知財求人 - 知財ポータルサイト「IP Force」
▶ フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲーの特許一覧
特許6606293安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6606293
(24)【登録日】2019年10月25日
(45)【発行日】2019年11月13日
(54)【発明の名称】安全システムの安全チェーン内でデータ処理およびデータ送信を監視するための方法およびデバイス
(51)【国際特許分類】
G05B 9/02 20060101AFI20191031BHJP
【FI】
G05B9/02 Z
【請求項の数】8
【全頁数】15
(21)【出願番号】特願2018-542273(P2018-542273)
(86)(22)【出願日】2017年2月3日
(65)【公表番号】特表2019-508811(P2019-508811A)
(43)【公表日】2019年3月28日
(86)【国際出願番号】EP2017052406
(87)【国際公開番号】WO2017137326
(87)【国際公開日】20170817
【審査請求日】2018年10月10日
(31)【優先権主張番号】102016102282.9
(32)【優先日】2016年2月10日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】504019733
【氏名又は名称】フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー
(74)【代理人】
【識別番号】100094112
【弁理士】
【氏名又は名称】岡部 讓
(74)【代理人】
【識別番号】100106183
【弁理士】
【氏名又は名称】吉澤 弘司
(74)【代理人】
【識別番号】100114915
【弁理士】
【氏名又は名称】三村 治彦
(74)【代理人】
【識別番号】100125139
【弁理士】
【氏名又は名称】岡部 洋
(72)【発明者】
【氏名】ラルベス,ルツ
【審査官】
牧 初
(56)【参考文献】
【文献】
特表2015−508978(JP,A)
【文献】
特表2012−510194(JP,A)
【文献】
特開2014−098985(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G05B 9/00−9/05
(57)【特許請求の範囲】
【請求項1】
安全システム(100、200)の安全チェーン内でのデータ処理およびデータ送信を監視する方法であって、前記安全システムは、全体的な安全機能を提供し、モジュラー方式で、少なくとも2つのサブシステム・モジュール(110、120、130、210、220、230)から構成され、少なくとも前記2つのサブシステム・モジュールは、データ転送チャネルに接続され、それぞれが部分的な安全機能を提供し、機能安全データ処理および/またはデータ送信のために構成され、
− 機能安全データを入手するために前記サブシステム・モジュールのうちの第1のサブシステム・モジュールによってデータを処理するステップと、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性、特に総応答時間に関する第1の実特性値を前記第1のサブシステム・モジュールによって判定するステップと、
− 前記機能安全データ(50)および前記第1の実特性値(60)を前記第1のサブシステム・モジュールから前記サブシステム・モジュールのうちの第2のサブシステム・モジュールに送信するステップと、
− 前記機能安全データおよび前記第1の実特性値を前記第2のサブシステム・モジュールによって受信するステップと、
− 前記安全関連の特性を表す属性に関する第2の実特性値を前記第2のサブシステム・モジュールによって判定するステップと、
− 前記安全関連の特性を表す属性に関する第3の実特性値を入手するために、前記第1の実特性値および前記第2の実特性値を前記第2のサブシステム・モジュールによって処理するステップと、
− 前記安全関連の特性を表す属性に関する公称特性値を前記第2のサブシステム・モジュールによって判定するステップと、
− 前記第2のサブシステム・モジュールによって、前記第3の実特性値を前記安全関連の特性を表す属性に関する前記公称特性値と比較し、前記比較の結果に応じて、
− 前記比較の前記結果が肯定である場合には、前記機能安全データをさらに処理し、かつ/または転送し、
− 前記比較の前記結果が否定である場合には、事前に定義された安全反応をトリガする、
ステップと、
を含む方法。
− 機能安全データを入手するために前記サブシステム・モジュールのうちの第1のサブシステム・モジュールによってデータを処理するステップと、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性、特に総応答時間に関する第1の実特性値を前記第1のサブシステム・モジュールによって判定するステップと、
− 前記機能安全データ(50)および前記第1の実特性値(60)を前記第1のサブシステム・モジュールから前記サブシステム・モジュールのうちの第2のサブシステム・モジュールに送信するステップと、
− 前記機能安全データおよび前記第1の実特性値を前記第2のサブシステム・モジュールによって受信するステップと、
− 前記安全関連の特性を表す属性に関する第2の実特性値を前記第2のサブシステム・モジュールによって判定するステップと、
− 前記安全関連の特性を表す属性に関する第3の実特性値を入手するために、前記第1の実特性値および前記第2の実特性値を前記第2のサブシステム・モジュールによって処理するステップと、
− 前記安全関連の特性を表す属性に関する公称特性値を前記第2のサブシステム・モジュールによって判定するステップと、
− 前記第2のサブシステム・モジュールによって、前記第3の実特性値を前記安全関連の特性を表す属性に関する前記公称特性値と比較し、前記比較の結果に応じて、
− 前記比較の前記結果が肯定である場合には、前記機能安全データをさらに処理し、かつ/または転送し、
− 前記比較の前記結果が否定である場合には、事前に定義された安全反応をトリガする、
ステップと、
を含む方法。
