專利名稱:結(jié)合云計算的與安全相關(guān)的控制裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種用于工業(yè)技術(shù)過程的控制裝置的運行方法。
本發(fā)明另外涉及了一種用于工業(yè)技術(shù)過程的控制裝置的控制程序模塊,其中,該控制程序模塊包括機(jī)器碼,該機(jī)器碼可由控制裝置的處理器裝置直接處理,并且通過處理器裝置執(zhí)行其處理,從而使得控制裝置實施這種運行方法。
本發(fā)明另外涉及了一種用于工業(yè)技術(shù)過程的控制裝置,其中,該控制裝置包括處理器裝置,其中,利用這種控制程序模塊對該控制裝置進(jìn)行編程,從而使得其在工作中基于對控制程序模塊的機(jī)器碼的處理,通過處理器裝置實施這種運行方法。
背景技術(shù):
普遍公知了用于工業(yè)技術(shù)過程的控制裝置的運行方法。這種運行方法經(jīng)常-但并不僅僅-由可編程邏輯控制器來實施。根據(jù)本發(fā)明,可編程邏輯控制器也是一種典型的控制裝置。
在現(xiàn)有技術(shù)中,該控制裝置的運行方法通常以如下方式進(jìn)行:
-控制裝置由處理器接收輸入信號。
-控制裝置在應(yīng)用輸入信號(以及可能的其他控制裝置內(nèi)部狀態(tài),例如,計時器和記錄器)時測定用于過程的特定的控制信號。
-控制裝置相應(yīng)于測定的控制信號來控制過程。
對于多種應(yīng)用而言,這種方法便足夠了。但仍存在許多與安全相關(guān)的應(yīng)用。在與安全相關(guān)的應(yīng)用中,個別-與錯誤位置無關(guān)-的錯誤不會導(dǎo)致工業(yè)技術(shù)過程陷入危險狀態(tài)中。更確切地說,必須識別出該錯誤。在應(yīng)對該錯誤時,過程必須轉(zhuǎn)入安全狀態(tài)中。根據(jù)本發(fā)明的危險狀態(tài)是在其中存在財產(chǎn)或甚至人員損傷的危險狀態(tài)。危險狀態(tài)的一個實例是例如,緊急停機(jī)開關(guān)損壞。在這種情況下,可能例如,無法再借助緊急停機(jī)開關(guān)來觸發(fā)緊急停機(jī)。安全狀態(tài)是例如,不通電地接通設(shè)備。
為了實現(xiàn)這種錯誤保護(hù)性能,現(xiàn)有技術(shù)中采取了以下行為:
-控制裝置以錯誤保護(hù)方式從過程中接收與安全相關(guān)的輸入信號。
-控制裝置以用于工業(yè)技術(shù)過程的錯誤保護(hù)方式測定特定的與安全相關(guān)的控制信號。
-控制裝置(例如,基于控制裝置的雙信道構(gòu)造)決定它是否將測定的與安全相關(guān)的控制信號認(rèn)定為正確的。
-根據(jù)決定結(jié)果,控制裝置或相應(yīng)于與安全相關(guān)的控制信號以錯誤保護(hù)的方式控制工業(yè)技術(shù)過程,或以錯誤保護(hù)的方式將工業(yè)技術(shù)過程轉(zhuǎn)換入到安全狀態(tài)。
另外,聯(lián)系“普通的”、與安全無關(guān)的控制過程已知的是,控制裝置
-從過程中接收輸入信號,
-將輸入信號經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接傳輸給計算機(jī),
-經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接從用于工業(yè)技術(shù)過程的計算機(jī)中接收特定的控制信號,以及
-相應(yīng)于接收的控制信號控制工業(yè)技術(shù)過程。
主題云計算現(xiàn)在徹底改變了數(shù)據(jù)處理。應(yīng)用者可察覺的效果尤其在于明顯地減少了在數(shù)據(jù)處理的計算方面強(qiáng)化的任務(wù)時的答復(fù)時間。然而,在云計算范圍內(nèi)也注意以下問題,如,冗余、負(fù)載分配等并且通過相應(yīng)的方案進(jìn)行支持。但焦點仍集中在確保所期望的效率級(通過在不同的系統(tǒng)上分配負(fù)載)上。另外,根據(jù)各個運服務(wù)器的容錯率或可用性來探討安全性。希望還涉及了服務(wù)器專用的待機(jī)功能。
