用于错误保护地检测测量值的方法和自动化系统与流程
本发明涉及一种用于在控制单元中错误保护地检测测量值的方法,其中一方面利用第一检测部件且另一方面利用第二检测部件检测测量值,并由此提供第一测量值和第二测量值,其中,在控制单元中运行的安全程序中的比较步骤中,第一和第二测量值在彼此的偏差方面相互比较,并且在达到或超过预定的最大偏差时识别错误。wo2005/109132a1公开了这种方法。
背景技术:
在工业自动化技术中,为了监控安全相关的过程值(例如压力、速度),必须由功能安全的系统读取和处理这些值。通过遵循标准iso13849-1和-2以及iec62061,确保机械制造环境中的功能安全性。
在本发明的意义上,功能安全性理解为按照标准en/iec61511的定义:“功能安全性-用于过程工业的安全技术系统”和en/iec61508:“功能安全相关的电气/电子/可编程的电子系统”。
对于s7300自动化系统、et200m分布式外围设备,存在西门子公司的错误保护的信号组件。此类组件通常符合iec61131第2部分的要求和标准。对于此类组件还存在对于csa、ul和fm的许可。通常,组件(例如通过
因此,对于利用et200m组件的解决方案来说有认证的硬件解决方案,但这些组件是具有相对较大外形尺寸的组件。他们不能安装在所有机器中。对于较小系统、例如et200s系列的组件的解决方案尚不存在。
目前还没有基于西门子simatic组件et200s或et200sp检测例如安全的模拟值、特别是4至20ma的电流检测的解决方案。当然,虽然可以使用这些组件读取非安全的模拟值,但是对于读取安全的值来说不存在认证或承认。
技术实现要素:
本发明的目的是,与前述相对,实现一种利用标准组件(et200s或et200sp)错误保护地检测测量值的解决方案,特别是利用不是基于功能上错误保护而设计的组件。
在前文所提及的用于错误保护地检测测量值的方法的情况下,该目的通过如下方式得以实现,第一检测部件针对要设定的第一测量范围被参数化,第二检测部件针对要设定的第二测量范围被参数化,其中借助安全程序,用于第二检测部件的测量范围交替地重新参数化(umparametriert),在此,在安全程序中基于以下认知:第二检测部件刚刚如何被参数化并且由此知晓当前设定的第二测量范围且因而知晓第二测量值必须位于哪个范围中,执行在第一测量值与第二测量值之间的或然性检查,其中在负的或然性检查结果时同样识别错误。
在本发明的意义上,安全程序应理解为一种软件或工业控制程序,其在控制单元(cpu)的错误保护部分中监控模拟值。借助上述的多样地设定的参数化,可以识别fmea中列出的各种故障模型。在硬件的系统设计中,系统承受密集的错误可能性和影响分析(fmea
通过第一和第二检测部件,其中检测部件例如构造为模拟输入组件,可以实现对例如两个模拟值的冗余检测并将这些模拟值提供给安全程序(f程序)并检查一致性。由此,可以揭示和掌握fmea中描述的不同错误模型。如果这两个值例如相差太远或甚至完全不同,则启动相应的错误行动。
有利地,在这种不同的参数化的情况下,现在可以通过第一值对安全程序中的第二值提出期望。
在方法的另一构造方案中,在检测部件中使用模数转换器,其中第一检测部件中的模数转换器为第一测量值提供第一整数值,并且第二检测部件中的模数转换器为第二测量值提供第二整数值,将或然性检查应用于第一整数值和第二整数值。
如果检测部件例如被构造使得它们可以检测0至20ma范围内或4至20ma范围内的电流,则有利的是,在利用第一检测部件测量例如4ma的电流时,产生为零的整数值并且基于在安全程序中已知的:第二检测部件在4ma时现在必须如何表现,可以对第二测量值提出期望。因此,第二测量值必须位于作为整数值的大约5530的范围中,否则存在由交叉比较所揭示出的错误。
在进一步的构造方案中,在控制单元的安全程序中、即在基于功能安全性而设计的自动化程序中,在第一功能模块中执行或然性检查并且在第二功能模块中执行第二检测部件的重新参数化,在此,将第一和第二测量值作为输入值传输给第一功能模块,并且作为输出值一方面提供错误保护的测量值且另一方面为重新参数化提供启动信号,其中,启动信号作为输入值提供给第二功能模块,其随后引起重新参数化并且第二功能模块在重新参数化成功后提供反馈信号,其又作为输入值接通到第一功能模块上。
