安全ステップの判定方法および安全マネージャ
サブスクライバを含むオートメーションネットワークにおける安全ステップを判定するために、オートメーションネットワークにおけるサブスクライバ間のデータおよび処理に固有のリンクは、自動的に判定される。オートメーションネットワークにおける安全ステップは、その後、オートメーションネットワークにおけるサブスクライバの判定されたデータおよび処理に固有のリンクと、判定されたサブスクライバに固有の安全パラメータとを関連付けるアルゴリズムを用いて評価される。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数のサブスクライバを含むオートメーションネットワークにおける安全ステップの判定方法に関する。また、本発明は、安全マネージャおよびオートメーションネットワークに関する。
【背景技術】
【0002】
産業オートメーション(すなわち、技術的な処理のソフトウェア制御およびソフトウェア監視)は、分散センサ/分散アクチュエータ層を含む中央制御の考え方に基づいている。したがって、複数のサブスクライバは、お互いと、および、上位システムと、産業ローカルネットワーク(以下では、オートメーションネットワークとも称する)を介して通信を行う。オートメーションネットワークは、通常、いわゆるマスタースレーブ通信ネットワークとして構成される。マスタースレーブ通信ネットワークにおいて、マスターサブスクライバは制御層を表すものであり、スレーブサブスクライバは、センサ/アクチュエータ層を表すものである。
【0003】
安全は、産業オートメーションにおいて必須要件である。オートメーションタスクを実行する時には、オートメーションネットワークは、サブスクライバの不具合またはその他のエラーが発生した場合に人間および環境をいかなる危険にも晒さないことが守られなければならない。オートメーションネットワークによって表される危険を分類可能にするために、危険アセスメントが行われていることが必須である。欧州規格EN1050によれば、リスクアセスメントは、オートメーションネットワークおよび/または個々のサブスクライバから生じる危険を系統的に分析することを可能にする一連の論理的ステップで実行される必要がある。この危険の分析に基づいて、オートメーションネットワークにとって技術的および組織的な要件は、その後、十分な安全性を保障するために判定される。
【0004】
これに関連して、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”は、危険の分析を実行するための機器および設備の安全性の分野における国際規格を確立している。この規格は、安全関連サブスクライバのタイプにかかわらずこれら全てのサブスクライバを考慮に入れる。また、この規格は、これらの安全関連のキャパシティを分類する。判定された安全カテゴリに基づいて、オートメーションネットワークにおける制御構造は、エラーの場合における必要なシステムの動作を実現するためだけでなく安全機能の要件を満たすために、その後構成される。
【0005】
安全要件に関して、プログラマブル電子制御システムの個々を公正に評価可能にするために、ここ数年の間、EN954−1規格に加えて、更なる規格が導入されている。オートメーションネットワークにおける危険の分析に関して、EN ISO13849−1およびIEC/EN62061規格が特に関連している。これら二つの規格によって、安全機能の定量的計画は、EN954−1規格の定性的アプローチに加えて実行される。
【0006】
EN ISO13849−1およびIEC/EN62061規格は、リスク削減に必要なプログラマブル電子制御システムの安全関連のキャパシティを特定している。安全関連のキャパシティを分類するために、上記二つの規格は、安全ステップを定義している。このために、オートメーションネットワークの全ての安全機能は、これらの実行に関与している全てのサブスクライバと共に考慮されている。
【0007】
オートメーションネットワークの安全ステップは、安全機能に関与しているサブスクライバの安全関連パラメータに基づいて判定される。EN ISO13849−1規格等によれば、これらのパラメータは、故障までの平均時間(MTTF)、診断率(DC)、一時間当たりの危険側故障確率(PFH)、使用時間(TM)、磨耗被害を受けたサブスクライバのサンプルの10%が危険であると発覚したときのサイクル数(B10d)、および共通原因故障(CCF)である。前述の安全関連パラメータとは別に、更なる要因(例えば安全機能の要求率または試験率などの使用可能な要因と同等の要因)は、安全ステップに影響を与えるであろう。
【0008】
オートメーションネットワークの安全ステップを判定するために、オートメーションネットワークにおけるサブスクライバ間の論理演算の正確な情報は、安全機能に関与している全てのサブスクライバの安全関連パラメータの情報とは別に、さらに必要とされる。
【0009】
オートメーションネットワークによって晒される危険を確実に分類可能にするために、複雑な計算(例えば、マルコフ分析)が要求される。加えて、個々のサブスクライバの故障確率は、不十分なデータが原因で部分的に見積もられる必要がある。不十分なデータは、明確にすることを難しくする。オートメーションネットワークにおける安全ステップの判定をすることは、中小企業にとってこのように相当な問題をもたらす。
【0010】
この数年間、安全ツールは、例えば、ドイツのオストフィルダーンのピルツ社によって提供された安全計算機PAScalおよびドイツのヴァイスキルヒのジック社によって提供されたSafeexpertプログラムなど、ますます市場に達している。これら安全ツールは、使用されたサブスクライバに応じて、オートメーションネットワークにおける安全機能の安全ステップを評価する。したがって、サブスクライバに固有の安全パラメータは、ソフトウェアライブラリから選ばれる。しかし、加えて、システムの構造(すなわちオートメーションネットワーク内のサブスクライバのデータおよび処理に固有のリンク)は、個別に入力される。安全ツールは、EN ISO13849−1およびEN/EC62061規格に従って要求された安全ステップによって評価された安全ステップを検証する。また、安全ツールは、オートメーションネットワーク内での安全性を改善するために処理のための潜在的必要性を示す。
【0011】
サブスクライバに固有の安全パラメータを検出するためのソフトウェアライブラリの利用は、安全評価の間、新しいサブスクライバを考慮可能とするために、および/または、サブスクライバにおいて実行された変更点を考慮可能とするために、このライブラリの持続的なアップデートを要求する。更に、安全ツール中のオートメーションネットワークにおけるサブスクライバ間の個別に入力しているデータおよび処理に固有のリンクの要件は、多大な時間を必要とし、エラーが起こりやすくなる。ゆえに、安全ステップを判定する時、通常、オートメーションネットワークにおける制御ロジックの簡略化された計画が実行される。オートメーションネットワークが拡大または変更された場合、現行の安全ステップを判定可能にするために変更された構造を、再検出することを更に要求する。
【0012】
独国特許出願公開第103 18 837 A1号明細書には、安全マネージャによってサブスクライバ間のデータおよび処理に固有のリンクを自動的に検出するネットワークが開示されている。
【0013】
欧州特許出願公開第1 300 657 A2明細書および独国特許出願公開第44 09 543 A1号明細書には、サブスクライバに固有のパラメータが自動的に判定されるネットワークが開示されている。
【0014】
CIC-webオンラインマガジンのサービスボックスの“Wahrscheinlichkeitsrechnung leicht gemacht”(簡単にされる確率計算)((Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>)には、サブスクライバを含んでいるオートメーションネットワーク内の安全ステップの判定方法が示されている。上記において、オートメーションネットワークにおける安全ステップは、サブスクライバに固有の安全パラメータと同様にオートメーションネットワークにおけるサブスクライバ間のデータおよび処理に固有のリンクと関連しているアルゴリズムを用いて評価される。この方法は、ピルツ社の“Safety Calculator PAScal”プログラムで実現される。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】独国特許出願公開第103 18 837 A1号明細書
