Nothing Special   »   [go: up one dir, main page]

DE60309928T2 - Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems - Google Patents

Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems Download PDF

Info

Publication number
DE60309928T2
DE60309928T2 DE60309928T DE60309928T DE60309928T2 DE 60309928 T2 DE60309928 T2 DE 60309928T2 DE 60309928 T DE60309928 T DE 60309928T DE 60309928 T DE60309928 T DE 60309928T DE 60309928 T2 DE60309928 T2 DE 60309928T2
Authority
DE
Germany
Prior art keywords
safety
control
hardware unit
unit
attached
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60309928T
Other languages
English (en)
Other versions
DE60309928D1 (de
Inventor
Audun Opem
Mats Gunnmarker
Kai Hansen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB AS Norway
Original Assignee
ABB AS Norway
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB AS Norway filed Critical ABB AS Norway
Publication of DE60309928D1 publication Critical patent/DE60309928D1/de
Application granted granted Critical
Publication of DE60309928T2 publication Critical patent/DE60309928T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25323Intelligent modules

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Control Of Steam Boilers And Waste-Gas Boilers (AREA)
  • Crystals, And After-Treatments Of Crystals (AREA)
  • Control Of Non-Electrical Variables (AREA)
  • Alarm Systems (AREA)

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf die Überwachung, Diagnose und Diversität der Ausführung von Steueralgorithmen im Kontext von Steuersystemen. Eine Vorrichtung umfasst eine Funktion, die einer Steuerung Sicherheitsmerkmale hinzufügt und es der Steuerung ermöglicht, die Erfordernisse für ein Sicherheitssteuersystem zu erfüllen. Ein solches System benötigt eine Diagnose, um zu gewährleisten, dass keine Unfälle stattfinden, die ansonsten Leute, die Ausrüstung oder die Umgebung schädigen könnten.
  • STAND DER TECHNIK
  • Industrielle Steuersysteme werden beispielsweise in Produktions- und Verfahrenindustrien, wie in chemischen Fabriken, Ölproduktionsfabriken, Raffinerien, Zellstoff- und Papierfabriken, Stahlwerken und automatisierten Fabriken angewandt. Solche industriellen Steuersysteme können Vorrichtungen, die Sicherheitsmerkmale hinzufügen, umfassen oder mit solchen kombiniert werden. Beispiele von Verfahren, die im Vergleich zu den Merkmalen, die ein normales industrielles Steuersystem bietet, zusätzliche Sicherheitsmerkmale benötigen, sind Verfahren auf Produktionsplattformen vor der Küste, gewisse Abschnitte in Atomkraftwerken und gefährlichen Bereichen in chemischen Fabriken. Sicherheitsmerkmale können in Verbindung mit einer Sicherheitsabschaltung, Feuer- und/oder Alarmsystemen als auch für eine Feuer- und Gasdetektion verwendet werden.
  • Die Verwendung fortschrittlicher Computersysteme in sicherheitsbezogenen Steuersystemen stellt Herausforderungen bei der Verifikation größerer Mengen eines Softwarekodes und komplexer Elektronik dar. Es existiert Stand der Technik, der beispielsweise in Form von Normen beschrieben ist, wie ein höherer Sicherheitspegel bei solchen Systemen erhalten werden kann. Solcher Stand der Technik ist im allgemeinen auf das Verfahren der Entwicklung von Produkten, sowohl in Bezug auf den Hardwareteil als auch die Softwareteile, gerichtet. Er beschreibt auch Diagnosefunktionen und Algorithmen. Der Stand der Technik spricht auch den höheren Sicherheitspegel an, der beim Ausführen von Steuersystemen mit einer verschiedenen Hardwareredundanz und Softwarediversität erhalten wird. Die Implementierung eines fortschrittlichen Sicherheitssteuersystems basiert normalerweise auf Doppel- oder Dreifachsystemen mit dem Typ eines Wählens vor dem Freigeben eines Ausgangssignals. Einige Sicherheitssteuersysteme haben eine ausreichend sichere Lösung mit einer einzigen Einheit implementiert, durch die Konzentration auf die Gestaltung des Systems und die höchstmögliche Qualität bei der Implementierung solcher Systeme. Sowohl Systeme mit mehreren Einheiten als auch Systeme mit einer einzigen Einheit weisen heutzutage oft eine Anzahl von Diagnosealgorithmen sowohl in der Software als auch in der Hardware auf.
  • Ein Beispiel eines industriellen Steuersystem, das eine sicherheitskritische Funktion einschließt, ist in der DE19857683 "Safety critical function monitoring of control systems for process control applications has separate unit" beschrieben. Das System hat einen Hauptsteuerbus, der mit verschiedenen Prozessoren über eine Anzahl dezentralisierter Datenempfänger gekoppelt ist.
