专利名称:用于创建安全控制装置的应用程序的方法和装置的制作方法
用于创建安全控制装置的应用程序的方法和装置本发明涉及用于创建安全控制装置的应用程序的方法和装置,其构建为控制具有多个传感器和多个执行器的自动化设备。在本发明的意义下的安全控制装置是如下设备或装置,其记录由传感器提供的输入信号并且由此通过逻辑链接和可能通过其他信号或数据处理步骤产生输出信号。输出信号于是可以被输送给执行器,执行器根据输入信号在受控的设备中引起动作或反应。这种安全控制装置的一个优选的应用领域是对在机器安全领域中的应急关断按键、双手控制装置、安全门或光栅的监控。这样的传感器被使用来保护例如如下机器,在工作中由该机器导致对人或材料物品的危险。在打开安全门的情况下或在操作应急关断按键的情况下相应产生信号,该信号作为输入信号被输送给安全控制装置。对此反应地,安全控制装置于是例如借助执行器来关断机器的带来危险的部分。与“正常的”控制装置相比,安全控制装置的特性是安全控制装置本身即使在故障出现在其中或与其连接的设备中时也始终保证了带来危险的设备或机器的安全状态。因此,在安全控制装置中对实际安全性提出了极高的要求,这导致在开发和制造时的极高的开销。通常,安全控制在其使用之前需要通过主管监管局如在德国为职业协会或者 τ ν的特别许可。在此,安全控制装置必须遵守预先给定的安全标准,其例如记录在欧洲标准EN卯4-1或者类似的标准,例如标准IEC61508或者标准EN ISO 13849-1中。因此, 在下文中安全控制装置理解为如下设备或者装置,其至少满足所提及的欧洲标准EN 954-1 的安全类型3或其安全整体水平(SIL)至少达到根据所述的标准IEC 61508的第2级。可编程的安全控制装置提供给应用者如下可能性根据其需要借助软件、所谓的应用程序单独地确定逻辑链接和在必要情况下其他的信号处理步骤或者数据处理步骤。由此得到了与以前的解决方案相比大的灵活性,在以前的解决方案中通过在不同的安全部件之间的限定的接线产生逻辑链接。应用程序例如可以借助在市面上可获得的个人计算机 (PC)并且通过使用相应设置的软件程序来创建。如已提及的那样,安全控制装置在其应用之前需要由主管监管局的特别许可。在这样的许可的情况下,应用程序的安全相关的环境被检验。应用程序的安全相关的环境是安全指令,其对于由安全控制装置要解决的安全任务是必要的。对于安全指令的处理,故障安全地处理安全相关的程序变量。在成功检验之后针对应用程序的安全相关的环境尤其是针对机器代码的安全相关的环境确定校验和,并且以校验和证明安全相关的环境。根据校验和,监管局可以在进行批准之后识别在应用程序的安全相关的环境上进行的改变。这样, 例如对应用程序的安全相关的环境的不允许的操纵被确定如果在监管局进行许可之后对现有的应用程序的安全相关的环境进行改变,例如以便使在受控的设备上运行的应用最优化,则需要监管局对改变的应用程序进行重新许可。由于应用程序的安全相关的环境也包括诊断指令,所以在事后仅仅对这样的诊断指令进行改变时则重新的许可也是必要的。在此情况下并非不常用的是,在进行许可之后对诊断指令进行改变。例如,首先基于设备的测试运行得到如下认识要求诊断指令的匹配。由于诊断指令本身与安全控制装置指令相比并非安全相关的,所以不利的是,在已经进行许可之后事后仅对诊断指令进行改变时需要监管局重新许可。这与提高的时间开销和附加的成本相关联。此外,这限制了要控制的设备的规划时的灵活性并且因此限制了在创建应用程序时的灵活性。因此,本发明的任务是改进开头所述的类型的方法和装置,以便提高在创建应用程序时的灵活性和因此提高了在实现安全控制装置时的灵活性,以便因此能够实现更快和更成本低廉地对安全控制装置编程。因此,该任务通过开头提及的类型的方法来解决,其中实施以下步骤-创建应用程序的源代码,其中源代码包括多个用于控制执行器的控制指令和多个用于产生诊断报告的诊断指令,其中故障安全地处理安全相关的程序变量来处理控制指令,-根据源代码产生机器代码,-确定至少一个校验和,其中针对机器代码的至少一部分确定校验和,并且其中在确定校验和时不考虑诊断指令。