用于控制自动化设备的安全控制装置和用于为安全控制装置创建应用程序的方法

专利名称：用于控制自动化设备的安全控制装置和用于为安全控制装置创建应用程序的方法
用于控制自动化设备的安全控制装置和用于为安全控制装置创建应用程序的方法本发明涉及一种安全控制装置，其根据在该安全控制装置中运行的应用程序用于控制自动化设备，以及涉及一种用于为这种安全控制装置创建应用程序的方法。在本发明的意义下的安全控制装置是如下设备或装置，该设备或装置记录由传感器提供的输入信号并且由此通过逻辑链接和可能的其他信号或数据处理步骤产生输出信号。输出信号于是可以输送给执行器，所述执行器根据输入信号引起受控的设备中的动作或反应。这种安全控制装置的一个优选的应用领域是对在机器安全领域中的应急关断按键、双手控制装置、光栅或安全门的监控。这种传感器被用于例如保护如下机器，在运行中对人员或材料物品的危害源自该机器。在安全门打开时或在操作应急关断按键时分别产生信号，该信号作为输入信号被输送给安全控制装置。响应于此，安全控制装置于是例如借助执行器关断机器的带来危险的部分。与“正常”控制装置相比，对于安全控制装置典型的是，安全控制装置本身即使在安全控制装置中或在与该安全控制装置相连的设备出现故障时也始终保证带来危险的设备的安全状态。因此，在全控制装置中对自己的故障安全性提出了极高要求，这导致了在开发和制造时的极大开销。通常，安全控制装置在其使用之前需要由主管监管局(譬如在德国由行业组织或 TUV )的特别的许可。安全控制装置在此必须遵守预先给定的安全标准，其例如记录于欧洲标准EN 954-1、标准IEC 61508或标准EN IS013849-1和类似的标准中。在以下因此， 安全控制装置理解为如下装置，其至少满足所述欧洲标准EN 954-1的第三安全类别或其安全完整性等级(SIL)至少达到根据所述标准IEC 61508的第二等级。可编程的安全控制装置为应用者提供如下可能性，借助软件、即所谓的应用程序根据需要单独地确定逻辑链接并且必要时确定另外的信号或数据处理步骤。由此得到与以前的解决方案相比大的灵活性，其中逻辑链接通过在不同的安全部件之间的限定的布线来产生。在根据现有技术的设备大型部件和复杂设备中通常使用分布式安全控制装置。分布式安全控制装置包含多个在空间上分布的控制部件(控制单元、传感器和执行器)，其通过通信网络彼此通信。控制部件与设备部件相关。设备部件是受控设备的组成部分，譬如不同的加工站、输送带、各机器人等等。在硬件方面，分布式安全控制装置的特性在于大的灵活性。这样，安全控制装置可以由多个不同的控制部件构建并且因此可以非常灵活地与要控制的设备的实际情况匹配。然而在各个控制部件之间的通信关系的配置方面和在数据处理的相关方面，分布式安全控制装置尚非最佳的。其在投入使用之前需要高的配置开销。 其必须针对每个安全单元单独地确定读入哪些输入信号并且输出哪些输出信号。此外，用户必须单独地确定控制系统的所有部件的通信关系。这也包含时间参数，其在通信时必须被遵循。在各个控制部件之间的通信关系的配置尤其包括如下配置参数配置参数，其定义传输什么样的数据，即哪些数据类型具有要传输的数据；配置参数，其定义从哪里到哪里来传输数据，即在哪些控制部件之间进行数据交换；配置参数，其定义要多频繁地传输各数据；配置参数，其定义安全控制装置必须多快地在安全功能方面对较大的情况起反应。因此，本发明的任务是提出开头所述的安全控制装置和方法，其能够实现更简单且更快速地投入使用。该任务通过开头所述类型的安全控制装置来解决，其具有如下单元多个控制部件，其中控制部件的至少一部分分别具有数据总线接口，其中数据总线接口分别构建为接收和发送数据；数据总线，多个控制部件通过相应的数据总线接口连接到该数据总线，用于交换数据；以及配置接口，其构建为，接收配置数据，其中配置数据根据相关性数据来确定， 以及其中配置数据确定数据总线和/或至少一个数据总线接口的至少一个特性。此外，该任务通过开头所述类型的方法来解决，其中安全控制装置构建为，根据在其中运行的应用程序控制自动化设备，其中安全控制装置由多个控制部件构建并且包括数据总线，其中控制部件的至少一部分分别具有数据总线接口，其中数据总线接口分别构建为，接收数据和发送数据，以及其中多个控制部件通过相应的数据总线接口连接到数据总线，用于交换数据，其中实施如下步骤-确定相关性数据，以及-根据相关性数据确定配置数据，其中配置数据确定数据总线和/或至少一个数据总线接口的至少一个特性。有利地，创建应用程序的创建超过对源代码和机器代码的纯粹创建也包含将机器代码和配置数据分配到控制部件的至少一部分上。新安全控制装置和新方法基于如下构思根据前面所确定的相关性数据自动地确定对于通信关系的配置所需的配置数据，并且，配置数据于是通过配置接口传输到安全控制装置中。配置自动地通过借助其为安全控制装置创建应用程序的计算机程序或通过另一对于配置特别构建的计算机程序来创建。对于配置的初始预先给定例如从应用程序或由对于创建应用程序进行的输入来导出。在此尽管还要设置，应用程序的程序员可以进行与通信关系的配置相关的输入。然而，程序员不必执行实际配置。这独立地通过所述的计算机程序进行。以下代替表述“在各控制部件之间的通信关系的配置”缩短地使用表述“通信关系的配置”。配置数据确定数据总线的至少一个可变的特性和/或在控制部件中包含的数据总线接口的至少一个可变的特性。由此能够实现通信关系的自动配置。因此简化了由创建应用程序和通信关系的配置构成的安全控制装置的规划。总之，减小了时间开销并且因此也减小了实现安全控制装置的成本。此外，通信关系的自动配置提高了安全控制装置的故障安全性。通过自动化排除故障源，其在非自动运行的配置中存在。此外，提高了灵活性。在改变项目或所实现的安全控制装置时，可以以简单的方式和方法确定可能由此得到的匹配的配置数据并且将其传输到安全控制装置中。这样的改变例如可以在如下情况中是必要的例如如果在安全控制装置的规划之后在试运行中确定安全控制装置针对一参数的性能为过小，则这通过更换已存在的控制部件或通过添加附加控制部件来提高。在两个变化中，需要配置数据的匹配，因为进行通信关系的改变或补充。另一例子是在安全控制装置已处于运行的情况下更换有故障的控制部件。此外，通过通信关系的自动配置实现在各个控制部件之间的数据交换的优化。这开创了更大的余地，满足要控制的设备在安全控制装置的反应时间方面的运营商的预先给定。总之，因此可以实现更短的反应时间。优选地，配置数据不仅确定与数据交换相关的数据总线的特性而且确定与数据交换相关的在控制装置部件中包含的数据总线接口的特性。在此，可以涉及相同特性或可以部分是不同的特性。相关性数据有利地表示应用程序的各子范围彼此间的相关性或应用程序的各子范围与各控制部件的相关性。基于这些相关性得到了与通信关系的配置相关的数据。这样， 可以从这些相关性总导出例如说明传输什么样的数据或将这些数据从哪里传输到哪里。 应用程序的子范围例如可以是在应用程序中包含的程序模块或是多个控制指令。上面所述的任务因此被完全解决。在本发明的另一扩展方案中，应用程序由多个程序模块构建，其中相关性数据包括程序模块相关性数据，其中程序模块相关性数据表示多个程序模块相关性，其中程序模块相关性分别定义哪些控制部件与相应程序模块相关。程序模块相关性数据表示应用程序在空间上划分到分布式构建的安全控制装置上。其涉及硬件技术上的相关性，其反映了哪些程序模块与哪些控制部件相关。因此，针对各程序模块已知了在安全控制装置内的相应处理位置。该信息对于实现在分布式构建的安全控制装置内的数据交换是重要的。从该信息可以导出，哪些数据在哪些控制部件中产生并且哪些数据在哪些控制部件中被消耗。此外，该措施能够实现根据不同方面对在分布式构建的安全控制装置内的数据传输进行优化。根据第一方面，各程序模块与各控制部件相关，使得程序模块和因此通过程序模块相应定义的应用程序的子范围被现场处理。由此，减小了在各控制部件之间的数据交换。 