用于改变配置的方法和工业设施系统
阅读说明:本技术 用于改变配置的方法和工业设施系统 (Method and industrial facility system for changing configuration ) 是由 赫伯特·*** 大卫·费伦齐 沃尔夫冈·施毛斯 马克西米利安·沃尔特 于 2019-07-16 设计创作,主要内容包括:本发明涉及一种用于改变在第一自动化设备(A)与第二自动化设备(B)之间的、针对功能安全所设计的通信连接(1、1’)的通信参数(KP1)的配置的方法。为了在运行中能够无冲突地改变配置,第一自动化设备(A)将用于改变参数的请求(31)发送给第二自动化设备(B),并且第二自动化设备对该请求做出反应,使得:发送对请求(31)的就绪确认(32),并且随着就绪确认(32)的发送在第二自动化设备中立刻冻结输出过程图像,和改变用于第二自动化设备的通信参数(KP2),此外,第一自动化设备做出反应,使得在第一自动化设备中接收到就绪确认(32)之后,立刻停止通信并且改变用于第一自动化设备的通信参数(KP2),其中冻结输入过程图像。(The invention relates to a method for changing the configuration of communication parameters (KP1) of a communication connection (1, 1') designed for functional safety between a first automation device (A) and a second automation device (B). In order to be able to change the configuration in operation without conflict, the first automation device (A) sends a request (31) for changing the parameters to the second automation device (B), and the second automation device reacts to the request in such a way that: sending a ready confirmation (32) to the request (31) and immediately freezing the output process image in the second automation device as the sending of the ready confirmation (32) and changing the communication parameters (KP2) for the second automation device, furthermore, the first automation device reacts such that after receiving the ready confirmation (32) in the first automation device, the communication is immediately stopped and the communication parameters (KP2) for the first automation device are changed, wherein the input process image is frozen.)
技术领域
本发明涉及一种用于改变在第一自动化设备与第二自动化设备之间的、针对功能安全所设计的通信连接的通信参数的配置的方法,其中,为了将数据从第一自动化设备交换给第二自动化设备和沿相反方向交换,使用安全协议,其中数据用作为用于安全关键过程的过程输出数据或过程输入数据,并且其中,在第一自动化设备上运行第一发送接收应用,该第一发送接收应用连同第一设备驱动器一起执行通信,并且在第二自动化设备上运行第二发送接收应用,该第二发送接收应用连同第二设备驱动器一起执行通信,其中相应的发送接收应用和相应的设备驱动器在改变之前以第一组通信参数工作并且在改变之后以第二组通信参数工作。
