当例如人员读取显示单元，其具有相应的访问授权，该访问授权能够实现介入设备中用于消除干扰时，则可以显示物理错误中的一个或者多个并且由此显示设备中存在的缺陷。第三替选方案(根据其从开始仅仅显示系统诊断报告的至少之一)使得设备的操作人员能够立即开始排除干扰。此外，其具有清楚显示的优点。在本发明的一个优选的扩展方案中，诊断报告单元构建用于在存在确定的过程状态和多个关联的系统状态情况下，首先提供过程诊断报告作为第一诊断报告，并且在存在系统诊断要求时附加地提供多个系统诊断报告作为第二诊断报告，其中过程诊断报告代表确定的过程状态，并且多个系统诊断报告代表多个关联的系统状态。该措施设计为，以两个步骤提供诊断报告。在第一步骤中，仅仅提供过程诊断报告。如果存在系统诊断要求，则在第二步骤中提供多个系统诊断报告。由此，保证了通过提供诊断报告并未与不必要的计算开销相联系。根据该方式，对于提供系统诊断报告于是仅仅当存在系统诊断要求时才导致计算开销。在前述措施的另一扩展方案中，显示单元构建用于通过多个系统诊断报告的至少之一来替代过程诊断报告，或者补充于过程诊断报告显示多个系统诊断报告的至少之一。该措施能够实现全面地并且附加地清楚地告知设备的操作人员。在前述措施的另一扩展方案中，显示单元与系统诊断请求单元关联，其中系统诊断请求单元构建用于检测系统诊断要求。该措施使得读取显示单元的人员能够以简单的方式和方法发送系统诊断要求，以便在需要时显示系统诊断报告。有利的是，显示单元和系统诊断请求单元形成一个结构单兀。在本发明的一个优选的扩展方案中，过程诊断分析单元构建用于持续确定在限定的时刻分别存在多个过程状态中的哪个，和/或系统诊断分析单元构建用于持续确定在限定的时刻分别存在多个系统状态中的哪个。通过该措施，保证了不仅在小的时间间隔中生成诊断报告，而且持续地并且由此在较长的时段上、例如在设备的整个工作期间生成诊断报告。由此，保证了设备的操作人员也在时间方面全面地被告知出现的干扰。确定多个过程状态中的哪个分别存在的限定时刻通过限定的第一时刻以及例如时钟频率来确定，其中安全控制装置以该时钟频率工作。相应内容适用于系统状态，然而涉及限定的第二时刻。在前述措施的另一扩展方案中，诊断报告单元具有状态存储单元，其构建用于持续地储存确定的过程状态和确定的系统状态，其中诊断报告单元构建用于在确定是否要储存的系统状态是关联的系统状态时，和/或在确定是否对于要储存的过程状态存在关联的系统状态时，考虑已经储存的确定的系统状态和/或已经储存的确定的过程状态。该措施能够实现将在大时间间隔上确定的过程状态和系统状态结合，即确定与过程状态关联的系统状态并且提供相应的诊断报告。因为以下情况是可能的在较早的时刻已经确定了系统状态并且由此确定物理错误，因为例如传感器故障。然而在该时刻尚未确定过程状态、即逻辑错误，因为在该时刻例如包含在应用程序中的例程还根本未被调用，其中在例程中处理传感器所提供的信号。在该情况中，可以进行过程状态和系统状态的结合。 总之，该措施能够实现全面地告知设备的操作人员。有利的是，对于已经储存的确定的系统状态和/或已经储存的确定的过程状态的考虑通过如下方式进行在确定要储存的系统状态和/要储存的过程状态的关联量时，考虑已经储存的确定的系统状态和/或已经储存的确定的过程状态。一方面，选择代表如下预先限定的关联的关联量其表明要储存的系统状态与哪些过程状态关联；并且另一方面，选择代表如下预先限定的关联的关联量其表明要储存的过程状态与哪些系统状态关联。在此，有利地考虑的是，关联量的哪些已经在较早的时刻被选择。由此，避免了重新显示诊断报告。有利的是，除了确定的过程状态之外也储存代表这些过程状态的过程诊断报告。 同样地，对于确定的系统状态也储存代表这些系统状态的系统诊断报告。在状态储存单元中持续地储存确定的过程状态和确定的系统状态具有另外的优点。于是可能的是，提供关于要控制的设备和/或安全控制装置的当前状态的报告。在此， 除了当前确定的过程状态和当前确定的系统状态之外，也考虑储存在状态存储单元中的已经确定的过程状态和已经确定的系统状态。此外可能的是，提供代表状态改变的报告。此外，可以进行分析和由此进行诊断，哪些诊断报告当前等待处理。此外，可以创建事件报告， 其包含关于如下内容的说明在哪个时刻出现、即提供诊断报告以及在哪个时刻诊断报告又消失，即通过诊断报告代表的干扰被消除。在本发明的一个优选的扩展方案中，控制单元具有带有多个输入端和多个输出端的输入/输出单元，其中输入/输出单元构建用于通过多个输入端中的多个分别接收多个控制输入信号中的至少之一，并且通过多个输出端的多个分别输出多个控制输出信号的至少之一，其中应用程序包括多个程序变量，其中多个程序变量包括多个输入变量和多个输出变量，其中根据在创建应用程序时限定的关联规则，一方面将输入变量分别与输入端之一以及通过该输入端接收的控制输入信号关联，并且另一方面将输出变量分别与输出端之一以及通过该输出端输出的控制输出信号关联，其中根据关联规则创建所储存的关联量。该措施能够以简单的方式和方法并且没有大的开销地确定储存的关联量，更确切地说，预先限定的关联。在创建应用程序时的子步骤在任何情况下为将输入变量与控制输入信号关联，并且由此与安全控制装置的输入端子关联，以及将输出变量与控制输出信号关联并且由此与安全控制装置的输出端子关联，因为没有该关联不可能通过应用程序控制设备。该关联通常称为I/O映射。通过该关联，已知了在一方面为通过输入变量以及输出变量代表的过程并且另一方面为通过安全控制装置的输入端子和输出端子或者控制输入信号和控制输出信号代表的系统之间的链接。由此，该关联可以作为过程状态和系统状态的链接的基础，更确切地说，使用系统状态与过程状态的关联。在此，顺序并不重要，即是否变量与信号关联并且由此与端子关联或者是否变量与端子关联并且由此与信号关联并不重要。重要的仅仅是，这三个任务聚集在一起。借助下面的例子要表明作用方式。如果例如在输入端子上存在错误，所谓的物理错误，则确定相应的系统状态。基于在输入端子上的错误，关联的输入变量也一定有错误。如果现在通过使用该输入变量进行边界值观察(其为确定过程状态的基础)，则基于有错误的输入变量识别出逻辑错误并且由此确定过程状态。基于对于I/O映射所使用的关联信息，现在确定，所确定的系统状态与确定的过程状态关联。保留在独立的申请中继续要求前面确定的措施所基于的方式。