专利名称:用于安全监测端线板的方法以及系统的制作方法
用于安全监测端线板的方法以及系统
背景技术:
本公开一般涉及可编程过程控制器以及,更具体地,涉及与可编程过程控制器一起使用的安全输入输出装置。至少某些已知的过程控制器包括专用计算机,例如,用于工业机器以及过程的控制的可编程逻辑控制器(PLC)。在所存储的控制程序的执行期间,过程控制器读取来自被控制过程的输入以及,根据控制程序的逻辑,向被控制过程提供输出。PLC’ s 一般用处理器以及I/O电路模块化地构造,处理器以及I/O电路被构造为可被插在底盘中且通过共同的底板被连接在一起的单独模块。I/O模块允许输入以及输出现场配线与处理器通过底板连接。现场配线典型地包括多导体电缆(multi-conductor cable),其从PLC柜延伸至最接近被控制的机器或者过程的终端面板。多导体电缆可延伸相当长的距离并且当它路经厂区时可被分成几个端接的分段。某些机器以及/或过程包括目的在于保护操作者以及/或者设备远离由于故障或者闯入机器的运行区域而造成的伤害或者损害的安全功能。在提供这样的安全功能中所使用的安全系统一般被包含在单独经鉴定的安全系统中或者通过对整个控制系统进行安全鉴定而被包含在控制系统中。这样的离散安全系统可能安装与维护的费用高(特别地对于复杂的控制应用), 并且对整个控制系统进行鉴定招致初始安全鉴定以及系统安全鉴定的持续维护的相当大的费用。此外,在被控制过程或机器与过程控制器之间的长距离、居间信号调节与处理装置、以及过程处理器的扫描率可由于系统的响应时间而使安全功能的启动延迟。
发明内容
在一个实施例中,用于控制过程的控制装置包括被配置成接收来自被控制过程的输入信号的输入部分、与输入部分通信耦合的第一输出部分(其中第一输出部分被配置成将所接收的输入信号传输至控制器),以及与控制器通信耦合的第二输出部分(第二输出部分被配置成将来自控制器的控制信号传输至被控制过程)。该设备进一步包括并行于被传输至控制器的所接收的输入信号而与输入部分通信耦合的安全逻辑块,该安全逻辑块被配置成使用所接收的输入信号来产生安全输出信号,该安全逻辑块进一步被配置成独立于控制信号而将安全输出信号传输至被控制过程。在另一个实施例中,控制过程的方法包括接收来自被控制过程的关于过程的安全功能的输入信号,将输入信号传输至远离该过程的过程控制器和对该过程本地的安全逻辑块,以及由第一安全逻辑块产生输出信号,其使用输入信号来控制安全功能,该输出信号独立于任何从控制器传输至被控制过程的控制信号而被传输至过程。在又另一实施例中,控制系统包括多个输入装置、多个输出装置、以及被配置成执行控制程序以基于多个输入装置的输入状态来控制多个输出装置的输出状态的可编程控制器。该系统还包括与可编程控制器通信耦合的可编程输入输出装置。该可编程输入输出装置包括可编程安全逻辑块电路,其被配置成并行于控制程序而使用多个输入装置的至少一个的输入状态以产生安全输出信号,使得安全输出信号在来自可编程控制器对应的控制能由相应输出装置接收之前由相应的输出装置接收。
图1是根据本发明的示例性实施例的控制系统的示意框图;以及图2是在图1中所示的可编程安全逻辑块电路的扩展示意框图。
具体实施例方式接下来的详细说明通过示例的方式且不通过限制的方式图示了本发明的实施例。 预期的是,本发明具有对包含便于在被控制机器或者过程的运行期间减少损害或者伤害的安全功能的过程控制器的一般应用。如本文所使用的,以单数形式所记载且前面使用单词“一”的元件或者步骤应被理解为并不排除复数的元件或者步骤,除非这样的排除被明确地记载。而且,对本发明“一个实施例”的提及目的不在于被解释为排除还包含了所记载特征的另外的实施例的存在。图1是根据本发明的示例性的实施例的控制系统100的示意框图。在示例性的实施例中,系统100包括可编程控制器102,例如,但不限于可编程逻辑控制器(PLC)。在示例性的实施例中,可编程控制器102包括被配置成执行控制程序的处理器103。