值得期望的是在與安全相關(guān)的控制過程的范圍中同樣應(yīng)用云計算。為此必須通過錯誤保護(hù)協(xié)議將錯誤保護(hù)的輸入信號傳輸給至少兩個計算機(jī),這兩個計算機(jī)分別接收由各個的計算機(jī)測定的控制信號以及與各個其他計算機(jī)的控制信號相比的比較結(jié)果或相應(yīng)的使能指令(Freigabe)。另外必須相應(yīng)地檢測所接收的控制信號。但這可能并不容易。因為在云計算的范圍內(nèi),在機(jī)群的一個計算機(jī)上實現(xiàn)了-用戶無法感知的-所期望的計算要求的虛擬映像。該映像對于用戶而言是隱蔽的。由此可能無法確保在物理性分開的計算機(jī)上進(jìn)行對控制信號的測定。更確切地說可能出現(xiàn)以下情況,即,在兩個邏輯計算機(jī)上進(jìn)行對控制信號的測定,這兩個邏輯計算機(jī)物理上通過相同的計算機(jī)而實現(xiàn)。在這種情況下,錯誤可能出現(xiàn)在一個實現(xiàn)了兩個邏輯計算機(jī)的物理計算機(jī),可能無法再被識別出來,從而可能難以察覺地出現(xiàn)危險狀況。發(fā)明內(nèi)容
本發(fā)明的目的在于實現(xiàn)一些可能性,借助這些可能性可以將云計算使用在與安全相關(guān)的應(yīng)用中。
通過具有權(quán)利要求1的特征的運行方法來實現(xiàn)該目的。根據(jù)本發(fā)明的運行方法的有利的構(gòu)造方式是從屬權(quán)利要求2至4的對象。
根據(jù)本發(fā)明提出,由此構(gòu)造開頭所述類型的運行方法,即控制裝置循環(huán)地分別
-以錯誤保護(hù)的方式從工業(yè)技術(shù)過程中接收與安全相關(guān)的輸入信號,
-在應(yīng)用錯誤保護(hù)的協(xié)議時,經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接將與安全相關(guān)的輸入信號傳輸給機(jī)群,
-在應(yīng)用用于工業(yè)技術(shù)過程的錯誤保護(hù)協(xié)議時,經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接,由機(jī)群的接收特定的與安全相關(guān)的控制信號,
借助附加信息以錯誤保護(hù)的方式?jīng)Q定,控制裝置是否將由機(jī)群測定的、為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號認(rèn)定為正確的,以及
根據(jù)決定結(jié)果,或相應(yīng)于與安全相關(guān)的控制信號以錯誤保護(hù)的方式控制工業(yè)技術(shù)過程,或以錯誤保護(hù)的方式將工業(yè)技術(shù)過程轉(zhuǎn)入安全狀態(tài)中。
在應(yīng)用錯誤保護(hù)協(xié)議時實現(xiàn)輸入信號的傳輸,即可以在計算機(jī)側(cè)識別出錯誤傳輸和信號錯誤或其他操作。機(jī)群因此可以在可能地相應(yīng)地進(jìn)行反應(yīng)。例如,機(jī)群在這種情況下可以對控制裝置提出重新傳輸輸入信號的要求??蛇x地,機(jī)群可以-根據(jù)具體情況-這樣測定控制信號,即將工業(yè)技術(shù)程序轉(zhuǎn)入安全狀態(tài)中。
在應(yīng)用錯誤保護(hù)協(xié)議時實現(xiàn)控制信號的傳輸,即可以在控制裝置側(cè)識別出控制信號的錯誤傳輸和信號錯誤或其他操作??刂蒲b置由此可以、可能地相應(yīng)地進(jìn)行反應(yīng)。例如,控制裝置在這種情況下可以向機(jī)群發(fā)送重新傳輸控制信號的要求,或?qū)⒐I(yè)技術(shù)過程轉(zhuǎn)入安全狀態(tài)中。
基于附加信息的存在而做出決定。由此,附加信息使得控制裝置能夠決定,它是否能夠?qū)臋C(jī)群測定的、為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號認(rèn)定為正確的。由此才能夠?qū)崿F(xiàn)過程鏈中之前所缺少的那個環(huán)節(jié),即實現(xiàn)檢驗對控制信號的傳輸。
后者所提到的情況,即,控制裝置自身測定附加信息的情況通常這樣構(gòu)造:
-控制裝置自身在應(yīng)用以錯誤保護(hù)的方式從工業(yè)技術(shù)過程中接收的與安全相關(guān)的輸入信號時,測定了其他為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號,
-附加信息包括由控制裝置自身測定的其他與安全相關(guān)的控制信號,以及
-對從機(jī)群傳輸給控制裝置的與安全相關(guān)的控制信號的正確性的驗證包括:將傳輸給控制裝置的與安全相關(guān)的控制信號與由控制裝置自身測定的其他與安全相關(guān)的控制信號進(jìn)行比較。
當(dāng)機(jī)群以及控制裝置均按規(guī)定工作時,那么由控制裝置測定的其他控制信號與由機(jī)群測定的控制信號在內(nèi)容上是相同的。還僅僅需要在控制裝置側(cè)對一致性進(jìn)行安全的比較。其實現(xiàn)既容易又簡單。
