用于对故障安全的存储器可编程的控制装置的应用程序进行验证的方法和存储器可编程的控制装置(SPS),其中在创建应用程序的过程中通过程序部件或完整的应用程序生成签名(期望值),其中该签名的副本分别存储在存储器可编程的控制装置上和外部部件中。在安全相关的应用程序的程序启动之前,一方面将在存储器可编程的控制装置方面所存储的副本传送给外部部件并且与那里存在的副本比较。在另一比较中,通过存储器可编程的控制装置的工作存储器的内容通过实际被加载的应用程序生成签名(实际值)并且随后将其与局部存在的签名的期望值的副本比较。当两个比较得到肯定结果时,才释放实际应用个程序的启动。
【技术实现步骤摘要】
验证控制装置的应用程序的方法和执行该方法的控制装置
本专利技术涉及一种用于对故障安全的可编程逻辑控制器的应用程序进行验证的方法,其中由多个程序部件构成的应用程序从加载存储器传输至工作存储器中,以及一种可编程逻辑控制器。
技术介绍
可编程逻辑控制器使用在自动化技术的所有领域中。在其中可编程逻辑控制器失灵会导致严重后果(例如机器和设备的损坏或者甚至人员伤害)的应用情况下,对工作安全性提出了提高的要求。在这样的场景中使用的可编程逻辑控制器为此设置了如下措施,其使故障保险性或工作安全性提高,例如通过冗余设计、更好的故障识别等来实现。这样的可编程逻辑控制器也称作“安全相关”、“故障安全”、“故障保险”等等。所需的功能安全性的规范也记录在众多标准中,例如在欧洲标准EN61508中。例如对应用者而言必须能够可靠地对于故障安全的“安全相关的”可编程逻辑控制器来检查是否有正确的安全程序被加载到控制装置中,即必须能够校验:加载在可编程的控制装置的工作存储器中的应用程序是针对具体任务设计的应用程序,而非例如其他应用程序或具有错误的输出状态(版本)的应用程序。在此,又必须保证,不仅“正确的”应用程序加载到工作存储器中而且该应用程序也被处理,而并非例如以前处理过的其他应用程序的程序或者程序部件(功能部件)被加载和处理。于是会发生:执行完整的“错误”或陈旧的应用程序,或者来自以前处理过的应用程序的仅仅一个单独的功能部件保留,其于是无意地被处理。同样,会发生:单个的功能部件被删除或损坏,使得存在的应用程序不完整或不能用。为了排除这样的错误,在“加载”故障安全的可编程逻辑控制器的情况下,各种操作方法是常见的。这样,一方面保证了,加载存储器(即例如可编程逻辑控制器的存储器卡、硬盘或其他大容量存储器)包含“正确的”应用程序并且因此包含“正确的”功能部件或程序部件,其方式是在可编程逻辑控制器方面确定在加载存储器中的应用程序或程序部件或功能部件的程序标识。这意味着:例如函数名称和相应的输出状态(版本)和必要时在加载存储器中的“例程”顺序(排列)确定为程序标识。这些信息被传输给外部部件、通常传输给创建系统(“工程系统”)并且在那里与在应用程序创建时被确定和存储的期望值比较。在比较为肯定的情况下,确认消息可以由外部部件发送给可编程逻辑控制器,由此最后启动应用程序的处理。通过该操作方法保证了在加载存储器中存在正确的应用程序连带所有其相关的功能部件和程序部件,更确切地说处于正确的顺序和正确的输出状态(版本)。由于还会出现:在加载因此确定的应用程序之后在可编程逻辑控制器的工作存储器中还存在其他应用程序的部分(片段)并且因此会获得执行,所以必须遵守所谓的加载规定,即必须采取如下措施:其保证在加载“正确的”应用程序之前清除工作存储器上的程序片段等。这例如可以表示:进行可编程逻辑控制器的“复位”,使得整个工作存储器写满标准值(例如在每个存储单元中的逻辑“0”或逻辑“1”)等等。尤其是前述的加载规定的遵守在实践中越来越成问题,因为加载规定在所使用的不同的可编程逻辑控制器(“目标系统”,“目标”)的情况下部分彼此差异相当大。这意味着:例如具有专有硬件的、简单的、可编程逻辑控制器(该硬件作为加载存储器具有仅仅一个存储卡和仅仅一个相关的工作存储器)以其他加载规定加载和启动,例如基于PC的系统,其中在实时操作系统中的可编程逻辑控制器与面向窗口的操作系统(例如MicrosoftWindows)并行工作。虽然在遵守相应有效的加载规定的情况下保证了:“正确的”应用程序实际上被加载在工作存储器中并且此外没有其他程序部分等等在工作存储器中存在,但由于针对不同系统有不同加载规定所以会容易出现如下故障,其未被识别或通常仅能困难地识别并且导致同样并不一定达到适当的状态。另一缺点在于:除了必须知悉加载规定以及遵守其之外也需要准确知悉或分析相应的可编程逻辑控制器及其存储器结构。
技术实现思路