此外,该任务通过如下装置来解决,其具有如下单元用于创建应用程序的源代码的单元,其中源代码包括用于控制执行器的多个控制指令和用于产生诊断报告的多个诊断指令,其中故障安全地处理安全相关的程序变量来处理控制指令;用于根据源代码产生机器代码的单元;以及用于确定至少一个校验和的单元,其中针对机器代码的至少一部分确定校验和,并且其中在确定校验和时不考虑诊断指令。该新方法和新装置所基于的是,在确定校验和时不考虑诊断指令。校验和因此仅仅针对安全控制指令来确定。因此,也在由监管局许可的范围中所确定的校验和的情况下不考虑诊断指令。因此可能的是,在进行许可之后可以对诊断指令进行改变,而这对检验目的要创建的校验和没有影响。因此,在进行许可或批准之后可以对已经在许可之前存在的诊断指令进行补充。但也可考虑的是,在进行许可之后首先创建诊断指令。这提高了应用程序创建时的灵活性。由于对诊断指令的改变并不要求监管局之一对应用程序重新许可, 因此减小了时间开销并且也因此减小了用于创建应用程序和因此对安全控制装置编程的开销。上述任务因此完全被解决。在本发明的另一扩展方案中,对诊断指令进行标记。标记的诊断指令可以明确地识别。因此保证诊断指令在确定校验和时被识别并且因此确定地不被考虑。该措施实现了根据本发明的方法和根据本发明的装置可靠地工作。优选地,诊断标记在创建源代码时通过用于创建应用程序的计算机程序自动地标记。因此,应用程序的程序员自己并不不必做这。该措施解决时间并且因此节约成本。此夕卜,该措施保证了根据本发明的方法和根据本发明的装置的高可靠性。优选地,通过分别前置和后置诊断标记来对诊断指令进行标记。诊断指令因此嵌入两个诊断标记中或由其加框。但也可以考虑其他措施来标记诊断指令。这样,每个单个的诊断指令例如可以通过添加为此设计的特殊符号来标记。在本发明的另一扩展方案中,机器代码包括第一安全代码和第二安全代码,其中针对两个安全代码的每个分别确定校验和。该措施能够实现关于可能在监管局进行许可之后进行的改变方面的特别高的灵活性。例如,如果仅仅进行了影响安全控制装置的两个通道之一的改变,对于应用程序的与通道相关的环境需要重新许可。在本发明的另一扩展方案中,机器代码包括第一安全代码和第二安全代码,其中在产生第一安全代码时考虑诊断指令,而在产生第二安全代码时不考虑诊断指令。该措施具有如下优点安全控制装置的两个通道之一完全不含诊断指令。因此,对诊断指令的改变对该通道影响最小。因此,另外的诊断指令可以添加到已存在的诊断指令或完全首次创建诊断指令,而这对该通道没有影响。应理解的是,上文所述的和下文还要阐述的特征可以不仅以分别所说明的组合而且以其他组合或单独地应用,而不离开本发明的范围。本发明的实施例在附图中示出并且在以下的描述中更为详细地予以阐述。其中
图1示出了要控制的设备的示意性视图;图2示出了用于阐述机器代码的产生和对校验和的确定的示意图。在图1中,根据本发明的装置在其整体上用附图数字10表示。装置10包含传统的计算机12,其带有显示单元14。在计算机12上运行计算机程序16。计算机程序16能够实现创建安全控制装置的应用程序。因此,计算机程序16按专业术语通常也称作编程工具。计算机12可以实施为PC并且显示单元14可以实施为监控
ο在图1中示出了在其整体上用附图数字18表示的安全电路,其具有安全控制装置 20,其构建为控制在其整体上用附图数字22表示的自动化设备。自动化设备22包括多个执行器M和多个传感器26。示例性地示出了在设备22中包含的负载观,其例如可以是机器人。安全控制装置20双通道冗余地构建以便实现必要的故障安全性以控制安全关键的过程或应用。对于双通道结构代表性地在图1中示出了两个彼此分离的处理器,即第一处理器30和第二处理器32。两个处理器30、32通过双向通信接口 ;34彼此连接,以便能够相对彼此地控制和交换数据。