  • Ein Beispiel einer Vorrichtung in einem industriellen Steuersystem, die eine erhöhte Fähigkeit der Fehlerdetektion besitzt, ist in der GB 2 277 814 beschrieben, die eine fehlertolerante PLC (programmierbare Logiksteuerung) betrifft, die eine zentrale programmierbare Einheit (CPU) einschließt. Ein Paar erster E/A-Module sind zwischen einem positiven Leistungsbus und einer Last verbunden. Ein Paar zweiter E/A-Module sind zwischen dem negativen Leistungsbus und der Last verbunden. Die GB 2 277 814 beschreibt weiter, dass die Leistung zur Last bei einer Störung einer der E/A-Module auf irgend einer Seite der Last nicht gelöst wird.
  • Die US 6,201,997 beschreibt eine Zweiprozessorlösung, wobei beide Prozessoren dieselben Eingabedaten empfangen und dasselbe Programm ausführen.
  • Die Steuerung der sicherheitskritischen Verfahren von Maschinen, die in der DE 100 25 085 A1 offenbart ist, weist ein Modul mit einer fehlertoleranten oder Zweikanalstruktur auf, in welcher es redundante Hardwarestufen gibt, die verschiedene Software enthalten. Störungen und Fehler werden identifiziert und Aktionen werden initiiert, um fehlerhafte Operationen der Maschine zu verhindern.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die Aufgabe der Erfindung besteht darin, einen erhöhten Sicherheitsintegritätspegel eines Steuersystems zu ermöglichen.
  • Die Aufgabe wird gelöst durch ein Verfahren zur Erhöhung des Sicherheitsintegritätspegels einer Steuerung für die Steuerung von Objekten der realen Welt, das die Schritte des Anfügens einer Sicherheitshardwareeinheit, des Herabladens von Software in eine CPU der Steuerung und die angefügte Sicherheitshardwareeinheit, das Konfigurieren der angefügten Sicherheitshardwareeinheit, um die Ausgabewerte der Steuerung in einen sicheren Status für eine Online-Steuerung zu setzen, umfasst.
  • Ein Vorteil der Erfindung ist der, dass ein Steuersystem, das auf der Erfindung basiert und für eine Steuerung mit einem hohen Sicherheitspegel qualifiziert ist, auch für eine nicht sicherheitskritische Verfahrenssteuerung verwendet werden kann, indem die hinzugefügte Sicherheitshardwareeinheit nicht verwendet wird. Die Erfindung ermöglicht eine erhöhte Flexibilität bei der Verwendung einer Steuerung mit einer Einheit.
  • Diese Verfahrenssteuerung, die die einzelne Steuerung verwendet, wird eine kostengünstigere und schnellere Steuerung sein als die Verwendung des Steuersystems mit einem vollen Sicherheitspegel. Da die einsteckbare Sicherheitshardwareeinheit nicht für eine nicht sicherheitskritische Steuerung verwendet wird, ermöglicht dies im Vergleich zum Stand der Technik eine kleinere Menge von Software in der einzelnen Steuerung und erlaubt es, dass Anwendungssoftware schneller ausgeführt werden kann.
  • Ein anderer Vorteil bei der Erfindung ist der, dass sie es ermöglicht, dass eine Steuerung einen erhöhten Sicherheitsintegritätspegel erreicht zu einer Zeit, nachdem die Steuerung ursprünglich für die Steuerung von Objekten der realen Welt installiert wurde. Als ein Beispiel kann eine Steuerung zuerst installiert sein, um eine nicht sicherheitskritische Steuerung auszuführen, und ein Jahr später wird die Steuerung für einen erhöhten Sicherheitsintegritätspegel für eine sicherheitskritische Steuerung konfiguriert.
  • Ein weiterer Vorteil besteht in den erhaltenen Lösungen, wie der Benutzer der einsteckbaren Einheit gegenüber tritt. Die Benutzerschnittstelle wird beispielsweise so vereinfacht, dass ein Ingenieur die gewünschten Pegel der Sicherheitsintegrität für die Anwendung spezifizieren kann.
  • Eine andere Aufgabe der Erfindung besteht darin, ein Steuersystem zu liefern, das für die sicherheitsbezogene Steuerung von Objekten der realen Welt vorgesehen ist. Das Steuersystem umfasst eine Steuerung mit einer einzigen Haupt-CPU und eine angefügte Sicherheitshardwareinheit, die Mittel umfasst, um den Sicherheitsintegritätspegel des Steuersystems zu erhöhen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Erfindung wird detaillierter in Verbindung mit den eingeschlossenen schematischen Zeichnungen beschrieben.
  • 1 zeigt eine Übersicht eines Verfahrens gemäß der Erfindung.
  • 2 zeigt ein vereinfachtes Diagramm einer Steuerung mit einer lokalen Eingabe/Ausgabe und mit einer angefügten Sicherheitshardwareeinheit.
  • 3 zeigt ein vereinfachtes Diagramm der Steuerung mit einer angefügten Sicherheitshardwareeinheit mit einer entfernten Eingabe/Ausgabe, die durch eine Buslösung verbunden ist.
  • 4 zeigt eine Übersicht eines Steuersystems, das eine Steuerung mit einer angefügten Sicherheitshardwareeinheit umfasst .
