[发明专利]检验带有部件的控制系统的功能

说明书

技术领域

本发明涉及一种用于对带有部件、尤其是带有冗余控制设备的控制系统的功能进行检验的方法以及相应的控制系统。

背景技术

由于在复杂系统的部件中的故障并不可以完全避免，所以容错地设计安全关键的系统。系统的如下能力称作容错，即在部件故障或失效的情况下以限定方式运行，例如进一步提供正确的或至少不错误的输出量。

在安全关键的应用中，使用了如下结构，其中部件冗余地设计。所谓的loo2结构(二选一)基于如下假设：两个冗余的部件相同地运行并且在相同输入量的情况下提供相同的输出量，只要没有部件有故障。比较器因此在这样的结构中连续地比较冗余的部件的输出量并且在有差异时停止输出。通过所谓的集成的非持续的行为尽管可能引起系统停止，但可靠地防止了错误输出量的进一步处理。对相应有故障的部件的直接识别通常是不可能的。

所谓的loo2D结构附加地包含故障检测和通过冗余的部件提供状态报告，其能够在输出量有差异时实现识别有故障的部件并且有针对性地关断有故障的部件。由此，系统的(应急)运行可以借助完好的部件至少维持一定时间(集成的持续行为)。

同样已知了如下结构，其基于状态报告而设置这种关断，但并不一定对输出量进行连续比较。此外已知的是，冗余的部件的一个或多个保持不活动，并且在活动的部件中出现故障时才激活完好的不活动的部件，其于是使运行相应持续。

在这种系统中，所谓的表决器基于状态报告的分析来提供分析信号或切换信号，其实现了相应的系统从有故障的部件切换到完好的部件，即必要时激活完好的部件，将输入量转发给部件并且部件的输出量在系统输出端提供。相应的表决器分别检验出现的状态报告的可信性并且例如通过真值表进行选择。状态报告包括例如多个配属于相应部件的激活建议。相应的表决器决定可以通过使用者干预而否决。

根据通用安全标准(例如IEC 61508)，安全关键的系统的部件在故障情况下可以转移到安全状态。部件到达安全状态的路径通常必须也针对“睡眠”故障进行检验。借助例如在运行循环开始时进行的检查，保证了在故障情况下这些路径可供使用。在前面所阐述的冗余系统中例如在具有两个冗余控制设备的系统中，安全状态例如在通过表决器切换到完好的控制设备之后达到，因为在此情况下通过完好的控制设备保证了继续运行。

所有导致相应的切换的路径因此如所提及的那样通常在运行循环期间例如在初始化系统时被检验一次。然而所有路径的完全测试是耗时的并且在编程技术上是高要求的，因此在这样的测试之前必须使两个部件彼此同步。此外，在多个路径的情况下在两个控制设备之间多次来回切换，由此引起了相应零件的过量的负荷，其就其而言提高了易出故障性。

因此存在对改进用于对相应控制系统的功能进行检验的方案需求，其可以简单且可靠地实施并且并不具有所述的缺点。

发明内容

基于此背景，本发明提出了一种具有独立权利要求所述的特征的用于对带有部件、尤其带有冗余的控制设备的控制系统的功能进行检验的方法，以及提出了一种具有独立权利要求所述的特征的控制系统。优选的扩展方案是相应从属权利要求以及以下描述的主题。

根据本发明的解决方案提出，不对所有功能或遍经整个信号路径或所有冗余的部件(例如两个控制设备)的路径进行相应检验，而是仅对功能(即至少一个而非所有)的一部分进行系统范围的检验。在此，本发明利用的是，在冗余控制系统中要检验的功能可以分别划分成部件方面的部分和非部件方面的部分。功能的非部件方面的部分通过共同的信号路径来限定。功能的部件方面的部分在功能上独立地进行检验，而剩余的即非部件方面的部分对于多个功能共同地进行检验。

典型地，在冗余的部件中基于输入量分别提供输出量以及通过部件提供了状态报告。在有合适的控制信号可用时，相应系统的功能的相应部件方面的部分完全在相应的部件内运行并且因此可以完全在部件方面进行检验。根据本发明，相应部件的状态报告作为控制信号而被回读。

在第一步骤中，功能因此在部件方面被检验。部件方面的检验通过提供测试信号作为输入信号并且回读在至少一个部件中的相应的状态报告来实现。有利地，对所有部件的所有功能进行检验。

在接下来的步骤中，对在系统层上之前在部件方面已检验的的功能的所选部分进行完全检验。所述检验包括对通过分析单元(例如表决器)对状态报告的分析进行检验，和/或对通过分析单元提供相应(正确的)分析信号进行检验。为此又提供测试信号作为输入量，然而回读分析信号用于检验。分析信号可以直接回读或可以确定通过分析信号引起的开关单元的切换。