总之,对于方法步骤来说可以提出,如下地执行用于确保模拟值的流程。
1.读取这两个模拟值(冗余),其中,模拟值不是强制相同的,因为一个模块在4到20ma的范围内参数化而另一个模块在0到20ma的范围内参数化。
2.通过各种措施(交叉比较,超时等)在安全程序中对这两个模拟值进行或然性检查。
3.第一功能模块的输出端写:a)输出安全的模拟值,或b)输出替换值、诊断字符或错误位(errorbit)。
4.设置启动标志(启动信号)以触发重新参数化过程。
5.只要成功完成重新参数化,在1.的情况下重新开始。
通过各种在安全程序中实现的措施和执行的方法,在此维持安全功能。各个措施将在稍后详论。
各种措施之一是,例如,当在第一功能模块中还监控至少一个测量值在预定的时间窗口中是否改变时,如果没有发生改变,同样识别错误。安全程序中的该措施涉及对所谓的“固定型错误(stuck-atfehler)”或对冻结状态进行监控。在此,安全程序在每个循环中存储模拟值的当前值,并将其与下一个循环相比较、与在下一循环中的当前值相比较。对于第二模拟值也执行同样措施。在两个循环内的模拟值相同时,则启动定时器。在该时间内(“冻结时间(freezetime)”),旧值必须与当前值不同。如果不符合这种情况,则启动相应的错误行动。
在比较这些值时,当然根据参数化执行与归一化(normierten)的值的比较。
上述目的同样通过一种自动化系统解决。自动化系统构造用于错误保护地检测测量值。在本发明的意义上并且关于错误保护的测量值和错误保护的检测,在此再次参考标准中规定的功能安全性。
根据本发明的自动化系统构造用于错误保护地检测测量值并且包括控制单元、构造用于检测第一测量值的第一检测部件、构造用于检测第二测量值的第二检测部件、在控制单元中运行的安全程序,其构造为将第一测量值和第二测量值在彼此的偏差方面进行相互比较,并且在达到或超过预定的最大偏差时识别错误,其中,第一检测部件针对要设定的第一测量范围参数化,并且第二检测部件借助安全程序在要设定的第二测量范围中交替地重新参数化,其中,安全程序因此具有关于当前设定的第二测量范围的认知,另外安全程序构造用于执行在第一测量值与第二测量值之间的或然性检查,其中安全程序构造用于,借助关于第二测量值必须位于的期待值域的认知来执行或然性检查,另外构造为在负的或然性检查结果时同样以信号报告错误。用于错误保护地检测测量值的自动化系统是基于功能安全性而设计的自动化系统。安全程序也是构造用于满足功能安全性的安全程序。
在根据本发明的自动化系统中,以下述为前提:对于控制单元使用基于功能安全性而设计的控制单元,并且为了利用检测部件检测测量值而使用标准组件,即不是基于功能安全性而设计的且不具有相应认证的组件。
在自动化系统的另一构造方案中,检测部件具有模数转换器,并且在第一检测部件中的模数转换器为第一测量范围提供第一整数值,并且在第二检测部件中的模数转换器为第二测量范围提供第二整数值,并且安全程序构造用于根据整数值执行或然性检查。
控制单元的安全程序、特别是基于功能安全性而设计的安全程序,有利地具有第一功能模块,其构造用于执行或然性检查,并且具有第二功能模块,其构造用于执行第二检测部件的重新参数化。
控制单元构造为基于功能安全性而设计的工业自动化控制装置,并且第一检测部件和第二检测部件分别构造为工业模拟组件。应注意,只有借助于本发明才能利用标准组件根据功能安全性的标准来检测测量值。
当还将基于功能安全性而设计的工业组件连接到背板总线且工业模拟组件也连接在背板总线处时,进一步满足安全性,其中由此实现对背板总线的监控,其中基于功能安全性而设计的工业组件构造用于生成质量信号,该质量信号允许推断出在背板总线处的错误。
附图说明
附图示出了一个实施例。在此示出
图1是自动化系统的硬件结构,
图2是所使用的功能模块的概念方案,其例如用于工程化系统中,
图3是具有输入端和输出端的第一功能模块,
图4是具有输入端和输出端的第二功能模块,
图5是在不同参数化时所提供的整数值的图表。
具体实施方式
根据图1,自动化系统100具有控制单元(f-cpu)和分布地布置的组件布置,其包括:第一检测部件11(标准组件)、第二检测部件12(标准组件)、附加的基于功能安全性而设计的工业组件13(f-组件),接口模件14和服务器模件15。
