用于控制装置或设备的控制系统和方法与流程

本发明涉及一种用于控制装置或设备的控制系统，其中，针对装置或设备的控制，设置至少一个安全功能。本发明还涉及一种相关联的方法。

背景技术：

1、在工业自动化技术中使用防故障的控制被广泛推广，具有典型的应用情况，如可靠地锁定或监控极限值。然而，由于研发成高效且同时灵活的生产，对安全程序的要求也在提高，并且对这种动态过程和设备进行实时安全监控需要更复杂的安全解决方案。

2、由现有技术已知解决方案，其中，为了满足安全要求进行编码的处理或编码的过程。在此，安全相关的处理步骤以两种多样化的方式借助于编码的数据和运算来执行，这使得硬件冗余成为多余并且同时随之带来解决方案的连续性以及可扩展性。

3、此外，已知所谓的锁步处理器。在逻辑处理方面，锁步处理器提供了大多数成本有利的变型方案，其通过其固有的多核架构以及合适的运行和比较机制来实现片上冗余。

4、由公开文献wo 2016/138956 a1已知的是，能够未编码地完成的程序部分以硬件冗余完成。为此需要两个处理器单元用于未编码的实施。

技术实现思路

1、在这种背景下，本发明的目的是，改进具有复杂的安全要求的程序的防故障且高性能的加工。该目的通过独立权利要求的特征解决。在从属权利要求中给出有利的设计方案。

2、本发明涉及一种用于控制装置或设备的控制系统，其中，关于所述装置或设备的控制，设置至少一个安全功能，

3、其中，所述至少一个安全功能具有至少一个安全子功能，

4、其中，所述控制系统包括第一面向安全的控制器件以及第二面向安全的控制器件，

5、其中，所述第一面向安全的控制器件和所述第二面向安全的控制器件经由面向安全的通信连接通信地耦接，

6、其中，所述第一面向安全的控制器件被设计和设置用于实施所述至少一个安全功能，

7、其中，所述第二面向安全的控制器件基于处理器单元并且被设计和设置用于在使用经由所述面向安全的通信连接从所述第一面向安全的控制器件接收的输入数据的情况下实施所述至少一个安全子功能。

8、根据本技术的概念的面向安全的控制器件这样构造和设置，使得能够尽可能保证在面向安全的控制器件运行时不会出现例如由于部件的失效造成的危险状态。此外，面向安全的控制器件能够这样构造和设置，即，在面向安全的控制器件的运行范围内不会出现由于装置或设备而引起的不可接受的风险。

9、根据本技术，安全功能应理解为这样一种功能，其必须满足面向安全的标准，使得在其上实施安全功能的系统变成面向安全的系统。这些标准例如通过安全预设来定义或标准化。例如，必须满足预设，这些规定了开启停止过程、遵守与区边界的距离等。特别地，在此提到安全标准iec61508、iso 10218，所述安全标准根据应用情况应当遵守。控制的面向安全的功能尤其是指面向安全地实施的停止功能或制动功能。

10、此外，安全功能的实施能够设置成使得确保所谓的功能安全性，也就是说，发现系统失效或故障或部件失效或故障并且导致采取装置或设备的安全状态。功能上安全的实施除了处理或计算或检验用于产生控制部的输出值的值外也包括检查相应处理步骤的无错误的执行。例如每个功能上受保护的处理步骤能够由算术编码的处理器指令和/或编码的数据值构成，并且/或者能够为了验证处理步骤的结果的合理性而检查处理步骤的结果是否处于允许的值的预先确定的区间内。通过功能保护被附加设置的检查尤其不改变结果，而是仅产生附加信号，即，处理步骤无故障(在允许的值区间内没有比特错误和/或处理步骤的结果)或者处理步骤有错误(比特错误，在值区间外的不可信的结果)。在有错误的处理步骤中，尤其结果被丢弃并且安全状态开启。

11、安全功能当前具有安全子功能。安全子功能够在安全性方面经受与安全功能相同的要求。安全子功能够在实施方面是可转移的或可封装的。尤其定义安全子功能的输入(所述输入由安全功能转发给安全子功能)，以及定义安全子功能的输出(所述输出由安全子功能提供给安全功能)。此外，输入值例如直接由连接到面向安全的第二控制器件上的传感器传输到安全子功能。例如，安全子功能包括控制程序的特别计算繁琐的、复杂的或耗时的程序段。对安全子功能的程序段例如存在特别高的复杂性要求和性能要求。复杂性和与此相关的高的处理时间尤其通过安全要求和与此相关的对面向安全的处理的要求来实现。

