专利名称:用于控制多个安全关键及非安全关键进程的控制系统的制作方法
技术领域:
本发明涉及一种根据权利要求I所述的优选模块化设置的控制系统,其用于控制多个安全关键及非安全关键的进程和/或设备组件。本发明尤其能够应用在进程自动化或机器控制中。
背景技术:
对于用于控制技术性进程或技术性设备的自动化系统来说,通常要求对多个安全关键的进程或设备组件与多个非安全关键的组件分开地控制。在DE 10 2005 009 795 Al中描述了一种在安全关键应用中用于机器控制的微处
理系统,该系统包括两个区域。第一区域设置用于非安全关键或非安全设置的功能,该区域包括主处理器、程序及数据存储器、输入/输出单元以及用于相互连接上述组件的总线。第
二区域设置用于安全关键或安全设置的功能,该区域包括安全处理器,该安全处理器带有自身的、连接到总线上的程序及数据存储器。通过安全的传输线路,程序及数据被加载到安全处理器的数据存储器中,基于其功能,该安全处理器在设备或进程处于一种在“安全”状态下的冲突情况时与其他的安全设置的组件一同进行工作,这些组件例如是安全设置的输入/输出单元。在DE 103 53 950 Al中描述了另一种用于控制安全关键进程的控制系统,其具有现场总线、总线主设备(用于在现场总线上控制通讯)以及信号单元(用于与安全关键进程进行联系)。总线主设备和信号单元通过现场总线相互连接。通过现场总线,信号单元与总线主设备进行通讯。另外,还设有用于控制安全关键进程的第一控制单元,其中信号单元和第一控制单元具有针对安全性的装置,用于确保无故障的通讯,以便于对安全关键进程进行控制。第一控制单元能够不依靠现场总线连接到总线主设备上。前述的安全设置的控制系统不能应用在模块化构架的控制系统(例如在DE 102004 056 363 Al中公开的),或者只能通过额外的成本进行集成,因为例如通讯模块、接口、电源和监控功能都要适配预设的安全标准。为此,这些组件必须进行更换并且配备新的软件,由此明显增加了成本。通常,要对安全关键功能与非安全功能进行明确地区别,也是比较困难的。
发明内容
因此,本发明的目的在于提出一种优选模块化构架的自动化系统,用于控制安全关键及非安全关键的进程和/或设备组件,这种系统避免了现有技术中的缺陷。特别是,根据本发明的控制系统将适用于,一个现存的、模块化构架的非安全控制系统以简单而廉价的方式配备一个安全设置的控制器。该目的根据本发明通过一种开头所述类型的、具有权利要求I所述特征的控制系统实现。根据本发明的装置的有利设计方案及改进方案在从属权利要求及说明书中提及。根据本发明的、优选模块化构架的控制系统,用于控制多个安全关键及非安全关键的进程和/或设备组件,该控制系统包括至少一个第一控制单元,其设置用于控制非安全关键的进程和/或非安全关键的设备组件;至少一个输入/输出单元,其通过一条内部输入/输出总线与第一控制单元连接;以及可选的至少一个通讯联接器,其通过一条内部联接器总线与第一控制单元连接和/或通过一条现场总线与其他的分散的单元(例如输入/输出单元和/或对方站)连接。通讯联接器优选设置为现场总线-主设备联接器。根据本发明设有至少一个第二控制单元(也称为安全控制器),用于控制安全关键的进程和/或安全关键的设备组件,其中安全控制器为提供安全设置功能具有至少两个优选设置为微处理器的处理单元,并且为通过内部联接器总线传输数据具有一个第一优选设计为双端口内存的存储器。在安全控制器中的双端口内存这样设置,即能够在其两个访问端同时实现读取访问和/或写入访问,从而对于两个在某种情况下分开的系统实现同时的访问,而分开的系统不会受到访问速度上的限制。安全控制器通过其双端口内存(也称为第一双端口内存)进行通讯,并且经由非安全关键的第一控制单元使内部联接器总线直接与其他通讯联接器进行通讯。在此,首先使 由第二控制单元提供的数据经由安全控制器的第一双端口内存以及内部联接器总线传递至第一控制单元。