用于控制安全关键和非安全关键过程的控制系统技术方案

本发明专利技术涉及具有故障安全状况监测的特别是用于控制安全关键和非安全关键过程或工厂组件的控制系统(100)。控制系统(100)包括：非安全控制器模块，所述非安全控制器模块配置成控制非安全关键过程；至少一个安全控制器模块，所述至少一个安全控制器模块配置成控制安全关键过程，并且执行安全通信；以及至少一个状况监测模块(105、220)，所述至少一个状况监测模块(105、220)用于执行故障安全状况监测，并且收集监测数据。非安全控制器模块(104、220)配置成从状况监测模块(105、220)来接收所收集监测数据，并且向安全控制器模块传递所收集监测数据；以及安全控制器模块配置成基于安全状况来评估监测数据。

Control system for controlling safety critical and non safety critical processes

【技术实现步骤摘要】
用于控制安全关键和非安全关键过程的控制系统
本专利技术涉及用于控制安全关键和非安全关键过程和/或工厂组件的优选模块化控制系统。
技术介绍
自动化控制系统包括控制功能和安全功能。关键参数通过测量来检测并且评估，以及在违反预定安全状况的情况下，可必须采取如例如停止系统的措施。安全功能性集成到系统中。例如，由控制器所执行的安全例程可实时地轮询所测量值，以及在违反阈值或所指定工作范围时，发送停止系统或者控制致动器的控制信号。通常在设计系统的架构时考虑这类功能性。为了修改或添加故障安全功能性，系统或当前实现的变更是必需的。因此，可期望一种用于控制系统的架构，该架构减少对当前系统关于提供故障安全功能性的修改。
技术实现思路
因此，本专利技术的一个目的是提供一种用于控制系统的架构，该架构减少对当前系统关于提供故障安全功能性的修改。这个目的通过根据权利要求1的控制系统以及根据权利要求10、11和12的控制系统的模块来实现。根据从属专利权利要求和以下描述，另外的优选实施例是显而易见的。按照一方面，提供一种控制系统，该控制系统配置成控制安全关键和非安全关键过程或工厂组件，包括：非安全控制器模块，所述非安全控制器模块配置成控制非安全关键过程；至少一个安全控制器模块，所述至少一个安全控制器模块配置成控制安全关键过程，并且执行安全通信；至少一个状况监测模块，所述至少一个状况监测模块用于执行故障安全状况监测，并且收集监测数据；其中非安全控制器模块配置成从状况监测模块来接收所收集监测数据，并且将所收集监测数据传递给安全控制器模块；并且其中安全控制器模块配置成基于安全状况来评估监测数据。按照DINVDE0801V或VDI/VDE3542，术语“故障安全”意思是，在故障情况下系统保持在安全状态中或者系统直接进入安全状态的能力。在这里同义地使用术语“故障安全”或“安全”。按照本专利技术的用于控制安全关键和非安全关键过程和/或工厂组件的控制系统优选地具有模块化构造，具有：至少一个第一控制单元，所述至少一个第一控制单元被提供以用于控制非安全关键过程和/或非安全关键工厂组件，其在这里采用术语“非安全控制器模块”来描述，具有经由内部耦合器总线来连接到第一控制单元并且能够经由现场总线来连接到另外的分离单元的至少一个通信耦合器；以及至少一个第二控制单元被提供以用于控制安全关键过程和/或安全关键工厂组件，其在这里采用术语“安全控制器模块”来描述，其中第二控制单元具有至少两个处理器和第一双端口RAM以用于提供面向安全的功能，其中安全控制单元经由第一双端口和内部耦合器总线与非安全控制单元进行通信。安全控制器模块的两个处理器的仅一个处理器连接到第一双端口RAM。非安全控制单元经由在通信耦合器中集成的另外的双端口RAM以及内部耦合器总线将数据从安全控制单元传送给通信耦合器。状况监测模块从传感器接收状况监测信号，所述状况监测信号被传递给非安全控制器模块。信号可以是安全关键和非安全关键信号两者。非安全控制器模块将安全关键信号传递给安全控制器模块。