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • 1 zeigt einen Überblick eines Verfahrens gemäß der Erfindung. Das Verfahren liefert einen erhöhten Sicherheitsintegritätspegel der Steuerung 10, wie einer industriellen Steuerung eines industriellen Steuersystems. Beispiele einer Steuerung sind eine programmierbare Logiksteuerung (PLC) und eine Feldsteuerung.
  • In dieser Beschreibung hat eine Steuerung den Zweck des Sammelns von Messungen und des Steuerns von Objekten der realen Welt, die mit einem Steuersystem verbunden sind. Beispiele von Objekten der realen Welt sind Ventile, Motoren, Pumpen, Kompressoren, Schaltgetriebe, Förderbänder, ein Produkt, ein Ausgangsmaterial oder eine Partie.
  • Mit Sicherheitsintegritätspegel ist eine Steuerung gemeint, die tatsächliche Normsicherheitsintegritätspegel oder Standardsicherheitsintegritätspegel erfüllt, wie SIL 1, SIL 2, SIL 3 oder SIL 4 (SIL gemäß der Norm IEC 61508 oder spätere IEC-Normen).
  • 1 zeigt, dass das Verfahren einen Schritt des Anfügens 1 einer Sicherheitshardwareeinheit 11 (in 2 gezeigt) an die Steuerung 10 umfasst. Die Sicherheitshardwareeinheit 11 kommuniziert mit der Steuerungs-CPU. Die Sicherheitshardwareeinheit 11 kann in Form einer Leiterplatte vorliegen und umfasst typischerweise eine CPU und kann auch eine Eingabe/Ausgabe-(E/A)-Schnittstelle umfassen. Eine solche E/A-Schnittstelle kann einen Satz von Speicherchips und eine feldprogrammierbare Gatteranordnung (FPGA) umfassen. Die Sicherheitshardwareeinheit kann auch lokale E/A-Kanäle wie einen digitalen Ausgang (DO) umfassen, um verstärkte Ausgabesignale beispielsweise an ein externes Alarmsystem zu liefern. Weiter kann die Sicherheitshardwareeinheit eine Funktion für eine Speicherabschattung (memory shadowing) einschließen. Ein alternativer Namen für die Sicherheitshardwareeinheit 11 ist ein Sicherheitsmodul. Die Sicherheitshardwareeinheit 11 umfasst Kommunikationsmittel, um mit der Steuerungs-CPU über einen Bus 14 zu kommunizieren. Die Sicherheitshardwareeinheit 11 kann über eine Rückwandplatine mit der Steuerung 10 verbunden sein. In einer alternativen Ausführungsform ist die Sicherheitshardwareeinheit 11 eine einsteckbare Einheit, die der Hauptleiterplatte der Steuerung 10, die die Haupt-CPU der Steuerung 10 umfasst, hinzugefügt wird.
  • Weiterhin zeigt 1, dass das Verfahren den Schritt des Herabladens von Software mit sicherheitsbezogenen Konfigurationsdaten nicht nur zur Steuerung 10, die in 2 gezeigt ist, sondern auch zur angefügten Sicherheitshardwareeinheit 11 umfasst. In einer Ausführungsform erfolgt das Herabladen einer solchen Software aus einem Softwarewerkzeug, das mit der Steuerung 10 verbunden ist, von einer Computervorrichtung, wie einem Personalcomputer oder einer Workstation. Ein Beispiel von Konfigurationsdaten ist eine Anwendungsklassifikation, die von der vorher erwähnten Sicherheitsnorm abhängt. Die Konfiguration der Kommunikationsfähigkeiten zwischen sicherheitsbezogenen Anwendungen. Ein anderes Beispiel solcher Konfigurationsdaten ist der Anwendungszugangspegel, der sich auf eine Benutzerautorisierungssteuerung bezieht.
  • Ein anderer Schritt des in 1 gezeigten Verfahrens besteht aus der Konfiguration der Sicherheitshardwareeinheit 11, um eine Sicherheitsfunktionslogik auszuführen und die Ausgabewerte der Steuerung 10 für eine Online-Sicherheitssteuerung in einen sicheren Zustand zu versetzen. Dies gewährleistet, dass das Steuersystem 20, das in 4 gezeigt ist, in einen sicheren Zustand übergeht. Das Versetzen der Ausgabewerte in einen sicheren Zustand kann entweder auf aktive Weise oder auf passive weise erfolgen. Die Ausführung der Sicherheitsfunktionslogik hängt von den Konfigurationsdaten ab. Die Sicherheitsfunktionslogik ist in einer Sprache geschrieben, die Fachleuten wohl bekannt ist. Eine solche Sprache kann in Übereinstimmung zur IEC 6-1131 stehen, mit möglichen Erweiterungen für sicherheitsbezogene Funktionen.
  • Die Steuerung 10 weist dieselbe Steuerfunktion für eine nicht sicherheitsbezogene Steuerung mit und ohne angefügter Hardwareeinheit 11 auf. Es sollte erkannt werden, dass dies im Vergleich zum Stand der Technik flexiblere technische Lösungen für die Sicherheitssteuerung ermöglicht. Als ein Beispiel weist die Steuerung 10 denselben Satz von Programminstruktionen auf, die mit und ohne die angefügte Hardwareeinheit 11 verfügbar sind. Ein Beispiel einer Programmsprache ist strukturierter Text, wie er durch die IEC 6-1131 definiert ist. Dies bedeutet, dass eine Steuerung 10, die ursprünglich nur für eine nicht sicherheitskritische Anwendung konfiguriert ist, zu einer späteren Zeit mit der oben erwähnten Sicherheitshardwareeinheit 11 konfiguriert werden kann, und nachdem die Steuerung 10 für eine Online-Sicherheitssteuerung konfiguriert wurde, kann sie dennoch dieselbe nicht sicherheitskritische Anwendung ablaufen lassen, wie das der Fall war, bevor die Sicherheitshardwareeinheit 11 angefügt wurde.