在本发明的一个优选的扩展方案中，通过提供多个软件部件来创建应用程序，其中多个软件部件对应于多个设备硬件部件，其中至少一定数量的软件部件分别与一定数量的多个过程状态以及一定数量的过程诊断报告关联，其中多个过程诊断报告代表多个过程状态中的多个。该措施能够实现以简单的方式和方法创建应用程序。过程状态和代表过程状态的过程诊断报告与各软件部件的关联具有多个优点。通过使用软件部件(过程状态以及代表这些过程状态的过程诊断报告与这些软件部件关联)，在应用程序内保证了所述形式的统一性，使得对于在要控制的设备中包含的相同的设备硬件部件，在相应选择的情况下，彼此之间关于过程诊断提供相同的软件部件。这最后也有助于提高故障安全性。在本发明的一个优选的扩展方案中，应用程序具有带有多个层次等级的层次结构化的结构，其中在创建应用程序时确定设备结构量，其代表应用程序的层次结构化的结构， 其中诊断报告单元构建用于根据设备结构量提供多个诊断报告。在各层次等级中分别关联有多个软件部件，其中这些软件部件的每个对应于设备硬件部件。如果设备硬件部件是简单的部件，则这里相应的软件部件实施为基本部件，其本身并不包含其他的软件部件。而如果设备硬件部件是复杂的部件，则这里相应的软件部件构建为组部件，并且本身又包含软件部件。组部件导致应用程序的层次结构化的结构，该结构又对应于要控制的设备的结构。根据设备结构量提供多个诊断报告具有以下优点确定的过程状态明确地与软件部件关联。因此，对于确定的过程状态可以提供诊断报告，其储存在关联的软件部件中，该软件部件与该过程状态关联。基于设备结构量又已知的是，下一个更高的层次等级或者位于更高的层次等级的哪个软件部件基于结构与软件部件关联，其中确定的过程状态与该软件部件关联。该基于结构的关联现在可以用于替代储存在与确定的过程状态关联的软件部件中的诊断报告提供如下诊断报告该诊断报告储存如下软件部件中，该软件部件位于下一个更高的层次等级或者更高的层次等级中，并且与确定的过程状态关联的软件部件基于结构地与该诊断报告关联。该原理例如能够实现提供所谓的聚合诊断报告。提供聚合诊断报告有利地适于以下情况确定多个过程状态。这些过程状态不仅与一个软件部件关联，而且与多个软件部件关联。这些软件部件在应用程序的层次结构中汇集到包含于更高的层次等级中的软件部件中。现在，替代对于每个确定的过程状态提供诊断报告，可以提供包含在软件部件中的诊断报告，其他软件部件汇集到所述软件部件中。总之，由此提高了在显示诊断报告时的清楚性。也保留在独立的申请中继续要求前面描述的措施所基于的方式。在本发明的另一扩展方案中，过程诊断分析单元具有过程诊断存储单元，其中在过程诊断存储单元中储存多个过程状态以及多个过程诊断报告，其中过程诊断报告分别代表多个过程状态之一，其中多个过程状态和/或过程诊断报告在创建应用程序时被创建。 此外，在过程诊断存储单元中储存了设备结构量。
基于该措施，对于全面的过程诊断所需的全部说明相关地储存在中央位置中。这能够实现快速地确定过程状态。此外，可以排除可能的故障源，这些故障源可能在将前述说明储存在多个位置时出现。在本发明的一个优选的扩展方案中，系统诊断分析单元具有系统诊断存储单元， 其中在系统诊断存储单元中储存多个系统状态以及多个系统诊断报告，其中系统诊断报告分别代表多个系统状态之一。该措施具有的优点是，对于全面的系统诊断所需的全部说明中央地储存。由此，在该情况中也能够实现快速地确定系统状态。也可以排除可能的故障源，这些故障源可能在将前述说明储存在多个存储位置时出现。有利的是，多个系统状态以及多个系统诊断报告由安全控制装置的制造商定义。 该措施有助于提高故障安全性。此外有利的是，多个系统状态以及多个系统诊断报告不可变地储存在系统诊断存储单元中，并且由此既不能由设备的运营商改变，也不能由在安全控制装置中运行的应用程序的创建者改变。该措施也有助于提高故障安全性。在本发明的一个优选的扩展方案中，安全控制装置由多个控制硬件部件构建，其中至少多个控制硬件部件分别与多个系统状态中的多个以及多个系统诊断报告关联，其中多个系统诊断报告代表多个系统状态中的多个。该措施保证了控制硬件部件分别与相关的系统状态以及与这些系统状态关联的系统诊断报告关联。在考虑限定的关联规则情况下，由此将系统状态与过程状态的明确关联是可能的。在本发明的一个优选的扩展方案中，安全控制装置具有层次结构化的结构，其中在系统诊断存储单元中储存了控制结构量，其代表安全控制装置的层次结构化的结构，其中诊断报告单元构建用于根据控制结构量来提供多个诊断报告。该措施也能够为系统诊断实现上面结合过程诊断已经描述的聚合诊断报告的提供。因此，在此结合过程诊断示出的优点相应地适用。也保留在独立的申请中继续要求前面描述的措施所基于的方式。在本发明的另一扩展方案中，应用程序具有至少一个安全控制模块，其中以故障安全的方式处理安全相关的控制输入信号，以及具有至少一个标准控制模块，其中主要处理过程相关的控制输入信号。在该扩展方案中，多个传感器有利地包括第一数量的传感器，其构建用于检测安全相关的量，其中这些安全相关的量借助安全相关的控制输入信号输送给安全控制模块; 以及第二数量的传感器，其构建用于检测过程相关的量，其中这些过程相关的量借助过程相关的控制输入信号输送给标准控制模块。此外，在该扩展方案中有利地设计的是，多个控制输出信号包括第一数量的控制输出信号，其在安全控制模块中确定，并且控制输出信号旨在激励第一数量的执行器，其构建用于执行安全相关的动作，以及包括第二数量的控制输出信号，其在标准控制模块中确定，并且其旨在激励第二数量的执行器，其构建用于执行过程相关的动作。应用程序的该结构(根据该结构，应用程序包括至少一个安全控制模块以及至少一个标准控制模块)能够实现的是，其能够以同一应用程序处理与安全控制方面相关的控制任务以及与标准控制方面相关的控制任务。由此，可以借助根据该方面构建的安全控制装置不仅实现与安全控制方面关联的控制任务而且实现与标准控制方面关联的控制任务。这具有的优点是，为了全面地控制设备，即为了进行包括安全控制方面以及标准控制方面的控制，仅仅需要一个控制设备，而不是两个控制设备，其中一个处理与安全控制方面关联的控制任务，并且一个处理与标准控制方面关联的控制任务。由此，也减少了对于布线所需的开销。总之，该措施是成本低廉的实现设备的全面的控制的可能性。在此要指出的是，表述“在标准控制模块中主要处理过程相关的控制输入信号”意味着，在标准控制模块中也可以处理安全相关的控制输入信号。有利的是，报告单元是集成在要控制的设备的控制台中的显示单元。然而也可以是另外的显示单元，其除了在控制台中集成的显示单元之外而存在于要控制的设备中。显示单元例如可以实施为LCD屏幕，实施为基于阴极射线的屏幕或者实施为文字数字的文本区。出于完整的原因，在此要给出以下说明如果确定过程状态并且如果没有确定与该过程状态关联的系统状态，则提供如下过程诊断报告作为诊断报告其代表确定的过程状态。清楚的是，前面提及的以及下面还要阐述的特征并不仅仅可以在分别说明的组合中使用，而是也可以在其他组合中或者单独地使用，而并没有离开本发明的范围。在附图中示出了本发明的实施例，并且在下面的描述中进一步阐述。其中

