国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于安全臨界過程的故障保險控制的安全控制器以及用于將新的操作程序裝載到這種安...的制作方法

      文檔序號:6288148閱讀:310來源:國知局
      專利名稱:用于安全臨界過程的故障保險控制的安全控制器以及用于將新的操作程序裝載到這種安 ...的制作方法
      技術領域
      本發(fā)明涉及一種安全臨界過程的故障保險控制的安全控制器,并且更為具體的說用于機器或機器系統(tǒng)的故障保險斷開,該機器或機器系統(tǒng)具有輸入模塊,其用于自動讀取過程信號;故障保險信號處理模塊,其用于自動處理過程信號;以及故障保險輸出模塊,其利用信號處理模塊產(chǎn)生控制信號,其中信號處理模塊包括至少一個可編程處理器和至少第一只讀存儲器,該第一只讀存儲器中以非易失形式存儲用于該處理器的當前操作程序。
      本發(fā)明還涉及一種用于將新的操作程序裝載到這種安全控制器上的方法以及相應的操作程序。
      背景技術
      例如,從WO 98/44399中可以得知上述類型的安全控制器。
      對于本發(fā)明的目的,安全控制器是一種裝置或者互相連接的各裝置的組合,其從傳感器接收過程信號,并利用這些信號通過進行邏輯運算的方式產(chǎn)生輸出信號,而且可以利用其它信號或數(shù)據(jù)處理步驟的方式產(chǎn)生輸出信號。該輸出信號被送到在周圍區(qū)域內執(zhí)行特定動作或反應的致動器。安全控制器的一個優(yōu)選應用領域是機器安全領域,即,監(jiān)視緊急停止按鈕、雙手控制器、防護門、光柵、靜止條件監(jiān)視等器。例如,使用這些傳感器保護機器,在工作期間,該機器可能傷害操作員。在打開防護門時,或者在操作緊急停止按鈕時,產(chǎn)生過程信號,將該過程信號作為輸入信號送到安全控制器。在對輸入信號作出反應時,利用所連接的致動器的方式,安全控制器以故障保險方式斷開該機器的危險部分。
      安全控制器與“常規(guī)”控制器不同的一個特性特征在于,該安全控制器必須始終保證所控制的過程(例如,危險機器)處于安全狀態(tài)。即使當安全控制器或連接到該安全控制器的裝置發(fā)生故障時,該要求仍需要適用。因此,對于它們自身的故障保險性,安全控制器必須滿足極嚴格的要求,這樣,在開發(fā)和制造過程中,顯著增加了工作量。通常,在使用它們之前,安全控制器要求得到負責監(jiān)督機關的特殊許可,例如,在德國,要求得到專業(yè)學會或所謂TUV(某種技術監(jiān)督協(xié)會)的許可。在此,安全控制器必須符合規(guī)定的安全標準,例如,歐洲標準EN 954-1所定義的安全標準。本發(fā)明考慮到這些特殊要求。因此,在這種情況下,術語“安全控制器”僅涉及用于控制機器、機器系統(tǒng)等的、至少根據(jù)上述歐洲標準的等級3許可的裝置或裝置的組合。
      可編程安全控制器使用戶能夠根據(jù)其要求分別確定利用軟件,特別是所謂用戶程序對輸入信號進行的邏輯運算。因此,可編程安全控制器利用邏輯開關元件代替以前到各傳感器的常規(guī)布線。為了能夠實現(xiàn)該功能,可編程安全控制器具有操作程序,且該操作程序與用戶程序分開,而且其定義安全控制器的基本功能范圍。具體地說,操作程序含有程序代碼,利用該程序代碼,可以直接尋址安全控制器的硬件部件,并因此而“激活”該硬件部件。
      此外,通常還以操作程序的方式實現(xiàn)安全控制規(guī)則,用戶程序將該操作程序作為預備功能模塊調用,而且用戶可以隨時利用輸入信號和輸出信號的方式配置該操作程序。例如,用于雙通道緊急停止按鈕和雙通道防護門的故障保險評估的預備功能模塊可以包含在該操作程序中。現(xiàn)在,在用戶程序中,用戶能夠僅定義如何利用邏輯方法將提供的模塊,即,緊急停止按鈕和防護門互相鏈接在一起。
      因為安全的原因,用戶不能訪問該操作程序,即,他既不能替換,也不能修改該操作程序。在本技術領域內,通常將該操作程序稱為固件。
