專利名稱:用于控制自動(dòng)化設(shè)備的安全控制裝置和方法
用于控制自動(dòng)化設(shè)備的安全控制裝置和方法本發(fā)明涉及一種安全控制裝置���,其用于根據(jù)在其中運(yùn)行的應(yīng)用程序來控制自動(dòng)化設(shè)備�����,其中該設(shè)備包括多個(gè)傳感器和多個(gè)執(zhí)行器�,其中應(yīng)用程序包括多個(gè)用于控制執(zhí)行器的控制指令����。此外,本發(fā)明還涉及一種用于控制自動(dòng)化設(shè)備的方法�����,其中設(shè)備包括多個(gè)傳感器和多個(gè)執(zhí)行器�����。在本發(fā)明的意義下的安全控制裝置是如下設(shè)備或裝置���,該設(shè)備或裝置記錄由傳感器提供的輸入信號(hào)并且由此通過邏輯鏈接和可能的其他信號(hào)處理步驟或數(shù)據(jù)處理步驟產(chǎn)生輸出信號(hào)��。輸出信號(hào)于是可以輸送給執(zhí)行器�,所述執(zhí)行器根據(jù)輸入信號(hào)引起受控的設(shè)備中的動(dòng)作或反應(yīng)��。這種安全控制裝置的一個(gè)優(yōu)選的應(yīng)用領(lǐng)域是對在機(jī)器安全領(lǐng)域中的應(yīng)急關(guān)斷按鍵�����、雙手控制裝置���、光柵或安全門的監(jiān)控���。這種傳感器被用于例如保護(hù)如下機(jī)器,在運(yùn)行中對人員或材料物品的危害源自該機(jī)器����。在安全門打開時(shí)或在操作應(yīng)急關(guān)斷按鍵時(shí)分別產(chǎn)生信號(hào),該信號(hào)作為輸入信號(hào)被輸送給安全控制裝置���。響應(yīng)于此�,安全控制裝置于是例如借助執(zhí)行器關(guān)斷機(jī)器的帶來危險(xiǎn)的部分���。與“正?��!笨刂蒲b置相比,對于安全控制裝置典型的是�,安全控制裝置本身即使在安全控制裝置中或在與該安全控制裝置相連的設(shè)備出現(xiàn)故障時(shí)也始終保證帶來危險(xiǎn)的設(shè)備或機(jī)器的安全狀態(tài)。因此�����,在全控制裝置中對自己的故障安全性提出了極高要求,這導(dǎo)致了在開發(fā)和制造時(shí)的極大開銷���。通常����,安全控制裝置在其使用之前需要由主管監(jiān)管局(譬如在德國由行業(yè)組織或 τ ν)的特別的許可�����。安全控制裝置在此必須遵守預(yù)先給定的安全標(biāo)準(zhǔn)����,其例如記錄于歐洲標(biāo)準(zhǔn)EN %4-1或相似的標(biāo)準(zhǔn)中,例如標(biāo)準(zhǔn)IEC 61508或標(biāo)準(zhǔn)EN ISO 13849-1中�。在以下因此,安全控制裝置理解為如下設(shè)備或裝置����,其至少滿足所述歐洲標(biāo)準(zhǔn)EN 954-1的第三安全類別或其安全完整性等級(SIL)至少達(dá)到根據(jù)所述標(biāo)準(zhǔn)IEC 61508的第二等級?�?删幊痰陌踩刂蒲b置為應(yīng)用者提供如下可能性����,借助軟件�、即所謂的應(yīng)用程序根據(jù)其需要單獨(dú)地確定邏輯鏈接并且必要時(shí)確定另外的信號(hào)或數(shù)據(jù)處理步驟��。由此得到與以前的解決方案相比大的靈活性�,其中邏輯鏈接通過在不同的安全部件之間的限定的布線來產(chǎn)生���。應(yīng)用程序例如可以借助市面上可獲得的個(gè)人計(jì)算機(jī)(PC)和在使用相應(yīng)設(shè)置的軟件程序的情況下來創(chuàng)建��。如已所提及的那樣��,在安全控制裝置的情況下對自己的故障安全性即鑒于安全控制裝置中出現(xiàn)的故障而提出了極高的要求��。措施例如在于����,至少在處理數(shù)據(jù)的部件譬如處理器中冗余地設(shè)計(jì)安全控制裝置��。因此�����,鑒于安全控制裝置中出現(xiàn)的故障實(shí)現(xiàn)了安全控制裝置盡可能大的可用性����。同樣�,安全控制裝置的高可用性鑒于在安全控制裝置之外可能出現(xiàn)的故障是值得所希望的�����。這樣��,安全控制裝置例如在電壓消失之后又無問題地在如下狀態(tài)中進(jìn)一步驅(qū)動(dòng)�,該安全控制裝置在電壓消失之前具有該狀態(tài)。但恰好在安全控制裝置之外出現(xiàn)故障時(shí)的可用性方面�����,安全裝置裝置尚非最優(yōu)����。因此,本發(fā)明的任務(wù)是改進(jìn)開頭所述類型的安全控制裝置和方法���,以便提高安全控制裝置在安全控制裝置之外出現(xiàn)的故障方面的可用性并且同時(shí)減小安全控制裝置的成本��。該任務(wù)通過開頭所述類型的安全控制裝置來解決���,其具有如下單元第一處理器����, 其構(gòu)建為通過處理多個(gè)第一程序變量來執(zhí)行安全指令的至少一部分��,其中第一處理器構(gòu)建為��,針對第一程序變量的至少一個(gè)根據(jù)針對該第一程序變量在所限定的第一時(shí)刻存在的瞬時(shí)值確定第一校驗(yàn)值�����;第二處理器�,其構(gòu)建為通過處理多個(gè)第二程序變量執(zhí)行控制指令的至少一部分���,其中第二處理器進(jìn)一步構(gòu)建為����,確定與第一校驗(yàn)值對應(yīng)的第二校驗(yàn)值��;數(shù)據(jù)存儲(chǔ)器�,其構(gòu)建為存儲(chǔ)瞬時(shí)值、第一校驗(yàn)值和第二校驗(yàn)值��。此外,該任務(wù)通過開頭所述類型的方法來解決���,其中執(zhí)行如下步驟-處理多個(gè)第一程序變量���,-針對第一程序變量的至少一個(gè)根據(jù)針對該第一程序變量在所限定的第一時(shí)刻存在的瞬時(shí)值確定第一校驗(yàn)值,-處理多個(gè)第二程序變量���,-確定與第一校驗(yàn)值對應(yīng)的第二校驗(yàn)值����,-將瞬時(shí)值����、第一校驗(yàn)值和第二校驗(yàn)值存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中。新安全控制裝置和新方法基于如下構(gòu)思在用于程序變量的數(shù)據(jù)存儲(chǔ)器中存儲(chǔ)瞬時(shí)值以及不僅存儲(chǔ)第一校驗(yàn)值�����,其借助第一處理器并且因此針對安全控制裝置的第一通道來確定���,而且存儲(chǔ)第二校驗(yàn)值�,其借助第二處理器并且因此針對第二通道來確定���。因此��,例如在運(yùn)行過程不期望的中斷之后在重新起動(dòng)時(shí)針對兩個(gè)通道冗余地檢驗(yàn)尚存儲(chǔ)的瞬時(shí)值的有效性����。這提高了安全控制裝置的可用性。由于兩個(gè)校驗(yàn)值存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中��,所以足夠的是針對兩個(gè)通道中的僅僅一個(gè)設(shè)置數(shù)據(jù)存儲(chǔ)器���。不需要針對兩個(gè)通道中的每個(gè)設(shè)置自己的數(shù)據(jù)存儲(chǔ)器�。這減小了用于實(shí)現(xiàn)安全控制裝置的成本�����。上面所述的任務(wù)因此被完全解決在本發(fā)明的一個(gè)擴(kuò)展方案中�,第二處理器進(jìn)一步構(gòu)建為根據(jù)第二程序變量之一的瞬時(shí)值確定第二校驗(yàn)值���,其中第二程序變量與第一程序變量對應(yīng)�。在該擴(kuò)展方案的一些變形方案中���,第一程序變量和第二程序變量是彼此冗余的程序變量����,其代表受控的設(shè)備的共同的瞬時(shí)值。該措施具有多個(gè)優(yōu)點(diǎn)�。一方面,兩個(gè)校驗(yàn)值獨(dú)立地并且因此彼此獨(dú)立地確定�。由此,更可靠地檢驗(yàn)所存儲(chǔ)的瞬時(shí)值是有效還是無效����。此夕卜,自己的校驗(yàn)值供兩個(gè)通道的每個(gè)所用�����。針對兩個(gè)通道因此可以進(jìn)行獨(dú)立有效性校驗(yàn)和所存儲(chǔ)的瞬時(shí)值的核實(shí)�����。冗余性提高了安全控制裝置和因此要控制的設(shè)備的可用性��。在前面所述的措施的另一擴(kuò)展方案中�����,第一程序變量的瞬時(shí)值和第二程序變量的瞬時(shí)值在相同的作業(yè)循環(huán)中�����。