用于安全临界过程的故障保险控制的安全控制器以及用于将新的操作程序装载到这种安全控制器上的方法

摘要

本发明涉及一种安全控制器(10)以及一种用于将新操作程序(34)装载到这种安全控制器(10)上的方法。安全控制器(10)具有：输入模块(18)，用于自动读取过程信号；故障保险信号处理模块(20)，其用于自动处理该过程信号；以及故障保险输出模块(22)，其通过信号处理模块(20)产生控制信号。该信号处理模块(20)包括至少一个可编程处理器(24)和至少一个只读存储器(26)。在该只读存储器(26)中以非易失形式存储该处理器(24)的当前操作程序(30)。在安全控制器(10)中提供用于传送新操作程序(34)的下载装置(32)，该下载装置(32)利用起动信息(40、42)，以故障保险方式起动或者禁止新操作程序(34)的传送。

说明书

技术领域

本发明涉及一种安全临界过程的故障保险控制的安全控制器，并且更为具体的说用于机器或机器系统的故障保险断开，该机器或机器系统具有：输入模块，其用于自动读取过程信号；故障保险信号处理模块，其用于自动处理过程信号；以及故障保险输出模块，其利用信号处理模块产生控制信号，其中信号处理模块包括至少一个可编程处理器和至少第一只读存储器，该第一只读存储器中以非易失形式存储用于该处理器的当前操作程序。

本发明还涉及一种用于将新的操作程序装载到这种安全控制器上的方法以及相应的操作程序。

背景技术

例如，从WO 98/44399中可以得知上述类型的安全控制器。

对于本发明的目的，安全控制器是一种装置或者互相连接的各装置的组合，其从传感器接收过程信号，并利用这些信号通过进行逻辑运算的方式产生输出信号，而且可以利用其它信号或数据处理步骤的方式产生输出信号。该输出信号被送到在周围区域内执行特定动作或反应的致动器。安全控制器的一个优选应用领域是机器安全领域，即，监视紧急停止按钮、双手控制器、防护门、光栅、静止条件监视等器。例如，使用这些传感器保护机器，在工作期间，该机器可能伤害操作员。在打开防护门时，或者在操作紧急停止按钮时，产生过程信号，将该过程信号作为输入信号送到安全控制器。在对输入信号作出反应时，利用所连接的致动器的方式，安全控制器以故障保险方式断开该机器的危险部分。

安全控制器与“常规”控制器不同的一个特性特征在于，该安全控制器必须始终保证所控制的过程(例如，危险机器)处于安全状态。即使当安全控制器或连接到该安全控制器的装置发生故障时，该要求仍需要适用。因此，对于它们自身的故障保险性，安全控制器必须满足极严格的要求，这样，在开发和制造过程中，显著增加了工作量。通常，在使用它们之前，安全控制器要求得到负责监督机关的特殊许可，例如，在德国，要求得到专业学会或所谓TUV(某种技术监督协会)的许可。在此，安全控制器必须符合规定的安全标准，例如，欧洲标准EN 954-1所定义的安全标准。本发明考虑到这些特殊要求。因此，在这种情况下，术语“安全控制器”仅涉及用于控制机器、机器系统等的、至少根据上述欧洲标准的等级3许可的装置或装置的组合。

可编程安全控制器使用户能够根据其要求分别确定利用软件，特别是所谓用户程序对输入信号进行的逻辑运算。因此，可编程安全控制器利用逻辑开关元件代替以前到各传感器的常规布线。为了能够实现该功能，可编程安全控制器具有操作程序，且该操作程序与用户程序分开，而且其定义安全控制器的基本功能范围。具体地说，操作程序含有程序代码，利用该程序代码，可以直接寻址安全控制器的硬件部件，并因此而“激活”该硬件部件。

此外，通常还以操作程序的方式实现安全控制规则，用户程序将该操作程序作为预备功能模块调用，而且用户可以随时利用输入信号和输出信号的方式配置该操作程序。例如，用于双通道紧急停止按钮和双通道防护门的故障保险评估的预备功能模块可以包含在该操作程序中。现在，在用户程序中，用户能够仅定义如何利用逻辑方法将提供的模块，即，紧急停止按钮和防护门互相链接在一起。