      上面已經(jīng)提到的WO 98/44399描述了一種用于編程安全控制器的方法,其中,安全控制規(guī)則被以功能模塊的形式存儲在安全控制器內。利用其用戶程序,用戶可以選擇該功能模塊,他可以配置它們,而且他可以利用邏輯方法將它們互相鏈接在一起。這是利用編程器實現(xiàn)的,利用該編程器,可以將關于功能模塊的選擇、配置以及邏輯運算的命令傳送到該安全控制器。然而,如上所述,用戶不可能訪問在該功能模塊內實現(xiàn)的安全控制規(guī)則,即,他既不能替換它們,也不能修改它們。
      禁止訪問操作程序對應于安全控制器的切實可行的習慣做法,因為和安全控制器的硬件結合的操作程序要得到負責監(jiān)督機關的許可。根據(jù)通常的意見,如果用戶可以訪問硬件和操作程序的組合,則安全控制器的制造商就不能根據(jù)核準的證書確保故障保險性。
      然而,規(guī)定的做法產(chǎn)生的缺點是,只能由安全控制器的制造商自己在安全控制器的操作程序范圍內進行功能變更。如果要求在操作程序中進行功能變更或某些其它動作,則用戶必須將該安全控制器送到制造商那里,或者必須從制造商請來專家和認可的業(yè)務人員。這就需要進行煩瑣、昂貴的工作,此外,考慮其中使用安全控制器的機器系統(tǒng)的關閉時間,也具有缺點。
      在不考慮安全因素時,例如,對于市面上發(fā)售的個人計算機,常規(guī)做法是,用戶可以自己負責來執(zhí)行軟件更新,通過在發(fā)出指令后,從制造商獲得新的軟件并且將它裝載到個人計算機上。這還可以應用于所謂操作系統(tǒng),其表示本發(fā)明意義上的操作程序。然而,根據(jù)一般觀點,這種過程對于安全應用不可行,因為這樣可能導致安全控制器的制造商喪失對硬件和操作程序的組合的唯一控制。因此,可能出現(xiàn)未檢驗的硬件和操作程序的組合,存在安全風險。

      發(fā)明內容
      本發(fā)明的一個目的是說明一種最初描述的類型的安全控制器,其對于客戶的要求,允許更靈活而且成本效益更好的適應性。
      利用最初描述的類型的安全控制器實現(xiàn)該目的,該安全控制器具有用于傳送新的操作程序的下載裝置,其中下載裝置利用起動信息以故障保險方式起動或者禁止傳送新的操作程序。
      利用用于將新的操作程序裝載到最初描述的類型的安全控制器上的方法也可以實現(xiàn)該目的,該方法具有下面的步驟提供具有當前操作程序的安全控制器,提供新的操作程序,提供起動信息,以及根據(jù)起動信息,將新的操作程序傳送到安全控制器的只讀存儲器內。
      在機器安全領域,所描述的安全控制器和第一時間的相應方法可以使用戶自己將新的操作程序,例如,新的固件裝載,即傳送到現(xiàn)有安全控制器內。因此,本發(fā)明不同于至今采用的基本原理,在至今采用的基本原理中,只能由向監(jiān)督機關負責的制造商實現(xiàn)與安全控制規(guī)則有關的動作。
      因為驚奇地發(fā)現(xiàn)利用特定和附加的起動信息仍可以保持制造商對安全控制器的無隙控制,所以可以與先前的作法不同。制造商仍對選擇和定義起動信息進行控制。由于以故障保險方式禁止裝載新的操作程序,因此,利用該起動信息,安全控制器的制造商可以“自動”或者“利用機器”限制用戶端的硬件和操作程序的可能組合的數(shù)量。可以設計下載裝置,使得僅當根據(jù)要求的起動信息識別制造商已經(jīng)起動傳送到現(xiàn)有硬件平臺上時傳送新的操作程序。利用本身公知的、在機器安全領域通常使用的編程或者電路系統(tǒng)裝置,具體地說利用雙路而且優(yōu)選地互異校驗起動信息和/或雙路且優(yōu)選的互異禁止傳送,可以以故障保險方式校驗例如含有容許的硬件平臺列表的起動信息。