12、安全子功能有利地在基于处理器单元的第二安全器件上处理。该第二处理器单元优选相应优化地被构造用于复杂的程序段的面向安全的处理。这尤其有利地使第一安全器件的工作方式不变。

13、第一安全器件例如是所谓的f-plc，即，用于控制装置或设备或设备的部件的防故障设计的plc。该第一安全器件能够以通常的方式用于不太复杂的程序段并且尤其如通常那样连接到防故障的传感装置以及防故障的致动器上。将特定程序段转移到第二安全器件上使得控制系统也能够灵活地用于应用情况，例如面向安全的机器人，因为正是在这里常常需要在三维空间中利用相应的算术运算、尤其是三角运算进行笛卡尔计算，以及浮点数的使用经常是要求。

14、第一安全器件能够有利地具有基于软件的机制用于面向安全地实施安全功能，该机制能够与安全功能的复杂性无关地整体选择。只有通过在软件中实施第一安全器件上的安全功能时的多样性，才能够面向安全地进行该程序的该区段。能够利用软件冗余的随之而来的优点，尤其是与非面向安全的硬件的结合的使用或可扩展性。

15、第二安全器件现在能够有利地根据安全子功能的要求被裁剪和优化地实施。特别地，设置在第一安全器件上的面向安全的机制不能同样设置在第二安全器件上，而是取而代之地选择更适合于复杂控制程序段的机制用于面向安全的处理。

16、在处理器单元上尤其实现实施片上冗余的机制。由此对于复杂的子功能既不需要以多样化的方式在软件中进行繁琐的处理，也不需要在具有多个plc的必要性的硬件中完全双通道冗余地实现。由此，由繁琐的单独的架构(部分地也由于缺少标准)或者通过手动的程序适配引起的高成本被避免，在所述程序适配中必须选择应用程序的合适的结构化。同时实现了高性能，并且不必容忍较慢循环时间的缺点。在此，处理器单元理解为由处理器组成的硬件，这与在具有多个处理器的硬件上处理程序代码相反。

17、为了确保系统的安全性，安全器件之间的安全通信通过面向安全的通信连接来设置，尤其是在使用安全协议、例如所谓的profisafe协议的情况下。尤其由此有利地发现在安全器件之间的数据交换时的消息错误。

18、所提出的控制系统能够实现具有复杂的安全要求的安全子程序的防故障的和高性能的加工，同时连接到以多样化的处理路径工作的由用户可自由编程的防故障的控制上。

19、通过安全子程序的转移，在编码的工作的控制上释放资源，这些资源有利地供其他安全或标准操作使用。

20、根据设计方案，第一面向安全的控制器件被设计和设置用于在使用编码的工作方法、尤其是“编码的处理”方法的情况下实施至少一个安全功能。

21、编码的工作的处理方法基于在处理器单元上多样化地实施软件代码的原理。特别地，安全相关的处理步骤以两种多样化的方式借助于编码的数据和运算来执行，这使得用于该处理步骤的硬件冗余成为多余并且同时随之带来解决方案的连续性以及可扩展性。

22、例如使用所谓的“多样化编码”，其基于相同安全功能的两个不同的实施方案。这两个实施方案是：

23、-原生实施：原生实施相应于没有编码的原始安全功能的实施。在此，用于原始安全功能的源代码构成原生实施的源代码。原生实施根据原生(原始)输入值和原生状态工作。原生实施仅改变原生状态。原生实施的结果是原生输出。

24、-编码实施：编码实施(使用编码的处理)基于安全功能的编码的变型方案。编码实施根据编码的输入值和编码的状态工作。结果是编码的输出。

25、两种实施方案都是完全独立的计算，但是它们根据相同的值操作。编码的输入值是原生输入值的编码的变型方案。原生安全功能的源代码用于创建编码实施的源代码。该创建要么能够手动地要么对于可再现性推荐地利用相应的工具进行。