【特許文献2】欧州特許出願公開第1 300 657 A2明細書
【特許文献3】独国特許出願公開第44 09 543 A1号明細書
【非特許文献】
【0016】
【非特許文献1】CIC-webオンラインマガジンのサービスボックスの“Wahrscheinlichkeitsrechnung leicht gemacht”(簡単にされる確率計算)(Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>
【発明の概要】
【発明が解決しようとする課題】
【0017】
本発明は、オートメーションネットワークにおける安全ステップを判定する判定方法、および/または、安全ステップの自動評価を可能にするオートメーションネットワークのための安全マネージャを、特に更なる変更がオートメーションネットワークに導入された場合において簡単および確実な方法で提供することを目的とする。
【課題を解決するための手段】
【0018】
本発明によれば、この目的は、請求項1に係る方法、請求項6に係るコンピュータプログラム製品、請求項9に係る安全マネージャおよび請求項12に係るオートメーションネットワークによって解決される。好ましい実施形態が従属請求項に示される。
【0019】
複数のサブスクライバを含んでいるオートメーションネットワークにおける安全ステップを判定するために、本発明によれば、上記オートメーションネットワークにおける上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンク、並びに、上記サブスクライバに固有の複数の安全パラメータを自動的に検出させる。上記オートメーションネットワークにおける上記安全ステップは、その後、上記オートメーションネットワークにおける上記複数のサブスクライバの上記検知されたデータおよび処理に固有の複数のリンクと上記検知されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて評価される。したがって、本発明によれば、上記処理は、アルゴリズムを実行するための評価器と同様に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための構成検出器、並びに、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器を含む安全マネージャで実行される。
【0020】
オートメーションネットワークにおける安全ステップの判定方法、および/または、これに関連した安全マネージャは、安全ステップの自動評価を可能にする。特に、オートメーションネットワークの構造を分析する動作、および、評価器に入力する動作が必要ではない。更に、本発明の方法および対応する構成の安全マネージャは、オートメーションネットワークにおいて拡大または変更を自動的に検出すること、および、安全ステップを評価している時にこれらを考慮することが可能である。
【0021】
好ましい実施形態によれば、上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、かつ、上記複数のサブスクライバに接続しているオートメーションネットワークを介して、上記安全ステップを評価するために上記安全マネージャによって自動的に読み出される。サブスクライバに固有の安全パラメータを直接、サブスクライバに格納することによって、および、これらをオンラインで読み出すことによって、多大な時間を必要とするソフトウェアライブラリのアップデートを行う必要がない。安全マネージャの評価器は、同様に、最新のまたは未知のサブスクライバが簡単な方法で関与されるように、サブスクライバに固有の安全パラメータを直接、サブスクライバから取得する。したがって、安全機能の変更および拡大、またはオートメーションネットワークにおけるサブスクライバの交替は、安全ステップを判定している間、確実に考慮に入れられることを保障される。
【0022】
好ましい実施形態によれば、上記オートメーションネットワークの上記あらかじめ定められた構成から、上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクは、オートメーションタスクを実行するために判定される。オートメーションタスクを実行するための制御ロジックの構成は、安全ステップを評価している時、顧慮に入れるべき全ての必要なデータおよび処理に固有のリンクを含んでいる。データおよび処理に固有のリンクは、その後、簡単な方法で制御ハードウェアに基づいて判定される。
【0023】
上記複数のサブスクライバ間の上記データおよび処理に固有のリンクを検出するために、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクは、上記オートメーションタスクを実行するために検出されることが好ましい。この情報は、安全ステップを評価している間、サブスクライバのデータおよび処理に固有のリンクを十分考慮に入れることを可能とするために、必要な全データを含んでいる。
【0024】
以下の通り、添付の図面を参照しながら、本発明をより詳細に説明する。
【図面の簡単な説明】
【0025】
【図1】安全領域を含んでいるオートメーションネットワーク概略的に示した図である。
【図2】オートメーションシステムの安全マネージャを示した図である。
【発明を実施するための形態】
【0026】
産業オートメーション(すなわち、技術的な処理のコンピュータ上のソフトウェア制御およびソフトウェア監視)においては、分散配置されたセンサ/アクチュエータ層のデバイス(例えば、I/Oモジュール、データロガーおよびバルブ)が高効率リアルタイム通信ネットワークを介して制御層のオートメーションコンピュータとの通信を行う分散制御システム(以下、オートメーションネットワークとも称する)がますます使用される。オートメーションネットワークにおけるサブスクライバ(すなわち、オートメーションコンピュータおよび/またはセンサ/アクチュエータ層のデバイス)は、ポイントツーポイント接続またはバスシステムを介して、互いに連結されていてもよい。それゆえ、フィールドバスシステムが使用されることが望ましい。
【0027】
オートメーションネットワークは、通常、階層的に構成され、マスタースレーブの原則に従って動作する。マスターサブスクライバは、制御層に割り当てられており、オートメーションネットワークにおける通信リンクにアクセスするおよびデータ送信を判定する権限を有するアクティブサブスクライバである。スレーブサブスクライバは、センサ/アクチュエータ層に属する、パッシブサブスクライバである。スレーブサブスクライバは、通信リンクにアクセスするための独立した権限を持たない。すなわち、スレーブサブスクライバは、受信したデータに応答し、マスターサブスクライバによる要求に応じて、データをマスターサブスクライバに送信するのみでよい。
【0028】
図1は、オートメーションネットワークの基本構造を概略的に示した図である。オートメーションネットワークは、制御層を形成する2つのマスターサブスクライバM、SMと、センサ/アクチュエータ層を表す8つのスレーブサブスクライバS1〜S4、SS1〜SS4と、を含んでいる。上記オートメーションネットワークにおける全てのサブスクライバはシリアルバス1によって互いに接続され、シリアルバス1によってサブスクライバ間のデータ交換が行われる。サブスクライバ間のデータ交換は、通常、マスターサブスクライバM、SMにより、制御データおよびユーザデータからなるデータパケットの形にまとめられる。データパケット内の制御データはアドレス情報を含んでいる。それゆえ、例えば、イーサネット(登録商標)プロトコルに基づいたデータ交換が行われる。イーサネットプロトコルでは、最大1500バイトの長さのデータパケットを毎秒100メガビットの伝送レートで伝送することが可能である。
【0029】