【請求項2】
前記安全システムの前記安全チェーン内の前記データ処理およびデータ送信は、周期的に実行され、
前記方法の前記ステップは、周期的に実行される、
請求項1に記載の方法。
前記方法の前記ステップは、周期的に実行される、
請求項1に記載の方法。
【請求項3】
前記第2のサブシステム・モジュールから前記サブシステム・モジュールのうちのさらなるサブシステム・モジュールへの前記第2のサブシステム・モジュールによる前記機能安全データの前記転送の前に、前記安全関連の特性を表す属性に関する第5の実特性値を入手するために、前記安全関連の特性を表す属性に関する第4の実特性値は、判定され、前記第3の実特性値と一緒に処理され、
前記第5の実特性値は、前記第1の実特性値として提供され、
前記機能安全データ(50)および前記第1の実特性値(60)は、前記第2のサブシステム・モジュールから前記さらなるサブシステム・モジュールに転送される、
請求項1または2に記載の方法。
前記第5の実特性値は、前記第1の実特性値として提供され、
前記機能安全データ(50)および前記第1の実特性値(60)は、前記第2のサブシステム・モジュールから前記さらなるサブシステム・モジュールに転送される、
請求項1または2に記載の方法。
【請求項4】
前記公称特性値を判定する前記ステップは、メモリから前記公称特性値を読み出すステップを含む、請求項1乃至3のいずれか1項に記載の方法。
【請求項5】
前記実特性値のうちの少なくとも1つを判定する前記ステップは、度量衡的な形で前記実特性値を獲得するステップまたはメモリから前記実特性値を読み出すステップを含む、請求項1乃至4のいずれか1項に記載の方法。
【請求項6】
前記送信するステップは、前記機能安全データおよび前記第1の実特性値を、共有されるプロトコル固有データ・エリア内で一緒に、または別々のプロトコル固有データ・エリア内で互いに別々に、基礎になる安全なデータ転送プロトコルに従って送信するステップを含む、請求項1乃至5のいずれか1項に記載の方法。
【請求項7】
請求項1乃至6のいずれか1項に記載の方法を実行するためのデバイス(110、120、130、210、220、230)であって、機能安全データ処理および/またはデータ送信のために構成された安全なハードウェア構成要素および/またはソフトウェア構成要素(119、121、125、129、131)を含み、
前記安全なハードウェア構成要素および/またはソフトウェア構成要素は、
− 機能安全データを入手するためにデータを処理し、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する第1の実特性値を判定し、
− 前記機能安全データ(50)および前記第1の実特性値(60)を送信するように適合され、かつ/あるいは、前記ハードウェア構成要素および/またはソフトウェア構成要素は、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する送信された機能安全データ(50)および第1の実特性値(60)を受信し、
− 前記安全関連の特性を表す属性に関する第2の実特性値を判定し、
− 前記安全関連の特性を表す属性に関する第3の実特性値を入手するために、前記第1の実特性値および前記第2の実特性値を処理し、
− 前記安全関連の特性を表す属性に関する公称特性値を判定し、
− 前記第3の実特性値を前記安全関連の特性を表す属性に関する前記公称特性値と比較し、
− 前記比較の結果に応じて、
− 前記比較の前記結果が肯定である場合には、前記機能安全データをさらに処理し、かつ/または転送し、
− 前記比較の前記結果が否定である場合には、事前に定義された安全反応をトリガする、
ように適合される、デバイス。
前記安全なハードウェア構成要素および/またはソフトウェア構成要素は、
− 機能安全データを入手するためにデータを処理し、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する第1の実特性値を判定し、
− 前記機能安全データ(50)および前記第1の実特性値(60)を送信するように適合され、かつ/あるいは、前記ハードウェア構成要素および/またはソフトウェア構成要素は、
− 前記データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する送信された機能安全データ(50)および第1の実特性値(60)を受信し、
− 前記安全関連の特性を表す属性に関する第2の実特性値を判定し、
− 前記安全関連の特性を表す属性に関する第3の実特性値を入手するために、前記第1の実特性値および前記第2の実特性値を処理し、
− 前記安全関連の特性を表す属性に関する公称特性値を判定し、
− 前記第3の実特性値を前記安全関連の特性を表す属性に関する前記公称特性値と比較し、
− 前記比較の結果に応じて、
− 前記比較の前記結果が肯定である場合には、前記機能安全データをさらに処理し、かつ/または転送し、
− 前記比較の前記結果が否定である場合には、事前に定義された安全反応をトリガする、
ように適合される、デバイス。
【請求項8】
安全な入力モジュール、安全な出力モジュール、安全なPLCモジュール、安全な論理モジュール、または安全な結合モジュールとして構成される、請求項7に記載のデバイス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、安全システムの安全チェーン(チェーンがループを形成しないか形成する必要がない場合であっても、安全ループとして知られている)内のデータ処理およびデータ送信を監視する方法に関し、この方法を実行するためのデバイスにも関する。安全システムは、全体的な安全機能を提供し、少なくとも2つのサブシステム・モジュールというモジュラー方式で構成され、少なくとも2つのサブシステム・モジュールは、データ転送チャネルに接続され、それぞれが部分的な安全機能を提供し、機能安全データ処理および/またはデータ送信のために構成される。
【背景技術】
【0002】