通常,處理器循環(huán)地執(zhí)行其相應(yīng)的控制程序���,其中每個(gè)處理器循環(huán)重復(fù)地讀入其程序變量���。在該擴(kuò)展方案中,第一程序變量和第二程序變量源自共同的循環(huán)��。其因此代表兩個(gè)基本上同時(shí)存在的瞬時(shí)值�����。通過該措施保證了��,兩個(gè)瞬時(shí)值在時(shí)間上彼此對應(yīng)�。它們因此更為類似并且足夠針對有效性校驗(yàn)僅僅存儲(chǔ)瞬時(shí)值。這能夠?qū)崿F(xiàn)數(shù)據(jù)存儲(chǔ)器的成本低廉的設(shè)計(jì)�����。作業(yè)循環(huán)有利地通過所限定的第一時(shí)刻來限定�。在另一擴(kuò)展方案中����,安全控制裝置構(gòu)建為多樣性地確定兩個(gè)校驗(yàn)值�。該措施有助于提高有效性校驗(yàn)的可靠性��。優(yōu)選地����,針對安全控制裝置的兩個(gè)通道使用不同的算法來確定相應(yīng)的校驗(yàn)值。在另一擴(kuò)展方案中���,數(shù)據(jù)存儲(chǔ)器構(gòu)建為非易失性數(shù)據(jù)存儲(chǔ)器�����。該措施保證了所存儲(chǔ)的瞬時(shí)值和兩個(gè)所存儲(chǔ)的校驗(yàn)值尤其是在不希望的中斷之后在安全控制裝置重新起動(dòng)時(shí)立即可用�。該設(shè)備可以更為快速地又投入運(yùn)行����。優(yōu)選地,數(shù)據(jù)存儲(chǔ)器構(gòu)建為所謂的磁阻隨機(jī)存取存儲(chǔ)器(MRAM)或構(gòu)建為鐵電隨機(jī)存取存儲(chǔ)器(FRAM)����。在另一擴(kuò)展方案中,安全控制裝置構(gòu)建為重復(fù)針對相繼的時(shí)刻確定兩個(gè)校驗(yàn)值�����。該措施保證了重復(fù)更新所存儲(chǔ)的瞬時(shí)值。優(yōu)選地���,更新以規(guī)則的時(shí)間間隔進(jìn)行�。該擴(kuò)展方案有利地有助于可以分別以正當(dāng)前的值進(jìn)行設(shè)備的重新起動(dòng)�����。設(shè)備的重新起動(dòng)因此可以更為簡單地和更快速地進(jìn)行���。在本發(fā)明的另一擴(kuò)展方案中���,第一處理器進(jìn)一步構(gòu)建為執(zhí)行瞬時(shí)值比較。在該擴(kuò)展方案中�,第一處理器將不同時(shí)刻的瞬時(shí)值比較。該措施能夠?qū)崿F(xiàn)相應(yīng)當(dāng)前的瞬時(shí)值和兩個(gè)校驗(yàn)值的最優(yōu)的存儲(chǔ)�。瞬時(shí)值比較被執(zhí)行,以便確定瞬時(shí)值是否相對于在前的已存儲(chǔ)的瞬時(shí)值改變���。如果確定沒有改變�����,則當(dāng)前瞬時(shí)值和兩個(gè)當(dāng)前校驗(yàn)值尚未額外存儲(chǔ)一次���。換言之,只有實(shí)際存在改變時(shí)才有利地進(jìn)行存儲(chǔ)�。由此,可以使用更小的數(shù)據(jù)存儲(chǔ)器�����,這引起成本節(jié)約��。在安全控制裝置的工作方式方面�,該措施實(shí)現(xiàn)了開銷最優(yōu)化。也就是說�����,該措施導(dǎo)致��,并不針對每個(gè)作業(yè)循環(huán)存儲(chǔ)瞬時(shí)值和相關(guān)的校驗(yàn)值���。在另一擴(kuò)展方案中���,安全控制裝置構(gòu)建為在重新起動(dòng)時(shí)執(zhí)行瞬時(shí)值的有效性檢驗(yàn)并且借助第一處理器以第一校驗(yàn)值核實(shí)瞬時(shí)值并且借助第二處理器以第二校驗(yàn)值核實(shí)瞬時(shí)值�。該措施具有如下優(yōu)點(diǎn)�����,借助此外針對兩個(gè)通道的僅僅一個(gè)所確定的僅僅一個(gè)瞬時(shí)值針對安全控制裝置的兩個(gè)通道可以進(jìn)行有效性校驗(yàn)���。由此��,例如可以減小用于存儲(chǔ)瞬時(shí)值的開銷�。這樣���,提供僅僅唯一的數(shù)據(jù)存儲(chǔ)器就足夠����。優(yōu)選地�,該數(shù)據(jù)存儲(chǔ)器與控制裝置的如下通道關(guān)聯(lián),在該通道中不僅處理安全相關(guān)的程序變量而且處理非安全相關(guān)的程序變量��。在另一擴(kuò)展方案中����,數(shù)據(jù)存儲(chǔ)器具有與第一程序變量中的兩個(gè)相關(guān)的存儲(chǔ)器區(qū)域。該措施能夠?qū)崿F(xiàn)針對兩個(gè)不同的時(shí)刻和因此針對兩個(gè)不同的工作循環(huán)存儲(chǔ)當(dāng)前瞬時(shí)值和兩個(gè)相應(yīng)相關(guān)的校驗(yàn)值。優(yōu)選地�����,于是在至少兩個(gè)不同作業(yè)循環(huán)上的瞬時(shí)值的歷史存儲(chǔ)在存儲(chǔ)器區(qū)域中����。由此在重新起動(dòng)時(shí)進(jìn)一步提高要控制的設(shè)備的可用性��。如果在有效性校驗(yàn)時(shí)確定最后存儲(chǔ)的����、最為新的瞬時(shí)值不有效并且因此針對安全控制裝置的初始化不能使用,則始終還有在前存儲(chǔ)的��、較舊的瞬時(shí)值可用�����,其可以有利地用于重新起動(dòng)�。在另一擴(kuò)展方案中,安全控制裝置構(gòu)建為將瞬時(shí)值和兩個(gè)校驗(yàn)值交替地存儲(chǔ)到兩個(gè)存儲(chǔ)器區(qū)域中���。擴(kuò)展方案使用兩個(gè)存儲(chǔ)器區(qū)域以便交替地更新瞬時(shí)值的歷史�。該擴(kuò)展方案在任意時(shí)刻在其中一個(gè)存儲(chǔ)器區(qū)域中準(zhǔn)備最新的瞬時(shí)值(由當(dāng)前作業(yè)循環(huán)Z構(gòu)成)而在另一存儲(chǔ)器區(qū)域中準(zhǔn)備較老的瞬時(shí)值(由在前的作業(yè)循環(huán)Z-I構(gòu)成)。現(xiàn)在���,當(dāng)在后續(xù)的作業(yè)循環(huán) Z+1中讀入當(dāng)前的瞬時(shí)值時(shí)�����,該擴(kuò)展方案覆蓋相應(yīng)最舊的所存儲(chǔ)的瞬時(shí)值���。該擴(kuò)展方案保證了,在安全控制裝置工作中始終以對存儲(chǔ)器需要最小地存儲(chǔ)瞬時(shí)值的兩個(gè)最新的生成并且因此在中斷之后為安全控制裝置的初始化所用�����。
在另一擴(kuò)展方案中�����,兩個(gè)處理器中的至少一個(gè)構(gòu)建為確定寫入計(jì)時(shí)器的值���。有利地�,寫入計(jì)數(shù)器代表�,兩個(gè)前面所述的存儲(chǔ)器區(qū)域的哪個(gè)存儲(chǔ)器區(qū)域包含相應(yīng)最新近的瞬時(shí)值。借助該擴(kuò)展方案可以針對多個(gè)在不同時(shí)刻存在的瞬時(shí)值存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中的情況更為容易地確定這些瞬時(shí)值的哪個(gè)瞬時(shí)值是最新近的并且因此首先可經(jīng)受有效性校驗(yàn)���。優(yōu)選地�,兩個(gè)處理器中的每個(gè)確定自己的寫入計(jì)數(shù)器。由此進(jìn)一步提高了安全控制裝置的可用性��。在另一擴(kuò)展方案中����,第一處理器進(jìn)一步構(gòu)建為根據(jù)瞬時(shí)值和寫入計(jì)數(shù)器的值確定第一校驗(yàn)值��。在該擴(kuò)展方案中��,第一處理器在確定校驗(yàn)和時(shí)不僅考慮瞬時(shí)值而且考慮寫入計(jì)數(shù)器值���。優(yōu)選地���,第一校驗(yàn)值如下地確定瞬時(shí)值和寫入計(jì)數(shù)器的值存儲(chǔ)在存儲(chǔ)器區(qū)域的兩個(gè)存儲(chǔ)器單元中。第一校驗(yàn)值于是通過在兩個(gè)存儲(chǔ)器單元中的值來確定����。擴(kuò)展方案具有如下優(yōu)點(diǎn),校驗(yàn)值不僅保護(hù)瞬時(shí)值而且保護(hù)其當(dāng)前性�,這提高了在設(shè)備重新起動(dòng)時(shí)信息的可靠性。