优选地,安全控制装置20的两个通道和两个处理器30、32是多样性的,即彼此不同地构建,以便在很大程度上排除系统错误。用附图标记36表示输入/输出单元,其与两个处理器30、32的每个连接。输入/ 输出单元36记录来自多个传感器沈的多个控制输入信号38并且将其以匹配的数据格式转发给两个处理器30、32的每个。此外,输入/输出单元36根据处理器30、32产生多个控制输出信号40,借助其激励多个执行器M。用附图标记42表示程序存储器,在该程序存储器中以机器代码形式存储应用程序。机器代码借助装置10来创建。如果程序存储器42构建为芯片卡,这能够实现简单地交换机器代码并且因此简单交换应用程序,而不直接连接到计算机12上。可替选地,程序存储器42也可以构建为固定地安装在安全控制装置20中的存储器,例如EEPR0M。计算机程序16在显示单元14上提供用户界面44。用户界面44使编程员能够创建应用程序。程序员通过如下方式创建应用程序其通过连接到其上的输入单元为计算机 12输送输入。输入单元例如可以是按键或鼠标。根据用于创建应用程序的编程语言,输入方案彼此不同。如果结构化文本或指令表用作编程语言,则应用程序通过文本的输入来创建。而如果将程序模块图用作编程语言,则程序员通过如下方式创建应用程序,程序员通过使用鼠标来选择预先定义的程序模块,其例如借助图形符号在用户界面44上被表征。计算机程序16包括显示模块46。由程序员通过输入单元进行的输入借助显示模块46来检测和分析。一方面,显示模块46产生表征相应输入的源代码环境48,其存储在源代码存储器50中。另一方面,显示模块46使图形符号显示在用户界面44上。图形符号表征由程序员进行的输入并且因此表征由显示模块46产生的源代码环境48。在程序员进行所有对应用程序所需的输入时,在源代码存储器50中存在源代码 52。源代码52包括第一源代码部分M和第二源代码部分56。第一源代码部分M代表安全指令,其对于由安全控制装置20要解决的安全任务是必要的。安全指令是用于控制执行器的第一控制指令58。为了处理第一控制指令58故障安全地处理安全相关的程序变量。 第一控制指令也可以称作安全控制指令。此外,安全指令是第一诊断指令60,用于产生诊断报告。第一诊断指令也可以称作安全诊断指令。第二源代码部分56表征标准指令,其对于由安全控制装置20要解决的标准任务而言是必要的。标准指令是用于控制执行器的第二控制指令62。对于处理第二控制指令62而言,处理非安全相关的程序变量,其中对于非安全相关的程序变量并不需要故障安全的处理。第二控制指令也可以称作标准控制指令。此夕卜,标准指令是用于产生诊断报告的第二诊断指令64。第二诊断指令也可以称作标准诊断指令。根据在源代码存储器50中包含的源代码52借助两个编译器66、68产生机器代码 70。机器代码70通过网关72传输给安全控制装置20并且在那里存储在程序存储器42中。 机器代码70如下产生源代码52被输送给第一编译器66。第一编译器66包括第一机器代码产生单元 74和第一校验和确定单元76。借助第一机器代码产生单元74产生第一机器代码部分78。 第一机器代码部分78包括第一安全代码80和标准代码82。第一安全代码80根据第一源代码部分M产生。第一安全代码80包括第三控制指令84 (所谓的安全控制指令)和第三诊断指令86 (所谓的安全诊断指令)。在产生第一安全代码80时,因此第一源代码部分M 完全转换成机器代码,即不仅第一控制指令58而且第一诊断指令60转换成机器代码。适用于如下相关性源代码侧的第一控制指令58对应于机器代码侧存在的第三控制指令84。 源代码侧存在的第一诊断指令60对应于机器代码侧存在的第三诊断指令86。标准代码82根据第二源代码部分56来产生。标准代码82包括第四控制指令88, 所谓的标准控制指令,和第四诊断指令90,所谓的标准诊断指令。在产生标准代码82时,因此第二源代码部分56完全转换成机器代码,即不仅第二控制指令62而且第二诊断指令64 都转换成机器代码。