现场在本上下文中表示，程序模块在有对其处理所需的数据可用的地方被处理。于是，例如在邻近于传感器的控制单元中对于确定执行器的激励信号需要传感器的传感器信号作为输入信号。相关性能够实现较短的反应时间。优选地，程序模块与各控制部件的相关由应用程序的创建者进行。根据第二方面，各程序模块自动地通过借助其创建应用程序的计算机程序与控制部件相关。相关例如可以借助数据处理特征码来进行。在该相关中可以最优地使用在安全控制装置中存在的资源、例如数据存储器或微处理器。这能够实现通信关系的配置与安全控制装置的技术情况最佳匹配。有利地，并非应用程序的所有程序模块都必须与控制部件相关。也可考虑的是，仅针对程序模块的一部分进行相关。在本发明的另一扩展方案中，应用程序由多个控制指令构成，其中相关性数据包括处理相关性数据，其中处理相关性数据表示多个处理相关性，其中处理相关性针对控制指令的至少一部分定义了各控制指令的处理顺序。处理相关性数据表示处理顺序并且因此表述各个控制指令之间的数据流。其涉及软件技术或编程技术上的相关性，其反映了哪些数据在各控制指令之间被交换。由此可以全面地表示数据流，这能够实现配置数据的最佳设计并且因此能实现通信关系的配置。此外，这能够实现通信关系的模块化的配置并且最后能够实现简单的操纵。有利地，控制指令的部分是包含在程序模块中的控制指令。可替选地，控制指令的部分包括控制指令的第一子范围，其包含在第一程序模块中，以及包括控制指令的第二子范围，其包含在第二程序模块中。由此，可以优化在各程序模块之间的数据交换。在本发明的另一扩展方案中，多个控制指令包括多个产生数据的控制指令和多个消耗数据的控制指令，其中在确定处理相关性数据时考虑是消耗数据的控制指令还是产生数据的控制指令。该措施一方面具有如下优点对于产生数据的控制指令和对于消耗数据的控制指令可以考虑不同的规范。另一方面，通过该措施保证了在显示数据流时检测所有中间步骤。 总之，该措施能够实现通信关系的全面的并且因此优化的配置。此外在本发明的另一扩展方案中，配置数据根据多个预先定义的控制参数值来确定。该措施具有如下优点要控制的设备的运营商首先可以与安全控制装置的具体结构无关地预先给定对于要实现的安全控制装置所要求的控制特性。于是，安全控制装置的情况取决于所要求的控制特性。这样，例如在安全控制装置中要安装的单部件随后被选择。 此外，由此得到了对在安全控制装置中要实现的数据交换的预先给定。因此，运营商的要求可以与控制部件的技术情况相协调。配置数据根据不可变的即固定预先给定的控制参数值来确定，控制参数值例如可以在创建应用程序时被定义。但也可考虑的是，随后才定义控制参数值。有利地，控制参数的每个都表示安全控制装置的控制特性的独立子方面。在此情况下可以涉及总控制特性的子方面，其中总控制特性通过由多个控制部件构建的整个安全控制装置来定义。但，该子方面也可以涉及在安全控制装置中包含的各控制部件的控制特性。该措施能够有利地实现自动检验为实现安全控制装置所选取的各控制部件是否完全适于满足预先定义的控制参数值。在前面所述的措施的另一扩展方案中，所考虑的控制参数是如下控制参数中的至少一个表示反应时间的第一控制参数、表示循环时间的第二控制参数和表示采样率的第三控制参数。在此涉及表征安全控制装置的控制特性的主要控制参数。因此，通信关系的完全配置是可能的。反应时间可以是安全控制装置的总的反应时间。但其也可以是在由安全控制装置实现的各安全功能方面的反应时间。这样，可考虑的是，对于接着安全控制装置监控的各个设备部分可以预先给定不同的反应时间。循环时间可以是统一针对整个安全控制装置而预先给定的循环时间。但其也可以是如下循环时间，其单独针对控制部件或甚至针对在安全控制装置中包含的数据处理单元例如数据总线接口而预先给定。但其也可以是数据总线的循环时间。同样可能的是，循环时间涉及信号处理链。信号处理链是控制指令序列，如其例如在程序模块内。通常为控制指令，在控制指令之间存在处理顺序。
采样率是在安全控制装置中包含的输入/输出设备的循环时间。对于整个安全控制装置可以适用统一的采样率。但，采样率也可以单独地预先给定，例如针对各控制部件或针对在控制部件中包含的各数据处理单元预先给定。此外在本发明的另一扩展方案中，配置数据根据多个数据处理特性码来确定。数据处理特性码表示在数据处理时使用的部件的与数据处理相关的特性。数据处理特性码因此允许预测这些部件关于数据处理方面的性能。在此涉及例如微控制器的时钟频率，数据存储器的存储器容量或例如数据总线或数据总线接口的数据传输率。有利地，数据处理特性码涉及各控制部件并且因此表示在相应控制部件中安装的数据处理单元的特性。通过考虑数据处理特性码可以在配置通信关系时考虑硬件技术上的情况。因此可能的是，由设备运营商完成的对控制特性的预先给定与硬件技术上的情况相协调。优选地，针对各控制部件将数据处理特性码的值存储在数据库中，其中数据库位于如下计算机上，借助该计算机执行用于创建应用程序的计算机程序。可替选地，这些值也可以存储在各个控制部件中并且随后被读取。在本发明的另一扩展方案中，相关性数据尤其是程序模块相关性数据根据多个数据处理特性码来确定。根据数据处理特性码确定相关性数据的措施具有如下优点应用程序的子范围从优化的数据处理角度来看可以与各控制部件相关。这样，对于其的处理需要高计算能力的应用程序的子范围例如在配备有强大的微处理器的控制部件中被处理。这能够实现通信关系的特别优化的配置。在程序模块相关性数据根据数据处理特性码来确定的措施中，如下有利的方法可考虑，首先，应用程序的程序员可以现场预先给定处理的意义下的程序模块相关性。接着， 通过考虑数据处理特性码可以检验，相应控制部件对于相应程序模块的处理是否足够高效。必要时，可以对程序员提示，进行程序模块相关性的改变。但也可考虑的是，通过创建应用程序的计算机程序来让程序模块相关性自动优化。在本发明的另一扩展方案中，控制部件的至少一部分分别具有数据存储器，其中数据存储器分别构建为存储分别输送给其的数据，其中安全控制装置还具有分配单元，其中该分配单元构建为将配置数据的至少一部分通过数据总线分配到控制部件的至少一部分。该措施具有如下优点可以有目的地将配置数据存储在各数据存储器中。这例如能够实现将配置数据存储在所谓智能输入/输出单元中。在此尤其是涉及安全相关的传感器和执行器，其拥有数据处理单元例如微处理器和数据存储器。由此，可以用配置数据占用并由此利用在安全控制装置中存在的数据存储器，否者数据存储器会大部分不被利用。由此，在安全控制装置中存在的控制单元未来可以配备有较小的数据存储器并且因此降低了安全控制装置的成本。同时，该措施能够实现短的反应时间。配置数据可以存储在其要被处理的地方。这减少了在控制部件之间的数据交换。优选地，配置数据根据相关性数据尤其是程序模块相关性数据而分配到各控制部件。此外，有利的是，数据存储器的至少一部分构建为，零电压安全地 (nullspanungssicher)存储分别所输送的配置数据。该措施具有如下优点配置数据例如在电压消失之后或在安全控制装置关断之后一如既往地存在。由此，提高了安全控制装置的可支配性。不需要重新初始化安全控制装置。例如，为此使用SD卡或CF卡形式的存储器卡或可以使用闪存卡。在前面所提及的措施的另一扩展方案中，将配置数据的至少一部分冗余地存储在数据存储器中。配置数据的冗余存储通过如下方式来实现复制相应的配置数据。复制的配置数据于是独立地分配到数据存储器，更确切地说，规定有原始配置数据和复制的配置数据分别存储在不同的数据存储器中。通过该措施提高了安全控制装置并且因此受控的设备的可支配性。例如，如果非安全相关的控制装置故障，则配置数据一如既往地可供使用，其存储在数据存储器中，因为其还存储在另一数据存储器中。有利地，不仅配置数据而且程序数据和/或参数化数据被分配到各控制部件。程序数据在此表示应用程序并且在创建应用程序时产生。特别在程序数据的情况下有利的是，其可以存储在例如需要所需的传感器信号或为执行器提供激励信号的地方。参数化数据表示使用在应用程序中的各变量或函数的值域。