在另一擴(kuò)展方案中��,第一程序變量和第二程序變量分別是安全相關(guān)的程序變量。該措施保證了在重新起動(dòng)和與此相聯(lián)系的初始化時(shí)有如下程序變量的值可用�����,這些程序變量在安全控制裝置中對于處理安全控制指令是必要的�����。由此�����,設(shè)備的運(yùn)行安全性從重新起動(dòng)開始被保證�。但也可以將非安全相關(guān)的程序變量的瞬時(shí)值存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中。在安全控制裝置重新起動(dòng)時(shí)必須提供的并且因此要存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器中的數(shù)據(jù)通常稱作零電壓安全(nullspanmmgssichere)的數(shù)據(jù)�。如已經(jīng)介紹的那樣,零電壓安全的數(shù)據(jù)基本上是安全相關(guān)的數(shù)據(jù)��。在此情況下��,可以涉及安全相關(guān)的程序輸入變量的瞬時(shí)值或安全相關(guān)的程序中間變量的瞬時(shí)值�����。簡言之�����,可以是如下數(shù)據(jù),其在執(zhí)行安全相關(guān)的控制指令時(shí)所積累��。但也可以是非安全相關(guān)的數(shù)據(jù)��,其在執(zhí)行非安全相關(guān)的控制指令時(shí)所積累�, 即非安全相關(guān)的程序輸入變量的瞬時(shí)值、非安全相關(guān)的程序輸出變量的瞬時(shí)值或非安全相關(guān)的程序中間變量的瞬時(shí)值�����。非安全相關(guān)的數(shù)據(jù)針對設(shè)備的起動(dòng)而言也會(huì)是有意義的����。作為例子提及非安全相關(guān)的計(jì)數(shù)器變量���,其瞬時(shí)值代表空中纜車的多個(gè)椅�,其不再在輸送繩索上而是已經(jīng)在存放位置中��。優(yōu)選地�����,第一處理器構(gòu)建為,針對任意數(shù)目的第一程序變量分別確定第一校驗(yàn)值�����。 相應(yīng)地�,第二處理器可以構(gòu)建為針對第一校驗(yàn)值的每個(gè)確定對應(yīng)的第二校驗(yàn)值。應(yīng)理解的是����,前面所述的并且在下面還要闡述的特征不僅可以以相應(yīng)所說明的組合而且可以以其他組合或單獨(dú)地應(yīng)用,而不離開本發(fā)明的范圍����。本發(fā)明的實(shí)施例在附圖中予以示出并且在后續(xù)的描述中予以更為詳細(xì)地闡述。其中
圖1示出了要控制的設(shè)備的示意性視圖����;圖2示出了用于闡述根據(jù)第一實(shí)施形式的數(shù)據(jù)存儲(chǔ)的數(shù)據(jù)存儲(chǔ)器的示意性視圖;圖3示出了用于闡述根據(jù)第二實(shí)施形式的數(shù)據(jù)存儲(chǔ)的數(shù)據(jù)存儲(chǔ)器的示意性視圖���;在圖1中����,安全控制裝置用參考數(shù)字10表示��。該安全控制裝置10構(gòu)建為控制在其整體上用參考數(shù)字12表示的自動(dòng)化設(shè)備。設(shè)備12包括多個(gè)執(zhí)行器14和多個(gè)傳感器16���。 示例性地示出了包含在設(shè)備12中的負(fù)載18��,其例如可以是機(jī)器人��。
安全控制裝置10雙通道冗余地構(gòu)建����,以便實(shí)現(xiàn)用于控制安全關(guān)鍵的應(yīng)用或處理所需的故障安全性�����。代表雙通道結(jié)構(gòu)在圖1中示出了兩個(gè)分離的處理器�����,即第一處理器20 和第二處理器22�。兩個(gè)處理器20�����、22通過雙向通信接口 M彼此連接�����,以便監(jiān)控彼此并且能夠交換數(shù)據(jù)。優(yōu)選地�,安全控制裝置10的兩個(gè)通道和兩個(gè)處理器20、22多樣地即彼此不同地構(gòu)建����,以便在很大程度上排除系統(tǒng)性故障。用參考數(shù)字沈表示輸入/輸出單元�����,其與兩個(gè)處理器20�、22中的每個(gè)連接。輸入 /輸出單元26記錄來自傳感器16的控制輸入信號(hào)觀并且將其以匹配的數(shù)據(jù)格式轉(zhuǎn)發(fā)給兩個(gè)處理器20�����、22中的每個(gè)���。此外���,輸入/輸出單元沈根據(jù)處理器20、22產(chǎn)生控制輸出信號(hào) 30,借助控制輸出信號(hào)激勵(lì)執(zhí)行器14�。用參考數(shù)字32表示程序存儲(chǔ)器,在該程序存儲(chǔ)器中存儲(chǔ)有機(jī)器代碼形式的應(yīng)用程序34��。應(yīng)用程序34由安全控制裝置10執(zhí)行�。應(yīng)用程序34總體上借助編程工具來創(chuàng)建, 其中首先創(chuàng)建源代碼�,其于是轉(zhuǎn)換成機(jī)器代碼。編程工具例如是計(jì)算機(jī)程序36����,其可以在傳統(tǒng)的PC38上執(zhí)行。優(yōu)選地����,程序存儲(chǔ)器32實(shí)施為SD卡或CF卡。這能夠在不直接連接 PC38的情況下也實(shí)現(xiàn)簡單地更換應(yīng)用程序34���。對此可替選地���,應(yīng)用程序34也可以存儲(chǔ)在固定地安裝在安全控制裝置10中的存儲(chǔ)器��、例如EEPROM中�����。在任何情況下,程序存儲(chǔ)器32 都零電壓安全地實(shí)施���。針對安全相關(guān)的程序變量的故障安全的處理�����,在程序存儲(chǔ)器32中存儲(chǔ)第一機(jī)器代碼40和第二機(jī)器代碼42�。第一機(jī)器代碼40指定于第一處理器20而第二機(jī)器代碼42指定于第二處理器22����。第一機(jī)器代碼40包括第一安全代碼44和標(biāo)準(zhǔn)代碼46。第一安全代碼44包括如下安全控制指令��,其在由安全控制裝置10要完成的安全任務(wù)范圍內(nèi)要由第一處理器20執(zhí)行�����。標(biāo)準(zhǔn)代碼60包括如下標(biāo)準(zhǔn)指令��,其在由安全控制裝置10要完成的標(biāo)準(zhǔn)任務(wù)范圍內(nèi)要由第一處理器20執(zhí)行����。第二機(jī)器代碼42包括第二安全代碼48,其包括如下安全控制指令,其要由第二處理器22執(zhí)行���。安全控制指令和標(biāo)準(zhǔn)控制指令在此概括地稱作控制指令�。根據(jù)處理進(jìn)展�����,在第一處理器20中一方面執(zhí)行第一當(dāng)前安全控制指令50而另一方面執(zhí)行當(dāng)前標(biāo)準(zhǔn)控制指令52��?����;旧贤瑫r(shí)地在第二處理器22中執(zhí)行第二當(dāng)前安全控制指令討����。在處理當(dāng)前標(biāo)準(zhǔn)控制指令52的過程中(其為非安全相關(guān)的控制指令),第一非安全相關(guān)的數(shù)據(jù)56在第一處理器20和輸入/輸出單元沈之間交換�����。在此情況下���,通過使用非安全相關(guān)的程序輸入變量將非安全相關(guān)的控制輸入信號(hào)58的瞬時(shí)值輸送給第一處理器 20���,其由非安全相關(guān)的傳感器60產(chǎn)生。非安全相關(guān)的傳感器60是如下傳感器���,其信號(hào)首先對于設(shè)備的運(yùn)行過程而言是有意義的���,然而在有故障時(shí)沒有對身軀和生命的直接危害來自該設(shè)備。例如��,非安全相關(guān)的傳感器檢測用于處理工件的工具的位置�。非安全相關(guān)的傳感器60通常非故障安全地構(gòu)建。輸入/輸出單元沈通過使用非安全相關(guān)的程序輸出變量而被輸送有非安全相關(guān)的控制輸出信號(hào)62��,其被輸送給非安全相關(guān)的執(zhí)行器64用于其激勵(lì)���。 非安全相關(guān)的執(zhí)行器64例如可以是馬達(dá)或調(diào)節(jié)氣缸�。非安全相關(guān)的控制輸出信號(hào)62的瞬時(shí)值根據(jù)非安全相關(guān)的控制輸入信號(hào)58按照標(biāo)準(zhǔn)控制指令來確定����。在此情況下會(huì)是必要的是,確定中間量�����,其瞬時(shí)值被分配給非安全相關(guān)的程序中間變量。非安全相關(guān)的程序中間變量的瞬時(shí)值借助第二非安全相關(guān)的數(shù)據(jù)66輸送給工作存儲(chǔ)器68并且在那里中間存儲(chǔ)���。