然后,该第一控制单元在将该由第二控制单元提供的数据经由内部联接器总线和另一个集成在通讯联接器中的双端口内存传递至该通讯联接器。该控制系统具有用于控制非安全关键应用的第一控制单元和用于控制安全关键应用的第二控制单元(安全控制器)。这种模块化构架的控制系统能够灵活地在不同的功能上使用,例如作为大型自动化系统的控制系统、作为在这类分散的大型自动化系统中的分散的处理装置、或者作为与可本地链接的输入设备连接的独立自动化设备、或者作为中央自动化设备。根据本发明的控制系统的一个特别的优点在于,减少了接口,该接口用于安全关键及非安全关键功能的各个控制单元之间的通讯。通过使用用于控制安全关键进程或安全关键设置组件的安全控制器,以及在第一非安全设置的控制单元和安全控制器之间相关功能的划分,在安全控制器中还能使用到现存的用于非安全设置的控制单元,从而明显简化了安全控制器的设计。在此还有利于,支配利用使用双端口内存所预定的多个接口。根据本发明的控制系统的另一优点在于,一种对于非安全关键应用的优选模块化构架的控制系统也能够以简单而廉价的方式且无需大量硬件成本地着力于安全关键的应用,其中对于也用以安全关键应用的控制系统使用来说,现存的硬件仅仅是为了对第二安全单元(安全控制器)进行补充,该第二安全单元具有其至少两个处理器、至少一个双端口内存及内部联接器总线。在此,在安全设置的输入/输出单元使用所谓的“黑色通道通讯原理”下进行系统安装时,非安全设置的控制单元承担的任务是,从控制系统的安全控制器中通过内部联接器总线和内部输入/输出总线或设置为现场总线-主设备-联接器的通讯联接器传递安全设置的电报。黑色通道通讯原理例如在“PROFIsafe-PROFIBUS DP安全技术概况以及PROFINET IO 概况部分,参见 PR0FIBUS 及 PR0FINET 的 IEC61784-3-3 说明书。2. 4 版,2007年3月,文档编号3. 192b”中公开。
现场总线-主设备-联接器还设置用于,在使用所谓的“黑色通道通讯原理”时在分散的安全设置的输入/输出模块和/或对方站之间将安全设置的电报进行往返传输。为此,电报通过所谓的现场总线-次设备引导到安全设置的输入/输出单元。现场总线-次设备对此能够具有直接的非安全设置的输入/输出通道。在安全控制器中设有所谓的安全程序逻辑电路,并且在应用于非安全关键的控制器中从中分设有非安全设置的程序逻辑电路。在安全控制器和非安全设置的第一控制单元(应用于安全关键应用)之间的数据交换通过双端口内存和联接器总线上的预定接口来实现。 在安全控制器的两个处理器中,仅一个处理器通过双端口内存直接与内部联接器总线连接。安全控制器的多个处理器这样设置,即它们相互之间进行监控及同步。监控及同步机制可以例如根据“PROFIsafe-PROFIBUS DP安全技术概况以及PROFINET IO概况部分,参见PR0FIBUS及PROFINET的IEC 61784-3-3说明书。2. 4版,2007年3月,文档编号 3.192b”或类似的方式来进行。在安全控制器中也可以设置不同于前述的loo2 (2选I)-架构(由两个处理器构成)的另一种的内部安全架构,例如是一种loo3_架构等等。在所述的loo2_架构中,直接访问双端口内存的第一处理器不可能确认出一种循环冗余检验(CRC-—种用于确定数据的校验值的方法,以使得在传输或存储中能够识别出故障),该循环冗余检验在双端口内存的接口上有效生成电报时是必须的。这种CRC确认可以仅通过冗余的处理器执行并且报告给第一处理器。以此而确保,两个处理器在多个有效的电报上进行协作。这样的要求将使得,在安全控制器的两个处理器中的一个出现故障或者错误的功能时确保系统的安全性。