如下相关性适用源代码侧存在的第二控制指令62对应于机器代码侧存在的第四控制指令88。源代码侧存在的第二诊断指令64对应于机器代码侧存在的第四诊断指令90。此外,源代码52被输送给第二编译器68。第二编译器68包括第二机器代码产生单元92和第二校验和确定单元94。借助第二机器代码产生单元92产生第二机器代码部分 96。第二机器代码部分96包括第二安全代码98。第二安全代码98根据第一源代码部分讨来产生。第二源代码部分56不被考虑。第二安全代码98包括仅仅第五控制指令100,所谓安全控制指令。第二安全代码98不包括诊断指令。在产生第二安全代码98时因此不将完全的第一源代码部分M转换成机器代码。仅仅第一安全指令58转换成机器代码。第一诊断指令60不被考虑。借助第一校验和确定单元76确定第一安全代码80的第一校验和102。当然,第一校验和102仅仅针对在第一安全代码80中包含的第三控制指令84被确定。在第一安全代码80中包含的第三诊断指令86在此不被考虑。第一校验和102同样通过网关72传输给安全控制装置20并且存储在程序存储器42中。借助第二校验和确定单元94确定第二安全代码98的第二校验和104。由于第二安全代码98并不包含诊断指令,所以在确定第二校验和104时仅仅考虑控制指令,具体而言为第五控制指令100。第二校验和104同样通过网关72传输给安全控制装置20并且存储在程序存储器42中。根据两个存储并且因此寄存在安全控制装置20中的的校验和102、104在任何时候都可以检验安全控制装置20所实施的应用程序是否与安全相关的环境相同,该环境由监管局许可时检验并且通过那时确定的校验和来证明。优选地,在许可的范围中所确定的校验和也存储在安全控制装置20中。有利地,两个机器代码产生单元74、92和两个校验和确定单元76、96多样性地构建。但也可以考虑的是,两个校验和确定单元76、94相同地构建。此外,也考虑的是,仅仅设置单个的校验和确定单元。借助其于是不仅针对通过机器代码产生单元74产生的第一安全代码80而且针对借助机器代码产生单元92产生的第二安全代码98分别确定校验和。总之,机器代码70由第一安全代码80、标准代码82和第二安全代码98组成,其中第一安全代码80和标准代码82与第一处理器30相关。第二安全代码98与第二处理器 32相关。由程序员创建的应用程序总体上通过源代码52和机器代码70来表征。根据应用程序的处理进行在第一处理器30中一方面处理第一当前安全指令106 而另一方面处理当前标准指令108。基本上同时地在第二处理器32中处理第二当前安全指令110。第一当前安全指令106可以是在第三控制指令84中包含的安全控制指令或是在第三诊断指令86中包含的安全诊断指令。当前标准指令108可以是在第四控制指令88 中包含的标准控制指令或在第四诊断指令90中包含的标准诊断指令。第二当前安全指令 110是在第五控制指令100中包含的安全控制指令。安全控制指令也称作安全相关的控制指令。标准控制指令也称作非安全的控制指令。如果当前标准指令108是标准控制指令,则第一非安全相关的数据112在第一处理器30与输入/输出单元36之间被交换。在此情况下,通过使用程序输入变量将数据输送第一处理器30,其中其瞬时值表征非安全相关的控制输入信号114的值,其由非安全相关的传感器116产生。非安全相关性的传感器116是如下传感器,其例如检测对驱动调节所需的输入量。在此情况下,例如可以是转速、角度或速度。非安全相关的传感器116非故障安全地构建。输入/输出单元36通过使用编程输出变量被输送数据,其中其瞬时值表征非安全相关的控制输出信号118的值,其被输送给非安全相关的执行器120,用于其激励。 非安全相关的执行器120例如可以是电动机或调节气缸。非安全相关的程序输出变量的瞬时值根据按照标准指令的非安全相关的程序输入变量来确定。如果当前标准指令108是标准诊断指令,则第二非安全相关的数据122在第一处理器30与输入/输出单元36之间被交换。例如,为第一处理器30同样被输送非安全相关的控制输入信号114的瞬时值和/或非安全相关的控制输出信号118的瞬时值。根据所输CN 102460397 A说明书6/8 页