サブスクライバの不具合、および/または、機能的エラーの場合のオートメーションネットワークが、人間および環境を危険に晒さないことを保護することは、オートメーションネットワークにとって必須の要件である。したがって、危険の程度は、本質的にオートメーションネットワークにおけるサブスクライバのタイプおよび機能、並びに制御プログラムの信頼性次第である。人間および/または環境を危険から守るために、オートメーションネットワークにおける危険サブスクライバは、適切な保安装置を使用することによって操作され、維持されるのみである。さらに、通常の制御機能とは別に、安全機能がオートメーションネットワークの制御層内で実行されなければならない。安全機能は、オートメーションネットワークにおける安全関連のサブスクライバに不具合が発生した場合に、オートメーションネットワークが安全状態に切り替わることを確実にする。そのような安全状態の一例としては、オートメーションネットワークの緊急スイッチを切ることが挙げられる。
【0030】
オートメーションネットワークのサブスクライバおよび/または制御プログラムから生じた危険を分類可能にするために、危険アナリシスを実行することが必須である。複数の規格は、安全関連のオートメーションネットワークのデザイン、統合性および妥当性の要件および提案を含んで存在している。したがって、最もよく使用された規格は、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”であり、この規格は、使用されたエネルギーの形態に関わらず全ての安全関連の制御部に当てはまる。また、この規格は、それぞれ必要な安全関連のキャパシティを分類するためのカテゴリを含んでいる。しかし、欧州規格EN954−1は、定性的アプローチを提供するのみであり、それによって、例えば、オートメーションネットワークにおける個々のサブスクライバの不具合の可能性が考慮されない。
【0031】
確かな危険アセスメント、とりわけオートメーションネットワークを可能にするこのような定量的アプローチは、最新の規格EN ISO13849−1およびIEC/EN62061に含まれる。これらの規格は、異なる安全関連のキャパシティを分類するための安全ステップを定義している。この安全ステップは、一時間当たりのオートメーションネットワークの危険側故障の異なる平均確率値を表す。EN ISO13849−1およびIEC/EN62061規格によれば、安全ステップを判定するために、サブスクライバに固有の安全パラメータを検出する必要がある。サブスクライバのこのような安全パラメータは、故障までの平均時間(MTTFd)、一時間当たりの危険側故障確率(PFH)、診断率(DCd)、安全側故障比率(SFFd)、使用時間(TM)、共通原因故障(CCF)、および規格に含まれる特定のその他のパラメータである。
【0032】
サブスクライバに固有の安全パラメータとは別に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための、オートメーションネットワークの安全ステップを判定することが更に求められている。上記規格に規定されたアルゴリズムを用いて、安全ステップがその後判定されるであろう。
【0033】
一般に、オートメーションネットワークにおける全てのサブスクライバが安全関連であるとは限らない。加えて、オートメーションネットワークにおける安全機能の数は、通常、安全と関連しない制御機能の数より少ない。したがって、安全領域は、通常、オートメーションネットワーク内で定義される。図1に示されたオートメーションネットワークにおいて、安全領域は、安全関連マスターサブスクライバSM(以下では、セーフティマスターSMとも称する)、および、安全関連スレーブサブスクライバSS1〜SS4によって形成される。図1のオートメーションネットワークにおける更に最新の安全と関連しないスレーブサブスクライバS1〜S4は、第2のマスターサブスクライバM(以下では、標準マスターMとも称する)によって制御される。
【0034】
個々のマスターサブスクライバを提供することによる安全と関連しない制御機能と安全機能とを区別する代わりに、図1に示されているオートメーションネットワークに提供されている通り、個々のマスターサブスクライバ上の安全と関連しない制御機能と同じように安全機能も実行することが可能である。しかしながら、それによって、安全と関連しない制御機能が安全機能に影響を及ぼさないことを保障する必要がある。
【0035】
適用規格に従って判定されるオートメーションネットワークにおける安全ステップを用いた既知の安全ツールの場合、オートメーションネットワークにおける安全機能を実行するために、サブスクライバのデータおよび処理に固有のリンクを個々に入力することが要求される。さらに、既知の安全ツールについては、安全ステップを評価している時に、考慮されたサブスクライバに固有の安全パラメータが、ソフトウェアライブラリから選ばれる。新しい安全関連のサブスクライバを考慮に入れること、および/または、サブスクライバのうち技術的またはソフトウェア固有の調整に基づいたサブスクライバに固有の安全パラメータの変更を検出することを可能にするために、連続的にソフトウェアライブラリのアップデートが必要である。オートメーションネットワークにおける安全ステップの判定に関与した時間と労力は、本発明によって提供される安全マネージャ2を用いることによってかなり削減される。
【0036】
図1に示すようにオートメーションネットワークにおいては、安全マネージャ2は、安全マスターSMに組み込まれている。これに関して、安全マネージャ2は、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。図1に示す実施形態の代わりとして、安全マネージャ2は、例えば、標準マスターMといった、オートメーションネットワークの好ましいその他のサブスクライバにて提供されてもよい。一方、安全マネージャ2は、オートメーションネットワークにおける独立したサブスクライバとして構成されていてもよい。
【0037】
安全マネージャ2の構成は、図2において、概念的に示される。安全マネージャの個々のコンポーネントも同様に、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。安全マネージャ2は、3つのインターフェースを含んでいる。3つのインターフェースとは、安全マネージャをオートメーションシステムに接続するためのバスインターフェース21、データインターフェース22、および、マンマシンインターフェース23である。安全マネージャ2がオートメーションネットワークにおける独立したサブスクライバではなく、マスターサブスクライバの一部またはネットワークにおけるその他のサブスクライバの一部である場合、安全マネージャは、上述したホストサブスクライバのインターフェースに相当するものを代わりに用いる。
【0038】
安全マネージャ2は、例えば、データインターフェース22を介してオートメーションタスクを実行するための構成ツール4によって判定されたオートメーションネットワークの構成をインポートする。データインターフェース22に接続されている構成検出器24において、インポートされたシステム構成は、標準形のオートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを検出するシステムモデルに変換される。あるいは、構成検出器24は、同様に、オートメーションネットワークのテストモードにおいて、独立して、オートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを表すシステムモジュールを検出する。このために、構成検出器24は、例えば、テストデータを用いて、オートメーションタスクが実行される間、安全関連のサブスクライバの入力および出力の論理的リンクを検出する。さらに、構成検出器24は、これらからの安全関連のサブスクライバのデータおよび処理に固有のリンクを検出しているとき、安全マスターSMからのセーフティコントロールを読み出すことを可能にする。
【0039】