因为安全的原因，用户不能访问该操作程序，即，他既不能替换，也不能修改该操作程序。在本技术领域内，通常将该操作程序称为固件。

上面已经提到的WO 98/44399描述了一种用于编程安全控制器的方法，其中，安全控制规则被以功能模块的形式存储在安全控制器内。利用其用户程序，用户可以选择该功能模块，他可以配置它们，而且他可以利用逻辑方法将它们互相链接在一起。这是利用编程器实现的，利用该编程器，可以将关于功能模块的选择、配置以及逻辑运算的命令传送到该安全控制器。然而，如上所述，用户不可能访问在该功能模块内实现的安全控制规则，即，他既不能替换它们，也不能修改它们。

禁止访问操作程序对应于安全控制器的切实可行的习惯做法，因为和安全控制器的硬件结合的操作程序要得到负责监督机关的许可。根据通常的意见，如果用户可以访问硬件和操作程序的组合，则安全控制器的制造商就不能根据核准的证书确保故障保险性。

然而，规定的做法产生的缺点是，只能由安全控制器的制造商自己在安全控制器的操作程序范围内进行功能变更。如果要求在操作程序中进行功能变更或某些其它动作，则用户必须将该安全控制器送到制造商那里，或者必须从制造商请来专家和认可的业务人员。这就需要进行烦琐、昂贵的工作，此外，考虑其中使用安全控制器的机器系统的关闭时间，也具有缺点。

在不考虑安全因素时，例如，对于市面上发售的个人计算机，常规做法是，用户可以自己负责来执行软件更新，通过在发出指令后，从制造商获得新的软件并且将它装载到个人计算机上。这还可以应用于所谓操作系统，其表示本发明意义上的操作程序。然而，根据一般观点，这种过程对于安全应用不可行，因为这样可能导致安全控制器的制造商丧失对硬件和操作程序的组合的唯一控制。因此，可能出现未检验的硬件和操作程序的组合，存在安全风险。

发明内容

本发明的一个目的是说明一种最初描述的类型的安全控制器，其对于客户的要求，允许更灵活而且成本效益更好的适应性。

利用最初描述的类型的安全控制器实现该目的，该安全控制器具有用于传送新的操作程序的下载装置，其中下载装置利用起动信息以故障保险方式起动或者禁止传送新的操作程序。

利用用于将新的操作程序装载到最初描述的类型的安全控制器上的方法也可以实现该目的，该方法具有下面的步骤：

提供具有当前操作程序的安全控制器，

提供新的操作程序，

提供起动信息，以及

根据起动信息，将新的操作程序传送到安全控制器的只读存储器内。

在机器安全领域，所描述的安全控制器和第一时间的相应方法可以使用户自己将新的操作程序，例如，新的固件装载，即传送到现有安全控制器内。因此，本发明不同于至今采用的基本原理，在至今采用的基本原理中，只能由向监督机关负责的制造商实现与安全控制规则有关的动作。

因为惊奇地发现利用特定和附加的起动信息仍可以保持制造商对安全控制器的无隙控制，所以可以与先前的作法不同。制造商仍对选择和定义起动信息进行控制。由于以故障保险方式禁止装载新的操作程序，因此，利用该起动信息，安全控制器的制造商可以“自动”或者“利用机器”限制用户端的硬件和操作程序的可能组合的数量。可以设计下载装置，使得仅当根据要求的起动信息识别制造商已经起动传送到现有硬件平台上时传送新的操作程序。利用本身公知的、在机器安全领域通常使用的编程或者电路系统装置，具体地说利用双路而且优选地互异校验起动信息和/或双路且优选的互异禁止传送，可以以故障保险方式校验例如含有容许的硬件平台列表的起动信息。

因为用户更新操作程序的软件的能力，所以在逻辑监控方面，新型安全控制器更具灵活性。可以降低制造商的生产和服务成本。另一方面，可以缩短因为在操作程序级修改安全控制器的机器系统的关闭时间，这是因为不需要等待制造商派服务技术员。此外，有助于用户在更大范围内使用现有安全控制器，因为通过装载具有新的功能范围的新的操作程序，他可以更新其安全控制器。然而，这些优点不对安全性产生任何负面影响，因为与以前一样，用户不能访问内部安全控制规则。