一旦經(jīng)過計算機(jī)網(wǎng)絡(luò)由機(jī)群提供控制裝置的附加信息,那么便能夠使得,例如:
-在應(yīng)用錯誤保護(hù)協(xié)議時,控制裝置經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接由機(jī)群除了接收為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號以外-尤其是與為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號同時地-還接收明確識別機(jī)群的一條計算路徑的簽名,
-在應(yīng)用錯誤保護(hù)協(xié)議時,控制裝置經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接再次將輸入信號傳輸給機(jī)群,
-在應(yīng)用錯誤保護(hù)協(xié)議的條件下,控制裝置經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接由機(jī)群接收了其他為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號,以及除了其他為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號以外-尤其是與其他為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號一起-還接收了明確識別機(jī)群的另一條計算路徑的其他簽名,
-附加信息包括在機(jī)群上測定的其他與安全相關(guān)的控制信號以及計算路徑的簽名,以及
-對從機(jī)群傳輸給所述控制裝置的與安全相關(guān)的控制信號的正確性的驗證包括:將由機(jī)群接收的與安全相關(guān)的控制信號彼此比較并將由機(jī)群接收的簽名彼此比較。
在這種情況下,通過簽名的比較可以得知是否例如,由物理性不同的計算機(jī)和/或借助不同算法-關(guān)鍵詞“coded processing"(編碼處理)或iMiversitare Programmierung”(多樣化編程)-測定控制信號。控制信號自身的比較針對的可以是內(nèi)容的一致性。
甚至能夠在機(jī)群內(nèi)部執(zhí)行控制信號的比較并且將比較結(jié)果傳輸給控制裝置。在這種情況下因此提出:
-在應(yīng)用錯誤保護(hù)協(xié)議時,控制裝置經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接又一次將與安全相關(guān)的輸入信號傳輸給機(jī)群,
-在應(yīng)用錯誤保護(hù)協(xié)議時,控制裝置經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)上的連接除了接收為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號以外-尤其是與為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號一起-還接收了檢測信息,
-附加信息包括檢測信息,以及
-對傳輸給控制裝置的與安全相關(guān)的控制信號的正確性的驗證包括驗證該檢測信息與目標(biāo)檢測信息的一致性。
機(jī)群在此情況下必須包括安全比較器,其執(zhí)行控制信號的一致性驗證和計算路徑的不一致性驗證。該安全比較器為控制信號添加了檢測信息,例如,電子檢測印章或電子證書。當(dāng)然,僅在計算機(jī)正確地測定控制信號并且計算路徑彼此不同時實現(xiàn)上述添加。在此情況下,控制裝置由此必須僅與目標(biāo)檢驗信息相一致地驗證該檢驗信息。在此情況下,必須在機(jī)群側(cè)保證比較器的相應(yīng)的作用方式。
另外通過開頭所述類型的控制程序模塊來實現(xiàn)該目的,其中,通過處理器裝置來執(zhí)行對機(jī)器碼的處理,從而使得控制裝置實施根據(jù)本發(fā)明的運行方法。
另外通過用于工業(yè)技術(shù)裝置的控制裝置來實現(xiàn)該目的,其中,利用根據(jù)本發(fā)明的控制程序模塊為控制裝置編程。
聯(lián)系下面的結(jié)合附圖對實施例的詳細(xì)闡述的說明能夠更明確和更清楚地理解本發(fā)明的上述特性、特征和優(yōu)點以及如它們實現(xiàn)的方法和方式。在此,在示意圖中示出了:
圖1是控制裝置;
圖2至圖6是流程圖;以及