安全マネージャ2は、更に、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器25を含んでいる。これらのサブスクライバに固有の安全パラメータは、外部データベース5からデータインターフェース22を介してパラメータ検出器25によって読み込まれる。または、これらのサブスクライバに固有の安全パラメータは、バスインターフェース21を介してオートメーションネットワークにおける安全関連のサブスクライバから直接読み出される。パラメータ検出器25は、アップデートされたサブスクライバに固有の安全パラメータを安全関連のサブスクライバおよび/または外部データベース5に戻すことを更に可能とする。
【0040】
図1に示すように、各安全関連のサブスクライバSS1〜SS4は、パラメータメモリ3を含んでいる。パラメータメモリ3には、サブスクライバに固有の安全パラメータが格納されている。上記パラメータメモリ3は、書込み禁止であり、識別子が備わっている。識別子としては、例えばサブスクライバに固有のパラメータのチェックサムが用いられている。個々のパラメータメモリが割り当てられた識別子は、更にパラメータ検出器25に格納される。これらの識別子を用いて、パラメータ検出器25およびオートメーションネットワークにおける個々のサブスクライバ間のセーフデータ通信は、サブスクライバに固有の安全パラメータを交換するために実行される。
【0041】
安全マネージャ2において、構成検出器24およびパラメータ検出器25は、オートメーションネットワークにおける安全ステップを評価するために、さらに、評価器26に接続される。評価器26は、提供された安全規格を考慮に入れた、提供されたアルゴリズムを用いて安全ステップを判定することを実行する。したがって、それぞれ用いられているアルゴリズムは、ユーザによって、マンマシンインターフェース23を介して、接続された入力/復元ユニット6を用いて、選択される。しかしながら、評価器26に使用されるアルゴリズムを自動的に提供することも可能である。一方、検出された安全ステップは、入力/復元ユニット6に対するメッセージの形式でマンマシンインターフェース23を介して評価器に出力する。
【0042】
オートメーションネットワークにおける安全ステップを評価するために、安全マネージャ2は、さまざまなモードで操作される。したがって、第1の動作モードにおいて、安全マネージャ2は、それぞれの安全ステップのデザインを前もって判定するためにシステムデザインの枠組みの中で用いられる。これに関連して、システム構成およびサブスクライバに固有の安全パラメータは、データインターフェース22を介して構成ツール4および/または外部データベース5から読み出される。
【0043】
オートメーションシステムが動作しているとき、定期的に、または、例えば、安全マネージャ2における第2の動作モードにおけるオートメーションネットワークの初期設定期間内で、安全ステップの再評価が可能である。安全マネージャ動作モードにおいて、パラメータ検出器25は、その後、安全関連のサブスクライバのパラメータメモリ3からサブスクライバに固有のパラメータを出力する。更に、構成検出器24は、オートメーションネットワークに接続された構成および/または安全マスターの制御プログラムから、データおよび処理に固有の構成を直接検出する。
【0044】
本発明における安全マネージャおよび本発明における安全ステップ評価方法を用いることによって、とりわけ、オートメーションネットワークにおいて変更が実行された後(例えば、安全関連のサブスクライバと更に接続した後)に、簡単な方法で、オートメーションネットワークにおける安全ステップが、自動的に判定可能となる。
【技術分野】
【0001】
本発明は、複数のサブスクライバを含むオートメーションネットワークにおける安全ステップの判定方法に関する。また、本発明は、安全マネージャおよびオートメーションネットワークに関する。
【背景技術】
【0002】
産業オートメーション(すなわち、技術的な処理のソフトウェア制御およびソフトウェア監視)は、分散センサ/分散アクチュエータ層を含む中央制御の考え方に基づいている。したがって、複数のサブスクライバは、お互いと、および、上位システムと、産業ローカルネットワーク(以下では、オートメーションネットワークとも称する)を介して通信を行う。オートメーションネットワークは、通常、いわゆるマスタースレーブ通信ネットワークとして構成される。マスタースレーブ通信ネットワークにおいて、マスターサブスクライバは制御層を表すものであり、スレーブサブスクライバは、センサ/アクチュエータ層を表すものである。
【0003】
安全は、産業オートメーションにおいて必須要件である。オートメーションタスクを実行する時には、オートメーションネットワークは、サブスクライバの不具合またはその他のエラーが発生した場合に人間および環境をいかなる危険にも晒さないことが守られなければならない。オートメーションネットワークによって表される危険を分類可能にするために、危険アセスメントが行われていることが必須である。欧州規格EN1050によれば、リスクアセスメントは、オートメーションネットワークおよび/または個々のサブスクライバから生じる危険を系統的に分析することを可能にする一連の論理的ステップで実行される必要がある。この危険の分析に基づいて、オートメーションネットワークにとって技術的および組織的な要件は、その後、十分な安全性を保障するために判定される。
【0004】
これに関連して、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”は、危険の分析を実行するための機器および設備の安全性の分野における国際規格を確立している。この規格は、安全関連サブスクライバのタイプにかかわらずこれら全てのサブスクライバを考慮に入れる。また、この規格は、これらの安全関連のキャパシティを分類する。判定された安全カテゴリに基づいて、オートメーションネットワークにおける制御構造は、エラーの場合における必要なシステムの動作を実現するためだけでなく安全機能の要件を満たすために、その後構成される。
【0005】
安全要件に関して、プログラマブル電子制御システムの個々を公正に評価可能にするために、ここ数年の間、EN954−1規格に加えて、更なる規格が導入されている。オートメーションネットワークにおける危険の分析に関して、EN ISO13849−1およびIEC/EN62061規格が特に関連している。これら二つの規格によって、安全機能の定量的計画は、EN954−1規格の定性的アプローチに加えて実行される。
【0006】
EN ISO13849−1およびIEC/EN62061規格は、リスク削減に必要なプログラマブル電子制御システムの安全関連のキャパシティを特定している。安全関連のキャパシティを分類するために、上記二つの規格は、安全ステップを定義している。このために、オートメーションネットワークの全ての安全機能は、これらの実行に関与している全てのサブスクライバと共に考慮されている。
【0007】
オートメーションネットワークの安全ステップは、安全機能に関与しているサブスクライバの安全関連パラメータに基づいて判定される。EN ISO13849−1規格等によれば、これらのパラメータは、故障までの平均時間(MTTF)、診断率(DC)、一時間当たりの危険側故障確率(PFH)、使用時間(TM)、磨耗被害を受けたサブスクライバのサンプルの10%が危険であると発覚したときのサイクル数(B10d)、および共通原因故障(CCF)である。前述の安全関連パラメータとは別に、更なる要因(例えば安全機能の要求率または試験率などの使用可能な要因と同等の要因)は、安全ステップに影響を与えるであろう。
【0008】
オートメーションネットワークの安全ステップを判定するために、オートメーションネットワークにおけるサブスクライバ間の論理演算の正確な情報は、安全機能に関与している全てのサブスクライバの安全関連パラメータの情報とは別に、さらに必要とされる。
【0009】
オートメーションネットワークによって晒される危険を確実に分類可能にするために、複雑な計算(例えば、マルコフ分析)が要求される。加えて、個々のサブスクライバの故障確率は、不十分なデータが原因で部分的に見積もられる必要がある。不十分なデータは、明確にすることを難しくする。オートメーションネットワークにおける安全ステップの判定をすることは、中小企業にとってこのように相当な問題をもたらす。
【0010】