本发明还涉及一种用于控制安全关键过程的工业设施系统,其具有第一自动化设备和第二自动化设备,第一和第二自动化设备经由现场总线彼此连接,第一自动化设备具有第一发送接收应用和第一设备驱动器,第二自动化设备具有第二发送接收应用和第二设备驱动器,此外,设有配置系统,该配置系统设计用于利用第一组通信参数配置相应的发送接收应用和相应的设备驱动器,并且对于改变来说利用第二组通信参数配置相应的发送接收应用和相应的设备驱动器。
背景技术
本发明涉及功能安全通信的技术领域,功能安全通信尤其在工业过程自动化中或制造自动化中用于在现场设备、控制部件和类似装置之间的通信。这种功能安全通信也被称为F通信,并且尤其被用于安全相关的应用中,特别是当通信中的错误会危害人体或生命或者危害有形资产时。
在这种功能安全通信连接的情况下,尤其在工业设施的运行中,在设备或网络处改变配置时或在添加、移除或更换多个设备或个别模块时,无中断的设施运行也是很重要的。
因此,在运行期间的配置改变(也称为“运行中改变参数(change parameter inrun)”-措施(PiR))应当无冲突地进行,并且不损害网络中的通信。借此,应当确保连续的生产运行而没有设施停机。
欧洲专利EP 2 814 193 B1,名称为“用于在数据从发送器传输给至少一个接收器时识别错误的方法和系统(Verfahren und System zur Erkennung von Fehlern bei der
发明内容
本发明的目的是:在持续运行中能够在针对功能安全所设计的通信连接中对通信参数进行重新参数化或改变配置。这就是说,尽可能地没有设施过程的中断或切换冲突。
在前文所提出的方法中,该目的通过如下方式实现:第一自动化设备将用于改变参数的请求发送给第二自动化设备。并且,第二自动化设备对请求做出反应,使得发送对请求的就绪确认,此时随着就绪确认的发送在第二自动化设备中立刻冻结输出过程图像,由此在第二自动化设备处最后输出的过程输出数据保持为其最后值,并且改变用于第二自动化设备的通信参数,并且此外,第一自动化设备做出反应,使得在第一自动化设备中接收到就绪确认之后,立刻停止通信并且改变用于第一自动化设备的通信参数,其中冻结输入过程图像,由此在第一自动化设备处最后存在的过程输入数据保持为其最后值,当在第一自动化设备中结束通信参数的改变时,那么第一自动化设备重新启动通信并且将新的过程输出数据作为输出过程图像(Prozess-Abbild)发送至第二自动化设备,由此在第二自动化设备处最后输出的过程输出数据由更新的过程输出数据取代。
对于本发明意义上的安全协议而言,例如使用用于Profinet连接的Profisafe协议。因而,功能安全协议Profisafe在发送接收应用中和在设备驱动器中执行。
现在,有利地能够尽可能快速地执行双方的重新参数化并且重启功能安全的通信堆栈。一旦第一自动化设备识别到对请求“改变参数”的确认,就在第一自动化设备中立刻启动重新参数化,并且同样,当第二自动化设备已经生成“改变参数”确认时,尽管第二自动化设备尚不知晓第一自动化设备何时扫描或接收到该确认,但第二自动化设备随即立刻开始重新参数化。在此,第二自动化设备保持其过程图像不变,直到第一自动化设备将新的过程输出数据作为输出过程图像发送至第二自动化设备为止。
在本方法的另一设计方案中,随着就绪确认的发送,在第二发送接收应用中启动具有第一运行时间的第一计时器,并且借助第一计时器监控:在第一运行时间之内是否由第一自动化设备重新启动通信,并且由此将新的过程输出数据作为新的输出过程图像发送至第二自动化设备。如果是这种情况,那么第二自动化设备以完成确认做出反应并且停止第一计时器。第一计时器中的时间监控作为所谓的看门狗来使用并且如果完成确认没有出现在第一计时器的第一运行时间中,则产生错误并且例如提供安全的取代值或者该第一计时器采取安全状态。
为了进一步改进安全性,在第一自动化设备中接收到就绪确认之后,在第一发送接收应用中启动具有第二运行时间的第二计时器,并且借助第二计时器监控:在第二运行时间之内是否接收到完成确认。在此也还适用的是:时间监控作为看门狗功能来应用,并且如果计时器在完成确认到达之前到期,则产生报错响应和/或提供取代值。
还有利的是,完成确认同样包括新的过程输入数据作为用于第一自动化设备的新的输入过程图像。
视作为重要优点的是,使用根据上述解决方案特征的方法,以用于在工业设施系统中执行配置改变来控制安全关键过程,其中,由此在改变配置期间实现无中断的设施运行。
提高通信安全的另一措施在于,在重新启动通信之后,除了所发送的新的过程输出数据之外,经由新的通信参数形成签名,并且该签名被连带发送至第二自动化设备,并且在第二自动化设备中将所发送的签名与在第二自动化设备中经由新的通信参数形成的签名进行比较。如果比较结果为正向的,那么改变过程图像,否则过程图像被保持或者采取安全动作,因为基于被改变的签名而可能识别到传输错误。
