Sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad.
Sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad,
con al menos un primer sensor (S1), que emite una primera magnitud de sensor (e, e1), y con un segundo sensor (S2), que emite una segunda magnitud de sensor (eR, e2), con un ordenador (MC), y con un comparador (V) independiente del ordenador (MC), mediante el que el ordenador (MC) calcula a partir de la primera magnitud de sensor (e, e1) mediante una primera función (f1) una magnitud de salida (a), mediante el que el ordenador calcula a partir de la magnitud de salida (a) mediante una segunda función (f2) una magnitud de comparación (e’, v, v1), y mediante el que la magnitud de comparación (e’, v, v1) y la segunda magnitud de sensor (eR, e2), están presentes en la entrada del comparador (V),
caracterizado porque
la segunda magnitud de sensor (e2) no es una magnitud de entrada del ordenador (MC), porque la segunda magnitud de sensor (e2) y la primera magnitud de sensor (e1) se encuentran en una relación dada por una tercera función (g) (e2≥g (e1) ), no siendo la tercera función (g) la función de identidad, porque la segunda función (f2) se da mediante una concatenación de la tercera función (g) con la primera función ( ) invertida (f2 ≥ g t ), y porque el comparador (V) compara la magnitud de comparación (v) con la segunda magnitud de sensor (e2) .
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2009/050164.
Solicitante: LEOPOLD KOSTAL GMBH & CO. KG.
Nacionalidad solicitante: Alemania.
Dirección: AN DER BELLMEREI 10 58513 LUDENSCHEID ALEMANIA.
Inventor/es: EDEL,JAN.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G05B19/042 FISICA. › G05 CONTROL; REGULACION. › G05B SISTEMAS DE CONTROL O DE REGULACION EN GENERAL; ELEMENTOS FUNCIONALES DE TALES SISTEMAS; DISPOSITIVOS DE MONITORIZACION O ENSAYOS DE TALES SISTEMAS O ELEMENTOS (dispositivos de maniobra por presión de fluido o sistemas que funcionan por medio de fluidos en general F15B; dispositivos obturadores en sí F16K; caracterizados por particularidades mecánicas solamente G05G; elementos sensibles, ver las subclases apropiadas, p. ej. G12B, las subclases de G01, H01; elementos de corrección, ver las subclases apropiadas, p. ej. H02K). › G05B 19/00 Sistemas de control por programa (aplicaciones específicas, ver los lugares apropiados, p. ej. A47L 15/46; relojes que implican medios anejos o incorporados que permiten hacer funcionar un dispositivo cualquiera en un momento elegido de antemano o después de un intervalo de tiempo predeterminado G04C 23/00; marcado o lectura de soportes de registro con una información digital G06K; registro de información G11; interruptores horarios o de programa horario que se paran automáticamente cuando el programa se ha realizado H01H 43/00). › que utilizan procesadores digitales (G05B 19/05 tiene prioridad).
- G05B9/03 G05B […] › G05B 9/00 Disposiciones de seguridad (G05B 7/00 tiene prioridad; disposiciones de seguridad en sistemas de control por programa G05B 19/048, G05B 19/406; válvulas de seguridad F16K 17/00; circuitos de protección de seguridad en general H02H). › con un bucle de canal múltiple, es decir, sistemas de control redundantes.
PDF original: ES-2392749_T3.pdf
Fragmento de la descripción:
Sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad
La invención se refiere a un sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad según el preámbulo de la reivindicación 1 ó 2.
La IEC 61508 es una norma internacional para la creación de sistemas eléctricos, electrónicos y electrónicos programables, que ejecutan una función de seguridad. La publica la Comisión Electrotécnica Internacional (International Electrotechnical Commission (IEC) ) . La IEC 61508 establece para el nivel de integración de seguridad 3 determinados valores mínimos de hardware, por ejemplo para FIT (failure in time, fallo en el tiempo) y SFF (safe failure fraction, fracción de fallo seguro) que por regla general sólo pueden conseguirse mediante medidas de software adicionales. En particular la prueba para el aseguramiento frente a errores de cálculo de la CPU constituye una parte importante de la prueba total de la integridad de seguridad.