この数年間、安全ツールは、例えば、ドイツのオストフィルダーンのピルツ社によって提供された安全計算機PAScalおよびドイツのヴァイスキルヒのジック社によって提供されたSafeexpertプログラムなど、ますます市場に達している。これら安全ツールは、使用されたサブスクライバに応じて、オートメーションネットワークにおける安全機能の安全ステップを評価する。したがって、サブスクライバに固有の安全パラメータは、ソフトウェアライブラリから選ばれる。しかし、加えて、システムの構造(すなわちオートメーションネットワーク内のサブスクライバのデータおよび処理に固有のリンク)は、個別に入力される。安全ツールは、EN ISO13849−1およびEN/EC62061規格に従って要求された安全ステップによって評価された安全ステップを検証する。また、安全ツールは、オートメーションネットワーク内での安全性を改善するために処理のための潜在的必要性を示す。
【0011】
サブスクライバに固有の安全パラメータを検出するためのソフトウェアライブラリの利用は、安全評価の間、新しいサブスクライバを考慮可能とするために、および/または、サブスクライバにおいて実行された変更点を考慮可能とするために、このライブラリの持続的なアップデートを要求する。更に、安全ツール中のオートメーションネットワークにおけるサブスクライバ間の個別に入力しているデータおよび処理に固有のリンクの要件は、多大な時間を必要とし、エラーが起こりやすくなる。ゆえに、安全ステップを判定する時、通常、オートメーションネットワークにおける制御ロジックの簡略化された計画が実行される。オートメーションネットワークが拡大または変更された場合、現行の安全ステップを判定可能にするために変更された構造を、再検出することを更に要求する。
【0012】
独国特許出願公開第103 18 837 A1号明細書には、安全マネージャによってサブスクライバ間のデータおよび処理に固有のリンクを自動的に検出するネットワークが開示されている。
【0013】
欧州特許出願公開第1 300 657 A2明細書および独国特許出願公開第44 09 543 A1号明細書には、サブスクライバに固有のパラメータが自動的に判定されるネットワークが開示されている。
【0014】
CIC-webオンラインマガジンのサービスボックスの“Wahrscheinlichkeitsrechnung leicht gemacht”(簡単にされる確率計算)((Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>)には、サブスクライバを含んでいるオートメーションネットワーク内の安全ステップの判定方法が示されている。上記において、オートメーションネットワークにおける安全ステップは、サブスクライバに固有の安全パラメータと同様にオートメーションネットワークにおけるサブスクライバ間のデータおよび処理に固有のリンクと関連しているアルゴリズムを用いて評価される。この方法は、ピルツ社の“Safety Calculator PAScal”プログラムで実現される。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】独国特許出願公開第103 18 837 A1号明細書
【特許文献2】欧州特許出願公開第1 300 657 A2明細書
【特許文献3】独国特許出願公開第44 09 543 A1号明細書
【非特許文献】
【0016】
【非特許文献1】CIC-webオンラインマガジンのサービスボックスの“Wahrscheinlichkeitsrechnung leicht gemacht”(簡単にされる確率計算)(Henrich Publikationen GmbHオンラインサービス),2005年6月AUT版, p. 1-3,インターネット<http://www.cicweb.de/index.cfm?pid=1473&pk=66042#)>
【発明の概要】
【発明が解決しようとする課題】
【0017】
本発明は、オートメーションネットワークにおける安全ステップを判定する判定方法、および/または、安全ステップの自動評価を可能にするオートメーションネットワークのための安全マネージャを、特に更なる変更がオートメーションネットワークに導入された場合において簡単および確実な方法で提供することを目的とする。
【課題を解決するための手段】
【0018】
本発明によれば、この目的は、請求項1に係る方法、請求項6に係るコンピュータプログラム製品、請求項9に係る安全マネージャおよび請求項12に係るオートメーションネットワークによって解決される。好ましい実施形態が従属請求項に示される。
【0019】
複数のサブスクライバを含んでいるオートメーションネットワークにおける安全ステップを判定するために、本発明によれば、上記オートメーションネットワークにおける上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンク、並びに、上記サブスクライバに固有の複数の安全パラメータを自動的に検出させる。上記オートメーションネットワークにおける上記安全ステップは、その後、上記オートメーションネットワークにおける上記複数のサブスクライバの上記検知されたデータおよび処理に固有の複数のリンクと上記検知されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて評価される。したがって、本発明によれば、上記処理は、アルゴリズムを実行するための評価器と同様に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための構成検出器、並びに、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器を含む安全マネージャで実行される。
【0020】
オートメーションネットワークにおける安全ステップの判定方法、および/または、これに関連した安全マネージャは、安全ステップの自動評価を可能にする。特に、オートメーションネットワークの構造を分析する動作、および、評価器に入力する動作が必要ではない。更に、本発明の方法および対応する構成の安全マネージャは、オートメーションネットワークにおいて拡大または変更を自動的に検出すること、および、安全ステップを評価している時にこれらを考慮することが可能である。
【0021】
好ましい実施形態によれば、上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、かつ、上記複数のサブスクライバに接続しているオートメーションネットワークを介して、上記安全ステップを評価するために上記安全マネージャによって自動的に読み出される。サブスクライバに固有の安全パラメータを直接、サブスクライバに格納することによって、および、これらをオンラインで読み出すことによって、多大な時間を必要とするソフトウェアライブラリのアップデートを行う必要がない。安全マネージャの評価器は、同様に、最新のまたは未知のサブスクライバが簡単な方法で関与されるように、サブスクライバに固有の安全パラメータを直接、サブスクライバから取得する。したがって、安全機能の変更および拡大、またはオートメーションネットワークにおけるサブスクライバの交替は、安全ステップを判定している間、確実に考慮に入れられることを保障される。
【0022】
好ましい実施形態によれば、上記オートメーションネットワークの上記あらかじめ定められた構成から、上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクは、オートメーションタスクを実行するために判定される。オートメーションタスクを実行するための制御ロジックの構成は、安全ステップを評価している時、顧慮に入れるべき全ての必要なデータおよび処理に固有のリンクを含んでいる。データおよび処理に固有のリンクは、その後、簡単な方法で制御ハードウェアに基づいて判定される。
【0023】
上記複数のサブスクライバ間の上記データおよび処理に固有のリンクを検出するために、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクは、上記オートメーションタスクを実行するために検出されることが好ましい。この情報は、安全ステップを評価している間、サブスクライバのデータおよび処理に固有のリンクを十分考慮に入れることを可能とするために、必要な全データを含んでいる。
