检查数据处理装置是否适于实施失效保护自动化过程的方法

摘要

本发明涉及一种用于检查数据处理装置(100)、特别是自动化装置(100)或计算机(100)是否适于实施失效保护的自动化过程的方法，其中数据处理装置(100)具有第一时基(138)和第二时基(136)，以及其中该方法包括以下步骤：在长度T的持续时间结束之后测定第一时基(138)的第一时间值；在长度T的持续时间结束之后测定第二时基(136)的第二时间值；确定在第一和第二时间值之间的偏差；如果偏差低于、特别是低于或者达到预设的或可预设的极限值，则启动故障排除措施。

说明书

本申请是基于2010年4月16日所提交的申请号为201010152203.4、 发明名称为“检查数据处理装置是否适于实施失效保护自动化过程的方 法”的发明的分案申请。

技术领域

本发明涉及一种用于检查数据处理装置是否适于实施失效保护的自 动化过程的方法。

背景技术

这种方法由现有技术是已知的。例如公开文本EP 1 043 640 A2公开 了一种方法，其中借助于对于自动化系统的中央处理单元的识别信息编码 的检查而可确定，中央处理单元是否适于实施失效保护的应用。

现有技术的一个缺点在于，即这种通常在生产自动化系统时已经确定 下来的识别信息从一开始就固定不变并且也就不适于后续的进一步发展。 此外，如果没有在制造硬件时就已经进行了预设和检查，那么因此也就不 可能实现用于与安全有关的应用的后续的性能检查。特别当应用标准化的 数据处理装置时，例如个人计算机或工作站，在自动化环境中通常未预设 这种识别信息。

发明内容

因此本发明的目的在于，提出一种方法，利用该方法可以更加简单地 或更加灵活地检查数据处理装置能否实施失效保护(fehlersicher)的自动 化过程的可能性。

该目的通过一种用于检查数据处理装置、特别是自动化装置、计算机、 个人计算机或者工作站是否适于实施失效保护的自动化过程的方法来实 现，

-其中数据处理装置具有第一时基和第二时基，以及

-其中该方法包括以下步骤：

a).在长度T的持续时间结束之后测定第一时基的第一时间值，

b).在长度T的持续时间结束之后测定第二时基的第二时间值，

c).确定在第一和第二时间值之间的偏差，

d).如果偏差低于、特别是低于或者达到预设的或可预设的极限值， 则启动故障排除措施。

在此，数据处理装置根据本说明书可以是所有的适合用于或者配置用 于控制自动化过程的装置、仪器或者仪器的组合。这包括例如特别为此研 发的装置、例如所谓的“可编程控制器”(SPS)或者其组件或者也包括另 外的电子的控制装置或者控制器。但是数据处理装置例如也可以是计算 机、例如个人计算机(PC)或者工作站。这些计算机例如可以通过相应的 编程、运行系统或者运行版本和/或编程同样也配置或设计用于实施自动化 过程。

在本说明书的范畴中，失效保护的自动化过程也理解为与安全有关 (sicherheitsgerichtete)的自动化过程，如其例如在IEC 61508中说明的那 样。

失效保护的自动化过程在本说明书的范畴中称为失效保护的或者说 与安全有关的自动化过程，其例如符合于IEC 61508标准和/或可比较的标 准和/或可比较的规则。

为了适于实施这种失效保护的自动化过程，数据处理装置必须根据所 选择的失效保护标准或者失效保护性能而满足一定的前提条件。这些性能 例如可以是存在彼此独立的、冗余的时基或者类似物。

在本说明书的范畴中，“检查是否适于实施失效保护的自动化过程” 理解为检查对于所选择的安全级别所必需的准则中的一个或多个准则。这 并不意味着完全检查所有的必需的准则。

为了实施这种失效保护的自动化过程，在自动化系统中例如需要两个 彼此独立的时基。通过对时基的定期的比较，系统随之可以识别在时基之 内出现的误差或者故障并且将所控制的系统随之带入到安全的状态中或 者使其保持在这种状态中。

时基在此例如可以设计为计数器、时钟脉冲、时钟或者类似物并且在 硬件和/或软件中实现。如果例如时基中的每一个都分配有一个合适的硬件 时钟脉冲发生器、例如一个硬件振荡元件，那么两个时基就随之可以是彼 此独立的。

时间值可以是每一个基于各自的时基的时钟脉冲的值，该时间值是对 于已结束的持续时间的衡量尺度。时间值例如可以在常规的时间单位(小 时、分钟、秒钟、毫秒、微秒，…)的范畴中测定。但也可以选择任意的 时间单位。

这种硬件振荡元件例如可以是机电的和/或压电的振荡器和/或也可 以是电子的振荡器(例如RC元件)。压电的振荡器例如可以设计为振荡 石英，正如其在当今的电子系统中通常应用为硬件时钟脉冲源。