如前文所描述的,该目的同样通过工业设施系统来实现:第一自动化设备设计用于,从配置系统获得用于改变参数的请求并且将请求发送给第二自动化设备以改变参数,在此,第二自动化设备设计用于对请求做出反应,使得发送对请求的就绪确认,此外,第二自动化设备设计用于以发送就绪确认的时间点立刻冻结输出过程图像,由此在第二自动化设备处最后输出的过程输出数据保持为其最后值,并且触发用于第二自动化设备的通信参数的改变,并且此外,第一自动化设备设计用于在第一自动化设备中接收到就绪确认之后,立刻解除通信,并且改变用于第一自动化设备的通信参数,还设计用于冻结第一输入过程图像,由此在第一自动化设备处最后存在的过程输入数据保持为其最后值,并且还在第一自动化设备中结束通信参数的改变之后,重新构建通信,并且将新的过程输出数据作为输出过程图像发送至第二自动化设备。
例如,将工程系统、尤其是西门子股份公司的名称为“TIA-Portal”的工程系统用作为配置系统。利用该工程系统,能够对功能安全模块进行参数化和规划。例如,在通信参数范围中,对F参数,如F监控时间、F目标地址、信道错误之后的表现或F***设备DB号码进行参数化或设定。
视作为重要优点的是:参数化能够在设施持续运行中进行,进而实现对通信连接无冲突的重新参数化。在此,在这两个自动化设备中对参数变化的处理是非常重要的。根据本发明,该处理因此能够比由现有技术所已知的情况明显更早地开始。此外,新方法的软件实施也比现有技术更简单。
进一步有利的是:设施系统设计成,第二发送接收应用具有第一计时器并且设计用于在发送就绪确认的时间点启动第一计时器并监控:在第一运行时间之内是否由第一自动化设备重新启动通信。
此外,第一发送接收应用具有第二计时器,并且设计用于在接收就绪确认的时间点启动第二计时器并监控:在第二运行时间之内是否接收到完成确认。第一自动化设备或第一发送接收应用还设计用于,在重新启动通信之后,除了所发送的新的过程输出数据之外,经由新的通信参数形成签名,并且该签名被连带发送至第二自动化设备,并且在第二自动化设备中将所发送的签名与在第二自动化设备中经由新的通信参数形成的第二签名进行比较,在此与之相应地,第二发送接收应用设计用于该比较,并且能够通过获知新的通信参数并通过形成第二签名产生关于新的参数的预期,并且如果预期没有被符合,那么产生报错响应。
附图说明
根据附图介绍本发明的一个实施例。附图示出:
图1是根据现有技术的用于就通信参数进行通信改变的方法流程,
图2是根据本发明的方法流程,
图3是连接有配置系统的第一和第二自动化设备,
图4是在持续运行中进行配置改变的顺序流程,和
图5A和图5B是在持续运行中进行配置改变的顺序流程,具有详细的确认事件。
具体实施方式
根据图1,示出根据现有技术的改变在第一自动化设备A与第二自动化设备B之间的配置的原理性方法流程。用虚线示出第一知识层K1、第二知识层K2、第三知识层K3和第四知识层K4。看图可知,在第一知识层K1中,第一自动化设备A知晓,其已经发送消息并且其想要重新参数化。在第二知识层K2中,第二自动化设备B知晓,第一自动化设备A有意进行重新参数化。在第三知识层K3中,第一自动化设备A知晓,第二自动化设备B获得第一自动化设备A希望进行重新参数化的消息。在第四知识层K4中,第二自动化设备B知晓,第一自动化设备A知道第二自动化设备B获得第一自动化设备A希望进行重新参数化的消息。
第一自动化设备A将用于改变参数的请求31发送给第二自动化设备B。第二自动化设备B以发送就绪确认32的方式对该请求做出反应。随后,第一自动化设备A发送确认的确认33。在自动化设备B中接收到确认的确认33之后,实施重新参数化的启动动作SU。随着确认的确认33的发送,在第一自动化设备A中启动等待时间WZ。在等待时间WZ到期之后,执行从第一自动化设备A到第二自动化设备B的新连接构建34。至今为止的重新参数化时间talt从发送请求31直至接收到新连接构建34为止,并且对于在设施运行期间所期望的无冲突的重新参数化来说太长了。
根据图2现在显示出,根据本发明,能够将至今为止的重新参数化时间talt转换成改进的、缩短的、新的重新参数化时间tneu。现在,取消了至今为止固定设定的等待时间WZ(参见图1)。在用于改变在第一自动化设备A与第二自动化设备B之间的、针对功能安全所设计的通信连接1、1'(参见图3)的通信参数KP1的配置的方法中,第一自动化设备A将用于改变参数的请求31发送给第二自动化设备B,并且第二自动化设备B以就绪确认32对请求31做出反应。