圖7是另一個控制布置。
具體實施方式
根據(jù)圖1,控制裝置2控制工業(yè)技術(shù)過程I。工業(yè)技術(shù)過程I涉及的是任意的過程,例如,燃燒器控制、沖壓控制、化學(xué)設(shè)備、填充設(shè)備、升降機(jī)等。然而,與工業(yè)技術(shù)過程的類型無關(guān),必須由控制裝置2安全地控制工業(yè)技術(shù)過程。
控制裝置2包括處理器裝置3。處理器裝置3包括至少一個處理器4。處理器裝置3經(jīng)常包括多個處理器4,這些處理器能夠相互驗證。在上下文中“安全”被理解成“錯誤保護(hù)的”。還必須確保個別錯誤不會無察覺地導(dǎo)致工業(yè)技術(shù)過程I的危險狀態(tài)。例如,通常為此必須由相應(yīng)的傳感器多次采集輸入信號E并且將其轉(zhuǎn)發(fā)給控制裝置2。在控制裝置2中,必須安全地執(zhí)行數(shù)據(jù)處理并且安全地驗證所測定的結(jié)果,從而才能夠識別出控制裝置2中的個別錯誤。另外,必須以錯誤保護(hù)的方式將控制信號S提供給工業(yè)技術(shù)過程I??刂菩盘朣由此被冗余地提供給多個執(zhí)行機(jī)構(gòu)。當(dāng)執(zhí)行機(jī)構(gòu)相應(yīng)地做出反應(yīng)時已經(jīng)實現(xiàn)了到安全狀態(tài)中的轉(zhuǎn)換。例如,如果工業(yè)技術(shù)過程I應(yīng)該安全地與供電電源相分離的話,為此目的通常設(shè)有多個串聯(lián)連接的保護(hù)器。
利用控制程序5對控制裝置2進(jìn)行編程??刂瞥绦?包括機(jī)器碼6,處理器裝置3可以直接處理該機(jī)器碼。通過處理器裝置3來實現(xiàn)對機(jī)器碼6的處理,從而使得控制裝置2實施隨后結(jié)合圖2來詳細(xì)闡述的運行方法。在上下文中以及還有結(jié)合圖3至圖5的闡述中始終同時補充參考圖1。
根據(jù)圖1,控制裝置2在步驟SI中從工業(yè)技術(shù)過程I中接收輸入信號E。輸入信號E涉及的是與安全相關(guān)的輸入信號。該輸入信號由控制裝置2以錯誤保護(hù)的方式接收。例如,輸入信號E可以相應(yīng)于圖1的附圖根據(jù)PROFIsafe (安全)協(xié)議由傳感器(圖中未不出)傳輸給控制裝置2。"PROFIsafe (安全)”是一種用于安全傳輸數(shù)據(jù)的目標(biāo)化協(xié)議,詳見例如,IEC61784-3-3。
在步驟S2中,控制裝置2將與安全相關(guān)的輸入信號E傳輸給機(jī)群7。根據(jù)圖1通過連接到計算機(jī)網(wǎng)絡(luò)9上的連接8來實現(xiàn)傳輸。計算機(jī)網(wǎng)絡(luò)9可以例如是LAN(=Local AreaNetwork局域網(wǎng))??蛇x地也可以涉及WAN (=Wide Area Network廣域網(wǎng))或WWW (=WordWide Web萬維網(wǎng))。通過錯誤保護(hù)協(xié)議,例如已提及的PROFIsafe協(xié)議或https來實現(xiàn)該傳輸。
機(jī)群7具有以下任務(wù),即,在應(yīng)用工業(yè)技術(shù)過程I的輸入信號E以及可能的-例如機(jī)群7的計時器和/或記錄器的-其他形態(tài)時,測定用于工業(yè)技術(shù)過程I的控制信號S,也就是說為工業(yè)技術(shù)過程I特定的控制信號S。機(jī)群7將由其測定的控制信號S傳輸給控制裝置2。以和傳輸輸入信號E相同的路徑和相同的方式來實現(xiàn)`控制信號S的傳輸,也就是說經(jīng)過將控制裝置2的連接到計算機(jī)網(wǎng)絡(luò)9上的連接8以及在應(yīng)用安全協(xié)議時實現(xiàn)該傳輸??刂蒲b置2在步驟S3中從機(jī)群7接收控制信號S。
控制信號S可以是與安全相關(guān)的-類似于輸入信號E??刂菩盘朣由此必須被控制裝置2認(rèn)定為正確的。由于應(yīng)用了安全協(xié)議,控制裝置2可以識別出傳輸過程中的可能的錯誤。然而,對正確測定控制信號S的檢測必須由控制裝置2根據(jù)附加的信息S',;S',Ι,Γ #來執(zhí)行。在步驟S4中,控制裝置2以錯誤保護(hù)方法來執(zhí)行該檢測。控制裝置2根據(jù)驗證結(jié)果實施步驟S5或步驟S6。
一旦控制信號S被控制裝置2認(rèn)定為正確的,那么控制裝置2在步驟S5中將相應(yīng)于安全相關(guān)的控制信號S以錯誤保護(hù)的方式來控制工業(yè)技術(shù)過程I。一旦控制信號S被控制裝置2認(rèn)定為不正確的,那么控制裝置2在步驟S6中將以錯誤保護(hù)的方式將工業(yè)技術(shù)過程I轉(zhuǎn)入安全狀態(tài)中。