Hasta ahora se utilizan dos chips de microcontrolador diferentes o al menos dos trayectorias de cálculo que discurren en paralelo en un chip para el aseguramiento frente a errores de cálculo. A veces se emplean también trayectorias de cálculo que discurren de manera invertida, que se describen por ejemplo en la publicación alemana para información de solicitud de patente DE 42 19 457 A1. Una solución con dos chips resulta cara en el campo de la producción en masa y mediante las soluciones anteriores la seguridad funcional en un chip sólo pudo comprobarse de forma limitada o sólo con hardware adicional, ya que la CPU en caso de errores internos en las trayectorias de cálculo que discurren de forma paralela o invertida calcula igual de incorrectamente. Por tanto, dado el caso errores de CPU pueden quedar sin descubrir. Falta la prueba simple de que la CPU no haya calculado de la misma forma incorrecta en ambas trayectorias de cálculo y que para la comparación de los resultados están presentes dos resultados idénticos pero incorrectos o que en caso de trayectorias de cálculo invertidas la CPU por ejemplo omite ambas trayectorias de cálculo por error y se comparan directamente dos magnitudes de entrada.
El objetivo de la invención es crear un sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad que consiga de forma demostrable una integridad de seguridad especialmente elevada de la CPU sin depender de una prueba CPU laboriosa separada.
Este objetivo se soluciona según la invención en cada caso mediante las características identificadoras de la reivindicación 1 y de la reivindicación 2.
Según la invención está previsto que al sistema de ordenador pertenezcan al menos dos sensores que en un estado de sistema que va a detectarse emitan magnitudes de sensor diferentes en cuanto a la calidad o al menos en cuanto a la cantidad. Se supone que existe una relación funcional conocida entre las magnitudes de salida de ambos sensores.
La magnitud de sensor de un primer sensor está presente en una entrada de un ordenador que a partir de la misma calcula una magnitud de salida que está disponible para fines de uso práctico, por ejemplo como magnitud de control para un elemento de ajuste. A partir de esta magnitud de salida se calcula en un paso adicional una magnitud de comparación que corresponde a la magnitud de sensor esperada del segundo sensor. Esta magnitud de comparación se transmite del ordenador a un comparador externo que compara la magnitud de comparación con la magnitud de sensor real del segundo sensor totalmente desconocida para el ordenador para comprobar una posible coincidencia. Un resultado de comparación positivo es a este respecto un signo de la integridad de seguridad de la CPU y de un correcto proceso de cálculo de la magnitud de salida y de la magnitud de comparación. Al mismo tiempo se mantiene la prueba conocida por el estado de la técnica con respecto a la correcta función de sensores implicados que en principio se proporciona por un comparador.
La idea en que se basa la invención es por tanto recurrir a sensores diferentes en cuanto a la calidad o también sólo en cuanto a la cantidad que proporcionen diferentes magnitudes de medición o al menos diferentes valores y de este modo producen en cualquier momento diferentes niveles de datos durante el procesamiento, y concretamente de forma independiente del algoritmo utilizado (paralelo/invertido/inverso/complementario/de cálculo retroactivo) .
En ningún momento la CPU es capaz de ofrecer la magnitud de comparación de otra forma (por ejemplo mediante copia de la primera magnitud de sensor) que no sea mediante el resultado de un cálculo que se ha realizado correctamente. Para demostrar la integridad de seguridad de CPU ahora tiene una importancia fundamental una comparación de la magnitud de comparación y de la segunda magnitud de sensor. Se comparan (dado el caso en una banda de tolerancia que compensa las posibles desviaciones como por ejemplo imprecisiones de sensor) la magnitud de comparación y el valor de una fuente de datos independiente adicional desconocido hasta ahora para el sistema de ordenador. Este valor se da por la segunda magnitud de sensor.
Dado que la segunda magnitud de sensor sólo está presente en estado crudo, esto es, de forma que no ha sido tratada por la CPU y absolutamente sin procesar, la comparación proporciona en este punto un resultado que depende únicamente de la integridad de CPU del sistema de ordenador (chip) . Se supone en este caso la ausencia de errores de los dos sensores, o de sus propias CPU, que sólo puede asegurarse y comprobarse mediante medidas independientes.
