用于安全关键的应用的设备和方法
【专利摘要】在用于机器环境中的安全关键的应用的能编程的控制装置中需要的是,安全重要的程序组件的功能不受其他程序组件的错误或流程所影响。为了对应用程序进行流程控制可以考虑不同的标准,例如可以基于运行时间系统与操作系统相联系地进行流程控制。本发明涉及用于基于运行时间系统结构并行地或独立地运行正常的和安全的程序的设备和方法,其中提出,所有对于控制装置重要的部件集成在具有特定硬件架构300的硬件组件30上并且借助于用于两个运行时间系统的构成为至少双重的运行时间系统结构33、34、301相互分开,以便能够在安全不重要的组件上自由地进行改变。分开特别是可以通过使所述运行时间系统之一优先化来进行。利用这样的运行时间系统结构301或硬件架构300无需事后认证能自由编程的控制装置,并且即使在安全不重要的部件上进行改变时,安全关键的部件的认证也继续保持有效。
【专利说明】用于安全关键的应用的设备和方法
【技术领域】
[0001] 本发明涉及一种在特别是机器环境中的安全关键的应用中并行地且独立地运行 正常的程序和安全的程序的设备和方法。
【背景技术】
[0002] 在能自由编程的电子控制装置的范围内通常通过配置多功能的输入端和输出端 来适配控制装置,例如用于使用在移动做功机械中并且特别在用户特定的应由这种机器满 足的任务方面。为此,特定的应用程序(AWP)由做功机械的制造者以编程系统为基础建立, 这例如包括程序建立、程序测试、程序编译和/或将程序上传到控制装置中。在此,在控制 装置方面在很多情况下实施有运行时间系统(LZS),在该运行时间系统的环境中可以启动 或运行利用编程系统产生的并且载入控制装置中的AWP。LZS调节计算机和控制系统之间 的通讯。
[0003] 为了满足安全要求,在AWP可以功能安全地分级并且允许在相应的应用中使用在 做功机械内之前,必须认证AWP。如果需要在AWP上的程序技术的改变,例如因为应在顺序 或持续时间或速度方面改变要实施的工作,那么在成功地进行程序技术的改变之后通常需 要重新认证,即使在微小的改变时也需要重新认证。这导致,即使已知按照何种方式将能够 达到改进,也不是一直都改进工作流程或作用原理。要求AWP越安全,则对于机器的操作者 和制造者来说越困难的是,到底进行何种改变而不一样地需要新的认证。特别是当确定的 控制装置原则上适合于大量不同的应用并且不完全利用它们的功能,这种状况是不利的。
[0004] 因此,在这种能自由编程的控制装置中存在双重软件应用的需求,所述软件应用 可以并行地或独立地相互运行,即使它们控制必须满足不同安全要求的流程时,这些软件 应用也不相互影响。在此,特别是必须能够在单通道硬件上交换输入信息和/或输入信息, 该单通道硬件在确定的安全状态方面认证过。
[0005] 公开文献DE10 2006 037 153Al示出一种用于信号技术上安全地控制和监控车 辆的方法,其中,应用软件在相对较安全的第一计算机上执行以用于处理传感器数据,并且 第一计算机由较不安全的第二计算机卸负荷,在该第二计算机上可以处理这样的传感器数 据,所述传感器数据能用于不安全的目的,并且两个计算机通过接口和用于系统诊断的软 件相互通讯。
[0006] 公开文献DE10 2009 011 679Al示出一种用于建立安全控制用的应用程序的方 法和设备,其中,分成具有对安全要求不同的至少两个程序部分。基于反复指派的瞬时值、 对于瞬时值的指派条件和以转换指令形式的配属(Zuordnung),进行在第一程序部分中的 较不安全的变量和第二程序部分中的较安全的变量之间的相互作用,以便实现将安全不重 要的程序变量转换成安全重要的程序变量,由此,不再需要构成为错误安全的传感器以用 于提供瞬时值。在这种方法中,安全的程序代码能够与较不安全的程序代码分开,以便能让 应用程序对较安全的功能支持地在微处理器上运行。
[0007] 公开文献DE10 2009 019 087Al示出一种安全控制装置和一种用于控制自动化 设备的方法,其中,可以针对程序变量求出检验值,特别是基于表征程序变量的瞬时值。在 此可以设有具有两个用于各一个程序变量类型的独立的处理器的冗余控制装置,其中,进 行结果比较、特别是瞬时值比较,以便可以在瞬时安全状况方面实施安全控制装置的初始 化。