配置数据、程序数据和参数化数据概括性地称作项目数据，其表示在设备上运行的应用。不仅对于程序数据而且对于编程数据相应适用前面关于相关性、存储和数据存储器的构型方面的实施。在本发明的另一扩展方案中，分配单元是数据存储器之一。该措施具有如下优点在安全控制装置中设置附加的单元来分配配置数据。配置数据的分配由本来存在于安全控制装置中的数据存储器之一执行。这能够成本低廉地实现安全控制装置。有利地，为此数据存储器的至少一个构建为将所输送的配置数据转发给至少一个另外的数据存储器或请求存储在另一数据存储器中的配置数据。这能够实现配置数据灵活地分配到各数据存储器。由此甚至可以将配置数据任意地分配到数据存储器。可替选地，可以使用外部分配单元，其至少部分连接到在安全控制装置中为此设置的接口上。特别有利的是，外部分配单元位于如下计算机中，借助该计算机创建应用程序。由此，配置数据可以直接由计算机传输到安全控制装置上。在本发明的另一扩展方案中，配置数据划分为多个数据块，其中至少一个数据块与数据总线相关并且其余数据块分别与数据总线接口中的至少一个相关。该措施具有如下优点配置数据可以根据分配标准有目的地分配给数据总线和数据总线接口。配置数据可以被现场处理，由此尤其是能够实现短的反应时间。就数据总线运行所需的数据总线管理器的设置而言，则可考虑多种扩展方案。数据总线管理器可以包含在控制部件之一中。在该情况下，与数据总线相关的数据块存储在控制部件的数据存储器中。在另一扩展方案中，数据总线管理器独立地实施并且因此并不包含在控制部件之一中。与数据总线相关的数据块于是优选存储在数据存储器中，其包含在数据总线管理器中。在本发明的另一扩展方案中，配置数据是如下数据-有效性时间数据，其表示有效性持续时间，在其期间所产生的数据有效，和/或-等待时间数据，其表示等待持续时间，在其期间消耗数据的控制指令等待要由其消耗的数据，和/或-调度循环时间数据，其表示调度循环时间，其中调度循环时间基于多个控制指令，和/或
-同步数据，根据其可以同步控制部件，和/或-数据帧分配数据，其表示多个数据帧指令，其中数据帧指令针对控制部件中的至少一个定义在针对数据总线特别规定的数据帧内的如下数据字段，其针对由控制部件要发送的数据和针对由控制部件要接收的数据而分配给控制部件。有效性时间数据涉及产生数据的控制指令。优选地，针对产生数据的每个控制指令单独地定义有效性持续时间。但也可考虑的是，针对多个产生数据的控制指令预先给定共同的有效性持续时间，其中所述控制指令例如通过处理相关性而结合。等待时间数据涉及消耗数据的控制指令。在此优选地，也针对消耗数据的每个控制指令定义各自的等待持续时间。根据对有效性时间数据的实施，也可以针对多个消耗数据的控制指令预先给定共同的等待持续时间。这样，可以以可替选的观察方式来理解等待持续时间，即其为如下持续时间，在该持续时间内已为产生数据的控制指令提供数据，这些数据由另一控制指令处理或消耗。引入调度循环时间实现就此而言安全控制装置展现出决定性的特性，其中这些安全控制装置固有地在反应时间方面并不一定具有决定性的特性。通过调度循环时间，定义了等距间隔的时刻，在这些时刻由产生数据的控制指令阐述的数据必须统一地存在。这实现了决定性的特性。优选地针对调度循环时间所基于的多个控制指令通过多个处理相关性定义处理顺序。优选地，单独的有效性持续时间的至少一部分定义为使得其分别在通过调度循环时间所定义的时刻结束，其中各有效性持续时间优选在不同的时刻结束。优选地，通过同步数据使控制部件的各时钟和/或各定时中断请求同步。此外，优选地，通过同步数据也可以影响数据总线的工作方式。数据帧分配数据能够实现使用基于以太网的现场总线，尤其是数据总线系统，其根据追溯于本申请人的MfeyNet P 通信模型来工作。在这样的数据总线系统中，连接到数据总线上的第一控制部件产生具有多个数据字段的数据帧。任意其他控制部件明确地配备有至少一个数据字段用于以发送数据占用。数据帧作为从控制部件到接下来的控制部件的运行的数据帧被发送，其中每个控制部件以发送数据占用分配给该控制部件的数据字段。最后的控制部件将数据帧作为回来的数据帧发送回该串控制部件。在此，控制部件从回来的数据帧的数据字段中读取外来发送数据，其中相应的数据字段单独地分配给控制部件。此外，配置数据可以是设定数据O^estlegirngsdaten)，其针对各控制部件根据其数据类型定义了分别要处理的数据。如果使用数据总线系统，在该数据总线系统中数据可以以不同的数据总线循环时间来传输，如这在前述根据MfetyNet ρ 通信模型工作的数据总线系统中情况如此，则配置数据也可以是数据总线循环数据，其针对各个控制指令或多个控制指令来确定，应借助何种数据总线循环时间来传输其数据。借助前面所介绍的配置数据可以对通信关系进行全面配置。借助新安全控制装置和新方法可以完全自动地配置通信关系。这包含各个控制部件的输入映射和输出映射的配置、在各个输入映射器和各个输出映射器之间的相关性以及针对控制部件、尤其是相应所包含的数据总线接口和数据总线的配置数据的确定。有利地，数据总线接口不仅能够实现在数据总线与包含数据总线的控制部件之间的数据交换，而且其也负责在控制部件内的数据交换的组织。
在要控制的设备上运行的应用也可以称作过程，其不仅包括标准控制任务而且包括安全控制任务。应理解的是，前面所提及的并且以下还要阐述的特性可以不仅以相应所说明的组合而且以其他组合或单独地使用，而不脱离本发明的范围。本发明的实施例在附图中示出并且在以下说明中更为详细地予以描述。其中

图1示出了要控制的设备的示意性视图；图2示出了设置在设备部件上的控制部件的示意性视图；图3示出了分布式安全控制装置的简化视图；图4示出了用于创建应用程序的图形界面的简化视图；图5示出了用于阐述处理相关性和由此得到的配置数据的时间图；图6示出了用于阐述处理相关性的相关的相关性图和安全控制装置的简化视图；图7示出了用于阐述新方法的简化流程图。在图1中，要控制的设备在其整体上用参考数字10表示。设备10包含多个设备部件12。在本实施例中涉及装备站14、加工站16、测试站 18、输送单元20和包装和装运站22。此外，安全控制装置在其整体上用参考数字M表示。 安全控制装置M包含多个控制部件26。控制部件沈是控制单元观、带有所连接的传感器的传感器单元30和带有所连接的执行器的执行器单元32。在此，各个控制单元观、传感器 30和执行器32分别与设备部件12在功能上相关并且通常也在空间上设置在那里。控制部件12通过数据总线34彼此连成网络。相应地，控制部件沈具有数据总线接口(在此未示出)。优选地，其为基于以太网标准的数据总线，其尤其也根据追溯于本申请人的MfeyNet P 通信模型来工作。控制部件沈在MfeyNet ρ 的情况下根据所谓的生产商-消费者原理通信，即每个参与通信的控制部件将数据“无方向性地”、普遍地发送给其他控制部件， 并且任何控制部件都从可供使用的数据“池”中读取其他控制部件的数据。优选地，所选取的控制部件、尤其是所谓的数据总线管理器循环反复产生按序通过所有其他控制部件的数据帧之一，其具有多个数据字段。每个控制部件将其发送数据置于循环的数据帧的预先定义的数据字段中并且从其他预先定于的数据字段中读取外来发送数据。通信模型在DE 10 2004 063 213 Al中予以描述并且通过引用结合于此。借助装备站14用工件填充加工站16。工件(在此未示出)在加工站16中被加工。接着，所加工的工件被加工站16传送到测试站18，在该测试站中检验所加工的工件是否满足预先定义的检验标准。如果满足检验标准，则加工站16又可以用新工件填充。所加工的工件借助输送站20被运送到包装和装运站22。在该包装和装运站中多个被处理的工件组合成捆扎，其于是被堆叠到堆垛上。各站14、16、18、22的工作区域例如可以通过安全门来保护，其借助安全门开关来监控。可替选地或补充地，可以使用光栅或光帘。此外，各站14、16、18、22可以设置有应急关断按键，借助其可以使相应的站过渡到安全状态中。