在第一當(dāng)前安全控制指令50(其為安全相關(guān)的控制指令)的處理過程中���,第一安全相關(guān)的數(shù)據(jù)70在第一處理器20和輸入/輸出單元沈之間交換。在此情況下����,通過使用安全相關(guān)的程序變量將安全相關(guān)的控制輸入信號(hào)72的瞬時(shí)值輸送給第一處理器20,控制輸入信號(hào)由安全相關(guān)的傳感器74產(chǎn)生�����。安全相關(guān)的傳感器74例如為應(yīng)急關(guān)斷按鍵���、安全門開關(guān)���、光柵、轉(zhuǎn)速監(jiān)控設(shè)備或其他用于記錄安全相關(guān)的參數(shù)的傳感器�。輸入/輸出單元26 通過使用安全相關(guān)的程序輸出變量被輸送有安全相關(guān)的控制輸出信號(hào)76的瞬時(shí)值,其輸送給安全相關(guān)的執(zhí)行器78用于其激勵(lì)���。安全相關(guān)的執(zhí)行器78例如是接觸器(工作接觸部設(shè)置在電流供給裝置80與負(fù)載18之間的連接中)�����、為安全相關(guān)的磁閥或其他執(zhí)行器��,記住其可以可靠地停止有危險(xiǎn)的驅(qū)動(dòng)����。因此����,負(fù)載18的電流供給裝置80可以被關(guān)斷,由此可以在出現(xiàn)相應(yīng)故障時(shí)至少使負(fù)載18過渡到安全狀態(tài)中���。安全相關(guān)的控制輸出信號(hào)76的瞬時(shí)值根據(jù)安全相關(guān)的控制輸入信號(hào)72按照安全控制指令來確定�����。在此情況下����,會(huì)是必要的是確定安全相關(guān)的中間量�����,其瞬時(shí)值被分配給安全相關(guān)的程序中間變量。安全相關(guān)的程序中間變量的瞬時(shí)值借助第二安全相關(guān)的數(shù)據(jù)82輸送給工作存儲(chǔ)器68并且中間存儲(chǔ)在那里����。在第二當(dāng)前安全控制指令M (其為安全相關(guān)的控制指令)的處理過程中,根據(jù)第一當(dāng)前安全控制指令50來進(jìn)行���。相對于第二當(dāng)前安全控制指令M相應(yīng)地使用第三安全相關(guān)的數(shù)據(jù)84����,其對應(yīng)于第一安全相關(guān)的數(shù)據(jù)70��,并且使用第四安全相關(guān)的數(shù)據(jù)86��,其對應(yīng)于第二安全相關(guān)的數(shù)據(jù)82��。第一處理器20因此構(gòu)建為通過多個(gè)第一程序變量的邏輯鏈接執(zhí)行應(yīng)用程序的控制指令的至少一部分��。第一處理器20是第一通道88的部分����,其稱作通道A。第二處理器 22因此構(gòu)建為通過處理多個(gè)第二程序變量而執(zhí)行應(yīng)用程序的控制指令的至少一部分����。第二處理器22是第二通道90的部分�����,其稱作通道B��。為了存儲(chǔ)零電壓安全的數(shù)據(jù)�����,在安全控制裝置10中存在數(shù)據(jù)存儲(chǔ)器92。零電壓安全的數(shù)據(jù)為如下數(shù)據(jù)����,其例如在電壓消失并且因此要控制的設(shè)備12起動(dòng)之后在安全控制裝置10接通時(shí)必須存在。該數(shù)據(jù)存儲(chǔ)器構(gòu)建為非易失性數(shù)據(jù)存儲(chǔ)器����。數(shù)據(jù)存儲(chǔ)器92與第一處理器20關(guān)聯(lián),即不僅處理安全控制指令而且處理標(biāo)準(zhǔn)控制指令的處理器�。這具有如下優(yōu)點(diǎn)可以以簡單方式和方法可以將由第一處理器20處理的安全相關(guān)的數(shù)據(jù)和非安全相關(guān)的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中。要在第二處理器22中處理并且要存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器 92中的安全相關(guān)的數(shù)據(jù)通過雙向通信接口 M被輸送給第一處理器20�����,用于寫入數(shù)據(jù)存儲(chǔ)器92��。以相應(yīng)相反的方式,第二處理器22取回存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中的數(shù)據(jù)�。數(shù)據(jù)存儲(chǔ)器92與第一處理器20的關(guān)聯(lián)性不應(yīng)具有限制作用。也可考慮的是���,數(shù)據(jù)存儲(chǔ)器92與第二處理器22關(guān)聯(lián)����。同樣可考慮的是����,兩個(gè)處理器20、22直接可以訪問數(shù)據(jù)存儲(chǔ)器92�����。數(shù)據(jù)寫入數(shù)據(jù)存儲(chǔ)器92通過箭頭94來示出而將數(shù)據(jù)從數(shù)據(jù)存儲(chǔ)器92讀取通過箭頭96來示出����。結(jié)合圖2和圖3闡述了那些數(shù)據(jù)具體地寫入數(shù)據(jù)存儲(chǔ)器92并且因此存儲(chǔ)在其中。通過輸入/輸出單元沈在安全控制裝置10與安全相關(guān)的傳感器74以及安全相關(guān)的執(zhí)行器78之間交換測試信號(hào)98���。借助測試信號(hào)98可以在安全控制裝置10中可以確定連接到其上的部件是否無故障地工作�,這是必要的,因?yàn)橹灰c安全控制裝置10連接的設(shè)備出現(xiàn)故障則必須保證要控制的設(shè)備12的可靠的狀態(tài)�。根據(jù)其不僅由第一處理器20而且由第二處理器22產(chǎn)生安全相關(guān)的控制輸出信號(hào)76的瞬時(shí)值的前述實(shí)施并不意味著,由這兩個(gè)處理器20���、22產(chǎn)生的瞬時(shí)值同時(shí)作為控制輸出信號(hào)76輸出�����。上述實(shí)施僅僅要反映安全控制裝置10的在要完成的安全任務(wù)方面冗余的結(jié)構(gòu)�。兩個(gè)處理器20�����、22構(gòu)建為����,確定安全相關(guān)的控制輸出信號(hào)76的瞬時(shí)值�。在安全控制裝置10的無故障工作期間,僅僅輸出由處理器例如第一處理器20所確定的值���。圖2中所選的視圖(根據(jù)其在安全控制裝置10中不僅處理非安全相關(guān)的控制指令而且處理安全相關(guān)的控制指令)�,不應(yīng)具有限制作用���。也可考慮的是�,安全控制裝置10構(gòu)建為專門處理安全相關(guān)的控制指令。在圖2中示出了數(shù)據(jù)存儲(chǔ)器92���,根據(jù)第一實(shí)施形式不同的值存儲(chǔ)在該數(shù)據(jù)存儲(chǔ)器中����。該數(shù)據(jù)存儲(chǔ)器92具有第一存儲(chǔ)器部分區(qū)域110���,其設(shè)置用于存儲(chǔ)安全相關(guān)的程序變量��。 此外���,數(shù)據(jù)存儲(chǔ)器92具有第二存儲(chǔ)器部分區(qū)域112,其設(shè)置用于存儲(chǔ)非安全相關(guān)的程序變量�����。數(shù)據(jù)存儲(chǔ)器92的結(jié)構(gòu)不應(yīng)具有限制作用�����。也可考慮的是���,設(shè)置兩個(gè)結(jié)構(gòu)上獨(dú)立的數(shù)據(jù)存儲(chǔ)器�,其中一個(gè)針對安全相關(guān)的程序變量而另一個(gè)針對非安全相關(guān)的程序變量。如已結(jié)合圖1闡述那樣���,安全控制裝置10雙通道冗余地構(gòu)建�����。用參考數(shù)字114表示在第一通道88中進(jìn)行對多個(gè)第一安全相關(guān)的程序變量的處理����。在第一通道88中處理的第一安全相關(guān)的程序變量是用參考數(shù)字116表示的安全相關(guān)的程序變量FSV1A���。