[0008] 公开文献DE10 2009 019 089Al示出一种用于建立安全控制用的应用程序的方 法和设备,其中,源代码利用控制和诊断指令建立,并且基于源代码而产生机器代码,以便 与诊断指令无关地求出用于机器代码的一部分的校验和。在此,安全控制基于根据确定的 安全代码求出这个校验和的确定的方式和方法。由上面提到的文献得知,当要求较高安全 标准的应用与较不安全的应用分开运行时,在安全控制中确保安全关键的程序组件的流程 的相关性。
[0009] 此外,在DE10 2005 007 477Al中示出已知基于利用操作系统运行的PC的机器 控制器,其中,除了标准控制装置之外还设有安全控制装置,并且安全重要的功能与安全不 重要的功能的分开可以通过模块化地分布到机器控制器内部的至少一个安全模块中进行, 特别是通过硬件层面上的分开,其中,安全重要的功能仅仅在安全模块中运行,并且能实现 分开地认证安全重要的结构组件。在此规定,通过不安全的部分形成向外的接口。安全模 块可以构造为通过PCI-接口与标准控制装置通讯的PC-插件模块。
[0010] 在DE102 12 151B4中示出用于安全关键的应用的方法,其中,两个不同处理环 境中的数据分别在使用安全时间间隔的情况下进行译解,从而经译解的数据可以借助于存 在的冗余信息而时间多样地或者也数据多样地输出并且降低缺失风险。
[0011] 在10 2005 009 795Al中示出一种用于以能安全认证的应用进行机器控制的微 处理器系统,其中,除了主处理器之外也使用至少一个具有自身程序/数据存储器的安全 处理器,其中,两个处理器利用同一通讯总线。程序数据可以写入到安全处理器的程序存储 器中,而主处理器不能存取这些数据,其方式特别是,利用由普通总线和具有状态机器的邮 箱构成的安全的传输路段,以用于将数据载入到安全处理器中。
[0012] 在DE10 2006 001 805Al中示出用于在错误情况下多通道地控制安全技术装置 的安全设备,借助于该安全设备可以在安全状态下运行安全技术装置,其中,两个控制装置 通过输入级相互连接,其进行信号调制。
[0013] 在DE10 2009 047 025B3中为此示出一种实时运行时间系统和一种功能模块, 其中,在确定的状态过渡中(特别在检验运行和实时运行之间)可以进行功能模块的注册 和注销。
[0014] 在DE10 2010 038 484Al中示出一种用于控制在其中可以进行错误监控的设备 的装置的方法。
[0015] 已知的现有技术因此普遍涉及能存储编程的控制装置,所述控制装置具有在各 个计算机、程序部分或控制装置方面分开的架构或者能实现功能模块暂时脱耦,并且所述 控制装置适用于必须符合一定安全要求的应用。在这样的架构中,正常的运行时间系统 (LZS)可以集成在硬件上,该正常的运行时间系统能够使应用程序(AWP)启动并且运行,其 中,LZS将数据由物理输入端和总线系统读入并且将这些数据提供给AWP以用于处理,并且 其中,通过LZS启动AWP的周期并且将输入数据和可能储存的数据相互链接,并且其中,在 AWP周期结束时提供输出数据,所述输出数据由LZS输出给总线系统,这是能存储编程的控 制装置(SPS)的基本功能。在这样的架构中,安全的LZS可以可选择地集成在硬件上,该安 全的LZS与正常的LZS相同地运转,并且该安全的LZS附加地满足不同的安全标准,例如 61508或13849。通常在此设有也必须执行的操作系统,并且在该操作系统中各个安全重要 的功能的改变将导致耗费的事后认证。在已经提到的DE10 2005 007 477Al中已经指出, 具有各个能安全认证的安全模块的机器控制装置在认证时提供各优点,但是在此需要确定 的PC-基础结构,并且安全模块必须通过操作系统和PCI-总线来结合。
【发明内容】
