用于控制自动化设备的安全控制装置和方法

摘要

本发明涉及一种安全控制装置，其用于根据在该安全控制装置中运行的应用程序(34)控制自动化设备(12)，其中该设备(12)包括多个传感器(16)和多个执行器(14)，其中应用程序(34)包括用于控制执行器(14)的多个控制指令(44，46，48)，该安全控制装置具有：第一处理器(20)，其构建为，通过处理多个第一程序变量执行所述控制指令(44)的至少一部分，其中第一处理器(20)进一步构建为，针对第一程序变量(FSV1A)的至少一个根据针对该第一程序变量(FSV1A)在所限定的第一时刻存在的瞬时值(FSV1A(n))确定第一校验值(CRCFSV1A(n))；第二处理器(22)，其构建为，通过处理多个第二程序变量执行所述控制指令(48)中的至少一部分，其中第二处理器(22)进一步构建为，确定与第一校验值(CRCFSV1A(n))对应的第二校验值(CRCFSV1B(n))；数据存储器(92)，其构建为存储瞬时值(FSV1A(n))、第一校验值(CRCFSV1A(n))和第二校验值(CRCFSV1B(n))。此外，本发明涉及一种相应的方法以及一种相应的计算机程序产品。

说明书

本发明涉及一种安全控制装置，其用于根据在其中运行的应用程序来 控制自动化设备，其中该设备包括多个传感器和多个执行器，其中应用程 序包括多个用于控制执行器的控制指令。

此外，本发明还涉及一种用于控制自动化设备的方法，其中设备包括 多个传感器和多个执行器。

在本发明的意义下的安全控制装置是如下设备或装置，该设备或装置 记录由传感器提供的输入信号并且由此通过逻辑链接和可能的其他信号 处理步骤或数据处理步骤产生输出信号。输出信号于是可以输送给执行 器，所述执行器根据输入信号引起受控的设备中的动作或反应。

这种安全控制装置的一个优选的应用领域是对在机器安全领域中的 应急关断按键、双手控制装置、光栅或安全门的监控。这种传感器被用于 例如保护如下机器，在运行中对人员或材料物品的危害源自该机器。在安 全门打开时或在操作应急关断按键时分别产生信号，该信号作为输入信号 被输送给安全控制装置。响应于此，安全控制装置于是例如借助执行器关 断机器的带来危险的部分。

与“正常”控制装置相比，对于安全控制装置典型的是，安全控制装 置本身即使在安全控制装置中或在与该安全控制装置相连的设备出现故 障时也始终保证带来危险的设备或机器的安全状态。因此，在全控制装置 中对自己的故障安全性提出了极高要求，这导致了在开发和制造时的极大 开销。

通常，安全控制装置在其使用之前需要由主管监管局(譬如在德国由 行业组织或)的特别的许可。安全控制装置在此必须遵守预先给定 的安全标准，其例如记录于欧洲标准EN 954-1或相似的标准中，例如标 准IEC 61508或标准EN ISO 13849-1中。在以下因此，安全控制装置理 解为如下设备或装置，其至少满足所述欧洲标准EN 954-1的第三安全类 别或其安全完整性等级(SIL)至少达到根据所述标准IEC 61508的第二 等级。

可编程的安全控制装置为应用者提供如下可能性，借助软件、即所谓 的应用程序根据其需要单独地确定逻辑链接并且必要时确定另外的信号 或数据处理步骤。由此得到与以前的解决方案相比大的灵活性，其中逻辑 链接通过在不同的安全部件之间的限定的布线来产生。应用程序例如可以 借助市面上可获得的个人计算机(PC)和在使用相应设置的软件程序的 情况下来创建。

如已所提及的那样，在安全控制装置的情况下对自己的故障安全性即 鉴于安全控制装置中出现的故障而提出了极高的要求。措施例如在于，至 少在处理数据的部件譬如处理器中冗余地设计安全控制装置。因此，鉴于 安全控制装置中出现的故障实现了安全控制装置尽可能大的可用性。同 样，安全控制装置的高可用性鉴于在安全控制装置之外可能出现的故障是 值得所希望的。这样，安全控制装置例如在电压消失之后又无问题地在如 下状态中进一步驱动，该安全控制装置在电压消失之前具有该状态。但恰 好在安全控制装置之外出现故障时的可用性方面，安全装置装置尚非最 优。

因此，本发明的任务是改进开头所述类型的安全控制装置和方法，以 便提高安全控制装置在安全控制装置之外出现的故障方面的可用性并且 同时减小安全控制装置的成本。

该任务通过开头所述类型的安全控制装置来解决，其具有如下单元： 第一处理器，其构建为通过处理多个第一程序变量来执行安全指令的至少 一部分，其中第一处理器构建为，针对第一程序变量的至少一个根据针对 该第一程序变量在所限定的第一时刻存在的瞬时值确定第一校验值；第二 处理器，其构建为：通过处理多个第二程序变量执行控制指令的至少一部 分，其中第二处理器进一步构建为，确定与第一校验值对应的第二校验值； 数据存储器，其构建为存储瞬时值、第一校验值和第二校验值。