      因為用戶更新操作程序的軟件的能力,所以在邏輯監(jiān)控方面,新型安全控制器更具靈活性??梢越档椭圃焐痰纳a(chǎn)和服務成本。另一方面,可以縮短因為在操作程序級修改安全控制器的機器系統(tǒng)的關閉時間,這是因為不需要等待制造商派服務技術員。此外,有助于用戶在更大范圍內使用現(xiàn)有安全控制器,因為通過裝載具有新的功能范圍的新的操作程序,他可以更新其安全控制器。然而,這些優(yōu)點不對安全性產(chǎn)生任何負面影響,因為與以前一樣,用戶不能訪問內部安全控制規(guī)則。
      因此,完全實現(xiàn)上述目的。
      在本發(fā)明的改進中,起動信息被以機器可識別的方式至少部分集成在新的操作程序內。
      該改進使用戶非常簡單、方便地進行選擇,以故障保險方式評估起動信息并以故障保險方式進行或者禁止傳送新的操作程序。此外,利用至少部分集成的起動信息,可以更好地減少操作,這樣可以提高安全性。
      在進一步的改進中,起動信息包括第一順序版本信息項目和第二順序版本信息項目,其中第一順序版本信息項目與當前操作程序相關,而第二順序版本信息項目與新的操作程序相關。
      順序版本信息項目,即,可以設置在序列內的唯一一個特定位置的版本信息項目以特別簡單的方式實現(xiàn)故障保險的起動或禁止。這是因為從理論上說,制造商傳送安全控制器和裝載到其上的操作程序。因此,與以前一樣,硬件平臺與當前操作程序的組合受到制造商在其自己的組織內的完全控制。然后,順序版本信息項目可以使制造商容易地保證用戶只能裝載更新的操作程序,也就是說,具有更高順序版本信息項目的操作程序。因此,在任何環(huán)境下,用戶不可能將“舊”操作程序提供給傳送的安全控制器。因此,實際上,以簡單的方式消除了大多數(shù)未校驗的并因此不能接受的硬件平臺與操作程序的組合。
      對于制造商,他可以利用監(jiān)督機關驗證具有更高版本信息項目的新版本操作程序能夠以故障保險方式適當?shù)剡\行在先前使用的硬件平臺上。這樣做的工作能夠保持在低水平,因為新版本的操作程序通常建立在先前版本的基礎上,且因此僅包括有限的修改范圍。
      通過順序版本信息項目的故障保險校驗,消除了理論上用戶將該組合中未校驗的舊的操作程序裝載到新的安全控制器上的可能性。
      在進一步的改進中,下載裝置含有比較器,其用于將第一與第二版本信息項目進行比較,而且該下載裝置還包括起動裝置,其利用比較器,在順序第二版本信息項目低于順序第一版本信息項目時,以故障保險方式禁止裝載新操作程序。
      具體地說,該改進以有利方式自動或利用機器來評估順序版本信息項目,以起動或者禁止傳送。在這種情況下,顯然比較器和起動裝置同樣可以是硬件模塊形式或軟件形式,即,可以在當前操作程序內實現(xiàn)它們。
      在進一步的改進中,僅當順序第二版本信息項目高于順序第一版本信息項目時,起動裝置起動裝載新操作程序。
      換句話說,當順序第二版本信息項目與順序第一版本信息項目相同時,也禁止下載新操作程序。
      在該改進中,除了上面解釋的方法,還禁止重新裝載相同的操作程序。例如,如果安全控制器的用戶遇到故障,從而導致他認為可以通過重新裝載現(xiàn)有操作程序來進行校正,該用戶就可能具有這樣做的動機。然而,這種“自助”通常是不可靠的。因此,為了安全起見,如果用戶自己只能將具有較高版本信息項目的操作程序裝載到他的安全控制器上是有利的。
      在進一步的改進中,第一和第二版本信息項目被以故障保險方式存儲到各自的操作程序中。
      具體地說,利用本身公知的冗余存儲和/或簽名形成過程,例如,以CRC校驗(循環(huán)冗余校驗)的形式來實現(xiàn)版本信息的故障保險保護。在該改進中,因為如果存在缺陷或者操作版本信息,則本身可以防止不希望地裝載新操作程序,所以可以更可靠地裝載新操作程序。這樣進一步增強了制造商對安全控制器的控制。
      在進一步的改進中,至少新操作程序包括程序代碼,當在安全控制器上運行新操作程序時,該程序代碼在安全控制器上實現(xiàn)安全控制規(guī)則。
      這種措施可以以特別有利的方式修改安全控制器的全部功能范圍,而不使該安全控制器的制造商喪失對其的控制。在該改進中,本發(fā)明的優(yōu)點是顯而易見的。在這種情況下,通過裝載新操作程序,用戶能夠修改安全控制規(guī)則。然而,限制用戶替換被制造商控制的、所實現(xiàn)的所有安全控制規(guī)則的“整個封裝”。他自己不能修改或者操縱該安全控制規(guī)則,否則,存在安全風險。