[0016] 任务在于,特别是与用于应用程序(AWP)的控制相关地提供一种能分级为功能安 全的架构或者一种能分级为功能安全的方法,并且为硬件环境的操作者获得以简单的并且 成本低廉的方法进行对AWP的改变的可能性,即使要以相应特定、特别是彼此不同的安全 要求来控制不同的流程、过程或部分程序或者程序步骤。特别是,任务在于,在特定的安全 水平上如此控制应用程序,使得可以排除对整个系统的安全的损害。任务也可以看作,利用 特定的硬件环境能这样实现流程控制,即使必须进行对所述流程中之一进行改变,具有不 同安全标准的多个流程也相互不影响。尤其是任务也在于,提供简单的硬件或控制装置架 构,其中,可以以简单的或灵活的方法控制除了正常安全的流程之外的相对较安全的流程, 而不损害安全水平。
[0017] 为了解决所提及的任务中的至少一个可以以根据权利要求1前序部分所述的设 备以及根据权利要求11前序部分所述的方法为出发点。
[0018] 根据本发明提出,在根据前序部分所述的设备中设有运行时间系统结构,其中,运 行时间系统(LZS)是运行时间系统结构的组成部分,该运行时间系统结构构成为至少双重 的并且基于第一和第二LZS,其中,第一LZS构成为安全的LZS并且第二LZS构成为正常的 LZS。所述两个LZS分别符合特定的安全要求。正常的LZS可以由安全的LZS激活,正常 的LZS特别是在(最下面的)第一优先级层面中。因此,运行时间系统结构以不同的安全 水平结构化或者具有不同的安全水平。由此,可以通过简单的架构,其中,不需要自己的操 作系统,从而可以在没有耗费的事后认证的情况下进行改变。特别是可以使用事先认证的 安全的LZS,并且一次性地认证或验收安全的LZS,这样这点保持其不变。在此,控制装置的 供货方仅须努力使安全的LZS在自己的制造者特定的硬件上的安装获得认证,其方式特别 是,安全的LZS和正常的LZS与硬件一起作为一个单元认证。
[0019] 优选地,前序部分中提及的存储器类型实施为传统的符合标准可购买的存储器组 件。但在根据本发明的设备中也可能的是,可选择地将前序部分中提及的存储器类型构成 为单独的(einzelnen)连续存储器,即单独的物理存储器单元,并且在这个单独的物理存 储器单元中设置有不同的存储区域,然后可以分别地对所述存储区域进行存取。第一存储 模块和第二存储模块和存储器件特别是可以共同设置在单独的物理存储器单元中。
[0020] 在此,第一LZS可以并行于第二LZS地运行,而不存在冗余,而是所述两个LZS分 别实施自己的步骤或过程并且对不同的过程的控制可以并行地进行。专门针对构成为至少 双重的运行时间系统结构而制作(zuschneiden)的操作系统不是必需的,特别是因为通过 根据本发明的架构(特别是借助于微控制器)可以模仿简单的有多任务能力的系统。通过 根据本发明的运行时间系统结构提供自给自足的架构,该自给自足的架构无需要求自己的 操作系统。特别是可以使用微控制器的结构,其方式是,计时器连同微控制器用作操作系统 备件并且可以在没有操作系统的情况下提供不同的任务层面。作为实例可以提及具有四个 计时器的微控制器,并且所述计时器可以配置给根据本发明确定的优先级层面。对任务的 处理可以分布在这些优先级层面上。但是,优先级层面的数量不必地与计数器的数量耦合。 可选择地,优先级层面(特别是用于安全的功能和用于系统监控的优先级层面)的数量可 以与计数器的数量不同,这优选可以通过软件机制来控制,从而任意的微控制器可以与所 期望的优先级层面的数量无关地使用。但是可以有利的是,使用这样微控制器,该微控制仪 器有特别适用于期望数量的优先级层面的结构或者计数器的数量,从而可以省去特别的软 件机制。
[0021] 虽然如此也可能的是,附加地设置有安全的操作系统,特别是安全的实时操作系 统,其满足专门需要的安全要求,并且借助于安全的操作系统允许运行应用程序,这于是特 别是当多于两个LZS应共同允许运行应用程序时可以是有利的。于是LZS在其整体上构成 为运行时间系统结构并且共同形成在AWP和安全的操作系统之间的接口。可选择地,也可 以单独通过安全的LZS形成接口。
