用于确定安全步骤的方法及安全管理器

摘要

为了改进具有多个用户的自动化网络中的安全步骤，自动确定该自动化网络中的用户之间的数据和过程特定的链路。然后通过连接该自动化网络中的用户的所确定的数据和处理链路以及所确定的用户特定的安全数据的算法，来计算该自动化网络中的安全步骤。

说明书

本发明涉及用于在包括多个用户(subscriber)的自动化网络中确定安全步骤的方法以及安全管理器和自动化网络。

工业自动化的现代概念(即，通过软件控制和监视技术过程)是基于包括分布式传感器/执行器层的中心控制的思想。由此，用户通过工业局域网(下面也称为自动化网络)彼此进行通信以及与上级系统进行通信。自动化网络通常被配置成公知的主从通信网络，其中，主用户表示控制层，而从用户表示传感器/执行器层。

安全是工业自动化的根本要求。当执行自动化任务时，需要确保的是当一个用户出现故障或者在发生其它错误时，该自动化网络不会对人和环境造成任何危险。为了能够对自动化网络造成的危险进行分类，需要强制执行危险评估。根据欧洲标准EN1050，需要按一系列的逻辑步骤执行该风险评估，这些步骤能够对来自自动化网络和/或单个用户的危险进行系统地检查。基于危险分析，然后可以确定对自动化网络的技术和组织要求，以便确保足够的安全。

关于这一点，欧洲标准EN 954-1“Safety of machinery - Safety-related parts ofcontrol systems(机械安全-控制系统的安全相关部分)”已经将其本身建立成机械及工厂安全领域用于执行危险分析的国际标准。该标准考虑了所有安全相关的用户而不管其用户类型，并对它们的安全相关能力进行分类。基于所确定的安全类别，然后配置自动化网络中的控制结构，以便满足对安全功能的要求并在出现错误的情况下实现必要的系统行为。

为了能够针对安全要求对可编程电子控制系统进行具体评判(justice)，除EN954-1标准之外，近些年还引入了其它标准。对于自动化网络中的危险分析，ENISO13849-1和IEC/EN 62061标准尤其相关。通过这两个标准，除EN954-1标准的定性方法之外，还执行安全功能的定量预期。

EN ISO13849-1和IEC/EN 62061标准规定了可编程电子控制系统减小风险所需要的安全相关能力。为了对安全相关能力进行分类，这两个标准定义了安全步骤。为此，与参与执行自动化网络的所有安全功能的所有用户一起考虑自动化网络的所有安全功能。

基于参与这些安全功能的用户的安全相关参数来确定自动化网络的安全步骤。根据EN ISO13849-1标准等，这些参数为：平均无故障时间(MTTF)、诊断覆盖率(DC)、每小时的危险故障概率(PFH)、使用时间(T_M)、发现受到磨损烦恼的用户的样本的10％是危险的周期数(B_10d)以及共同原因故障(CCF)。除前述安全相关参数外，其它因素(甚至是诸如征用率或安全功能的测试率的运行因素)也可能影响安全步骤。

为了确定自动化网络的安全步骤，除了知道参与安全功能的所有用户的安全相关参数之外，还需要关于该自动化网络中的用户之间的逻辑操作的准确信息。

为了能够对自动化网络造成的危险进行可靠的分类，需要例如通过马尔可夫(Markov)分析进行复杂的计算。此外，单个用户的故障概率由于数据不够而需要部分估计，这使得难以给出明确的表述。从而自动化网络中的安全步骤的确定对中小型公司造成了相当多的问题。

在最近几年，安全工具日益冲击市场，例如德国奥斯特菲尔登(Ostfildern)的Pilz公司提供的安全计算器PAScal和德国魏斯基希(Weiskirch)的Sick公司提供的Safeexpert程序。这些安全工具根据所使用的用户计算自动化网络中的安全功能的安全步骤。由此，从软件库中取得用户特定的安全参数。然而，此外，系统中的结构，即，自动化网络内的用户的数据和处理特定的链路需要单独地输入。这些安全工具通过根据EN ISO 13849-1和EN/EC62061标准需要的安全步骤来验证所计算的安全步骤，并给出动作的潜在需要，以便改善自动化网络内的安全。