  • In einer Ausführungsform der Erfindung wird eine Steuerungskonfiguration und ein Steuerungskode in die Steuerung 10 herab geladen. Ein Benutzer 22 eines Softwarewerkzeugs initiiert ein Herabladen der Steuerungskonfiguration und des Steuerungskodes. Ein Beispiel eines Benutzers ist ein Verfahrensingenieur, ein Wartungsingenieur oder eine Person in der Produktion. Während oder nachdem die Steuerungskonfiguration und der Steuerungskode definiert werden, wird eine Hardwareeinheitdiagnoseinformation erzeugt. In der Ausführungsform wird die Diagnoseinformation in die angefügte Sicherheitshardwareeinheit 11 herab geladen und dient für Online-Diagnosezwecke.
  • 2 zeigt, dass eine Steuerung, auf die im oben beschriebenen Verfahren Bezug genommen wurde und die in 1 gezeigt ist, einen Zugang zu einer Vielzahl von Eingabe- und Ausgabeeinheiten, die direkt mit der Steuerung verbunden sind, erhalten kann.
  • 3 zeigt, dass eine Steuerung, auf die im oben beschriebenen Verfahren Bezug genommen wurde und die in 1 gezeigt ist, einen Zugang zu einer Vielzahl von Eingabe- und Ausgabewerten eines Objekts der realen Welt durch einen Bus erhalten kann, der zwischen der Steuerung und einer Eingabe/Ausgabe-Einheit verbunden ist. In einer solchen Ausführungsform wird die Gültigkeit der Buskommunikation in der angefügten Sicherheitshardwareeinheit 11 verifiziert. Ein Beispiel einer solchen Eingabe/Ausgabe-Einheit ist eine entfernte E/A. Ein Beispiel eines Busses ist ein Feldbus. Ein anderes Beispiel eines Busses ist ein interner Bus der Steuerung, wie ein Bus, der auf der Rückseitenplatine der Steuerung 10 verläuft.
  • Es ist ein Vorteil, wenn die Busverifikationslogik verschiedenartig implementiert ist. Weiterhin ist es ein Vorteil, wenn in einer Ausführungsform der Erfindung die angefügte Sicherheitshardwareeinheit auf verschiedene Weise einen sicherheitsbezogenen Kopfabschnitt für die Buskommunikation erzeugt.
  • Um die Zuverlässigkeit und die Diagnosen des Steuersystems weiter zu verbessern, kann die Eingabe/Ausgabe-Einheit 15 zwei diverse Implementierungen umfassen, wobei jede die Korrektheit des Busverkehrs verifiziert und jede einen sicherheitsbezogenen Kopfabschnitt für die Kommunikation auf dem Bus 14 erzeugt.
  • Weiter wird in einer Ausführungsform der Erfindung die Zeitablaufüberwachung der Steuerung 10 in der angefügten Sicherheitshardwareeinheit 11 verifiziert. Eine Ausführungsform der Erfindung kann auch das Verifizieren der korrekten Logiksequenz in der angefügten Hardwareeinheit 11 umfassen. Weiterhin kann eine Ausführungsform das Verifizieren des korrekten Herabladens der neuen Steuerfunktionslogik in die angefügte Hardwareeinheit 11 umfassen. Eine solche Verifizierung kann beispielsweise das Testen einer Prüfsumme umfassen.
  • Es ist vorteilhaft, wenn es nur Benutzern, die als sicherheitsklassifizierte Benutzer eingeloggt sind, gestattet wird, die Steuerfunktionslogik und die Parameter zu modifizieren. Eine solche Klassifikation kann im Steuersystem mittels eines Benutzerschlüssels verifiziert werden.
  • Die Sicherheitshardwareeinheit 11 kann so konfiguriert werden, dass sie als eine von der Steuerung 10 abhängige Einheit läuft. Dies bedeutet, dass eine Sicherheitsfunktionslogik, die in der Sicherheitshardwareeinheit ausgeführt wird, von der Steuerung ausgelöst wird. Die Sicherheitshardwareeinheit überwacht, dass sie zu einer definierten Zeit ausgelöst wird.
  • In einer anderen Ausführungsform kann die Sicherheitshardwareeinheit 11 ein erstes und ein zweites Modul in einer redundanten Konfiguration umfassen. Das zweite Modul wird typischerweise mit Daten vom ersten Modul aktualisiert, und das zweite Modul übernimmt die sicherheitsbezogene Steuerung des Steuersystems vom ersten Modul, wenn eine Störung des ersten Moduls detektiert wird. Die Steuerung kann eine redundante CPU-Einheit aufweisen, die die Steuerung der Objekte der realen Welt von der primären CPU-Einheit übernimmt, wenn eine Störung bei der primären CPU-Einheit vorliegt. Die redundante CPU errichtet eine Kommunikation mit dem ersten oder zweiten Modul der angefügten Sicherheitshardwareeinheit.
  • Eine andere Ausführungsform der Erfindung ist ein Steuersystem 20, das für eine sicherheitsbezogene Steuerung von Objekten der realen Welt vorgesehen ist. Ein solches Steuersystem umfasst eine Steuerung 10 mit einer einzigen Haupt-CPU und eine angefügte Sicherheitshardwareeinheit 11, die Mittel umfasst, um die Ausgabewerte der Steuerung für eine Online-Sicherheitssteuerung in einen sicheren Zustand zu versetzen.