图1示出了要控制的设备的示意图，图2示出了要控制的设备的子部件的示意图，图3示出了包含在子部件中的下级部件及其单个部件的示意图，图4示出了用于创建应用程序的图形界面的简化图，图5示出了对于要控制的设备在应用程序的最上部的层次等级中提供的软件部件和方面块的示意图，图6示出了对于子部件提供的软件部件和方面块的示意图，图7示出了对于下级部件提供的软件部件和方面块的示意图，图8示出了对于包含在下级部件中的单个部件提供的方面块的示意图，图9在概要图中示出了创建的应用程序的层次结构，图10在概要图中示出了安全控制装置的层次结构，图11示出了根据本发明的安全控制装置的示意图。在图1中，要控制的设备在其总体上用附图标记10表示。设备10包括三个子部件，即操作台12、处理台14和测试台16，以及两个保护装置(Schuetze) 18、20。借助操作台 12将处理台14填充以工件。这些工件在处理台14中被加工。接着，被加工的工件由操作台12转交给测试台16，在其中检验是否加工的工件满足相应的检验标准。如果通过了该检查，则处理台14又可以用新的要加工的工件填充。通过两个保护装置18、20将设备10的负载22与未示出的电源连接。该设备与第一应急关断按键M关联，借助其在危险情况中关断设备10，并且在此可以转变到安全状态中。为此，两个保护装置18、20被激励为使得负载22与电源分离。设备10通过安全控制装置沈来控制，其中安全控制装置沈由多个控制硬件部件观、30、32构建。各个控制硬件部件可以与各个子部件关联，然而情况并非必须如此。在该实施例中，子部件12与控制硬件部件观关联，子部件14与控制硬件部件30关联，并且子部件16与控制硬件部件32关联。因为是示意图，所以省去了对布线的考虑。
在图2中，子部件处理台在其总体上用附图标记14表示。下面仅仅考虑处理台和在其中包含的硬件部件，这不应具有限制性作用。随后的说明相应地也适用于操作台12和测试台16。处理台14包括圆台40、检查模块42、钻孔模块44和送出模块(Auswurfmodul)46。 借助圆台40可以在处理台14中将全部的工件在各模块42、44、436之间运输。借助检查模块42对要加工的工件就预先给定的特征的存在进行检验。借助钻孔模块44加工在处理台 14中的工件。借助送出模块46取出加工后的工件并且转交给测试台16。处理台14与第二应急关断按键48关联，借助其在危险情况下关断处理台14并且在此可以转变到安全状态中。在图3中，钻孔模块在其总体上用附图标记44表示。钻孔模块44作为带有机械或者电学或者机电功能的单个部件具有马达60、传递气缸62和钻孔气缸64。借助两个气缸62、64，可以将马达60沿着引导单元相对于要加工的工件运动，更确切地说，借助钻孔气缸64在垂直方向上运动并且借助传递气缸62在水平方向上运动。与钻孔模块44关联有第三应急关断按键66，借助其在危险情况下关断钻孔模块44并且在此可以转变到安全状态中。借助附图标记68表示包含在控制硬件部件30中的并且与钻孔模块44关联的控制硬件部件。如在图1至3的视图中可以得出的那样，要控制的设备10由多个设备硬件部件构成，即至少由图1中所示的子部件12、14、16、图2中所示的部件圆台40、检查模块42、钻孔模块44和送出模块46以及图3中所示的部件马达60、传递气缸62和钻孔气缸64构成。 此外，还有其他的部件，即在操作台12和测试台16中包含的部件，然而对于前面的内容不再具体讨论。同样地，从图1至图3的视图中可以得出的是，安全控制装置由多个控制硬件部件构成并且总体上具有层次结构化的结构。在图4中，图形界面在其总体上用附图标记80表示。该图形界面使得程序员能够创建应用程序。图形界面80包含软件部件区82，其包含图形符号形式的预先定义的软件部件的集合84。预先定义的软件部件由计算机程序16的供应商来创建并且储存在包含于该计算机程序中的数据库中，其中借助所述计算机程序执行所述方法用于创建应用程序。此外， 软件部件区82包含图形符号形式的新创建的软件部件的集合86。新创建的软件部件是如下软件部件其由程序员在创建应用程序时针对在要控制的设备10中包含的设备硬件部件而创建，其中对于所述设备硬件部件在上述数据库中并不包含相应的预先定义的软件部件。在计算机程序中包含的数据库被扩展了这些软件部件。本身并未包含其他的软件部件的软件部件用小的块示出。这些软件部件称为基本部件。而本身包含其他软件部件的软件部件用大的块示出。这些软件部件称为组部件。应用程序通过提供多个软件部件来创建。为此目的，图形用户界面80包含部件区 88。要提供的软件部件被选择并且转移到部件区88中，如这借助两个箭头90、92所表明的那样。选择和转移例如可以借助所谓的拖放功能(Drag&Drop-Function)来实现。部件区88相应地包含所提供的多个94的软件部件。在此涉及应用程序的最上部的层次等级的软件部件。通过多个的软件部件94的逻辑链接，创建了部件子程序。为此，将软件部件的逻辑输入端的至少一部分和逻辑输出端的至少一部分彼此连接，这通过多个的连接96示出。基于软件部件中分别包含的内部逻辑链接，如果在这些软件部件中包含基本部件和/或组部件，则这些包含的软件部件自动地一同链接。因此，在创建部件子程序时将最上部的层次等级中包含的软件部件彼此之间逻辑链接就足够。应用程序层次地结构化。通过所提供的多个的软件部件94确定了最上部的层次等级。如果这些多个的软件部件94包含构建为组部件的软件部件，则通过包含在该软件部件中的多个软件部件确定了另外的在最上部的层次等级之下的层次等级。