用于安全关键的应用的设备和方法技术

技术编号:11267186 阅读:84 留言:0更新日期:2015-04-08 13:12
在用于机器环境中的安全关键的应用的能编程的控制装置中需要的是,安全重要的程序组件的功能不受其他程序组件的错误或流程所影响。为了对应用程序进行流程控制可以考虑不同的标准,例如可以基于运行时间系统与操作系统相联系地进行流程控制。本发明专利技术涉及用于基于运行时间系统结构并行地或独立地运行正常的和安全的程序的设备和方法,其中提出,所有对于控制装置重要的部件集成在具有特定硬件架构300的硬件组件30上并且借助于用于两个运行时间系统的构成为至少双重的运行时间系统结构33、34、301相互分开,以便能够在安全不重要的组件上自由地进行改变。分开特别是可以通过使所述运行时间系统之一优先化来进行。利用这样的运行时间系统结构301或硬件架构300无需事后认证能自由编程的控制装置,并且即使在安全不重要的部件上进行改变时,安全关键的部件的认证也继续保持有效。

【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】在用于机器环境中的安全关键的应用的能编程的控制装置中需要的是,安全重要的程序组件的功能不受其他程序组件的错误或流程所影响。为了对应用程序进行流程控制可以考虑不同的标准,例如可以基于运行时间系统与操作系统相联系地进行流程控制。本专利技术涉及用于基于运行时间系统结构并行地或独立地运行正常的和安全的程序的设备和方法,其中提出,所有对于控制装置重要的部件集成在具有特定硬件架构300的硬件组件30上并且借助于用于两个运行时间系统的构成为至少双重的运行时间系统结构33、34、301相互分开,以便能够在安全不重要的组件上自由地进行改变。分开特别是可以通过使所述运行时间系统之一优先化来进行。利用这样的运行时间系统结构301或硬件架构300无需事后认证能自由编程的控制装置,并且即使在安全不重要的部件上进行改变时,安全关键的部件的认证也继续保持有效。【专利说明】
本专利技术涉及一种在特别是机器环境中的安全关键的应用中并行地且独立地运行 正常的程序和安全的程序的设备和方法。
技术介绍
在能自由编程的电子控制装置的范围内通常通过配置多功能的输入端和输出端 来适配控制装置,例如用于使用在移动做功机械中并且特别在用户特定的应由这种机器满 足的任务方面。为此,特定的应用程序(AWP)由做功机械的制造者以编程系统为基础建立, 这例如包括程序建立、程序测试、程序编译和/或将程序上传到控制装置中。在此,在控制 装置方面在很多情况下实施有运行时间系统(LZS),在该运行时间系统的环境中可以启动 或运行利用编程系统产生的并且载入控制装置中的AWP。LZS调节计算机和控制系统之间 的通讯。 为了满足安全要求,在AWP可以功能安全地分级并且允许在相应的应用中使用在 做功机械内之前,必须认证AWP。如果需要在AWP上的程序技术的改变,例如因为应在顺序 或持续时间或速度方面改变要实施的工作,那么在成功地进行程序技术的改变之后通常需 要重新认证,即使在微小的改变时也需要重新认证。这导致,即使已知按照何种方式将能够 达到改进,也不是一直都改进工作流程或作用原理。要求AWP越安全,则对于机器的操作者 和制造者来说越困难的是,到底进行何种改变而不一样地需要新的认证。特别是当确定的 控制装置原则上适合于大量不同的应用并且不完全利用它们的功能,这种状况是不利的。 因此,在这种能自由编程的控制装置中存在双重软件应用的需求,所述软件应用 可以并行地或独立地相互运行,即使它们控制必须满足不同安全要求的流程时,这些软件 应用也不相互影响。在此,特别是必须能够在单通道硬件上交换输入信息和/或输入信息, 该单通道硬件在确定的安全状态方面认证过。 公开文献DE10 2006 037 153Al示出一种用于信号技术上安全地控制和监控车 辆的方法,其中,应用软件在相对较安全的第一计算机上执行以用于处理传感器数据,并且 第一计算机由较不安全的第二计算机卸负荷,在该第二计算机上可以处理这样的传感器数 据,所述传感器数据能用于不安全的目的,并且两个计算机通过接口和用于系统诊断的软 件相互通讯。 公开文献DE10 2009 011 679Al示出一种用于建立安全控制用的应用程序的方 法和设备,其中,分成具有对安全要求不同的至少两个程序部分。基于反复指派的瞬时值、 对于瞬时值的指派条件和以转换指令形式的配属(Zuordnung),进行在第一程序部分中的 较不安全的变量和第二程序部分中的较安全的变量之间的相互作用,以便实现将安全不重 要的程序变量转换成安全重要的程序变量,由此,不再需要构成为错误安全的传感器以用 于提供瞬时值。在这种方法中,安全的程序代码能够与较不安全的程序代码分开,以便能让 应用程序对较安全的功能支持地在微处理器上运行。 