所使用的命名在此具有如下意義FS代表“故障安全”并且因此表示其為安全相關(guān)的程序變量���。Vl 是所觀察的安全相關(guān)的程序變量的實(shí)際名字,借助其可以識(shí)別在多個(gè)第一安全相關(guān)的程序變量中的由第二處理器20執(zhí)行的程序變量��。字母A指明其為在第一通道88中執(zhí)行的程序變量�。該命名針對圖2和3統(tǒng)一地使用�����。用參考數(shù)字118表示在第一通道88中所使用的寫入計(jì)數(shù)器SZA。寫入計(jì)數(shù)器SZA 的值在此說明了多個(gè)寫入過程��,在其中將安全相關(guān)的程序變量FSVlA的瞬時(shí)值寫入第一存儲(chǔ)器部分區(qū)域110中���。參考數(shù)字120表示在第一通道88中執(zhí)行的用于安全相關(guān)的程序變量FSVlA的校驗(yàn)值確定CRCFSV1A���。通過字母CRC(循環(huán)冗余碼校驗(yàn))表示,所述的校驗(yàn)值確定根據(jù)CRC方法進(jìn)行�����。用參考數(shù)字122表示在第二通道90中對多個(gè)第二安全相關(guān)的程序變量進(jìn)行的處理��。在第二通道90中處理的第二安全相關(guān)的程序變量之一是用參考數(shù)字IM表示的安全相關(guān)的程序變量FSV1B��。字母B于是指明����,其涉及在第二通道90中處理的程序變量。用參考數(shù)字1 表示在第二通道90中使用的寫入計(jì)數(shù)器SZB����。寫入計(jì)數(shù)器雙B的值在此對應(yīng)于寫入計(jì)數(shù)器SZA的值。參考數(shù)字1 表示在第二通道90中執(zhí)行的用于安全相關(guān)的程序變量FSVlB的校驗(yàn)值確定CRCFSV1B���。安全相關(guān)的程序變量FSVlB在此對應(yīng)于安全相關(guān)的程序變量FSV1A����。其如下理解 如已結(jié)合圖1所介紹的那樣,針對安全控制裝置10的安全相關(guān)的工作在程序存儲(chǔ)器32中存儲(chǔ)用于第一通道88的第一機(jī)器代碼40和用于第二通道90的第二機(jī)器代碼42���,其中兩個(gè)機(jī)器代碼40���、42分別包括獨(dú)立的安全代碼44、48����。借助兩個(gè)安全代碼44、48中的每個(gè)確定安全相關(guān)的傳感器74的相同安全相關(guān)的控制輸入信號(hào)72和針對相同安全相關(guān)的執(zhí)行器 78確定安全相關(guān)的控制輸出信號(hào)76�。為此,兩個(gè)安全代碼44��、48的每個(gè)都包含自己的程序變量�����,第一安全代碼44包含第一安全相關(guān)的程序變量和第二安全代碼48包含第二安全相關(guān)的程序變量�����。其盡管在此意義上彼此獨(dú)立�,使得第一程序變量和第二程序變量占用在相應(yīng)的存儲(chǔ)器中的獨(dú)立的存儲(chǔ)器區(qū)域。然而����,兩個(gè)安全代碼44、48包含成對對應(yīng)的程序變量��。這樣�,不僅第一安全代碼44而且第二安全代碼48例如分別獲得安全相關(guān)的程序輸入變量, 由相同應(yīng)急關(guān)斷按鍵產(chǎn)生的傳感器信號(hào)的瞬時(shí)值與該程序輸入變量一起被讀入��。相應(yīng)內(nèi)容適用于安全相關(guān)的程序輸出變量和必要時(shí)所需的安全相關(guān)的程序中間變量�。在第一存儲(chǔ)器部分區(qū)域110中現(xiàn)在如下存儲(chǔ)安全相關(guān)的程序變量FSVlA的瞬時(shí)值、寫入計(jì)數(shù)器SZA的值和通過兩個(gè)校驗(yàn)值確定CRCFSV1A和CRCFSV1B所確定的校驗(yàn)值第一存儲(chǔ)器部分區(qū)域具有兩個(gè)存儲(chǔ)器區(qū)域130���、132�。第一程序變量FSVlA的在所限定的第一時(shí)刻存在的瞬時(shí)值FSVlA (η)存儲(chǔ)在第一存儲(chǔ)器單元134中的第一存儲(chǔ)器區(qū)域130中��,這通過箭頭136示出����。所使用的命名在此具有如下意義所附加的括弧表達(dá)(η)指示其涉及瞬時(shí)值。在此在所限定的第一時(shí)刻存在該瞬時(shí)值���,其中該時(shí)刻在作業(yè)循環(huán)η內(nèi)�。作業(yè)循環(huán)在此是安全控制裝置10所需以執(zhí)行應(yīng)用程序一次的持續(xù)時(shí)間,以輸入映射更新開始���、執(zhí)行各控制指令并且以提供輸出映射結(jié)束����。因此���,例如在安全相關(guān)的程序輸入變量和安全相關(guān)的程序輸出變量中作為最小時(shí)間單位適用作業(yè)循環(huán)就足夠����,因?yàn)閷τ谶@些程序變量每個(gè)周期僅進(jìn)行一次改變��。因此��,得到了如下意義小字母η表示所限定的第一時(shí)刻并且因此表示如下作業(yè)循環(huán)�,在該作業(yè)循環(huán)中存在該時(shí)刻。項(xiàng)(η-1)表示更老的時(shí)刻并且因此是在前的作業(yè)循環(huán)之一��。項(xiàng)(η+1)表示較新近的時(shí)刻并且因此表示后續(xù)作業(yè)循環(huán)之一���。寫入計(jì)數(shù)器SZA的在所限定的第一時(shí)刻存在的值SZA(η)同樣存儲(chǔ)在第一存儲(chǔ)器區(qū)域130中���,更確切地說,存儲(chǔ)在第二存儲(chǔ)器單元138中�����,這通過箭頭140示出�。此外,在第一存儲(chǔ)器區(qū)域130中存儲(chǔ)第一校驗(yàn)值0^^3¥認(rèn)(11)�����,第一校驗(yàn)值根據(jù)瞬時(shí)值�?3¥認(rèn)(11)被校驗(yàn)值確定CRCFSV1A的確定,并且存儲(chǔ)第二校驗(yàn)值CRCFSV1B (η)�����,更確切地說����,存儲(chǔ)在第三存儲(chǔ)器單元142中和在第四存儲(chǔ)器單元144中,這通過箭頭146��、148示出�。借助第二校驗(yàn)值確定CRCFSV1B所確定的第二校驗(yàn)值CRCFSVlB(n)在此對應(yīng)于第一校驗(yàn)值CRCFSVlA(n)����。一方面����,第二校驗(yàn)值CRCFSV1B (η)根據(jù)對應(yīng)于第一程序變量FSVlA 的第二程序變量FSVlB的瞬時(shí)值來確定。此外�,第二程序變量FSVlB的瞬時(shí)值在與第一程序變量FSVlA的瞬時(shí)值FSVlA(η)相同的作業(yè)循環(huán)中。優(yōu)選地��,兩個(gè)校驗(yàn)值CRCFSV1A(η)和 CRCFSVlB(n)多樣地確定���。為此�,兩個(gè)校驗(yàn)值確定CRCFSV1A和CRCFSV1B在硬件技術(shù)上和/ 或在軟件技術(shù)上多樣地執(zhí)行�����。在第二存儲(chǔ)器區(qū)域132中對于較老的時(shí)刻和因此對于在前的作業(yè)循環(huán)將第一程序變量FSVlA的瞬時(shí)值FSVlA (η-1)��、寫入計(jì)數(shù)器SZA的值SZA(n-l)���、第一校驗(yàn)值 CRCFSVlA(n-l)和第二校驗(yàn)值CRCFSV1B (n_l)存儲(chǔ)在第五存儲(chǔ)器單元150�����、第六存儲(chǔ)器單元 152�、第七存儲(chǔ)器單元巧4和第八存儲(chǔ)器單元156中,這通過箭頭158�����、160���、162、164示出����。各個(gè)存儲(chǔ)在存儲(chǔ)器區(qū)域132中的值以相應(yīng)的方式來確定,如這針對相應(yīng)的存儲(chǔ)在存儲(chǔ)器區(qū)域 130中的值來描述的那樣���。在存儲(chǔ)器單元134��、138��、142�、150���、152����、154中存儲(chǔ)的值由第一處理器20確定。在存儲(chǔ)器單元144���、156中存儲(chǔ)的值被第二處理器22確定�����。不僅第一程序變量FSVlA的瞬時(shí)值而且兩個(gè)借助校驗(yàn)值確定CRCFSV1A和 CRCFSV1B所確定的校驗(yàn)值交替地存儲(chǔ)在兩個(gè)存儲(chǔ)器區(qū)域130�����、132中��。這兩個(gè)校驗(yàn)值因此重復(fù)地針對后續(xù)的時(shí)刻來確定和存儲(chǔ)���。針對較新近的時(shí)刻并且因此針對后續(xù)的作業(yè)循環(huán),在該時(shí)刻存在的瞬時(shí)值FSVlA(η+1)和兩個(gè)校驗(yàn)值CRCFSVlA(n+l)和CRCFSV1B (η+1)于是存儲(chǔ)在存儲(chǔ)器區(qū)域132的相應(yīng)存儲(chǔ)器單元150����、152、154���、156中��。