此外，该任务通过开头所述类型的方法来解决，其中执行如下步骤：

-处理多个第一程序变量，

-针对第一程序变量的至少一个根据针对该第一程序变量在所限定的第 一时刻存在的瞬时值确定第一校验值，

-处理多个第二程序变量，

-确定与第一校验值对应的第二校验值，

-将瞬时值、第一校验值和第二校验值存储在数据存储器中。

新安全控制装置和新方法基于如下构思：在用于程序变量的数据存储 器中存储瞬时值以及不仅存储第一校验值，其借助第一处理器并且因此针 对安全控制装置的第一通道来确定，而且存储第二校验值，其借助第二处 理器并且因此针对第二通道来确定。因此，例如在运行过程不期望的中断 之后在重新起动时针对两个通道冗余地检验尚存储的瞬时值的有效性。这 提高了安全控制装置的可用性。由于两个校验值存储在数据存储器中，所 以足够的是针对两个通道中的仅仅一个设置数据存储器。不需要针对两个 通道中的每个设置自己的数据存储器。这减小了用于实现安全控制装置的 成本。

上面所述的任务因此被完全解决：

在本发明的一个扩展方案中，第二处理器进一步构建为根据第二程序 变量之一的瞬时值确定第二校验值，其中第二程序变量与第一程序变量对 应。

在该扩展方案的一些变形方案中，第一程序变量和第二程序变量是彼 此冗余的程序变量，其代表受控的设备的共同的瞬时值。该措施具有多个 优点。一方面，两个校验值独立地并且因此彼此独立地确定。由此，更可 靠地检验所存储的瞬时值是有效还是无效。此外，自己的校验值供两个通 道的每个所用。针对两个通道因此可以进行独立有效性校验和所存储的瞬 时值的核实。冗余性提高了安全控制装置和因此要控制的设备的可用性。

在前面所述的措施的另一扩展方案中，第一程序变量的瞬时值和第二 程序变量的瞬时值在相同的作业循环中。

通常，处理器循环地执行其相应的控制程序，其中每个处理器循环重 复地读入其程序变量。在该扩展方案中，第一程序变量和第二程序变量源 自共同的循环。其因此代表两个基本上同时存在的瞬时值。通过该措施保 证了，两个瞬时值在时间上彼此对应。它们因此更为类似并且足够针对有 效性校验仅仅存储瞬时值。这能够实现数据存储器的成本低廉的设计。作 业循环有利地通过所限定的第一时刻来限定。

在另一扩展方案中，安全控制装置构建为多样性地确定两个校验值。

该措施有助于提高有效性校验的可靠性。优选地，针对安全控制装置 的两个通道使用不同的算法来确定相应的校验值。

在另一扩展方案中，数据存储器构建为非易失性数据存储器。

该措施保证了所存储的瞬时值和两个所存储的校验值尤其是在不希 望的中断之后在安全控制装置重新起动时立即可用。该设备可以更为快速 地又投入运行。优选地，数据存储器构建为所谓的磁阻随机存取存储器 (MRAM)或构建为铁电随机存取存储器(FRAM)。

在另一扩展方案中，安全控制装置构建为重复针对相继的时刻确定两 个校验值。

该措施保证了重复更新所存储的瞬时值。优选地，更新以规则的时间 间隔进行。该扩展方案有利地有助于可以分别以正当前的值进行设备的重 新起动。设备的重新起动因此可以更为简单地和更快速地进行。

在本发明的另一扩展方案中，第一处理器进一步构建为执行瞬时值比 较。

在该扩展方案中，第一处理器将不同时刻的瞬时值比较。该措施能够 实现相应当前的瞬时值和两个校验值的最优的存储。瞬时值比较被执行， 以便确定瞬时值是否相对于在前的已存储的瞬时值改变。如果确定没有改 变，则当前瞬时值和两个当前校验值尚未额外存储一次。换言之，只有实 际存在改变时才有利地进行存储。由此，可以使用更小的数据存储器，这 引起成本节约。在安全控制装置的工作方式方面，该措施实现了开销最优 化。也就是说，该措施导致，并不针对每个作业循环存储瞬时值和相关的 校验值。

在另一扩展方案中，安全控制装置构建为在重新起动时执行瞬时值的 有效性检验并且借助第一处理器以第一校验值核实瞬时值并且借助第二 处理器以第二校验值核实瞬时值。

该措施具有如下优点，借助此外针对两个通道的仅仅一个所确定的仅 仅一个瞬时值针对安全控制装置的两个通道可以进行有效性校验。由此， 例如可以减小用于存储瞬时值的开销。这样，提供仅仅唯一的数据存储器 就足够。优选地，该数据存储器与控制装置的如下通道关联，在该通道中 不仅处理安全相关的程序变量而且处理非安全相关的程序变量。