Configuraciones y perfeccionamientos ventajosos de la invención se deducen de las reivindicaciones dependientes y de la descripción a continuación de un ejemplo de realización mediante el dibujo. Muestran
las figuras 1 y 2 en cada caso un ejemplo de realización de un sistema de ordenador según la invención,
las figuras 3 y 4 en cada caso un ejemplo de realización de un sistema de ordenador según el estado de la técnica,
la figura 5 un ejemplo de aplicación para un sistema de ordenador.
La figura 3 muestra un sistema de ordenador según el estado de la técnica. Se representa en este caso una representación muy simplificada del sistema de ordenador descrito en la figura 3 de la publicación alemana para información de solicitud de patente DE 42 19 457 A1. A este respecto se representan sólo los componentes necesarios para explicar el problema que lleva a la invención.
En la figura 3 se puede distinguir un elemento de cálculo de un sólo chip, esto es, un microordenador o microcontrolador, que a continuación se denomina abreviadamente ordenador MC. El ordenador MC recibe las magnitudes de sensor (e, eR) desde dos sensores (S1, S2) . Se supone que en este caso las magnitudes de sensor (e, eR) son valores digitales, pudiendo, no obstante, proporcionar los sensores (S1, S2) en principio también señales analógicas que se digitalizan dentro del ordenador MC.
A partir de la magnitud de sensor e del primer sensor S1 el ordenador MC calcula mediante una función f1 una magnitud de salida a que se emite en una salida del ordenador MC, y que puede utilizarse por ejemplo para el control de un elemento de ajuste no representado. En un paso adicional el ordenador MC calcula mediante una función f2 a partir de la magnitud de salida a una magnitud de comparación e’. Dado que el documento DE 42 19
f 1
457 A1 describe la función f2 como la función invertida con respecto a la primera magnitud de entrada e con respecto a la primera función f1, se da, en caso de una correcta función del ordenador MC, una magnitud de comparación e’ que coincide con la magnitud de entrada original e del primer sensor S1.
Esto puede comprobarse en el interior del ordenador mediante la comparación (e = e’ ?) de las magnitudes e y e’. Además se propone una comprobación de las magnitudes de sensor primera y segunda con respecto a una posible coincidencia (e = eR ?) . Se supone por tanto que los sensores (S1, S2) denominados redundantes emiten magnitudes de sensor (e, eR) de la misma cantidad.
Dado que un ordenador MC que no funciona correctamente en principio también puede proporcionar comparaciones incorrectas está previsto además un comparador V externo con respecto al ordenador MC. Este comparador... [Seguir leyendo]
Reivindicaciones:
1. Sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad, con al menos un primer sensor (S1) , que emite una primera magnitud de sensor (e, e1) , y con un segundo sensor (S2) , que emite una segunda magnitud de sensor (eR, e2) , con un ordenador (MC) , y con un comparador (V) independiente del ordenador (MC) , mediante el que el ordenador (MC) calcula a partir de la primera magnitud de sensor (e, e1) mediante una primera función (f1) una magnitud de salida (a) , mediante el que el ordenador calcula a partir de la magnitud de salida (a) mediante una segunda función (f2) una magnitud de comparación (e’, v, v1) , y mediante el que la magnitud de comparación (e’, v, v1) y la segunda magnitud de sensor (eR, e2) , están presentes en la entrada del comparador (V) ,
caracterizado porque
la segunda magnitud de sensor (e2) no es una magnitud de entrada del ordenador (MC) , porque la segunda magnitud de sensor (e2) y la primera magnitud de sensor (e1) se encuentran en una relación dada por una tercera función (g) (e2=g (e1) ) , no siendo la tercera función (g) la función de identidad, porque la segunda función (f2) se da mediante una concatenación de la tercera función (g) con la primera
f 1 f 1
función ( ) invertida (f2 = g t ) , y porque el comparador (V) compara la magnitud de comparación (v) con la segunda magnitud de sensor (e2) .