數(shù)據(jù)存儲(chǔ)器92具有兩個(gè)存儲(chǔ)器區(qū)域130��、132�,其與安全相關(guān)的程序變量FSVlA關(guān)聯(lián)。如果其他安全相關(guān)的程序變量根據(jù)前面所述的方法存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中�,則其針對程序變量的每個(gè)同樣具有兩個(gè)存儲(chǔ)器區(qū)域。第一處理器20為此可以構(gòu)建為執(zhí)行瞬時(shí)值比較���。借助瞬時(shí)值比較,將在不同時(shí)刻存在的安全相關(guān)的程序變量FSVlA的瞬時(shí)值彼此比較�����。如果通過瞬時(shí)值比較確定兩個(gè)緊緊相繼的時(shí)刻的兩個(gè)瞬時(shí)值彼此不同���,則可以省去較新近的瞬時(shí)值和兩個(gè)較新近的校驗(yàn)值的存儲(chǔ)���。換言之,只有在較新近的瞬時(shí)值與針對緊緊在前的時(shí)刻存在的瞬時(shí)值不同時(shí)才存儲(chǔ)較新近的瞬時(shí)值和兩個(gè)較新近的瞬時(shí)值��。前面介紹例如第一校驗(yàn)值CRCFSVlA(n)根據(jù)瞬時(shí)值FSVlA(η)通過校驗(yàn)值確定 CRCFSV1A來確定�。相應(yīng)地,例如第二校驗(yàn)值CRCFSVlB(n)根據(jù)瞬時(shí)值FSVlB (η)通過校驗(yàn)值確定CRCFSV1B來確定。這可以理解為����,相應(yīng)的校驗(yàn)值單獨(dú)地針對相關(guān)的安全相關(guān)的程序變量的瞬時(shí)值來確定?��?商孢x地��,第一校驗(yàn)值CRCFSVlA(n)也可以針對如下組合來確定���,其從寫入計(jì)數(shù)器SZA的瞬時(shí)值FSVlA(η)和值SZA(η)得到。針對第二校驗(yàn)值CRCFSV1B (η)可相應(yīng)地處理�。前面所描述的將瞬時(shí)值、寫入計(jì)時(shí)器值和校驗(yàn)值在第一存儲(chǔ)器部分區(qū)域中的存儲(chǔ)基于如下設(shè)計(jì)�����。例如只要不存在電壓消失��,則安全控制裝置10于是無干擾地工作��,兩個(gè)安全相關(guān)的程序變量FSVlA和FSVlB在各個(gè)作業(yè)循環(huán)中具有相同的瞬時(shí)值�����。因此,在數(shù)據(jù)存儲(chǔ)器92中僅存儲(chǔ)安全相關(guān)的程序變量FSVlA的瞬時(shí)值就足夠了���。兩個(gè)寫入計(jì)數(shù)器SZA和 SZB在一個(gè)作業(yè)循環(huán)內(nèi)同樣具有相同的值����。借助兩個(gè)針對兩個(gè)通道88��、90單獨(dú)確定的校驗(yàn)值中現(xiàn)在可以檢驗(yàn)最后存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中的瞬時(shí)值FSVlA(η)有效與否�����。在此例如在電壓消失之后所需的重新起動(dòng)的情況下瞬時(shí)值FSVlA (η)和第一校驗(yàn)值CRCFSVlA(n)輸送給第一處理器20�����。同樣將瞬時(shí)值FSVlA (η)而第二校驗(yàn)值CRCFSV1B (η)輸送給第二處理器22���。如果安全控制裝置10在如下時(shí)間窗中無干擾地工作,在該時(shí)間窗中確定兩個(gè)校驗(yàn)值CRCFSVlA(n) 和CRCFSVlB(n)并且不僅瞬時(shí)值FSVlA(η)而且兩個(gè)校驗(yàn)值存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中����,則得到了對第一當(dāng)前校驗(yàn)值CRCFSVlA(n+l)和當(dāng)前第二校驗(yàn)值CRCFSV1B (n+1)的再次確定,使得不僅所存儲(chǔ)的第一校驗(yàn)值CRCFSVlA(n)和當(dāng)前第一校驗(yàn)值CRCFSVlA(n+l)相同以及所存儲(chǔ)的第二校驗(yàn)值CRCFSVlB(n)和當(dāng)前第二校驗(yàn)值CRCFSV1B(n+1)相同���。在該情況下�,所存儲(chǔ)的瞬時(shí)值FSVlA(η)是有效的并且可以用于初始化安全控制裝置10。其在兩個(gè)通道88����、90中被處理。而如果確定所存儲(chǔ)的第一校驗(yàn)值CRCFSVlA(n)以及當(dāng)前第一校驗(yàn)值CRCFSVlA(n+l)并不相同或所存儲(chǔ)的第二校驗(yàn)值CRCFSV1B(η)和當(dāng)前第二校驗(yàn)值 CRCFSVlB(n+l)并不相同����,則所存儲(chǔ)的瞬時(shí)值FSVlA(η)無效并且因此不能用于初始化安全控制裝置10。在該情況下�����,代替這使用在前所存儲(chǔ)的瞬時(shí)值FSVlA (η-1)用于初始化���。優(yōu)選地�����,瞬時(shí)值在其用于初始化之前首先同樣受到有效性檢驗(yàn)�����。因此�,安全控制裝置10和設(shè)備 12又可以起動(dòng),在為此會(huì)需要將默認(rèn)值用于第一安全相關(guān)的程序變量FSVlA或執(zhí)行參考運(yùn)行(Referenzfahrt)���。在前面所述的有效性檢驗(yàn)的情況下�����,首先借助寫入計(jì)數(shù)器SZA的值SZA(η)和 SZA(η-1)確定��,存儲(chǔ)在第一存儲(chǔ)器單元134和第五存儲(chǔ)器單元150中的兩個(gè)瞬時(shí)值中的哪個(gè)較新近�。較新近的瞬時(shí)值首先在有效性檢驗(yàn)時(shí)被校驗(yàn)����。
數(shù)據(jù)存儲(chǔ)器92具有第二存儲(chǔ)器部分區(qū)域112,其設(shè)置用于存儲(chǔ)非安全相關(guān)的程序變量����,其中非安全相關(guān)的程序變量在第一通道88中被處理。用參考數(shù)字166表示在第一通道88中對多個(gè)非安全相關(guān)的程序變量進(jìn)行的處理����。 在第一通道88中處理的第一非安全相關(guān)的程序變量是用參考數(shù)字168表示的安全相關(guān)的程序變量STV1A��。在此��,ST代表“標(biāo)準(zhǔn)”并且因此指示其是非安全相關(guān)的程序變量。名稱 Vl和字母A的意義可以從對用參考數(shù)字114表示的處理的說明中得到�����。參考數(shù)字170表示在第一通道88中執(zhí)行的用于非安全相關(guān)的程序變量STVlA的校驗(yàn)值確定CRCSTV1A�����。在第二存儲(chǔ)器區(qū)域112中��,現(xiàn)在非安全相關(guān)的程序變量STVlA的瞬時(shí)值��、寫入計(jì)數(shù)器SZA的值和借助校驗(yàn)值確定CRCSTV1A所確定的校驗(yàn)值如下被存儲(chǔ)第二存儲(chǔ)器部分區(qū)域 112具有兩個(gè)存儲(chǔ)器區(qū)域172����、174。在所限定的第一時(shí)刻存在的第一非安全相關(guān)的程序變量STVlA的瞬時(shí)值STVlA (η)存儲(chǔ)在第九存儲(chǔ)器單元176中的第三存儲(chǔ)器區(qū)域172中�,這通過箭頭178示出。在所限定的第一時(shí)刻存在的寫入計(jì)數(shù)器SZA的值SZA(η)同樣存儲(chǔ)在第十存儲(chǔ)器單元180中�,這通過箭頭182示出。此外��,存儲(chǔ)校驗(yàn)值CRCSTV1A (η)����,其根據(jù)瞬時(shí)值 STVlA(η)由校驗(yàn)值確定CRCSTV1A所確定��,更確切地說存儲(chǔ)在第i^一存儲(chǔ)器單元184中��,這通過箭頭86示出���。