可编程控制器102通过安全输入输出终端装置108与多个输入装置104以及多个输出装置106通信耦合。在替选的实施例中,可编程控制器102并行于安全输入输出终端装置而与其他输入装置129以及输出装置130通信耦合。可编程控制器102被配置成执行控制程序以基于多个输入装置104、129的输入状态来控制多个输出装置106、130的输出状态。安全输入输出终端装置108通过链路110(例如,但不限于光纤、硬接线、或者无线链路)与可编程控制器通信耦合。链路110在安全输入输出终端装置108中由通信链路电路112所控制。在控制器 102与安全输入输出终端装置108之间的通信由控制与通信可编程装置114所处理且格式化。在示例性的实施例中,通信可编程装置114包括现场可编程门阵列(FPGA)。通信可编程装置114还与配置闪存115通信耦合,配置闪存115配置成存储用于通信可编程装置114 的逻辑指令。安全输入输出终端装置108进一步包括在通信可编程装置114与端线板118之间通信耦合的可编程安全装置116。在示例性的实施例中,在可编程控制器102、输入装置104 以及输出装置106之间所传输的信号通过可编程安全装置116传输。在示例性的实施例中, 可编程安全装置116包括复杂可编程逻辑装置(CPLD)。在其他的实施例中,其他类型的可编程逻辑装置可被使用。在又其他的实施例中微处理器可被使用。如本文所使用的,可编程安全装置116包括一组简单的可编程安全逻辑块电路120,其具有通过互连矩阵而连接在一起的输入以及输出。可编程安全装置116具有两层可编程性每个可编程安全逻辑块电路120能被编程,以及在可编程安全逻辑块电路120之间的互连能被编程。可编程安全装置116使用内存储器、EEPROM、SRAM、和/或闪存(Flash memory)以保存互连信息。可编程安全逻辑块电路120被配置成使用多个输入装置104的至少一个的输入状态来产生安全输出信号。输入状态通过端线板118以及至少两个输入信号总线122与124 的一个从多个输入装置104的一个或者多个被传输至可编程安全逻辑块电路120。该输入状态还通过穿过可编程安全装置116的输入信号总线122与124被传输至通信可编程装置 114。在其他的实施例中输入信号可并行传送至可编程安全装置116。安全输出信号通过相应安全输出总线126以及相应的端线板118的端子而被传输至多个输出装置106的一个或者多个。控制输出128总线在通信可编程装置114与端线板118之间通信耦合。在运行期间,输入装置104探测以及/或者监测关联的传感器以及/或者部件的输入状态。该输入状态通过对通信可编程装置114的输入信号总线122以及124被传输至可编程控制器102。该输入状态信号被处理以通过通信链路电路112传输至可编程控制器 102。在示例性的实施例中,通信可编程装置114将输入状态信号打包到网络信息包内以通过被配置成网络总线的链路110来传输。控制信号由控制器102使用输入状态以及在处理器103上执行的控制程序所产生。所产生的控制信号通过链路110、通信链路电路112、通信可编程装置114以及可编程安全装置116被传输至输出装置106。并行于控制器102的处理过程,可编程安全逻辑块电路120接收通过总线122以及/或者124被传输至控制器102的相同的输入状态信号。 可编程安全逻辑块电路120处理输入状态信号的预先确定的一些以产生安全输出信号,其通过端线板118被传输至输出装置106。因为产生的安全输出信号对过程109以及输出装置106是本地的,并且因为可编程安全逻辑块电路120包括可编程逻辑而不是在处理器上执行的程序,所以安全输出信号比由可编程控制器102所产生的控制信号能够由输出装置 106更快地接收。信号必须通过的较短的距离以及可编程安全逻辑块电路120的较简单的逻辑的速度使在可编程安全逻辑块电路120中产生安全以及紧急控制功能比在可编程控制器102中产生控制信号要快。