因此，完全实现上述目的。

在本发明的改进中，起动信息被以机器可识别的方式至少部分集成在新的操作程序内。

该改进使用户非常简单、方便地进行选择，以故障保险方式评估起动信息并以故障保险方式进行或者禁止传送新的操作程序。此外，利用至少部分集成的起动信息，可以更好地减少操作，这样可以提高安全性。

在进一步的改进中，起动信息包括第一顺序版本信息项目和第二顺序版本信息项目，其中第一顺序版本信息项目与当前操作程序相关，而第二顺序版本信息项目与新的操作程序相关。

顺序版本信息项目，即，可以设置在序列内的唯一一个特定位置的版本信息项目以特别简单的方式实现故障保险的起动或禁止。这是因为从理论上说，制造商传送安全控制器和装载到其上的操作程序。因此，与以前一样，硬件平台与当前操作程序的组合受到制造商在其自己的组织内的完全控制。然后，顺序版本信息项目可以使制造商容易地保证用户只能装载更新的操作程序，也就是说，具有更高顺序版本信息项目的操作程序。因此，在任何环境下，用户不可能将“旧”操作程序提供给传送的安全控制器。因此，实际上，以简单的方式消除了大多数未校验的并因此不能接受的硬件平台与操作程序的组合。

对于制造商，他可以利用监督机关验证具有更高版本信息项目的新版本操作程序能够以故障保险方式适当地运行在先前使用的硬件平台上。这样做的工作能够保持在低水平，因为新版本的操作程序通常建立在先前版本的基础上，且因此仅包括有限的修改范围。

通过顺序版本信息项目的故障保险校验，消除了理论上用户将该组合中未校验的旧的操作程序装载到新的安全控制器上的可能性。

在进一步的改进中，下载装置含有比较器，其用于将第一与第二版本信息项目进行比较，而且该下载装置还包括起动装置，其利用比较器，在顺序第二版本信息项目低于顺序第一版本信息项目时，以故障保险方式禁止装载新操作程序。

具体地说，该改进以有利方式自动或利用机器来评估顺序版本信息项目，以起动或者禁止传送。在这种情况下，显然比较器和起动装置同样可以是硬件模块形式或软件形式，即，可以在当前操作程序内实现它们。

在进一步的改进中，仅当顺序第二版本信息项目高于顺序第一版本信息项目时，起动装置起动装载新操作程序。

换句话说，当顺序第二版本信息项目与顺序第一版本信息项目相同时，也禁止下载新操作程序。

在该改进中，除了上面解释的方法，还禁止重新装载相同的操作程序。例如，如果安全控制器的用户遇到故障，从而导致他认为可以通过重新装载现有操作程序来进行校正，该用户就可能具有这样做的动机。然而，这种“自助”通常是不可靠的。因此，为了安全起见，如果用户自己只能将具有较高版本信息项目的操作程序装载到他的安全控制器上是有利的。

在进一步的改进中，第一和第二版本信息项目被以故障保险方式存储到各自的操作程序中。

具体地说，利用本身公知的冗余存储和/或签名形成过程，例如，以CRC校验(循环冗余校验)的形式来实现版本信息的故障保险保护。在该改进中，因为如果存在缺陷或者操作版本信息，则本身可以防止不希望地装载新操作程序，所以可以更可靠地装载新操作程序。这样进一步增强了制造商对安全控制器的控制。

在进一步的改进中，至少新操作程序包括程序代码，当在安全控制器上运行新操作程序时，该程序代码在安全控制器上实现安全控制规则。

这种措施可以以特别有利的方式修改安全控制器的全部功能范围，而不使该安全控制器的制造商丧失对其的控制。在该改进中，本发明的优点是显而易见的。在这种情况下，通过装载新操作程序，用户能够修改安全控制规则。然而，限制用户替换被制造商控制的、所实现的所有安全控制规则的“整个封装”。他自己不能修改或者操纵该安全控制规则，否则，存在安全风险。

在进一步的改进中，设置第二只读存储器，硬件信息的第一项目存储在该第二只读存储器中，其至少是信号处理模块的特征。此外，新操作程序包括硬件信息的第二项目，其是最低要求的硬件配置的特征，并且起动装置通过对第一与第二硬件信息项目进行比较来起动或者禁止装载新操作程序。换句话说，通过将第一与第二硬件信息项目进行比较，起动装置禁止存储。