在讨论其他的在图形界面80中包含的区之前，首先要说明软件部件的原理结构。 这要预先借助还要描述的图8来进行。从图8中可以得出构建为基本部件的软件部件的原理性结构。基本部件包含多个方面块。这些方面块的每个都与多个彼此不同的控制方面之一关联，其中这些控制方面的每个代表安全控制装置的独立的子方面。软件部件在此包含所有对于软件部件代表的设备硬件部件重要的方面块。由此，设备硬件部件关于安全控制装置的子方面通过代表其的软件部件来完全描述。相比于基本部件，组部件除了包含方面块之外附加地包含如下软件部件，其可以实施为基本部件或者组部件。有利的是，彼此不同的控制方面可以是以下控制方面标准控制方面，其代表子方面标准控制装置；安全控制方面，其代表子方面安全控制；诊断方面，其代表子方面诊断；可视化方面，其代表子方面可视化；驱动调节方面，其代表子方面驱动调节；冷却方面，其代表子方面冷却；访问授权方面，其代表子方面访问授权；维护方面，其代表子方面维护；锁定方面，其代表子方面锁定；手动操作方面，其代表子方面手动操作；数据管理方面，其代表子方面数据管理。对于软件部件中包含的每个方面块，首先根据实际情况确定对于处理所需的并且通过关联的输入端输送给方面块的逻辑量和/或参数和/或传感器信号，以及确定在多个方面块中分别确定并且通过方面块的关联的输出端输出的逻辑量和/或参数和/或输出信号。最后，在创建应用程序时才确定与相应的方面块要连接的具体传感器和/或执行器。此外，至少在软件部件中包含的方面块的一部分中分别储存功能程序，该功能程序确定与相应的方面块关联的控制方面的硬件部件的方面特征。此外，图形界面80包含方面区98。在该方面区98中设置有多个的方面块100。这些方面块的每个与相同的控制方面关联。在该实施例中，涉及标准控制方面，其代表子方面标准控制。多个的方面块100包括在应用程序的全部层次等级中包含的与标准控制方面关联的方面块，更确切地说，与是否其在层次等级之一中独立地或者作为软件部件的部分而被包含无关。该方面区也包含在应用程序的最上部的层次等级中包含的方面块。此外，图形界面80包含传感器区102。在该传感器区102中，设置有多个的图形传感器符号104。对于包含在要控制的设备10中的每个传感器，传感器区102包含关联的图形传感器符号。多个的图形传感器符号104代表关于安全控制方面以及关于标准控制方面在要控制的设备10中包含的传感器。作为另外的区，图形界面80包含执行器区106。在该执行器区106中设置有多个的图形执行器符号108。对于在要控制的设备10中包含的每个执行器，执行器区106包含关联的图形执行器符号。多个的图形执行器符号108包括关于安全控制方面以及关于标准控制方面在要控制的设备中包含的执行器。
对于在方面区98中包含的多个100的方面块，创建了方面子程序。为此，至少对于在方面区98中包含的方面块的一部分对于其输入端以及对于其输出端进行所谓的I/O 映射。也就是说，信号输入端的至少一部分与如下传感器装置关联其传感器信号在相应的方面块中被处理。这例如通过箭头110示出。此外，信号输出端的至少一部分与如下执行器关联其借助在相应的方面块中确定的输出信号来激励。这示例性地通过箭头112示出。 可替选地，I/O映射也可以通过在输入区114中的文本输入来进行。在前述用于创建应用程序的方法中，全部程序变量都包含在方面块中。因此，方面块的信号输入端与应用程序中包含的输入变量关联，并且方面块的信号输出端与应用程序中包含的输出变量关联。通过传感器与信号输入端的关联，由此限定了在传感器和输入变量之间的关联，更确切地说，在控制输入信号和输入变量之间的关联。因为已知了哪个传感器连接到安全控制装置中包含的输入/输出单元的哪个输入端上，由此总体上限定了在输入端、控制输入信号和输入变量之间的关联。通过执行器与信号输出端的关联，此外限定了执行器与输出变量之间的关联，更确切地说，在控制输出变量和输出变量之间的关联。因为已知了哪个执行器连接到输入/输出单元的哪个输出端上，由此限定了在输出端、控制输出变量和输出变量之间的关联。如果对于所有控制方面都创建方面自程序，则完全限定了关联规则，并且可以创建要储存的关联量。总之，对于每个控制方面都创建了方面子程序。如果创建所有方面子程序，则将方面子程序和部件子程序组合为应用程序。在图5中示出了要控制的设备10的在最上部的层次等级中包含的软件部件和方面块。具体而言，涉及以下软件部件第一软件部件120，其对应于第一应急关断按键M 并且构建为单个部件。第二软件部件122，其对应于操作台12。第三软件部件124，其对应于处理台14。第四软件部件126，其对应于测试台16。其中软件部件122、124、126分别构建为组部件。软件部件122、124、126的每个代表在要控制的设备10中存在的实际的机电一体化设备硬件部件。软件部件为了实现流程控制而彼此之间用第一数量的逻辑连接1 来相连。此外，涉及以下方面块第一方面块130，其与标准控制方面关联；第二方面块 132，其与安全控制方面关联；第三方面块134，其与诊断方面关联；第四方面块136，其与可视化方面关联；第五方面块138，其与传动调节方面关联，以及第六方面块140，其与锁定方面关联。在这些方面块的每个中都储存有功能程序，其构建用于处理属于与相应的方面块关联的控制方面的控制任务。在第三方面块134中，储存有检查条件和过程诊断报告，其对于为这样的要控制的设备10执行过程诊断是必要的。这样的要控制的设备10通过操作台 12、处理台14和测试台16的连接并且由此通过应用程序的最上部的层次等级的软件部件 122、124、1沈的连接来限定。出于清楚的原因，省去了示出在各方面块彼此之间的逻辑连接或者至软件部件的逻辑连接。在图6中示出了包含在第三软件部件124中的软件部件和方面块。借助附图标记150表示第五软件部件，其对应于第二应急关断按键48并且其构建为基本部件。借助附图标记152表示第六软件部件，其对应于圆台40。借助附图标记154 表示第七软件部件，其对应于检查模块42。借助附图标记156表示第八软件部件，其对应于钻孔模块44。借助附图标记158表示第九软件部件，其对应于送出模块46。软件部件152、 154、156、158构建为组部件。软件部件为了实现流程控制彼此之间借助第二数目的逻辑连接160而相连。软件部件152、154、156、158也分别代表在要控制的设备10中存在的实际的机电一体化设备硬件部件。