专利名称:基于可重新配置的逻辑门阵列的安全系统的制作方法
技术领域:
本发明涉及紧急关机系统,更具体而言,涉及一种可以对其进行 重新配置从而采用预定的用户策略执行紧急响应的逻辑电路。
背景技术:
所有的紧急关机系统都取决于认证标准IEC 61508,其规定了对实 现紧急关机系统的软件和硬件的要求。IEC 61508涉及电气/电子/可编 程电子安全相关系统的功能安全。
IEC 61508决定着紧急关机系统的构思、设计、实现、运行和维护 的所有方面。具体而言,所述标准提供了用于制订实现所要求的针对 所述系统的功能安全所必需的安全要求的方法。所述安全标准所关切 的主要问题是可能对人身安全或环境安全造成危害的系统故障。
所述紧急关机系统的作用在于借助电子、水力和电装置的操作降 低危险或风险的潜在性。
典型地,通过基于计算机的系统实现紧急关机系统。这种基于计 算机的系统要求紧急关机系统的软件和硬件要素以及运行于计算机上
应得到认证。还要求对创建硬件和软件的过程加以认证。
设计所述认证过程的目的在于降低由随机的硬件、软件或综合故
障导致的紧急关机系统的故障的数量。
认证过程既耗时,又需要大量的开销,尤其是在必须对软件和硬
件都进行认证时。在包括重要的软件部件的系统中尤其难以实现验证,
因为对所述软件存在各种各样的要求。
因此,有必要提供一种能够通过快捷有效的方式认证其符合IEC
61508的紧急关机系统。
发明内容
本申请人开发出了一种消除了对任何运行时软件的需求的仅支持 硬件的(hardware-only)运行时紧急响应系统。
相应地,公开了一种逻辑门阵列,通过对其进行配置实现针对仅 支持硬件的运行环境内的紧急响应系统的预定策略。所述逻辑门阵列 包括用于从一组位于工业加工系统内的传感器和致动器接收多个输入 信号的装置、用于采用所述预定策略基于所接收的多个输入信号确定 紧急响应的装置和用于实施紧急响应的装置。通过所述预定策略确定 紧急响应,所述紧急响应对所述工业加工系统加以控制。
所述逻辑门阵列可以是现场可编程门阵列(FPGA)。对所述逻辑 门阵列的子集进行分组并将其连接到一起,以充当布尔、顺序和组合
逻辑。通过所述预定策略确定这一分组。初始分组发生在安装之前。 采用特殊的配置工具执行使所述门被分组的配置过程。在所述预定策 略存在变化时,能够容易地对所述逻辑门阵列重新配置。这允许所述 紧急响应系统能够容易地调节工厂内的新机器或新的安全策略。
可以使所述逻辑门阵列与至少第二组不同的逻辑门阵列并联连 接,以建立备用(redundant)紧急响应系统。对至少第二组不同的逻 辑门阵列进行配置,使其与原始的逻辑门阵列相同。将来自所述被连 接的逻辑门阵列组中的每一个的输出相互比较,以确认所述输出相同, 如果所述输出不同,那么所述紧急响应系统将使所述工业加工系统停 机。
可以采用更少的需要符合性证据的项目对所述紧急响应系统认证。
通过参考下文和附图,本发明的这些和其他特征、益处和优点将 变得显而易见,其中,采用类似的附图标记表示类似的元件,在附图
中
图1示出了根据本发明的第一实施例的基于硬件的紧急响应系统; 图2示出了根据本发明的紧急响应系统的另 一实施例。
具体实施例方式
根据本发明的一个实施例,所述响应系统包括可编程逻辑器件。 所述可编程逻辑器件包括逻辑门或块的集合(group),即,能够被配
置成为特定用户的规定安全策略提供功能的门阵列。可编程逻辑器件
可以是包括诸如可编程逻辑阵列(PLA)、可编程阵列逻辑器件(PAL) 和现场可编程门阵列(FGPA)的逻辑门集合的任何器件。FGPA是含有 多个逻辑块和在逻辑块之间的多个互连的器件。可以对每一逻辑块和 互连编程,以复制基本逻辑门的功能或更为复杂的功能,例如,译码 器功能、多路复用功能或完整的数学功能。逻辑块和互接允许用户将 所述门互连,以实现多个功能。此外,这一结构允许用户对互连重新 配置,以实现不同的功能。
图1示出了根据本发明的一个实施例的紧急响应系统。所述紧急 响应系统100包括逻辑门阵列110、多个输入信号120和多个输出信号 130。所述多个输入信号是通过与逻辑门阵列110通信的一组致动器 121和传感器122生成的。所述传感器122和致动器121可以与逻辑门 阵列IIO物理连接,或者通过通信网络连接。传感器122探测工业加 工系统的多种特性,例如但不限于温度、压力、烟尘、时间、运动、 压强和辐射。可以将输入值简化为位信号,例如,高或低,即事件的 存在或不存在,或者将其简化为由传感器探测的特定值,即,大于或 小于预定阔值。此外,所述输入值可以是诸如整数的多位值。基于逻 辑门阵列IIO的布尔、顺序或组合逻辑功能生成输出信号130。采用每 一输出信号130驱动紧急响应140。
