[发明专利]用于确定安全步骤的方法及安全管理器

说明书

本发明涉及用于在包括多个用户(subscriber)的自动化网络中确定安全步骤的方法以及安全管理器和自动化网络。

工业自动化的现代概念(即，通过软件控制和监视技术过程)是基于包括分布式传感器/执行器层的中心控制的思想。由此，用户通过工业局域网(下面也称为自动化网络)彼此进行通信以及与上级系统进行通信。自动化网络通常被配置成公知的主从通信网络，其中，主用户表示控制层，而从用户表示传感器/执行器层。

安全是工业自动化的根本要求。当执行自动化任务时，需要确保的是当一个用户出现故障或者在发生其它错误时，该自动化网络不会对人和环境造成任何危险。为了能够对自动化网络造成的危险进行分类，需要强制执行危险评估。根据欧洲标准EN1050，需要按一系列的逻辑步骤执行该风险评估，这些步骤能够对来自自动化网络和/或单个用户的危险进行系统地检查。基于危险分析，然后可以确定对自动化网络的技术和组织要求，以便确保足够的安全。

关于这一点，欧洲标准EN 954-1“Safety of machinery - Safety-related parts ofcontrol systems(机械安全-控制系统的安全相关部分)”已经将其本身建立成机械及工厂安全领域用于执行危险分析的国际标准。该标准考虑了所有安全相关的用户而不管其用户类型，并对它们的安全相关能力进行分类。基于所确定的安全类别，然后配置自动化网络中的控制结构，以便满足对安全功能的要求并在出现错误的情况下实现必要的系统行为。

为了能够针对安全要求对可编程电子控制系统进行具体评判(justice)，除EN954-1标准之外，近些年还引入了其它标准。对于自动化网络中的危险分析，ENISO13849-1和IEC/EN 62061标准尤其相关。通过这两个标准，除EN954-1标准的定性方法之外，还执行安全功能的定量预期。

EN ISO13849-1和IEC/EN 62061标准规定了可编程电子控制系统减小风险所需要的安全相关能力。为了对安全相关能力进行分类，这两个标准定义了安全步骤。为此，与参与执行自动化网络的所有安全功能的所有用户一起考虑自动化网络的所有安全功能。

基于参与这些安全功能的用户的安全相关参数来确定自动化网络的安全步骤。根据EN ISO13849-1标准等，这些参数为：平均无故障时间(MTTF)、诊断覆盖率(DC)、每小时的危险故障概率(PFH)、使用时间(T_M)、发现受到磨损烦恼的用户的样本的10％是危险的周期数(B_10d)以及共同原因故障(CCF)。除前述安全相关参数外，其它因素(甚至是诸如征用率或安全功能的测试率的运行因素)也可能影响安全步骤。

为了确定自动化网络的安全步骤，除了知道参与安全功能的所有用户的安全相关参数之外，还需要关于该自动化网络中的用户之间的逻辑操作的准确信息。

为了能够对自动化网络造成的危险进行可靠的分类，需要例如通过马尔可夫(Markov)分析进行复杂的计算。此外，单个用户的故障概率由于数据不够而需要部分估计，这使得难以给出明确的表述。从而自动化网络中的安全步骤的确定对中小型公司造成了相当多的问题。

在最近几年，安全工具日益冲击市场，例如德国奥斯特菲尔登(Ostfildern)的Pilz公司提供的安全计算器PAScal和德国魏斯基希(Weiskirch)的Sick公司提供的Safeexpert程序。这些安全工具根据所使用的用户计算自动化网络中的安全功能的安全步骤。由此，从软件库中取得用户特定的安全参数。然而，此外，系统中的结构，即，自动化网络内的用户的数据和处理特定的链路需要单独地输入。这些安全工具通过根据EN ISO 13849-1和EN/EC62061标准需要的安全步骤来验证所计算的安全步骤，并给出动作的潜在需要，以便改善自动化网络内的安全。

使用软件库来检测用户特定的安全参数需要持续对该库进行更新，以便能够在安全计算过程中考虑新的用户和/或以便能够考虑在用户中执行的修改。此外，需要向安全工具单独输入自动化网络中的用户之间的数据和过程特定的链路耗时并且易于出错。因此，当确定安全步骤时，通常仅执行自动化网络中的控制逻辑的简化预期。如果自动化网络被扩展或修改，则还需要重新检测经修改的结构，以便能够确定当前安全步骤。

DE 103 18 837 A1公开了一种网络，其中，用户之间的数据和过程特定的链路可以通过安全管理器来自动检测。

EP 1 300 657 A2和DE 44 09 543 A1公开了可以自动确定用户特定的参数的网络。