Claims (20)

  1. Verfahren zum Steigern eines Pegels einer Sicherheitsintegrität eines Steuergeräts (10) zum Steuern von Objekten der realen Welt, aufweisend einer Sicherheitshardware-Einheit (11), die dem Steuergerät (10) angehängt ist, wobei die Sicherheitshardware-Einheit (11) mit der CPU des Steuergeräts kommuniziert, Software mit sicherheitsbezogen Konfigurationsdaten an die angehängte Sicherheitshardware-Einheit (11) und an das Steuergerät (10) herunter lädt, die angehängte Sicherheitshardware-Einheit (11) konfiguriert, um Sicherheits-Funktionslogik auszuführen, die von den sicherheitsbezogenen Konfigurationsdaten abhängt und auf aktive oder passive Weise die Ausgabewerte des Steuergerät (10) auf einen sicheren Zustand zur Online-Sicherheitssteuerung zu setzen, gekennzeichnet durch den weiteren Schritt des Ausführens eines Satzes von nicht-sicherheitskritischen Steuerfunktionen, wobei der Satz der nicht-sicherheitskritischen Steuerfunktionen bevor, sowie nachdem die Sicherheitshardware-Einheit (11) angehängt wurde, die gleiche ist.
  2. Verfahren gemäß Anspruch 1, gekennzeichnet dadurch, daß das Steuergerät (10) die Fähigkeit hat, einen Satz von nicht-sicherheitskritischen Steuerfunktionen auszuführen, wobei der Satz der nicht-sicherheitskritischen Steuerfunktionen bevor, sowie nachdem die Sicherheitshardware-Einheit (11) angehängt wurde, die gleiche ist.
  3. Verfahren gemäß Anspruch 2, gekennzeichnet dadurch, daß der Schritt des Konfigurierens die Zusatzschritte umfasst: – Herunterladen von Diagnoseinformationen an die angehängte Sicherheitshardware-Einheit (11), die vorher durch ein Softwaretool automatisch erzeugt wurde, als ein Ergebnis der Anwenderkonfiguration das Steuergerät (10), und wobei die Diagnoseinformationen in der angehängten Sicherheitshardware-Einheit (11), während einer sicherheitskritischen Steuerung verwendet werden.
  4. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß Zugang zu einer Vielzahl von Eingabe- und Ausgabewerten von Objekten der realen Welt durch einen Bus (14) erreicht wird, der zwischen dem Steuergerät (10) und einer Eingabe/Ausgabe Einheit (15) geschaltet ist, und die Gültigkeit der Bus-(14)-Kommunikation in der angehängten Sicherheitshardware-Einheit (11) verifiziert wird.
  5. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß die Zeitablaufüberwachung des Steuergeräts (10) in der angehängten Sicherheitshardware-Einheit (11) verifiziert wird.
  6. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß eine korrekte Sequenz der Code-Logik in der angehängten Sicherheitshardware-Einheit (11) verifiziert wird.
  7. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß die Korrektheit des Speicherinhalts des Steuergeräts (10) in der angehängten Sicherheitshardware-Einheit (11) verifiziert wird.
  8. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß ein Herunterladen einer neuen Steuerungs-Funktionalitätslogik an das Steuergerät in der angehängten Sicherheitshardware-Einheit (11) verifiziert wird.
  9. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß die angehängte Sicherheitshardware-Einheit (11) Tests ausführt, um ausschließlich Anwendern, die als sicherheitseingestufte Techniker und sicherheitseingestufte Benutzer angemeldet sind, zu ermöglichen, die Steuer-Funktionalitätslogik und Parameter zu modifizieren.
  10. Verfahren gemäß Anspruch 4, gekennzeichnet dadurch, daß die Verifikationslogik der Bus-(14)-Kommunikation in der angehängten Sicherheitshardware-Einheit (11) verschiedenartig implementiert ist.
  11. Verfahren gemäß Anspruch 4, gekennzeichnet dadurch, daß die angehängte Sicherheitshardware-Einheit 11 eine sicherheitstechnische Kopfstück für die Bus-(14)-Kommunikation verschiedenartig erzeugt.
  12. Verfahren gemäß Anspruch 11, gekennzeichnet dadurch, daß die Eingabe/Ausgabe-Einheit (15) zwei verschiedene Implementierungen aufweist, von denen jede die Korrektheit des Bus-(14)-Datenverkehrs verifiziert, und jede ein sicherheitsbezogenes Kopfstück für die Buskommunikation erzeugt.