为此相应地激励设置在相应电流供给装置中的接触器。前面所提及的安全门开关、光栅、光帘和应急关断按键是安全相关的传感器30。接触器是安全相关的执行器32。此外，传感器30可以包括非安全相关的传感器， 譬如用于显示工具磨损的传感器或非可见的位置显示装置。在本实施例中，每个站14、16、18、22与控制单元观相关。相应地，控制单元观在此构建为结构上独立的部件。这同样适用于传感器单元30和执行器单元32。但也可考虑的是，例如两个站相关有共同的控制单元。在图1中，功能相同的部件设置有相同的参考数字，其中通过使用虚线表示相同参考数字的各个部件由于对各个设备部件12的单独的相关性而可以完全不同地构建。相应内容也适用于信号。标记的形式也适用于以下附图。在图2中进一步详细地示出了工作站16和与其相关的控制部件。控制单元观’ 在此双通道冗余地构建，以便实现对控制安全关键的应用或过程所需的故障安全性。代表双通道结构示出了两个分开的处理器，即第一处理器40和第二处理器42。两个处理器40、 42通过双向通信接口 44彼此连接，以便能够彼此监控并且能够交换数据。优选地，控制单元28，的两个通道和两个处理器40、42多样地即彼此不同地构建，以便在很大程度上消除系统性故障。用参考数字46表示数据总线接口，其与两个处理器40、42的每个相连。数据接口 46从传感器30’接收具有输入数据的控制输入信号48、48’并且将其以匹配的数据格式转发给两个处理器40、42的每个。此外，数据总线接口 46根据处理器40、42产生具有输出数据的控制输出信号50、50’，借助其来激励执行器32’。用参考数字52表示数据存储器，在该数据存储器中存储有数据块形式的项目数据M。在此涉及第一数据块56，其包含用于数据总线接口 46的配置数据58。此外，数据存储器52包含第二块60和第三块62。两个块60、62包含程序指令，其代表应用程序，其在安全单元观’中被执行。数据存储器52构建为，所有所存储的项目数据M零电压安全地存储。为此，数据存储器52例如实施为闪存器、SD卡或CF卡。出于清楚原因，省去了对可能包含在项目数据M中的参数化数据的示出。执行器32，和传感器30，同样具有数据总线接口 46，、46”、46”，、46””。此外，执行器32，和传感器30，拥有数据存储器52，、52 ”、52 ”，、52 ””，用于存储数据块56，、56 ”、56 ”，、 56””，其包含相应数据总线接口 46’、46”、46”’、46””的配置数据。这不应具有限制作用。并非所有控制部件都必须具有数据存储器。不具有数据存储器的控制部件的配置数据也可以存储在另一控制部件的数据存储器中。必要时对此所需的配置数据的交换通过箭头64来表不。数据总线接口 46保证了，在控制单元28’和数据总线34之间的数据交换根据数据总线34的通信模型来进行。数据总线接口 46在该优选的实施例中产生兼容以太网的总线电报，具有在各个控制部件之间要交换的数据的数据帧嵌入到该总线电报中。数据总线接口 46可以包含其他功能单元，其在图2中出于清楚性原因而未示出。在此情况下可以涉及事件调度程序(Eventbroker)，借助其可以交换基于事件的数据。其可以是数据调度程序，借助其可以进行基于数据的数据交换。图2中所示的数据总线34可以包含通信媒介、 一个或多个开关和数据总线管理器。项目数据M以二进制形式即作为机器码而存在。针对控制单元观’的故障安全的工作，在数据存储器52中存储有带有程序数据的两个数据块60、62。第二数据块60指定于第一处理器40而第三数据块62指定于第二处理器42。第二数据块60包括第一安全代码66和标准代码68。第一安全代码66包括如下控制指令，其由第一处理器40在由控制单元观’要完成的安全任务的范围内执行。这类控制指令以下称作安全控制指令。标准代码68包括如下控制指令，其由第一处理器40在由控制单元28’要完成的标准任务的范围内执行。这类控制指令以下称作标准控制指令。第三数据块62包括第二安全代码70，其包括如下控制指令，其由第二处理器42执行。这些控制指令以下同样称作安全控制指令。根据处理进展，在第一处理器40中执行当前第一安全控制指令72和当前标准控制指令74。基本上同时在第二处理器42中执行当前第二安全控制指令76。在当前标准控制指令74的执行过程中(当前标准控制指令是非安全相关的控制指令)，第一非安全相关的数据78在第一处理器40与数据总线接口 46之间交换。例如，为第一处理器40输送非安全相关的控制输入信号48的瞬时值，其由非安全相关的传感器80’ 产生。非安全相关的传感器80’是如下传感器，其例如检测驱动调节所需的输入量。非安全相关的传感器80’可以非故障安全地构建。数据总线接口 46被输送非安全相关的控制输出信号50的瞬时值，其被输送给非安全相关执行器82’用于其激励。非安全相关的控制输出信号50的瞬时值根据非安全相关的控制输入信号48按照标准控制指令来确定。在此会需要确定中间量，其瞬时值借助第二非安全相关的数据84输送给工作存储器86并且中间存储在那里。在当前第一安全控制指令72的处理的范围中(安全控制指令是安全相关的控制指令)，第一安全相关的数据88在第一处理器40与数据总线接口 46之间交换。在此情况下，为第一处理器40输送安全相关的控制输入信号48’的瞬时值，其由安全相关的传感器 90’产生。安全相关的传感器90’例如是应急关断按键、安全门、转速监控设备或其他用于记录安全相关的参数的传感器。数据总线接口 46被输送有安全相关的控制输出信号50’ 的瞬时值，其被输送给安全相关的执行器92’用于其激励。安全相关的执行器92’例如是接触器，其工作接触部设置在电流供给装置94与加工站16之间的连接中。因此，电流供给装置94可以关断加工站16，由此在出现相应故障时可以至少将加工站16转变到安全状态中。安全相关的控制输出信号50’的瞬时值根据安全相关的控制输入信号48’按照安全控制质量来确定。在此情况下，会需要确定安全相关的中间量，其瞬时值借助第二安全相关的数据96被输送给工作存储器86并且中间存储在那里。在当前第二安全控制指令76的处理的范围中(安全控制指令是安全相关的控制指令)，根据当前第一安全控制指令72来进行。关于当前第二安全控制指令76，对应于第一安全相关的数据88的第三安全相关的数据98和对应于第二安全相关的数据96的第四安全相关的数据100被相应地使用。如果在另外的过程中使用了表述“产生数据的控制指令”或“消耗数据的控制指令”，则在两种情况下可以涉及安全控制指令和标准控制指令。在图3中，根据图1所示的设备10的结构示出了控制单元观、28’、28”、28”’，非安全相关的传感器80、80，、80”、80”，，非安全相关的执行器82、82，、82”、82”，，安全相关的传感器90、90，、90”、90”，和安全相关的执行器92、92，、92”、92”，，连带包含在其中的数据总线接口 46、46，、46”、46”，、46””、数据存储器52、52，、52”、52”，、52””和包含配置数据的第一数据块56、56’、56”、56”’、56””。出于清楚原因，主要在最上部的视图平面中示出的部件设置有参考数字。各个控制部件彼此通过数据总线34连接。在图3中，计算机用参考数字110表示。计算机110与显示单元112连接。在该计算机Iio上执行计算机程序114。计算机程序114能够实现项目数据的创建，项目数据表示在要控制的设备10上运行的应用。项目数据在此包括程序数据、配置数据58和参数化数据。计算机程序114在专业术语中通常称作编程工具。用计算机110产生的配置数据在此传输到数据存储器52、52，、52”、52”，、52””和数据总线管理器116。数据总线管理器116在此优选是控制部件，其产生规则循环的数据帧用于传送给所有所连接的控制部件。用于数据总线管理器116的配置数据可以包含数据传输的循环时间、即在两个相继的数据帧之间所允许经历的时段、数据帧的长度、数据字段的数目和/或超时参数。