检查数据处理装置是否适于实施失效保护自动化过程的方法
【专利说明】检查数据处理装置是否适于实施失效保护自动化过程的方法
[0001]本申请是基于2010年4月16日所提交的申请号为201010152203.4、发明名称为“检查数据处理装置是否适于实施失效保护自动化过程的方法”的发明的分案申请。
技术领域
[0002]本发明涉及一种用于检查数据处理装置是否适于实施失效保护的自动化过程的方法。
【背景技术】
[0003]这种方法由现有技术是已知的。例如公开文本EP I 043 640 A2公开了一种方法,其中借助于对于自动化系统的中央处理单元的识别信息编码的检查而可确定,中央处理单元是否适于实施失效保护的应用。
[0004]现有技术的一个缺点在于,即这种通常在生产自动化系统时已经确定下来的识别信息从一开始就固定不变并且也就不适于后续的进一步发展。此外,如果没有在制造硬件时就已经进行了预设和检查,那么因此也就不可能实现用于与安全有关的应用的后续的性能检查。特别当应用标准化的数据处理装置时,例如个人计算机或工作站,在自动化环境中通常未预设这种识别信息。
【发明内容】
[0005]因此本发明的目的在于,提出一种方法,利用该方法可以更加简单地或更加灵活地检查数据处理装置能否实施失效保护(fehlersicher)的自动化过程的可能性。
[0006]该目的通过一种用于检查数据处理装置、特别是自动化装置、计算机、个人计算机或者工作站是否适于实施失效保护的自动化过程的方法来实现,
[0007]-其中数据处理装置具有第一时基和第二时基,以及
[0008]-其中该方法包括以下步骤:
[0009]a).在长度T的持续时间结束之后测定第一时基的第一时间值,
[0010]b).在长度T的持续时间结束之后测定第二时基的第二时间值,
[0011]c).确定在第一和第二时间值之间的偏差,
[0012]d).如果偏差低于、特别是低于或者达到预设的或可预设的极限值,则启动故障排除措施。
[0013]在此,数据处理装置根据本说明书可以是所有的适合用于或者配置用于控制自动化过程的装置、仪器或者仪器的组合。这包括例如特别为此研发的装置、例如所谓的“可编程控制器”(SPS)或者其组件或者也包括另外的电子的控制装置或者控制器。但是数据处理装置例如也可以是计算机、例如个人计算机(PC)或者工作站。这些计算机例如可以通过相应的编程、运行系统或者运行版本和/或编程同样也配置或设计用于实施自动化过程。
[0014]在本说明书的范畴中,失效保护的自动化过程也理解为与安全有关(sicherheitsgerichtete)的自动化过程,如其例如在IEC 61508中说明的那样。
[0015]失效保护的自动化过程在本说明书的范畴中称为失效保护的或者说与安全有关的自动化过程,其例如符合于IEC 61508标准和/或可比较的标准和/或可比较的规则。
[0016]为了适于实施这种失效保护的自动化过程,数据处理装置必须根据所选择的失效保护标准或者失效保护性能而满足一定的前提条件。这些性能例如可以是存在彼此独立的、冗余的时基或者类似物。
[0017]在本说明书的范畴中,“检查是否适于实施失效保护的自动化过程”理解为检查对于所选择的安全级别所必需的准则中的一个或多个准则。这并不意味着完全检查所有的必需的准则。
[0018]为了实施这种失效保护的自动化过程,在自动化系统中例如需要两个彼此独立的时基。通过对时基的定期的比较,系统随之可以识别在时基之内出现的误差或者故障并且将所控制的系统随之带入到安全的状态中或者使其保持在这种状态中。
[0019]时基在此例如可以设计为计数器、时钟脉冲、时钟或者类似物并且在硬件和/或软件中实现。如果例如时基中的每一个都分配有一个合适的硬件时钟脉冲发生器、例如一个硬件振荡元件,那么两个时基就随之可以是彼此独立的。
[0020]时间值可以是每一个基于各自的时基的时钟脉冲的值,该时间值是对于已结束的持续时间的衡量尺度。时间值例如可以在常规的时间单位(小时、分钟、秒钟、毫秒、微秒,…)的范畴中测定。但也可以选择任意的时间单位。
[0021 ] 这种硬件振荡元件例如可以是机电的和/或压电的振荡器和/或也可以是电子的振荡器(例如RC元件)。压电的振荡器例如可以设计为振荡石英,正如其在当今的电子系统中通常应用为硬件时钟脉冲源。
[0022]不同的硬件振荡元件通常具有不同的关于时间的漂移(Drift),例如取决于温度、加热、老化、空气湿度或者类似的环境条件。
[0023]利用根据本发明的方法可能实现的是,通过将时基在所选择的持续时间期间的比较确定出,是否在数据处理装置中设置有两个这种独立的时基。对此重要的提示例如是,在持续时间T结束之后的两个时基的测定的偏差处于极限值之上,且该极限值例如对于相应分配的硬件振荡元件的受生产限制的漂移差别来说是典型的或最小的。