可能額外地存在步驟S7。在步驟S7中,控制裝置2在可能時等待重啟上述流程。重啟尤其需要操作人員10的行為,例如對復(fù)位按鍵的操作??蛇x地可以取消步驟S7。在此情況下,一旦控制裝置將由機(jī)群傳輸?shù)目刂菩盘朣重新認(rèn)定為正確的,那么控制裝置2將自身重新進(jìn)行常規(guī)操作(其中執(zhí)行步驟S5)。
對于步驟S7可選地或除此之外,可以存在步驟S8。一旦步驟S8存在,為了經(jīng)過機(jī)群7來測定控制信號S,那么控制裝置2便請求在步驟S8中對該(計算技術(shù)方面的)過程重新實例化。該重新實例化可以例如-隨機(jī)地或有針對性地-產(chǎn)生以下結(jié)果,即機(jī)群7的與之前不同的另一個計算機(jī)11'被授權(quán)測定控制信號S。
從上面的實施方式中尤其可以看出,控制裝置2循環(huán)地實施步驟SI至S6(并且在可能時還有步驟S7和/或S8)。尤其是每秒鐘多次,大多數(shù)是20x至IOOx每秒地實施常規(guī)操作(當(dāng)也實施步驟S5時)。同樣也適用于沒有步驟S7和/或步驟S8并且實施特殊操作,即從步驟S4過渡到步驟S6。
對于實施步驟S4而言,存在不同的可能性。例如,可以根據(jù)圖3將步驟S4實施成步驟Sll和S12的形式。
在步驟Sll中,控制裝置2自身測定其他與安全相關(guān)的控制信號S,丨。其他控制信號s,'同樣被確定用于工業(yè)技術(shù)過程I。其他控制信號s,'在常規(guī)情況下-也就是無論是機(jī)群7還是控制裝置2均按規(guī)定起作用時-在內(nèi)容上與機(jī)群7測定的控制信號S是一致的,即1:1??刂蒲b置2由此-類似于機(jī)群7-在應(yīng)用與安全相關(guān)的輸入信號E時測定了其他控制信號S,',該輸入信號是由控制裝置2從工業(yè)技術(shù)過程I中以錯誤保護(hù)的方式接收到的。在可能時,控制裝置2在測定其他控制信號S''的范圍內(nèi)-類似于機(jī)群7-應(yīng)用了其他形態(tài),例如,控制裝置內(nèi)部的計時器和/或記錄器的形態(tài)。
在步驟S12中,控制裝置2以錯誤保護(hù)的方式將由機(jī)群7測定的控制信號S與由控制裝置2測定的其他控制信號S,'比較。當(dāng)機(jī)群7測定的控制信號S與控制裝置2測定的其他控制信號S,'相符時,控制裝置2將其認(rèn)定為正確的。
在圖3的步驟范圍內(nèi),附加的信息Si ' ,Si,Ι,Γ ;Ρ由此包括步驟Sll中測定的其他控制信號S,'。這些附加信息S, ',S,,I,I, ;P尤其是與步驟Sll中測定的其他控制信號S,'相同。
在根據(jù)多樣化編程-經(jīng)常也被稱為“coded processing”(編碼處理)-借助與控制裝置2測定其他控制信號S,丨所用的算法不同的算法由機(jī)群7測定控制信號S時,圖3的步驟是尤其有意義的。在此情況下,尤其可以由機(jī)群7實施計算強(qiáng)化算法(其大多數(shù)甚至是明顯計算強(qiáng)化的)。
作為圖3步驟的備選,根據(jù)圖4執(zhí)行也是可能的。根據(jù)圖4,圖2的步驟S4被實施成步驟S21至S26的形式。在圖4中同樣存在的步驟S2的范圍內(nèi),輸入信號E被控制裝置2傳輸給機(jī)群7的任意一個計算機(jī)11。
在步驟S21中,控制裝置2同樣將與安全相關(guān)的輸入信號E傳輸給機(jī)群7的一個計算機(jī)11'(見圖1)。步驟S21由此在內(nèi)容上與步驟S2相應(yīng)。但與步驟S2的區(qū)別在于,與步驟S2中不同,步驟S21中是向另一個物理計算機(jī)11'進(jìn)行傳輸。步驟S21中的計算機(jī)11'在物理上也與步驟S2的計算機(jī)11不同。
另一個計算機(jī)11'-如前面圖3中的控制裝置2-測定其他控制信號S,。另一個計算機(jī)I”將由其傳輸?shù)钠渌刂菩盘朣,傳輸給控制裝置2。控制裝置2在步驟S22中接收其他控制信號Si。步驟S22由此在內(nèi)容上與步驟S3相應(yīng)。與步驟S3的區(qū)別在于-類似于步驟S2和S21之間的區(qū)別-,從另一個計算機(jī)11'傳輸其他控制信號S,,而不是從步驟S3的計算機(jī)11。
在步驟S23和S24中 ,控制裝置2從計算機(jī)11分別接收簽名I,Γ。各個簽名I,Γ明確地識別出機(jī)群7的各個計算機(jī)11,11'。以與傳輸控制信號S、S,相同的方式實現(xiàn)傳輸簽名I,I,,也就是說在應(yīng)用錯誤保護(hù)協(xié)議時,由各個計算機(jī)11,11,經(jīng)過控制裝置2的連接到計算機(jī)網(wǎng)絡(luò)9上的連接8來實現(xiàn)傳輸。