      在進一步的改進中,設置第二只讀存儲器,硬件信息的第一項目存儲在該第二只讀存儲器中,其至少是信號處理模塊的特征。此外,新操作程序包括硬件信息的第二項目,其是最低要求的硬件配置的特征,并且起動裝置通過對第一與第二硬件信息項目進行比較來起動或者禁止裝載新操作程序。換句話說,通過將第一與第二硬件信息項目進行比較,起動裝置禁止存儲。
      本發(fā)明的改進還使安全控制器的制造商確保僅在滿足他測試的最低前置條件的硬件平臺上運行新操作程序。因此,在用戶端,安全控制器的制造商可以進一步限制硬件平臺與操作程序的組合范圍。從制造商的觀點出發(fā),這樣可以減少對容許的硬件平臺與操作程序的組合進行驗證的工作,而且不產(chǎn)生任何錯誤。從用戶的觀點出發(fā),這樣可以進一步降低硬件與操作程序的安全臨界組合的風險。
      在進一步的改進中,第一和第二硬件信息項目包括順序版本信息項目。
      如上所述,順序版本信息項目允許插入一系列或序列上的唯一一個位置。具體地說,可以在用戶前提下,容易和可靠地校驗硬件平臺與操作程序的組合的容許性。
      在進一步的改進中,第一和第二硬件信息項目分別含有類型信息。
      這樣可以允許校驗是否存在更簡單和可靠地實現(xiàn)的硬件平臺與操作程序的容許組合。類型信息可以區(qū)別不同系列的硬件平臺,使得可以不考慮版本信息,來防止裝載不適合該特定類型的操作程序。此外,結合順序版本信息可以獲得重復校驗能力,這樣提供附加安全性。
      顯然,在本發(fā)明的范圍內,上面描述的特征以及將在下面描述的特征不僅可以用于分別說明的組合中,而且可以用于其它組合中,或者單獨使用它們。


      在下面的描述中將更詳細說明本發(fā)明的典型實施例,而且附圖示出本發(fā)明的典型實施例,在附圖中圖1示出根據(jù)本發(fā)明的安全控制器的原理圖,以及圖2示出用于解釋根據(jù)本發(fā)明的方法的流程圖。
      具體實施例方式
      在圖1中,利用參考編號10表示根據(jù)本發(fā)明的安全控制器。
      在這種情況下,根據(jù)本發(fā)明的優(yōu)選實施例,安全控制器10用于安全斷開機器系統(tǒng),具體地說是工業(yè)生產(chǎn)環(huán)境下的機器系統(tǒng)。在這種情況下,通過例子的方式,利用可以被安全控制器10單獨斷開或聯(lián)合斷開的3個電驅動器12示出該機器系統(tǒng)。在該應用實例中,安全控制器10對兩個緊急停止開關14和防護門16進行評估作為輸入信號。以在機器系統(tǒng)領域本身公知的方式來布置緊急停止開關14和防護門16,以確保保護正在工作的操作員的安全。
      本實施例的安全控制器10是僅負責保護機器系統(tǒng)的專有裝置,即,其在緊急停止開關14或防護門16輸出相應斷開信號時,有準備地斷開驅動器12。在這種情況下,機器的操作控制,即,例如工作過程器件使驅動器12加速或制動不是安全控制器10的任務。為此目的設置了一種本身公知的自主工作控制器,但是,為了簡潔起見,在這里沒有示出。然而,作為選擇的,在其它典型實施例中,安全控制器10還可以向機器系統(tǒng)提供操作控制。不言而喻,在這種情況下,安全控制器10更復雜,而且除了所示的輸入信號和輸出信號,它還要接收和發(fā)送其它機器類型的控制信號。
      此外,不言而喻,除了在此所示的用于輸入信號的信號發(fā)送器,即,緊急停止開關14和防護門16,任何其它所需的信號發(fā)送器,例如,雙手按鈕、靜止狀態(tài)監(jiān)視器、光障或定位開關也可以連接到安全控制器10的輸入端。利用操作程序和用戶程序,安全控制器10以本身公知的方式對這些信號發(fā)送器進行故障保險評估。
      其它電氣工作的負載同樣可以連接到安全控制器10的輸出端,必須利用安全控制器10的輸入端的信號以故障保險方式斷開這些電氣工作的負載。