例如,在实施例中,其中过程109包括金属冲孔机器,出于个人安全,该金属冲孔机器可至少部分地被光幕(light curtain)所围绕,光幕具有当光幕边界未被断开时设置成接收光的输入装置104。金属冲孔机器的移动部分由输出部分106来启动以根据在可编程控制器102上执行的程序来控制金属冲孔机器的运行。如果与光幕关联的输入装置104 探测到光幕潜在地由操作者的手或者胳膊断开,典型的程序安全功能可以是紧急停止过程 109。为确保过程109能够在充分的时间内停止以阻止伤害,过程109对确定光幕已被断开的响应时间应尽可能短并且至少比从检测到在光幕中的断开到当用户肢体可进入过程109 的移动部分所花费的时间要短。可编程安全逻辑块电路120从与光幕的光探测器关联的输入装置104接收光幕的输入状态。可编程安全逻辑块电路120本地地处理该输入信号并且使用相对简单的逻辑产生安全输出信号。该安全输出信号在该相同输出信号能完成到可编程控制器102的往返行程、可编程控制器102的扫描延迟、以及到相应输出装置106的回程之前被传输至相应的输出装置106以停止过程109。图2是可编程安全逻辑块电路120 (在图1中所示)的扩展示意框图。在示例性的实施例中,包括可编程逻辑202,其限定可编程安全逻辑块电路120的运行。可编程逻辑 202包括例如但不限于AND门204与NAND门206的标准逻辑实现。可编程逻辑202还包括开关寄存器208,其中每个开关210可被表达成逻辑0或者逻辑1。可编程逻辑202还包括用于来自与过程109关联的位置编码器214的信号的解码器212。多个预编译的安全可认证逻辑块202对在安全块102中被编程是可用的。逻辑块利用例如循环冗余码(CRC)以验证逻辑块的内容在传输以及存储至可编程安全逻辑块120期间未被改变。开关寄存器208的内容是单独可编程并且还使用循环冗余码(CRC)认证以验证开关寄存器208的内容在编程程序期间未被改变。安全输入输出终端装置108提供被包含在控制系统100中的本地安全功能,且不需对整个控制系统的安全运行进行鉴定。安全输入输出终端装置108还消除了对第二独立安全控制系统的需要以实现安全功能。安全输入输出终端装置108提供可下载的以及可配置的安全功能(位于过程109本地)。在运行期间控制系统100正常运行,除非不希望的情况存在。一旦识别不希望的状态,安全输入输出终端装置108产生安全输出信号,其在过程 109中执行安全功能。安全功能的执行独立于控制器102的命令而发生。对安全输入输出终端装置108硬件以及可下载的逻辑的安全运行进行认证。安全输入输出终端装置108允许用户当利用与控制系统100远离的输入/输出装置时实现本地安全功能。安全输入输出终端装置108消除了对单独的安全系统、或者对需要对整个安全系统的安全运行进行鉴定的需要。安全输入输出终端装置108还可配置成实现“容许输出”。在正常运行期间容许输出接收来自逻辑解算器的命令并且执行那些命令。如果安全输入输出终端装置108探测到不希望的状态(在输入上),容许输出将被驱动到安全状态。安全功能的执行独立于控制输出128而发生。在系统起动期间,输出安全状态是可编程的(例如,通电的或者断电的)并且安全输入输出终端装置108在安全状态中开启电源。安全输入输出终端装置108还可被配置成仅在程序模式被修改。安全输入输出终端装置108提供在与输入输出电路相同的外壳中的安全监测功能和在控制与安全功能之间的差异,这便于限制共同模式失效的机会妨碍安全功能的运行。安全功能的响应时间比控制功能的响应时间相对较快。因为安全逻辑是本地的,系统不需要等待逻辑解算器读取输入、处理逻辑、然后发送输出命令。在替选的实施例中,控制系统包括多个输入装置(包括运动(速度)输入)、包括运动输出的多个输出装置(电动机)、以及被配置成执行控制程序以基于多个输入装置的输入状态而控制多个输出装置的输出状态的可编程控制器。该系统还包括与可编程控制器通信耦合的可编程输入输出装置。