[0022] 但根据本发明不需要的是,设置操作系统:根据本发明的架构提供如下可能性, 即,所述两个LZS(即安全地LZS和正常的LZS)可以允许并行地运行AWP,特别是也基于其 在不同的优先级层面中的布置结构。运行时间系统结构可以如此构成,使得每个LZS具有 这样的任务,针对所述任务以优化方式设置。安全的LZS也可以控制本来应该由正常的LZS 控制的任务的处理,但是不能反之。所述任务可以在两个LZS之间分布,特别是通过安全的 LZS。特别是可以通过应用程序员进行输入数据的配置、输入和/或输出数据的链接的方式 以及输出数据的配属,该应用程序员可以是所述一个或多个AWP的建立者。正常的LZS可以 由安全的LZS调用,特别是在(最下面的)第一优先级层面中。以这种方式也可以保证高 效的工作方式。安全的功能的任务在安全的AWP中处理,并且正常的功能的任务在正常的 AWP中处理。所述任务可以分派给不同的优先级层面,例如给第二优先级层面分派与所谓的 过程安全时间相关的任务,该过程安全时间取决于相应的机器并且例如处于100至200ms 的范围内,并且例如给(相应较高的)第三和第四优先级层面分派与数据调节过程相关的 任务,所述任务例如每5至IOms地进行处理。
[0023] 通过具有不同优先级层面的架构而合乎目的的是,如果系统集成者(也就是程序 员)致力于,给出(最下面的)第一优先级层面足够的空间,以便在该层面中可以处理完全 还未处理的任务或部分任务。特别是具有较高的优先级的层面(即例如第二、第三和第四 层面)允许要求不太多的运算时间,以便也可以在所述第一优先级层面中处理任务。
[0024] 在此,作为任务应优选理解为如下任务,所述任务实施为确定的优先级层面中的 AWP的一部分。在另一意义中,作为任务优选应理解为每个过程步骤,其中,在确定的优先级 层面中处理AWP的一部分,所述AWP是调节或调节运动的实施或需要其他运算时间的运算 步骤。与安全的功能相关地,任务例如可以阻止机器的不希望的运动,或者在起重机中监控 负载力矩限制,并且与正常的功能相关地,任务例如可以是接通和关断舱加热装置。
[0025] 在此,作为运行时间结构优选理解为LZS的结构或环境,其中,能实现将单独的 LZS如此集成到硬件环境中,使得确定的AWP变得能在计算机上运行。如果仅设有一个唯一 的LZS,就像这在已知的控制装置中的情况,则运行时间系统结构优选可以相应于LZS本身 或控制特定的流程环境。不需要抽象地分界。
[0026] 因此根据本发明,作为成双重的运行时间系统结构应优选理解为用于多个LZS的 结构或环境,其中能实现,多个LZS并排并且也相互独立地设置。由此,在双重的运行时间 系统结构中,存在一种类型的运行时间系统-划分或者还有运行时间系统-等级。特别是 可以在双重的运行时间系统结构中设有两个LZS,所述LZS分开地构成为用于在不同的安 全水平上相应地进行自己的流程控制。至少可以设有一个等级,因为LZS可以激活正常的 LZS或者暂时地将其置于未激活的状态下。由此,双重的运行时间系统结构的概念优选可以 按架构的意义来理解,该架构能实现至少两个LZS的共存。所述两个LZS可以符合不同的 安全要求,从而可以被称为双重的安全分级的运行时间系统结构。运行时间系统结构可以 涉及多于两个LZS并且于是不再是构成为双重的、而是构成为三重或四重的或者构成为在 各LZS之间还多重区分的。在对三重LZS中则可以平行地设有三个不同的LZS,在四重时设 有四个LZS。
[0027]LZS相互脱耦,因为安全的LZS的任务的不同优先级在处理方面总是具有比正常 的LZS的任务更高的优先级。根据一个实例,可以(必须但不是强制性地)为安全的功能 设有三个优先级层面,特别是第二、第三和第四优先级层面,并且可以(必须但不是强制性 地)为正常的功能设有具有最低优先级的仅一个后台循环。程序技术上,安全的LZS和正 常的LZS特别是至少通过区分优先级来脱耦。唯一的相关性可以在于,安全的LZS调用或 启动正常的LZS。如果不设有操作系统,则安全的LZS可以仅承担控制。对于设置有安全的 操作系统(特别是安全的能运行多任务的实时操作系统)的情况,该操作系统可以承担安 全的LZS的功能。
[0028] 在此,作为运行时间系统(LZS)应相应优选地理解为流程环境,通过该流程环境 可以实施应用程序(AWP),而该应用程序不必直接与操作系统通讯。LZS由此确保AWP是可 运行的。
[0029] 优选地,第一LZS设置在不同于第二LZS的物理存储器中。进一步优选地,LZS分 别设置在闪存模块、特别是非易失性的存储器中。特别优选地,第一安全的LZS设在片上闪 存模块中并且第二正常的LZS设置在车载闪存模块中。