在另一扩展方案中，数据存储器具有与第一程序变量中的两个相关的 存储器区域。

该措施能够实现针对两个不同的时刻和因此针对两个不同的工作循 环存储当前瞬时值和两个相应相关的校验值。优选地，于是在至少两个不 同作业循环上的瞬时值的历史存储在存储器区域中。由此在重新起动时进 一步提高要控制的设备的可用性。如果在有效性校验时确定最后存储的、 最为新的瞬时值不有效并且因此针对安全控制装置的初始化不能使用，则 始终还有在前存储的、较旧的瞬时值可用，其可以有利地用于重新起动。

在另一扩展方案中，安全控制装置构建为将瞬时值和两个校验值交替 地存储到两个存储器区域中。

扩展方案使用两个存储器区域以便交替地更新瞬时值的历史。该扩展 方案在任意时刻在其中一个存储器区域中准备最新的瞬时值(由当前作业 循环Z构成)而在另一存储器区域中准备较老的瞬时值(由在前的作业 循环Z-1构成)。现在，当在后续的作业循环Z+1中读入当前的瞬时值时， 该扩展方案覆盖相应最旧的所存储的瞬时值。该扩展方案保证了，在安全 控制装置工作中始终以对存储器需要最小地存储瞬时值的两个最新的生 成并且因此在中断之后为安全控制装置的初始化所用。

在另一扩展方案中，两个处理器中的至少一个构建为确定写入计时器 的值。

有利地，写入计数器代表，两个前面所述的存储器区域的哪个存储器 区域包含相应最新近的瞬时值。借助该扩展方案可以针对多个在不同时刻 存在的瞬时值存储在数据存储器中的情况更为容易地确定这些瞬时值的 哪个瞬时值是最新近的并且因此首先可经受有效性校验。优选地，两个处 理器中的每个确定自己的写入计数器。由此进一步提高了安全控制装置的 可用性。

在另一扩展方案中，第一处理器进一步构建为根据瞬时值和写入计数 器的值确定第一校验值。

在该扩展方案中，第一处理器在确定校验和时不仅考虑瞬时值而且考 虑写入计数器值。优选地，第一校验值如下地确定：瞬时值和写入计数器 的值存储在存储器区域的两个存储器单元中。第一校验值于是通过在两个 存储器单元中的值来确定。扩展方案具有如下优点，校验值不仅保护瞬时 值而且保护其当前性，这提高了在设备重新起动时信息的可靠性。

在另一扩展方案中，第一程序变量和第二程序变量分别是安全相关的 程序变量。

该措施保证了在重新起动和与此相联系的初始化时有如下程序变量 的值可用，这些程序变量在安全控制装置中对于处理安全控制指令是必要 的。由此，设备的运行安全性从重新起动开始被保证。但也可以将非安全 相关的程序变量的瞬时值存储在数据存储器中。

在安全控制装置重新起动时必须提供的并且因此要存储在数据存储 器中的数据通常称作零电压安全(nullspannungssichere)的数据。如已 经介绍的那样，零电压安全的数据基本上是安全相关的数据。在此情况下， 可以涉及安全相关的程序输入变量的瞬时值或安全相关的程序中间变量 的瞬时值。简言之，可以是如下数据，其在执行安全相关的控制指令时所 积累。但也可以是非安全相关的数据，其在执行非安全相关的控制指令时 所积累，即非安全相关的程序输入变量的瞬时值、非安全相关的程序输出 变量的瞬时值或非安全相关的程序中间变量的瞬时值。非安全相关的数据 针对设备的起动而言也会是有意义的。作为例子提及非安全相关的计数器 变量，其瞬时值代表空中缆车的多个椅，其不再在输送绳索上而是已经在 存放位置中。

优选地，第一处理器构建为，针对任意数目的第一程序变量分别确定 第一校验值。相应地，第二处理器可以构建为针对第一校验值的每个确定 对应的第二校验值。

应理解的是，前面所述的并且在下面还要阐述的特征不仅可以以相应 所说明的组合而且可以以其他组合或单独地应用，而不离开本发明的范 围。

本发明的实施例在附图中予以示出并且在后续的描述中予以更为详 细地阐述。其中：

图1示出了要控制的设备的示意性视图；

图2示出了用于阐述根据第一实施形式的数据存储的数据存储器的 示意性视图；

图3示出了用于阐述根据第二实施形式的数据存储的数据存储器的 示意性视图；

在图1中，安全控制装置用参考数字10表示。该安全控制装置10 构建为控制在其整体上用参考数字12表示的自动化设备。设备12包括多 个执行器14和多个传感器16。示例性地示出了包含在设备12中的负载 18，其例如可以是机器人。

安全控制装置10双通道冗余地构建，以便实现用于控制安全关键的 应用或处理所需的故障安全性。代表双通道结构在图1中示出了两个分离 的处理器，即第一处理器20和第二处理器22。两个处理器20、22通过 双向通信接口24彼此连接，以便监控彼此并且能够交换数据。优选地， 安全控制装置10的两个通道和两个处理器20、22多样地即彼此不同地构 建，以便在很大程度上排除系统性故障。

用参考数字26表示输入/输出单元，其与两个处理器20、22中的每 个连接。输入/输出单元26记录来自传感器16的控制输入信号28并且将 其以匹配的数据格式转发给两个处理器20、22中的每个。此外，输入/ 输出单元26根据处理器20、22产生控制输出信号30，借助控制输出信 号激励执行器14。

