本发明涉及一种用于监控安全链中(在英语中为安全链(safetychain),必要时还有安全回路,即使链不形成或形成回路)的数据处理和传输的方法以及用于执行该方法的装置。该安全系统提供一个整体安全功能,并且由至少两个模块化的子系统模块组成,其中至少两个子系统模块连接到数据传输信道,并且每个子系统模块提供部分安全功能并且设计为用于功能安全数据处理和/或传输。
为了降低自动化进程、机器和设备中人或环境的风险,必须执行安全功能,例如,在按下紧急停止按钮或在检测到错误后将系统转移到安全状态后关闭机器。故障安全自动化系统越来越多地用于自动化进程、机器和设备中。一般情况下,这些故障安全的自动化系统一方面实现了实际的安全功能(如紧急停机、双手控制、操作模式选择器……),另一方面也例如根据标准(iec61508、isol3849……)中定义的机制实现了故障检测和控制措施,其对应于现有技术。
除非另有说明,否则在本发明的范围内以及在说明书和权利要求中的术语“安全”指的是功能安全性(在英语中也称为安全/安全性(safe/safety),界定为与用于电气安全或安全性或保护信息的技术处理形成对比,其以防止未经授权的数据操纵或信息泄露)。
在国际标准iec61508或基本相同的欧洲标准en61508中还描述了功能安全的电气、电子和可编程电子系统,除此以外还描述了它们的开发方面。与标准系统的开发相比,对安全系统的开发过程施用的要求导致明显更高的成本和所需的开发预算。随着安全完整性等级(sil、sil1至sil4)的提升,需求也在提升。术语“安全完整性级别”(或安全要求级别)定义了安全功能在相应级别上降低风险所需或已达到的有效性的特定水平。如果不适用与安全相关(也称为安全相关或安全性相关)的要求,则必须按照正常的操作质量管理标准进行开发。此外,安全完整性等级sil1具有最低要求。安全完整性级别越高,安全性要求越高。
根据标准iec61508的功能安全包括,例如,使用各种方法来控制故障,例如,避免开发中的系统错误、在操作期间监测随机故障的检测和/或检测到的故障的安全控制以及过渡到预先定义的安全状态。所有这些措施都可以是某些预先定义的安全功能的一部分。通常来说,双通道或多通道系统(其中每个通道单独可以触发安全功能),与只有一个通道的技术相比,其可以用更少的技术尝试实现更高的sil。作为通道,信息流通过安全链(在英语中为安全链,必要时还有安全回路,即使链不形成或形成回路)来表示,例如从根据安全功能的需求(例如通过传感器、接近检测器、光栅或按钮)开始,以执行器和致动动器结束,启动机器的安全状态。
因此通过适当的保护措施,确保电气、电子和/或可编程系统,以及单个子系统模块或甚至单个硬件和/或软件组件有效地满足某种安全功能,在以下描述和权利要求的上下文中,该系统或相应的子系统模块认为是安全的或与安全相关的。一种设计为由各种子系统模块执行某些安全功能的系统,即:由至少两个或两个以上的子系统模块构成,每个子系统模块又应当满足安全功能(部分安全功能),应当视为其在本发明的范围内是安全系统。
在当前机器和设备中,取决于设备规模和自动化程度,使用通信系统(或是数据传输系统),例如基于以太网的网络或现场总线来连接分布式i/o设备(输入/输出设备如传感器和驱动器)和控制器。安全通信协议(或数据传输协议或网络协议)通常用于传输与安全相关的数据。现在安全通信协议已经标准化,例如在iec61784-3中。其在此基于安全网络通信的原理描述了不同的安全配置文件。所有这些网络协议必须知晓不同的故障模型,例如,数据和/或电报的伪造、丢失、延迟、交换等占主导地位。
在机器或设备的调试期间,必须通过全面的安全验证,以证明并记录或记录机器和/或设备中风险最小化技术措施的有效性。在这种情况下,必须检查所有安全功能在转换到机器或设备的运行阶段之前的有效性。对于完整且未经改变的机器或设备而言,这仍然是可管理的,但是在越来越常见的模块化机器或设备中变得越来越昂贵和复杂。