为了冗余地检测测量值,第一检测部件11连接到第一测量值传感器17处,并且第二检测部件12连接到第二测量值传感器18处。这两个测量值传感器17、18分别检测相同的物理过程参量。具有组件11、12、13、14、15的分布式组件外围系统机械地布置在背板总线系统中。
控制单元10经由现场总线16与接口模件14连接,例如利用profi-safe技术,以便使该现场总线16也基于功能安全性来设计。
在控制单元10中运行有安全程序19。
利用图2示出了第一功能模块21和第二功能模块22的概念方案和互连。功能模块21、22在控制单元10的安全程序19中运行。第一功能模块21构造用于执行或然性检查。第二功能模块22构造用于执行第二检测部件12的重新参数化。根据该方法,功能模块21、22因此构造成借助安全程序将用于第二检测部件12的测量范围m2交替地重新参数化,在此,在安全程序19中基于以下认知:第二检测部件12刚刚如何被参数化并因此知晓当前设定的第二测量范围m2且因此知晓第二测量值ai2必须位于哪个范围中,在第一测量值ai1与第二测量值ai2之间执行或然性检查。为此,第一功能模块21在其输入侧上对于第一测量值ai1具有输入“analogin1”,并且对于第二测量值ai2具有输入“analogin2”。作为输出值,第一功能模块21提供错误保护的测量值ao“analogout”。因此,在第一功能模块21中执行该或然性检查,并且利用第二功能模块22执行第二检测部件12的重新参数化。第一和第二测量值ai1、ai2作为输入值传输给第一功能模块21,第一功能模块21作为输出值提供错误保护的测量值ao。第一功能模块21还生成用于重新参数化的启动信号s。启动信号s作为输入信号输送到第二功能模块22处,其然后引起重新参数化,并且在重新参数化成功之后,第二功能模块22提供反馈信号cd。反馈信号cd又作为输入“changedone”输送到第一功能模块21处。
图3详细示出了具有其所有输入和输出的第一功能模块21。基本上,第一测量值ai1和第二测量值ai2输送到相应的输入端“analogin1”和“analogin2“。第一功能模块21提供安全的测量值ao“analogout”。
第二功能模块的所有参数描述如下:
图4示出了第二功能模块22,其执行第二检测部件12的重新参数化。对于第一参数组p1和第二参数组p2,还参见图2,其中第一参数组p1(m1)作为数据记录0...20ma存在,并且第二参数组p2(m2)作为数据记录4...20ma存在。这两个参数组p1、p2由第二功能模块22用作用于第二检测部件12的重新参数化的输入参量。
启动信号s起到第二功能模块22的触发器的作用。每次施加信号s时,借助第二功能模块22将第二检测部件12中的分别有效的参数组交替地相互重新参数化。在重新参数化成功时,第二功能模块22生成反馈信号cd(“changedone”),其返回给第一功能模块21。利用反馈信号cd,现在对于其或然性检查为第一功能模块21确认,第二检测部件具有现在存在的有效参数化。
在下文中,解释了第二功能模块的所有参数。
图5示出了第一转换曲线w1和第二转换曲线w2的图表。第一和第二转换曲线w1、w2相应地属于第一检测部件11和第二检测部件12。第一转换曲线w1对于转换器中的模数转换器而示出,其构造用于4至20ma的参数化,并且第二转换曲线w2对于0至20ma的参数化示出。x轴表示毫安范围内的值,并且y轴表示由模数转换器提供的整数值iw1、iw2。曲线走向的这种图形表示在安全程序19中或在第一功能模块21中作为预期知识而存在。基于第一和第二检测部件11、12的不同参数化,现在可以经由一个值、例如第一整数值iw1对第二值、例如第二整数值iw2提出期望。
例如,在测量4ma的电流时,针对第一整数值iw1和4至20ma的参数化,生成值0。并且现在基于在第一功能模块21中知晓第二检测部件12现在必须如何表现,可以对第二整数值iw2提出期望。此时,第二整数值iw2必须大约在5530的范围内,否则存在错误,而错误由交叉比较示揭示出。
在功能模块中实施以下诊断和方法:
交叉比较
冗余读取这两个模拟值可以对安全程序中的两个值就相同性进行检验。由此可以揭示和掌握不同的错误模型。