在步驟S25中,控制裝置2以錯誤保護(hù)的方式測定邏輯變量OK的值。邏輯變量OK隨后采用值WAHR并且只有在以下情況下才采用該值,即
-計算機(jī)11,11'的簽名I,Γ彼此不一致,以及
-控制信號S和其他控制信號S,彼此不一致。
在步驟S26中,控制裝置2驗證邏輯變量OK的值。
在圖4的步驟范圍內(nèi),附加信息V ' f,Ι,Γ ;Ρ由此包括計算機(jī)11,1Γ的簽名Ι,Γ和由其他計算機(jī)11'測定的其他控制信號S,。附加信息S, ' ;S,,Ι,Γ ;P尤其可以與簽名I,Γ和其他簽名Si相同??刂菩盘朣的正確性的驗證包括將簽名I,I,相互比較以及將由計算機(jī)11,11,測定的控制信號S,S'相互比較。
在與計算機(jī)11物理上不同的另一個計算機(jī)11'上對其他控制信號S'的測定與根據(jù)本發(fā)明的另一個計算路徑相符??蛇x地或額外地可以借助另一種算法-關(guān)鍵詞仍為“coded processing”(編碼處理)-來測定其他控制信號S'。該步驟也與根據(jù)本發(fā)明的另一個計算路徑相應(yīng)。
圖5的步驟基本相應(yīng)于與圖4的步驟。區(qū)別在于通過步驟S31和S32替代了步驟S3, S22, S23和S24。步驟S31相應(yīng)于步驟S3和S23的組合。步驟32相應(yīng)于步驟S22和S24的組合。在圖5的步驟中,各個計算機(jī)11,1Γ的各個簽名I,Γ與各個控制信號S,S' —起也被傳輸給控制裝置2并且被控制裝置2所接收。
作為圖3,圖4和圖5的步驟的備選,可以根據(jù)圖6執(zhí)行。下面結(jié)合圖7來闡述圖6。雖然圖7示出了基本上與圖1相同的控制布置,但它示出了另一種數(shù)據(jù)流。為了不使得圖1過于擁擠,以單獨的附圖示出該視圖。
根據(jù)圖6,圖2的步驟S4被實現(xiàn)成步驟S41至S43的形式。
在步驟S41中,控制裝置2-類似于圖4的步驟S21-又一次將與安全相關(guān)的輸入信號E傳輸給機(jī)群7。機(jī)群7的另一個計算機(jī)11'將接收該輸入信號。
計算機(jī)11,11'將由他們分別測定的控制信號S,S'以及他們各自的簽名S,S'發(fā)送給安全比較器12。安全比較器12-與計算機(jī)11,11'相同-是機(jī)群7的組成部分??梢栽跈C(jī)群7的內(nèi)部將安全比較器實現(xiàn)成獨立的結(jié)構(gòu)??蛇x地可以在一個或-優(yōu)選地-在兩個計算機(jī)11,IP中實現(xiàn)該安全比較器12。安全比較器12對與安全相關(guān)的控制信號S,和簽名Ι,Γ進(jìn)行安全比較。在內(nèi)容上,安全比較器12的功能性相應(yīng)于圖4的步驟S25和S26。
該比較使得控制信號S被傳輸給控裝置2,從而使得控制裝置2能夠在步驟S3中接收控制信號S??梢岳缬纱藢崿F(xiàn)向控制裝置2的傳輸,S卩,安全比較器12自身將控制信號S2傳輸給控制裝置。可選 地,安全比較器12可以向計算機(jī)11,11'之一傳輸相應(yīng)的使能信號。
安全比較器12額外地將檢驗信息P傳輸給控制裝置2。控制裝置2在步驟S42中接收該檢測信息P。檢測信息P的特征在于使得計算機(jī)11,11,正確地測定控制信號S,S'。例如,該檢驗信息涉及的是電子簽名或電子檢驗證書。
以與傳輸控制信號S,相同的方式來將檢驗信息傳輸給控制裝置2,也就是說在應(yīng)用錯誤保護(hù)協(xié)議時,由機(jī)群7 (更確切地說:由機(jī)群7的比較器12)經(jīng)過控制裝置2的連接到計算機(jī)網(wǎng)絡(luò)9上的連接8來實現(xiàn)該傳輸??梢?類似于圖5的步驟S31和S32-與控制信號S —起進(jìn)行傳輸。
在步驟S43中,控制裝置2以錯誤保護(hù)的方式將傳輸?shù)臋z驗信息P與目標(biāo)檢驗信息P*相比較。出于此目的,控制裝置2尤其可以對檢驗信息P進(jìn)行分析。與傳輸?shù)目刂菩盘朣相比較也是可能的。在這種情況下,目標(biāo)檢驗信息P*依賴于傳輸?shù)目刂菩盘朣??蛇x地,目標(biāo)檢驗信息P*可以不依賴于傳輸?shù)目刂菩盘朣。
在圖6的步驟范圍內(nèi),附加信息S' ' ;S',Ι,Γ ;Ρ由此包括檢驗信息P。尤其是附加信息可以與檢驗信息相同。
可以單獨地實現(xiàn)與圖3、圖4和圖5以及圖6的具體步驟相應(yīng)的圖2的原理構(gòu)造形式??蛇x地也可以將他們彼此相互結(jié)合。為了實現(xiàn)更高的安全性或為了實現(xiàn)更高的冗余(例如,根據(jù)三取二邏輯),這種結(jié)合是尤其有意義的。
