故障消息确认的制作方法

本公开文件涉及一种确认装置的故障消息的方法，该装置控制一设施并且在发生故障时从运行状态切换到安全状态，在该安全状态下，即使继续存在故障，也不会危害到该设施的安全运行。

背景技术：

1、在自动化中使用控制或监视安全攸关设施的装置，由此，(在装置运行时发生的)故障可能带来重大风险。因此，上述装置可以具有特殊的安全机制，例如确保所述装置识别在装置运行期间发生的故障并且在发生故障时从运行状态切换到安全状态，在该安全状态下，故障不会带来风险或至少仅带来较小的风险(例如通过绕过可能影响设施的故障的状态的方式)。如果故障不再发生，所述装置就可以再次切换到运行状态。这种返回运行状态可以自动进行，或者为了提高安全性，仅在确认故障消息之后进行，由此，用户能够检查是否可以安全返回运行状态并且在必要时采取进一步的措施。

技术实现思路

1、按照本发明的方法用于确认装置的故障消息，该装置在发生故障时从运行状态切换到安全状态，所述方法包括通过第一设备的无线接口接收所述装置的确认请求，通过第一设备由确认请求导出识别装置的数据，并且将第一确认信息通过无线接口从第一设备发送至所述装置。

2、在这里，在当前的说明书和权利要求书中使用的“确认”的概念尤其理解为对确认信息的处理，这种处理使得所述装置可以返回到运行状态。此外，在当前的说明书和权利要求书中使用的“故障消息”的概念尤其理解为一种信息，从该信息得出所述装置已经检测到故障以及可能的关于故障的信息。

3、该信息可以被所述装置周期式地或非周期式地发送，并且一直重复或保持有效性，直到故障排除。例如，当故障不再被装置检测到时，所述故障可以认为已排除。在这种情况下，无论故障排除是由于用户干预还是装置的排除程序还是任何其他原因，都不重要。如果故障排除了，则装置可以发送确认请求。所述装置还可以设计成：尽管排除了故障，在接收到有效的确认信息之前仍保持在安全状态中。

4、此外，在当前的说明书和权利要求书的范围内使用的“无线接口”的概念，尤其理解为一种通信接口，通过该通信接口可以通过无线电接收数据并且通常也可以通过无线电发送数据。此外，在当前的说明书和权利要求书的范围内使用的“识别装置的数据”的表达方式，尤其理解为一种分配给装置的唯一标识符(例如地址)。

5、所述装置可以构造为前端或模块化的现场总线节点的i/o模块。前端或者i/o模块尤其可以构造为以安全为导向的前端或者以安全为导向的i/o模块，其具有专门开发的和/或经测试的和/或冗余的组件。

6、这里，在当前的说明书的范围内使用的“模块”的概念尤其理解为一种装置，其可以与另一装置连接以用于扩展所述另一装置的能力，其中，所述装置设计用于扩展多个模块。i/o模块还可以具有壳体，该壳体构造用于将i/o模块串列到另一i/o模块或前端上。在此，在当前的说明书的范围内使用的“壳体”的概念尤其理解为一种由固体绝缘材料形成的结构，其中嵌入了导电结构，其中，所述壳体通常构造成防止意外接触带电导体。此外，在当前的说明书的范围内使用的“串列”的概念尤其理解为在各壳体之间建立摩擦锁合或形锁合的连接，通过该连接可以使多个模块彼此串联连接。

7、此外，在当前的说明书的范围内使用的“i/o模块”的概念尤其理解为一种能串列到前端上的或在运行中串列的器件，该器件将一个或多个现场设备与前端连接并且必要时(通过前端)与上级控制装置连接。在此，在当前的说明书的范围内使用的“前端”的概念要理解为模块化的现场总线节点的组件，所述组件的任务在于，使串列在前端上的i/o模块的数据和/或服务通过与前端连接的现场总线变得可供使用。

8、前端和i/o模块可以设计成，通过有线的传输路径(尤其是本地总线)借助于电信号交换数据。在此，在当前的说明书的范围内使用的“本地总线”的概念尤其理解为一种总线，通过该总线(仅)将串列到前端上的i/o模块彼此间或者与前端(直接)连接。此外，i/o模块可以具有有线接口，该接口设计用于与其他i/o模块或前端交换数据。这里，在当前的说明书和权利要求书中使用的“有线接口”的概念尤其理解为一种总线接口，其设计用于连接到本地总线上。

9、i/o模块可以具有多个输入端和/或输出端，它们设计用于读入状态信号和/或输出控制信号(控制电压和/或控制电流)。i/o模块在从状态信号导出数据或者从数据导出控制信号方面(通过与i/o模块连接的计算机)是可配置的。i/o模块还可以具有存储器，在该存储器中可以存储能导出i/o模块配置的数据。由这种配置例如得出怎样生成过程映像(例如怎样由i/o模块的输入端读入的信号导出数据以及怎样将上述数据通过本地总线传输给前端)和/或怎样由从前端通过本地总线传输到i/o模块的数据导出控制信号(这些控制信号例如在i/o模块的输出端上输出)。故障消息和/或确认请求可以是过程映像的一部分。