本发明及本发明的有利设计方案及改进方案将通过在附图中示出的实施例来详细描述和说明。其中图I示出了根据本发明的模块化构架的控制系统的实施例,该系统设置用于控制安全设置及非安全设置的进程,图2示出了根据本发明的控制系统的详细示例,图3示出了 loo2架构中第二控制单元的实施例。
具体实施例方式图I示出了一种模块化构架的控制或自动化系统,该系统具有控制单元1,其设置用于控制非安全关键的处理器和/或非安全关键的设备组件;多个中央输入/输出单元11、21的与其连接的模块,该输入/输出单元通过内部输入/输出总线与第一控制单元连接;以及设置为现场总线-主设备联接器的通讯联接器模块5、6,其将控制通过现场总线FB与多个分散的现场总线-次设备7、8以及在其之上连接的输入/输出单元71、72、81、82的通讯。根据本发明设有至少一个第二控制单元2 (安全控制器),用于控制安全关键进程和/或安全关键设备组件。安全控制器2通过其双端口内存和内部联接器总线BI,并且通过非安全关键的控制单元I直接与其他的通讯联接器5、6进行通讯。
输入及输出单元不仅包括安全的单元21、72、82,也包括非安全的单元11、71、81,其中非安全的单元11、71、81通过不具有安全功能的第一控制单元I控制,并且安全的单元21、72、81通过具有安全功能的安全控制器控制。控制单元1、2相互之间通过内部联接器总线BI和集成在第二控制单元2中的双端口内存DPR1,并通过内部联接器总线BI和具有连接到现场总线FB上的分散单元的通讯联接器模块5、6进行通讯。第一控制单元I使得电源单元3和显示和/或操作单元4构成一个用于控制系统的分散单元CL的模块。中央输入/输出单元11、21的直接与中央单元CL模块连接的模块和分散单元7、、
8、71、72、81、82的模块都能够如前文所述那样根据其功能设置为安全设置与非安全设置的设备。中央单元CL (也像输入/输出单元11、21和通讯联接器5、6那样)通过模块载体设置在不同的可扩展基板上,其中输入/输出单元11、21可以直接联接到中央单元CL和通讯联接器5上。基板还具有至少一个用于联接器的插接板,该联接器用于对分散单元7、8和/或基站进行标准现场总线连接的现场总线端口。在特别的设计方案中,基板卡到标准支承轨道上,其中至少一个输入/输出单元
11、21也可以卡到支承轨道上并且通过相应的基板电气及机械一同插接。还证实了有利的是,中央单元CL的模块、输入/输出单元11、21和通讯联接器5、6彼此之间所有都能够通过插塞连接进行连接或被连接。优选的,中央单元CL、输入/输出单元11、21和通讯联接器5、6分别通过插塞和/或卡锁装置可解除地彼此连接或被连接。图2示出了根据本发明的模块化构架的控制系统的详细实施例,该控制系统包括集成有以太网和/或串行接口 IFl的接线模块4以及第一控制单元1,其用于通过内部输入/输出联接器总线BI与设置为安全控制器的第二控制单元和通讯联接器5进行通讯。第一控制单元I的模块配备有电源单元3,其通过连接导线SB与第一及第二控制单元1、2以及通讯联接器5电气连接。在连接导线SB上也电气连接有其他设置在基板上的设备,例如中央输入/输出单元11、21。第一控制单元I除了时钟发生器14和存储器13之外,还具有第一微处理器12,其通过内部输入/输出联接器总线BI与至少一个通讯联接器5经由集成在通讯联接器中的另外的双端口内存DPR2进行通讯。中央输入/输出单元11、21 (在图2中未示出)的连接通过内部输入/输出总线B2实现。对于使用用于安全关键应用的控制系统来说,在基板上设有第二控制单元2,其具有至少两个另外设置为安全处理器的处理单元22a、22b,该处理单元具有对应的存储器23a、23b以及时钟发生器24a、24b。处理器22a、22b本身通过另一接口 IF2相互之间进行同步。处理器22a、22b的架构及其功能在相关的现有技术已公开。在所述的loo2-架构中,直接访问双端口内存DPRl的第一处理器22a不可能确认出循环冗余检验,该循环冗余检验在双端口内存DPRl的接口上有效生成电报时是必须的。这种CRC确认可以仅由冗余的处理器22b来执行并且报告给第一处理器22a。以此而确保,两个处理器22a、22b在多个有效的电报上进行协作。这样的要求将使得,在安全控制器2的两个处理器22a、22b中的一个出现故障或者错误的功能时确保系统的安全性。