用参考数字32表示程序存储器，在该程序存储器中存储有机器代码 形式的应用程序34。应用程序34由安全控制装置10执行。应用程序34 总体上借助编程工具来创建，其中首先创建源代码，其于是转换成机器代 码。编程工具例如是计算机程序36，其可以在传统的PC38上执行。优选 地，程序存储器32实施为SD卡或CF卡。这能够在不直接连接PC38的 情况下也实现简单地更换应用程序34。对此可替选地，应用程序34也可 以存储在固定地安装在安全控制装置10中的存储器、例如EEPROM中。 在任何情况下，程序存储器32都零电压安全地实施。

针对安全相关的程序变量的故障安全的处理，在程序存储器32中存 储第一机器代码40和第二机器代码42。第一机器代码40指定于第一处 理器20而第二机器代码42指定于第二处理器22。第一机器代码40包括 第一安全代码44和标准代码46。第一安全代码44包括如下安全控制指 令，其在由安全控制装置10要完成的安全任务范围内要由第一处理器20 执行。标准代码60包括如下标准指令，其在由安全控制装置10要完成的 标准任务范围内要由第一处理器20执行。第二机器代码42包括第二安全 代码48，其包括如下安全控制指令，其要由第二处理器22执行。安全控 制指令和标准控制指令在此概括地称作控制指令。

根据处理进展，在第一处理器20中一方面执行第一当前安全控制指 令50而另一方面执行当前标准控制指令52。基本上同时地在第二处理器 22中执行第二当前安全控制指令54。

在处理当前标准控制指令52的过程中(其为非安全相关的控制指 令)，第一非安全相关的数据56在第一处理器20和输入/输出单元26之 间交换。在此情况下，通过使用非安全相关的程序输入变量将非安全相关 的控制输入信号58的瞬时值输送给第一处理器20，其由非安全相关的传 感器60产生。非安全相关的传感器60是如下传感器，其信号首先对于设 备的运行过程而言是有意义的，然而在有故障时没有对身躯和生命的直接 危害来自该设备。例如，非安全相关的传感器检测用于处理工件的工具的 位置。非安全相关的传感器60通常非故障安全地构建。输入/输出单元26 通过使用非安全相关的程序输出变量而被输送有非安全相关的控制输出 信号62，其被输送给非安全相关的执行器64用于其激励。非安全相关的 执行器64例如可以是马达或调节气缸。非安全相关的控制输出信号62 的瞬时值根据非安全相关的控制输入信号58按照标准控制指令来确定。 在此情况下会是必要的是，确定中间量，其瞬时值被分配给非安全相关的 程序中间变量。非安全相关的程序中间变量的瞬时值借助第二非安全相关 的数据66输送给工作存储器68并且在那里中间存储。

在第一当前安全控制指令50(其为安全相关的控制指令)的处理过 程中，第一安全相关的数据70在第一处理器20和输入/输出单元26之间 交换。在此情况下，通过使用安全相关的程序变量将安全相关的控制输入 信号72的瞬时值输送给第一处理器20，控制输入信号由安全相关的传感 器74产生。安全相关的传感器74例如为应急关断按键、安全门开关、光 栅、转速监控设备或其他用于记录安全相关的参数的传感器。输入/输出 单元26通过使用安全相关的程序输出变量被输送有安全相关的控制输出 信号76的瞬时值，其输送给安全相关的执行器78用于其激励。安全相关 的执行器78例如是接触器(工作接触部设置在电流供给装置80与负载 18之间的连接中)、为安全相关的磁阀或其他执行器，记住其可以可靠地 停止有危险的驱动。因此，负载18的电流供给装置80可以被关断，由此 可以在出现相应故障时至少使负载18过渡到安全状态中。安全相关的控 制输出信号76的瞬时值根据安全相关的控制输入信号72按照安全控制指 令来确定。在此情况下，会是必要的是确定安全相关的中间量，其瞬时值 被分配给安全相关的程序中间变量。安全相关的程序中间变量的瞬时值借 助第二安全相关的数据82输送给工作存储器68并且中间存储在那里。

在第二当前安全控制指令54(其为安全相关的控制指令)的处理过 程中，根据第一当前安全控制指令50来进行。相对于第二当前安全控制 指令54相应地使用第三安全相关的数据84，其对应于第一安全相关的数 据70，并且使用第四安全相关的数据86，其对应于第二安全相关的数据 82。

第一处理器20因此构建为通过多个第一程序变量的逻辑链接执行应 用程序的控制指令的至少一部分。第一处理器20是第一通道88的部分， 其称作通道A。第二处理器22因此构建为通过处理多个第二程序变量而 执行应用程序的控制指令的至少一部分。第二处理器22是第二通道90 的部分，其称作通道B。