安全控制器模块通过执行安全数据分析来评估所接收安全关键信号，以及通过生成面向安全的数据电报并且向本地和/或远程安全I/O(输入/输出)模块输出数据电报进行反应，并且因而控制安全关键装置。由于模块化架构，有可能采用安全控制器模块功能性来灵活地扩展现有状况监测系统，以实现安全关键应用的故障安全状况监测，例如基于安全监督的振动信号值来安全地监督离心机或移动平台制动器的状态。按照实施例，状况监测模块是配置成附加地执行安全状况监测的非安全状况监测模块。通过将标准硬件用于非安全状况监测模块，提供一种成本有效解决方案来监测安全和非安全信号两者。所测量信号可以是输入到信号处理器的数字信号或者例如使用模数转换器来数字化的模拟信号。例如，模拟信号可以是高达20kHz的快速变化模拟信号。数字化信号可由状况监测模块来预先处理，并且然后被传递给非安全控制器模块。按照实施例，根据以上权利要求中的一项所述的控制系统，其中安全控制器模块配置成向至少一个状况监测模块提供诊断措施。作为例如周期动态测试信号模式的诊断措施确保状况监测模块的故障安全操作，使得状况监测输入通道能够用于安全应用中。测试信号模式可例如用来检测数字电路中的故障，或者检测通道之间的串扰差错。测试信号模式被提供给状况监测输入通道，所述状况监测输入通道由安全控制器模块来监测和评估。如果应当经过状况监测输入通道和非安全控制器模块部分周期地被传递给安全控制器模块的预计动态生成的测试信号模式不可用或者不满足预计预定义动态信号模式要求，则像安全紧急停止的安全反应通过安全控制器模块例如使用安全输出模块上的数字安全输出来触发。通道之间的串扰差错能够例如使用不同输入通道的时移(唯一)动态测试模式或者使用不同测试脉冲频率来检测。对于故障排除，安全控制器模块附加地可必须评估与对动态测试信号生成所选择的信号相似的动态信号(例如具有相同频率的信号)是否存在于非安全控制部分中。按照实施例，非安全控制器模块和状况监测模块配置成经由非安全接口来执行安全通信。因此，不需要附加或专用硬件或软件将数据从状况监测模块传递给非安全控制器模块。通过分离控制系统中的状况监测以及安全和非安全控制逻辑处理，由安全控制器模块和状况监测系统对非安全控制器模块通信接口的再使用引起安全控制器模块和状况监测系统的设计复杂度的降低。状况监测系统保持控制系统的非安全部分。按照实施例，控制系统还包括连接到安全控制器模块和非安全控制器模块的内部耦合器总线；其中内部耦合器总线配置成提供安全控制器模块与非安全控制器模块之间的安全通信。安全控制器模块可提供有两个或更多微处理器，所述两个或更多微处理器可提供冗余度，或者可执行相互监督的不同任务。安全控制器模块还可提供有双端口RAM，该双端口RAM可由内部耦合器总线所访问以用于读取和写入，并且由微处理器之一所访问以用于读取和写入，因而表示用于与非安全控制器模块和其他模块交换数据的硬件缓冲器。按照实施例，控制系统还包括：现场总线；通信耦合器，所述通信耦合器连接到内部耦合器总线和现场总线；以及至少一个通信模块，所述至少一个通信模块连接到现场总线；其中通信耦合器配置成经由现场总线与通信模块进行通信，并且经由内部耦合器总线与安全控制器模块和非安全控制器模块进行通信。即，除了安全和非安全控制器模块之外，内部耦合器总线还连接通信耦合器。例如，来自安全控制器模块的双端口RAM的数据被放于内部耦合器总线上，并且被提供给非安全控制器模块，经过非安全控制器模块，这些数据被放于内部耦合器总线上，并且因而被提供给通信耦合器。这意味着，使用内部耦合器总线经由非安全通信模块把来自安全控制器模块的数据提供给通信耦合器。优点在于，最初只具有非安全控制器模块的非安全控制系统能够易于通过添加安全控制器模块并且将这个安全控制器模块连接到内部耦合器总线来升级成安全控制系统，所添加安全控制器模块不必注意与通信耦合器的数据通信例程，但是使用现有非安全控制器模块的通信例程。这样，增强非安全控制系统本文档来自技高网...