通过其他集成在通讯联接器5中的双端口内存DPR2,使用所谓的“黑色通道通讯原理”时将安全设置的电报由安全控制器2往返传输给分散的输入/输出单元71、72、81、82和/或对方站。为此,电报通过现场总线FB及现场总线-次设备7、8引导到输入/输出单元 71、72、81、82。安全控制器2在非安全关键的第一控制单元I上通过其双端口内存DPRl和内部联接器总线BI与通讯联接器5经由集成的双端口内存DPR2进行通讯。通讯使用“黑色通道通讯原理”进行。在安全控制器2的其他处理器22a、22b中设有安全程序逻辑电路,并且在第一控制单元I的第一微处理器12中分设有一个未安全设置的程序逻辑电路。在安全控制器2和非安全设置的第一控制单元I (应用于安全关键应用)之间的数 据交换通过设置在安全控制器中的双端口内存DPRl上的预定接口来实现。图3示出了作为loo2系统架构的安全控制2的实施例,该安全控制器具有微处理器22a、22b ;分别本身与处理器22a、22b —同工作的零电压安全的存储器FLASH,其优选作为应用程序的存储器;以及暂时的存储器SDRAM,其优选作为数据存储器。微处理器22a、22b分别与本身的时钟发生器24a、24b—同工作。另外,在安全控制器2中设有用于显示状态及故障报告的显示装置DP,该显示装置优选仅仅直接与第一处理器22a连接。在安全控制器2的两个处理器22a、22b中,仅第一处理器22a通过第一双端口内存DPRl直接与内部联接器总线BI连接。在有利的设计方案中,安全控制器2的处理器22a、22b这样设置,即它们相互之间进行监控。为此,处理器22a、22b相互之间通过另一接IF2进行同步。监控及同步机制可以例如根据“PROFIsafe-PROFIBUS DP安全技术概况以及PROFINET IO概况部分,参见PR0FIBUS 及 PROFINET 的 IEC 61784-3-3 说明书。2. 4 版,2007 年 3 月,文档编号 3. 192b”或类似的方式来进行。电源SB通过连接导线SB不仅为两个处理器22a、22b、存储器FLASH、SDRAM供电,也为分别与处理器22a、22b连接的电源监控及诊断单元9、15供电。对于处在安全控制器2中的处理器22a、22b分别设有一个独立的电源监控及诊断单元9、15。
权利要求
1.一种控制系统,用于控制多个安全关键及非安全关键的进程和/或设备组件,所述控制系统优选模块化构架,所述控制系统包括至少一个第一控制单元(1),其设置用于控制非安全关键的进程和/或非安全关键的设备组件;至少一个输入/输出单元(11、21),其通过一条内部输入/输出总线(B2)与第一控制单元(I)连接;以及至少一个通讯联接器(5、6),其通过一条内部联接器总线(BI)与第一控制单元(I)连接和/或通过一条现场总线(FB)与其他的分散的单元(7、8)连接,其中,设有至少一个用于控制安全关键的进程和/或安全关键的设备组件的第二控制单元(2), 其特征在于, 所述第二控制单元(2)为提供安全设置功能具有至少两个处理单元(22a、22b)以及一个第一双端口内存(DPR1 ),其中仅两个处理单元(22a、22b)中的一个处理单元与所述第一双端口内存(DPRl)连接, 并且所述第二控制单元(2)通过所述第一双端口内存(DPRl)和所述内部联接器总线(BI)与所述第一控制单元(I)进行通讯,并且,所述第一控制单元(I)将数据从所述第二控制单元(2)经由内部联接器总线(BI)和另一个集成在通讯联接器(5)中的双端口内存(DPR2)传递至所述通讯联接器(5)。