      最后,應該說明的是,利用用戶程序,用戶可以以本身公知的方式對安全控制器10進行編程。作為例子,參考WO 98/44399,在背景技術中已經(jīng)引用了其。然而,本發(fā)明的優(yōu)點還可以應用于那些用戶不能利用用戶程序進行編程而且存在上面說明的意義的操作程序的安全控制器。作為例子,本發(fā)明的申請人銷售在產(chǎn)品系列PNOZelogTM內的這樣的安全控制器,在這種情況下,迄今為止,這些裝置的用戶還不能替換操作程序。
      為了從信號發(fā)送器,即,緊急停止開關14和防護門16接收過程變量,安全控制器10具有輸入模塊18。因為要求的故障保險,輸入模塊18通?;陔p通道冗余設計,這在圖1中是利用虛線表示的。然而,在個別情況下,利用一個通道設計輸入模塊18或其至少一部分就足夠了。此外,為了簡潔起見,利用專用功能塊示出圖1所示方框圖中的輸入模塊。然而,它部分地是以軟件形式,而且可以被以適當形式嵌入在操作程序中。
      參考編號20表示安全控制器10內的信號處理模塊。這樣以本身公知的方式鏈接從輸入模塊18接收的過程信號,且利用它們產(chǎn)生控制信號,通過輸出模塊22發(fā)送該控制信號。輸出模塊22通常含有繼電器、接觸器或者其它電子開關,利用它們對驅動器供電,或者總的來說對機器系統(tǒng)供電,以故障保險方式斷開該輸出模塊22。再次利用對角線表示故障保險性,該對角線表示該輸出模塊22的適當?shù)娜哂嘣O計。利用圖1中的適當?shù)姆娇蚣^表示通過信號處理模塊20從輸入模塊18流向輸出模塊22的信號。
      信號處理模塊20至少含有一個可編程處理器24以及只讀存儲器26和主存儲器28。以本身公知的方式,處理器24的操作程序30以非易失形式存儲在只讀存儲器26內。這是機器可識別形式的程序指令的總和,其允許實現(xiàn)安全控制器10的基本功能。具體地說,該典型實施例中的操作程序30含有通過其處理器24可以讀出并發(fā)送信號的程序指令。這些程序指令有效“激活”安全控制器10的硬件。
      此外,在這種情況下,操作程序30含有準備好的一組安全控制規(guī)則,例如,利用該安全控制規(guī)則,提供雙路緊急停止開關的故障保險評估。對所有其它容許的信號發(fā)送器以及安全控制器10的輸出端的所有容許的致動器同樣地提供故障保險評估算法。
      如果安全控制器10是專有裝置,則操作程序30還包括安全控制規(guī)則與輸入及輸出連接之間的關聯(lián)。在這種情況下,用戶對功能范圍不產(chǎn)生影響,或者最多僅對其具有非常有限的影響。然而,如上所述,作為選擇的,可以以用戶可以選擇安全控制規(guī)則,而且利用自己建立的用戶程序配置這些安全控制規(guī)則的方式來生產(chǎn)安全控制器10。
      主存儲器28用于臨時存儲中間變量,而且還可以用于保存用戶程序,該用戶程序位于操作程序30中。
      作為例子,從可以進行互相檢驗和校驗的冗余實現(xiàn)可以看出,設計安全控制器10內的信號處理模塊20完全是固有的故障保險的。在這種情況下,成對地表示處理器24、只讀存儲器26以及主內存28。
      方框圖中的參考編號32表示用于裝載新操作程序34的下載裝置。在這種情況下,“裝載”意味著以新操作程序34與第一操作程序30一起和/或者代替第一操作程序30確定安全控制器10的功能范圍的方式,將新操作程序34存儲到只讀存儲器26中。具體地說,裝載新操作程序34的過程可以包括完全替換現(xiàn)有操作程序30。因此,尤其可以通過修改安全控制規(guī)則,替換先前提供的安全控制規(guī)則。