在此，配置数据58划分成多个第一数据块56、56，、56”、56”，、56””和第四数据块 118。第一数据块 56、56，、56”、56”，、56”” 分别与数据存储器 52、52，、52”、52”，、52”” 之一相关。第四数据块118与数据总线管理器116相关。配置数据58在此根据相关性数据120 分配到各数据存储器52、52’、52”、52”’、52””和数据总线管理器116。因此，不仅数据总线 34而且数据总线接口 46、46，、46”、46”，、46””分别相关有配置数据58。因此，不仅数据总线34的至少一个特性而且数据总线接口的至少一个特性可以通过配置数据58来确定。相关性数据120在计算机110中产生。相关性数据120尤其包括程序模块相关性数据。程序模块相关性数据用于将配置数据58分配到各数据总线接口 46、46，、46”、46”，、 46””和因此数据存储器52、52，、52”、52”，、52””上。优选地，由计算机110不提供完整的相关性数据，而是仅提供程序模块相关性数据来分配配置数据58。为了能够分配配置数据58，配置数据被输送给分配单元。在此，可以有三种不同的方法。在此，安全控制装置M可以实施为程序员根据其偏好可以选择这三种方法之一。但也可以考虑的是设计这些方法中的仅仅一种或两种。第一方法通过第一箭头序列122表示。在此情况下，配置数据58以及相关性数据120例如有线地由计算机110经为此设置的第一配置接口 IM传输到数据存储器52，数据存储器52位于控制单元观中。在此情况下，分配单元是设置在安全控制装置M中的数据存储器。设置在控制单元28中的数据存储器52将数据包56、56’、56”、56”’、56””、118 根据在相关性数据120中包含的程序模块相关性数据分配到各个数据存储器52、52’、52”、 52”’、52””和数据总线管理器116。为此，所述的数据存储器52构建为可以将输送给其的配置数据58转发给至少一个另外的数据存储器或者数据总线管理器116。第二方法通过第二箭头序列1 表示。在此，配置数据58和相关性数据120首先提供给在计算机Iio中包含的外部分配器128。外部分配器1 在此在其功能上对应于在控制单元观中包含的数据存储器52。配置数据58于是例如有线地经为此设置的第二配置接口 130输送给数据总线34，并且根据在相关数据120中包含的程序模块相关性数据分配到各个数据存储器52、52，、52”、52”，、52””和数据总线管理器116。第三方法通过第三箭头序列132表示。在此，不仅配置数据58而且相关性数据120 都传输到移动存储器介质Π4上。移动存储介质134例如可以是SD卡、CF卡或USB棒。移动存储器介质134于是引入到为此设置的容纳单元136中，该容纳单元具有集成的配置接口。配置数据58于是被输送给控制单元观中所包含的数据存储器52，数据存储器承担数据包56、56’、56”、56”’、56””、118的分配。相应地，程序数据和参数化数据也可以被分配。就配置数据58分配到各个数据存储器52、52，、52”、52”，、52””和数据总线管理器 116而言，在此同样可以考虑不同的方案。根据第一方案，项目数据58基本上现场地、即在其被处理的地方被存储。于是，例如配置数据针对其数据总线接口确定的控制单元的数据存储器中。在该方案中，程序模块相关性数据例如根据应用程序的创建者进行的相关来确定。根据第二方案，相关性数据120根据至少一个数据处理特性码来确定。在该方案中，配置数据58分配为使得其优选存储在控制部件沈中，该控制部件具有高数据处理能力。为了能够实现将配置数据任意地分配到各个数据存储器52、52’、52”、52”’、52””或数据总线管理器116上，数据存储器52、52，、52”、52”，、52””的至少一部分或数据总线管理器构建为， 可以转发所输送的配置数据并且可以请求配置数据。为了提高安全控制装置M的可支配性，配置数据58的至少一部分冗余地存储在数据存储器52、52，、52”、52”，、52””和数据总线管理器116。在图4中，图形界面在其整体上用参考数字150表示。图形界面150使程序员能够创建应用程序并且因此能够实现创建程序数据。同时，除了程序数据之外，也创建了编程数据和配置数据58。图形用户界面150包含设备软件部件区152，其包括图形符号形式的多个预先定义的设备软件部件154。应用程序和因此程序数据通过提供多个设备软件部件而创建。为此，图形用户界面150包含第一部件区156。要提供的设备软件部件被选取并且转移到第一部件区156中，如其通过箭头158表示。第一部件区156因此包含多个所提供的设备软件部件160。通过将所提供的设备软件部件160逻辑链接来创建部件子程序。为此，设备软件部件的逻辑输入端和逻辑输出端彼此连接，这通过多个连接162表示。除了预先定义的设备软件部件的选择之外，也可以创建新设备软件部件，如这通过新设备软件部件164所表示的那样。各设备软件部件可以是所谓的基本部件，其本身不包含其他软件部件。但也可以是所谓的组部件，其本身包含其他软件部件。基本部件包含多个方面块。方面块的每个都与多个彼此不同的控制方面之一相关，其中控制方面的每个都表示安全控制装置的独立的子方面。设备软件部件在此包含所有如下方面块，其对于表示设备软件部件的设备部件有意义。与基本部件相比，组部件除了方面块之外还包含软件部件，其可以实施为基本部件或组部件。通过使用组部件可以创建具有多个层次平面的应用程序。所提供的设备软件部件160的每个都表示如下程序模块之一由其整体上构建应用程序。有利地，彼此不同的控制方面可以是如下控制方面标准控制方面、安全控制方面、诊断方面、可视化方面、进入调节方面、冷却方面、访问权限方面、维护方面、锁定方面、手动操作方面或数据管理方面。针对在设备软件部件中包含的每个方面块就其自身情况确定至少如下的逻辑量和/或如下的参数和/或如下的传感器信号，其为处理所必需并且通过相关的输入端来输送给方面块，以及如下的逻辑量和/或如下的参数和/或如下的输出信号，其在多个方面块中分别被确定并且通过相关的输出端由方面块输出。要与相应方面块连接的具体的传感器和/或执行器的确定最后在创建应用程序时才进行。此外，至少在包含在设备软件部件中的方面块的一部分中分别存储有功能程序，其针对与相应方面块相关的控制方面确定设备部件的方面特性。此外，图形界面150包含方面区166。在该方面区166中设置有多个方面块168。 方面块的每个与相同的控制方面相关。在此，多个方面块168包括在应用程序的所有层次平面中包含的方面块。图形界面150还包含传感器区170。在该传感器区170中设置有多个图形传感器符号172。对于每个包含在要控制的设备10中的传感器在此设置图形传感器符号。作为另外的区，图形界面150包含执行器区174。在该执行器区174中设置有多个图形执行器符号176。针对每个包含在要控制的设备10中的执行器在此设置有图形执行器符号。针对包含在方面区166中的多个方面块168创建方面子程序。为此，至少针对方面块的一部分不仅对其输入端而且对其输出端进行所谓的I/O映射。也就是说，信号输入端的至少一部分与如下传感器相关，传感器的传感器信号在相应方面块中被处理。这示例性地通过箭头178来示出。此外，控制输出端的至少一部分与执行器相关，执行器借助在相应方面块中确定的输出信号来激励。这示例性地通过箭头180来表示。可替选地，I/O映射也可以通过文本输入在输入区182中进行。图形界面150包含控制软件部分区184，其包含多个预先定义的控制软件部件 186。控制软件部件186的每个都表示控制部件沈，其可以使用在分布式构建的安全控制装置对中。此外，图形界面170包含第二部件区188。在该第二部件区188中，应用程序的程序员可以添加如下控制软件部件，其表示构建分布式安全控制装置M的控制部件。这通过各个控制软件部件186的选择和转移到第二部件区188中来进行，如示例性地通过箭头190 所示。