【0024】
以下の通り、添付の図面を参照しながら、本発明をより詳細に説明する。
【図面の簡単な説明】
【0025】
【図1】安全領域を含んでいるオートメーションネットワーク概略的に示した図である。
【図2】オートメーションシステムの安全マネージャを示した図である。
【発明を実施するための形態】
【0026】
産業オートメーション(すなわち、技術的な処理のコンピュータ上のソフトウェア制御およびソフトウェア監視)においては、分散配置されたセンサ/アクチュエータ層のデバイス(例えば、I/Oモジュール、データロガーおよびバルブ)が高効率リアルタイム通信ネットワークを介して制御層のオートメーションコンピュータとの通信を行う分散制御システム(以下、オートメーションネットワークとも称する)がますます使用される。オートメーションネットワークにおけるサブスクライバ(すなわち、オートメーションコンピュータおよび/またはセンサ/アクチュエータ層のデバイス)は、ポイントツーポイント接続またはバスシステムを介して、互いに連結されていてもよい。それゆえ、フィールドバスシステムが使用されることが望ましい。
【0027】
オートメーションネットワークは、通常、階層的に構成され、マスタースレーブの原則に従って動作する。マスターサブスクライバは、制御層に割り当てられており、オートメーションネットワークにおける通信リンクにアクセスするおよびデータ送信を判定する権限を有するアクティブサブスクライバである。スレーブサブスクライバは、センサ/アクチュエータ層に属する、パッシブサブスクライバである。スレーブサブスクライバは、通信リンクにアクセスするための独立した権限を持たない。すなわち、スレーブサブスクライバは、受信したデータに応答し、マスターサブスクライバによる要求に応じて、データをマスターサブスクライバに送信するのみでよい。
【0028】
図1は、オートメーションネットワークの基本構造を概略的に示した図である。オートメーションネットワークは、制御層を形成する2つのマスターサブスクライバM、SMと、センサ/アクチュエータ層を表す8つのスレーブサブスクライバS1〜S4、SS1〜SS4と、を含んでいる。上記オートメーションネットワークにおける全てのサブスクライバはシリアルバス1によって互いに接続され、シリアルバス1によってサブスクライバ間のデータ交換が行われる。サブスクライバ間のデータ交換は、通常、マスターサブスクライバM、SMにより、制御データおよびユーザデータからなるデータパケットの形にまとめられる。データパケット内の制御データはアドレス情報を含んでいる。それゆえ、例えば、イーサネット(登録商標)プロトコルに基づいたデータ交換が行われる。イーサネットプロトコルでは、最大1500バイトの長さのデータパケットを毎秒100メガビットの伝送レートで伝送することが可能である。
【0029】
サブスクライバの不具合、および/または、機能的エラーの場合のオートメーションネットワークが、人間および環境を危険に晒さないことを保護することは、オートメーションネットワークにとって必須の要件である。したがって、危険の程度は、本質的にオートメーションネットワークにおけるサブスクライバのタイプおよび機能、並びに制御プログラムの信頼性次第である。人間および/または環境を危険から守るために、オートメーションネットワークにおける危険サブスクライバは、適切な保安装置を使用することによって操作され、維持されるのみである。さらに、通常の制御機能とは別に、安全機能がオートメーションネットワークの制御層内で実行されなければならない。安全機能は、オートメーションネットワークにおける安全関連のサブスクライバに不具合が発生した場合に、オートメーションネットワークが安全状態に切り替わることを確実にする。そのような安全状態の一例としては、オートメーションネットワークの緊急スイッチを切ることが挙げられる。
【0030】
オートメーションネットワークのサブスクライバおよび/または制御プログラムから生じた危険を分類可能にするために、危険アナリシスを実行することが必須である。複数の規格は、安全関連のオートメーションネットワークのデザイン、統合性および妥当性の要件および提案を含んで存在している。したがって、最もよく使用された規格は、欧州規格EN954−1“機械類の安全性−制御システムの安全関連部”であり、この規格は、使用されたエネルギーの形態に関わらず全ての安全関連の制御部に当てはまる。また、この規格は、それぞれ必要な安全関連のキャパシティを分類するためのカテゴリを含んでいる。しかし、欧州規格EN954−1は、定性的アプローチを提供するのみであり、それによって、例えば、オートメーションネットワークにおける個々のサブスクライバの不具合の可能性が考慮されない。
【0031】
確かな危険アセスメント、とりわけオートメーションネットワークを可能にするこのような定量的アプローチは、最新の規格EN ISO13849−1およびIEC/EN62061に含まれる。これらの規格は、異なる安全関連のキャパシティを分類するための安全ステップを定義している。この安全ステップは、一時間当たりのオートメーションネットワークの危険側故障の異なる平均確率値を表す。EN ISO13849−1およびIEC/EN62061規格によれば、安全ステップを判定するために、サブスクライバに固有の安全パラメータを検出する必要がある。サブスクライバのこのような安全パラメータは、故障までの平均時間(MTTFd)、一時間当たりの危険側故障確率(PFH)、診断率(DCd)、安全側故障比率(SFFd)、使用時間(TM)、共通原因故障(CCF)、および規格に含まれる特定のその他のパラメータである。
【0032】
サブスクライバに固有の安全パラメータとは別に、オートメーションネットワークにおけるサブスクライバのデータおよび処理に固有のリンクを検出するための、オートメーションネットワークの安全ステップを判定することが更に求められている。上記規格に規定されたアルゴリズムを用いて、安全ステップがその後判定されるであろう。
【0033】
一般に、オートメーションネットワークにおける全てのサブスクライバが安全関連であるとは限らない。加えて、オートメーションネットワークにおける安全機能の数は、通常、安全と関連しない制御機能の数より少ない。したがって、安全領域は、通常、オートメーションネットワーク内で定義される。図1に示されたオートメーションネットワークにおいて、安全領域は、安全関連マスターサブスクライバSM(以下では、セーフティマスターSMとも称する)、および、安全関連スレーブサブスクライバSS1〜SS4によって形成される。図1のオートメーションネットワークにおける更に最新の安全と関連しないスレーブサブスクライバS1〜S4は、第2のマスターサブスクライバM(以下では、標準マスターMとも称する)によって制御される。
【0034】
個々のマスターサブスクライバを提供することによる安全と関連しない制御機能と安全機能とを区別する代わりに、図1に示されているオートメーションネットワークに提供されている通り、個々のマスターサブスクライバ上の安全と関連しない制御機能と同じように安全機能も実行することが可能である。しかしながら、それによって、安全と関連しない制御機能が安全機能に影響を及ぼさないことを保障する必要がある。
【0035】
適用規格に従って判定されるオートメーションネットワークにおける安全ステップを用いた既知の安全ツールの場合、オートメーションネットワークにおける安全機能を実行するために、サブスクライバのデータおよび処理に固有のリンクを個々に入力することが要求される。さらに、既知の安全ツールについては、安全ステップを評価している時に、考慮されたサブスクライバに固有の安全パラメータが、ソフトウェアライブラリから選ばれる。新しい安全関連のサブスクライバを考慮に入れること、および/または、サブスクライバのうち技術的またはソフトウェア固有の調整に基づいたサブスクライバに固有の安全パラメータの変更を検出することを可能にするために、連続的にソフトウェアライブラリのアップデートが必要である。オートメーションネットワークにおける安全ステップの判定に関与した時間と労力は、本発明によって提供される安全マネージャ2を用いることによってかなり削減される。