不同的硬件振荡元件通常具有不同的关于时间的漂移(Drift)，例如 取决于温度、加热、老化、空气湿度或者类似的环境条件。

利用根据本发明的方法可能实现的是，通过将时基在所选择的持续时 间期间的比较确定出，是否在数据处理装置中设置有两个这种独立的时 基。对此重要的提示例如是，在持续时间T结束之后的两个时基的测定的 偏差处于极限值之上，且该极限值例如对于相应分配的硬件振荡元件的受 生产限制的漂移差别来说是典型的或最小的。

在此，已预设的或可预设的极限值可以这样选择，即在系统中的基础 的硬件振荡元件(例如振荡石英)的典型的或也可以是最小的漂移差别的 情况下，时间值的偏差处于极限值之上。极限值例如可以符合于时基的最 大振动(Jitter)(例如由于时钟脉冲+读取偏差+另外的延迟)。

在应用振荡石英时，差例如可以小于10^-2％或10^-3％、典型地也处于 所测量的持续时间的10^-4％的范围中或者是其的多倍。该所述的极限值基 于这一点：偏差是作为第一和第二时间值的差来计算的。

但是偏差例如也可以作为商、或者也可以作为时间值的平方或类似物 的平方的差或商来计算。在这种情况下，极限值随之可以相应地匹配。

通过持续时间的长度T来测定时基的时间值，该长度例如可以通过 时基中的一个来确定。此外，也可以提出第三时基以用于确定持续时间T。

时间值的测定可以并行地进行，从而在长度T的持续时间结束之后， 两个时基被中止并且读出相应的时间值。此外，时间值的测定也可以彼此 独立地进行并且随之紧接着测定时间值的偏差。

在此，作为持续时间可以应用一分钟或更多时间，优选为5分钟或更 多时间，进一步优选为15分钟或更多时间，更进一步优选为30分钟或更 多时间，或也可以应用60分钟或更多时间。特别地，当应用振荡石英来 作为硬件振荡元件时，在这个时间之内典型地例如可以相对可靠地查明受 生产限制的漂移差别。在此，持续时间例如可以预设为固定的和/或也可以 通过应用者的输入来调节。

数据处理装置例如可以设计为标准个人计算机(PC)或者标准工作 站。其优点在于，即这种可在市场上容易地购买到的并且相对价廉的标准 组件可以用于控制自动化过程。借助于根据当前的说明书所述的方法随之 可以来检查这种标准组件是否适于实施失效保护的自动化过程。在正面的 情况下随之甚至可以(在一定条件下在另外的测试之后)使用这种标准系 统以用于驱动失效保护的自动化过程。

如果偏差低于已预设的或可预设的极限值，那么就启动故障排除措 施，作为故障排除措施例如可以设计为发出信息，该信息包括不可能确定 第一时基和第二时基的独立性。由此，例如为应用者指出，即借助于所进 行的检查不能以充分的可靠性来确定第一和第二时基的独立性。则应用者 例如可以以此为理由来相应地检查硬件或者进行另外的测试。

此外，故障排除措施也可以包括自动化地或者说自动地进行的过程。 这种过程例如可以是，当例如在失效保护的自动化程序进行之前或者进行 期间应该检查时基的独立性时，阻碍或中止该失效保护的自动化程序。关 闭组件或关闭仪器也可以是故障排除措施或故障排除措施的一部分。

如果时间值的偏差超过预设的或可预设的第二极限值，那么也可以启 动根据本说明书的故障排除措施。在此，第二极限值处于极限值之上。一 种这样的措施可以设计为，用以确保安全地进行失效保护的应用。在此可 以这样来选择第二极限值，即当偏差处于第二极限值之上时不再确保可靠 的失效保护的运行，这是因为系统例如当时间测定时规律性地认定一个计 时器是损坏的(这是因为，在被考虑为是在系统之内的故障情况的范畴中 例如已经存在有两个计时器的规律性的偏差)。这种第二极限值例如可以 处于从0.01％到1％的范围中，或也可能处于直到所考虑的持续时间的10％ 或50％，特别是处于0.5％的范围中。借助于这种设计方案，进一步改进 了对于数据处理装置是否可实施失效保护的自动化过程的检查。

此外可以设计为，如果在第一和第二时间值之间的偏差超过极限值、 特别是超过极限值并且低于第二极限值，则启动成功措施 (Erfolgsmassnahme)。在所述的情况下，可以以相对高的安全性由此出发， 即第一和第二时基彼此独立，例如由两个独立的硬件振荡元件、例如振荡 石英来驱动或触发。

此外，在时间值的偏差低于第二极限值的情况下例如也可以确保时基 并不具有如此大的差，以至于对自动化程序的失效保护的过程造成危险。

作为成功措施例如可以设置关于时基的独立性的确定的信息或者该 成功措施可以包括一种这样的信息。此外，成功措施也可以使自动化过程 开始进行或者继续进行或者是包括一种这样的措施。

在另一个有利的设计方案中，数据处理装置可以设计为个人计算机或 工作站，该数据处理装置包括具有系统石英和RTC(实时时钟)时基的标 准时基以用于驱动(Betrieb)数据处理装置的实时时钟，其中第一时基分 配有系统石英(System-Quarz)以及第二时基分配有系统石英或RTC石英。 在此，RTC石英可以按照标准设计用于驱动RTC时基。