第二部件区188因此包含多个所提供的控制软件部件192。如果程序员想要至少针对应用程序的子范围确定哪些项目数据尤其是哪些程序数据和哪些配置数据要在哪些控制部件沈中被处理并且因此存储在相关的数据存储器中，则其将所提供的设备软件部件 160的至少一部分与所提供的控制软件部件192关联。这通过程序模块相关性194、196表示。根据这些程序模块相关性确定程序模块相关性数据和因此确定相关性数据，根据其于是确定配置数据58。程序模块相关性数据也可以有利地自动地、即无需程序员进行程序模块相关地确定。为此针对每个通过控制软件部件192所表示的控制部件沈将至少一个数据处理特性码值存储在数据库中，使得程序模块相关性例如可以根据数据处理特性码值来进行并且因此可以确定程序模块相关性数据。在此情况下，程序数据和配置数据分配到各个控制部件并且因此分配到数据存储器上，这在各个控制部件的数据处理能力的视角下进行。但也可考虑的是，不仅根据数据处理特性码值而且根据程序员进行的程序模块相关来确定程序模块相关性数据。例如，通过使用数据处理特性码值可以首先创建相关性的建议，程序员始终还可以根据其意见按照由其进行的程序模块相关性可以修改该建议。针对方面块188可以将预先定义的参数化数据存储在数据块中。此外，也存在如下可能性，在创建应用程序时修改参数化数据或完全预先给定参数化数据，例如通过至输入区182的相应输入。这例如也可以在应用程序创建之后进行。程序模块相关性并且因此程序模块相关性数据不仅包括关于哪个程序模块与哪个控制软件部件相关并且因此与哪个控制部件相关的信息。程序模块相关性数据还包括广泛的信息。基于连接162，其也可以包含关于哪些控制部件彼此连接和通过各个控制部件的哪些输入端和输出端实现这的数据。此外，程序模块相关性数据也包含关于哪些传感器和哪些执行器与各个控制单元相关的信息和数据。借助方面区166进行在各个方面块168与传感器和执行器之间的相关。此外已知的是，哪些功能程序包含在各方面块中，即哪些程序输入变量和程序输出变量或哪些消耗数据的控制指令和哪些产生数据的控制指令在各个方面块中被处理。因此确定的是，哪些传感器与哪些程序变量输入变量相关而哪些执行器与哪些程序输出变量相关。由于各方面块分别明确地与设备软件部件相关，所以还已知的是，哪个方面块包含在哪个设备软件部件中。通过程序模块相关性因此已知，哪个传感器和哪个执行器与哪个控制单元连接。基于针对方面块执行的I/O映射，还已知的是，哪些输入端子和输出端子相关有各个传感器和执行器。换言之，对于控制单元不仅已知了输入映射而且已知了输出映射。这是与通信关系的配置有关的信息。借助图4所描述的用于创建应用程序的方法基于新方案。在该新方案中，首先对应用和因此对要解决的自动化问题在功能上加以考察。基于此，首先与在后使用的控制部件无关地开发功能性的整个应用。在此情况下涉及结合第一部件区156所描述的对部件子程序的创建和结合方面区166所描述的对方面子程序的创建和必要时对包含在方面块中的功能程序的创建。在另一步骤中，于是将功能性的整个应用划分到设备配置，即划分到多个控制部件上，其涉及控制单元、传感器和执行器。对在安全控制装置内在各个控制部件之间进行数据交换所需的通信关系在此自动地被确定。该新方案相对于目前的方法(其中首先创建设备配置并且基于此对用于包含在设备配置中的控制单元的各程序编程并且在各个控制单元与传感器和执行器之间的通信关系费事地手动编程)具有如下优点一次性创建的应用程序具有高重复使用性。基于首先与设备无关的对功能性的整个应用的开发，应用程序可以重新使用在类似设备中，其在后来的时刻被构建。高重复使用性不仅涉及整个应用程序，而且其还涉及各个程序模块，由这些程序模块构建应用程序。这在如下情况下具有优点已存在的设备要被修改。例如，如果在设备中存在的处理站要被加倍以便提高设备的处理容量，则仅须创建表示该处理站的设备软件部件的副本。复制的设备软件部件于是还仅须与已存在的设备软件部件连接。另一优点在于缩放性，其由此得到功能性的整个应用首先设备无关地开发。这样，同一应用程序可以实施在不同配置的安全控制装置上。例如在仅具有大的并且因此高效的控制单元的安全控制装置上或以此在分布式构建的包含多个较小的并且因此效率低的安全单元的安全控制装置上。此外，用于创建应用程序的时间开销减小。基于对分布式系统的中心功能来看或基于程序员首先不必进行要应用的控制部件的构思的实际情况，程序员可以专注于功能性的整个应用的开发。此外，用于费事地手动编程通信关系的时间消息被取消。借助该新方案因此可以以简单的方式和方法实现分布式构建的安全控制装置。因此，可利用分布式构建的安全控制装置的所有优点。设备可支配性提高，因为可能的干扰仅对安全控制装置的有限的部分区域有影响。此外，可以实现更短的反应时间，因为可以实现控制任务的实时并行并且应用程序的子范围可以现场执行。此外，安全控制装置可以成本低廉地实现。一方面，用于布线和创建应用程序的成本降低。另一方面，成本下降由此得到， 控制功能可以实施到本来存在的智能的输入/输出设备上。已提及的新方案的设备独立性在两个方面是明显的。一方面，功能性的整个应用分配到任意分布式构建的安全控制装置上。该过程称作部署。另一方面，通过将符号变量与控制单元的物理输入/输出相关来实现I/O映射。在图5中示出了信号处理链的两个调度循环210、212，其中处理相关性的顺序通过字母顺序a至Χ来表示。信号处理链由多个控制指令构成，多个单元与控制指令关联。这些单元是用“ I/O”表示的输入/输出设备、用“PLC”表示的控制单元和用“匪SNET”表示的数据总线管理器。这些单元与不同的优先级相关，其中最高优先级用“I^rio 1”表示而最低用“Prio 3”表示。用“空闲”表示其他控制指令，其优先级低于优先级“ft~io 3”，其对于后续的观察并不重要。如从图5中获知的那样，数据总线管理器NM SNET在此必须等待数据，其由输入/输出设备提供。控制单元必须不仅等待输入/输出设备而且等待数据总线管理器。输入/输出设备等待数据，其由控制单元在前面的调度循环中产生。在图5中绘制了不同的有效性持续时间。第一有效性持续时间214针对由输入/ 输出设备产生的数据。第二有效性持续时间216针对由控制单元产生的数据。第三有效性持续时间218针对由于数据总线管理器产生的数据。由此，在图5中绘制了不同的等待持续时间。各等待持续时间说明了相应单元等待要由其消耗的数据多长。输入/输出设备的第一等待持续时间220。由于输入/输出设备分别具有在调度循环内的第一数据消耗，所以等待持续时间设置为0秒。控制单元的第二等待持续时间222。在该等待持续时间期间，控制单元不仅等待由输入/输出设备产生的数据而且等待由数据总线管理器产生的数据。数据总线管理器的第三等待持续时间224。在该等待持续时间期间，数据总线管理器等待由输入/输出设备产生的数据。如从图5的视图中获知的那样，各个单元的等待持续时间分别是静态的，即固定地定义。在该等待持续时间的开始与结束之间的持续时间对于整个调度循环而言是相同的。而，针对由单元产生的数据的有效性持续时间对于各个调度循环而言而变化。这因此引起，相应的有效性持续时间说明所产生的数据在多少调度循环中有效，其中产生数据的调度循环被一同考虑。这导致，例如输入/输出设备的有效性持续时间214、 214’在两个调度循环210、212中变化，因为由输入/输出设备产生的数据在相应调度循环内的不同的时刻被提供。在调度循环210中，所有数据及时地产生，使得其提供用于相应的数据消耗。而在调度循环212中输入/输出设备并未在数据总线管理器的等待持续时间224’内及时提供其数据。出于该原因，数据总线管理器在用s表示的时刻提供由其产生的数据，尽管由其所需的输入/输出设备的数据不可用。该机制能够实现数据总线管理器的进一步工作，使得控制单元中存在由其所需的数据。即使在各个数据未被及时提供，对等待时间的考虑也能够实现安全控制装置的工作。就通过数据总线管理器对数据在用s表示的时刻的输出而言， 可考虑多种可能性。例如，预先定义的默认值被输出或重新输出在前面的调度循环中输出的值。图6由两个子图6a和图6b构成。子图6a示出了简单构建的安全控制装置230， 其由控制单元观”’和输入/输出设备232构成，其中这两者共同地形成结构单元。在控制设备观”’中执行如下应用程序