附加地，第三软件部件IM具有多个方面块。与标准控制方面关联的第七方面块 162、与安全控制方面关联的第八方面块164、与诊断方面关联的第九方面块166、与可视化方面关联的第十方面块168、与传动调节方面关联的第十一方面块170和与锁定方面关联的第十二方面块172。在这些方面块中分别储存有功能程序。在第九方面块166中储存有检查条件和过程诊断报告，它们对于为这样的处理台14执行过程诊断是必要的。出于清楚的原因，省去示出在各方面块彼此之间的逻辑连接或者至软件部件的逻辑连接。在图7中示出了在第八软件部件156中包含的软件部件和方面块。在此涉及第十软件部件180，其对应于第三应急关断按键66。涉及第十一软件部件182，其对应于钻孔气缸64 ；涉及第十二软件部件184，其对应于传递气缸62 ；以及涉及第十三软件部件186，其对应于马达60。这些软件部件构建为基本部件。此外，第八软件部件156包含第十三方面块188，其与标准控制方面关联；第十四方面块190，其与安全控制方面关联；第十五方面块192，其与诊断方面关联；第十六方面块 194，其与可视化方面关联；第十七方面块196，其与传动调节方面关联；以及第十八方面块 198，其与锁定方面关联。在第十五方面块192中储存有对于为这样的钻孔模块44执行过程诊断必要的检查条件和过程诊断报告。软件部件和方面块的一部分为了实现流程控制而通过多个逻辑连接彼此相连。出于清楚的原因，省去完全示出逻辑连接。在图8中示出了包含在如下软件部件中的方面块这些软件部件对应于在要控制的设备10中包含的气缸。在该实施例中，这例如是第十一软件部件182。然而，这不应具有限制作用，下面的说明同样适用于第十二软件部件184。第十一软件部件182包含与标准控制方面关联的第十九方面块210和与诊断方面关联的第二十方面块212。因为与诊断方面关联的方面块的工作方式要借助标准控制方面来阐述，所以在图8中没有示出其他方面块。由两个终端位置传感器产生的信号通过第四逻辑连接214输送给第十九方面块 210，并且这些信号分别示出，钻孔气缸64占据了两个可能的终端位置之一。这两个信号同样通过第四逻辑连接214输送给第二十方面块2121。在第十九方面块210中对应于其中储存的功能程序而产生控制输出信号，借助这些控制输出信号来激励钻孔气缸64。这些控制输出信号通过第五逻辑连接216输送给第二十方面块212。第二十方面块212根据输送给它的信号执行过程诊断。借助该过程诊断，可以确定以下过程状态“气缸未缩回”;“气缸未伸展”；“操作两个端部开关”。代表确定的过程状态的过程诊断报告通过第六逻辑连接218 输出。在图9中，第一层次结构在其整体上用附图标记220表示。该第一层次结构代表要控制的设备10所基于的层次结构，以及代表用于安全控制装置的应用程序所基于的层次结构。在对于图9所选择的视图中，每个块具有两种含义。 借助在斜线之前的附图标记说明了要控制的设备10的哪个设备硬件部件代表相应的块。 借助在斜线之后的附图标记说明了哪个软件部件代表在应用程序中的相应块。借助附图标记222表示如下的块该块在整体上代表要控制的设备10或者在整体上代表应用程序。借助附图标记2M表示最上部的设备层次等级，其设备硬件部件称为子部件。借助附图标记2 表示第一设备层次等级，其直接在最上部的设备层次等级之下，并且其设备硬件部件称为下级部件。借助附图标记2 表示第二设备层次等级，其直接在第一设备层次等级之下并且其设备硬件部件称为单个部件。在图9中并未针对每个所示的子部件示出第一设备层次等级，并且并未针对每个示出的下级部件示出第二设备层次等级。 这不应具有限制作用。与结构中包含的各块关联有过程状态和代表过程状态的过程诊断报告。于是，例如块60/180与过程状态“马达过载”以及相关的过程诊断报告“马达过载”关联。块62/184 和64/182与多个过程状态关联。第一过程状态“气缸位置”具有两个过程诊断报告“气缸未缩回”和“气缸未伸展”。第二过程状态“终端位置开关”具有过程诊断报告“操作两个终端位置开关”。第三过程状态“信号状态”具有过程诊断报告“无效的输入/输出信号”。第四过程状态“时间条件”具有两个过程诊断报告“超过缩回时间”和“超过伸展时间”。块 M/120、48/150和66/180与两个过程状态关联。第一过程状态“状态”具有过程诊断报告 “压下”，并且第二过程状态“操作”具有过程诊断报告“未操作”。基于层次结构，例如在第二设备层次等级的块中出现的过程状态可以转发给第一设备层次等级中或者甚至最上部的设备层次等级中的关联的块。在图10中，第二层次结构在其整体上用附图标记240表示。该第二层次结构反映了在考虑第三应急关断按键66的情况下在安全控制装置中包含的控制硬件部件68的结构。即与钻孔模块44关联的控制硬件部件。局限于钻孔模块44不应具有限制作用。当然， 对于整个安全控制装置(借助其来控制设备10)可以说明相应的层次结构。借助附图标记242表示逻辑单元，其中运行应用程序的、借助其控制钻孔模块44 的部分。逻辑单元242限定了最上部的控制层次等级。借助附图标记244表示第一控制层次等级，其直接在最上部的层次等级之下。借助附图标记246表示第二控制层次等级，其直接在第一控制层次等级之下。借助附图标记248表示第三控制层次等级，其直接在第二控制层次等级之下。在第一控制层次等级244中包含与标准控制方面关联的标准总线单元250和与安全控制方面关联的安全总线单元252。通过这两个总线单元根据安全相关数据和过程相关数据分别进行数据传输。在第二控制层次等级246中设置有多个的第一输入/输出模块254，其与标准总线单元250相连。这些输入/输出模块提供了多个标准输出端256，通过其可以输出控制输出信号用于激励执行器。此外，这些输入/输出模块提供了多个的标准输入端258，通过其可以接收控制输入信号。此外，在第二控制层次等级M6中设置有第二数目的输入/输出模块沈0，它们与安全控制单元252相连。这些输入/输出模块提供了多个的安全输入端262和未示出的多个安全输出端。