  13. Verfahren gemäß irgendeinem vorhergehenden Anspruch, gekennzeichnet dadurch, daß die angehängte Sicherheitshardware-Einheit ein erstes und ein zweites Modul redundanter Konfiguration umfasst, wobei das zweite Modul mit denjenigen Daten aktualisiert wird, die im ersten Modul zum Zeitpunkt einer Störung vorhanden sind, und das zweite Modul die sicherheitsbezogene Steuerung des Steuerungssystems von dem ersten Modul übernimmt, wenn eine Störung des ersten Moduls festgestellt wird.
  14. Verfahren gemäß Anspruch 13, gekennzeichnet dadurch, daß das Steuergerät (10) eine redundante Steuereinheit beigefügt ist, die im Falle einer Störung des ersten Steuergeräts übernimmt, und die redundante Steuereinheit eine Kommunikation mit entweder dem aktiven ersten Modul, oder dem aktiven zweiten Modul der angehängten Sicherheitshardware-Einheit aufbaut.
  15. Steuersystem (20), vorgesehen zur sicherheitsbezogenen Steuerung von Objekten der realen Welt, aufweisend der Mittel, zum Anhängen einer Sicherheitshardware-Einheit (11) an das Steuergerät (10), wobei die Sicherheitshardware-Einheit (11) mit der CPU des Steuergeräts kommuniziert, Mittel zum Herunterladen von Software mit sicherheitsbezogenen Konfigurationsdaten an die angehängte Sicherheitshardware-Einheit (11) und an das Steuergerät (10), und Mittel zum Konfigurieren der angehängten Sicherheitshardware-Einheit (11), um Sicherheits-Funktionslogik auszuführen, die von den sicherheitsbezogenen Konfigurationsdaten abhängt, und auf aktive oder passive Weise die Ausgabewerte des Steuergeräts (10) auf einen sicheren Zustand für eine Online-Sicherheitssteuerung zu setzen, gekennzeichnet durch weitere Mittel zum Ausführen eines Satzes nicht-sicherheitskritischer Steuerfunktionen, wobei der Satz der nicht-sicherheitskritischen Steuerfunktionen bevor, sowie nachdem die Sicherheitshardware-Einheit (11) angehängt wurde, die gleiche ist.
  16. Steuersystem gemäß Anspruch 15, gekennzeichnet dadurch, daß das Steuergerät (10) die Fähigkeit aufweist, einen Satz von nicht-sicherheitskritischen Steuerfunktionen auszuführen, wobei der Satz der nicht-sicherheitskritischen Steuerfunktionen bevor, sowie nachdem die Sicherheitshardware-Einheit (11) angehängt wurde, die gleiche ist.
  17. Steuersystem gemäß Anspruch 16, gekennzeichnet dadurch, daß es folgendes umfasst: Mittel zum Herunterladen von Diagnoseinformationen an die angehängte Sicherheitshardware-Einheit, die vorher durch ein Softwaretool automatisch erzeugt wurde, als ein Ergebnis der Anwenderkonfiguration des Steuergeräts, und wobei die Diagnoseinformationen in der angehängten Sicherheitshardware-Einheit, während einer sicherheitskritischen Steuerung verwendet werden.
  18. Steuersystem gemäß Anspruch 17, gekennzeichnet dadurch, daß es folgendes beinhaltet: eine Eingabe/Ausgabe-Einheit (15), die über einen Bus mit dem Steuergerät (10) verbunden ist und die Gültigkeit der Bus-(14)-Kommunikation in der angehängten Sicherheitshardware-Einheit verifiziert wird.
  19. Steuersystem gemäß Anspruch 18, gekennzeichnet dadurch, daß die Verifikationslogik der Bus-(14)-Kommunikation in der angehängten Sicherheitshardware-Einheit (11) verschiedenartig implementiert ist.
  20. Steuersystem gemäß Anspruch 19, gekennzeichnet dadurch, daß die angehängte Sicherheitshardware-Einheit (11) ein sicherheitsbezogenes Kopfstück für die Bus-(14)-Kommunikation verschiedenartig erzeugt.
DE60309928T 2002-12-19 2003-12-16 Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems Expired - Lifetime DE60309928T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
SE0203819 2002-12-19
SE0203819A SE0203819D0 (sv) 2002-12-19 2002-12-19 Method to increase the safety integrity level of a control system
PCT/IB2003/006021 WO2004057430A1 (en) 2002-12-19 2003-12-16 Method to increase the safety integrity level of a control system