送的瞬时值,于是可以确定的是,存在要控制的设备22的何种处理状态。相应的诊断报告借助诊断显示单元1 来显示。如果第一当前安全指令106是安全控制指令,则第一安全相关的数据1 在第一处理器30与输入/输出单元36之间被交换。在此情况下,第一处理器30被通过使用安全相关的程序输入变量来输送数据,其中其瞬时值表征安全相关的控制输入信号128的值, 其由安全相关的传感器130来产生。安全相关的传感器130例如是应急关断按键、双手控制装置、安全门、转速监控设备或用于记录安全相关的参数的其他传感器。输入/输出单元 36被通过使用安全相关的程序输出变量来输送数据,其中其瞬时值表征安全相关的控制输出信号132的值,其被输送给安全相关的执行器134,用于其激励。安全相关的执行器134 例如是所谓的接触器、其工作接触部设置在电流供给装置136和负载观之间的连接中。通过安全相关的执行器134可以关断负载观的电流供给装置136,由此可能的是在出现相应的故障时至少将负载观过渡至安全状态中。安全相关的程序输出变量的瞬时值根据按照安全控制指令的安全相关的程序输入变量来确定。如果第一当前安全指令106是安全诊断指令,则第二安全相关的数据138在第一处理器30与输入/输出单元36之间被交换。例如,为第一处理器30同样输送安全相关的控制输入信号128的瞬时值和/或安全相关的控制输出信号132的瞬时值。根据所输送的瞬时值于是可以确定的是,存在要控制的设备22的何种处理状态。相应的诊断报告借助诊断显示单元1 来显示。第二当前的安全指令110是安全相关指令,其中根据在第一处理器30中处理的第一当前安全指令106进行处理。在第二当前安全指令110方面使用第三安全相关的数据 140,其对应于第一安全相关的数据126。根据其不仅由第一处理器30而且由第二处理器32产生安全相关的控制输出信号 132的值的前述实施并不意味着由这两个处理器30、32产生的值同时作为控制输出信号 132输出。前述实施仅仅要反映在要解决的安全任务方面冗余的安全控制装置20的结构。 两个处理器30、32构建为确定控制输出信号132的值。在安全控制装置20无故障运行期间仅仅输出由处理器例如第一处理器30确定的值,作为控制输出信号132。通过输入/输出单元36在安全控制装置20与安全相关的传感器130、安全相关的执行器134以及诊断显示单元IM之间交换测试信号142。借助测试信号142可以在安全控制装置20中确定连接到其上的部件是否无故障地工作,这是必要的,因为只要与安全控制装置20连接的设备出现故障就必须保证要控制的设备22的安全状态。在图2中示出了用于根据源代码产生机器代码的方法,其中仅仅关注第一源代码 54和因此源代码和应用程序的安全相关的环境。第一源代码部分M包括用附图标记160表示的第一安全控制指令FSSA1QC。所使用的术语在此具有如下意义FS代表“故障安全”并且因此显示出,其为安全相关的控制指令。SA —般而言代表“控制指令”。通过后置数字1得到了安全控制指令的标志,借助该标志可以将该安全控制指令在多个安全控制指令识别出。QC显示出,其为源代码侧的安全控制指令。术语在图2中统一地使用。用附图标记162标识第二安全控制指令FSSA2QC。两个安全控制指令FSSA1QC和 FSSA2QC包含在第一指令58中。用附图标记164、166标识第一安全诊断指令FSDA1QC和第二安全诊断指令FSDA2QC。DA在此一般而言代表“诊断指令”。通过后置例如数字1得到了标志,借助其可以将安全诊断指令在多个安全诊断指令中识别出。两个安全诊断指令FSDA1QC和FSDA2QC被用附图标记168表示的第二诊断标记 FSDM1QC和用附图标记170表示的第二诊断标记FSDM2QC包围或加框或被其包含。