通過根據(jù)本發(fā)明的構(gòu)造方式使得借助云計算的基礎(chǔ)設(shè)施也能夠?qū)崿F(xiàn)與安全相關(guān)的控制功能。由此,也可以靜態(tài)地或動態(tài)地將云(Cloud)的(幾乎)無限的資源用于與安全相關(guān)的控制功能。由于可以將計算強(qiáng)化的任務(wù)轉(zhuǎn)移到云中,由此,借助相對效率較低的控制裝置2來解決更為復(fù)雜的控制任務(wù)也是可能的。因此以簡單的方式確保識別出機(jī)群7 (=云)的參與的部件11,IP,12的故障,并且可以將其恢復(fù)到安全狀態(tài)。整個過程鏈,即從測定輸入信號E直至向工業(yè)技術(shù)過程I提供控制信號S,均受到了保護(hù)。尤其能夠斷定何時將最終僅僅在兩個不同的虛擬計算機(jī)中對想象的冗余進(jìn)行處理,該處理可以物理地通過機(jī)群7的同一個計算機(jī)11或11'來實現(xiàn),或在不進(jìn)行多樣化編程時實現(xiàn)。
盡管通過有益的實施例詳細(xì)地展示和描述了本發(fā)明的細(xì)節(jié),但所公開的實例并不對本發(fā)明產(chǎn)生局限,并且技術(shù)人員可以在背離本發(fā)明的保護(hù)范圍的條件下從中推導(dǎo)出其他變型。
權(quán)利要求
1.一種用于工業(yè)技術(shù)過程(1)的控制裝置(2 )的運行方法,其中,所述控制裝置(2 )循環(huán)地分別 -以錯誤保護(hù)的方式從所述工業(yè)技術(shù)過程(1)中接收與安全相關(guān)的輸入信號(E), -在應(yīng)用錯誤保護(hù)協(xié)議時,經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)將與安全相關(guān)的所述輸入信號(E )傳輸給機(jī)群(7 ), -在應(yīng)用用于所述工業(yè)技術(shù)過程(1)的所述錯誤保護(hù)協(xié)議時,經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8),由所述機(jī)群(7)接收特定的與安全相關(guān)的控制信號(S), -借助附加信息(S',;S',1,Γ ;Ρ)以錯誤保護(hù)的方式?jīng)Q定,所述控制裝置是否將由所述機(jī)群(7)測定的、為所述工業(yè)技術(shù)過程(I)特定的所述與安全相關(guān)的控制信號(S)認(rèn)定為正確的,以及 -根據(jù)所述決定的結(jié)果,或相應(yīng)于所述與安全相關(guān)的控制信號(S)以錯誤保護(hù)的方式控制所述工業(yè)技術(shù)過程(1 ),或以錯誤保護(hù)的方式將所述工業(yè)技術(shù)過程(I)轉(zhuǎn)入安全狀態(tài)中。
2.根據(jù)權(quán)利要求1所述的運行方法,其特征在于: -所述控制裝置(2)自身在應(yīng)用以錯誤保護(hù)的方式從所述工業(yè)技術(shù)過程(I)中接收的與安全相關(guān)的所述輸入信號(E)時,測定了其他為所述工業(yè)技術(shù)過程(I)特定的與安全相關(guān)的控制信號(S',), -所述附加信息(S' ' ;S',Ι,Γ ;Ρ)包括由所述控制裝置(2)自身測定的其他與安全相關(guān)的控制信號(S''),以及 -對從所述機(jī)群(7)傳輸給所述控制裝置(2)的所述與安全相關(guān)的控制信號(S)的正確性的驗證包括:將傳輸給所述控制裝置(2)的所述與安全相關(guān)的控制信號(S)與由所述控制裝置(2)自身測定的其他與安全相關(guān)的控制信號(S',)進(jìn)行比較。
3.根據(jù)權(quán)利要求1所述的運行方法,其特征在于, -在應(yīng)用所述錯誤保護(hù)協(xié)議時,所述控制裝置(2)經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)由所述機(jī)群(7)除了接收為所述工業(yè)技術(shù)過程(1)特定的所述與安全相關(guān)的控制信號(S)以外-尤其是與所述為工業(yè)技術(shù)過程(1)特定的所述與安全相關(guān)的控制信號(S)一起-還接 