第三控制层次等级248例如可以与以下系统诊断报告关联“硬件故障”、“对于OV 的短路”、“对于MV的短路”。第二控制层次等级246例如可以与以下系统诊断报告关联 “缺少模块”、“内部错误”、“错误的供电电压”。第一控制层次等级M4以及最上部的控制层次等级例如可以与以下的系统诊断报告关联“内部错误”、“错误的供电电压”。当然，各个系统诊断报告可以与各个模块或者单元关联。在图11中示出了总体上用附图标记270标识的安全电路，其具有安全控制装置 26，其构建用于控制在整体上用附图标记10表示的设备。设备10包括多个的执行器272 和多个的传感器274。在设备10中包含的负载用附图标记22表示。安全控制装置沈包括控制单元276。控制单元276双通道冗余地构建，以便实现所需的故障安全性来控制安全关键的过程。代表双通道结构，在图11中示出了两个彼此分离的处理器278J80，它们通过双向通信接口 282彼此连接，以便能够相互控制和交换数据。优选的是，控制单元276的两个通道和两个处理器278、280多样地、即彼此不同地构建， 以便很大程度上避免系统错误。用附图标记284表示输入/输出单元，其与两个处理器278J80的每个相连。输入/输出单元284从多个传感器274接收多个控制输入信号观6，并且将这些信号以匹配的数据格式转发给两个处理器278J80的每个。此外，输入/输出单元284根据处理器278、 280产生多个控制输出信号观8，借助这些控制输出信号激励多个执行器272。借助附图标记290表示芯片卡，在其上储存了应用程序四2。应用程序292借助编程工具来创建。编程工具例如是计算机程序四4，其可以在传统的PC 296上执行。在此，使用芯片卡290作为储存介质能够实现无需直接连接到PC 296上也可以简单地交换应用程序四2，其中在PC上执行编程工具。可替选地，应用程序292也可以存储在固定地安装在控制单元276中的存储器中，例如EEPROM中。通过线路297表明将应用程序292安装到芯片卡290上。应用程序292确定安全控制装置沈执行的控制任务。为此，应用程序292包含安全控制模块四8，其中执行与安全控制方面关联的控制任务。在安全控制模块四8中故障安全地处理安全相关的控制输入信号300，其由安全控制方面关联的安全传感器302产生。 安全传感器302例如是应急关断开关、双手控制装置、安全门、转速监控设备或者其他用于接收安全相关的参数的传感器。根据安全控制方面中关联的控制任务，与安全相关的控制输入信号300相关地产生安全相关的控制输出信号304，借助其激励保护装置18、20，所谓的安全执行器、即与安全控制方面关联的执行器。保护装置18、20的工作接触部设置在电源306和负载η 22之间的连接中。通过保护装置18、20可以关断负载22的电源，由此可能的是，在出现相应的故障时，将负载22转换到安全状态中。此外，应用程序292具有标识控制模块308，借助其执行与标准控制方面关联的控制任务。为此，在标准控制模块308中处理过程相关的、由标准传感器312产生的控制输入信号310。标准传感器312是如下传感器其例如检测对于激励调节所需的输入量。在此， 例如可以涉及转速、角度或者速度。根据过程相关的控制输入信号310，按照与标准控制方面关联的控制任务产生过程相关的控制输出信号314，其输送给标准执行器316。标准执行器316例如可以是马达或者调节气缸。在该实施例中选择的应用程序292的结构(根据其该应用程序包含安全控制模块298和标准控制模块308，因此由控制单元276执行与安全控制方面关联的控制任务以及与标准控制方面关联的控制任务)不应具有限制作用。当然也可能的是，控制单元276仅仅执行与安全控制方面关联的控制任务。在该情况中，应用程序292并不包含标准控制模块 308。输入/输出单元观4也用于将其他包含于安全控制装置沈中的部件连接到两个处理器278、280上。于是，从输入/输出单元284出发将多个过程诊断输入信号320输送给过程诊断分析单元318。过程诊断分析单元318构建用于根据多个过程诊断输入信号320 来确定在限定的第一时刻存在要控制的设备10的多个过程状态的哪个。过程诊断分析单元318产生多个过程状态信号322，其中多个过程状态信号322代表多个确定的过程状态， 其中多个确定的过程状态在限定的第一时刻存在。多个过程状态信号322输送给输入/输出单元观4。由此，控制单元276可以根据确定的过程状态采取合适的措施。此外，从输入/输出单元观4出发将多个系统诊断输入信号3 输送给系统诊断分析单元324。系统诊断分析单元3M构建用于根据多个系统诊断输入信号3 来确定在限定的第二时刻存在安全控制装置26的多个系统状态的哪个，其中系统诊断分析单元3M 构建用于产生多个系统状态信号328，其中多个系统状态信号3 代表多个确定的系统状态，其中多个确定的系统状态在限定的第二时刻存在。多个系统状态信号3 输送给输入 /输出单元观4。由此，控制单元276可以根据确定的过程状态采取合适的措施。系统状态在此不仅应检测包含在安全控制装置沈中的单元和部件，而且也检测与安全控制装置沈电连接的所有单元。在此涉及安全传感器302、保护装置18、20，一般而言，涉及安全执行器、标准传感器312、标准执行器316以及还要描述的显示单元和还要描述的系统诊断请求单元。同样地，系统状态包括在安全控制装置26和前面列举的单元之间存在的全部布线。安全控制装置沈包括用于显示单元332的接口 330。显示单元332构建用于显示诊断报告。此外，安全控制装置沈包括用于系统诊断请求单元336的接口 334，其构建用于检测系统诊断请求337。显示单元332和系统诊断请求单元336可以形成结构上的单元 338。此外，安全控制装置沈具有诊断报告单元340。多个过程状态信号322和多个系统状态信号338输送给诊断报告单元340。此外，一方面多个过程诊断报告342输送给诊断报告单元340，其中过程诊断报告代表确定的过程状态。另一方面，多个系统诊断报告344 输送给诊断报告单元340，其中系统诊断报告代表确定的系统状态。诊断报告单元为多个确定的过程状态以及为多个确定的系统状态提供了多个诊断报告。其中至少对于确定的过程状态之一根据该过程状态以及多个关联的系统状态来提供诊断报告，其中所述系统状态包含在多个确定的系统状态中并且与该过程状态关联。诊断报告单元340产生多个诊断信号346，其中多个诊断信号代表多个诊断报告。多个诊断信号346通过输入/输出单元284输送给显示单元332用于显示多个诊断报告。过程诊断分析单元318、系统诊断分析单元3 和诊断报告单元340组合成一个诊断单元；348。诊断报告单元340具有关联存储单元350，其中至少对于所述多个过程状态的多个以及至少对于多个系统状态的多个存储有多个关联量。存储的关联量显示，多个系统状