[0024]在此,已预设的或可预设的极限值可以这样选择,即在系统中的基础的硬件振荡元件(例如振荡石英)的典型的或也可以是最小的漂移差别的情况下,时间值的偏差处于极限值之上。极限值例如可以符合于时基的最大振动(Jitter)(例如由于时钟脉冲+读取偏差+另外的延迟)。
[0025]在应用振荡石英时,差例如可以小于10_2%或10_3%、典型地也处于所测量的持续时间的10_4%的范围中或者是其的多倍。该所述的极限值基于这一点:偏差是作为第一和第二时间值的差来计算的。
[0026]但是偏差例如也可以作为商、或者也可以作为时间值的平方或类似物的平方的差或商来计算。在这种情况下,极限值随之可以相应地匹配。
[0027]通过持续时间的长度T来测定时基的时间值,该长度例如可以通过时基中的一个来确定。此外,也可以提出第三时基以用于确定持续时间T。
[0028]时间值的测定可以并行地进行,从而在长度T的持续时间结束之后,两个时基被中止并且读出相应的时间值。此外,时间值的测定也可以彼此独立地进行并且随之紧接着测定时间值的偏差。
[0029]在此,作为持续时间可以应用一分钟或更多时间,优选为5分钟或更多时间,进一步优选为15分钟或更多时间,更进一步优选为30分钟或更多时间,或也可以应用60分钟或更多时间。特别地,当应用振荡石英来作为硬件振荡元件时,在这个时间之内典型地例如可以相对可靠地查明受生产限制的漂移差别。在此,持续时间例如可以预设为固定的和/或也可以通过应用者的输入来调节。
[0030]数据处理装置例如可以设计为标准个人计算机(PC)或者标准工作站。其优点在于,即这种可在市场上容易地购买到的并且相对价廉的标准组件可以用于控制自动化过程。借助于根据当前的说明书所述的方法随之可以来检查这种标准组件是否适于实施失效保护的自动化过程。在正面的情况下随之甚至可以(在一定条件下在另外的测试之后)使用这种标准系统以用于驱动失效保护的自动化过程。
[0031]如果偏差低于已预设的或可预设的极限值,那么就启动故障排除措施,作为故障排除措施例如可以设计为发出信息,该信息包括不可能确定第一时基和第二时基的独立性。由此,例如为应用者指出,即借助于所进行的检查不能以充分的可靠性来确定第一和第二时基的独立性。则应用者例如可以以此为理由来相应地检查硬件或者进行另外的测试。
[0032]此外,故障排除措施也可以包括自动化地或者说自动地进行的过程。这种过程例如可以是,当例如在失效保护的自动化程序进行之前或者进行期间应该检查时基的独立性时,阻碍或中止该失效保护的自动化程序。关闭组件或关闭仪器也可以是故障排除措施或故障排除措施的一部分。
[0033]如果时间值的偏差超过预设的或可预设的第二极限值,那么也可以启动根据本说明书的故障排除措施。在此,第二极限值处于极限值之上。一种这样的措施可以设计为,用以确保安全地进行失效保护的应用。在此可以这样来选择第二极限值,即当偏差处于第二极限值之上时不再确保可靠的失效保护的运行,这是因为系统例如当时间测定时规律性地认定一个计时器是损坏的(这是因为,在被考虑为是在系统之内的故障情况的范畴中例如已经存在有两个计时器的规律性的偏差)。这种第二极限值例如可以处于从0.01%到1%的范围中,或也可能处于直到所考虑的持续时间的10%或50 %,特别是处于0.5 %的范围中。借助于这种设计方案,进一步改进了对于数据处理装置是否可实施失效保护的自动化过程的检查。
[0034]此外可以设计为,如果在第一和第二时间值之间的偏差超过极限值、特别是超过极限值并且低于第二极限值,则启动成功措施(Erfolgsmassnahme)。在所述的情况下,可以以相对高的安全性由此出发,即第一和第二时基彼此独立,例如由两个独立的硬件振荡元件、例如振荡石英来驱动或触发。
[0035]此外,在时间值的偏差低于第二极限值的情况下例如也可以确保时基并不具有如此大的差,以至于对自动化程序的失效保护的过程造成危险。
[0036]作为成功措施例如可以设置关于时基的独立性的确定的信息或者该成功措施可以包括一种这样的信息。此外,成功措施也可以使自动化过程开始进行或者继续进行或者是包括一种这样的措施。
[0037]在另一个有利的设计方案中,数据处理装置可以设计为个人计算机或工作站,该数据处理装置包括具有系统石英和RTC(实时时钟)时基的标准时基以用于驱动(Betrieb)数据处理装置的实时时钟,其中第一时基分配有系统石英(System-Quarz)以及第二时基分配有系统石英或RTC石英。在此,RTC石英可以按照标准设计用于驱动RTC时基。
[0038]标准时基在此例如可以设定用于提供处理器时钟脉冲并且例如驱