自動工程、機械、および設備内の人間または環境に対するリスクを低減するために、緊急停止ボタンが押された時の機械のシャットダウン、またはエラーが検出された後の安全な状態へのシステムの推移などの安全機能が実施されなければならない。このために、フェイルセーフ自動化システムが、自動工程、機械、および設備内でますます使用されつつある。そのようなフェイルセーフ自動化システムは、一般に、一方では実際の安全機能(緊急停止、両手操作、モード・セレクタ・スイッチ、その他など)を、他方では技術的現状に対応する標準規格(IEC 61508、ISO 13849、…)で定義された機構に従う故障検出手段および故障抑制手段をも実施する。
【0003】
本発明の文脈ならびにこの説明および特許請求の範囲において、用語「安全/安全性」は、そうではないと述べられない限り、許可されないデータ操作またはデータ漏洩に対する技術情報処理の保護に関するセキュア/セキュリティとは区別される、機能安全を指す。
【0004】
国際標準規格IEC 61508および実質的に同一の欧州標準規格EN 61508は、機能的に安全な電気システム、電子システム、およびプログラム可能電子システムを、その開発に関しても記述している。安全なシステムの開発プロセスに関してそれらの規格で定義された要件は、標準的なシステムの開発と比較して、大幅に高いコストおよび増加した開発予算につながる。また、要件は、高まる安全度水準(Safety Integrity Level)(SIL、SIL1からSIL4まで)と共に増加する。用語「安全度水準」(または安全性要件レベル(safety requirement level)は、リスク低減に関する安全機能の要求される有効性または達成される有効性の、それぞれのレベルに対応する特定の度合を定義する。安全指向(安全関係または安全関連とも呼ばれる)の要件が適用されない場合に、開発は、動作品質管理(operational quality management)の通常の標準規格に従って実行されなければならない。その上、安全度水準SIL1は、最低の要件を課す。安全度水準が高ければ高いほど、安全性要件が高くなる。
【0005】
標準規格IEC 61508による機能安全は、たとえば、開発における系統誤差の回避、偶然誤差を検出するための進行操作中の監視、ならびに/または検出された誤差の安全管理および安全と事前に定義されている状態への推移など、誤差を管理するための様々な方法の使用を含む。これらの手段のすべてが、特定の以前に定義された安全機能の一部である可能性がある。一般に、各チャネルだけで安全機能をトリガできる2チャネル・システムまたは多チャネル・システムは、1つのチャネルだけを有するシステムより少ない技術的労力でより高いSILを達成できると述べることができる。ここで、チャネルは、たとえば、安全機能の要求(たとえば、センサ、近接検出器、光バリア、または押しボタンによる)から始まり、機械の安全状態を開始するアクチュエータで終わる、安全チェーン(チェーンがループを形成しないか形成する必要がない場合であっても、安全ループして知られている)を通る情報フローを指す。
【0006】
したがって、電気システム、電子システム、および/またはプログラム可能システムであるが、単一のサブシステム・モジュールと単一のハードウェア構成要素および/またはソフトウェア構成要素とが、ある種の安全機能を効果的に満足することが適当な手段によって保証される場合に、このシステムまたはそれぞれのサブシステム・モジュールは、以下の説明および特許請求の範囲の文脈において、安全または安全関係と考えられる。ある種の安全機能を満足するように適合され、安全機能(部分的な安全機能)を満足するようにそれぞれが適合される、複数のサブシステム・モジュールすなわち少なくとも2つまたは3つ以上のサブシステム・モジュールを含むシステムは、本発明の文脈内で安全システムと考えられる。
【0007】
今日の機械および設備は、設備のサイズおよび自動化の度合に応じて、分散入出力デバイス(センサまたはアクチュエータなどの入出力デバイス)およびコントローラを接続するためにイーサネットベースのネットワークまたはフィールドバスなどの通信システム(またはデータ送信システム)を使用する。安全関連データの送信のために、安全通信プロトコル(またはデータ転送プロトコルもしくはネットワーク・プロトコル)が一般に使用される。安全通信プロトコルは、現在、たとえばIEC 61784−3で標準化され、IEC 61784−3では、異なる安全性プロフィールが、安全なネットワーク通信の原理に基づいて記述される。これらのネットワーク・プロトコルのすべてが、異なる誤差モデル、たとえばデータおよび/またはテレグラムの改竄、消失、遅延、交換などを管理できなければならない。
【0008】
機械および/または設備内のリスクを最小化する技術的手段の有効性は、全体的な安全性検証による機械または設備の試運転中に実証され、ログ記録されまたは文書化されなければならない。この場合には、すべての安全機能が、機械または設備の動作段階への推移の前に、その有効性に関して検証されなければならない。これは、完全で変更されていない機械または設備に関してはまだ管理できるが、ますます一般的になりつつあるモジュラー式の機械または設備においてはますます面倒で複雑になりつつある。
【0009】
さらに、複数の機械および/または設備が、安全機能を協力してさらに実施しなければならないシステム内で使用される場合には、それらの機械および/または設備は、本発明の文脈におけるシステムのサブシステム・モジュールを形成し、これらのサブシステム・モジュールは、複数のこれらのサブシステム・モジュールから構成される1つまたは複数の安全システムを形成する。この場合に、リスクを最小化する技術的手段の有効性は、用いられるサブシステム・モジュールを包含する安全システムの全体的な安全性検証によって実証されなければならない。そのような安全システムの例を与えるために、供給機、パンチング・マシン、および排出機から構成され、この3つのすべてが特定の安全機能を実施しなければならないパンチング・システムであって、パンチング・システム全体も、個々のサブシステム・モジュール(すなわち、この例では供給機、パンチング・マシン、および排出機)の相互作用において意味を持つ考慮されるべき安全システムとして特定の安全機能を実施しなければならないパンチング・システムに言及する。したがって、本発明の文脈でのそのような安全システムは、通常、システムすなわち全体的なシステム内の異なるサブシステム・モジュール内に配置されるが、システム内で相互作用し、用いられるサブシステム・モジュールを包含する安全システムを形成する、複数のフェイルセーフ自動化システムを含む。
