DE10035174A1 - Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen - Google Patents

Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen

Info

Publication number
DE10035174A1
DE10035174A1 DE10035174A DE10035174A DE10035174A1 DE 10035174 A1 DE10035174 A1 DE 10035174A1 DE 10035174 A DE10035174 A DE 10035174A DE 10035174 A DE10035174 A DE 10035174A DE 10035174 A1 DE10035174 A1 DE 10035174A1
Authority
DE
Germany
Prior art keywords
data processing
signal
channel
test
channels
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10035174A
Other languages
English (en)
Inventor
Joachim Vaeth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE10035174A priority Critical patent/DE10035174A1/de
Priority to DE50100806T priority patent/DE50100806D1/de
Priority to AT01943110T priority patent/ATE252249T1/de
Priority to EP01943110A priority patent/EP1282859B1/de
Priority to PCT/DE2001/001885 priority patent/WO2001088711A1/de
Priority to ES01943110T priority patent/ES2208609T3/es
Publication of DE10035174A1 publication Critical patent/DE10035174A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/221Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test buses, lines or interfaces, e.g. stuck-at or open line faults
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24174One channel is used for communication while other is tested, in redundant I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24197Dual analog output ports, second takes over if first fails
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media

Abstract

Die Erfindung richtet sich auf einen Peripheriebaustein von hoher Fehlersicherheit für speicherprogrammierbare Steuerungen, insbesondere Analogeingabe-Schaltung, mit wenigstens zwei weitgehend identisch aufgebauten Kanälen zur parallelen Signalein- und/oder -ausgabe, die im Bereich der Peripherieschnittstelle parallelgeschalten und/oder parallelschaltbar sind, und mit wenigstens einer Datenverarbeitungs-Baugruppe (muP oder muC) zum Testen der Kanäle ohne Unterbrechung des Datenflusses.