收了明確識別所述機(jī)群(7)的一條計算路徑的簽名(1), -在應(yīng)用所述錯誤保護(hù)協(xié)議時,所述控制裝置(2)經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)再次將所述輸入信號(E)傳輸給所述機(jī)群(7); -在應(yīng)用所述錯誤保護(hù)協(xié)議時,所述控制裝置(2)經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)由所述機(jī)群(7)接收了其他為所述工業(yè)技術(shù)過程(1)特定的與安全相關(guān)的控制信號(S'),以及除了其他為所述工業(yè)技術(shù)過程(1)特定的與安全相關(guān)的控制信號(S,)以外-尤其是與其他為所述工業(yè)技術(shù)過程(1)特定的與安全相關(guān)的控制信號(S')一起-還接收了明確識別所述機(jī)群(7)的另一條計算路徑的其他簽名(Γ ), -所述附加信息(S',;S',Ι,Γ ;Ρ)包括從所述機(jī)群(7)中接收的其他與安全相關(guān)的控制信號(S')以及計算路徑的簽名(I,Γ );以及 -對從所述機(jī)群(7)傳輸給所述控制裝置(2)的與安全相關(guān)的控制信號(S)的正確性的驗證包括:將由所述機(jī)群(7)接收的與安全相關(guān)的控制信號(S,S,)彼此比較并將由所述機(jī)群(7)接收的簽名(I,Γ )彼此比較。
4.根據(jù)權(quán)利要求1所述的運行方法,其特征在于, -在應(yīng)用所述錯誤保護(hù)協(xié)議時,所述控制裝置(2)經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)又一次將與安全相關(guān)的所述輸入信號(E)傳輸給所述機(jī)群(7); -在應(yīng)用錯誤保護(hù)協(xié)議時,所述控制裝置(2)經(jīng)過所述連接到所述計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)除了接收為所述工業(yè)技術(shù)過程(I)特定的所述與安全相關(guān)的控制信號(S)以外-尤其是與為所述工業(yè)技術(shù)過程(I)特定的與安全相關(guān)的控制信號(S) —起-還接收了檢測信息(P), -所述附加信息(S' ' ;S',Ι,I' ;Ρ)包括所述檢測信息(P),以及 -對傳輸給所述控制裝置(2)的所述與安全相關(guān)的控制信號(S)的正確性的驗證包括驗證所述檢測信息(P)與目標(biāo)檢測信息(P*)的一致性。
5.—種用于工業(yè)技術(shù)過程(I)的控制裝置(2 )的控制程序模塊,其中,所述控制程序模塊包括機(jī)器碼(6),所述機(jī)器碼能由所述控制裝置(2)的處理器裝置(3)直接處理,并且通過所述處理器裝置(3)執(zhí)行所述對機(jī)器碼的處理,從而使得所述控制裝置(2)實施上述權(quán)利要求中任意一項所述的運行方法。
6.一種用于工業(yè) 技術(shù)過程(I)的控制裝置,其中,所述控制裝置包括處理器裝置(3),其中,利用根據(jù)權(quán)利要求5所述的控制程序模塊(5)對所述控制裝置進(jìn)行編程,從而使得所述控制裝置在運行中基于對所述控制程序模塊(5)的機(jī)器碼(3)的所述處理,通過所述處理器裝置(3)實施權(quán)利要求1至4中任意一項所述的運行方法。
全文摘要
本發(fā)明涉及一種控制裝置(2),其以錯誤保護(hù)的方式分別從工業(yè)技術(shù)過程(1)中循環(huán)地接收輸入信號(E)。在應(yīng)用錯誤保護(hù)協(xié)議時,其經(jīng)過連接到計算機(jī)網(wǎng)絡(luò)(9)上的連接(8)將與安全相關(guān)的輸入信號傳輸給機(jī)群(7)。在應(yīng)用用于工業(yè)技術(shù)過程的錯誤保護(hù)協(xié)議時,該控制裝置經(jīng)過連接計算機(jī)網(wǎng)絡(luò)上的連接由機(jī)群(7)接收特定的與安全相關(guān)的控制信號(S)。其借助附加信息(S′′;S′,I,I′;P)以錯誤保護(hù)的方式?jīng)Q定其是否認(rèn)定由機(jī)群測定的為工業(yè)技術(shù)過程特定的與安全相關(guān)的控制信號正確。其根據(jù)決定結(jié)果,或相應(yīng)于與安全相關(guān)的控制信號以錯誤保護(hù)的方式控制工業(yè)技術(shù)過程,或以錯誤保護(hù)的方式將工業(yè)技術(shù)過程轉(zhuǎn)入安全狀態(tài)中。
文檔編號G05B19/418GK103163859SQ201210541198
公開日2013年6月19日 申請日期2012年12月13日 優(yōu)先權(quán)日2011年12月14日
發(fā)明者卡斯滕·哈姆, 邁克爾·克韋爾 申請人:西門子公司