【0010】
しかし、用いられるサブシステム・モジュールを包含する安全システムの全体的な安全性検証は、最初の試運転中に行われなければならないだけではない。これは、モジュラー安全システム、モジュラー設備、または機械の構成のすべての変更にもあてはまる。構成ごとに、たとえば単一のモジュールを交換する時または個々のモジュール内の老化プロセスの結果として、システムまたは機械に関して要求される安全カテゴリ(安全レベル)、たとえばSIL4を立証するために、パラメータを再計算し、文書化し、新しい誤差の考慮を行い、誤差計算および検証ステップを実行することが必要である。したがって、個々のモジュールの安全関連パラメータは、その相互作用に従って機能的に組み合わされなければならない。これらのパラメータは、通常、デバイス仕様書内で文書化され、計算の時点で最新でなければならない。関連する安全性の標準規格および規則は、機械製造業者に、個々のモジュールの故障率、自己診断率(diagnostic coverage)、安全側故障割合、または応答時間などの安全関連パラメータを指定する義務を負わせる。安全関連パラメータの計算に関して、現在、たとえばInstitute for Occupational safety of the German Social Accident Insurance(IFA)によるSISTEMA(SIcherheit von STEuerungen an MAschinen; engl.:機械に対する制御の安全性)などのオフライン・ソフトウェア・ツールが使用されている。
【0011】
さらに、技術的なリスクを最小化する手段の機能性および有効性は、安全システム、安全な設備、または安全な機械の動作中に定義された時間間隔で試験されなければならない。
【0012】
しかし、少なくとも現在までに、たとえばIEC 61508、EN 13849、IEC 62061などの現在の安全性標準規格は、機械、設備、または安全システムのモジュール化と、以前には未知であった安全モジュールの構成の動的変更または適応的組合せとを、部分的にしか考慮していない。
【0013】
さらに、現時点は、サイバーフィジカル・システム(CPS)、知能の分散、およびモノのインターネット(IoT)によって支配されている。Industry 4.0は、自動化技術におけるインターネット技術の出現を指す。制御すべきセンサ/アクチュエータからのスマート・デバイスの完全なネットワーキングは、機械モジュールおよび設備モジュールのモジュール化、再利用、および適合性の前提条件である。生産作業は、さらに最適化され得、たとえばバッチ・サイズ1での製造が可能になる。クラウド・サービスの統合および使用は、たとえば予測診断を可能にする。これらの傾向および技術のすべてが、モジュラー設備、機械、および安全システムの高まる複雑さと全体的な安全性検証での高まった複雑さとに影響する。
【0014】
全体的な安全性検証に関する、この要求されるますます高まる複雑さが、モジュラー安全システム、設備および機械の製造業者および操作者の柔軟性要件を満足しないことを理解されたい。
【0015】
これに関して、EP 2 359 201は、複数の安全関連加入者を含む自動化ネットワーク内で安全レベルを判定する方法であって、構成キャプチャ・モジュールによって、自動化ネットワークの加入者の間のデータ指向リンクおよびフロー指向リンクを自動的に確認するステップと、特性データ・キャプチャ・モジュールによって加入者固有安全特性データを自動的に確認するステップと、自動化ネットワーク内の加入者と確認された加入者固有安全特性データとの間で確認されたデータ指向リンクとフロー指向リンクとを接続する計算コードを使用して自動化ネットワーク内の安全レベルを計算するステップとを含む方法を提案する。構成キャプチャ・モジュールおよび特性データ・キャプチャ・モジュールは、ネットワークを介してオンラインで安全機能に用いられる構成要素にアクセスする中央安全マネージャの一部である。
【0016】
さらに、以前の特許出願DE 10 2015 108 359では、本出願人は、安全システムに接続される安全バリデータとも呼ばれる中央検証デバイスを有する、モジュラー安全システム上での安全機能の自動検証の方法を提案する。この方法は、なかんずく、個々のサブシステム・モジュールから検証デバイスへのローカル・モジュール固有安全関連実特性値を転送するステップと、この検証デバイスによって、個々のサブシステム・モジュールの相互作用から生じる全体的な安全関連実特性値を入手するための読み出されたローカル・モジュール固有安全関連実特性値を自動的に処理するステップと、特に検証デバイスによって、結果の全体的な安全関連実特性値を検証デバイスのメモリ内に記憶されたシステムの公称特性値と自動的に比較するステップと、比較の結果に応じて反応信号を自動的に生成するステップとを含む。したがって、いわゆる安全バリデータは、試運転中および進行中の動作中に、分散された部分的な安全機能の安全関係パラメータの変更をオンラインでチェックし、これらのパラメータを組み合わせ、事前に構成された限度の厳守を監視し、後者を超える場合に、システムを安全な状態に推移させることができる。
【0017】
さらに、以前の特許出願DE 10 2015 103 740では、本出願人は、それぞれが特定の安全レベルに従う少なくとも2つのサブシステムからなる機能的に安全な電気システム、電子システム、またはプログラム可能電子システム内でデータを処理し、送信する方法を提案する。この方法は、第1の安全レベルの機能安全データを入手するためにサブシステムのうちの第1のサブシステムの安全なハードウェア構成要素および/またはソフトウェア構成要素を使用してデータを処理し、この第1の安全レベルの使用に関するこれらのデータの適合性を示す少なくとも1つの指示属性をこれらのデータに追加するステップと、追加された指示属性を含むこれらのデータをこれらのサブシステムのうちの第2のサブシステムに送信するステップと、前記指示属性によって指示される安全レベルが、第2のサブシステムが従う安全レベルと等しいのか異なるのかを判定するために安全ハードウェア構成要素および/または安全ソフトウェア構成要素を使用して第2のサブシステムによって受信された指示属性をチェックするステップと、このチェックが、等しくない安全レベルを明らかにする場合に、より低い安全レベルに基づいて機能的に安全な形でデータをさらに処理するステップとを含む。