在第二自动化设备B中,随着就绪确认32的发送立刻冻结输出处理图像,由此在第二自动化设备B处最后输出的过程输出数据OV保持为其最后值。现在,针对第二自动化设备B执行从第一通信参数KP1到第二通信参数KP2的通信参数的改变。现在,在第一自动化设备A中接收到就绪确认32之后,第一自动化设备A随即立刻开始解除通信,并且针对第一自动化设备A执行通信参数KP2的改变。此时,同样在第一自动化设备A中冻结输入过程图像,由此在第一自动化设备A处最后存在的过程输入数据IV保持为其最后值。如果在第一自动化设备A中结束从KP1到KP2的通信参数的改变,那么该第一自动化设备重新建立通信。产生新连接构建34。在此,新的过程输出数据OV作为输出过程图像发送至第二自动化设备B,由此在第二自动化设备B处最后输出的过程输出数据OV由更新的过程输出数据OV取代。以用于重新参数化的时间进行的图1和图2之间的比较得出,缩短的重新参数化时间tneu现在需要比旧的至今为止的重新参数化时间talt更短的时间,由此能够无冲突地在运行时间中进行重新参数化。
通过添加第一计时器WD1和第二计时器WD2形式的看门狗功能,进一步提高了功能安全性。随着就绪确认32的发送,在第二发送接收应用SEA2中启动具有第一运行时间T1的第一计时器WD1,并且借助第一计时器WD1监控:在第一运行时间T1之内是否由第一自动化设备A重新启动通信并且由此也将新的过程输出数据OV作为新的输出过程图像发送至第二自动化设备B,并且如果是这种情况,则第二自动化设备B以完成确认35做出反应并且其停止第一计时器WD1。
在第一自动化设备A中接收到就绪确认32之后,在第一发送接收应用SEA1中启动具有第二运行时间T2的第二计时器WD2并且借助第二计时器WD2监控:在第二运行时间T2之内是否接收到完成确认35。
在重新启动通信连接34之后,除了所发送的新的过程输出数据OV之外,经由新的通信参数KP2形成签名CRC,并且该签名CRC被连带发送给第二自动化设备B。在第二自动化设备B中,所发送的签名CRC与在第二自动化设备B中经由新的通信参数KP2形成的第二签名CRC'比较。如果比较是正向的,那么改变过程图像,否则其被保持,或者采取安全动作,或者提供安全的取代值,因为已经识别到错误。
由于事先已经将要改变的通信参数KP2告知给第二自动化设备B,同样第二自动化设备本身能够经由第二通信参数KP2形成第二签名CRC',因此第二自动化设备产生预期,并且当该预期不与第一自动化设备A的第二通信参数KP2的被发送的签名CRC一致时,必定出现了错误。
根据图3示出框图形式的概览,经由配置系统2能够在运行期间交换通信参数。配置系统2与第一自动化设备A连接并且将用于改变参数的请求(也参见图4)发送给第一自动化设备A。第一自动化设备A和第二自动化设备B经由现场总线3彼此连接。
第一自动化设备A具有第一发送接收应用SEA1和第一设备驱动器G1。第二自动化设备B具有第二发送接收应用SEA2和第二设备驱动器G2。连接于第一自动化设备A的配置系统2设计用于,以第一组配置参数KP1配置相应的发送接收应用SEA1、SEA2和相应的设备驱动器G1、G2,并且对于改变来说以第二组配置参数KP2配置相应的发送接收应用SEA1、SEA2和相应的设备驱动器G1、G2。
第一自动化设备A设计用于,由配置系统2获得用于改变参数的请求31并且将请求发送给第二自动化设备B以改变参数。第二自动化设备B设计用于对请求31做出反应,使得发送对请求31的就绪确认32。
为了重新参数化,第二自动化设备设计用于,随着就绪确认32'的发送时间点立刻冻结输出过程图像,由此在第二自动化设备B处最后输出的过程输出数据OV保持为其最后值。现在,配置参数从KP1变为KP2。
第一自动化设备A设计用于,在第一自动化设备A中接收到就绪确认32或32'之后,立刻解除通信,并且触发通信参数从KP1到KP2的改变。在此,冻结输入过程图像,由此在第一自动化设备A处最后给定的过程输入数据IV保持为其最后值。在第一自动化设备A中结束通信参数KP2的改变之后,重新启动通信并且将新的过程输出数据OV发送至第二自动化设备B。对于看门狗功能,第一自动化设备A具有第二计时器WD2并且第二自动化设备B具有第一计时器WD1。