此外,如果在系统内使用大量机器和/或设备,其也必须协同实现安全功能,则它们形成本发明的上下文中的系统子系统模块,然后由多个子系统模块一同形成安全系统或多个安全系统。因此,必须通过涵盖参与子系统模块的安全系统的整体安全验证来证明风险最小化技术措施的有效性。作为这种安全系统的例子称为冲压设备,其由进料机、冲压机和出料机组成,三者都必须实现某些安全功能,其中冲压设备作为一个整体可认为是安全系统,即在各个子系统模块(即在进料器、冲压机和出料机的例子中)的相互作用中,必须实现某些安全功能。因此,在本发明范围内,这种安全系统通常具有设置在系统内的不同子系统模块中的多个故障安全自动化系统,即,然而,整个系统设置为在其内部协同交互并涵盖所参与的子系统模块形成安全系统。
但是,涵盖参与的子系统模块的安全系统的总体安全验证不能仅在第一次调试期间进行。这也适用于模块化安全系统、模块化机器或设备的配置的任何变化。对于每种配置,必须重新计算和记录特征、新的故障考虑因素、错误计算和验证步骤,以证明系统或机器所需的安全类别(或安全级别),例如sil4,例如更换单个模块时或由于单个模块内的老化过程时有待执行。各个模块的安全相关特征值必须根据它们的相互作用的功能来组合。这些特征值通常记录在设备描述中,并且在计算时必须是最新的。相关的安全标准和指南要求机器制造商提供安全相关的特性,例如单个模块的故障率、诊断范围、safefailure分数或响应时间。今天,使用离线软件工具来计算安全相关的特征值,离线软件工具例如是德国社会事故保险(ifa)职业安全研究所的sistema(机器控制的安全性)。
此外,在安全系统或安全设备或机器的运行过程中,必须在规定的时间间隔内测试技术、风险最小化措施的功能性和有效性。
然而,机器、设备或安全系统的模块化以及先前未知的安全模块的动态配置变化或者自适应组合符合当前的安全标准,例如,iec61508、en13849、iec62061,至少到目前为止只是部分记录。
此外,目前主要是网络物理系统(cps,英语是网络物理系统(cyberphysicalsystems)),智能分布和物联网(英语是物联网,iot(internetofthings))。工业4.0描述了自动化技术中出现的互联网技术。从传感器/执行器到控制的智能设备的完整联网是机器和设备模块的模块化、重用和适应性的先决条件。然后可以进一步优化生产过程,并且例如可以以批量1生产。云服务的集成和使用允许例如前瞻性诊断。所有这些趋势和技术反过来又增加了模块化设备、机械和安全系统的复杂性,并增加了整体安全验证的费用。
可以理解,整体安全验证所需的和越来越高的努力度不能满足模块化安全系统,设备和机器的制造商和操作者的灵活性要求。
在这方面,ep2359201提出了一种用于确定具有多个安全相关订户的自动化网络的安全级别的方法。这包括以下步骤:通过配置获取模块自动确定自动化网络中的节点之间的数据和序列链路;通过特征数据获取模块自动确定订户特定的安全特性;并使用计算规则计算自动化网络中的安全级别,该计算规则连接自动化网络中节点的确定数据和序列链路以及确定的订户特定安全特性。配置获取模块和特征数据获取模块是中央安全管理器的一部分,其通过网络在线访问安全功能中涉及的组件。
另外,本申请人在其较早的申请de102015108359中,提出了一种用于在模块化安全系统上自动验证安全功能的方法,其中安全系统(也称为安全验证器)打开中央检查设备。该方法包括以下步骤:将本地的、模块特定的与安全相关的实际特征值从各个子系统模块传输到检查设备,自动处理读取、本地、模块特定的与安全相关的实际特征值,由各个子系统模块,即由该检查设备的交互产生综合安全相关的实际特征;自动比较结果,综合安全相关的实际特征值、系统的标称特征值存储在检查设备的存储器中,通过验证装置并根据比较结果自动产生响应信号。因此,所谓的安全验证器在调试和在运行期间在联机状态下检查分散部分的安全功能的安全相关参数,并将这些参数组合起来,监测对预先配置的限制的依从性,并且如果超过,则可以使系统进入安全状态。