26、根据设计方案，第二面向安全的控制器件被设计和设置用于在使用未编码地工作的方法的情况下实施至少一个安全子功能。通过在第二面向安全的控制器件上采用未编码地工作的方法，能够将具有高性能要求或复杂性要求的子程序例如通过合适的片上硬件冗余转移到防故障的高性能的第二控制单元上。

27、在第一面向安全的控制器件上，所有现有的用于自动化和连接传感装置和致动器的工具都能够有利地被使用。为了实施具有高性能要求的复杂的子程序，将第二面向安全的控制器件用作安全协处理器，该复杂的子程序在第一面向安全的控制器件上由于在那里使用的编码的处理而不能以足够高的周期时间或不能以合理的工作耗费来实施。

28、尤其对于其中数据例如应以阵列存储、作为矩阵或作为向量设置的计算或程序段，如在第一面向安全的控制器件上实施时典型地使用的plc上的常见安全程序达到其极限。此外，也没有用于存储剩余数据的合适的可行方案。在过程中变化并且作为中间值存储的动态参量，例如为了更精确地估计工业设备中的运动设备的位置，能够有利地使用在第二面向安全的控制器件上。

29、第二面向安全的控制器件通过用于所述子程序的相关输入和输出的通信的安全协议连接到第一面向安全的控制器件上。能够借助所有那里可用的操作在协处理器上高性能地实施复杂的子程序并且能够将结果安全地返回通信到f-plc上。

30、在变型方案中，第二面向安全的控制器件是固定编程的。有利地，该控制器件因此针对特定应用和所使用的硬件而被优化地设置，例如通过通过特定功能在高性能区域中的内嵌或本地化(lokatieren)。此外，能够有利地执行预先测试，尤其是也能够利用特定应用的认证来执行预先测试。

31、在备选的实施方案中，能够自由编程第二面向安全的控制器件，从而能够准标准化地为多种应用情况提供第二面向安全的控制器件，并且能够通过最终用户例如以安全应用程序的形式进行特定于应用的适配。

32、根据设计方案，第二面向安全的控制器件被设计和设置用于在处理器单元上、尤其基于具有锁步核的多核架构来实施硬件冗余。因此实现了片上冗余，即在单个处理器单元上的冗余实施。例如，在锁步核的使用中，两个或更多核实施相同的代码。独立的比较器比较结果并且在实施故障时在不同的值上识别。例如，锁步核利用在处理相同指令时几个时钟周期的延迟并且利用核的空间布置时的轻微偏离以实现多样性。例如需要时间上和空间上的区分，以排除共同的故障、所谓的共同故障。

33、根据设计方案，第一面向安全的控制器件被设计和设置成，从第二面向安全的控制器件接收输出数据。例如，作为输出数据获得安全功能、例如区监控的结果。例如，为此第二面向安全的控制器件处理整个安全功能：对于区监控，计算运动学系统在笛卡尔空间中的位置。例如位置与定义的区边界比较。作为结果得出，运动学系统是否停在安全区中，从而尤其是必须开启运动学系统的停止，或者运动学系统是否停在定义的工作区中，等等。除了安全功能中的中间值(例如位置、速度、加速度、定向等)的面向安全的计算外，此外有利地在安全功能程序的处理范围内进行评估，是否存在或即将出现区或极限值等的损伤。作为结果然后例如将停止id作为输出数据输出给第一面向安全的控制器件。例如，此外一起输出信息，通过所述控制总体上进行了哪种反应，也就是说应当操控以何种方式和方法连接的致动器。因此，整个计算和分析有利地在第二面向安全的控制单元上实施安全功能的范围内实施。为了向致动器输出控制指令，例如又使用第一面向安全的控制器件。此外，在这种情景下优选也为了与传感装置进行通信而使用第一面向安全的控制器件，从而安全协处理器仅仅从外围设备的角度看近似不可见地实施复杂的安全相关的计算。此外，在表现方式中，仅提供关于由第二面向安全的控制器件获得的结果或开启的措施的信息作为第一面向安全的控制单元的输出。因此尤其实现了特别高的通过量。

