[发明专利]用于控制多个安全关键及非安全关键进程的控制系统

说明书

技术领域

本发明涉及一种根据权利要求1所述的优选模块化设置的控制系统，其用于控制多个安全关键及非安全关键的进程和/或设备组件。本发明尤其能够应用在进程自动化或机器控制中。

背景技术

对于用于控制技术性进程或技术性设备的自动化系统来说，通常要求对多个安全关键的进程或设备组件与多个非安全关键的组件分开地控制。

在DE 10 2005 009 795 A1中描述了一种在安全关键应用中用于机器控制的微处理系统，该系统包括两个区域。第一区域设置用于非安全关键或非安全设置的功能，该区域包括主处理器、程序及数据存储器、输入/输出单元以及用于相互连接上述组件的总线。第二区域设置用于安全关键或安全设置的功能，该区域包括安全处理器，该安全处理器带有自身的、连接到总线上的程序及数据存储器。

通过安全的传输线路，程序及数据被加载到安全处理器的数据存储器中，基于其功能，该安全处理器在设备或进程处于一种在“安全”状态下的冲突情况时与其他的安全设置的组件一同进行工作，这些组件例如是安全设置的输入/输出单元。

在DE 103 53 950 A1中描述了另一种用于控制安全关键进程的控制系统，其具有现场总线、总线主设备（用于在现场总线上控制通讯）以及信号单元（用于与安全关键进程进行联系）。总线主设备和信号单元通过现场总线相互连接。通过现场总线，信号单元与总线主设备进行通讯。另外，还设有用于控制安全关键进程的第一控制单元，其中信号单元和第一控制单元具有针对安全性的装置，用于确保无故障的通讯，以便于对安全关键进程进行控制。第一控制单元能够不依靠现场总线连接到总线主设备上。

前述的安全设置的控制系统不能应用在模块化构架的控制系统（例如在DE 10 2004 056 363 A1中公开的），或者只能通过额外的成本进行集成，因为例如通讯模块、接口、电源和监控功能都要适配预设的安全标准。为此，这些组件必须进行更换并且配备新的软件，由此明显增加了成本。

通常，要对安全关键功能与非安全功能进行明确地区别，也是比较困难的。

发明内容

因此，本发明的目的在于提出一种优选模块化构架的自动化系统，用于控制安全关键及非安全关键的进程和/或设备组件，这种系统避免了现有技术中的缺陷。特别是，根据本发明的控制系统将适用于，一个现存的、模块化构架的非安全控制系统以简单而廉价的方式配备一个安全设置的控制器。

该目的根据本发明通过一种开头所述类型的、具有权利要求1所述特征的控制系统实现。根据本发明的装置的有利设计方案及改进方案在从属权利要求及说明书中提及。

根据本发明的、优选模块化构架的控制系统，用于控制多个安全关键及非安全关键的进程和/或设备组件，该控制系统包括：至少一个第一控制单元，其设置用于控制非安全关键的进程和/或非安全关键的设备组件；至少一个输入/输出单元，其通过一条内部输入/输出总线与第一控制单元连接；以及可选的至少一个通讯联接器，其通过一条内部联接器总线与第一控制单元连接和/或通过一条现场总线与其他的分散的单元（例如输入/输出单元和/或对方站）连接。

通讯联接器优选设置为现场总线-主设备联接器。

根据本发明设有至少一个第二控制单元（也称为安全控制器），用于控制安全关键的进程和/或安全关键的设备组件，其中安全控制器为提供安全设置功能具有至少两个优选设置为微处理器的处理单元，并且为通过内部联接器总线传输数据具有一个第一优选设计为双端口内存的存储器。在安全控制器中的双端口内存这样设置，即能够在其两个访问端同时实现读取访问和/或写入访问，从而对于两个在某种情况下分开的系统实现同时的访问，而分开的系统不会受到访问速度上的限制。

安全控制器通过其双端口内存（也称为第一双端口内存）进行通讯，并且经由非安全关键的第一控制单元使内部联接器总线直接与其他通讯联接器进行通讯。在此，首先使由第二控制单元提供的数据经由安全控制器的第一双端口内存以及内部联接器总线传递至第一控制单元。然后，该第一控制单元在将该由第二控制单元提供的数据经由内部联接器总线和另一个集成在通讯联接器中的双端口内存传递至该通讯联接器。

该控制系统具有用于控制非安全关键应用的第一控制单元和用于控制安全关键应用的第二控制单元（安全控制器）。这种模块化构架的控制系统能够灵活地在不同的功能上使用，例如作为大型自动化系统的控制系统、作为在这类分散的大型自动化系统中的分散的处理装置、或者作为与可本地链接的输入设备连接的独立自动化设备、或者作为中央自动化设备。