【技术保护点】
1.一种控制系统(100)，所述控制系统(100)配置成控制安全关键和非安全关键过程和/或工厂组件，包括：/n非安全控制器模块(104、220)，所述非安全控制器模块(104、220)配置成控制所述非安全关键过程和/或所述非安全关键工厂组件；/n至少一个安全控制器模块(103、240)，所述至少一个安全控制器模块(103、240)配置成控制所述安全关键过程和/或所述安全关键工厂组件；/n至少一个状况监测模块(105、210)，所述至少一个状况监测模块(105、210)配置成执行故障安全状况监测并且收集监测数据；/n其中所述非安全控制器模块(104、220)配置成从所述状况监测模块(105、210)来接收所收集监测数据，并且向所述安全控制器模块(103、240)传递所收集监测数据；以及/n其中所述安全控制器模块(103、240)配置成基于安全状况来评估所述监测数据。/n

【技术特征摘要】
20181025 EP 18202559.31.一种控制系统(100)，所述控制系统(100)配置成控制安全关键和非安全关键过程和/或工厂组件，包括：
非安全控制器模块(104、220)，所述非安全控制器模块(104、220)配置成控制所述非安全关键过程和/或所述非安全关键工厂组件；
至少一个安全控制器模块(103、240)，所述至少一个安全控制器模块(103、240)配置成控制所述安全关键过程和/或所述安全关键工厂组件；
至少一个状况监测模块(105、210)，所述至少一个状况监测模块(105、210)配置成执行故障安全状况监测并且收集监测数据；
其中所述非安全控制器模块(104、220)配置成从所述状况监测模块(105、210)来接收所收集监测数据，并且向所述安全控制器模块(103、240)传递所收集监测数据；以及
其中所述安全控制器模块(103、240)配置成基于安全状况来评估所述监测数据。


2.根据权利要求1所述的控制系统(100)，
其中所述状况监测模块(105、210)是配置成附加地执行安全状况监测的非安全状况监测模块(105、210)。


3.根据权利要求1或2所述的控制系统(100)，
其中所述安全控制器模块(103、240)配置成向所述至少一个状况监测模块(105、210)提供诊断措施。


4.根据以上权利要求中的一项所述的控制系统(100)，
其中所述非安全控制器模块(104、220)和所述状况监测模块(105、210)配置成经由非安全接口来执行所述安全通信。


5.根据以上权利要求中的一项所述的控制系统(100)，
其中所述控制系统(100)还包括连接到所述安全控制器模块(103、240)和所述非安全控制器模块(104、220)的内部耦合器总线(261)；以及
其中所述内部耦合器总线(261)配置成提供所述安全控制器模块(103、240)与所述非安全控制器模块(104、220)之间的安全通信。


6.根据权利要求5所述的控制系统(100)，其中所述控制系统(100)还包括：
现场总线(120、254)，
通信耦合器(102、250)，所述通信耦合器(102、250)连接到所述内部耦合器总线(261)和所述现场总线(120、254)；以及
至少一个通信模块(112)，所述至少一个通信模块(112)连接到所述现场总线(120、254)；
其中所述通信耦合器(102、250)配置成经由所述现场总线(120、25...

【专利技术属性】
技术研发人员：G沙伊布勒，Y韦里哈，
申请(专利权)人：ABB瑞士股份有限公司，
类型：发明
国别省市：瑞士;CH