10、在所述输入端和/或输出端处可以连接现场设备，所述现场设备提供状态信号或者处理控制信号。这里，在当前的说明书的范围内使用的“现场设备”的概念尤其理解为与i/o模块(信号技术地)连接的(例如在i/o模块上接通的)传感器和/或执行器。此外，在当前的说明书的范围内使用的“输入端”或者“输出端”的概念尤其理解为一种电连接端。在此可以规定，i/o模块的输入端上的电压和/或电流由其他设备生成并且在i/o模块的输出端上的电压和/或电流由i/o模块本身生成。

11、此外，在当前的说明书的范围内使用的“计算机”的概念尤其理解为一种电子设备，其具有处理器和非易失性的存储器，其中，在存储器内存储各种指令，在完成这些指令时通过处理器执行用于呈现和/或管理包含i/o模块的现场总线系统的程序。在此，在当前的说明书的范围内使用的“存储器”的概念尤其理解为一种电子存储器。所述计算机尤其可以设计用于i/o模块在用户侧的参数化。这种参数化例如可以在配置(或重新配置)i/o模块的范围内进行。例如，用户或调试工程师可以在使用计算机的情况下确定参数并且通过前端或无线接口将参数传输给i/o模块。

12、接收到第一确认信息可以使装置返回到运行状态。这种返回到运行状态例如可以包括装置重启。装置重启可以相当于完成了一个例程，如果装置在电源中断(可能很短暂)后重新启动，也会完成该例程。

13、装置可以通过有线连接将另一确认请求发送给第二设备，并且响应于从第二设备接收到第二确认信息，从安全状态返回到运行状态，其中，所述装置忽略在处于运行状态时接收到的确认信息。

14、例如，装置可以通过本地总线将确认请求发送至前端和/或通过现场总线将确认请求发送至上级控制装置。接着，上级控制装置可以确认故障消息，或者如果检查是必要的或者有用的，可以通过第一设备请求确认。

15、导出识别装置的数据可以包括解密确认请求。

16、第一确认信息可以使用分配给装置的密钥加密。

17、第一设备可以构造为便携式设备。便携式设备例如可以构造为移动计算机，例如手机、平板电脑或笔记本电脑的形式。

18、按照本发明的装置包括无线接口和电路，其中，电路设计用于控制设施，其中，所述装置设计成：在发生故障时从运行状态切换到安全状态，在该安全状态下，即使存在故障，也不会危害设施的安全运行，其中，电路还设计成：在排除故障的情况下通过无线接口发送确认请求，并且其中，所述装置还设计成：响应有效的确认信息的接收，从安全状态返回到运行状态。

19、在此，在当前的说明书和权利要求书的范围内使用的“电路”的概念尤其应理解为电气和电子构件组合成一个功能单元。这些构件例如可以布置在电路载体上或者构造在半导体芯片中。此外，在当前的说明书和权利要求书的范围内使用的“有效的确认信息”的概念，尤其理解为一种确认信息，其带有允许检查确认信息正确性的信息。例如，确认消息可以加密和/或通过冗余信道传输，从而可以借助比较来检查确认信息的正确性。

20、装置还可以包括有线接口，其中，电路还设计成：在发生故障时通过有线接口发送另一确认请求，并且其中，所述装置还设计成：响应于通过有线接口接收有效的确认信息，从安全状态返回到运行状态。

21、电路还可以设计成：在装置处于运行状态时，忽略接收到的无效的确认信息和有效的确认信息。例如，电路可以设计用于检查是否接收到来自属于特定的发送器组的发送器的确认信息并且忽略所有来自不属于该组的发送器的确认信息。此外，电路可以设计用于检查确信信息是否包含未授权的更改并且忽略所有包含未授权的更改的确认信息。

22、电路可以设计成：用一密钥解密确认信息，并且装置还可以设计成：仅在其中一个确认信息能以私人密钥解密时，才从安全状态返回到运行状态。

23、解密后的确认信息例如可以包含与发送者和校验和相关的数据，校验和能够用来检查确认信息的完整性。

24、装置还可以设计成：将过程映像副本通过无线接口发送至便携式设备和/或从便携式设备接收控制数据。在此，装置和便携式设备之间的全部通信可以是加密的。

25、按照本发明的便携式设备包括无线接口和电路，其中，电路设计成：通过无线接口接收来自装置的确认请求，向便携式设备的用户显示确认请求，响应于用户请求，以分配给该装置的密钥加密确认信息，并且将加密后的确认信息通过无线接口发送给该装置。

26、便携式设备还可以设计用于解密确认请求。

27、在此要理解的是，原则上，在使用所述装置和便携式设备时执行的所有步骤都可以是相对应的方法的特征，反之亦然。