[0030] 机器环境中的安全关键的应用可理解为所有安全关键的应用,其中,各个机器、仪 器或设备至少部分基于必须满足一定安全标准的流程或过程地工作。作为机器特别是考虑 到移动的做功机械或一般的结构机械。
[0031] 在此,作为安全的LZS应普遍地理解为LZS或控制组件,其中,检验通过LZS本身 进行。当仅识别出较不安全的部分过程,可以进行自身的关断或更换到安全模式中。安全 的LZS可以检验自身或自己"回读"自身的动作。与之相反地,称为正常的LZS不具有这种 能力。
[0032] 概念控制组件在这里同样可以称为概念运行时间系统(LZS),因为LZS优选可以 理解为软件组件并且在当前情况下被称为两个不同的或独立的LZS。因此,通过将安全的流 程和正常的流程分开,两个控制组件也可以称作控制系统的部分的。但是,概念控制系统应 优选理解为上位概念,因为根据本发明的控制系统如此设计,使得所述控制系统包括两个 LZS0
[0033] 换言之,本发明也基于下述认识,即两个LZS可以使用同一处理器或同一硬件,而 不必担心相互妨碍或危害安全要求。这种用于架构的构思也提供优点,因为多个处理器或 其他冗余的硬件组件现在不在是需要的。迄今需要的、出于安全原因尽可能完全的物理分 开此外可以通过将不同的优先级分级与系统监控装置结合地以及通过使用相互通讯的存 储器构件连同监控模块和/或保护模块来克服,如以下更详细阐述的那样。
[0034] 在此,不取决于安全标准的更详细的定义。安全水平可以是不同高度的。因此,针 对确定的应用称为安全的LZS的LZS可以在另一应用中仅仅看作是正常的LZS,特别是因 为该LZS尽管具有检验自身的能力但在检验时不能检测一定标准,所述标准但能由所谓的 安全的LZS来检测。概念"正常的"和"安全的"是相对概念,因为所述相对概念强调,在两 个LZS时其中一个在检验自身的能力方面具有比另一个LZS改进的功能。因此,根据本发 明的架构也不局限于确定的安全标准。
[0035]优选地,安全的LZS与系统监控装置连接,该系统监控装置可以具有监控组件,并 且系统监控装置优选设置在如下的优先级层面上,该优先级层面比能在其中设置有安全的 LZS的优先级层面而更高。由此,可以以简单的方式确保无反作用。
[0036] 在此,本发明特别是分类到下述组件或模块的环境中,所述组件或模块能实现流 程控制并且在可能的实施方式中可以至少部分地视为根据本发明的架构的组件:
[0037] -CPU,其具有片上RAM模块(相应于集成的第一存储模块),并且具有片上闪存模 块(相应于集成的第二存储模块);
[0038] -与CPU分开设置的车载RAM模块(相应于集成的第一存储模块)和与CPU分开 设置的车载闪存模块(相应于存储区域);
[0039] -根据本发明的硬件组件,在所述硬件组件上设置有运行时间系统结构。
[0040] 但是,RAM模块可仅仅理解为对于存储器来说的一种可能的变型方案。可以使用 其他存储器,并且也可以改变布置结构。闪存模块的使用可以由特殊的执行过程而得出。 根据一个变型方案,所有存储组件例如可以整合在一个唯一的存储模块中,该存储模块具 有多个存储区域,所述多个存储区域分别与确定的LZS或确定的AWP连接。亦即,对硬件的 特定的配属结构是可变的。因此,例如可以在下述部件中进行分配:程序存储器LZS(安全 的)、程序存储器AWP(安全的)、工作存储器LZS(安全的)、工作存储器AWP(安全的)、程 序存储器LZS(正常的)、工作存储器AWP(正常的)、共同存储器(共享存储器)LZS、共同存 储器(共享存储器)AWP。
[0041] 在根据本发明的架构中,安全的LZS原则上负责从物理输入端和总线系统读入输 入数据并且负责向物理输出端和总线系统输出输出数据。这个任务出于功能安全的原因由 安全的LZS承担。在此,安全的LZS在大多数情况下仅仅使用总共存在的输入信息和输出 信息的部分量,因为总共存在的输入信息的不由安全的LZS使用的余量可以由安全的LZS 提供以用于较不安全的(即正常的)LZS。总共存在的输出信息的不由安全的LZS使用的 余量可以由较不安全的(即正常的)LZS所利用。为此,相应的输出信息可以传递给安全的 LZS0