【0036】
図1に示すようにオートメーションネットワークにおいては、安全マネージャ2は、安全マスターSMに組み込まれている。これに関して、安全マネージャ2は、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。図1に示す実施形態の代わりとして、安全マネージャ2は、例えば、標準マスターMといった、オートメーションネットワークの好ましいその他のサブスクライバにて提供されてもよい。一方、安全マネージャ2は、オートメーションネットワークにおける独立したサブスクライバとして構成されていてもよい。
【0037】
安全マネージャ2の構成は、図2において、概念的に示される。安全マネージャの個々のコンポーネントも同様に、ハードウェアとして構成されてもよいし、ソフトウェアとして構成されてもよい。安全マネージャ2は、3つのインターフェースを含んでいる。3つのインターフェースとは、安全マネージャをオートメーションシステムに接続するためのバスインターフェース21、データインターフェース22、および、マンマシンインターフェース23である。安全マネージャ2がオートメーションネットワークにおける独立したサブスクライバではなく、マスターサブスクライバの一部またはネットワークにおけるその他のサブスクライバの一部である場合、安全マネージャは、上述したホストサブスクライバのインターフェースに相当するものを代わりに用いる。
【0038】
安全マネージャ2は、例えば、データインターフェース22を介してオートメーションタスクを実行するための構成ツール4によって判定されたオートメーションネットワークの構成をインポートする。データインターフェース22に接続されている構成検出器24において、インポートされたシステム構成は、標準形のオートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを検出するシステムモデルに変換される。あるいは、構成検出器24は、同様に、オートメーションネットワークのテストモードにおいて、独立して、オートメーションネットワークにおける安全関連のサブスクライバのデータおよび処理に固有のリンクを表すシステムモジュールを検出する。このために、構成検出器24は、例えば、テストデータを用いて、オートメーションタスクが実行される間、安全関連のサブスクライバの入力および出力の論理的リンクを検出する。さらに、構成検出器24は、これらからの安全関連のサブスクライバのデータおよび処理に固有のリンクを検出しているとき、安全マスターSMからのセーフティコントロールを読み出すことを可能にする。
【0039】
安全マネージャ2は、更に、サブスクライバに固有の安全パラメータを検出するためのパラメータ検出器25を含んでいる。これらのサブスクライバに固有の安全パラメータは、外部データベース5からデータインターフェース22を介してパラメータ検出器25によって読み込まれる。または、これらのサブスクライバに固有の安全パラメータは、バスインターフェース21を介してオートメーションネットワークにおける安全関連のサブスクライバから直接読み出される。パラメータ検出器25は、アップデートされたサブスクライバに固有の安全パラメータを安全関連のサブスクライバおよび/または外部データベース5に戻すことを更に可能とする。
【0040】
図1に示すように、各安全関連のサブスクライバSS1〜SS4は、パラメータメモリ3を含んでいる。パラメータメモリ3には、サブスクライバに固有の安全パラメータが格納されている。上記パラメータメモリ3は、書込み禁止であり、識別子が備わっている。識別子としては、例えばサブスクライバに固有のパラメータのチェックサムが用いられている。個々のパラメータメモリが割り当てられた識別子は、更にパラメータ検出器25に格納される。これらの識別子を用いて、パラメータ検出器25およびオートメーションネットワークにおける個々のサブスクライバ間のセーフデータ通信は、サブスクライバに固有の安全パラメータを交換するために実行される。
【0041】
安全マネージャ2において、構成検出器24およびパラメータ検出器25は、オートメーションネットワークにおける安全ステップを評価するために、さらに、評価器26に接続される。評価器26は、提供された安全規格を考慮に入れた、提供されたアルゴリズムを用いて安全ステップを判定することを実行する。したがって、それぞれ用いられているアルゴリズムは、ユーザによって、マンマシンインターフェース23を介して、接続された入力/復元ユニット6を用いて、選択される。しかしながら、評価器26に使用されるアルゴリズムを自動的に提供することも可能である。一方、検出された安全ステップは、入力/復元ユニット6に対するメッセージの形式でマンマシンインターフェース23を介して評価器に出力する。
【0042】
オートメーションネットワークにおける安全ステップを評価するために、安全マネージャ2は、さまざまなモードで操作される。したがって、第1の動作モードにおいて、安全マネージャ2は、それぞれの安全ステップのデザインを前もって判定するためにシステムデザインの枠組みの中で用いられる。これに関連して、システム構成およびサブスクライバに固有の安全パラメータは、データインターフェース22を介して構成ツール4および/または外部データベース5から読み出される。
【0043】
オートメーションシステムが動作しているとき、定期的に、または、例えば、安全マネージャ2における第2の動作モードにおけるオートメーションネットワークの初期設定期間内で、安全ステップの再評価が可能である。安全マネージャ動作モードにおいて、パラメータ検出器25は、その後、安全関連のサブスクライバのパラメータメモリ3からサブスクライバに固有のパラメータを出力する。更に、構成検出器24は、オートメーションネットワークに接続された構成および/または安全マスターの制御プログラムから、データおよび処理に固有の構成を直接検出する。
【0044】
本発明における安全マネージャおよび本発明における安全ステップ評価方法を用いることによって、とりわけ、オートメーションネットワークにおいて変更が実行された後(例えば、安全関連のサブスクライバと更に接続した後)に、簡単な方法で、オートメーションネットワークにおける安全ステップが、自動的に判定可能となる。
【特許請求の範囲】
【請求項1】
複数のサブスクライバを有したオートメーションネットワークにおける安全ステップを判定する判定方法において、
構成検出器(24)によって、上記オートメーションネットワークにおける上記複数のサブスクライバ間のデータおよび処理に固有の複数のリンクを自動的に判定する第1判定ステップと、
上記サブスクライバに固有の複数の安全パラメータを判定する第2判定ステップと、
上記オートメーションネットワークにおける上記複数のサブスクライバの上記判定されたデータおよび処理に固有の複数のリンクと、上記判定されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて、上記オートメーションネットワークにおける上記安全ステップを評価する評価ステップと、を含んでいることを特徴とする判定方法。
【請求項2】
上記アルゴリズムは、安全関連の規格を考慮に入れることを特徴とする請求項1に記載の判定方法。
【請求項3】
上記サブスクライバに固有の複数の安全パラメータは、パラメータ検出器(25)によって、自動的に判定されることを特徴とする請求項1または2に記載の判定方法。
【請求項4】
上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、上記パラメータ検出器(25)を用いて上記サブスクライバによって読み出されることを特徴とする請求項3に記載の判定方法。
【請求項5】
上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクは、オートメーションタスクを実行するために、上記オートメーションネットワークの上記あらかじめ定められた構成から判定されることを特徴とする請求項1から4の何れか1項に記載の判定方法。
【請求項6】