2. Sistema de ordenador para la evaluación de magnitudes de sensor críticas para la seguridad, con al menos un primer sensor (S1) , que emite una primera magnitud de sensor (e, e1) , y con un segundo sensor (S2) , que emite una segunda magnitud de sensor (eR, e2) , con un ordenador (MC) , y con un comparador (V) independiente del ordenador (MC) , mediante el que el ordenador (MC) calcula a partir de la primera magnitud de sensor (e, e1) mediante una primera función (f1) una magnitud de salida (a) , mediante el que el ordenador calcula a partir de la magnitud de salida (a) mediante una segunda función (f2) una magnitud de comparación (e’, v, v1) , y mediante el que la magnitud de comparación (e’, v, v1) y la segunda magnitud de sensor (eR, e2) están presentes en la entrada del comparador (V) ,
caracterizado porque
la segunda magnitud de sensor (e2) no es una magnitud de entrada del ordenador (MC) , porque la relación entre la segunda magnitud de sensor (e2) y la primera magnitud de sensor (e1) puede representarse mediante dos funciones concatenadas entre sí (h t g) , no dándose mediante la función de identidad ninguna de las funciones concatenadas entre sí (h, g) y tampoco la relación (h t g) representada mediante la concatenación entre las magnitudes de sensor (e1, e2) , porque el ordenador (MC) utiliza una de las funciones concatenadas (g) para calcular una primera magnitud de comparación (v1) , y porque el comparador (V) calcula a partir de la primera magnitud de comparación (v1) mediante la otra de las funciones concatenadas entre sí (h) una segunda magnitud de comparación (v2) , y la utiliza para compararla con la segunda magnitud de sensor (e2) .
3. Sistema de ordenador según la reivindicación 1, caracterizado porque la segunda magnitud de sensor (e2) se diferencia de la primera magnitud de sensor (e1) por una constante aditiva (K) .
4. Sistema de ordenador según la reivindicación 1, caracterizado porque la segunda magnitud de sensor (e2) se diferencia de la primera magnitud de sensor (e1) por un factor constante (k) .
5. Sistema de ordenador según la reivindicación 1, caracterizado porque el primer sensor (S1) y el segundo sensor (S2) detectan diferentes magnitudes físicas.
Patentes similares o relacionadas:
Procedimiento de optimización de la energía suministrada a una pluralidad de equipos distribuidos en un espacio, del 29 de Julio de 2020, de SCHNEIDER ELECTRIC INDUSTRIES SAS: Procedimiento de optimización de la energía total suministrada a una pluralidad de equipos de confort distribuidos en un espacio que consta de un módulo […]
Procedimiento para asociar automáticamente un módulo a un inversor correspondiente, y módulo y sistema de generación de energía relacionados, del 1 de Julio de 2020, de MARICI Holdings The Netherlands B.V: Procedimiento para asociar automáticamente un módulo a un inversor (10a) correspondiente de una pluralidad de inversores (10a, 10b, 10c) que están […]
Aparato y método para controlar una señal de entrada, del 1 de Julio de 2020, de LSIS Co., Ltd: Un aparato para controlar una senal de manera que una senal de entrada del PLC (Controlador Logico Programable) se iguale a una senal de entrada de referencia (uc), caracterizado […]
Procedimiento y disposición para el control remoto de dispositivos de campo de al menos un sistema de automatización, del 17 de Junio de 2020, de SCHNEIDER ELECTRIC INDUSTRIES SAS: Procedimiento para el control remoto de al menos un dispositivo de campo (D1... Dn) en al menos un sistema de automatización (P1... Pk) con una unidad de control (BG); […]
Dispositivo de campo y método de suministro de información, del 3 de Junio de 2020, de Yokogawa Electric Corporation: Dispositivo de campo , que comprende: una pluralidad de tipos de sensores (30a a 30e); al menos un convertidor (20a a 20e) configurado para adquirir resultados […]
Procedimiento para el control de un accionamiento, del 20 de Mayo de 2020, de Siemens Energy Global GmbH & Co. KG: Procedimiento para el control de un accionamiento con al menos un convertidor , al menos un motor y un control de un accionamiento asociado; en donde está […]
Sistema y método de control en bucle cerrado de firma de objetivo, del 6 de Mayo de 2020, de EMHART GLASS S.A.: Un sistema para ajustar automáticamente la regulación temporal de sucesos de operaciones en cavidades de una sección de una máquina de secciones individuales, […]
Montaje compuesto por un sistema de desbloqueo de emergencia y un sistema de diagnóstico para verificar el funcionamiento del sistema de desbloqueo de emergencia, del 6 de Mayo de 2020, de KLAW PRODUCTS LIMITED: Un montaje para transferir materia entre los primer y segundo objetos separados por una distancia, siendo móviles uno o ambos de los primer y segundo objetos para aumentar […]