34、根据设计方案，第一面向安全的控制器件被设计和设置成，处理经由面向安全的通信连接从第二面向安全的控制器件接收的输出数据，以便实施至少一个安全功能。根据该设计方案，由第二面向安全的控制器件计算并提供安全功能所需要的中间值。例如提供针对位置、速度、加速度、定向等的值，然后在安全功能在第一面向安全的控制器件上实施的范围内进一步处理所述值。例如因此恰好能够在考虑三角函数的情况下或者在使用浮点数的情况下在协处理器上实现复杂计算并且仅仅将值返回到以编码处理工作的安全plc，这些值也能够被编码地没有耗费地进一步处理。

35、此外，当例如通过第一面向安全的控制器件借助基于编码的多样化的程序处理得出第一面向安全的控制器件的系统故障或故障状态时，通过第一面向安全的控制器件发起采取安全状态。

36、根据设计方案，第二面向安全的控制器件被设计和设置用于根据安全子功能的结果开启安全措施。在设计方案中，安全措施的开启直接通过第二面向安全的控制器件进行。

37、为此，致动器、尤其致动器的仅确定的部分能够直接连接到第二面向安全的控制器件上。例如在三维空间中引起运动学系统的运动的专用驱动器能够直接由协处理器的控制来操控。因此紧急停止特别有利地并且无延迟地通过通信路径等直接实现。

38、此外，第二面向安全的控制器件还基于程序代码的多样化的实施被设计和设置成识别系统故障。有利地，在识别出例如像传感器的部件失效或其他系统故障的毁坏的系统行为的情况下，通过第二面向安全的控制器件开启安全措施，该安全措施引起采取安全状态。例如致动器直接预设导致采取安全状态的值。

39、根据设计方案，第一面向安全的控制器件被设计和设置用于根据通过面向安全的通信连接接收的输出数据开启安全措施。通过第一面向安全的控制器件开启安全措施于是通过连接到第一面向安全的控制器件上的致动器进行，而不会使第二面向安全的控制器件被致动器觉察到。例如，当在第一面向安全的控制器件上实施安全功能的范围内的计算得出区违背或极限值违背时，或者当由第二面向安全的控制器件提供关于待开启的停止的信息、尤其停止id时，开启停止。此外，当例如通过第二面向安全的控制器件得出第二面向安全的控制器件的系统故障或故障状态时，也通过第一面向安全的控制器件发起安全状态的采取。

40、安全措施的开启又能够在于，基于所识别的系统故障采取安全状态。然后，第二面向安全的控制器件例如向第一面向安全的控制器件提供备用值，或者禁止与第一面向安全的控制器件的通信。然后，第一面向安全的控制器件在变型方案中继续运行，因为仅在第二面向安全的控制器件上识别出故障。在备选实施方案中，第一面向安全的控制器件也小心地开启安全状态的采取，因为系统的功能安全的备用值被视为不够。

41、本发明还涉及一种用于控制装置或设备的方法，其中，借助至少一个安全功能控制所述装置或设备，

42、其中，所述至少一个安全功能具有至少一个安全子功能，

43、其中，所述控制系统包括第一面向安全的控制器件以及第二面向安全的控制器件，

44、其中，所述第一面向安全的控制器件和所述第二面向安全的控制器件经由面向安全的通信连接交换数据，

45、其中，所述第一面向安全的控制器件实施所述至少一个安全功能，

46、其中，所述第二面向安全的控制器件基于处理器单元并且在使用接收到的输入数据的情况下实施所述至少一个安全子功能。

47、根据设计方案，第一面向安全的控制器件在使用编码的工作方法、尤其是“编码的处理”方法的情况下实施至少一个安全功能。

48、根据设计方案，第二面向安全的控制器件使用未编码的工作方法实施至少一个安全子功能。

49、根据设计方案，第二面向安全的控制器件在处理器单元上、尤其基于具有锁步核的多核架构实施硬件冗余。

50、根据设计方案，第一面向安全的控制器件从第二面向安全的控制器件接收输出数据。

51、根据设计方案，第一面向安全的控制器件处理经由面向安全的通信连接从第二面向安全的控制器件接收的输出数据，以便实施至少一个安全功能。

52、根据设计方案，第二面向安全的控制器件根据安全子功能的结果开启安全措施。

53、根据设计方案，第一面向安全的控制器件根据通过面向安全的通信连接接收的输出数据开启安全措施。