为了存储零电压安全的数据，在安全控制装置10中存在数据存储器 92。零电压安全的数据为如下数据，其例如在电压消失并且因此要控制的 设备12起动之后在安全控制装置10接通时必须存在。该数据存储器构建 为非易失性数据存储器。数据存储器92与第一处理器20关联，即不仅处 理安全控制指令而且处理标准控制指令的处理器。这具有如下优点：可以 以简单方式和方法可以将由第一处理器20处理的安全相关的数据和非安 全相关的数据存储在数据存储器92中。要在第二处理器22中处理并且要 存储在数据存储器92中的安全相关的数据通过双向通信接口24被输送给 第一处理器20，用于写入数据存储器92。以相应相反的方式，第二处理 器22取回存储在数据存储器92中的数据。数据存储器92与第一处理器 20的关联性不应具有限制作用。也可考虑的是，数据存储器92与第二处 理器22关联。同样可考虑的是，两个处理器20、22直接可以访问数据存 储器92。

数据写入数据存储器92通过箭头94来示出而将数据从数据存储器 92读取通过箭头96来示出。结合图2和图3阐述了那些数据具体地写入 数据存储器92并且因此存储在其中。

通过输入/输出单元26在安全控制装置10与安全相关的传感器74以 及安全相关的执行器78之间交换测试信号98。借助测试信号98可以在 安全控制装置10中可以确定连接到其上的部件是否无故障地工作，这是 必要的，因为只要与安全控制装置10连接的设备出现故障则必须保证要 控制的设备12的可靠的状态。

根据其不仅由第一处理器20而且由第二处理器22产生安全相关的控 制输出信号76的瞬时值的前述实施并不意味着，由这两个处理器20、22 产生的瞬时值同时作为控制输出信号76输出。上述实施仅仅要反映安全 控制装置10的在要完成的安全任务方面冗余的结构。两个处理器20、22 构建为，确定安全相关的控制输出信号76的瞬时值。在安全控制装置10 的无故障工作期间，仅仅输出由处理器例如第一处理器20所确定的值。 图2中所选的视图(根据其在安全控制装置10中不仅处理非安全相关的 控制指令而且处理安全相关的控制指令)，不应具有限制作用。也可考虑 的是，安全控制装置10构建为专门处理安全相关的控制指令。

在图2中示出了数据存储器92，根据第一实施形式不同的值存储在 该数据存储器中。该数据存储器92具有第一存储器部分区域110，其设 置用于存储安全相关的程序变量。此外，数据存储器92具有第二存储器 部分区域112，其设置用于存储非安全相关的程序变量。数据存储器92 的结构不应具有限制作用。也可考虑的是，设置两个结构上独立的数据存 储器，其中一个针对安全相关的程序变量而另一个针对非安全相关的程序 变量。

如已结合图1阐述那样，安全控制装置10双通道冗余地构建。用参 考数字114表示在第一通道88中进行对多个第一安全相关的程序变量的 处理。在第一通道88中处理的第一安全相关的程序变量是用参考数字116 表示的安全相关的程序变量FSV1A。所使用的命名在此具有如下意义： FS代表“故障安全”并且因此表示其为安全相关的程序变量。V1是所观 察的安全相关的程序变量的实际名字，借助其可以识别在多个第一安全相 关的程序变量中的由第二处理器20执行的程序变量。字母A指明其为在 第一通道88中执行的程序变量。该命名针对图2和3统一地使用。

用参考数字118表示在第一通道88中所使用的写入计数器SZA。写 入计数器SZA的值在此说明了多个写入过程，在其中将安全相关的程序 变量FSV1A的瞬时值写入第一存储器部分区域110中。参考数字120表 示在第一通道88中执行的用于安全相关的程序变量FSV1A的校验值确 定CRCFSV1A。通过字母CRC(循环冗余码校验)表示，所述的校验值 确定根据CRC方法进行。

用参考数字122表示在第二通道90中对多个第二安全相关的程序变 量进行的处理。在第二通道90中处理的第二安全相关的程序变量之一是 用参考数字124表示的安全相关的程序变量FSV1B。字母B于是指明， 其涉及在第二通道90中处理的程序变量。用参考数字126表示在第二通 道90中使用的写入计数器SZB。写入计数器SZB的值在此对应于写入计 数器SZA的值。参考数字128表示在第二通道90中执行的用于安全相关 的程序变量FSV1B的校验值确定CRCFSV1B。

安全相关的程序变量FSV1B在此对应于安全相关的程序变量 FSV1A。其如下理解：如已结合图1所介绍的那样，针对安全控制装置 10的安全相关的工作在程序存储器32中存储用于第一通道88的第一机 器代码40和用于第二通道90的第二机器代码42，其中两个机器代码40、 42分别包括独立的安全代码44、48。借助两个安全代码44、48中的每个 确定安全相关的传感器74的相同安全相关的控制输入信号72和针对相同 安全相关的执行器78确定安全相关的控制输出信号76。为此，两个安全 代码44、48的每个都包含自己的程序变量，第一安全代码44包含第一安 全相关的程序变量和第二安全代码48包含第二安全相关的程序变量。其 尽管在此意义上彼此独立，使得第一程序变量和第二程序变量占用在相应 的存储器中的独立的存储器区域。然而，两个安全代码44、48包含成对 对应的程序变量。这样，不仅第一安全代码44而且第二安全代码48例如 分别获得安全相关的程序输入变量，由相同应急关断按键产生的传感器信 号的瞬时值与该程序输入变量一起被读入。相应内容适用于安全相关的程 序输出变量和必要时所需的安全相关的程序中间变量。