在第四存儲(chǔ)器區(qū)域174中針對較老的時(shí)刻并且因此針對在前的作業(yè)循環(huán)存儲(chǔ)有非安全相關(guān)的程序變量STVlA的瞬時(shí)值STVlA(n-1)、寫入計(jì)數(shù)器SZA的值SZA(n_l) 和第十二存儲(chǔ)器單元188����、第十三存儲(chǔ)器單元190和第十四存儲(chǔ)器單元192的校驗(yàn)值 CRCSTV1A (n-1),這通過箭頭194��、196��、198示出�。各個(gè)在第四存儲(chǔ)器區(qū)域1174中存儲(chǔ)的值相應(yīng)地確定,如這針對相應(yīng)的存儲(chǔ)在第三存儲(chǔ)器區(qū)域172中的值所描述的那樣����。在存儲(chǔ)器單元176、180��、184��、188����、190、192中存儲(chǔ)的值由第一處理器20來確定�����。不僅非安全相關(guān)的程序變量STVlA的瞬時(shí)值以及借助校驗(yàn)值確定CRCSTV1A所確定的校驗(yàn)值交替地存儲(chǔ)在兩個(gè)存儲(chǔ)器區(qū)域172�、174中。針對較新近的時(shí)刻和因此針對后續(xù)的作業(yè)循環(huán)于是將在該時(shí)刻存在的瞬時(shí)值STVlA (n+1)和校驗(yàn)值CRCSTVlA(n+l)于是存儲(chǔ)在第四存儲(chǔ)器區(qū)域174的相應(yīng)存儲(chǔ)器單元188����、190、192中�。數(shù)據(jù)存儲(chǔ)器92具有兩個(gè)存儲(chǔ)器區(qū)域172、174�,其與非安全相關(guān)的程序變量STVlA 關(guān)聯(lián)。如果其他非安全相關(guān)的程序變量根據(jù)前面所描述的方法存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中��,則其針對程序變量的每個(gè)同樣具有兩個(gè)存儲(chǔ)器區(qū)域�。對非安全相關(guān)的程序變量的存儲(chǔ)也可以通過考慮瞬時(shí)值比較來進(jìn)行。同樣����,寫入計(jì)數(shù)器SZA的值在確定校驗(yàn)值時(shí)被考慮。最后所存儲(chǔ)的瞬時(shí)值STVlA(η)的有效性校驗(yàn)相應(yīng)地進(jìn)行,如其前面針對安全相關(guān)的程序變量所描述的����。相應(yīng)地,也可以針對非安全相關(guān)的程序變量STVlA檢驗(yàn)最后在數(shù)據(jù)存儲(chǔ)器92中存儲(chǔ)的瞬時(shí)值STVlA(η)有效與否���。為此�����,例如在安全控制裝置10重新起動(dòng)時(shí)為第一處理器20輸送瞬時(shí)值STVlA(η) 和校驗(yàn)值CRCSTVlA(n)�����。如果安全控制裝置10在如下時(shí)間窗中無故障地工作���,在該時(shí)間窗中校驗(yàn)值CRCSTVlA(n)被確定并且不僅瞬時(shí)值STVlA (η)而且校驗(yàn)值CRCSTV1A (η)存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中,則得到對當(dāng)前校驗(yàn)值CRCSTVlA(n+l)的再次確定����,使得所存儲(chǔ)的校驗(yàn)值 CRCSTVlA(n)以及當(dāng)前的校驗(yàn)值CRCSTV1A(n+1)是相同的。在此情況下���,所存儲(chǔ)的瞬時(shí)值 STVlA(η)有效并且可以用于初始化安全控制裝置10����。該瞬時(shí)值在第一通道88中被處理。而如果確定所存儲(chǔ)的校驗(yàn)值CRCSTVlA(n)和當(dāng)前校驗(yàn)值CRCSTV1A(n+1)不相同�,則所存儲(chǔ)的瞬時(shí)值STVlA無效并且因此不能用于初始化安全控制裝置10�。在此情況下,代替這而使用在前所存儲(chǔ)的瞬時(shí)值STVlA(n-1)來初始化�����。優(yōu)選地�,瞬時(shí)值在其用于初始化之前首先同樣經(jīng)受有效性檢驗(yàn)。因此�,安全控制裝置10和設(shè)備12又可以起動(dòng),而為此不需要使用非安全相關(guān)的程序變量STVlA的默認(rèn)值或不需執(zhí)行導(dǎo)航�。在前面所描述的有效性檢驗(yàn)的情況下,首先借助寫入計(jì)數(shù)器SZA的值SZA(η)和 SZA (n-1)確定存儲(chǔ)在第九存儲(chǔ)器單元176和第十二存儲(chǔ)器單元188中的兩個(gè)瞬時(shí)值中的哪個(gè)較新近�����。較新近的瞬時(shí)值首先在有效性檢驗(yàn)時(shí)被校驗(yàn)����。借助第一處理器20處理的程序變量概括而言稱作第一程序變量,而借助第二處理器22處理的程序變量概括而言稱作第二程序變量����。在圖3中示出了數(shù)據(jù)存儲(chǔ)器92�,在該數(shù)據(jù)存儲(chǔ)器中根據(jù)第二實(shí)施形式存儲(chǔ)有不同的值�。用參考數(shù)字114’表示在第一通道88中對多個(gè)第一安全相關(guān)的程序變量進(jìn)行的處理,該處理與處理114不同在于����,未考慮寫入計(jì)數(shù)器SZA。相應(yīng)地���,參考數(shù)字122’表示在第二通道90中對第二安全相關(guān)的程序變量進(jìn)行的處理�,而參考數(shù)字166’表示在第一通道88 中對非安全相關(guān)的程序變量進(jìn)行的處理��。在第五存儲(chǔ)器區(qū)域200中���,第一程序變量FSVlA的瞬時(shí)值FSVlA (η)���、第一校驗(yàn)值 CRCFSVlA(n)和第二校驗(yàn)值CRCFSV1B (η)存儲(chǔ)在第十五存儲(chǔ)器單元202、第十六存儲(chǔ)器單元 204和第十七存儲(chǔ)器單元206中�����,這通過箭頭208�����、210、212表示�����。在第六存儲(chǔ)器區(qū)域214 中��,非安全相關(guān)的程序變量STVlA的瞬時(shí)值STVlA (η)和校驗(yàn)值CRCSTV1A (η)存儲(chǔ)在第十八存儲(chǔ)器單元216和第十九存儲(chǔ)器單元218中�,這通過箭頭220����、222表示。在存儲(chǔ)器單元202����、204、216�����、218中存儲(chǔ)的值由第一處理器20確定�����。在存儲(chǔ)器單元206中存儲(chǔ)的值由第二處理器220確定。所存儲(chǔ)的各個(gè)值根據(jù)圖2的實(shí)施來確定���。如果其他安全相關(guān)的程序變量要存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器92中�����,則該數(shù)據(jù)存儲(chǔ)器具有相應(yīng)較大數(shù)目的第五存儲(chǔ)器區(qū)域200���。相應(yīng)內(nèi)容適用于非安全相關(guān)的程序變量和第六存儲(chǔ)器區(qū)域214。同樣����,對非安全相關(guān)的程序變量和安全相關(guān)的程序變量的存儲(chǔ)可以在考慮到瞬時(shí)值比較的情況下進(jìn)行。所存儲(chǔ)的瞬時(shí)值FSVlA (η)和STVlA (η)的有效性檢驗(yàn)與結(jié)合圖2所描述相同地進(jìn)行�。當(dāng)然具有以下不同如果確定例如瞬時(shí)值FSVlA(η)無效,則在數(shù)據(jù)存儲(chǔ)器92中沒有存儲(chǔ)第一安全相關(guān)的程序變量FSVlA的其他瞬時(shí)值��,該瞬時(shí)值可以代替瞬時(shí)值FSVlA (η)而被使用��。在該情況下��,安全控制裝置10必須以第一安全相關(guān)的程序變量FSVlA的默認(rèn)值來初始化��,或必須借助設(shè)備12進(jìn)行參考運(yùn)行��。相應(yīng)內(nèi)容適用于非安全相關(guān)的程序變量STV1A。然而借助圖3所描述的存儲(chǔ)器方案相對于借助圖2所描述的存儲(chǔ)器方案相比具有如下優(yōu)點(diǎn)數(shù)據(jù)存儲(chǔ)器92可以設(shè)計(jì)得較小并且因此成本更為低廉��。在本申請中顯然并未針對存儲(chǔ)非安全相關(guān)的數(shù)據(jù)時(shí)所應(yīng)用的存儲(chǔ)器方案予以保護(hù)����。保留表達(dá)和追究涉及存儲(chǔ)器方案的保護(hù)訴求。
權(quán)利要求