上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクを判定する上記第1判定ステップにおいて、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクは、上記オートメーションタスクを実行するために判定されることを特徴とする請求項5に記載の判定方法。
【請求項7】
プログラムコード手段が含まれるコンピュータプログラム製品であって、上記コンピュータプログラム製品が処理ユニット上で実行される場合に、上記プログラムコード手段が、請求項1から6の何れか1項に記載の判定方法を実行することを特徴とするコンピュータプログラム製品。
【請求項8】
コンピュータ読み取り可能なデータ記憶媒体に格納されていることを特徴とする請求項7に記載のコンピュータプログラム製品。
【請求項9】
複数のサブスクライバを含むオートメーションネットワークに対する安全マネージャであって、
オートメーションネットワーク構成から上記オートメーションネットワークにおける上記複数のサブスクライバのデータおよび処理に固有の複数のリンクを自動的に検出するための構成検出器(24)と、
サブスクライバに固有の複数の安全パラメータを検出するためのパラメータ検出器(25)と、
上記オートメーションネットワークにおける上記複数のサブスクライバの上記判定されたデータおよび処理に固有の複数のリンクを、上記判定されたサブスクライバに固有の複数の安全パラメータに関連付けるアルゴリズムを用いて上記オートメーションネットワークの上記安全ステップを評価するための評価器(26)と、を備えていることを特徴とする安全マネージャ。
【請求項10】
上記複数のサブスクライバの上記データおよび処理に固有の複数のリンクを自動的に検出するための構成検出器(24)は、上記オートメーションタスクを実行するために、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクを自動的に検出するように構成されていることを特徴とする請求項9に記載の安全マネージャ。
【請求項11】
上記パラメータ検出器(25)は、上記サブスクライバに固有の複数の安全パラメータを自動的に検出することを特徴とする請求項9または10に記載の安全マネージャ。
【請求項12】
請求項9から11の何れか1項に記載の安全マネージャ(2)を上記複数のサブスクライバとともに含むオートメーションネットワークであって、
上記複数のサブスクライバは、サブスクライバに固有の割り当てられた複数の安全パラメータが格納されるパラメータメモリ(3)を含み、
上記複数のサブスクライバは、要求により、上記複数の安全パラメータを上記パラメータ検出器(25)に送信するように構成されていることを特徴とするオートメーションネットワーク。
【請求項1】
複数のサブスクライバを有したオートメーションネットワークにおける安全ステップを判定する判定方法において、
構成検出器(24)によって、上記オートメーションネットワークにおける上記複数のサブスクライバ間のデータおよび処理に固有の複数のリンクを自動的に判定する第1判定ステップと、
上記サブスクライバに固有の複数の安全パラメータを判定する第2判定ステップと、
上記オートメーションネットワークにおける上記複数のサブスクライバの上記判定されたデータおよび処理に固有の複数のリンクと、上記判定されたサブスクライバに固有の複数の安全パラメータとを関連付けるアルゴリズムを用いて、上記オートメーションネットワークにおける上記安全ステップを評価する評価ステップと、を含んでいることを特徴とする判定方法。
【請求項2】
上記アルゴリズムは、安全関連の規格を考慮に入れることを特徴とする請求項1に記載の判定方法。
【請求項3】
上記サブスクライバに固有の複数の安全パラメータは、パラメータ検出器(25)によって、自動的に判定されることを特徴とする請求項1または2に記載の判定方法。
【請求項4】
上記サブスクライバに固有の複数の安全パラメータは、上記各サブスクライバに格納され、上記パラメータ検出器(25)を用いて上記サブスクライバによって読み出されることを特徴とする請求項3に記載の判定方法。
【請求項5】
上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクは、オートメーションタスクを実行するために、上記オートメーションネットワークの上記あらかじめ定められた構成から判定されることを特徴とする請求項1から4の何れか1項に記載の判定方法。
【請求項6】
上記複数のサブスクライバ間の上記データおよび処理に固有の複数のリンクを判定する上記第1判定ステップにおいて、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクは、上記オートメーションタスクを実行するために判定されることを特徴とする請求項5に記載の判定方法。
【請求項7】
プログラムコード手段が含まれるコンピュータプログラム製品であって、上記コンピュータプログラム製品が処理ユニット上で実行される場合に、上記プログラムコード手段が、請求項1から6の何れか1項に記載の判定方法を実行することを特徴とするコンピュータプログラム製品。
【請求項8】
コンピュータ読み取り可能なデータ記憶媒体に格納されていることを特徴とする請求項7に記載のコンピュータプログラム製品。
【請求項9】
複数のサブスクライバを含むオートメーションネットワークに対する安全マネージャであって、
オートメーションネットワーク構成から上記オートメーションネットワークにおける上記複数のサブスクライバのデータおよび処理に固有の複数のリンクを自動的に検出するための構成検出器(24)と、
サブスクライバに固有の複数の安全パラメータを検出するためのパラメータ検出器(25)と、
上記オートメーションネットワークにおける上記複数のサブスクライバの上記判定されたデータおよび処理に固有の複数のリンクを、上記判定されたサブスクライバに固有の複数の安全パラメータに関連付けるアルゴリズムを用いて上記オートメーションネットワークの上記安全ステップを評価するための評価器(26)と、を備えていることを特徴とする安全マネージャ。
【請求項10】
上記複数のサブスクライバの上記データおよび処理に固有の複数のリンクを自動的に検出するための構成検出器(24)は、上記オートメーションタスクを実行するために、上記複数のサブスクライバにおける複数の入力および複数の出力の上記複数の論理的リンクを自動的に検出するように構成されていることを特徴とする請求項9に記載の安全マネージャ。
【請求項11】
上記パラメータ検出器(25)は、上記サブスクライバに固有の複数の安全パラメータを自動的に検出することを特徴とする請求項9または10に記載の安全マネージャ。
【請求項12】
請求項9から11の何れか1項に記載の安全マネージャ(2)を上記複数のサブスクライバとともに含むオートメーションネットワークであって、
上記複数のサブスクライバは、サブスクライバに固有の割り当てられた複数の安全パラメータが格納されるパラメータメモリ(3)を含み、
上記複数のサブスクライバは、要求により、上記複数の安全パラメータを上記パラメータ検出器(25)に送信するように構成されていることを特徴とするオートメーションネットワーク。
【図1】
【図2】
【図2】
【公表番号】特表2012−510194(P2012−510194A)
【公表日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願番号】特願2011−536848(P2011−536848)
【出願日】平成21年11月18日(2009.11.18)
【国際出願番号】PCT/EP2009/065370
【国際公開番号】WO2010/057908
【国際公開日】平成22年5月27日(2010.5.27)
【出願人】(505344063)ベックホフ オートメーション ゲーエムベーハー (22)
【Fターム(参考)】
【公表日】平成24年4月26日(2012.4.26)
【国際特許分類】
【出願日】平成21年11月18日(2009.11.18)
【国際出願番号】PCT/EP2009/065370
【国際公開番号】WO2010/057908
【国際公開日】平成22年5月27日(2010.5.27)
【出願人】(505344063)ベックホフ オートメーション ゲーエムベーハー (22)
【Fターム(参考)】
[ Back to top ]