[发明专利]操作安全控制方法及具有该安全控制的自动化网络

说明书

为了在自动化网络中操作安全控制，所述自动化网络包括执行安全控制的主用户、具有第一安全需求层级的至少一个第一从用户、以及具有第二安全需求层级的至少一个第二从用户，第一安全码确定方法与第一从用户有关，而第二安全码确定方法与第二从用户有关，其中主用户与第一从用户使用第一安全码确定方法来交换安全数据块，而主用户与第二从用户使用第二安全码确定方法来交换安全数据块。

技术领域

本发明是与一种于自动化网络中操作安全控制的方法及具有这种安全控制的自动化网络有关，所述自动化网络具有主用户和多个从用户，它们被指定不同的安全完整性层级。

背景技术

现代的工业自动化概念(也就是利用软件的辅助进行技术工序的控制及监控)是基于利用分布式传感器/作动器层级进行中央控制的构想。在这个情况下，用户通过工业局域网络(下文中也称为自动化网络)彼此通讯以及与上级系统通讯。控制功能是基于两个基本构想：地理分散和控制功能的分级区分。在这种情况下，功能性的分级将自动化任务实质上区分为控制层级和传感器/作动器层级。工业局域网络通常会具有所谓的主/从式通讯网络，其中主用户形成控制层级，而从用户形成传感器/作动器层级。

对于自动化网络的一个重要需求为故障安全(fail-safety)。在控制及监控技术工序时，必须确认的是，当自动化网络不正确地操作时，这不会对人类和环境产生任何风险。自动化网络一般都根据所谓的故障安全原则操作，其中在故障事件时，自动化网络会改变为安全状态。

为了能够将来自自动化网络的危险进行分类，有实施风险分析的强制需求。根据欧洲标准EN 1050，必须要以一系列的逻辑步骤实施风险评估，它允许对来自自动化网络或个人用户的危险进行系统化调查。然后，为了确保充分安全的目的，基于风险分析规定施加于自动化网络的技术与组织化需求。

在机器及安装安全的领域中，特别也是可编程电子控制系统，标准EN ISO 13849-1及IEC/EN 62061已经变成被建置为实施危险分析的国际标准。这些标准同时包括所有安全相关用户，无论用户类型是什么，并且将安全相关性能细分类别。接着基于已确定的安全类别规定自动化网络中的控制结构，以达成对于安全功能的需求，并且在故障事件中实现需要的系统行为。

标准EN ISO 13849-1及IEC/EN 62062规定了为降低风险所需要的可编程电子控制系统的安全相关性能。为了细分安全相关性能的目的，这两种标准定义了安全完整性层级。为了这个目的，自动化网络的所有安全功能都被视为在它们的执行期间会涉及所有用户。

标准IEC/EN 62061规定了四个安全完整性层级(SIL)SIL1至SIL4，其中各自层级是由错误发生的可允许残余错误概率所定义。安全完整性层级SIL1代表根据标准的最低需求。然后需求随层级而增加，直到安全完整性层级SIL4。在此情况中，自动化网络的安全完整性层级是以安全功能中涉及的所有用户的安全相关特性变量为基础所决定。除了安全功能中所涉及的所有用户的安全相关特性变量的知识以外，也需要有与自动化网络中用户的逻辑链接有关的精确信息来决定自动化网络的安全完整性层级。安全完整性层级实质上也会受到自动化网络中使用的总线架构影响。

关于安全功能方面，因为对于自动化网络中的用户的需求通常都不同，自动化网络一般都以具有不同SIL层级的用户操作。然而，在此情况中，整体系统的安全完整性层级是由具有最低SIL层级的用户所决定。原因在于自动化网络中具有不同SIL层级的用户之间的数据业务会导致可观的安全相关问题。这是因为，若具有低SIL层级的用户对具有高SIL层级的用户传送数据分组，即可为具有高SIL层级的接收用户生成有效的数据分组，即使在传送用户中生成数据分组时发生了简单的错误，此错误在传送用户的低SIL层级内也是可允许的。虽然，接着，由于接收器的高SIL层级，在接收器中会有高度可能性侦测到所传送数据分组中的错误，但具有低SIL层级的用户的可能数据业务会接着导致不再能够确保与接收器中所需的高SIL层级的相符性，因为本身有效的数据分组可由具有低SIL层级的用户形成。