[0042] 在此,安全的LZS称为第一LZS,因为它相对于正常的LZS而言占据优先地位,并且 第二LZS比起独立地与安全的LZS并行地工作而言地形象地更是集成到安全的LZS中。同 时,除了存在的硬件组件之外可能的是,可添加其他组件例如电路板以用于扩展物理输入 端/输出端或总线系统的数量。因此,可以提高要交换的输入/输出信息的数量,这必要时 可能要求匹配要为此设置的存储区域的容量。
[0043] 第一存储模块例如可以构造为工作存储模块、特别是片上RAM模块,并且第二存 储模块例如可以构造为闪存存储模块、特别是片上闪存模块。
[0044] 在此,正常的AWP的无反作用可以通过使用保护模块和/或监控模块来确保,并且 无反作用在存储器方面由此给出,即安全的LZS借助于系统监控装置如此控制,使得正常 的LZS或正常的AWP(即使由系统集成者错误地进行系统设计时也)不能妨碍安全的LZS 或安全的AWP处理任务。相反地,安全的LZS或安全的AWP(在系统设计错误时)完全能 在正常流程上妨碍正常的LZS或正常的AWP。保护模块例如可以构造为所谓的存储器保护 单元(MPU)。监控模块例如可以构造为存储器管理单元,S卩,构造为所谓的存储器管理单元 (MMU)。在此,MMU可以提供广泛的功能,此外提供其他保护或安全,但例如也构造虚拟的地 址空间。
[0045] 要提及的是,设置的硬件组件可以装配有集成的模块,所述模块可以在控制根据 本发明的方法时共同起作用。在这方面例如取消上面提及的MPU和MMU,它们可以作为集成 组件实施在正常的32位CPU中,并且不实施为附加必需的组件。而MPU(MemoryProtection Unit)和/或MMU(MemoryManagementUnit)如下起作用,S卩对于可自由选择的时间可以封 锁对确定的存储区域的存取。由此,安全的LZS的工作存储器可以在处理较不安全的(即 正常的)LZS的时间被封锁。因此,可以阻止正常的流程影响安全的流程。特别是,MMU可 以阻止,正常的LZS反作用于安全的LZS。根据安全的LZS中的流程处于哪个位置上,可以 在此激活或去激活MMU。
[0046] 根据一个实施例,所述第一运行时间系统设置用于运行第一应用程序并且所述第 二运行时间系统设置用于运行第二应用程序。在此,所述两个应用程序可以在一个唯一的 存储器中或者也在不同的物理的存储器中运行,其中一个优选相应于第二存储模块,该第 二存储模块特别是可以构造为集成的闪存存储模块,优选构造为片上闪存模块。在此,两个 应用程序可以与硬件组件相互影响,特别是通过运行时间系统或运行时间系统结构。
[0047] 由此,在仪器的内部在功能上安全的应用程序和较不安全的正常的应用程序 (AWP)平行地运行,并且可以排除较不安全的(正常的)AWP对安全的AWP的影响,其方式特 别是,通过系统监控装置,相对于正常的LZS将优先级给(einrSumen)安全的lzs。由 此可以分开AWP,并且AWP可以重新编程,而其他AWP不涉及于此。
[0048] 在此,安全的LZS形象地是在其中嵌入有安全的应用程序的池或壳。换言之,从客 户的角度看仅仅改变正常的应用程序(AWP),客户可以在没有大耗费的情况下对在该正常 的应用程序进行改变,并且客户只致力于认证安全的AWP。在此,在特殊情况下也可以合乎 目的的是,在控制装置的供货方方面正常的LZS匹配于由客户进行的对正常AWP的改变。
[0049] 因此,本发明也基于下述认识,即可以实现软件架构,其中,两个不同的控制系统 可以整合在一个硬件组件上,从而可以为能自由编程的控制装置建立两个AWP,所述AWP在 安全技术上是相互独立的并且相互独立地运行。控制系统可以分别包括至少一个LZS。两 个基本上独立的控制系统在一个硬件组件上的连接导致如下的架构,其中,可以进行改变, 而不需要新的认证。所述两个控制系统可以将存在的输入端/输出端和总线系统分开,其 方式特别是,数据在数据总线上的输入端和输出端只或仅仅由安全的LZS或有安全的AWP 控制。