使用软件库来检测用户特定的安全参数需要持续对该库进行更新，以便能够在安全计算过程中考虑新的用户和/或以便能够考虑在用户中执行的修改。此外，需要向安全工具单独输入自动化网络中的用户之间的数据和过程特定的链路耗时并且易于出错。因此，当确定安全步骤时，通常仅执行自动化网络中的控制逻辑的简化预期。如果自动化网络被扩展或修改，则还需要重新检测经修改的结构，以便能够确定当前安全步骤。

DE 103 18 837 A1公开了一种网络，其中，用户之间的数据和过程特定的链路可以通过安全管理器来自动检测。

EP 1 300 657 A2和DE 44 09 543 A1公开了可以自动确定用户特定的参数的网络。

来自CIC-web在线杂志(2005年8月6日版，第1-3页)的服务框(HenrichPublikationen GmbH的在线服务)(http://www.cicweb.de/index.cfm？pid＝1473&pk＝66042#)的“Wahrscheinlichkeitsrechnung leicht gemacht”(使概率计算容易进行)给出了用于确定包括多个用户的自动化网络内的安全步骤，其中，通过连接自动化网络中的用户之间的数据和过程特定的链路以及用户特定的安全参数的算法来计算自动化网络中的安全步骤。该方法已经在PILZ公司的“安全计算器PAScal”程序中实现。

本发明的目的是提供一种确定自动化网络中的安全步骤的方法和/或能够以简单可靠的方式自动计算所述安全步骤的用于这种自动化网络的安全管理器，特别是在对该自动化网络引入了进一步的修改时。

通过根据权利要求1所述的方法、根据权利要求6所示的计算机程序产品、根据权利要求9所述的安全管理器和根据权利要求12所述的自动化网络来实现该目的。从属权利要求中示出了优选的实施方式。

为了确定包括多个用户的自动化网络中的安全步骤，根据本发明，自动检测该自动化网络中的用户之间的数据和过程特定的链路以及用户特定的安全参数。然后通过连接所检测到的该自动化网络中的用户之间的数据和过程特定的链路以及所检测到的用户特定的安全参数的算法来计算该自动化网络中的安全步骤。根据本发明，该过程由此在这样的安全管理器上执行，该安全管理器包括用于检测所述自动化网络中的用户的数据和过程特定的链路的配置检测模块和用于检测用户特定的安全参数的参数检测模块以及用于执行所述算法的计算模块。

用于确定自动化网络中的安全步骤的本发明的过程和/或相关的安全管理器能够对安全步骤进行自动计算。特别是，不再需要操作者对自动化网络的结构进行分析并将其输入到计算模块。此外，本发明的过程和相应配置的安全管理器能够自动检测自动化网络中的扩展或修改并在计算安全步骤时考虑这些因素。

根据一个优选实施方式，用户特定的安全参数存储在相应的用户中并通过安全管理器自动获取(retrieve)，以便通过用户的自动化网络连接来计算安全步骤。通过将所述用户特定的安全参数直接存储在用户中并通过对它们进行在线获取，不再需要对软件库执行耗时的更新。所述安全管理器的计算模块直接从所述用户获得用户特定的安全参数，使得还可以按照简单的方式考虑新的用户和/或到目前为止未知的用户。因此，确保了在确定安全步骤的过程中可靠地考虑安全功能的修改和扩展或者自动化网络中的用户的交换。

根据另一优选实施方式，根据自动化网络的预定配置来确定用户之间的数据和过程相关的链路，以便执行自动化任务。用于执行所述自动化任务的控制逻辑的配置包括在计算所述安全步骤时需要考虑的所有必需的数据和过程特定的链路。从而可以基于控制硬件以简单的方式确定该数据和过程特定的链路。

为了检测用户之间的数据和过程特定的链路，优选地检测用户的输入和输出的逻辑链路，以便执行所述自动化任务。该信息包括所有必需的数据，以便在计算所述安全步骤的过程中完全考虑到用户的数据和过程特定的链路。

下面，参照附图来详细地解释本发明，附图中：

图1示意性描述了包括安全区域的自动化网络；以及

图2示出了用于自动化系统的安全管理器。

在工业自动化(即，在通过计算机上的软件控制和监视技术过程)中，越来越多地使用分散控制系统(下面也称为自动化网络)，其中，传感器/执行器层中设置的分布式装置(例如，I/O模块、数据记录器、阀)通过有效的实时通信网络与控制层的自动化计算机通信。自动化网络中的用户(即，自动化计算机和/或传感器/执行器层的装置)可以通过点对点连接或通过总线系统彼此链接。由此，优选地使用现场总线系统作为总线系统。