借助图4说明用于在运行期间的配置改变或用于在运行时间中的参数改变(PiR)的在第一自动化设备A与第二自动化设备B之间的报文和请求的流程序列。用户4经由配置系统2以命令Start_PiR 2.0触发参数改变的启动。随后,将新的F参数发送至第一自动化设备A并发送至第一发送接收应用SEA1,即send_new F-Par 2.1、send_new F-Par 2.2。现在,第一自动化设备A知晓,其应重新参数化并且将命令PrmBegin(for this submodul)2.3发送给第二自动化设备B,尤其发送给第二接收应用SEA2,也发送新的数据组Write_Record(one or more records)2.4,随后产生命令PrmEnd 2.5。
第二自动化设备B或第二发送接收应用SEA2对其以知晓New_F-Par2.6做出反应并且将命令Application_Ready(for this submodul)2.7发送回第一自动化设备A。第一自动化设备A又将命令PRM_Update accepted 2.8发送回配置系统2。现在,配置系统能够触发重新参数化的真正启动start PiR 3.0。重新参数化start PiR 3.0的进程借助图5详细阐述。
根据图5A和图5B示出,在启动命令Start PiR 3.0之后通过配置系统2如何进行重新参数化。
第一自动化设备A以虚线绘出并且概括示出第一发送接收应用SEA1和第一设备驱动器G1。第二自动化设备B同样以虚线绘出并且示出第二发射接收应用SEA1和第二设备驱动器G2。第一自动化设备A或第一发送接收应用SEA1现在获得用于重新参数化Start PiR3.0的启动命令,并且借此在内部以响应Start PiR 3.1做出反应,随后发送命令iPar_EN_C=13.2,其表示:现在实现参数改变。这通过第一设备驱动器G1借由iPar_EN=1 3.3再次被转发,并且用于实现参数改变的命令或资格被转发给第二自动化设备B的第二设备驱动器G2。第二设备驱动器G2在内部利用命令iPar_EN_DS=1 3.4将参数改变告知给第二发送接收应用SEA2,现在,第二发送接收应用SEA2用命令Hold_LOV Start WD-PiR 3.5触发过程输出值OV的冻结。第二发送接收应用以iPar_OK_DC=1 3.6对其确认。命令Start WD-PiR启动第一计时器WD1。
第二发送接收应用SEA2利用确认iPar_OK_DC=1 3.6来答复重新参数化iPar_EN_DE=1的可行性。第二自动化设备现在逗留在等待状态Wait for iPar_EN_DS=0 3.7。
第二设备驱动器G2将iPar_OK=1 3.8发送至第一设备驱动器G1。第一设备驱动器G1随后以到第一发送接收应用SEA1的发送命令做出反应并且将iPar_OK_S=1 3.9发送给其。从现在开始,利用命令Hold Last Input-Value(LIV)或者use FV和start WD-PiR 3.10而保持过程输入值IV。现在,第二计时器W2被启动以用于图2解释的监控时间。
利用命令Stop PSD停止Profisafe驱动器PSD并且因此同样停止Profisafe通信。在第二自动化设备B一侧,利用命令Stop PSD 4.1也在该侧上在第二设备驱动器G2中停止Profisafe驱动器。在第二自动化设备B一侧,现在能够利用命令Check and use new iPar4.2执行新参数的检查和新参数的应用。同样,在第一自动化设备A一侧,利用命令Use newF-Par 4.3使用新的配置参数。在这两侧上,即在第一自动化设备A一侧和在第二自动化设备B一侧,现在能够重新启动相应的Profisafe驱动器。这在第二自动化设备B一侧利用命令Restart PSD,iParOK_DE=0 4.5发生,并且在第一自动化设备A一侧利用命令RestartPSD,iPar_EN_C=0 4.6发生。
随后,从第一自动化设备A一侧开始,利用命令Restart PROFIsafe comm 5.0重新启动连接。第二自动化设备B一侧利用循环的Profisafe通信Cyclic PROFIsafe comm 5.1做出反应。针对使用取代值、即错误值FV的情况,该取代值现在利用命令FV_activated=0被重置。这借助5.6发生在第二自动化设备B一侧并且借助5.7发生在第一自动化设备A一侧。最后,借助命令End Hold_LV use Input-Value stop WD-PiR 5.9将新的值再次并入循环通信中并且最后经由用户的配置系统2向用户4告知New F-Parameter installed 5.10。借此,在运行时间中用PiR finished 5.11结束重新参数化。
对于图4和图5A和图5B来说要注意的是,重新参数化在循环的通信之间借助1.0、1.2和1.1无冲突地执行,正如在图4上方可见的那样。