[0050] 输入端数据例如可以从安全的AWP向正常的AWP经由共同存储器(共享存储器) AWP路由或转达。输出数据可以由正常的AWP向安全的AWP同样经由共同存储器(共享存 储器)路由并且在那里由安全的AWP必要时来过滤,从而通过正常的AWP可以不覆盖安全 的AWP的数据。换言之,物理的输入端、如总线系统的数据可以由安全的LZS读入并且传递 给安全的AWP。在安全的AWP中可以是用于正常的AWP的所有输入数据可供支配。在正常 的AWP中产生的输出数据可以传递给安全的AWP并且由该安全的AWP(经过滤地)传递给 安全的LZS并且由其传递到物理的输出端和总线系统上。由此,安全的AWP和安全的LZS 具有经由输入/输出数据的完整控制并且正常的AWP可将仅仅在安全的AWP所允许的并且 可以确保无反作用的范围内操作所述数据。
[0051] 但是,输入数据或输出数据也可以通过安全的LZS直接在硬件和正常的AWP之间 路由,即在没有经由安全的AWP的绕路的情况下。
[0052] 通过这样的构造可以保证,所有AWP、即安全的AWP和正常的AWP可以运行并且可 以相互独立地处理。在此,监控所述两个控制组件或双重的运行时间系统结构的系统监控 装置可以通过将适当的处理时间分派到不同的优先级层面上来保证整个系统的功能能力。 特别是可以避免无尽的任务,所述任务可阻止整个架构的高效工作方式。系统监控装置本 身设置在所述一个或多个最高的优先级层面上。系统监控装置可以由一个或对个监控组件 (所谓的监控器)和可选择地还有断路组件(所谓的中断器)形成,尽管断路组件严格地说 不配置给系统监控装置。上面提及的优先级的配置可以因此确保,正常的AWP可以在运行 时对安全的AWP没有反作用。
[0053] 在此,系统监控装置可以是根据确定的安全标准、例如SIL2认证的中间产品的一 部分。系统监控装置可以相应于安全的LZS的所登记的规格和实现,该安全的LZS可以由 控制装置的供货方额外购买用于移植自身的控制装置。
[0054] 系统监控装置可以检验,所有安全的AWP的任务是否按照预定义的时间来处理。 如果情况不是如此,则可以将控制装置置于安全的状态下。在此,不需要的是,系统监控装 置在此监控正常的LZS或正常的AWP。
[0055] 根据一个能与之前提到的实施例之一相组合的实施例,所述第一应用程序是安全 的应用程序并且所述第二应用程序是正常的应用程序。由此可以确保,所述一个LZS的较 高安全标准与所述一个AWP的较高安全标准相对应。
[0056] 在此,数据交换可以或者通过与安全的AWP共同作用的安全的LZS或者通过安全 的AWP本身来实施。数据交换可以通过共同存储器(共享存储器)进行,特别是在LZS和 AWP的以下配对之间:
[0057]
【权利要求】
1. 用于特别是机器环境中的安全关键的应用的设备(1),该设备构成为用于基于运行 时间系统(33、34)对应用程序(31、32)进行流程控制,该设备具有: -硬件组件(30),所述运行时间系统(33、34)集成到该硬件组件中; -中央处理器(10),其具有带有监控模块(11)和/或保护模块(14)的微控制器(101) 以及第一存储模块(12)和第二存储模块(13);和 -存储器件(20),其与所述中央处理器(10)连接, 其特征在于,所述运行时间系统(33、34)是运行时间系统结构(301)的组成部分,该运 行时间系统结构构成为至少双重的并且基于第一运行时间系统(33)和第二运行时间系统 (34),其中,所述第一运行时间系统(33)构造为安全的运行时间系统并且所述第二运行时 间系统(34)构造为正常的运行时间系统。
2. 根据权利要求1所述的设备,其特征在于,所述第一运行时间系统(33)设置用于运 行第一应用程序(31)并且所述第二运行时间系统(34)设置用于运行第二应用程序(32), 其中,两个应用程序(31、32)集成到所述硬件组件(30)中。
3. 根据权利要求2所述的设备,其特征在于,所述第一应用程序(31)是安全的应用程 序并且所述第二应用程序(32)是正常的应用程序。
4. 根据权利要求3所述的设备,其特征在于,所述第一安全的应用程序(31)构成为用 于在将所述第一存储模块(12)用作工作存储器的情况下在所述第二存储模块(13)中运 行。
5. 根据权利要求3或4所述的设备,其特征在于,所述存储器件(20)具有数据交换器 件(21)和存储区域(22),并且所述第二正常的应用程序(32)构成用于在将所述数据交换 器件(21)用作工作存储器的情况下在所述存储区域(22)中运行。