自动化网络通常根据主从原则进行分层配置和操作。主用户被指派为控制层，并且是具有访问自动化网络中的通信链路并确定数据传送的授权的主动(active)用户。从用户属于传感器/执行器层并且是被动(passive)用户。它们没有访问通信链路的独立授权，即，它们仅可以确认所接收到的数据并在主用户请求时向主用户传送该数据。

图1示意性示出了自动化网络的基本结构。该自动化网络包括形成控制层的两个主用户M、SM和表示传感器/执行器层的八个从用户S₁到S₄，SS₁到SS₄。该自动化网络中的所有用户都通过串行总线1彼此连接，通过该串行总线1进行用户之间的数据交换。用户之间的数据交换通常由主用户M、SM以构成控制数据和用户数据的数据包的形式来组织，该数据包中的控制数据包括地址信息。然后例如基于允许长度达1500字节的数据包的以太网协议以100Mbit/sec的传输速率执行数据交换。

对于自动化网络的基本要求是确保在出现用户故障和/或出现功能错误时自动化网络不会对人和环境造成任何危险。由此，危险的程度实质上取决于自动化网络中的用户的类型和功能以及控制程序的可靠性。为了保护人和/或环境免受危险，可以通过使用适当的保护装置仅对自动化网络中的危险用户进行操作和维护。此外，除普通控制功能外，需要在自动化网络的控制层中执行安全功能，确保在自动化网络中的安全相关用户故障时，该自动化网络切换到安全状态。这种安全状态例如是自动化网络的紧急切断(switch-off)。

为了能够对来自自动化网络的用户和/或控制程序的危险进行分类，强制执行危险分析。存在多个标准，包括用于安全相关的自动化网络的设计、集成和确认(validation)的要求和建议。因此，最常用的标准是欧洲标准EN 954-1“Safety ofmachinery-Safety-related parts of control systems(机械安全-控制系统的安全相关部分)”，其应用于控制的所有安全相关的部分，而与所使用的能量形式无关，并且包括用于对相应的必需安全相关能力进行分类的类别。然而，欧洲标准EN 954-1仅提供了定性方法，由此，例如，没有考虑自动化网络中单个用户的故障概率。

更新的标准EN ISO 13849-1和IEC/EN 62061中包括能够进行可靠的危险评估(特别是自动化网络)的这种定量方法。这些标准定义了用于对不同的安全相关能力进行分类的安全步骤，这些安全步骤表示自动化网络每小时出现危险故障的不同平均概率值。为了根据EN ISO 13849-1和IEC/EN 62061标准确定安全步骤，必需检测用户特定的安全参数。用户的这些安全参数是平均无故障时间(MTTF_d)、每小时的危险故障概率(PFH)、诊断覆盖率(DC_d)、安全故障系数(fraction)(SFF_d)、使用时间(T_M)、共同原因故障(CCF)以及该标准中规定的其它参数。

除了用户特定的安全参数外，还要求确定自动化网络的安全步骤，以检测自动化网络中的用户的数据和过程特定的链路。通过这些标准中规定的算法，可以确定该安全步骤。

通常，不是自动化网络中的所有用户都是安全相关的。此外，自动化网络中的安全功能的数量通常低于非安全相关的控制功能的数量。因此，通常在自动化网络内限定安全区域。在图1中所示的自动化网络中，由安全相关的主用户SM(下面也称为安全主SM)和安全相关的从用户SS₁到SS₄形成安全区域。图1的自动化网络中还存在非安全相关从用户S₁到S₄，非安全相关从用户S₁到S₄被第二主用户M(下面也称为标准主M)控制。

替代通过提供独立的主用户来使安全功能与非安全相关控制功能分离，如图1中描述的自动化网络中所提供的，还可以在单个主用户上执行安全功能以及非安全相关控制功能，然而，由此需要确保非安全相关控制功能不会影响安全功能。