该可编程输入输出装置包括可编程安全逻辑块电路,其配置成并行于控制程序而使用多个输入装置的至少一个的输入状态以及多个的运动装置的至少一个的速度来产生安全输出信号,使得如果装置的输入速度超出可配置的设置点则安全输出信号由相应输出装置所接收。例如如果机器人单元安全门是打开的并且该机器人以比所配置的安全速度更快地移动,机器人紧急停止信号则被传输。在另一个替选的实施例中,链路110以及通信链路电路112由背板连接器以及驱动器电路(都未在图1中显示)代替以形成安全模块。对安全模块的维护以及/或者替换都不要求整个系统的认证并且便于消除由于扫描速度的时间延迟。术语处理器,如本文所使用的,涉及中央处理单元、微处理器、微控制器、精简指令集电路(RISC),专用集成电路(ASIC),逻辑电路、以及任何其他能执行本文所述功能的电路或者处理器。如本文所使用的,术语“软件”以及“固件”是可互换的,以及包括任何所存储在存储器中由处理器103执行的计算机程序,存储器包括RAM存储器,ROM存储器、EPROM 存储器、EEPROM存储器、以及非易失RAM(NVRAM)存储器。以上存储器类型仅是示例性的, 并且因此不是限制可使用于计算机程序存储的存储器类型。
如基于之前的说明应理解,以上所述本公开的实施例可使用包括计算机软件、固件、硬件或者任何其组合或者其组合的子集的计算机编程或工程技术来实现,其中技术效果是用于在输入输出模块内执行过程安全功能的部件,然而给过程控制系统提供过程输入以及输出而不需要利用第二控制系统、或者认证整个控制系统的安全运行。任何这样所得的程序(具有计算机可读的代码部件)可在一个或者多个计算机可读媒介内包含或者提供,因此根据本公开所讨论的实施例制成计算机程序产品,例如制造品。该计算机可读媒介可以是,例如,但不限于,固定(硬件)驱动器、磁盘、光盘、磁带、例如只读存储器(ROM)的半导体存储器、以及/或者任何例如互联网或者其他通信网络或者链路的传输/接收媒介。 制成和/或使用包括计算机代码的制造品的方式可以是执行直接来自一个媒介的代码、从一个媒介到另外一个媒介复制代码、或者通过网络传输代码。以上所描述的控制过程的方法以及系统的实施例提供了独立于过程控制器的控制命令而执行安全功能的成本高效且可靠的手段。更具体地,本文中所描述的方法以及系统便于当不希望的过程情况被识别时执行安全功能。另外,以上所描述的方法以及系统便于执行“容许输出”,其在正常运行期间接收来自过程控制器的命令并且执行该命令。当在输入上的不希望的状态被探测到,容许输出被驱动到预先确定的安全状态。因此,本文所描述的方法以及系统便于以成本高效的且可靠的方式来控制过程。当本公开根据各个具体实施例已被描述,应认识到本公开能以在权利要求的精神以及范围内的变更来实践。
权利要求
1.一种控制装置包括被配置成接收来自被控制过程的输入信号的输入部分;与所述输入部分通信耦合的第一输出部分,所述第一输出部分被配置成将所接收的输入信号传输至控制器;与所述控制器通信耦合的第二输出部分,所述第二输出部分被配置成将来自所述控制器的控制信号传输至所述被控制过程;并行于被传输至所述控制器的所接收的输入信号而与所述输入部分通信耦合的安全逻辑块,所述安全逻辑块被配置成使用所接收的输入信号来产生安全输出信号,所述安全逻辑块被配置成独立于所述控制信号而将所述安全输出信号传输至所述被控制过程。
2.如权利要求1所述的控制装置,其中所述安全输出信号对应被控制过程中预先确定的控制功能,并且其中所述安全输出信号在对应所述预先确定的控制功能的控制信号之前到达所述被控制过程。
3.如权利要求2所述的控制装置,其中所述预先确定的控制功能包括机器紧急停止以及过程关闭的至少一个。
4.如权利要求1所述的控制装置,进一步包括多个安全逻辑块,其中所述多个安全逻辑块的第一安全逻辑块的输出与所述多个安全逻辑块的第二安全逻辑块的输入耦合。