21态的哪个基于预先限定的关联而分别与多个过程状态的哪个关联。对于多个确定的系统状态和多个确定的过程状态构成的多个对，选择多个存储的关联量。这些选择的关联量的每个代表所述对的至少一个。多个关联的系统状态根据多个关联量来确定。诊断报告单元340具有状态存储单元352，其构建用于持续地储存确定的过程状态和确定的系统状态。诊断报告单元340构建用于在确定是否要储存的系统状态是关联的系统状态时，和/或在确定是否对于要储存的过程状态存在关联的系统状态时，考虑已经储存的确定的系统状态和/或已经储存的确定的过程状态。过程诊断分析单元318具有过程诊断存储单元354，其中储存多个过程状态、代表这些过程状态的过程诊断报告以及设备结构量。它们全部在创建应用程序四2时被提供， 并且传输给过程诊断存储单元354，这通过线路3M表明。可替选地，这些信息也可以通过线路297传输给芯片卡四0，并且由其转发给过程诊断存储单元354。设备量提供给诊断报告单元；340，这通过线路358表明。在关联存储单元350中存储的关联量同样在创建应用程序292时创建并且输送给关联存储单元350，这通过线路360表明。系统诊断分析单元3M具有系统诊断存储单元362，其中储存多个系统状态以及多个系统诊断报告，其中系统诊断报告分别代表多个系统状态之一。这些消息被固定储存并且来自安全控制装置沈的制造商。此外，在系统诊断存储单元362中储存有控制结构量， 其提供给诊断报告单元340，这通过线路364表明。通过输入/输出单元观4，在安全控制装置沈和安全传感器302、保护装置18、20、 显示单元332、系统诊断请求单元336之间交换测试信号364。借助测试信号364可以在安全控制装置沈中确定是否连接到其上的单元和部件无错误地工作，这是必要的，因为一旦在与安全控制装置沈连接的设备上出现故障时，必须保证要控制的设备10的安全状态。
权利要求
1.一种用于控制带有多个设备硬件部件的自动化设备的安全控制装置，其中所述多个设备硬件部件分别包括至少一个传感器和/或至少一个执行器，所述安全控制装置具有控制单元，其被多个传感器输送多个控制输入信号，其中控制单元构建用于根据控制输入信号按照在该控制单元中运行的应用程序产生多个控制输出信号，其中借助多个控制输出信号激励多个执行器；用于显示单元的接口，其中显示单元构建用于显示诊断报告；过程诊断分析单元，其被输送多个过程诊断输入信号，其中过程诊断分析单元构建用于根据所述多个过程诊断输入信号来确定在限定的第一时刻存在所述要控制的设备的多个过程状态的哪个，其中过程诊断分析单元构建用于产生多个过程状态信号，其中所述多个过程状态信号代表多个确定的过程状态，其中在限定的第一时刻存在所述多个确定的过程状态；系统诊断分析单元，其被输送多个系统诊断输入信号，其中系统诊断分析单元构建用于根据所述多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个，其中系统诊断分析单元构建用于产生多个系统状态信号，其中所述多个系统状态信号代表多个确定的系统状态，其中在限定的第二时刻存在所述多个确定的系统状态；诊断报告单元，其被输送所述多个过程状态信号和所述多个系统状态信号，其中诊断报告单元构建用于为所述多个确定的过程状态以及为所述多个确定的系统状态提供多个诊断报告，其中至少对于确定的过程状态之一根据该过程状态以及多个关联的系统状态来提供诊断报告，所述多个关联的系统状态包含在所述多个确定的系统状态中并且与该过程状态关联，其中诊断报告单元产生多个诊断信号，其中所述多个诊断信号代表所述多个诊断报告，其中所述多个诊断信号被输送给显示单元用于显示所述多个诊断报告。
2.根据权利要求1所述的安全控制装置，其特征在于，诊断报告单元构建为确定多个关联量，其中关联量指示所述多个确定的系统状态的哪个分别与所述多个确定的过程状态的哪个关联，其中诊断报告单元构建用于根据所述多个关联量来确定所述多个关联的系统状态。
3.根据上述权利要求之一所述的安全控制装置，其特征在于，诊断报告单元具有关联存储单元，在所述关联存储单元中至少对于所述多个过程状态中的多个以及至少对于所述多个系统状态中的多个而存储了多个关联量，其中储存的关联量指示，基于预先定义的关联，所述多个系统状态中的哪个分别与所述多个过程状态中的哪个关联，其中诊断报告单元构建用于对于所述多个确定的系统状态和所述多个确定的过程状态构成的多个对选择多个储存的关联量，其中所述选择的关联量的每个代所述对的至少一个，其中诊断报告单元构建用于根据所述多个关联量来确定所述多个关联的系统状态。
4.根据上述权利要求之一所述的安全控制装置，其特征在于，诊断报告单元构建用于在存在确定的过程状态和多个关联的系统状态情况下提供多个系统诊断报告作为对于该过程状态的诊断报告，其中所述多个系统诊断报告代表所述多个关联的系统状态。
5.根据上述权利要求之一所述的安全控制装置，其特征在于，诊断报告单元构建用于， 在存在确定的过程状态和多个关联的系统状态情况下，提供组合诊断报告作为对于该过程状态的诊断报告，其中组合诊断报告包含过程诊断报告以及多个系统诊断报告，其中过程诊断报告代表确定的过程状态，并且所述多个系统诊断报告代表所述多个关联的系统状态。
6.根据权利要求5所述的安全控制装置，其特征在于，显示单元构建用于-首先显示过程诊断报告，并且在存在系统诊断请求的情况下用所述多个系统诊断报告的至少之一来替代过程诊断报告，或者作为对过程诊断报告的补充而显示所述多个系统诊断报告的至少之一，或者-同时显示过程诊断报告和所述多个系统诊断报告的至少之一，或者-仅仅显示所述多个系统诊断报告的至少之一。
7.根据上述权利要求之一所述的安全控制装置，其特征在于，诊断报告单元构建用于在存在确定的过程状态和多个关联的系统状态情况下，首先提供过程诊断报告作为第一诊断报告，并且在存在系统诊断请求时附加地提供多个系统诊断报告作为第二诊断报告，其中过程诊断报告代表确定的过程状态，并且多个系统诊断报告代表多个关联的系统状态。
8.根据权利要求7所述的安全控制装置，其特征在于，显示单元构建用于通过所述多个系统诊断报告的至少之一来替代过程诊断报告，或者作为对过程诊断报告的补充而显示所述多个系统诊断报告的至少之一。