DM在此一般而言代表“诊断标记”。通过后置数字1例如得到标志,借助其可以识别诊断标记。借助两个诊断标记FSDM1QC和FSDM2QC可以在进行编译时识别安全诊断指令,其包含在第一源代码部分讨中。两个安全诊断指令FSDA1QC和FSDA2QC以及两个诊断标记FSDM1QC和 FSDM2QC包含在第一诊断指令60中。第一源代码部分M被输送给第一编译器66,这通过箭头172表示。用第一编译器 66产生第一通道数据174。第一通道数据174与包含有第一处理器30的通道相关。用第一机器代码产生单元74产生第一安全代码80,其包括第三控制指令84。第三控制指令84 是用附图标记176表示的第三安全控制指令FSSA1MCA和用附图标记178表示的第四安全控制指令FSSA2MCA。MC显示出,其为机器代码侧的安全控制指令。字母A显示出,安全控制指令分配给第一处理器30并且因此分配给通道A。在源代码侧的安全单元控制指令与机器代码侧的安全控制指令之间适用如下相关性机器代码侧的第三安全控制指令FSSA1MCA 与源代码侧的第一安全控制指令FSSA1QC相关。机器代码侧的第四安全控制指令FSSA2MCA 与源代码侧的第二安全控制指令FSSA2QC相关。此外,第一安全代码80包括第三诊断指令86。第三诊断指令86是用附图标记180 表示的第三安全诊断指令FSDA1MCA和用附图标记182表示的第四安全诊断指令FSDA2MCA。 在源代码侧的安全诊断指令与机器代码侧的安全诊断指令之间适用如下相关性机器代码侧的第三安全诊断指令FSDA1MCA与源代码侧的第一安全诊断指令FSDA1QC相关。机器代码侧的第四安全诊断指令FSDA2MCA与源代码侧的第二安全诊断指令FSDA2QC相关。借助第一校验和确定单元76确定用附图标记102表示的用于第一安全代码80的第一校验和CRCFSA。字母CRC (循环冗余校验)表示所述的校验和确定根据CRC方法来进行。在创建第一校验和CRCFSA时,仅仅考虑在第一安全代码80中包含的安全控制指令, 即两个安全控制指令FSSA1MCA和FSSA2MCA。不考虑在第一安全代码80中包含的安全诊断指令,即两个安全诊断指令FSDA1MCA和FSDA2MCA。第一校验和确定单元76于是构建为在第一源代码部分M中包含的安全诊断指令在确定第一校验和CRCFSA时不被考虑。为此,第一校验和确定单元76识别在第一源代码部分M中包含的诊断标记。通过两个诊断标记FSDM1QC和FSDM2QC针对第一校验和确定单元76来确定,使得在这两个诊断标记之间设置的安全指令在创建第一校验和CRCFSA时不被考虑。此外,第一源代码部分M输送给第二编译器68,这通过箭头184来表示。借助第二编译器68产生第二通道数据186。第二通道数据186指定于包含有第二处理器32的通道。借助第二机器代码产生单元92产生第二安全代码98。第二安全代码98包括第五控制指令100。第五控制指令100是用附图标记188表示的第五安全控制指令FSSA1MCB和用附图标记190表示的第六安全控制指令FSSA2MCB。字母B显示出,这些安全控制指令分配给第二处理器32和因此分配给通道B。在此在源代码侧的安全控制指令与机器代码侧的安全控制指令之间适用如下相关性机器代码侧的第五安全控制指令FSSA1MCB与源代码侧的第一安全控制指令FSSA1QC相关。机器代码侧的第六安全控制指令FSSA2MCB与源代码侧的第二安全控制指令FSSA2QC相关。第二机器代码产生单元92在此构建为不考虑在第一源代码部分M中包含的安全诊断指令,即两个安全诊断指令FSDA1QC和FSDA2QC。为此,第二机器代码产生单元92识别在第一源代码部分中包含的诊断标记,即两个诊断标记FSDMlQC^n FSDM2GC。通过两个诊断标记FSDM1QC和FSDM2GC针对第二机器代码产生单元92来确定在这两个诊断标记之间设置的安全指令在创建第一安全代码98时不被考虑。两个诊断标记将在其间设置的安全指令表示为安全诊断指令。通过第二校验和确定单元94确定第二安全代码98的用附图标记104表示的第二校验和CRCFSB。由于第二安全代码98仅仅包含安全控制指令,所以在确定第二校验和 CRCFSB的情况下不考虑安全诊断指令。由于这两个机器代码侧的安全诊断指令FSDA1MCA和FSDA2MCA在确定第一校验和 CRCFSA的情况下不被考虑,所以这两个代码侧的安全诊断指令FSDA1QC和FSDA2QC在此情况下不被考虑。