【0018】
EP 2 359 201とDE 10 2015 108 359との両方が、安全マネージャまたは検証デバイスの形の中央インスタンスを提供する。しかし、これは、特に進行中の動作中のモジュラー安全システムの全体的な安全機能の安全チェーンの監視に関する、柔軟性および管理容易性における制限につながる可能性がある。さらに、追加のハードウェア複雑さが要求される。
【先行技術文献】
【特許文献】
【0019】
【特許文献1】EP 2 359 201
【特許文献2】特許出願DE 10 2015 108 359
【特許文献3】特許出願DE 10 2015 103 740
【発明の概要】
【発明が解決しようとする課題】
【0020】
したがって、本発明の本質的な目的は、特に進行中の動作中に、モジュラー安全システムの全体的な安全機能の安全チェーンの監視をさらに単純化することである。
【0021】
より詳細には、目的は、中央の追加の監視エンティティを使用せずに、そのような単純化された監視を可能にすることである。
【0022】
さらに、特に動的モジュラー安全システムおよび/またはその構成の変更を受けるモジュラー安全システムの場合にも、そのような単純化された監視が可能にされなければならない。
【課題を解決するための手段】
【0023】
解決策として、本発明は、独立請求項1の特徴を有する方法および独立請求項7の特徴を有するデバイスを提案する。本発明の有利な実施形態は、それぞれの従属請求項において指定され、述べられる特徴および利点は、実質的に方法とデバイスとの両方にあてはまり得る。
【0024】
したがって、安全システムの少なくとも1つの安全チェーン内でのデータ処理およびデータ送信を監視する方法であって、前記安全システムは、全体的な安全機能を提供し、モジュラーの形で、少なくとも2つのサブシステム・モジュールから構成され、少なくとも前記2つのサブシステム・モジュールは、データ転送チャネルに接続され、それぞれが部分的な安全機能を提供し、機能安全データ処理および/またはデータ送信のために構成される、方法が提案される。この方法は、− 機能安全データを入手するためにサブシステム・モジュールのうちの第1のサブシステム・モジュールによってデータを処理するステップと、
− データ処理および/または送信の安全関連の特徴を表す属性、特に総応答時間に関する第1の実特性値を第1のサブシステム・モジュールによって判定するステップと、
− 機能安全データおよび第1の実特性値を第1のサブシステム・モジュールからサブシステム・モジュールのうちの第2のサブシステム・モジュールに送信し、機能安全データおよび第1の実特性値を第2のサブシステム・モジュールによって受信するステップと、
− 安全関連の特性を表す属性に関する第2の実特性値を第2のサブシステム・モジュールによって判定するステップと、
− 安全関連の特性を表す属性に関する第3の実特性値を入手するために、第1の実特性値および第2の実特性値を第2のサブシステム・モジュールによって処理するステップと、
− 安全関連の特性を表す属性に関する公称特性値を第2のサブシステム・モジュールによって判定するステップと、
− 第2のサブシステム・モジュールによって、第3の実特性値を安全関連の特性を表す属性に関する公称特性値と比較し、比較の結果に応じて、
− 比較の結果が肯定である場合には、機能安全データをさらに処理し、かつ/または転送し、
− 比較の結果が否定である場合には、事前に定義された安全反応をトリガする
ステップと
を含む。
【0025】
用語「データ転送チャネル」が、必ずしもバス・システムの存在を要求しないことに留意されたい。本発明の範囲内には、バス・システムを介して連結されないデータ送信用のモジュールを有するサブシステム・モジュール、たとえばモジュラー機械がある。用語「データ転送チャネル」の範囲内の1つの可能な代替案は、たとえば、それらが接続される「データ転送チャネル」がそれぞれの内部の相互接続されたバックプレーン・バスから構成されるサブシステム・モジュールである。したがって、サブシステム・モジュールは、たとえば、内部バックプレーン・バスを有するモジュラー・デバイスとすることもできる。
【0026】
特に好ましくは、安全システムの安全チェーン内のデータ処理およびデータ送信が、周期的に実行されることと、方法のステップが周期的に実行されることとが企図されている。
【0027】
さらに、その方法を実行するためのデバイスであって、機能安全データ処理および/またはデータ送信のために構成された安全なハードウェア構成要素および/またはソフトウェア構成要素を含むデバイスが提案される。本発明は、安全なハードウェア構成要素および/またはソフトウェア構成要素が、− 機能安全データを入手するためにデータを処理し、
− データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する第1の実特性値を判定し、
− 機能安全データおよび第1の実特性値を送信するように適合されるという事実によって区別される。
その代わりにまたはそれに加えて、ハードウェア構成要素および/またはソフトウェア構成要素は、
− データ処理および/またはデータ送信の安全関連の特徴を表す属性に関する送信された機能安全データおよび第1の実特性値を受信し、
− 安全関連の特性を表す属性に関する第2の実特性値を判定し、
− 安全関連の特性を表す属性に関する第3の実特性値を入手するために、第1の実特性値および第2の実特性値を処理し、
− 安全関連の特性を表す属性に関する公称特性値を判定し、
− 第3の実特性値を安全関連の特性を表す属性に関する公称特性値と比較し、
− 比較の結果に応じて、
− 比較の結果が肯定である場合には、機能安全データをさらに処理し、かつ/または転送し、
− 比較の結果が否定である場合には、事前に定義された安全反応をトリガする
ように適合される。
【0028】
特に好ましくは、デバイスは、安全な入力モジュール、安全な出力モジュール、安全なPLCモジュール、安全な論理モジュール、または安全な結合モジュールとして構成される。
【0029】