公开文献DE10 2009 019 087Al示出一种安全控制装置和一种用于控制自动化 设备的方法,其中,可以针对程序变量求出检验值,特别是基于表征程序变量的瞬时值。在 此可以设有具有两个用于各一个程序变量类型的独立的处理器的冗余控制装置,其中,进 行结果比较、特别是瞬时值比较,以便可以在瞬时安全状况方面实施安全控制装置的初始 化。 公开文献DE10 2009 019 089Al示出一种用于建立安全控制用的应用程序的方 法和设备,其中,源代码利用控制和诊断指令建立,并且基于源代码而产生机器代码,以便 与诊断指令无关地求出用于机器代码的一部分的校验和。在此,安全控制基于根据确定的 安全代码求出这个校验和的确定的方式和方法。由上面提到的文献得知,当要求较高安全 标准的应用与较不安全的应用分开运行时,在安全控制中确保安全关键的程序组件的流程 的相关性。 此外,在DE10 2005 007 477Al中示出已知基于利用操作系统运行的PC的机器 控制器,其中,除了标准控制装置之外还设有安全控制装置,并且安全重要的功能与安全不 重要的功能的分开可以通过模块化地分布到机器控制器内部的至少一个安全模块中进行, 特别是通过硬件层面上的分开,其中,安全重要的功能仅仅在安全模块中运行,并且能实现 分开地认证安全重要的结构组件。在此规定,通过不安全的部分形成向外的接口。安全模 块可以构造为通过PCI-接口与标准控制装置通讯的PC-插件模块。 在DE102 12 151B4中示出用于安全关键的应用的方法,其中,两个不同处理环 境中的数据分别在使用安全时间间隔的情况下进行译解,从而经译解的数据可以借助于存 在的冗余信息而时间多样地或者也数据多样地输出并且降低缺失风险。 在10 2005 009 795Al中示出一种用于以能安全认证的应用进行机器控制的微 处理器系统,其中,除了主处理器之外也使用至少一个具有自身程序/数据存储器的安全 处理器,其中,两个处理器利用同一通讯总线。程序数据可以写入到安全处理器的程序存储 器中,而主处理器不能存取这些数据,其方式特别是,利用由普通总线和具有状态机器的邮 箱构成的安全的传输路段,以用于将数据载入到安全处理器中。 在DE10 2006 001 805Al中示出用于在错误情况下多通道地控制安全技术装置 的安全设备,借助于该安全设备可以在安全状态下运行安全技术装置,其中,两个控制装置 通过输入级相互连接,其进行信号调制。 在DE10 2009 047 025B3中为此示出一种实时运行时间系统和一种功能模块, 其中,在确定的状态过渡中(特别在检验运行和实时运行之间)可以进行功能模块的注册 和注销。 在DE10 2010 038 484Al中示出一种用于控制在其中可以进行错误监控的设备 的装置的方法。 已知的现有技术因此普遍涉及能存储编程的控制装置,所述控制装置具有在各 个计算机、程序部分或控制装置方面分开的架构或者能实现功能模块暂时脱耦,并且所述 控制装置适用于必须符合一定安全要求的应用。在这样的架构中,正常的运行时间系统 (LZS)可以集成在硬件上,该正常的运行时间系统能够使应用程序(AWP)启动并且运行,其 中,LZS将数据由物理输入端和总线系统读入并且将这些数据提供给AWP以用于处理,并且 其中,通过LZS启动AWP的周期并且将输入数据和可能储存本文档来自技高网...
<a href="http://www.xjishu.com/zhuanli/55/201380040580.html" title="用于安全关键的应用的设备和方法原文来自X技术">用于安全关键的应用的设备和方法</a>

【技术保护点】
用于特别是机器环境中的安全关键的应用的设备(1),该设备构成为用于基于运行时间系统(33、34)对应用程序(31、32)进行流程控制,该设备具有:‑硬件组件(30),所述运行时间系统(33、34)集成到该硬件组件中;‑中央处理器(10),其具有带有监控模块(11)和/或保护模块(14)的微控制器(101)以及第一存储模块(12)和第二存储模块(13);和‑存储器件(20),其与所述中央处理器(10)连接,其特征在于,所述运行时间系统(33、34)是运行时间系统结构(301)的组成部分,该运行时间系统结构构成为至少双重的并且基于第一运行时间系统(33)和第二运行时间系统(34),其中,所述第一运行时间系统(33)构造为安全的运行时间系统并且所述第二运行时间系统(34)构造为正常的运行时间系统。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:A·霍勒HD·凯泽W·普菲斯特J·利韦HJ·埃梅林
申请(专利权)人:盈德克勒电控有限公司
类型:发明
国别省市:德国;DE

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1