此外,本申请人在其早期申请de102015103740中,提出了一种用于在功能安全的电气、电子或可编程电子系统内处理和传输数据的方法,由至少两个子系统组成,每个子系统满足一定的安全等级。它包括以下步骤:使用第一子系统的安全硬件和/或软件组件将数据处理成第一安全级别的功能安全数据,并向该数据添加至少一个标识属性,其中确定该数据是否适合使用这种第一级安全性;将该数据(包括添加的标识属性)传输到第二个子系统;第二子系统通过其安全硬件和/或软件组件检查接收到的标识属性,以确定该标识属性识别的安全级别是否与第二子系统满足的安全级别相同,并且,如果该检查导致安全级别不相等,则基于较低的安全级别提供对数据的功能安全进一步处理。
ep2359201和de102015108359都提供了安全管理器或检查设备形式的中心实例。然而,这可能导致灵活性和可管理性的降低,特别是在运行期间对模块化安全系统的整体安全功能的安全链的监控。还有额外的硬件占用。
因此,本发明的一个基本目的是进一步简化模块化安全系统的整体安全功能的安全链的监控,特别是在正在进行的运行期间。
特别地,还有一个目的是在不使用中央附加监控实体的情况下实现这种简化的监控。
此外,在动态和/或模块化的安全系统下,在其配置发生变化时,尤其应使这种简化监控成为可能。
为解决本发明,提出了一种具有独立权利要求1的特征的方法和一种具有独立权利要求7的特征的设备。在各个从属权利要求中规定了本发明的有利实施例,其中该特征和优点可以基本上适用于该方法和该设备。
因此,提出了一种用于至少在安全系统的安全链中监控数据处理和传输的方法,其中安全系统包括整体安全功能并且由至少两个子系统模块模块化地构造成,并且其中至少两个子系统模块连接到数据传输信道,每个子系统模块都提供部分安全功能,并专为功能安全数据处理和/或传输而设计。根据本发明的方法包括以下步骤:
-通过第一子系统模块将数据处理成功能安全数据;
-由第一子系统模块确定关于数据处理和/或传输的安全相关标识属性的、特别是在总反应时间方面的第一实际特征值;
-将第一子系统模块的功能安全数据和第一实际特征值传送到第二子系统模块,并通过第二子系统模块接收功能安全数据和第一实际特征值;
-使用第二子系统模块确定关于安全相关标识属性的第二实际特征值;
-使用第二子系统模块,将第一实际特征值和第二实际特征值处理成关于安全相关标识属性的第三实际特征值;
-使用第二子系统模块确定关于安全相关标识属性的标称特征值;
-通过第二子系统模块将第三实际特征值与安全相关标识属性的标称特征值进行比较,并且取决于比较结果
-如果比较结果是肯定的,则进一步处理和/或重新传输功能安全数据,或者
-如果比较结果是否定的,则触发预定的安全反应。
应注意,术语“数据传输信道”不一定需要存在总线系统。相反,在本发明的上下文中也有子系统模块,例如模块化机器,其中用于数据传输的模块不通过总线系统联网。在术语“数据传输信道”的上下文中的一种可能的替代方案是例如子系统模块,其中它们所连接的“数据传输信道”由相应的内部互连背板总线组成。因此,子系统模块可以是例如也是带内部背板总线的模块化设备。
特别优选的是,安全系统的安全链中的数据处理和传输是周期性地发生的,并且该方法的步骤是周期性地执行。
此外,还提出了一种用于实现该方法的设备,其包括设计为用于功能安全数据处理和/或传输的安全硬件和/或软件组件。根据本发明该装置的特点是,将安全硬件和/或软件组件设置为
-处理有关功能安全数据的数据;
-确定关于数据处理和/或传输的安全相关标识属性的第一实际特征值;
-传输功能安全数据和第一实际特征值。可替代地或另外地,安全硬件和/或软件组件设置为,
-关于数据处理和/或传输的安全相关标识属性,发送功能安全数据和第一实际特征值;
-确定与安全相关标识属性有关的第二实际特征值;
-对于安全相关标识属性,将第一实际特征值和第二实际特征值处理为第三实际特征值;
-确定与安全相关标识属性有关的标称特征值;
-比较第三实际特征值与安全相关标识属性的标称特征值;和
-取决于比较结果