本发明的改进还使安全控制器的制造商确保仅在满足他测试的最低前置条件的硬件平台上运行新操作程序。因此，在用户端，安全控制器的制造商可以进一步限制硬件平台与操作程序的组合范围。从制造商的观点出发，这样可以减少对容许的硬件平台与操作程序的组合进行验证的工作，而且不产生任何错误。从用户的观点出发，这样可以进一步降低硬件与操作程序的安全临界组合的风险。

在进一步的改进中，第一和第二硬件信息项目包括顺序版本信息项目。

如上所述，顺序版本信息项目允许插入一系列或序列上的唯一一个位置。具体地说，可以在用户前提下，容易和可靠地校验硬件平台与操作程序的组合的容许性。

在进一步的改进中，第一和第二硬件信息项目分别含有类型信息。

这样可以允许校验是否存在更简单和可靠地实现的硬件平台与操作程序的容许组合。类型信息可以区别不同系列的硬件平台，使得可以不考虑版本信息，来防止装载不适合该特定类型的操作程序。此外，结合顺序版本信息可以获得重复校验能力，这样提供附加安全性。

显然，在本发明的范围内，上面描述的特征以及将在下面描述的特征不仅可以用于分别说明的组合中，而且可以用于其它组合中，或者单独使用它们。

附图说明

在下面的描述中将更详细说明本发明的典型实施例，而且附图示出本发明的典型实施例，在附图中：

图1示出根据本发明的安全控制器的原理图，以及

图2示出用于解释根据本发明的方法的流程图。

具体实施方式

在图1中，利用参考编号10表示根据本发明的安全控制器。

在这种情况下，根据本发明的优选实施例，安全控制器10用于安全断开机器系统，具体地说是工业生产环境下的机器系统。在这种情况下，通过例子的方式，利用可以被安全控制器10单独断开或联合断开的3个电驱动器12示出该机器系统。在该应用实例中，安全控制器10对两个紧急停止开关14和防护门16进行评估作为输入信号。以在机器系统领域本身公知的方式来布置紧急停止开关14和防护门16，以确保保护正在工作的操作员的安全。

本实施例的安全控制器10是仅负责保护机器系统的专有装置，即，其在紧急停止开关14或防护门16输出相应断开信号时，有准备地断开驱动器12。在这种情况下，机器的操作控制，即，例如工作过程器件使驱动器12加速或制动不是安全控制器10的任务。为此目的设置了一种本身公知的自主工作控制器，但是，为了简洁起见，在这里没有示出。然而，作为选择的，在其它典型实施例中，安全控制器10还可以向机器系统提供操作控制。不言而喻，在这种情况下，安全控制器10更复杂，而且除了所示的输入信号和输出信号，它还要接收和发送其它机器类型的控制信号。

此外，不言而喻，除了在此所示的用于输入信号的信号发送器，即，紧急停止开关14和防护门16，任何其它所需的信号发送器，例如，双手按钮、静止状态监视器、光障或定位开关也可以连接到安全控制器10的输入端。利用操作程序和用户程序，安全控制器10以本身公知的方式对这些信号发送器进行故障保险评估。

其它电气工作的负载同样可以连接到安全控制器10的输出端，必须利用安全控制器10的输入端的信号以故障保险方式断开这些电气工作的负载。

最后，应该说明的是，利用用户程序，用户可以以本身公知的方式对安全控制器10进行编程。作为例子，参考WO 98/44399，在背景技术中已经引用了其。然而，本发明的优点还可以应用于那些用户不能利用用户程序进行编程而且存在上面说明的意义的操作程序的安全控制器。作为例子，本发明的申请人销售在产品系列PNOZelog^TM内的这样的安全控制器，在这种情况下，迄今为止，这些装置的用户还不能替换操作程序。

为了从信号发送器，即，紧急停止开关14和防护门16接收过程变量，安全控制器10具有输入模块18。因为要求的故障保险，输入模块18通常基于双通道冗余设计，这在图1中是利用虚线表示的。然而，在个别情况下，利用一个通道设计输入模块18或其至少一部分就足够了。此外，为了简洁起见，利用专用功能块示出图1所示方框图中的输入模块。然而，它部分地是以软件形式，而且可以被以适当形式嵌入在操作程序中。