5.如权利要求4所述的控制装置,其中所述第二安全逻辑块被配置成使用所接收的输入信号以及来自所述第一安全逻辑块的输出的输出信号来产生安全输出信号。
6.如权利要求1所述的控制装置,其中所述安全逻辑块包括可编程逻辑装置。
7.如权利要求6所述的控制装置,其中所述安全逻辑块包括复杂可编程逻辑装置。
8.如权利要求6所述的控制装置,其中所述安全逻辑块包括存储在所述可编程逻辑装置内的可编程逻辑,所述可编程逻辑是安全可认证的以验证所述逻辑块的内容在传输以及存储至所述可编程安全逻辑块期间未被改变。
9.如权利要求6所述的控制装置,其中所述安全认证包括循环冗余码。
10.如权利要求1所述的控制装置,其中所述安全逻辑块在物理上远离所述控制器安装。
11.一种控制过程的方法,所述方法包括接收关于过程的安全功能的来自被控制过程的输入信号;将输入信号传输至远离所述过程的过程控制器和对所述过程是本地的安全逻辑块;以及由第一安全逻辑块产生输出信号,其使用所述输入信号来控制所述安全功能,所述输出信号独立于任何从所述控制器传输至所述被控制过程的控制信号而被传输至所述过程。
12.如权利要求11所述的方法,其中所述安全逻辑块包括可编程逻辑装置中的多个安全逻辑块的一个,所述的方法进一步包括由第二安全逻辑块接收由所述第一安全逻辑块所产生的输出信号,所述第二安全逻辑块产生第二输出信号,其使用所述输入信号以及所述第二输出信号来控制所述安全功能。
13.如权利要求12所述的方法,其中所述输入信号并行于所述多个安全逻辑块的至少一个而在所述过程控制器中被处理。
14.如权利要求11所述的方法,其中所述输入信号并行于所述安全逻辑块而在所述过程控制器中被处理。
15.如权利要求11所述的方法,进一步包括在所述控制器中产生控制信号,其使用所述输入信号控制所述安全功能,其中由所述第一安全逻辑块所产生的输出信号在从所述控制器传输至所述过程的控制信号之前到达所述过程。
16.一种控制系统包括 多个输入装置; 多个输出装置;可编程控制器,其被配置成执行控制程序以基于所述多个输入装置的输入状态来控制所述多个输出装置的输出状态;以及与所述可编程控制器通信耦合的可编程输入输出装置,所述可编程输入输出装置包括可编程安全逻辑块电路,其被配置成并行于所述控制程序而使用所述多个输入装置的至少一个的输入状态以产生安全输出信号,使得所述安全输出信号在来自所述可编程控制器的对应控制能由相应输出装置接收之前由相应的输出装置接收。
17.如权利要求16所述的系统,其中所述可编程输入输出装置被配置成接收所述多个输入装置的输入状态并且传输状态至所述可编程控制器。
18.如权利要求16所述的系统,其中所述可编程输入输出装置被配置成接收来自所述可编程控制器的控制信号并且传输所述控制信号至所述多个输出装置的至少一个。
19.如权利要求16所述的系统,其中所述安全逻辑块包括所述可编程输入输出装置内所存储的可编程逻辑,所述可编程逻辑使用对应所述可编程逻辑的所验证的拷贝的认证代码是安全可认证的。
20.如权利要求16所述的系统,其中所述可编程输入输出装置在物理上远离所述控制器安装。
全文摘要
提供了控制过程的一种方法、设备以及系统。该控制装置设备包括被配置成接收来自被控制过程的输入信号的输入部分、与输入部分通信耦合的第一输出部分(其中第一输出部分被配置成将所接收的输入信号传输至控制器),以及与控制器通信耦合的第二输出部分(第二输出部分被配置成将来自控制器的控制信号传输至被控制过程)。该设备进一步包括并行于所接收的输入信号被传输至控制器而与输入部分通信耦合的安全逻辑块,该安全逻辑块被配置成使用所接收的输入信号来产生安全输出信号,该安全逻辑块进一步被配置成独立于控制信号而将安全输出信号传输至被控制过程。
文档编号G05B19/042GK102165384SQ200980136910
公开日2011年8月24日 申请日期2009年6月18日 优先权日2008年7月14日
发明者E·图尔瑙, 赫尔滕 M·范, W·H·吕肯巴赫 申请人:通用电气智能平台有限公司