      根據(jù)本發(fā)明,在這種情況下,下載裝置32含有比較器36和起動裝置38。此外,在現(xiàn)有操作程序30和新操作程序34內均提供順序版本信息項目,而且在圖1中分別利用參考編號40和42表示。比較器36讀取現(xiàn)有操作程序30的版本信息項目40和新操作程序34的版本信息項目42,然后,將它們互相進行比較。根據(jù)該比較結果,起動裝置38禁止或者起動裝載新操作程序34的性能。具體地說,僅在新操作程序34的版本信息高于現(xiàn)有操作程序30的版本信息時,下載裝置32才允許裝載新操作程序34。換句話說,僅在新操作程序34比現(xiàn)有操作程序30更新時,將新操作程序34裝載到安全控制器10,而且這是通過對版本信息項目進行比較確定的。
      顯然,選擇具有比較器36和起動裝置38的圖1所示示意圖主要是為了說明的原因。在實際實現(xiàn)中,利用程序的方式,即,利用作為現(xiàn)有操作程序30的一部分存儲在只讀存儲器26內、并被處理器24處理的適當程序指令對版本信息項目進行比較,并禁止或者起動該裝載過程。下載裝置32的硬件進一步包括本身公知的接口,例如,RS232接口,如果被適當?shù)仄饎?,通過該接口可以讀入新操作程序34。
      根據(jù)本發(fā)明的一個優(yōu)選示例性實施例,在具有多個冗余的情況下,使操作程序30和34的版本信息項目40和42嵌入操作程序,且/或利用防誤差措施,例如,CRC校驗和或某種其它簽名形成過程來保護它們。僅在兩個版本信息項目40、42的故障保險比較表示新操作程序34的版本信息確實高于現(xiàn)有操作程序30的版本信息時,起動裝置38允許裝載新操作程序34。
      根據(jù)一個優(yōu)選的典型實施例,至少是信號處理模塊20的特征的硬件信息項目44也被存儲在安全控制器10內。換句話說,硬件信息44提供關于安全控制器10的硬件平臺的開發(fā)標準的信息。根據(jù)一個特定的典型優(yōu)選實施例,硬件信息還包括類型信息46,通過該類型信息46可以更準確地識別不同硬件平臺。此外,新操作程序34含有第二硬件信息項目48,該第二硬件信息項目48至少可以用于識別所要求的硬件前置條件。硬件信息項目44、48優(yōu)選地也是順序版本信息項目,這樣可以允許現(xiàn)有硬件平臺和最低要求的前置條件僅被插入開發(fā)序列的一個位置中。
      在優(yōu)選典型實施例中,也可以考慮硬件信息44、46、48來校驗以確定起動或者關閉用于新操作程序34的裝載。具體地說,僅當根據(jù)存儲的硬件信息44、46,確實存在安全控制器10的硬件平臺的最低要求(在操作程序34內編碼)時,起動新操作程序34的裝載。
      根據(jù)進一步的典型優(yōu)選實施例,還以非易失形式將進一步的版本信息項目50存儲在安全控制器10內,以定義新操作程序34的最低容許版本。因此,在該典型實施例中,起動裝載新操作程序34的過程還取決于高于所定義的最低版本信息項目50的版本信息項目42。該進一步的比較準則使得裝載新操作程序34取決于進一步校驗。然而,如果安全控制器10的制造商保證安全控制器10始終僅利用所包括的一個版本信息項目40與一個操作程序30一起傳送,則可以省略該校驗。然后,利用僅當其版本信息項目高于現(xiàn)有版本信息項目時裝載新操作程序34的事實,能夠確保新操作程序34的最低要求。
      圖2利用流程圖示意性地說明如何記錄新操作程序34??梢匀菀椎乜闯?,可以以處理器24的適當程序代碼的方式很好地實現(xiàn)相應方法。
      首先,在步驟60激活下載模式。為了防止錯誤控制動作和由于疏忽的激活,通過操作安全控制器10上的按鍵操作開關(在此未示出)實現(xiàn)該過程是有利的,該按鍵操作開關是為此用途附加設置的。然而,通過輸入口令等,也可以以程序的形式激活下載模式。
      然后,在步驟62讀取現(xiàn)有操作程序30的當前版本信息項目40。然后,在步驟64讀取新操作程序34的版本信息項目42。然后,在步驟66對這兩個版本信息項目40、42進行比較。如果現(xiàn)有操作程序30的版本信息項目40大于或者高于新操作程序34的版本信息項目42,則在步驟68終止該方法,而且優(yōu)選地結束下載模式。這樣可以可靠地防止記錄新操作程序34。