-如果比较结果是肯定的,则进一步处理和/或传输功能安全数据,或
-如果比较结果是否定的,则触发预定的安全反应。
特别优选的是,该设备设计为安全输入模块、安全输出模块、安全plc模块、安全逻辑模块或安全耦合模块。
因此,根据本发明,提供部分安全功能的每个子系统模块不仅方便地传输功能安全数据(例如“紧急停止致动”),而且还以实际特征值的形式进一步补充其信息,例如,设定的滤波时间、信号质量、内部处理时间、传输时间、传输质量、sil的自身份额,就安全相关标识属性而言,例如,剩余的sil份额、信号或数据的年龄或现状或总反应时间,这些附加信息由子系统模块接收、处理和评估,子系统模块提供安全链中的部分安全功能,或与期望的特征值进行比较,例如,数据是否已经太旧或者尚未消耗太多的sil。
这也是本发明相对于前述de102015103740的显著差异,根据该de102015103740,其仅提供子系统模块将其自身的sil特性与功能安全数据一并提供给下一子系统模块,其中所接收的sil与自身sil特征值进行比较,并将功能安全数据与较低的sil特性值一并重新传输。另一方面,根据本发明,提供了子系统模块,其与功能安全数据一起接收关于数据传输和/或处理的安全相关标识属性的实际特征值,所接收的实际特征值具有另外的实际特征值,接收子系统模块本身确定、处理或计算,然后将计算的实际特征值与标称特征值进行比较,并且根据比较结果,执行安全反应,例如关闭通道或模块以使用所接收的功能安全数据和计算的实际特征值来触发或执行进一步处理和/或传输。
本发明提供许多优点。最重要的是,它可以在运行期间轻易持续监控模块化安全系统中的安全链,而无需在中心位置增加额外的硬件。
因此,本发明显著地有助于模块化安全系统的灵活性,因为并非每种新的或更改的配置都必须在安全方面重新计算。在这里,本发明确保,例如,通过更改的配置,仍然可以保持原始风险评估或机器或系统安全验证所需的安全相关特征值,而无需新的安全分析。这简化了规划,特别是对于模块化机器或设备,机器制造商以及生产使用中的操作。
此外,根据本发明的监控还继续在“静态”安全系统、设备或机器中起作用,它具有整体安全功能的“静态”配置。它在那里提供给运营商,例如即使数据处理和/或传输的逐渐恶化,其优点也会被检测到,因此数据处理和传输的质量和安全性始终保持在所需或参数化的限制内。
另一个优点是该方法可以周期性地执行,从而对每个新的通信或数据传输周期,可以关于至少一个但优选地多个安全相关标识属性来监控安全链内的数据处理和传输。
根据本发明的有利实施例提供的是,将功能安全数据从第二子系统模块重新传输到另一子系统模块之前,通过第二子系统模块确定关于安全相关的识别属性的第四实际特征值,并且关于安全相关的识别属性,将第三实际特征值处理为第五实际特征值,其中,提供该第五实际特征值作为第一实际特征值,并且其中功能安全数据和该第一实际特征值从该第二子系统模块传输到另外的子系统模块。
根据优选实施例,标称特征值的确定包括从存储器中读出标称特征值。
根据特别优选的实施例,确定至少一个实际特征值包括计量检测实际特征值或从存储器读取实际特征值。
在本发明的另一个实施例中,功能安全数据和第一实际特征值根据底层安全数据传输协议、在公共协议专用数据区域中一并发送,或者单独的协议专用数据区域中彼此分离传输。在这种情况下,还可以将本发明集成到现有(安全)协议中,特别是以透明的方式。然而,还可以提供实现本发明的新(安全)协议。
通过下面参考附图描述的实施例,本发明的这些和其他特征和优点将变得显而易见。它表明
图1是具有三个子系统模块的机器形式的模块化安全系统的示意图,以及
图2是具有三个机器形式的三个子系统模块的模块化安全系统的示意图。