紧急响应系统100包括用于配置逻辑门阵列110以执行预定用户 安全策略的装置。用于配置逻辑门阵列110的装置可以是硬件描述语 言工具或电路原理设计工具,或者可以是电子设计自动化工具。例如, 通常的硬件描述语言工具为VHDL和Verilog。
具体而言,采用电子设计自动化工具之一配置逻辑门阵列110。所 述电子设计自动化工具将生成映射网表,可以采用布局布线过程 (place—and-route process )将f斤述映射网表匹酉己至实际的遲净卑门阵 列。用户将采用多种验证过程,例如,定时分析、仿真和重复来验证 所述映射、布局布线结果。 一旦完成了设计和验证过程,就通过至少 一个输入插口 (input socket) 150将所述文件上载到逻辑门阵列110, 从而对所述装置进行配置。当紧急响应系统100在仅支持硬件的运行 环境中工作时,这一配置将发生在任何操作之前。
所述预定用户安全策略是以紧急响应系统100控制的特定工业加 工系统为基础的。具体而言,采用所述预定用户安全策略来创建逻辑
门的分组或子集,从而由所述子集定义一组布尔、顺序或组合逻辑功
能,所述紧急响应系统100执行所述逻辑功能来实现对给定的一组传 感器和致动器输入120和130的适当的紧急响应140。适当的紧急响应 140可以包括停机、去电(removing power )、产生警报以及启动喷水 灭火系统。所述紧急响应140将以由逻辑门阵列110生成的输出信号 130中的一个或多个为基础。
所述预定策略取决于加工系统、工业制造机器的类型和所制造的 产品。例如,对造纸机和铝制造系统将存在不同的预定策略。
例如,在工业过程中,可以有容器来容纳给料流体(feedstock fluid),加热它们,并清空所述容器。所述过程要求监控几个条件 通过槽(tank)内的水平面监控原料的提供;通过热电偶装置监控容 器内的温度;通过气体管线的压强监控用于加热元件的燃料;以及监 控出口阀的可用状态(health)和所述加工系统中的下一槽内的水平 面。用户将开发预定策略,所述策略将测试所测量的每一条件是否正 确,即是否处于预期值的范围内。具体而言,用户将开发测试每一值 和每一情况的逻辑功能。如果所述值中的一个或多个是不正确的,即, 处于范围之外,那么可以对预定策略进行设计以从所述容器去除热, 排出任何压力和/或使流体转到保存区以便在以后进行处理。之后,采 用所述预定策略对逻辑门阵列进行配置,并使其连续运行。将对所述 逻辑门分组,以实施对测量的测试和对基于测量的任何动作的排序。 所述动作还可能包括对声/光装置产生警报。
此外,紧急响应系统100可以包括互锁或复位开关,使得如果操 作者没有使开关复位,那么直到该开关被设置到正常位置,即复位, 流体才会增加。
紧急响应系统100还可以包括用于标记生成响应的时刻的装置, 以了解导致该响应的事件的顺序。
一旦配置了逻辑门阵列110,就只需验证逻辑门阵列110的功能方 面和预定用户安全策略,因为对于嵌入到系统内的"数据处理器,,而 言不存在运行时软件或操作系统。因而,本发明的优点在于,所述紧 急响应系统缩小了需要验证的对象集。例如,IEC 61508提供了针对软 件架构、E/E/PE硬件和软件之间的交互作用以及适当工具组的选择的 具体要求,包括针对所要求的安全集成水平的语言和编译器 (complier)。实际上,认证机构尤为关注所采用的操作系统,软件 如何执行指令,以及如何处理数据或者数据如何在系统内各处移动。 本发明消除了根据传统定义的"操作系统",利用逻辑门的集合简化 了指令的执行,并且通过仅在各个逻辑门的集合之间移动数据简化了 数据的移动。
本发明的另一个优点在于,由于能够对逻辑门阵列iio重新配置, 因而能够容易地更新或改变紧急响应系统100,以反映传感器122或致 动器121的任何变化或者任何最新确定的安全程序。紧急响应系统100 中的这种变化是通过由布尔、顺序或组合逻辑功能的变化导致的对逻 辑门之间的互连以及逻辑门阵列的分组的修改而引起的,如通过对预 定策略的修改所确定的。此外,在对逻辑门阵列110重新配置时,只 有新的功能必须被重新认证。
在本发明的另一实施例中,并行采用至少两组逻辑门阵列110ln 来实施所述紧急响应系统。图2示出了根据这一实施例的紧急响应系 统。采用其输入插口 150卜w将每一组逻辑门阵列110h配置为具有相同 的布尔、顺序或组合逻辑功能、相同的门连接和相同的互连。每一组 逻辑门阵列llOi n还具有与致动器121和传感器122相同的输入信号。