输入/输出设备232的输入端和输出端如下地定义PhyInl :B00L ;(* 输入 * )PhyOutl =BOOL ； ( * 输出 * )由此得到如下I/O映射inl =PhyInloutl :Phy0utl软件技术的状况总体上为如下情况控制单元观”’基于产生数据的控制指令El 阐述用于输出变量outl的瞬时值，其由输入/输出设备232由消耗数据的控制指令K2通过其输出端PhyOutl输出。同时，输入/输出设备232由于产生数据的控制指令E2通过其输入端WiyInl读入瞬时值，该瞬时值在控制单元观”’中基于消耗数据的控制指令Kl分配给输入变量inl。前面所描述的各个控制指令E1、E2、K1、K2的处理顺序在子图6b中借助相关性图 234示出，其具有多个处理相关性236。第一处理相关性238将产生数据的控制指令El与消耗数据的控制指令K2相关。第二处理相关性240将产生数据的控制指令E2与消耗数据的控制指令Kl相关。此外，产生数据的控制指令E2与消耗数据的控制指令K2有关并且产生数据的控制指令El与消耗数据的控制指令Kl有关，这通过第三处理相关性242和第四处理相关性244示出。处理相关性236在此确定如下规则在消耗数据的控制指令包含同样包含在产生数据的控制指令中的变量时，消耗数据的控制指令与产生数据的控制指令有关。产生数据的控制指令于是与消耗数据的控制指令有关，两个控制指令属于相同的单元例如控制单元观””。根据表示处理相关性236的处理相关性数据，配置数据有利地如下确定在第一步骤中确定要观察的信号处理链的产生数据的和消耗数据的控制指令并且在各个控制指令之间的处理相关性被确定之后，在第二步骤中确定针对该控制指令适用的循环时间。在此，从针对安全控制装置预先定义的循环时间出发。在本例子中，针对控制单元观””预先定义20毫秒的循环时间。而针对输入/输出设备232未预先定义循环时间。因此，不仅对于产生数据的控制指令El而且对于消耗数据的控制指令Kl适用20毫秒的循环时间。基于适用于预先定义的循环时间的控制指令，现在自动地确定控制指令的循环时间，其并不适用于预先定义的控制指令。在本例子中，在此涉及两个控制指令E2和K2。在此情况下，应用如下机制基于针对其预先定义循环时间的消耗数据的控制指令，与通过处理相关性预先给定的处理方向相反、即向回确定如下产生数据的和消耗数据的控制指令，其基于所述的消耗数据的控制指令可以直接实现。针对控制指令同样假设预先定义的循环时间有效。在此，被进行直至不再有改变。在本例子中，针对消耗数据的控制指令Kl可直接实现产生数据的控制指令E2。因此，20毫秒的循环时间也适用于控制指令。 基于针对其预先定义循环时间的产生数据的控制指令，根据通过处理相关性预先给定的处理方向即向前确定如下产生数据的和消耗数据的控制指令，其基于所述产生数据的控制指令直接可实现。针对这些控制指令，同样假设预先定义的循环时间为有效。在此，进行直至不再有改变。在本例子中，针对产生数据的控制指令El可以直接实现消耗数据的控制指令 K2。因此，20毫秒的循环时间20也适用于控制指令。只要针对多个产生数据的或消耗数据的控制指令分别确定多个循环时间，则针对这些控制指令的每个可以确定基本循环时间。该基本循环时间在此作为各个循环时间的最大的共同因子得到。确定基本循环时间的需求主要在多个彼此连接的信号处理链的产生数据和消耗数据的控制指令被观察时才被给定。在确定基本循环时间时，边界条件是譬如考虑安全控制装置的最小和最大循环时间和反应时间。在本例子中，不能确定基本循环时间。在另一步骤中，确定调度循环时间。这作为循环时间的最大共同因子而得到，必要时所有所观察的产生数据和消耗数据的控制指令的基本循环时间。通过调度循环时间定义了各个时刻，在这些时刻后来必须存在要观察的产生数据的控制指令的数据，以便实现安全控制装置的决定性特性。有利地，调度循环时间对于一个项目而言总体上是统一的。但也可考虑的是，在一个项目内允许多个调度循环时间。然而，这些调度循环时间于是彼此处于整数比。在此基础是最小调度循环时间。这例如于是当在安全控制装置内设置具有严格最小调度循环时间的控制部件时是有意义的。在此情况下，要防止的是，安全控制装置的其余部件对其加工速度有影响。有利地，也可以允许小于最大共同因子的调度循环时间。在本例子中，调度循环时间为20毫秒。在另一步骤中，针对所观察的产生数据的控制质量分别确定有效性持续时间。有利地，相应的有效性持续时间对应于相应的循环时间，必要时对应于产生数据的控制指令的相应的基本循环时间。然而在此应注意，循环相关性被消除。不应出现如下情况针对所有所观察的产生数据的控制指令，有效性持续时间在相同的调度循环结束。如果情况如此， 则这导致控制指令的相互阻塞。循环相关性由此被消除，使得例如针对产生数据的控制指令之一使有效性持续时间翻倍。在本例子中，两个产生数据的控制指令El和E2分别具有 20毫秒的有效性持续时间。因此，存在循环相关性。这例如通过如下方式消除，有效性持续时间针对产生数据的控制指令El提高到40毫秒。在另一步骤中，针对所观察的消耗数据的控制指令确定相应的等待持续时间。等待持续时间的值在此作为相应循环时间的半值而得到，必要时相应控制指令的相应基本循环时间。在本例子中，对于消耗数据的控制指令Kl的等待持续时间为10毫秒。消耗数据的控制指令K2的等待持续时间同样为10毫秒。根据处理相关性数据在此于是自动地确定如下配置数据调度循环时间、各个控制指令的基本循环时间或循环时间、用于产生数据的控制指令的有效性持续时间和用于消耗数据的控制指令的等待持续时间。由于在本例子中控制单元观””和输入/输出设备32形成结构单元，则配置数据不包括同步数据。针对对于信号处理链所观察的产生数据和消耗数据的控制指令被划分到安全控制装置的多个控制部件上，根据处理相关性数据也自动地确定同步数据。根据程序模块相关性数据确定了数据帧分配数据。因此，配置数据可以根据相关性数据被全面地确定。在应用程序的创建者已为控制单元观”预先给定所定义的循环时间之后，结合图 6a和6b所描述的机制由计算机程序114自动地即自动地执行。与控制单元观”协作的另外的控制部件的配置数据根据对控制单元观”’的所定义的循环时间来确定。当然，该机制也可以应用于其他控制指令，譬如在程序模块中包含的控制指令。因此，配置数据可以相对于各个模块来确定。但也可以考虑的是，该机制一次性地应用于应用程序的整个控制指令上。此外借助前面所描述的机制自动地针对数据总线管理器确定配置数据有效性持续时间、借助其可使各个控制部件的各个时钟同步的数据和借助其可使各控制部件的各定时中断同步的数据。优选地，前面所描述的机制应用于通信关系的配置，其中通信关系用于传输实时数据。在图7中所示的流程图示出了新方法的流程。根据步骤250，提供了设备软件部件。在后续步骤252中将设备软件部件链接。随后是步骤254，在该步骤中针对在设备软件部件中包含的方面块执行I/O映射。在后续的步骤256中，控制软件部件被提供。在接着的步骤258中，设备软件部件与控制软件部件相关。在另一步骤沈0中，由程序员预先定义所选择的控制参数值。例如，预先给定用于各循环时间的值和/或采样率，或定义了安全控制装置的反应时间。反应时间是由从识别输入信号直至改变与此链接的输出信号而经过的时间。在另一步骤沈2中，确定相关性数据。相关性数据在此包括程序模块相关性数据和处理相关性数据。程序模块相关性数据表示由应用程序的程序员所进行的程序模块相关。 但程序模块相关性数据也可以表示根据数据处理特征码所确定的程序模块相关性。处理相关性数据表示多个处理相关性，其针对控制指令的至少一部分定义了各个控制指令的处理序列。在接下来的步骤沈4中现在根据相关性数据自动地确定配置数据。在步骤沈6中， 于是将配置数据分配到数据总线管理器和各个控制部件上。根据配置数据的分布根据何种方法进行，步骤266并不紧接着步骤264之后。如果配置数据通过使用移动存储器介质来分配，则在步骤264与步骤266之间执行步骤沈8，在该步骤中将配置数据和相关性数据存储在移动存储器介质上。新安全控制装置和新方法因此能够实现根据数个预先给定来自动地确定控制装置的通信关系的配置数据，这些预先给定由安全控制装置的程序员选取。特别有利的是，数据总线管理器的配置数据自动地根据由程序员选取的预先给定来确定。该新方法于是将数据总线管理器一同包括到控制部件的配置中。就配置数据的自动确定而言，在此关注的是， 一方面能够实现安全控制装置的短的反应时间而另一方面使处理时间的可能抖动最小化。