在第一存储器部分区域110中现在如下存储安全相关的程序变量 FSV1A的瞬时值、写入计数器SZA的值和通过两个校验值确定 CRCFSV1A和CRCFSV1B所确定的校验值：第一存储器部分区域具有 两个存储器区域130、132。第一程序变量FSV1A的在所限定的第一时刻 存在的瞬时值FSV1A(n)存储在第一存储器单元134中的第一存储器区 域130中，这通过箭头136示出。所使用的命名在此具有如下意义：所附 加的括弧表达(n)指示其涉及瞬时值。在此在所限定的第一时刻存在该 瞬时值，其中该时刻在作业循环n内。作业循环在此是安全控制装置10 所需以执行应用程序一次的持续时间，以输入映射更新开始、执行各控制 指令并且以提供输出映射结束。因此，例如在安全相关的程序输入变量和 安全相关的程序输出变量中作为最小时间单位适用作业循环就足够，因为 对于这些程序变量每个周期仅进行一次改变。因此，得到了如下意义：小 字母n表示所限定的第一时刻并且因此表示如下作业循环，在该作业循环 中存在该时刻。项(n-1)表示更老的时刻并且因此是在前的作业循环之 一。项(n+1)表示较新近的时刻并且因此表示后续作业循环之一。

写入计数器SZA的在所限定的第一时刻存在的值SZA(n)同样存 储在第一存储器区域130中，更确切地说，存储在第二存储器单元138 中，这通过箭头140示出。此外，在第一存储器区域130中存储第一校验 值CRCFSV1A(n)，第一校验值根据瞬时值FSV1A(n)被校验值确定 CRCFSV1A的确定，并且存储第二校验值CRCFSV1B(n)，更确切地说， 存储在第三存储器单元142中和在第四存储器单元144中，这通过箭头 146、148示出。

借助第二校验值确定CRCFSV1B所确定的第二校验值CRCFSV1B (n)在此对应于第一校验值CRCFSV1A(n)。一方面，第二校验值 CRCFSV1B(n)根据对应于第一程序变量FSV1A的第二程序变量FSV1B 的瞬时值来确定。此外，第二程序变量FSV1B的瞬时值在与第一程序变 量FSV1A的瞬时值FSV1A(n)相同的作业循环中。优选地，两个校验 值CRCFSV1A(n)和CRCFSV1B(n)多样地确定。为此，两个校验值 确定CRCFSV1A和CRCFSV1B在硬件技术上和/或在软件技术上多样地 执行。

在第二存储器区域132中对于较老的时刻和因此对于在前的作业循 环将第一程序变量FSV1A的瞬时值FSV1A(n-1)、写入计数器SZA的 值SZA(n-1)、第一校验值CRCFSV1A(n-1)和第二校验值CRCFSV1B (n-1)存储在第五存储器单元150、第六存储器单元152、第七存储器单 元154和第八存储器单元156中，这通过箭头158、160、162、164示出。 各个存储在存储器区域132中的值以相应的方式来确定，如这针对相应的 存储在存储器区域130中的值来描述的那样。

在存储器单元134、138、142、150、152、154中存储的值由第一处 理器20确定。在存储器单元144、156中存储的值被第二处理器22确定。

不仅第一程序变量FSV1A的瞬时值而且两个借助校验值确定 CRCFSV1A和CRCFSV1B所确定的校验值交替地存储在两个存储器区 域130、132中。这两个校验值因此重复地针对后续的时刻来确定和存储。 针对较新近的时刻并且因此针对后续的作业循环，在该时刻存在的瞬时值 FSV1A(n+1)和两个校验值CRCFSV1A(n+1)和CRCFSV1B(n+1) 于是存储在存储器区域132的相应存储器单元150、152、154、156中。

数据存储器92具有两个存储器区域130、132，其与安全相关的程序 变量FSV1A关联。如果其他安全相关的程序变量根据前面所述的方法存 储在数据存储器92中，则其针对程序变量的每个同样具有两个存储器区 域。

第一处理器20为此可以构建为执行瞬时值比较。借助瞬时值比较， 将在不同时刻存在的安全相关的程序变量FSV1A的瞬时值彼此比较。如 果通过瞬时值比较确定两个紧紧相继的时刻的两个瞬时值彼此不同，则可 以省去较新近的瞬时值和两个较新近的校验值的存储。换言之，只有在较 新近的瞬时值与针对紧紧在前的时刻存在的瞬时值不同时才存储较新近 的瞬时值和两个较新近的瞬时值。