      如果對這兩個版本信息項目40、42所做的比較說明容許附加新操作程序34,或者可以以其代替現(xiàn)有操作程序30,則在步驟70讀取安全控制器10的硬件信息44、46。然后,在步驟72讀取硬件信息48,其定義關于新操作程序34的運行性能和容許性的最低硬件前置條件。在在此描述的典型優(yōu)選實施例中,在步驟74首先進行類型比較,也就是說進行校驗以根據(jù)類型信息確定是否容許在安全控制器10上運行該操作程序34。如果情況不是這樣,則在步驟76再次最終結束下載模式。
      相反,如果類型比較是肯定的,則在步驟78校驗進一步的準則,以確定安全控制器10的硬件信息44是否高于或者至少等于包含在操作程序34內的最低硬件信息48。如果該比較說明安全控制器10不符合最低硬件前置條件,則在步驟80再次終止下載模式。
      另一方面,如果根據(jù)硬件信息所做的硬件前置條件校驗也是肯定的,則在步驟82裝載操作程序34。換句話說,之后將操作程序34存儲到只讀存儲器26內。一旦完成該存儲過程,新操作程序34就可用了,其代替現(xiàn)有操作程序30,或者在現(xiàn)有操作程序30之外,用于安全控制器10的工作。
      可以以各種方式將新操作程序34傳送到安全控制器10。如上所述,一旦操作程序34被激活,該操作程序34就可以被通過串行接口傳送到安全控制器10。還可以通過現(xiàn)場總線或可更換存儲介質進行傳送。從原理上說,還可以通過因特網(wǎng)傳送新操作程序34。
      為了進一步提高故障保險性,對于操作程序34,具體地說版本信息項目42和48,有利地利用本身公知的加密算法來防止不利的操縱和故障。然后,在安全控制器10內設置適當?shù)慕饷艹绦?在此未示出)。
      在到此為止描述的典型優(yōu)選實施例中,例如,版本信息項目含有僅允許插入序列內的唯一一個位置的數(shù)字和/或字母組合。然而,作為選擇的,還可以不以“完成的方式”,而以算法的方式提供版本信息項目,該算法產(chǎn)生唯一結果并因此允許最終確定順序版本信息。這也是用于本發(fā)明用途的順序版本信息。
      權利要求
      1.一種安全控制器,其用于安全臨界過程的故障保險控制,具體地說用于機器(12)或機器系統(tǒng)的故障保險斷開,該安全控制器具有輸入模塊(18),其用于自動讀取過程信號;故障保險信號處理模塊(20),其用于自動處理該過程信號;以及故障保險輸出模塊(22),其通過信號處理模塊(20)產(chǎn)生控制信號,其中信號處理模塊(20)包括至少一個可編程處理器(24)和至少第一只讀存儲器(26),在該第一只讀存儲器(26)中以非易失形式存儲該處理器(24)的當前操作程序(30),其特征在于用于傳送新操作程序(34)的下載裝置(32),其中下載裝置(32)利用起動信息(40、42),以故障保險方式起動或者禁止新操作程序(34)的傳送。
      2.如權利要求1所述的安全控制器,其特征在于,該起動信息(40,42)被以機器可識別的形式至少部分地集成在新操作程序(34)內。
      3.如權利要求1或2所述的安全控制器,其特征在于,該起動信息(40,42)包括第一順序版本信息項目(40)和第二順序版本信息項目(42),其中第一順序版本信息項目(40)與當前操作程序(30)相關,且第二順序版本信息項目(42)與新操作程序(34)相關。
      4.如權利要求3所述的安全控制器,其中,該下載裝置(32)包括比較器(36),其用于將第一與第二版本信息項目(40,42)進行比較,且其包括起動裝置(38),其中在順序第二版本信息項目(42)低于順序第一版本信息項目(40)時,起動裝置(38)利用比較器(36),以故障保險方式禁止裝載新操作程序(34)。
      5.如權利要求4所述的安全控制器,其中,僅當順序第二版本信息項目(42)高于順序第一版本信息項目(40)時,起動裝置(38)起動裝載新操作程序(34)。
      6.如權利要求3至5中任意一個所述的安全控制器,其中,該第一和第二版本信息項目(40,42)被以故障保險方式存儲到各自的操作程序(30,34)中。