6. 根据上述权利要求2至5中任一项所述的设备,其特征在于,所述存储器件(20)具 有数据交换器件(21),该数据交换器件构成为具有第一部分(21a)和第二部分(21b)的两 件式的数据交换器件,其中,所述第一部分(21a)构成为共同的存储器,并且所述第二运行 时间系统(34)通过所述共同的存储器(21a)与所述第一应用程序(31)或所述第一运行时 间系统(33)连接。
7. 根据权利要求6所述的设备,其特征在于,所述第二运行时间系统(34)和所述第二 应用程序(32)与所述第二存储模块(13)连接。
8. 根据权利要求6所述的设备,其特征在于,所述存储器件(20)具有数据交换器件 (21)和存储区域(22),并且所述第一运行时间系统(33)和所述第一应用程序(31)通过所 述数据交换器件(21)与所述存储区域(22)连接。
9. 根据上述权利要求3至8中任一项所述的设备(1),其特征在于,所述设备(1)构成 为用于根据具有增大的优先级的六个优先级层面进行流程控制,其中,在具有最低优先级 的第一层面中设有后台循环(30a)并且在具有较高的优先级的第二层面中设有第二应用 程序(32),并且其中,所述第一应用程序(31)设置在具有相应较高优先级的第三和/第四 层面中。
10. 根据权利要求9所述的设备,其特征在于,在具有第二高的优先级的层面中设有监 控组件(35)并且在具有最高的优先级的层面中设有断路组件(36)。
11. 用于基于运行时间系统(33、34)借助于根据权利要求1至10中任一项所述的设备 特别是机器环境中对安全关键的应用程序进行流程控制的方法,其特征在于,所述运行时 间系统(33、34)集成到运行时间系统结构(301)中,该运行时间系统结构构成为至少双重 的并且基于第一运行时间系统(33)和第二运行时间系统(34),其中,所述第一运行时间系 统(33)构成为安全的运行时间系统并且所述第二运行时间系统(34)构成为正常的运行时 间系统,该方法具有下述步骤: -在第一优先级层面中处理借助于所述正常的运行时间系统(34)运行的正常的应用 程序(32)的任务; -在第二优先级层面中处理借助于所述安全的运行时间系统(33)运行的安全的应用 程序(31)的任务,该第二优先级层面具有比第一优先级层面更高的优先级,其中,所述安 全的运行时间系统(33)激活所述正常的运行时间系统(34);和 -通过设在具有比所述第二优先级层面更高的优先级层面的第三优先级层面中的监控 组件(35)来监控所述安全的运行时间系统(33)的流程,其中,所述安全的运行时间系统 (33)构成为用于在一个安全的运行状态下或者在多个安全的运行状态之一下运行。
12. 根据权利要求1至10中任一项所述的设备(1)在移动做功机械中和/或在受保护 的机房外部的露天的户外区域中的应用。
13. 用于根据权利要求1至10中任一项所述的设备(1)的计算机程序。
14. 监控模块(11)和/或保护模块(14)、特别是MMU和/或MPU在根据权利要求1至 10中任一项所述的设备(1)中的应用。
15. 系统监控装置、特别是监控组件(35)在根据权利要求1至10中任一项所述的设备 (1)中的应用。
16. 计算机程序,其构成为用于当载入计算机中时实施根据权利要求11所述的方法。
17. 存储媒介,其具有储存在其上的计算机程序,该计算机程序构成为用于当载入计算 机中时实施根据权利要求11所述的方法。
18. 用于机器环境中的安全关键的应用的计算机系统,该计算机系统构成为用于基于 运行时间系统结构对应用程序进行流程控制,其中,所述计算机系统包括: -接收装置; -处理环境,该处理环境集成在一个唯一的硬件组件(30)上并且具有根据权利要求1 至10中任一项所述的设备(1);和 -输出装置。
【文档编号】G06F9/48GK104508578SQ201380040580
【公开日】2015年4月8日 申请日期:2013年6月26日 优先权日:2012年6月26日
【发明者】A·霍勒, H-D·凯泽, W·普菲斯特, J·利韦, H-J·埃梅林 申请人:盈德克勒电控有限公司