前面介绍：例如第一校验值CRCFSV1A(n)根据瞬时值FSV1A(n) 通过校验值确定CRCFSV1A来确定。相应地，例如第二校验值 CRCFSV1B(n)根据瞬时值FSV1B(n)通过校验值确定CRCFSV1B 来确定。这可以理解为，相应的校验值单独地针对相关的安全相关的程序 变量的瞬时值来确定。可替选地，第一校验值CRCFSV1A(n)也可以针 对如下组合来确定，其从写入计数器SZA的瞬时值FSV1A(n)和值SZA (n)得到。针对第二校验值CRCFSV1B(n)可相应地处理。

前面所描述的将瞬时值、写入计时器值和校验值在第一存储器部分区 域中的存储基于如下设计。例如只要不存在电压消失，则安全控制装置 10于是无干扰地工作，两个安全相关的程序变量FSV1A和FSV1B在各 个作业循环中具有相同的瞬时值。因此，在数据存储器92中仅存储安全 相关的程序变量FSV1A的瞬时值就足够了。两个写入计数器SZA和SZB 在一个作业循环内同样具有相同的值。

借助两个针对两个通道88、90单独确定的校验值中现在可以检验最 后存储在数据存储器92中的瞬时值FSV1A(n)有效与否。在此例如在 电压消失之后所需的重新起动的情况下瞬时值FSV1A(n)和第一校验值 CRCFSV1A(n)输送给第一处理器20。

同样将瞬时值FSV1A(n)而第二校验值CRCFSV1B(n)输送给第 二处理器22。如果安全控制装置10在如下时间窗中无干扰地工作，在该 时间窗中确定两个校验值CRCFSV1A(n)和CRCFSV1B(n)并且不仅 瞬时值FSV1A(n)而且两个校验值存储在数据存储器92中，则得到了 对第一当前校验值CRCFSV1A(n+1)和当前第二校验值CRCFSV1B (n+1)的再次确定，使得不仅所存储的第一校验值CRCFSV1A(n)和 当前第一校验值CRCFSV1A(n+1)相同以及所存储的第二校验值 CRCFSV1B(n)和当前第二校验值CRCFSV1B(n+1)相同。在该情况 下，所存储的瞬时值FSV1A(n)是有效的并且可以用于初始化安全控制 装置10。其在两个通道88、90中被处理。而如果确定所存储的第一校验 值CRCFSV1A(n)以及当前第一校验值CRCFSV1A(n+1)并不相同 或所存储的第二校验值CRCFSV1B(n)和当前第二校验值CRCFSV1B (n+1)并不相同，则所存储的瞬时值FSV1A(n)无效并且因此不能用 于初始化安全控制装置10。在该情况下，代替这使用在前所存储的瞬时 值FSV1A(n-1)用于初始化。优选地，瞬时值在其用于初始化之前首先 同样受到有效性检验。因此，安全控制装置10和设备12又可以起动，在 为此会需要将默认值用于第一安全相关的程序变量FSV1A或执行参考运 行(Referenzfahrt)。

在前面所述的有效性检验的情况下，首先借助写入计数器SZA的值 SZA(n)和SZA(n-1)确定，存储在第一存储器单元134和第五存储器 单元150中的两个瞬时值中的哪个较新近。较新近的瞬时值首先在有效性 检验时被校验。

数据存储器92具有第二存储器部分区域112，其设置用于存储非安 全相关的程序变量，其中非安全相关的程序变量在第一通道88中被处理。

用参考数字166表示在第一通道88中对多个非安全相关的程序变量 进行的处理。在第一通道88中处理的第一非安全相关的程序变量是用参 考数字168表示的安全相关的程序变量STV1A。在此，ST代表“标准” 并且因此指示：其是非安全相关的程序变量。名称V1和字母A的意义可 以从对用参考数字114表示的处理的说明中得到。参考数字170表示在第 一通道88中执行的用于非安全相关的程序变量STV1A的校验值确定 CRCSTV1A。

在第二存储器区域112中，现在非安全相关的程序变量STV1A的瞬 时值、写入计数器SZA的值和借助校验值确定CRCSTV1A所确定的校 验值如下被存储：第二存储器部分区域112具有两个存储器区域172、174。 在所限定的第一时刻存在的第一非安全相关的程序变量STV1A的瞬时值 STV1A(n)存储在第九存储器单元176中的第三存储器区域172中，这 通过箭头178示出。在所限定的第一时刻存在的写入计数器SZA的值SZA (n)同样存储在第十存储器单元180中，这通过箭头182示出。此外， 存储校验值CRCSTV1A(n)，其根据瞬时值STV1A(n)由校验值确定 CRCSTV1A所确定，更确切地说存储在第十一存储器单元184中，这通 过箭头86示出。

在第四存储器区域174中针对较老的时刻并且因此针对在前的作业 循环存储有非安全相关的程序变量STV1A的瞬时值STV1A(n-1)、写入 计数器SZA的值SZA(n-1)和第十二存储器单元188、第十三存储器单 元190和第十四存储器单元192的校验值CRCSTV1A(n-1)，这通过箭 头194、196、198示出。各个在第四存储器区域1174中存储的值相应地 确定，如这针对相应的存储在第三存储器区域172中的值所描述的那样。 在存储器单元176、180、184、188、190、192中存储的值由第一处理器 20来确定。