图1示出了具有三个机器形式的子系统模块110、120和130的模块化安全系统100的示意图,每个子系统模块提供部分安全功能,它们一起形成整体安全功能“紧急停止机器”。子系统模块110设计为安全输入模块,子系统模块120设计为安全逻辑模块,子系统模块130设计为安全输出模块,每个模块连接到未示出的数据传输信道,例如,对于现场总线或每个内部互连的背板总线,它们是相互连接的并且可以相互通信。此外,这三子系统模块是为功能安全数据处理和数据传输而设计的。为此,它们具有安全的硬件和/或软件组件115、119、121、125、129、131和135。这对于安全的数据传输组件119和129、安全的数据接收组件121和131、作为输入终端的安全输入组件115、安全逻辑组件125以及作为输出终端的安全输出组件135都很有用。这里应该注意,每个子系统模块可以同时具有数据传输和数据接收组件,从而可以进行双向数据传输。然而,为清楚起见,并非所有这些组件都在图中示出。
安全链从安全输入模块110上的输入端开始,并在安全输出模块130上的输出端处结束。传感器,例如以紧急停止按钮的形式,在输入端115和致动器上,例如在输出端135处的接触器形式在此不被视为安全链的一部分并且未示出。现在将更详细地解释的根据本发明的安全链中的数据处理和传输的监控相应地在图1的情况下从输入组件115延伸到输出组件135。
所有参与的子系统模块110、120和130都是已知的,其从安全系统100的sil“消耗”的份额以及其内部处理时间。安全逻辑模块120和安全输出模块130也知晓数据传输通道的循环时间。剩余的sil份额以及信号或数据的年龄表示与安全相关标识属性,对其相关的特征值60进行确定、传输、处理和评估或,与模块化安全系统100的安全链中的数据处理和监控进行比较以进行监测。
安全输入模块110使用未示出的固件组件收集并处理输入组件115的状态或级别,并从该输入值生成功能安全数据50。
此外,安全输入模块110例如通过其固件部件,关于安全相关标识属性方面,确定剩余的sil份额以及数据年龄的两个第一实际特征值60。其自身的sil份额为-1%且滤波时间为10ms,从存储器部件(图中未示出)读取安全输入模块110,同时它计量检测到其自身的4ms处理时间。因此,安全输入模块110确定100%-1%=99%作为剩余sil份额的实际特征值(对应于在子系统模块中处理后仍然可用的sil份额),并且作为数据的年龄10ms+4ms=14ms(对应于子系统模块中的延迟)。这两个第一实际特征值60和功能安全数据50由安全输入模块110通过数据传输组件119传输到下一子系统模块120。该数据传输在图中由子系统模块110和120之间的箭头示出。
子系统模块120,即在图1中的安全逻辑模块,通过其正在接收的数据接收组件121接收功能安全数据50和附加第一实际特征值60的传输数据集。
另外,安全逻辑模块120使用其逻辑组件125确定关于剩余sil份额的安全相关标识属性和数据年龄的两个第二实际特征值。安全逻辑模块120从存储器组件(图中未示出)读出数据传输通道的比例为-1%的sil,同时它计量检测20ms的传输时间或总线周期时间。安全逻辑模块120之后将所接收的第一实际特征值60与所确定的第二实际特征值处理成两个第三实际特征值,并确定99%-1%=98%作为剩余sil份额的实际特征值。数据年龄14ms+20ms=34ms。这两个第三实际值通过其逻辑组件125将安全逻辑模块120与从未示出的存储器组件读取的两个设定值进行比较,其关于安全相关标识属性将剩余sil份额和数据年龄参数化。如果在至少一个安全相关标识属性中,第三实际特征值偏离相关的标称特征值或者至少偏差超过参数化阈值,则触发预定的安全反应。例如,当比较结果是否定时,则不会进一步处理传输数据50,因为它例如因通讯中断而太陈旧。优选地,然后为安全系统100的算法生成错误消息。
对于正面的结果,即没有偏离对应的标称特征值或者最大值小于参数化阈值,则安全逻辑模块120可以使用其逻辑组件125进一步处理功能安全数据50,然后提供用于重新传输。