参考编号20表示安全控制器10内的信号处理模块。这样以本身公知的方式链接从输入模块18接收的过程信号，且利用它们产生控制信号，通过输出模块22发送该控制信号。输出模块22通常含有继电器、接触器或者其它电子开关，利用它们对驱动器供电，或者总的来说对机器系统供电，以故障保险方式断开该输出模块22。再次利用对角线表示故障保险性，该对角线表示该输出模块22的适当的冗余设计。利用图1中的适当的方框箭头表示通过信号处理模块20从输入模块18流向输出模块22的信号。

信号处理模块20至少含有一个可编程处理器24以及只读存储器26和主存储器28。以本身公知的方式，处理器24的操作程序30以非易失形式存储在只读存储器26内。这是机器可识别形式的程序指令的总和，其允许实现安全控制器10的基本功能。具体地说，该典型实施例中的操作程序30含有通过其处理器24可以读出并发送信号的程序指令。这些程序指令有效“激活”安全控制器10的硬件。

此外，在这种情况下，操作程序30含有准备好的一组安全控制规则，例如，利用该安全控制规则，提供双路紧急停止开关的故障保险评估。对所有其它容许的信号发送器以及安全控制器10的输出端的所有容许的致动器同样地提供故障保险评估算法。

如果安全控制器10是专有装置，则操作程序30还包括安全控制规则与输入及输出连接之间的关联。在这种情况下，用户对功能范围不产生影响，或者最多仅对其具有非常有限的影响。然而，如上所述，作为选择的，可以以用户可以选择安全控制规则，而且利用自己建立的用户程序配置这些安全控制规则的方式来生产安全控制器10。

主存储器28用于临时存储中间变量，而且还可以用于保存用户程序，该用户程序位于操作程序30中。

作为例子，从可以进行互相检验和校验的冗余实现可以看出，设计安全控制器10内的信号处理模块20完全是固有的故障保险的。在这种情况下，成对地表示处理器24、只读存储器26以及主内存28。

方框图中的参考编号32表示用于装载新操作程序34的下载装置。在这种情况下，“装载”意味着以新操作程序34与第一操作程序30一起和/或者代替第一操作程序30确定安全控制器10的功能范围的方式，将新操作程序34存储到只读存储器26中。具体地说，装载新操作程序34的过程可以包括完全替换现有操作程序30。因此，尤其可以通过修改安全控制规则，替换先前提供的安全控制规则。

根据本发明，在这种情况下，下载装置32含有比较器36和起动装置38。此外，在现有操作程序30和新操作程序34内均提供顺序版本信息项目，而且在图1中分别利用参考编号40和42表示。比较器36读取现有操作程序30的版本信息项目40和新操作程序34的版本信息项目42，然后，将它们互相进行比较。根据该比较结果，起动装置38禁止或者起动装载新操作程序34的性能。具体地说，仅在新操作程序34的版本信息高于现有操作程序30的版本信息时，下载装置32才允许装载新操作程序34。换句话说，仅在新操作程序34比现有操作程序30更新时，将新操作程序34装载到安全控制器10，而且这是通过对版本信息项目进行比较确定的。

显然，选择具有比较器36和起动装置38的图1所示示意图主要是为了说明的原因。在实际实现中，利用程序的方式，即，利用作为现有操作程序30的一部分存储在只读存储器26内、并被处理器24处理的适当程序指令对版本信息项目进行比较，并禁止或者起动该装载过程。下载装置32的硬件进一步包括本身公知的接口，例如，RS232接口，如果被适当地起动，通过该接口可以读入新操作程序34。

根据本发明的一个优选示例性实施例，在具有多个冗余的情况下，使操作程序30和34的版本信息项目40和42嵌入操作程序，且/或利用防误差措施，例如，CRC校验和或某种其它签名形成过程来保护它们。仅在两个版本信息项目40、42的故障保险比较表示新操作程序34的版本信息确实高于现有操作程序30的版本信息时，起动装置38允许装载新操作程序34。