不仅非安全相关的程序变量STV1A的瞬时值以及借助校验值确定 CRCSTV1A所确定的校验值交替地存储在两个存储器区域172、174中。 针对较新近的时刻和因此针对后续的作业循环于是将在该时刻存在的瞬 时值STV1A(n+1)和校验值CRCSTV1A(n+1)于是存储在第四存储 器区域174的相应存储器单元188、190、192中。

数据存储器92具有两个存储器区域172、174，其与非安全相关的程 序变量STV1A关联。如果其他非安全相关的程序变量根据前面所描述的 方法存储在数据存储器92中，则其针对程序变量的每个同样具有两个存 储器区域。

对非安全相关的程序变量的存储也可以通过考虑瞬时值比较来进行。 同样，写入计数器SZA的值在确定校验值时被考虑。最后所存储的瞬时 值STV1A(n)的有效性校验相应地进行，如其前面针对安全相关的程序 变量所描述的。

相应地，也可以针对非安全相关的程序变量STV1A检验最后在数据 存储器92中存储的瞬时值STV1A(n)有效与否。

为此，例如在安全控制装置10重新起动时为第一处理器20输送瞬时 值STV1A(n)和校验值CRCSTV1A(n)。如果安全控制装置10在如下 时间窗中无故障地工作，在该时间窗中校验值CRCSTV1A(n)被确定 并且不仅瞬时值STV1A(n)而且校验值CRCSTV1A(n)存储在数据存 储器92中，则得到对当前校验值CRCSTV1A(n+1)的再次确定，使得 所存储的校验值CRCSTV1A(n)以及当前的校验值CRCSTV1A(n+1) 是相同的。在此情况下，所存储的瞬时值STV1A(n)有效并且可以用于 初始化安全控制装置10。该瞬时值在第一通道88中被处理。而如果确定 所存储的校验值CRCSTV1A(n)和当前校验值CRCSTV1A(n+1)不 相同，则所存储的瞬时值STV1A无效并且因此不能用于初始化安全控制 装置10。在此情况下，代替这而使用在前所存储的瞬时值STV1A(n-1) 来初始化。优选地，瞬时值在其用于初始化之前首先同样经受有效性检验。 因此，安全控制装置10和设备12又可以起动，而为此不需要使用非安全 相关的程序变量STV1A的默认值或不需执行导航。

在前面所描述的有效性检验的情况下，首先借助写入计数器SZA的 值SZA(n)和SZA(n-1)确定存储在第九存储器单元176和第十二存 储器单元188中的两个瞬时值中的哪个较新近。较新近的瞬时值首先在有 效性检验时被校验。

借助第一处理器20处理的程序变量概括而言称作第一程序变量，而 借助第二处理器22处理的程序变量概括而言称作第二程序变量。

在图3中示出了数据存储器92，在该数据存储器中根据第二实施形 式存储有不同的值。

用参考数字114’表示在第一通道88中对多个第一安全相关的程序变 量进行的处理，该处理与处理114不同在于，未考虑写入计数器SZA。 相应地，参考数字122’表示在第二通道90中对第二安全相关的程序变量 进行的处理，而参考数字166’表示在第一通道88中对非安全相关的程序 变量进行的处理。

在第五存储器区域200中，第一程序变量FSV1A的瞬时值FSV1A (n)、第一校验值CRCFSV1A(n)和第二校验值CRCFSV1B(n)存 储在第十五存储器单元202、第十六存储器单元204和第十七存储器单元 206中，这通过箭头208、210、212表示。在第六存储器区域214中，非 安全相关的程序变量STV1A的瞬时值STV1A(n)和校验值CRCSTV1A (n)存储在第十八存储器单元216和第十九存储器单元218中，这通过 箭头220、222表示。

在存储器单元202、204、216、218中存储的值由第一处理器20确定。 在存储器单元206中存储的值由第二处理器220确定。所存储的各个值根 据图2的实施来确定。

如果其他安全相关的程序变量要存储在数据存储器92中，则该数据 存储器具有相应较大数目的第五存储器区域200。相应内容适用于非安全 相关的程序变量和第六存储器区域214。同样，对非安全相关的程序变量 和安全相关的程序变量的存储可以在考虑到瞬时值比较的情况下进行。

所存储的瞬时值FSV1A(n)和STV1A(n)的有效性检验与结合图 2所描述相同地进行。当然具有以下不同：如果确定例如瞬时值FSV1A (n)无效，则在数据存储器92中没有存储第一安全相关的程序变量 FSV1A的其他瞬时值，该瞬时值可以代替瞬时值FSV1A(n)而被使用。 在该情况下，安全控制装置10必须以第一安全相关的程序变量FSV1A 的默认值来初始化，或必须借助设备12进行参考运行。相应内容适用于 非安全相关的程序变量STV1A。

然而借助图3所描述的存储器方案相对于借助图2所描述的存储器方 案相比具有如下优点：数据存储器92可以设计得较小并且因此成本更为 低廉。

在本申请中显然并未针对存储非安全相关的数据时所应用的存储器 方案予以保护。保留表达和追究涉及存储器方案的保护诉求。