したがって、本発明によれば、部分的な安全機能を提供する各サブシステム・モジュールは、機能安全データ(たとえば、「緊急停止作動」)を有利に送信するだけではなく、たとえば残りのSILパーセンテージ、信号またはデータの年齢もしくは現実性、または総応答時間などの安全関連の特徴を表す属性に関して、たとえばセットされたフィルタ時間、信号の品質、内部処理時間、転送時間、送信の品質、SILの自身のパーセンテージなどの実特性値の形のさらなる情報によってそれらを補足もし、この追加情報は、部分的な安全機能を提供する安全チェーン内のダウンストリーム・サブシステム・モジュールによって受信され、たとえばデータが既に古すぎるか否か、またはSILのうちのあまりに多くが既に消費済みであるか否かに関して、そこで処理され、評価されるか公称特性値と比較される。
【0030】
これは、サブシステム・モジュールがそれ自体のSIL特性値を機能安全データと一緒にダウンストリーム・サブシステム・モジュールに送信し、このダウンストリーム・サブシステム・モジュールが、受信されたSIL特性値をそれ自体のSIL特性値と比較し、機能安全データをより低いSIL特性値と一緒に転送することを提案するのみである、前述のDE 10 2015 103 740に対する本発明の重大な相違でもある。
【0031】
対照的に、本発明によれば、データ送信および/またはデータ処理の安全関連の特徴を表す属性に関する実特性値を機能安全データと一緒に受信するサブシステム・モジュールは、受信するサブシステム・モジュール自体によって判定されるさらなる実特性値と一緒に、受信された実特性値を処理するか再計算し、その後、計算された実特性値を公称特性値と比較し、比較の結果に応じて、チャネルまたはモジュールのシャットダウンなどの安全反応をトリガするか、受信された機能安全データおよび計算された実特性値を使用するさらなる処理および/または転送を実行することが企図されている。
【0032】
本発明は、多数の利点を提供する。最も重要なことに、本発明は、集中化された位置での追加ハードウェアの必要なしに、進行中の動作中にモジュラー安全システム内の安全チェーンの簡単な監視を可能にする。
【0033】
したがって、安全性に関してすべての新しい構成または変更された構成を前もって再計算する必要がもはやないので、本発明は、モジュラー安全システムの柔軟性に大きく寄与する。この点で、本発明は、たとえば、更新された安全性考慮の必要なしに、変更された構成が、機械または設備の元々のリスク査定または安全性検証から、要求される安全関係特性値を厳守し続けることを保証する。これは、特に、モジュラー機械または設備のプラニング、機械製造業者のプラニング、および進行中の生産における動作のプラニングを単純化する。
【0034】
さらに、本発明による監視は、全体的な安全機能の「静的」構成を有する「静的な」安全システム、設備、または機械においても機能し続ける。この場合に、本発明による監視は、たとえば、データ処理および/またはデータ送信の徐々に進行する劣化さえもが検出されるという利点を操作者に提供し、したがって、データ処理およびデータ送信の品質および安全性は、要求される限度内またはパラメータ化された限度内に必ず留まる。
【0035】
さらなる利点は、この方法が周期的に実行され得、その結果、すべての新しい通信またはデータ送信サイクルに関して、安全チェーン内のデータ処理およびデータ送信が、少なくとも1つであるが好ましくは複数の安全関連の特徴を表す属性に関して監視され得るようになることである。
【0036】
本発明の有利な実施形態によれば、第2のサブシステム・モジュールによる、第2のサブシステム・モジュールからサブシステム・モジュールのうちのさらなるサブシステム・モジュールへの機能安全データの転送の前に、安全関連の特徴を表す属性の第5の実特性値を入手するために、安全関連の特徴を表す属性の第4の実特性値が、判定され、第3の実特性値と一緒に処理されることと、この第5の実特性値が、第1の実特性値として提供されることと、機能安全データおよびこの第1の実特性値が、この第2のサブシステム・モジュールからさらなるサブシステム・モジュールに転送されることとが企図されている。
【0037】
好ましい実施形態によれば、公称特性値の判定は、公称特性値をメモリから読み出すことを含む。
【0038】
特に好ましい実施形態によれば、実特性値のうちの少なくとも1つを判定することは、度量衡的な形で実特性値を獲得することまたはメモリから実特性値を読み出すことを含む。
【0039】
本発明の別の実施形態では、送信することは、機能安全データおよび第1の実特性値を、共有されるプロトコル固有データ・エリア内で一緒に、または別々のプロトコル固有データ・エリア内で互いに別々に、基礎になる安全なデータ転送プロトコルに従って送信することを含む。この場合には、特に透過的な形で、本発明を既存の(安全)プロトコルに統合することがさらに可能である。しかし、本発明を実施する新しい(安全)プロトコルを提供することも可能である。
【0040】
本発明の上記のおよびさらなる特徴および利点は、添付図面を参照して下で説明される例示的実施形態から明白になる。
【図面の簡単な説明】
【0041】
【図1】3つのサブシステム・モジュールを含む機械の形のモジュラー安全システムを示す概略図である。
【図2】3つの機械の形の3つのサブシステム・モジュールを含むモジュラー安全システムを示す概略図である。
【発明を実施するための形態】
【0042】
図1は、全体的な安全機能すなわち「機械の緊急停止」を一緒に形成する部分的な安全機能をそれぞれが提供する3つのサブシステム・モジュール110、120、および130を含む機械の形のモジュラー安全システム100の概略図を示す。サブシステム・モジュール110は、安全な入力モジュールとして構成され、サブシステム・モジュール120は、安全な論理モジュールとして構成され、サブシステム・モジュール130は、安全な出力モジュールとして構成され、それぞれは、図示されていないデータ転送チャネル、たとえばフィールドバスまたはそれぞれの内部の相互接続されたバックプレーン・バスに接続され、さらに、これらは互いに通信することができる。さらに、これらの3つのサブシステム・モジュールは、機能安全データ処理およびデータ送信のために構成される。このために、これらは、安全なハードウェア構成要素および/またはソフトウェア構成要素115、119、121、125、129、131、および135を含む。これらは、好ましくは、安全なデータ送信構成要素119および129、安全なデータ受信構成要素121および131、入力端子の形の安全な入力構成要素115、安全な論理構成要素125、ならびに出力端子の形の安全な出力構成要素135を含む。ここでは、サブシステム・モジュールのそれぞれが、データ送信構成要素とデータ受信構成要素との両方を含み、その結果、両方向データ転送が可能になることに留意されたい。しかし、明瞭さのために、これらの構成要素の一部は、図面に示されていない。