标准时基在此例如可以设定用于提供处理器时钟脉冲并且例如驱动 或触发“时间戳计数器(Time-Stamp-Counter)”、本地-高级可编程中断控 制器-计时器(Local-APIC-Timer)、计算机计时器、PM计时器或者类似物。 RTC时基例如可以设计用于驱动实时时钟，其在关闭数据处理装置的情况 下也例如借助于电池工作来继续运行。RTC时基或RTC石英也还可以设 计用于在数据处理装置之内的另外的过程。特别是可以将其信号用于驱动 对于标准计时器来说是冗余的、在与安全有关的自动化程序的范畴中的所 谓的“F-计时器”。

前面所述的目的也通过一种用于实施自动化过程的数据处理装置、特 别是一种个人计算机或工作站来实现，具有：

-至少一个处理器，

-硬件振荡元件，用于为例如至少一个处理器提供时钟脉冲，

-第一时基，该第一时基在应用硬件振荡元件的情况下可以驱动的或 被驱动，

-第二时基，该第二时基在应用另一个硬件振荡元件、特别是用于驱 动数据处理装置的实时时钟的情况下，或者在应用硬件振荡元件的情况 下，可以驱动或被驱动，以及

-控制装置，该控制装置设计和配置用于实施根据前面说明书所述的 方法。

在此，硬件振荡元件例如可以设计为如同在前面说明书中在另外的位 置所说明地那样。其例如可以设计为计算机中的系统石英。另外的硬件振 荡元件也可以相应于该硬件振荡元件来设计。其例如可以设计为计算机的 RTC石英。

借助于这样设计和配置的数据处理装置也可以由前面已经描述过的 原因而改进或简化对于数据处理装置是否适于实施失效保护的自动化过 程的检查。

前述的目的同样也通过一种用于检查数据处理装置是否适于实施失 效保护的自动化过程的程序单元来实现，其中，如果程序单元由处理器运 行，那么该程序单元就配置用于实施根据前面说明书所述的方法。

前述的目的也通过一种计算机可读取的存储介质来实现，在该存储介 质中存储了用于检查数据处理装置是否适于实施失效保护的自动化过程 的程序，其中，如果该程序由处理器运行，那么程序就配置用于实施根据 前面说明书所述的方法。

另外的有利的设计方案在从属权利要求中给出。

附图说明

下面参照附图示例性地详细说明本发明。图中示出：

图1：个人计算机的示意性的视图，该个人计算机设定用于实施自动 化应用。

具体实施方式

图1示出了个人计算机(PC)100的示意性的简图，该个人计算机具 有处理器110和自动化应用模块(Anwendung)120。此外，PC 100具有 系统石英134，该系统石英通过连接导线142触发系统时钟脉冲发生器 138。此外，PC 100包含RTC石英132，该RTC石英通过连接导线140 触发实时时钟136(实时时钟：Real Time Clock(RTC))。在此，实时时 钟136还与一个或多个在处理器110中的计数器112连接，其中该计数器 112还用作为对于在自动化应用模块中的F-计时器122的基础。系统时钟 脉冲发生器138例如驱动处理器的时钟脉冲以及同样也驱动另外的计数器 114，其中计数器中的至少一个用于自动化应用模块120的标准计时器 124。

自动化应用模块120的控制程序126随之在所有的与时间有关的过程 中不仅使用了标准计时器124的值，而且还使用了F-计时器122的值以用 于失效保护的计时。在两个时间出现偏差的情况下，系统随之识别出当时 间测定时出现的误差并且将被控制的自动化系统切换转入失效保护的状 态中。

作为控制程序126例如也可以使用一种用于实施根据前面说明书所 述的方法的程序。在此，F-计时器122的值或者标准计时器124的值随之 通过预设的持续时间的过程来测定和比较。当超过了例如为持续时间 1.361·10^-4％的第一极限值时，控制程序126随之发给应用者这样的信息， 即PC 100非常可能具有独立的时基和/或适于实施与安全有关的应用。

图1以虚线144也示出了PC 100的另一个设计方案。在该设计方案 中，PC 100不包括RTC石英132并且不存在连接部140，从而使实时时 钟136同样也由系统时钟脉冲发生器通过连接部144来驱动。在这种情况 下，自动化应用模块120的F-计时器122和标准计时器124都返回到相同 的时基。随之在两个计时器122，124之间当然不存在根据前述说明书所 述的漂移，并且计时器122，124在所测量的持续时间上的偏差处于预设 的极限值之下。在这种情况下，控制程序126随之发给应用者例如这样的 消息，即不能提出关于可以实施失效保护的应用程序的证明。

本发明描述了一种用于检查针对于(auf)两个独立的时基的数据处理 装置的方法，正如该装置例如对于实施失效保护的(或者说与安全有关 的)、根据IEC 61508标准的自动化应用模块是必需的。在此充分利用了 这个事实，即两个独立的时基典型地在时间过程中具有与生产相关的偏 差，例如漂移，借助于它可以证明或检查时基的独立性。