权利要求
1.一种用于创建安全控制装置00)的应用程序的方法,该安全控制装置构建为控制自动化设备(22),该自动化设备带有多个传感器06)和多个执行器(M),该方法具有如下步骤-创建应用程序的源代码(52),其中源代码(5 包括多个用于控制执行器04)的控制指令(160,162)和多个用于产生诊断报告的诊断指令(164,166),其中按故障安全的方式处理安全相关的程序变量来处理控制指令(160,162),-根据源代码(5 产生机器代码(70),-确定至少一个校验和(102,104),其中针对机器代码(80,98)的至少一部分确定校验和(102,104),并且其中在确定校验和(102,104)时不考虑诊断指令(164,166)。
2.根据权利要求1所述的方法,其特征在于,诊断指令(164,166)被标记。
3.根据上述权利要求之一所述的方法,其特征在于,机器代码(70)包括第一安全代码 (80)和第二安全代码(98),其中针对两个安全代码(80,98)的每个分别确定校验和(102, 104)。
4.根据上述权利要求之一所述的方法,其特征在于,机器代码(70)包括第一安全代码 (80)和第二安全代码(98),其中在产生第一安全代码(80)的情况下考虑诊断指令(164, 166)并且在产生第二安全代码(98)的情况下不考虑诊断指令(164,166)。
5.一种用于创建安全控制装置00)的应用程序的装置,该安全控制装置构建为控制自动化设备(22),该自动化设备带有多个传感器06)和多个执行器04),具有用于创建应用程序的源代码(52)的单元(12,14,16),其中源代码(52)包括用于控制执行器04)的多个控制指令(160,162)和用于产生诊断报告的多个诊断指令(164, 166),其中按故障安全的方式处理安全相关的程序变量来处理安全指令(160,162),以及具有用于根据源代码(5 来产生机器代码(70)的单元(72,92),具有用于确定至少一个校验和(102,104)的单元(76,94),其中针对机器代码(80, 98)的至少一部分确定校验和(102,104),并且其中在确定校验和(102,104)时不考虑诊断指令(164,166)。
6.一种计算机程序,其具有程序代码装置,其在计算机程序(16)在计算机(1 上执行时实施根据权利要求1至4之一所述的方法。
全文摘要
本发明涉及一种用于创建安全控制装置(20)的应用程序的方法,该安全控制装置构建为控制自动化设备(22),其带有多个传感器(26)和多个执行器(24),该方法具有如下步骤创建应用程序的源代码(52),其中源代码(52)包括多个用于控制执行器(24)的控制指令(160,162)和多个用于产生诊断报告的诊断指令(164,166),其中故障安全地处理安全相关的程序变量来处理控制指令(160,162),根据源代码(52)产生机器代码(70),确定至少一个校验和(102,104),其中针对机器代码(80,98)的至少一部分确定校验和(102,104),并且其中在确定校验和(102,104)时不考虑诊断指令(164,166)。此外,本发明还涉及相应的装置和计算机程序。
文档编号G05B19/042GK102460397SQ201080027502
公开日2012年5月16日 申请日期2010年4月20日 优先权日2009年4月20日
发明者彼得·莫斯曼, 马蒂亚斯·罗伊施 申请人:皮尔茨公司