权利要求
1.一种安全控制装置，其用于根据在该安全控制装置中运行的应用程序来控制自动化设备(10)，具有多个控制部件(26)，其中所述控制部件06)的至少一部分具有相应的数据总线接口(46，46，，46”，46”，，46””)，其中数据总线接口 (46，46，，46”，46”，，46””)分别构建为接收和发送数据，具有数据总线034，116)，所述多个控制部件(沈，28，80，82，90，9幻通过所述相应的数据总线接口 06，46，，46”，46”，，46””)连接到所述数据总线上用于数据交换，具有配置接口(1 ，130，136)，其构建为接收配置数据(58)，其中配置数据(58)根据相关性数据(120)来确定，以及其中配置数据(58)确定数据总线(34，116)和/或至少一个数据总线接口 (46，46，，46”，46”，，46””)的至少一个特性。
2.根据权利要求1所述的安全控制装置，其特性在于，应用程序由多个程序模块构建， 其中相关性数据包括程序模块相关性数据，其中程序模块相关性数据表示多个程序模块相关性(194，196)，其中程序模块相关性(194，196)分别定义哪个控制部件06)与相应的程序模块相关。
3.根据上述权利要求之一所述的安全控制装置，其特性在于，应用程序包括多个控制指令(E1，E2，K1，K2)，其中相关性数据(120)包括处理相关性数据，其中处理相关性数据表示多个处理相关性038，240，242，244)，其中对于所述控制指令(El，E2，Kl，K2)的至少一部分的处理相关性(238,240,242,244)定义了各个控制指令(El，E2，Kl，K2)的处理顺序。
4.根据权利要求3所述的安全控制装置，其特性在于，所述多个控制指令(E1，E2，K1， K2)包括多个产生数据的控制指令(E1，E》和多个消耗数据的控制指令(K1，K2)，其中在确定处理相关性数据时考虑其是所述消耗数据的控制指令(Kl，Κ2)还是所述产生数据的控制指令(Ε1，Ε2)。
5.根据上述权利要求之一所述的安全控制装置，其特性在于，配置数据(58)还根据多个预先定义的控制参数值来确定。
6.根据权利要求6所述的安全控制装置，其特性在于，所考虑的控制参数是如下控制参数的至少一个表示反应时间的第一控制参数、表示循环时间的第二控制参数和表示采样率的第三控制参数。
7.根据上述权利要求之一所述的安全控制装置，其特性在于，配置数据(58)还根据多个数据处理特性码来确定。
8.根据上述权利要求之一所述的安全控制装置，其特性在于，相关性数据(120)、尤其是程序模块相关性数据根据所述多个数据处理特性码来确定。
9.根据上述权利要求之一所述的安全控制装置，其特性在于，所述控制部件06)的至少一部分具有相应的数据存储器(52，52，，52”，52”，，52””)，其中数据存储器(52，52，， 52”，52”’，52””)分别构建为存储分别输送给其的数据，其中该安全控制装置04)还具有分配单元(52，1观)，其中分配单元(52，128)构建为将所述配置数据(58)的至少一部分通过所述数据总线(34，116)分配到所述控制部件O6J8，80，82，90，92)的至少一部分上。
10.根据权利要求9所述的安全控制装置，其特性在于，所述配置数据(58)的至少一部分冗余地存储在数据存储器(52，52，，52”，52”，，52””)中。
11.根据权利要求9或10所述的安全控制装置，其特性在于，分配单元(52，128)是数据存储器(52)。
12.根据上述权利要求之一所述的安全控制装置，其特性在于，所述配置数据(58)划分成多个数据块(56，56，，56”，56”，，56””，118)，其中至少一个数据块(118)与数据总线相关，并且其余数据块(56，56，，56”，56”，，56””)分别与数据总线接口(46，46，，46”，46”，， 46””)的至少一个相关。
13.根据上述权利要求之一所述的安全控制装置，其特性在于，所述配置数据(58)为如下数据-有效性时间数据，其表示有效性持续时间，在此期间所产生的数据是有效的，和/或-等待时间数据，其表示等待持续时间，在此期间消耗数据的控制指令(K1，D)等待要由其消耗的数据，和/或-调度循环时间数据，其表示调度循环时间，其中多个控制指令(E1，E2，K1，D)基于调度循环时间，和/或-同步数据，根据其能够同步控制部件(26, 28,80,82,90,92), ^P /或-数据帧分配数据，其表示多个数据帧分配，其中数据帧分配针对控制部件06，28, 80,82,90,92)中的至少一个定义在针对数据总线(34，116)特别规定的数据帧内的如下数据字段，所述数据字段针对要由控制部件(沈，28，80，82，90，9 发送的数据和针对要由控制部件接收的数据而分配给控制部件。
14.一种用于为安全控制装置04)创建应用程序的方法，该安全控制装置构建为，根据在其中运行的应用程序控制自动化设备(10)，其中安全控制装置04)由多个控制部件 (26)构建并且包括数据总线(34，116)，其中控制部件06)的至少一部分具有相应的数据总线接口(46，46，，46”，46”，，46””)，其中数据总线接口 (46，46，，46”，46”，，46””)分别构建为接收数据和发送数据，以及其中所述多个控制部件(沈，28，80，82，90，9幻通过相应的数据总线接口 (46，46，，46”，46”，，46””)连接到数据总线(34，116)，用于交换数据，其中实施如下步骤-确定相关性数据(120)，以及-根据相关性数据(120)确定配置数据(58)，其中配置数据(58)确定数据总线(34， 116)和/或至少一个数据总线接口 (46，46，，46”，46”，，46””)的至少一个特性。
15.一种计算机程序，其具有用于当计算机程序(114)在计算机(110)上运行时执行根据权利要求14所述的方法的程序代码。
全文摘要
本发明涉及一种安全控制装置，其用于根据在该安全控制装置中运行的应用程序来控制自动化设备(10)，具有多个控制部件(26)，其中所述控制部件(26)的至少一部分分别具有数据总线接口(46，46’，46”，46”’，46””)，其中数据总线接口(46，46’，46”，46”’，46””)分别构建为接收和发送数据；数据总线(34，116)，所述多个控制部件(26，28，80，82，90，92)通过所述相应的数据总线接口(46，46’，46”，46”’，46””)连接到所述数据总线上用于数据交换；配置接口(124，130，136)其构建为接收配置数据(58)，其中配置数据(58)根据相关性数据(120)来确定，以及其中配置数据(58)确定数据总线(34，116)和/或至少一个数据总线接口(46，46’，46”，46”’，46””)的至少一个特性。此外，本发明还涉及一种用于为安全控制装置创建应用程序的方法以及相应的计算机程序。
文档编号G05B9/03GK102549508SQ201080027566
公开日2012年7月4日 申请日期2010年4月20日 优先权日2009年4月20日
发明者斯特凡·韦尔勒, 马蒂亚斯·罗伊施 申请人:皮尔茨公司