【0043】
安全チェーンは、ここでは、安全な入力モジュール110の入力端子で始まり、安全な出力モジュール130の出力端子で終わる。しかし、入力端子115の緊急停止ボタンの形などのセンサおよび出力端子135の接触器の形などのアクチュエータは、ここでは安全チェーンの一部とは考えられず、図示されていない。これからより詳細に説明される、本発明による安全チェーン内のデータ処理およびデータ送信の監視は、したがって、図1の場合には入力構成要素115から出力構成要素135まで延びる。
【0044】
すべての用いられるサブシステム・モジュール110、120、および130は、それらが「消費する」SILのパーセンテージ、安全システム100、およびそれら自体の内部処理時間を知っている。安全な論理モジュール120および安全な出力モジュール130は、データ転送チャネルのサイクル時間をさらに知っている。残りのSILパーセンテージおよび信号またはデータの年齢は、関連付けられた特性値60がそれに関して判定され、送信され、処理される安全関連の特徴を表す属性であり、モジュラー安全システム100の安全チェーン内のデータ処理およびデータ送信を監視するために評価されまたは比較される。
【0045】
安全な入力モジュール110は、図示されていないファームウェア構成要素を使用して入力構成要素115の状況またはレベルを獲得し、処理し、この入力値から機能安全データ50を生成する。
【0046】
さらに、安全な入力モジュールは、たとえばやはりそのファームウェア構成要素を使用することによって、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関する2つの第1の実特性値60を判定する。安全な入力モジュール110は、図面には示されていないメモリ構成要素から−1%というそれ自体のSILパーセンテージおよび10msというフィルタ時間を読み出すと同時に、度量衡的な形で4msというそれ自体の処理時間を獲得する。したがって、安全な入力モジュール110は、実特性値または残りのSILパーセンテージ(サブシステム・モジュール内での処理の後の残りのSILパーセンテージに対応する)として100%−1%=99%を、データの年齢(サブシステム・モジュール内での遅延に対応する)として10ms+4ms=14msを判定する。これらの2つの第1の実特性値60および機能安全データ50は、安全な入力モジュール110によって、そのデータ送信構成要素119を介して次のサブシステム・モジュール120に送信される。このデータ送信は、図内ではサブシステム・モジュール110と120との間の矢印によって表される。
【0047】
サブシステム・モジュール120すなわち図1の安全な論理モジュールは、そのデータ受信構成要素121を介して、機能安全データ50および追加の第1の実特性値60を含む送信されたデータ・セットを受信する。
【0048】
さらに、安全な論理モジュール120は、その論理構成要素125を使用して、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関する2つの第2の実特性値を判定する。安全な論理モジュール120は、図面に示されていないメモリ構成要素からデータ転送チャネルの−1%というSILパーセンテージを読み出すと同時に、20msの送信時間またはバス・サイクル時間が、度量衡的な形で獲得される。次に、安全な論理モジュール120は、2つの第3の実特性値を入手するために、受信された第1の実特性値60を判定された第2の実特性値と一緒に処理し、これによって、「残りのSILパーセンテージ」の実特性値として99%−1%=98%を、「データの年齢」として14ms+20ms=34msを判定する。安全な論理モジュール120は、その論理構成要素125を使用して、これらの2つの第3の実特性値を、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関してパラメータ化された、図示されていないメモリ構成要素から読み出された2つの公称特性値と比較する。安全関連の特徴を表す属性のうちの少なくとも1つに関して、第3の実特性値が、関連付けられた公称特性値から逸脱するか、少なくともパラメータ化されたしきい値を超えて逸脱する場合には、事前に定義された安全反応がトリガされる。これは、比較の結果が否定である場合に、送信されたデータ50が、たとえば、それがたとえば通信途絶に起因して古くなりすぎているので、さらには処理されないことを意味する。好ましくは、その後、エラー・メッセージが、安全システム100の操作者のために生成される。
【0049】
比較の結果が肯定である場合すなわち、関連付けられた公称特性値からの逸脱がないか、多くともパラメータ化されたしきい値より小さい逸脱しかない場合には、送信された機能安全データ50は、安全な論理モジュール120によって、その論理構成要素125を使用してさらに処理され得、その後、転送のために提供され得る。
【0050】
さらに、安全な論理モジュール120は、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関する2つの第4の実特性値を判定する。安全な論理モジュール120は、図面に示されていないメモリ構成要素から−1%というそれ自体のSILパーセンテージを読み出すと同時に、度量衡的な形で3msというそれ自体の処理時間を取り込む。その後、安全な論理モジュール120は、2つの第5の実特性値を入手するために、第3の実特性値を判定された第4の実特性値と一緒に処理し、これによって、「残りのSILパーセンテージ」に関する実特性値として98%−1%=97%を、「データの年齢」として34ms+3ms=37msを判定する。その後、安全な論理モジュール120は、これらの2つの第5の実特性値を、2つの第1の実特性値60と同様の転送のために使用可能にする。そのデータ送信構成要素129を介して、安全な論理モジュール120は、2つの第1の実特性値60および機能安全データ50を次のサブシステム・モジュール130に送信する。このデータ送信は、図面では、サブシステム・モジュール120と130との間の矢印によって示されている。