如果两个值相差太远(可经由输入参数“tolerance”调整)或甚至完全不同,则设置错误位并启动相应的错误行动。
对“固定型错误”进行监控
安全程序在每个f循环中存储当前值s-ai1n并且将其在下一循环中与当时的当前值s-ai1(n+1)进行比较。对模拟值s-ai2执行相同过程。
在两个循环内的模拟值s-ai1n和s-ai1(n+1)相等时,启动定时器。在该时间(“freezetime”)内,旧值必须与当前值不同。如果不符合这种情况,则启动相应的错误行动。
组件的多样性参数化
基于冗余构造,可以使这两个模拟组件彼此不同地参数化。有两种不同的可行性来改变模拟组件的参数。
更改硬件配置中的参数
在创建硬件配置时,可以为组件分配不同的属性。除此之外,还可以打开或关闭诊断、设置平滑因子或规定测量类型。
运行时改变参数(cir=运行中的配置“configurationinrun”)
第二个可行性是在运行时对组件进行重新参数化。为此,使用组件“wrrec”,它在运行时将相应的数据组写入到组件上。
在本应用实例中,使用了这两种重新参数化方法。
因此可以经由第一值对第二值提出期望。在组件1上测量4ma的电流时,生成int值0。由于在安全程序中知晓组件2现在必须如何表现,可以对该值提出期望。必须到达大约为5530的值,否则由交叉比较揭示存在错误。
极限值监控
借助最小和最大极限,可以非常简单地限定过程极限值,在超过过程极限值时会到达危险状态。为此,参数化的极限值与当前过程值相比较,并且在低于或超过时在诊断词中设置相应的位,以及设置错误位。
qbad监控
qbad信号应位于所使用的f组件的外围数据模块中,并且应按序地接通在模块处。通过使用f组件和qbad信号,连带使用了profisafe措施,这带来了相当大的优势。
f组件经由背板总线将其profisafe包中的过程数据转发到et200sp的接口模件上。如果系统性错误、如过压或类似使背板总线处的数据失真,profisafe包同样失真。基于系统所决定的机制,这种失真可靠地由f-cpu揭示出。因此可以借助f组件掌握背板总线处的错误。
循环式重新参数化
第二组件的循环式重新参数化是安全概念方案的重要组成部分。在此,这两个组件之一在预定的循环中重新参数化。
该措施的频率可根据dinen61508-2第7.4.4.1.5点确定。
在此要阐述的是,仅当诊断测试间隔和修复持续时间的总和低于假设的mttr时,才能够将诊断计入安全故障的份额。由此可以得出以下结论:
根据dinen61508-4,由以下几点得出mttr(“平均恢复时间”):
-识别到故障之前的持续时间,
-开始再次建立之前的持续时间,
-实际修复持续时间,
-部件投入运行之前的持续时间。
在我们的情况下,mttr被规定为8小时。这意味着,在这8小时内识别并消除错误。由于修复的复杂性,不容易修复模拟组件,这就是必须使用替换组件的原因。因此,实际的修复持续时间非常短,因为替换组件通常只需几分钟。
根据dinen61508–2第7.4.4.1.5点适用:
诊断测试间隔+修复时间<mttr
mttr=8小时
修复时间:<<1h(更换组件)
对于诊断测试间隔来说理论上提供最少7小时。基于保守方案,该诊断的间隔规定为15分钟。
编码处理
所有与安全性相关的任务都在cpu的安全程序中处理。使用的控制装置是经过认证的并可达到sil3或ple。证书可以在线查看。
s-ai的值状态
组件的值状态应如所描述那样评估和连接。
以下内容必须被附带考虑并且不包含在模块中:
运行穿过整个测量范围
为了能够排除不同的错误模型,需要在限定的间隔内检验模拟组件的ad转换器是否仍然正确工作。
测试间隔的规定是用户的职责。用户应根据不同的标准来决定其执行检验的频率。
-在正常运行中运行穿过测量范围多少次?
-使用的组件/传感器的mtbf值是多少?
-是否可以排除“固定型错误”(常规的组件替换等)?
下限值规定为时长一年。因此,每年必须运行穿过整个测量范围至少一次,并且必须要检验上限和下限。
在该措施的范畴内,必须同时对组件考察可能存在的错位。为此,例如可以通过真实已知的值验证测量值并且执行组件的(然后可能必要的)校准。
- 还没有人留言评论。精彩留言会获得点赞!