此外,安全逻辑模块120确定关于安全相关标识属性的剩余的sil份额以及数据年龄的两个第四实际特征值。其从存储器组件读取自身的-1%sil部分(图中未显示),同时它计量检测到自身的3ms处理时间。安全逻辑模块120之后将所确定的第四实际特征值和第三实际特征值处理成两个第五实际特征值,并且确定剩余sil份额98%-1%=97%的实际特征值,并且数据年龄34ms+3ms=37ms。然后,这两个第五实际特征值使其可用于进一步传输,如两个第一实际特征值60。使用其数据传输组件129、安全逻辑模块120将前两个实际特征值60和功能安全数据50传输到下一子系统模块130。该数据传输在图中由子系统模块120和130之间的箭头表示。
子系统模块130,即安全输出模块,通过其数据接收组件131接收功能安全数据50和附加第一实际特征值60的传输数据集。
另外,安全输出模块例如借助于未示出的固件组件,关于安全相关标识属性,确定剩余sil份额和数据年龄的两个第二实际特征值。安全输出模块130从存储器组件(图中未示出)读取数据传输通道比例为-1%的sil,同时其计量检测15ms的传输时间或总线周期时间。安全输出模块130之后将所接收的第一实际特征值60与所确定的第二实际特征值处理成两个第三实际特征值,并确定97%-1%=96%作为剩余sil份额的实际特征值且数据年龄37ms+15ms=52ms。这两个第三实际值比较安全输出模块130,例如使用其固件组件,从未示出的存储器组件读取两个标称特征值,其关于安全相关标识属性将剩余sil份额和数据年龄参数化。如果在至少一个安全相关的识别属性中,第三实际特征值偏离相关的标称特征值或者至少偏差超过参数化阈值,则触发预定的安全反应。即是,比较结果是否定的情况下,不进一步处理传输数据50。
对于正面的比较结果,即如果信号年龄和剩余的sil份额在参数化范围内,则安全输出模块130可以通过其固件组件将发送的功能安全数据50进一步处理为输出信号,然后在输出端135输出。
由于本发明,现在可以,例如,用新的或其他的子系统模块替换子系统模块110,而安全系统100的这种改变的配置不利于其安全性并且需要新的安全性考虑。新的子系统模块110应该是,例如,如果参数化期望值不再符合关于安全相关标识属性的剩余sil份额和数据年龄,子系统模块120或130将消耗更大比例的sil或具有比替换的子系统模块更长的过滤时间或处理时间,最终将启动安全反应。如果安全系统100包括附加的子系统模块,例如,插入训练的网关耦合模块,可以实现这种实质性的优点。
在图1所示的示例的未示出的修改中,还可以提供在子系统模块中,例如,在安全逻辑模块中,尽管其正在处理或清除所接收和确定的实际特征值,但是,不会与标称特征值进行比较。然后,仅将计算出的实际特征值和功能安全数据传输到下一子系统模块。
图2示出了模块化安全系统200的示意图,其具有三个机器形式的三个子系统模块210、220和230。该安全系统200提供例如“机器间紧急停止”的整体安全功能。机器210、220和230各自连接到数据传输通道(未示出),并且可以相互通信,为简单起见,机器210和220或220和230之间的箭头仅示出了一个通信方向,当然,该方法也可以双向工作。整体安全功能的“机器间紧急停止”意味着当在机器210中触发安全请求时,它还必须作用在机器230上。
从机器210到机器230的安全链内数据的功能安全处理和传输及其监控功能类似于以上描述和图1中所示的示例性实施例。同样根据图2的示例,机器210或220关于数据处理和/或传输到机器220或230的安全相关识别属性,发送功能安全数据50和附加至少一个第一实际特征值60。应当理解,关于安全相关的识别属性的实际和标称特征值,剩余的sil份额以及数据年龄可以与第一示例性实施例中提到的特征值不同。替代地或另外地,还可以确定其他安全相关标识属性。
附图标记
50功能安全数据
60实际特性值
100安全系统
110子系统模块、安全输入模块
115输入组件、输入端
119数据传输组件
120子系统模块、安全逻辑模块
121数据接收组件
125逻辑组件
129数据传输组件
130子系统模块、安全输出模块
131数据接收组件
135输出组件,输出端
200安全系统
210子系统模块、机器
220子系统模块、机器
230子系统模块、机器