      7.如權利要求1至6中任意一個所述的安全控制器,其中,至少該新操作程序(42)包括程序代碼,當在安全控制器(10)上運行新操作程序(42)時,該程序代碼實現(xiàn)安全控制器(10)中的安全控制規(guī)則。
      8.如權利要求1至7中任意一個所述的安全控制器,其中,提供第二只讀存儲器,硬件信息(44)的第一項目存儲在該第二只讀存儲器中,其至少是信號處理模塊(20)的特征,新操作程序(34)包括硬件信息(48)的第二項目,其是最低要求硬件配置的特征,以及下載裝置(32)根據(jù)第一和第二硬件信息項目(44,48)起動或者禁止裝載新操作程序(34)。
      9.如權利要求8所述的安全控制器,其中,該第一和第二硬件信息項目(44,48)包括順序硬件版本信息項目。
      10.如權利要求8或9所述的安全控制器,其中,該第一和第二硬件信息項目(44,48)包括硬件類型信息(46)。
      11.一種用于在如權利要求1至10中任意一個所述的安全控制器內裝載新操作程序的方法,該方法包括下面的步驟提供具有當前操作程序(30)的安全控制器(10),提供新操作程序(34),提供起動信息(40,42),根據(jù)起動信息(40,42),將新操作程序(34)傳送到安全控制器(10)的只讀存儲器(26)。
      12.如權利要求11所述的方法,其中,該起動信息(40,42)包括第一順序版本信息項目(40)和第二順序版本信息項目(42),其中該第一順序版本信息項目(40)與當前操作程序(30)相關,而第二順序版本信息項目(42)與新操作程序(34)相關。
      13.如權利要求12所述的方法,其中,該傳送被在順序第二版本信息項目(42)低于順序第一版本信息項目(40)時禁止。
      14.如權利要求11至13中任意一個所述的方法,進一步包括下面的步驟,在安全控制器(10)的第二只讀存儲器內提供硬件信息(44)的第一項目,其是安全控制器(10)的特征,在新操作程序(34)內提供硬件信息(48)的第二項目,其中第二硬件信息(48)的特征在于新操作程序(34)的最低要求的硬件要求,以及通過將第一與第二硬件信息項目(44,48)進行比較來禁止傳送過程。
      15.一種用于如權利要求1至10中任意一個所述的安全控制器的操作程序,該操作程序實現(xiàn)如權利要求11至14中任意一個所述的方法,其特征在于集成的起動信息(40,42)。
      16.如權利要求15所述的操作程序,其中,該程序代碼在信號處理模塊(20)中運行操作程序(30,34)時,在安全控制器(10)中實現(xiàn)安全控制規(guī)則。
      17.如權利要求15或16所述的操作程序,其中,該起動信息(40,42)被以故障保險方式存儲在操作程序(30,34)內。
      18.一種數(shù)據(jù)存儲介質,在其上編碼如權利要求15至17中任意一個所述的操作程序(30,34)。
      全文摘要
      本發(fā)明涉及一種安全控制器(10)以及一種用于將新操作程序(34)裝載到這種安全控制器(10)上的方法。安全控制器(10)具有輸入模塊(18),用于自動讀取過程信號;故障保險信號處理模塊(20),其用于自動處理該過程信號;以及故障保險輸出模塊(22),其通過信號處理模塊(20)產(chǎn)生控制信號。該信號處理模塊(20)包括至少一個可編程處理器(24)和至少一個只讀存儲器(26)。在該只讀存儲器(26)中以非易失形式存儲該處理器(24)的當前操作程序(30)。在安全控制器(10)中提供用于傳送新操作程序(34)的下載裝置(32),該下載裝置(32)利用起動信息(40、42),以故障保險方式起動或者禁止新操作程序(34)的傳送。
      文檔編號G05B9/02GK1678963SQ03820688
      公開日2005年10月5日 申請日期2003年8月20日 優(yōu)先權日2002年8月28日
      發(fā)明者約翰內斯·克勒普弗, 克勞斯·沃恩哈斯 申請人:皮爾茲有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1