根据一个优选的典型实施例，至少是信号处理模块20的特征的硬件信息项目44也被存储在安全控制器10内。换句话说，硬件信息44提供关于安全控制器10的硬件平台的开发标准的信息。根据一个特定的典型优选实施例，硬件信息还包括类型信息46，通过该类型信息46可以更准确地识别不同硬件平台。此外，新操作程序34含有第二硬件信息项目48，该第二硬件信息项目48至少可以用于识别所要求的硬件前置条件。硬件信息项目44、48优选地也是顺序版本信息项目，这样可以允许现有硬件平台和最低要求的前置条件仅被插入开发序列的一个位置中。

在优选典型实施例中，也可以考虑硬件信息44、46、48来校验以确定起动或者关闭用于新操作程序34的装载。具体地说，仅当根据存储的硬件信息44、46，确实存在安全控制器10的硬件平台的最低要求(在操作程序34内编码)时，起动新操作程序34的装载。

根据进一步的典型优选实施例，还以非易失形式将进一步的版本信息项目50存储在安全控制器10内，以定义新操作程序34的最低容许版本。因此，在该典型实施例中，起动装载新操作程序34的过程还取决于高于所定义的最低版本信息项目50的版本信息项目42。该进一步的比较准则使得装载新操作程序34取决于进一步校验。然而，如果安全控制器10的制造商保证安全控制器10始终仅利用所包括的一个版本信息项目40与一个操作程序30一起传送，则可以省略该校验。然后，利用仅当其版本信息项目高于现有版本信息项目时装载新操作程序34的事实，能够确保新操作程序34的最低要求。

图2利用流程图示意性地说明如何记录新操作程序34。可以容易地看出，可以以处理器24的适当程序代码的方式很好地实现相应方法。

首先，在步骤60激活下载模式。为了防止错误控制动作和由于疏忽的激活，通过操作安全控制器10上的按键操作开关(在此未示出)实现该过程是有利的，该按键操作开关是为此用途附加设置的。然而，通过输入口令等，也可以以程序的形式激活下载模式。

然后，在步骤62读取现有操作程序30的当前版本信息项目40。然后，在步骤64读取新操作程序34的版本信息项目42。然后，在步骤66对这两个版本信息项目40、42进行比较。如果现有操作程序30的版本信息项目40大于或者高于新操作程序34的版本信息项目42，则在步骤68终止该方法，而且优选地结束下载模式。这样可以可靠地防止记录新操作程序34。

如果对这两个版本信息项目40、42所做的比较说明容许附加新操作程序34，或者可以以其代替现有操作程序30，则在步骤70读取安全控制器10的硬件信息44、46。然后，在步骤72读取硬件信息48，其定义关于新操作程序34的运行性能和容许性的最低硬件前置条件。在在此描述的典型优选实施例中，在步骤74首先进行类型比较，也就是说进行校验以根据类型信息确定是否容许在安全控制器10上运行该操作程序34。如果情况不是这样，则在步骤76再次最终结束下载模式。

相反，如果类型比较是肯定的，则在步骤78校验进一步的准则，以确定安全控制器10的硬件信息44是否高于或者至少等于包含在操作程序34内的最低硬件信息48。如果该比较说明安全控制器10不符合最低硬件前置条件，则在步骤80再次终止下载模式。

另一方面，如果根据硬件信息所做的硬件前置条件校验也是肯定的，则在步骤82装载操作程序34。换句话说，之后将操作程序34存储到只读存储器26内。一旦完成该存储过程，新操作程序34就可用了，其代替现有操作程序30，或者在现有操作程序30之外，用于安全控制器10的工作。

可以以各种方式将新操作程序34传送到安全控制器10。如上所述，一旦操作程序34被激活，该操作程序34就可以被通过串行接口传送到安全控制器10。还可以通过现场总线或可更换存储介质进行传送。从原理上说，还可以通过因特网传送新操作程序34。

为了进一步提高故障保险性，对于操作程序34，具体地说版本信息项目42和48，有利地利用本身公知的加密算法来防止不利的操纵和故障。然后，在安全控制器10内设置适当的解密程序(在此未示出)。

在到此为止描述的典型优选实施例中，例如，版本信息项目含有仅允许插入序列内的唯一一个位置的数字和/或字母组合。然而，作为选择的，还可以不以“完成的方式”，而以算法的方式提供版本信息项目，该算法产生唯一结果并因此允许最终确定顺序版本信息。这也是用于本发明用途的顺序版本信息。