9.根据权利要求6或7所述的安全控制装置，其特征在于，显示单元与系统诊断请求单元关联，其中系统诊断请求单元构建用于检测系统诊断要求。
10.根据上述权利要求之一所述的安全控制装置，其特征在于，过程诊断分析单元构建用于持续确定在限定的时刻分别存在多个过程状态中的哪个，和/或系统诊断分析单元构建用于持续确定在限定的时刻分别存在多个系统状态中的哪个。
11.根据权利要求10所述的安全控制装置，其特征在于，诊断报告单元具有状态存储单元，其构建用于持续地储存确定的过程状态和确定的系统状态，其中诊断报告单元构建用于在确定是否要储存的系统状态是关联的系统状态时，和/或在确定是否对于要储存的过程状态存在关联的系统状态时，考虑已经储存的确定的系统状态和/或已经储存的确定的过程状态。
12.根据权利要求3所述的安全控制装置，其特征在于，控制单元具有带有多个输入端和多个输出端的输入/输出单元，其中所述输入/输出单元构建用于通过所述多个输入端中的多个分别接收所述多个控制输入信号中的至少之一，并且通过所述多个输出端的多个分别输出所述多个控制输出信号的至少之一，其中应用程序包括多个程序变量，其中所述多个程序变量包括多个输入变量和多个输出变量，其中根据在创建应用程序时限定的关联规则，一方面将输入变量分别与所述输入端之一以及通过该输入端接收的控制输入信号关联，并且另一方面将输出变量分别与所述输出端之一以及通过该输出端输出的控制输出信号关联，其中根据关联规则创建所储存的关联量。
13.根据上述权利要求之一所述的安全控制装置，其特征在于，通过提供多个软件部件创建应用程序，其中所述多个软件部件对应于所述多个设备硬件部件，其中至少多个软件部件分别与所述多个过程状态的多个以及多个过程诊断报告关联，其中所述多个过程诊断报告代表所述多个过程状态中的所述多个。
14.根据上述权利要求之一所述的安全控制装置，其特征在于，应用程序具有带有多个层次等级的层次结构化的结构，其中在创建应用程序时确定设备结构量，该设备结构量代表应用程序的层次结构化的结构，其中诊断报告单元构建用于根据所述没备结构量来提供所述多个诊断报告。
15.根据上述权利要求之一所述的安全控制装置，其特征在于，系统诊断分析单元具有系统诊断存储单元，其中在系统诊断存储单元中储存多个系统状态以及多个系统诊断报告，其中系统诊断报告分别代表所述多个系统状态之一。
16.根据上述权利要求之一所述的安全控制装置，其特征在于，安全控制装置由多个控制硬件部件构建，其中所述控制硬件部件的至少多个分别与所述多个系统状态中的多个以及多个系统诊断报告关联，其中所述多个系统诊断报告代表所述多个系统状态中的多个。
17.根据上述权利要求之一所述的安全控制装置，其特征在于，安全控制装置具有层次结构化的结构，其中在系统诊断存储单元中储存了控制结构量，该控制结构量代表安全控制装置的层次结构化的结构，其中诊断报告单元构建用于根据控制结构量来提供所述多个诊断报告。
18.一种用于控制带有多个设备硬件部件的自动化设备的方法，其中所述多个设备硬件部件分别包括至少一个传感器和/或至少一个执行器，所述方法包括以下步骤-根据多个过程诊断输入信号来确定在限定的第一时刻存在要控制的设备的多个过程状态的哪个，并且产生多个过程状态信号，其中所述多个过程状态信号代表多个确定的过程状态，其中在限定的第一时刻存在所述多个确定的过程状态，-根据多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个，并且产生多个系统状态信号，其中所述多个系统状态信号代表多个确定的系统状态，其中在限定的第二时刻存在所述多个确定的系统状态，-将多个过程状态信号和多个系统状态信号输送给诊断报告单元，-对于所述多个确定的过程状态以及对于所述多个确定的系统状态提供多个诊断报告，其中至少对于所述确定的过程状态之一根据该过程状态以及多个关联的系统状态来提供诊断报告，所述多个关联的系统状态包含在所述多个确定的系统状态中并且与该过程状态关联，并且在诊断报告单元中产生多个诊断信号，其中所述多个诊断信号代表多个诊断报告，-将所述多个诊断信号输送给显示单元用于显示所述多个诊断报告。
19.一种计算机程序，带有具有程序代码的数据载体，所述程序代码构建用于当在根据权利要求1至17之一所述的安全控制装置上运行时执行根据权利要求18所述的方法。
全文摘要
本发明涉及一种用于控制带有多个设备硬件部件的自动化设备的安全控制装置，其中所述多个设备硬件部件分别包括至少一个传感器和/或至少一个执行器，所述安全控制装置具有控制单元，其被多个传感器输送多个控制输入信号，其中控制单元构建用于根据控制输入信号按照在其中运行的应用程序产生多个控制输出信号，其中借助多个控制输出信号激励多个执行器；用于显示单元的接口，其中显示单元构建用于显示诊断报告；过程诊断分析单元，其被输送多个过程诊断输入信号，其中过程诊断分析单元构建用于根据所述多个过程诊断输入信号来确定在限定的第一时刻存在所述要控制的设备的多个过程状态的哪个，其中过程诊断分析单元构建用于产生多个过程状态信号，其中所述多个过程状态信号代表多个确定的过程状态，其中在限定的第一时刻存在所述多个确定的过程状态；系统诊断分析单元，其被所述多个系统诊断输入信号，其中系统诊断分析单元构建用于根据所述多个系统诊断输入信号确定在限定的第二时刻存在安全控制装置的多个系统状态的哪个，其中系统诊断分析单元构建用于产生多个系统状态信号，其中所述多个系统状态信号代表多个确定的系统状态，其中在限定的第二时刻存在所述多个确定的系统状态；诊断报告单元，其被输送多个过程状态信号和多个系统状态信号，其中诊断报告单元构建用于为多个确定的过程状态以及为多个确定的系统状态提供多个诊断报告，其中至少对于确定的过程状态之一提供与该过程状态以及多个关联的系统状态相关的诊断报告，所述系统状态包含在多个确定的系统状态中并且与该过程状态关联，其中诊断报告单元产生多个诊断信号，其中所述多个诊断信号代表多个诊断报告，其中所述多个诊断信号被输送给显示单元用于显示所述多个诊断报告。本发明此外涉及一种相应的方法和相应的计算机程序产品。
文档编号G05B19/042GK102292681SQ200980155400
公开日2011年12月21日 申请日期2009年11月20日 优先权日2008年11月25日
发明者哈拉尔德·福斯特, 赫尔穆特·埃尔哈特, 马丁·宗德勒 申请人:皮尔茨公司