1.一種安全控制裝置����,其用于根據(jù)在該安全控制裝置中運(yùn)行的應(yīng)用程序(34)控制自動(dòng)化設(shè)備(12),其中該設(shè)備(1 包括多個(gè)傳感器(16)和多個(gè)執(zhí)行器(14)�,其中應(yīng)用程序 (34)包括用于控制執(zhí)行器(14)的多個(gè)控制指令(44���,46���,48),該安全控制裝置具有第一處理器(20)���,其構(gòu)建為����,通過處理多個(gè)第一程序變量執(zhí)行所述控制指令04) 的至少一部分�����,其中第一處理器00)進(jìn)一步構(gòu)建為,針對第一程序變量(FSVlA)的至少一個(gè)�、根據(jù)針對該第一程序變量(FSVlA)在所限定的第一時(shí)刻存在的瞬時(shí)值(FSVlA(n)來確定第一校驗(yàn)值(CRCFSVlA(n)),具有第二處理器(22)�,其構(gòu)建為,通過處理多個(gè)第二程序變量執(zhí)行所述控制指令08) 中的至少一部分����,其中第二處理器02)進(jìn)一步構(gòu)建為,確定與第一校驗(yàn)值(CRCFSVlA(n)) 對應(yīng)的第二校驗(yàn)值(CRCFSVlB(n))��,具有數(shù)據(jù)存儲(chǔ)器(92)�,其構(gòu)建為存儲(chǔ)瞬時(shí)值(FSVlA(n))、第一校驗(yàn)值(CRCFSV1A (n)) 和第二校驗(yàn)值(CRCFSVlB(n))��。
2.根據(jù)權(quán)利要求1所述的安全控制裝置����,其特征在于,第二處理器02)進(jìn)一步構(gòu)建為�, 根據(jù)第二程序變量(FSVlB)之一的瞬時(shí)值(FSVlB(n))確定第二校驗(yàn)值(CRCFSV1B(n)),其中第二程序變量(FSVlB)對應(yīng)于第一程序變量(FSVlA)���。
3.根據(jù)權(quán)利要求2所述的安全控制裝置��,其特征在于��,第一程序變量(FSVlA)的瞬時(shí)值(FSVlA(n))和第二程序變量(FSVlB)的瞬時(shí)值(FSVlB(n))存在于相同的作業(yè)循環(huán)(η) 中�。
4.根據(jù)上述權(quán)利要求之一所述的安全控制裝置,其特征在于���,安全控制裝置(10)構(gòu)建為多樣地確定兩個(gè)校驗(yàn)值(CRCFSVlA(n)���,CRCFSV1B (n))。
5.根據(jù)上述權(quán)利要求之一所述的安全控制裝置���,其特征在于�����,數(shù)據(jù)存儲(chǔ)器(92)構(gòu)建為非易失性數(shù)據(jù)存儲(chǔ)器。
6.根據(jù)上述權(quán)利要求之一所述的安全控制裝置����,其特征在于,安全控制裝置(10)構(gòu)建為在相繼的時(shí)刻重復(fù)確定兩個(gè)校驗(yàn)值(CRCFSVlA(n)����,CRCFSV1B (n))���。
7.根據(jù)上述權(quán)利要求之一所述的安全控制裝置,其特征在于�,第一處理器OO)進(jìn)一步構(gòu)建為執(zhí)行瞬時(shí)值比較。
8.根據(jù)上述權(quán)利要求之一所述的安全控制裝置���,其特征在于����,安全控制裝置(10)構(gòu)建為在重新起動(dòng)時(shí)執(zhí)行瞬時(shí)值(FSVlA(n))的有效性檢驗(yàn)�����,其中安全控制裝置(10)進(jìn)一步構(gòu)建為借助第一處理器OO)以第一校驗(yàn)值(CRCFSVlA(n))核實(shí)瞬時(shí)值(FSVlA(n))并且借助第二處理器02)以第二校驗(yàn)值(CRCFSVlB(n))核實(shí)瞬時(shí)值(FSVlA(n))�。
9.根據(jù)上述權(quán)利要求之一所述的安全控制裝置,其特征在于����,數(shù)據(jù)存儲(chǔ)器(9 具有兩個(gè)與第一程序變量(116)關(guān)聯(lián)的存儲(chǔ)器區(qū)域(130,132)�����。
10.根據(jù)權(quán)利要求9所述的安全控制裝置,安全控制裝置(10)構(gòu)建為將瞬時(shí)值 (FSVlA(n))和兩個(gè)校驗(yàn)值(CRCFSVlA(n)���,CRCFSVlB(n))交替地存儲(chǔ)到兩個(gè)存儲(chǔ)器區(qū)域 (130,132)中�。
11.根據(jù)上述權(quán)利要求之一所述的安全控制裝置����,其特征在于,兩個(gè)處理器O0����,22)中的至少第一個(gè)構(gòu)建為確定寫入計(jì)數(shù)器(SZA,SZB)的值(SZA (η)���,SZB (n))����。
12.根據(jù)權(quán)利要求11所述的安全控制裝置���,其特征在于�����,第一處理器OO)進(jìn)一步構(gòu)建為,根據(jù)瞬時(shí)值(FSVlA(n))和寫入計(jì)數(shù)器(SZA)的值(SZA(η))確定第一校驗(yàn)值(CRCFSVlA(n))。
13.根據(jù)上述權(quán)利要求之一所述的安全控制裝置���,其特征在于����,第一程序變量和第二程序變量分別是安全相關(guān)的程序變量����。
14.一種用于控制自動(dòng)化設(shè)備(1 的方法,其中該設(shè)備(1 包括多個(gè)傳感器(16)和多個(gè)執(zhí)行器(14)�����,該方法包括如下步驟-處理多個(gè)第一程序變量��,-根據(jù)針對所述第一程序變量(FSVlA)在所限定的第一時(shí)刻存在的瞬時(shí)值 (FSVlA(n))�����、針對第一程序變量(FSVlA)中的至少一個(gè)確定第一校驗(yàn)值(CRCFSV1A (n))�,-處理多個(gè)第二程序變量,-確定與第一校驗(yàn)值(CRCFSVlA(n))相關(guān)的第二校驗(yàn)值(CRCFSV1B (n))���,-將瞬時(shí)值(FSVlA(n))��、第一校驗(yàn)值(CRCFSVlA(n))和第二校驗(yàn)值(CRCFSV1B(n))存儲(chǔ)在數(shù)據(jù)存儲(chǔ)器(9 中�����。
15.一種計(jì)算機(jī)程序產(chǎn)品���,其具有帶程序代碼的數(shù)據(jù)載體�,其構(gòu)建為�,在程序代碼在根據(jù)權(quán)利要求1至13之一所述的安全控制裝置(10)上運(yùn)行時(shí)執(zhí)行根據(jù)權(quán)利要求14的方法。
全文摘要
本發(fā)明涉及一種安全控制裝置����,其用于根據(jù)在該安全控制裝置中運(yùn)行的應(yīng)用程序(34)控制自動(dòng)化設(shè)備(12),其中該設(shè)備(12)包括多個(gè)傳感器(16)和多個(gè)執(zhí)行器(14)�����,其中應(yīng)用程序(34)包括用于控制執(zhí)行器(14)的多個(gè)控制指令(44���,46�����,48)�����,該安全控制裝置具有第一處理器(20)���,其構(gòu)建為,通過處理多個(gè)第一程序變量執(zhí)行所述控制指令(44)的至少一部分�,其中第一處理器(20)進(jìn)一步構(gòu)建為,針對第一程序變量(FSV1A)的至少一個(gè)根據(jù)針對該第一程序變量(FSV1A)在所限定的第一時(shí)刻存在的瞬時(shí)值(FSV1A(n))確定第一校驗(yàn)值(CRCFSV1A(n))���;第二處理器(22)�����,其構(gòu)建為���,通過處理多個(gè)第二程序變量執(zhí)行所述控制指令(48)中的至少一部分,其中第二處理器(22)進(jìn)一步構(gòu)建為��,確定與第一校驗(yàn)值(CRCFSV1A(n))對應(yīng)的第二校驗(yàn)值(CRCFSV1B(n))�����;數(shù)據(jù)存儲(chǔ)器(92)����,其構(gòu)建為存儲(chǔ)瞬時(shí)值(FSV1A(n))���、第一校驗(yàn)值(CRCFSV1A(n))和第二校驗(yàn)值(CRCFSV1B(n))。此外�����,本發(fā)明涉及一種相應(yīng)的方法以及一種相應(yīng)的計(jì)算機(jī)程序產(chǎn)品�。
文檔編號(hào)G05B19/05GK102460316SQ201080027532
公開日2012年5月16日 申請日期2010年4月20日 優(yōu)先權(quán)日2009年4月20日
發(fā)明者彼得·莫斯曼 申請人:皮爾茨公司