出于备用的目的,在每一组中采用复制的门配置以确保紧急响应 系统100正常工作。具体而言,假设每一组逻辑门阵列110卜n具有相同 的输入值和构造,那么每一组逻辑门阵列110n应当产生与每一其他组 的逻辑门阵列相同的输出值130,。。因此,如果每一组逻辑门阵列110,-n 的输出值130n不同,那么所述逻辑门阵列组中的至少一个发生了故 障。通过比较每一组输出值130w确定故障。将每一组输出值13(h N馈 送到比较器200以进行比较。如果该组输出信号不匹配,那么所述每 一组逻辑门阵列中的至少一个发生了故障。这是由比较器240的输出 确定的。紧急响应系统可以响应于这一故障而4吏工业加工系统4亭机。 比较器200可以是任何类型的比较装置。或者,比较器200可以是简 单的XOR门(异或门)。
在另一实施例中,紧急响应系统100包括还能够控制或启动不具 有诸如过程控制的安全响应功能的工业加工系统的另一元件的逻辑门 阵列110。例如,可以采用所述逻辑门阵列110的状态来控制一组致动 器121。单独且不同的过程控制系统可以在控制过程之前检查所述安全
系统的状态。所述过程控制系统将确定所述紧急响应系统是否已经发 起了紧急响应,并且如果存在紧急响应,那么所述过程控制系统将不 执行所述功能。例如,如果紧急响应系统关断了利用加热的流体的设 备的一部分,那么所述过程控制系统将不开始加热充满流体的容器。 在这种情况下,紧急响应系统的输出还被反馈为所述过程控制系统的 输入。
提供上述说明和附图的目的在于阐明并提供本发明的各个方面的 例子,而并非旨在使本发明局限于所述例子或图示。得益于上述公开, 本领域技术人员能够设想出多种修改和备选构造,尽管其与本文所公 开的例子不同,但是仍然享有本发明的权益,并落在本发明的范围内。
权利要求
1. 一种被配置为在仅支持硬件的运行环境中实施针对紧急响应系统(100)的预定策略的逻辑门阵列(110),所述逻辑门阵列(110)包括(a)用于从位于工业加工系统内的一组传感器(120)和致动器(121)接收多个输入信号(120)的装置;(b)用于采用所述预定策略基于所接收的多个输入信号(120)确定紧急响应的装置;以及(c)用于实施通过所述预定策略确定的紧急响应(140)以控制所述工业加工系统的装置。
2. 根据权利要求1所述的逻辑门阵列(110),其中,所述逻辑 门阵列(110)是现场可编程门阵列(FPGA)。
3. 根据权利要求1所述的逻辑门阵列(110),其中,所述配置 使得所述逻辑门阵列的子集被分组和被连接以充当由所述预定策略确 定的布尔、顺序或组合逻辑功能。
4. 根据权利要求1所述的逻辑门阵列(110),其中,在所述预 定策略存在变化时,对所述逻辑门阵列(110)重新配置。
5. 根据权利要求1所述的逻辑门阵列(110),其中,所述逻辑 门阵列(110)的输出(130)被反馈至单独的过程控制系统,并用作 针对所述过程控制系统的控制信号,以实施对所述工业加工系统的过 程控制。
6. 4艮据权利要求2所述的逻辑门阵列(110),其中,所述FPGA 与至少另一FPGA并联连接,以创建备用紧急响应系统。
7. 根据权利要求1所述的逻辑门阵列(110),其中,将来自所 述被连接的FPGA中的每一个的输出相互比较以确认所述输出是相同 的,并且如果所述输出不同,那么所述紧急响应系统使所述工业加工 系统停机。
8. —种提供可验证的紧急响应系统(100)的方法,包括以下步骤(a)开发用于实现紧急响应系统(100)的预定策略,所述预定策 略包括用于基于从位于工业加工系统内的多个输入传感器(122)和致 动器(121)接收的信号(120)生成至少一个紧急响应(140)的指令; (b)对逻辑门阵列(110)进行配置以在仅支持硬件的运行环境中 针对紧急响应系统(100)实施预定策略,其中,以较少的需要顺应性 证据的项目对所述紧急响应系统(100)进行验证。
全文摘要
对逻辑门阵列,尤其是FPGA,进行配置,以实施针对在仅支持硬件的运行环境内的紧急响应系统的预定策略。所述逻辑门阵列从一组位于工业加工系统内的传感器和致动器接收多个输入信号。所述逻辑门阵列基于所接收的多个输入信号利用所述预定策略确定紧急响应。所述逻辑门阵列基于所述预定策略实施紧急响应,以控制所述工业加工系统。可以基于预定策略的变化对所述逻辑门阵列重新配置。
文档编号G05B9/02GK101390025SQ200680053574
公开日2009年3月18日 申请日期2006年12月8日 优先权日2005年12月30日
发明者P·B·格尔哈特 申请人:霍尼韦尔国际公司