于是,本专利技术的任务是简化在安全相关的可编程逻辑控制器中的加载过程。本专利技术的另一任务是识别可编程逻辑控制器的工作存储器的有故障的内容,该内容例如由加载程序(加载规定)的有错误的执行而造成。在此,本专利技术的中心思想是:对在存储器中存在的应用程序就其与所期望的状态的一致性方面不进行校验或不仅仅进行校验,而是对加载过程之后工作存储器的内容在与所希望的状态(期望值)的一致性方面进行校验,使得由于不遵守或由于在应用加载规定时的错误形成的不希望的状态也被可靠地识别。本专利技术的另一构思是,该校验并且因此在实际值与期望值之间的比较借助相关的可编程逻辑控制器本身来进行。任务的解决方案尤其是设计了根据本专利技术的实施例所述的方法和根据本专利技术的实施例所述的可编程逻辑控制器。借助所述方法和这种可编程逻辑控制器(SPS)可以保证,在工作存储器(AS)中存在正确而完整的应用程序,其中保证了没有其他功能部件或程序片段无意地存在于工作存储器(AS)中并且可以实现处理。借助该方法保证了成功应用对于具体存在的架构所需的加载规定。在此,设计的是用于对安全相关的可编程逻辑控制器的应用程序进行验证的方法,其中由多个程序部件构成的应用程序由加载存储器传输至工作存储器中。在此,在创建应用程序的过程中作为期望值通过多个程序部件形成签名,其中该签名的第一副本传输至故障安全的可编程逻辑控制器并且存储在那里,并且其中该签名的第二副本存储在外部部件中。至少在将应用程序和该签名的第一副本传输至故障安全的可编程逻辑控制器之后,该签名的第一副本被传输给外部部件(“回读”)并且借助第二比较与该签名的第二副本进行比较。此外,由在工作存储器中存在的应用程序或由多个传输至工作存储器中的程序部件借助故障安全的可编程逻辑控制器的管理实体将第二签名确定为实际值,由此所确定的第二签名借助在可编程逻辑控制器方面进行的第一比较与该签名的第一副本比较。可编程逻辑控制器在比较之一有差异时转变到可靠的工作状态中。通过该方法保证了:在可编程逻辑控制器的工作存储器中存在的应用程序恰好对应于在创建(编程)时曾确定的应用程序。存储在可编程逻辑控制器上的签名的回读和与作为期望值存储的签名的比较在此拦截故障,该故障在根本没有数据传输至可编程逻辑控制器中(既无新应用程序也无签名的期望值的副本),而是带有合适签名的“老”应用程序在那里保持不变时形成;在这样的情况下可编程逻辑控制器借助“不期望的”程序来启动是可能的。该任务的解决方案还设计了用于使用在安全相关的应用情况中的可编程逻辑控制器,其中可编程逻辑控制器构建为用于执行前述的方法,其中可编程逻辑控制器配备有:管理实体,用于确定在可编程逻辑控制器的工作存储器中的应用程序的签名的实际值;和比较装置,用于将所确定的实际值与作为期望值存储的第二签名比较,并且其中可编程逻辑控制器构建为在比较结果为否定的情况下激活可靠的工作状态。通过这样的可编程逻辑控制器可以执行上述的方法,使得可以实现与此相关的优点。根据本专利技术的方法的有利的扩展方案在从属权利要求中给出。在此所给出的特征和优点相应地也适于根据本专利技术的可编程逻辑控制器。作为可靠的工作状态,例如可编程逻辑控制器的应急停止(Not-Stop)可以被力争达到,其中在一个有利的实施形式中可编程逻辑控制器的电输出端可以被引入本文档来自技高网...
【技术保护点】
【技术特征摘要】
2010.10.06 EP 10186727.31.一种用于对故障安全的可编程逻辑控制器的应用程序进行验证的方法,其中由多个程序部件构成的应用程序从加载存储器传输至工作存储器中,其特征在于,在创建应用程序的过程中作为期望值形成关于应用程序或多个程序部件的签名,其中该签名的第一副本被传输至故障安全的可编程逻辑控制器并且存储在那里,并且其中该签名的第二副本存储在外部部件中,至少在将应用程序和/或该签名的第一副本传输给故障安全的可编程逻辑控制器之后将该签名的第一副本传输给外部部件并且借助第二比较与该签名的第二副本比较,由工作存储器中存在的应用程序或多个被传输至工作存储器中的程序部件借助故障安全的可编程逻辑控制器的管理实体确定第二签名作为实际值,所确定的第二签名借助可编程逻辑控制器的第一比较与该签名的第一副本比较,并且可编程逻辑控制器在第一比较中差异的情况下和/或在第二比较中差异的情况下转变到可靠的工作状态中。2.根据权利要求1所述的方法,其特征在于为了将可编程逻辑控制器转变到可靠的工作状态中而阻止在工作存储器中存在的应用程序的执行,或者停止该应用程序。3.根据权利要求1或2所述的方法,其特征在于,在应用程序的程序启动之前确定用作实际值的第二签名和将第二签名与该签名的第一副本进行第一比较。4.根据权利要求1或2所述的方法,其特征在于,作为实际值确定的签名被传输给外部部件,其中通过外部部件的装置进行与在所述外部...
【专利技术属性】
技术研发人员:延斯·基德利,马库斯·韦尔特,
申请(专利权)人:西门子公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。