在可以用来根据可应用标准确定自动化网络中的安全步骤的已知安全工具中，需要单独输入用户的数据和过程特定的链路，以便在自动化网络中执行安全功能。此外，在这些已知安全工具的情况下，从软件库中取得在计算安全步骤时要考虑的用户特定的安全参数。这使得必需持续更新软件库，以便能够考虑新的安全相关用户和/或基于用户中的技术或软件特定的调节来检测用户特定的安全参数的修改。通过本发明提供的安全管理器2显著减少了确定自动化网络中的安全步骤所涉及到的时间和工作。

在图1中描述的自动化网络中，安全管理器2集成在安全主SM中。在这种情况下，安全管理器2可以被配置成硬件或软件。作为图1中所示的实施方式的替代，可以在自动化网络的任何其它期望用户中(例如，在标准主M中)设置安全管理器2。然而，安全管理器2也可以被配置成自动化网络中的独立用户。

在图2中示意性描述了安全管理器2的配置。安全管理器的各个组件也可以被配置成硬件或软件。安全管理器2包括三个接口：用于将安全管理器连接到自动化系统的总线接口21、数据接口22以及人机接口23。如果安全管理器2不是自动化网络中的独立用户，而是该网络中的主用户或另一用户的一部分，则该安全管理器可以另选地使用所述主机(host)用户的相应接口。

安全管理器2可以经由数据接口22输入(import)例如通过配置工具4确定的自动化网络配置以用于执行自动化任务。在连接到数据接口22的配置检测模块24中，所输入的系统配置被转换成系统模型，该系统模型以标准化形式检测自动化网络中的安全相关用户的数据和过程特定链路。然而，另选地，配置检测模块24还可以以自动化网络的测试模式独立地检测表示自动化网络中的安全相关用户的数据和过程特定链路的系统模型。为此，配置检测模块24例如通过测试数据来检测安全相关用户的输入和输出的逻辑链路，同时执行自动化任务。此外，还有可能的是：配置检测模块24从安全主SM读出安全控制，由此检测安全相关用户的数据和过程特定链路。

安全管理器2还包括用于检测用户特定安全参数的参数检测模块25。这些用户特定安全参数可以通过参数检测模块25经由数据接口22从外部数据库5读入或者经由总线接口21直接从自动化网络中的安全相关用户获取。还可能的是，参数检测模块25将经更新的用户特定安全参数恢复到安全相关用户和/或外部数据库5。

如图1所示，安全相关用户SS₁到SS₄中的每一个用户包括存储用户特定安全参数的参数存储器3。所述参数存储器3被写保持并且提供有标识符。作为标识符，例如，可以使用用户特定的参数的校验和(checksum)。指派给各个参数存储器的标识符还存储在参数检测模块25中。通过这些标识符，可以执行自动化网络中参数检测模块25与各个用户之间的安全数据通信，以便交换用户特定的安全参数。

在安全管理器2中，配置检测模块24和参数检测模块25还连接到计算模块26，以便计算自动化网络中的安全步骤。计算模块26通过所提供的考虑了所提供的安全标准的算法来执行安全步骤的确定。相应要使用的算法由此可以由用户经由人机接口23通过所连接的输入/再现单元6来选择。然而，还可以向计算模块26自动提供要使用的算法。另一方面，所检测到的安全步骤通过人机接口23以消息的形式向输入/再现单元6输出计算模块。

为了在自动化网络中计算安全步骤，安全管理器2可以以多种模式操作。因此，在第一操作模式下，安全管理器2可以用于系统设计的构架内，以便预先确定该设计的相应安全步骤。在这种情况下，可以通过数据接口22从配置工具4和/或外部数据库5获取系统配置和用户特定的安全参数。

当操作该自动化系统时，可以以安全管理器2的第二操作模式周期性地或者例如在自动化网络的初始化期间重新计算安全步骤。在该安全管理器操作模式下，然后参数检测模块25可以从安全相关用户的参数存储器3读出用户特定的参数。此外，配置检测模块24可以直接从所连接的自动化网络的配置和/或从安全主机(master)的控制程序检测数据和过程特定的配置。

通过根据本发明的安全管理器和/或根据本发明的安全步骤计算方法，可以以简单的方式自动确定自动化网络中的安全步骤，尤其是在该自动化网络中执行了修改之后，例如，在连接其它安全相关用户之后。