Publications (2)

Publication Number Publication Date
DE60309928D1 DE60309928D1 (de) 2007-01-04
DE60309928T2 true DE60309928T2 (de) 2007-04-12

Family

ID=20289968

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60309928T Expired - Lifetime DE60309928T2 (de) 2002-12-19 2003-12-16 Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems

Country Status (9)

Country Link
US (1) US7813820B2 (de)
EP (1) EP1573407B1 (de)
CN (1) CN1791845B (de)
AT (1) ATE346329T1 (de)
AU (1) AU2003286358A1 (de)
DE (1) DE60309928T2 (de)
NO (1) NO331420B1 (de)
SE (1) SE0203819D0 (de)
WO (1) WO2004057430A1 (de)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7289861B2 (en) 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
GB2423835B (en) * 2003-01-28 2008-01-09 Fisher Rosemount Systems Inc Process control system with an embedded safety system 1
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
US8180466B2 (en) * 2003-11-21 2012-05-15 Rosemount Inc. Process device with supervisory overlayer
US20050193378A1 (en) * 2004-03-01 2005-09-01 Breault Richard E. System and method for building an executable program with a low probability of failure on demand
JP4438552B2 (ja) 2004-07-29 2010-03-24 株式会社ジェイテクト 安全plc、シーケンスプログラム作成支援ソフトウェア及びシーケンスプログラムの判定方法
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
DE102005061393A1 (de) * 2005-12-22 2007-07-05 Robert Bosch Gmbh Verfahren zur Verteilung von Softwaremodulen
DE602006016616D1 (de) * 2006-11-01 2010-10-14 Abb Research Ltd Simulator-Anwendungsmethode für ein Kommunikationssystem
US8260487B2 (en) * 2008-01-08 2012-09-04 General Electric Company Methods and systems for vital bus architecture
US8149554B2 (en) * 2008-11-18 2012-04-03 Rockwell Automation Technologies, Inc. Apparatus for fault tolerant digital inputs
US8441766B2 (en) * 2008-11-18 2013-05-14 Rockwell Automation Technologies, Inc. Apparatus for fault tolerant digital outputs
DE102008060005A1 (de) * 2008-11-25 2010-06-10 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage mit einer Vielzahl von Anlagenhardwarekomponenten
US20110225327A1 (en) * 2010-03-12 2011-09-15 Spansion Llc Systems and methods for controlling an electronic device
US20110224810A1 (en) * 2010-03-12 2011-09-15 Spansion Llc Home and building automation
DE202010010172U1 (de) * 2010-07-14 2011-10-20 Babel Management Consulting Sensor zur Flüssigkeits- oder Gasanalyse
US8635176B2 (en) 2010-09-30 2014-01-21 Applied Engineering Solutions, Inc. System to create and use test plans usable in validating a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility
US8639646B1 (en) 2010-09-30 2014-01-28 Applied Engineering Solutions, Inc. System to build, analyze and manage a computer generated risk assessment model and perform layer of protection analysis using a real world model in software of a safety instrumented system architecture
US8521676B1 (en) * 2010-09-30 2013-08-27 AE Solutions System to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility
US8732106B1 (en) 2010-09-30 2014-05-20 Applied Engineering Solutions, Inc. Computer instructions to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility
US8954369B1 (en) 2010-09-30 2015-02-10 Applied Engineering Solutions, Inc. Method to build, analyze and manage a safety instrumented model in software of a safety instrumented system architecture for safety instrumented systems in a facility
US8732105B1 (en) 2010-09-30 2014-05-20 Applied Engineering Solutions, Inc. Method to build, analyze and manage a real world model in software of a safety instrumented system architecture for safety instrumented systems in a facility
US8694152B2 (en) 2010-12-15 2014-04-08 Symbotic, LLC Maintenance access zones for storage and retrieval systems
US9678483B2 (en) 2011-01-26 2017-06-13 Honeywell International Inc. Programmable controller with both safety and application functions
WO2013153060A2 (en) 2012-04-09 2013-10-17 Spicer Off-Highway Belgium N.V. Functional architecture pattern for safety applications
US20140215096A1 (en) * 2013-01-28 2014-07-31 Ge Intelligent Platforms, Inc. Method and system for a configurable hardware module
JP6461907B2 (ja) * 2013-03-15 2019-01-30 シムボティック エルエルシー 統合された安全なヒトアクセス領域および遠隔のローバーシャットダウンを備える自動保管および取り出しシステム
TWI642028B (zh) * 2013-03-15 2018-11-21 辛波提克有限責任公司 具有整合式受保護的人員接觸區及遠端漫遊機關機之運送系統及自動化儲存和取放系統
CN103163867B (zh) * 2013-03-22 2015-07-08 长兴精盛液压机械有限公司 蓄电池极群自动装配控制系统
US9128841B2 (en) 2013-11-12 2015-09-08 Thales Canada Inc. Remote shutdown via fiber
US9582376B2 (en) 2014-11-14 2017-02-28 Invensys Systems, Inc. Unified communications module (UCM)
EP3252550B1 (de) * 2016-06-01 2020-02-19 Siemens Aktiengesellschaft Modulare sicherheits-steuerungseinrichtung mit kryptografischer funktionalität
JP7087952B2 (ja) * 2018-11-22 2022-06-21 オムロン株式会社 制御システム、サポート装置、サポートプログラム
US11378934B2 (en) 2019-09-09 2022-07-05 Baker Hughes Oilfield Operations Llc Shadow function for protection monitoring systems
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO921830D0 (no) * 1992-05-08 1992-05-08 Defa Electronic As Anordning ved alarmsystemer, spesielt bil-alarmsystemer
CA2122384A1 (en) 1993-05-05 1994-11-06 Joseph John Cieri Fault tolerant programmable controller
CN2257040Y (zh) * 1995-08-04 1997-06-25 中国科学院自动化研究所 安全防范工程中的多媒体计算机-可编程序控制器结构
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
DE19742716C5 (de) 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19857683B4 (de) 1998-12-14 2007-06-28 Wratil, Peter, Dr. Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
DE10025085A1 (de) * 2000-05-20 2001-12-06 Peter Wratil Modul zur Steuerung oder Regelung von sicherheitsrelevanten Vorgängen oder Abläufen für den Betrieb von Maschinen oder Anlagen
DE10119791B4 (de) * 2001-04-23 2006-11-02 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
US7289861B2 (en) * 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
US6975966B2 (en) * 2003-01-28 2005-12-13 Fisher-Rosemount Systems, Inc. Integrated diagnostics in a process plant having a process control system and a safety system
US6898468B2 (en) * 2003-03-28 2005-05-24 Fisher-Rosemount Systems, Inc. Function block implementation of a cause and effect matrix for use in a process safety system
US7203885B2 (en) * 2003-09-30 2007-04-10 Rockwell Automation Technologies, Inc. Safety protocol for industrial controller