【0051】
サブシステム・モジュール130すなわち安全な出力モジュールは、そのデータ受信構成要素131を介して、機能安全データ50および追加の第1の実特性値60を含む送信されたデータ・セットを受信する。
【0052】
さらに、安全な出力モジュールは、たとえば図示されていないそのファームウェア構成要素を使用して、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関する2つの第2の実特性値を判定する。安全な出力モジュール130は、図面には示されていないメモリ構成要素から−1%というデータ転送チャネルのSILパーセンテージを読み出すと同時に、度量衡的な形で15msという転送時間またはバス・サイクル時間を取り込む。その後、安全な出力モジュール130は、2つの第3の実特性値を入手するために、受信された第1の実特性値60を判定された第2の実特性値と一緒に処理し、これによって、「残りのSILパーセンテージ」に関する実特性値として97%−1%=96%を、「データの年齢」として37ms+15ms=52msを判定する。たとえばそのファームウェア構成要素を使用することによって、安全な出力モジュール130は、これらの2つの第3の実特性値を、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関してパラメータ化された、図示されていないメモリ構成要素から読み出された2つの公称特性値と比較する。安全関連の特徴を表す属性のうちの少なくとも1つに関して、第3の実特性値が、関連付けられた公称特性値から逸脱するか、少なくともパラメータ化されたしきい値を超えて逸脱する場合には、事前に定義された安全反応がトリガされる。これは、比較の結果が否定である場合に、送信されたデータ50が、さらには処理されないことを意味する。
【0053】
比較の結果が肯定である場合すなわち、信号の年齢および残りのSILパーセンテージがパラメータ化された限度内にある場合には、送信された機能安全データ50は、出力端子135で出力され得る出力信号を入手するために、安全な出力モジュール130によって、そのファームウェア構成要素を使用してさらに処理され得る。
【0054】
本発明により、今や、たとえば、変更された構成によって安全システム100の安全性を危険にさらすことなく、新しい安全性考慮の必要なしに、サブシステム・モジュール110を新しいまたは他のサブシステム・モジュールに交換することが可能である。たとえば、新しいサブシステム・モジュール110が、より大きいSILパーセンテージを「消費し」、または交換されたサブシステム・モジュールより長いフィルタ時間もしくは処理時間を有する場合に、サブシステム・モジュール120または130は、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関するパラメータ化された公称特性値がもはや厳守されない場合に安全反応をトリガする。この実質的な利点は、ゲートウェイとして構成された結合モジュールなど、追加のサブシステム・モジュールが統合される場合にもあてはまる。
【0055】
図示されていない、図1の例の変更形態では、安全な論理モジュールなどのサブシステム・モジュールが、受信された実特性値および判定された実特性値の処理または再計算を実行するが、公称特性値との比較を実行しないことも企図され得る。この場合に、計算された実特性値および機能安全データだけが、次のサブシステム・モジュールに送信される。
【0056】
図2は、3つの機械の形の3つのサブシステム・モジュール210、220、および230を含むモジュラー安全システム200の概略図を示す。この安全システム200は、たとえば、全体的な安全機能として「全機械停止緊急停止(stop−all−machines emergency stop)」を提供する。機械210、220、および230は、それぞれ、図示されていないデータ転送チャネルに接続され、このチャネルを介して互いに通信することができる。単純さのために、やはり、通信の1つの方向だけが、機械210と220との間ならびに220と230との間の矢印によって示されている。しかし、もちろん、この方法は、両方向でも働く。全体的な安全機能「全機械停止緊急停止」は、安全性要求が機械210内でトリガされる時に、これが機械230に関しても有効でなければならないことを意味する。
【0057】
機械210から機械230まで延びる安全チェーン内のデータの機能的に安全な処理および送信ならびにその監視は、上で説明され図1に示された例示的実施形態と同様に働く。図2の例では、機械210または220は、また、機能安全データ50と、さらに、データ処理および/またはそれぞれ機械220もしくは230へのデータ送信の安全関連の特徴を表す属性に関する少なくとも1つの第1の実特性値60とを送信する。この場合に、安全関連の特徴を表す属性「残りのSILパーセンテージ」および「データの年齢」に関する実特性値および公称特性値が、第1の例示的実施形態で言及された特性値とは異なる場合があることを理解されたい。その代わりにまたはそれに加えて、他の安全関連の特徴を表す属性も判定され得る。
【符号の説明】
【0058】
50 機能安全データ60 実特性値
100 安全システム
110 サブシステム・モジュール、安全な入力モジュール
115 入力構成要素、入力端子
119 データ送信構成要素
120 サブシステム・モジュール、安全な論理モジュール
121 データ受信構成要素
125 論理構成要素
129 データ送信構成要素
130 サブシステム・モジュール、安全な出力モジュール
131 データ受信構成要素
135 出力構成要素、出力端子
200 安全システム
210 サブシステム・モジュール、機械
220 サブシステム・モジュール、機械
230 サブシステム・モジュール、機械