2.根据权利要求I所述的控制系统,其特征在于,所述控制系统模块化构架。
3.根据权利要求I或2所述的控制系统,其特征在于,所述输入及输出单元不仅包括安全的单元(21、72、82),也包括非安全的单元(11、71、81),其中所述非安全的单元(11、71、81)通过第一控制单元(I)控制,所述安全的单元(21、72、81)通过第二控制单元(2)控制。
4.根据前述权利要求中任一项所述的控制系统,其特征在于,所述通讯联接器设置为现场总线-主设备联接器。
5.根据前述权利要求中任一项所述的控制系统,其特征在于,所述现场总线-主设备联接器为此设置,即使用“黑色通道通讯原理”时将安全设置的电报往返传输给分散的所述输入/输出单元(71、72、81、82)和/或对方站,其中安全设置的电报通过所述现场总线-次设备(7、8)引导到所述输入/输出单元(71、72、81、82)。
6.根据权利要求5所述的控制系统,其特征在于,所述现场总线-次设备(7、8)具有直接的非安全设置的输入/输出通道。
7.根据权利要求5或6中一项所述的控制系统,其特征在于,所述至少一个输入/输出单元(71、72、81、82)通过内部输入/输出总线与现场总线-次设备(7、8)连接。
8.根据前述权利要求中任一项所述的控制系统,其特征在于,所述双端口内存(DPR1)(DPR2)具有多个预定的标准接口。
9.根据前述权利要求中任一项所述的控制系统,其特征在于,所述第二控制单元(2)的处理器(22a、22b)这样设置,即其相互之间进行监控及同步。
10.根据前述权利要求中任一项所述的控制系统,其特征在于,在“黑色通道通讯原理”下进行系统安装时,所述第一控制单元(I)从所述第二控制单元(2)中将安全设置的电报通过所述内部联接器总线(BI)和所述内部输入/输出总线(B2)传递给安全设置的输入/输出单元(21)。
11.一种根据前述权利要求中任一项所述的控制系统的应用,其特征在于,所述控制系统作为大型自动化系统的控制系统、作为在这类分散的大型自动化系统中的分散的处理装置、或者作为与可分散连接的输入设备连接的独立自动化设备、或者作为中央 自动化设备。
全文摘要
本发明涉及一种控制系统,用于控制多个安全关键及非安全关键的进程和/或设备组件,所述控制系统优选模块化构架,该控制系统包括至少一个第一控制单元(1),其设置用于控制非安全关键的进程和/或非安全关键的设备组件;至少一个输入/输出单元(11、21),其通过一条内部输入/输出总线(B2)与第一控制单元(1)连接;以及至少一个通讯联接器(5、6),其通过一条内部联接器总线(B1)与第一控制单元(1)连接和/或通过一条现场总线(FB)与其他的分散的单元(7、8)连接。在根据本发明的控制系统中设有至少一个第二控制单元(2),用于控制安全关键的进程和/或安全关键的设备组件。第二控制单元(2)为提供安全设置功能具有至少两个处理单元(22a、22b)以及一个第一双端口内存(DPR1),其中仅两个处理单元(22a、22b)中的一个处理单元与第一双端口内存(DPR1)连接,并且第二控制单元(2)通过第一双端口内存(DPR1)和内部联接器总线(B1)与第一控制单元(1)进行通讯,并且,第一控制单元(1)将数据从第二控制单元(2)经由内部联接器总线(B1)和另一个集成在通讯联接器(5)中的双端口内存(DPR2)传递至所述通讯联接器(5)。
文档编号G05B19/042GK102725700SQ201080056917
公开日2012年10月10日 申请日期2010年10月26日 优先权日2009年11月23日
发明者于尔根·施托尔, 亚乌赫尼·韦里哈, 布里吉特·布莱, 海因里希·纽帕特尔, 赫尔诺特·高布 申请人:Abb股份有限公司