Also Published As

Publication number Publication date
EP1573407A1 (de) 2005-09-14
CN1791845B (zh) 2010-10-06
DE60309928D1 (de) 2007-01-04
NO331420B1 (no) 2011-12-27
US20060142873A1 (en) 2006-06-29
NO20052770L (no) 2005-08-26
ATE346329T1 (de) 2006-12-15
US7813820B2 (en) 2010-10-12
SE0203819D0 (sv) 2002-12-19
WO2004057430A1 (en) 2004-07-08
CN1791845A (zh) 2006-06-21
AU2003286358A1 (en) 2004-07-14
NO20052770D0 (no) 2005-06-08
EP1573407B1 (de) 2006-11-22

Similar Documents

Publication Publication Date Title
DE60309928T2 (de) Verfahren zur erhöhung der sicherheitsintegritätsstufe eines kontrollsystems
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
EP2731849B1 (de) Stellwerksrechner
DE10312699B4 (de) Nichtinvasives Testen von Netzwerkschnittstellen-Fehlercodes für ein Sicherheitsnetzwerk
EP2441003B1 (de) Gleitkommaarithmetik mit fehlererkennung
EP1738233B2 (de) Sicherheitssteuerung
EP3841438A1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
EP3493000B1 (de) Verfahren zum fehlersicheren erfassen eines messwertes und automatisierungssystem
EP1743225B1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
DE102006012042A1 (de) Steuervorrichtung zur fehlersicheren Steuerung einer Maschine
DE102017205832A1 (de) Verfahren zum Parametrieren eines Feldgeräts sowie parametrierbares Feldgerät
EP3338189A2 (de) Verfahren zum betrieb eines mehrkernprozessors
DE10007008B4 (de) Verfahren zur Überwachung einer Datenverarbeitungseinrichtung
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE102017123910A1 (de) Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
DE102013218269B4 (de) Verfahren und Vorrichtung zum Erfassen einer Abarbeitungsreihenfolge von Programmanweisungen
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
DE102007007537A1 (de) Leitsystem einer technischen Anlage
EP2849986B1 (de) Verfahren und anordnung zum steuern einer technischen anlage
DE102019219870A1 (de) Integritätsüberwachung einer Recheneinheit
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
WO2011113405A1 (de) Steuergeräteanordnung
DE10312557B4 (de) Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems

Legal Events

Date Code Title Description
8364 No opposition during term of opposition