Description

Die Erfindung richtet sich auf einen Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerun­ gen, insbesondere eine Analogeingabe-Schaltung.
Wenn in ständig steigendem Umfang industrielle und sonstige technisch komplizierte Anlage durch Einsatz speicherprogram­ mierbarer Steuerungen automatisiert werden, so stand hierbei ursprünglich wohl der Gedanke der Übertragung einfacher Tä­ tigkeiten Pate wie bspw. die Aktivierung verschiedener Bear­ beitungsschritte eines seriellen Bearbeitungsprozesses, sowie einfache Regelungen, z. B. Füllstandsregelungen oder Tempera­ turregelungen. Durch den Aufbau von Regelkreisen war eine Rückkoppelung von Prozesssignalen erfolgt, und diese Tendenz führte schließlich zur Übertragung weitreichender Überwa­ chungsaufgaben auf speicherprogrammierbare Steuerungen. Hier­ bei stellt sich jedoch heraus, dass bei der Delegierung der­ artiger Aufgaben von einer Überwachungsperson auf einen Auto­ maten eine für Überwachungsaufgaben wichtige, menschliche Ei­ genschaft von größter Bedeutung ist, nämlich die Verantwor­ tung, bei dem Betrieb einer Anlage das Auftreten von Unfällen und sonstigen Schäden möglichst zu vermeiden sowie eine höchstmögliche Sicherheit für Menschen, Maschinen und Umwelt zu gewährleisten. Die regelmäßig wiederkehrenden Berichte über das Entweichen von Giftgasen aus Anlagen der chemischen Industrie sowie die unzähligen Gefahren, welche als Folge des Einsatzes großer Energiemengen in den vielfältigsten Anlagen der Rohstoffindustrie, Energieerzeugung, Fördertechnik, Um­ formtechnik und der automatisierten Fertigung lauern, müssen hierbei als Ansporn dafür gesehen werden, die Anlagensicher­ heit weiter zu erhöhen.
Hierbei kann eine Fehlfunktion einzelner Anlagenteile wohl niemals ausgeschlossen werden, und es muss deshalb die Aufga­ be einer automatischen Steuerung sein, derartige Fehlfunktio­ nen zu erkennen und schnellstmöglich Gegenmaßnahmen einzulei­ ten bzw. die Anlage stillzusetzen oder einen Alarm auszulö­ sen. Diese Aufgabe kann sie jedoch nur erfüllen, wenn sicher­ gestellt ist, dass sie auch und gerade beim Auftreten von Fehlfunktionen in der Anlage selbst einwandfrei funktioniert. Obwohl der millionenfache Einsatz von Mikroelektronik in Arm­ banduhren, Haushaltsgeräten, Flug- und Fahrzeugen erkennen lässt, dass die größte Gefahr beim Betrieb eines elektroni­ schen Schaltkreises wohl der Ausfall der Versorgungsspannung ist, insbesondere das Nachlassen einer Batteriespannung, so darf doch nicht außer acht gelassen werden, dass in indus­ triellen Anlagen ein rauer Betrieb herrscht und nur selten eine von Dämpfen, Gasen und sonstigen Chemikalien völlig rei­ ne Atmosphäre vorausgesetzt werden kann. Daher sollten gerade bei kritischen Prozessen, bei welchen eine Fehlfunktion mög­ lichst nicht auftreten sollte, zusätzliche Maßnahmen getrof­ fen werden, um die Funktionssicherheit der Steuereinrichtung weiter zu erhöhen.
Bei der Behandlung dieses Problems sollte man sich den Aufbau einer speicherprogrammierbaren Steuerung vergegenwärtigen: Um eine optimale Anpassung an die unterschiedlichsten Anwen­ dungsfälle zu ermöglichen, hat sich hierbei in der Praxis ein modularer Aufbau durchgesetzt, wobei der Kern der speicher­ programmierbaren Steuerung durch eine Zentraleinheit gebildet wird, in der ein für den betreffenden Anwendungsfall spezifi­ sches Programm abgearbeitet wird. Die Schnittstellen zu den einzelnen Aktuatoren des betreffenden Prozesses wie auch aus­ gegliederte Unterfunktionen wie bspw. Regelungen sind dagegen in davon getrennten Modulen enthalten, welche üblicherweise allesamt an eine Kommunikationsleitung bspw. in Form eines seriellen Busses angekoppelt sind, damit ein Informationsaus­ tausch zwischen den verschiedenen Komponenten möglich ist. Solchenfalls kann ein Fehler theoretisch in allen Komponenten auftreten, d. h. sowohl in der Zentraleinheit wie auch in den angeschlossenen Komponenten, und auch auf der diese miteinan­ der verbindenden Kommunikationsleitung.
Während die ersten beiden Fehlerquellen bei kritischen Pro­ zessen durch eine Erhöhung der Verfügbarkeit bspw. durch Ein­ satz einer zweiten, parallel geschalteten Zentraleinheit und/oder eines zweiten, parallel betriebenen Kommunikations­ busses, ausgeschaltet oder auf ein äußerst minimales Restri­ siko reduziert werden können, so wäre eine Verdoppelung aller sonstigen Komponenten in den meisten Anwendungsfällen mit ei­ nem erheblichen Zusatzaufwand verbunden und würde darüber hinaus aufgrund der enormen Vergrößerung der Komplexität eher sogar die Gefahr von zusätzlichen Fehlerquellen infolge von Verdrahtungs- oder Einstellungsfehlern mit sich bringen. Au­ ßerdem würde solchenfalls der Informationsaustausch über die betreffende Kommunikationsleitung mindestens verdoppelt, was eine weitere Leistungssteigerung der Steuerung erforderlich machte. Dabei ist zu bedenken, dass andererseits gerade den Peripheriebausteinen als Schnittstelle zwischen dem Prozess und der Steuerung eine erhöhte Bedeutung beizumessen ist, da beim Ausfall einer derartigen Komponente möglicherweise ent­ scheidungswichtige Signale verloren gehen oder die Einfluss­ nahme der Steuerung auf den Prozess eingeschränkt oder gar unterbrochen wird.
Aus den Nachteilen des beschriebenen Stands der Technik re­ sultiert das die Erfindung initiierende Problem, einen Peri­ pheriebaustein für speicherprogrammierbaren Steuerungen zu schaffen, der bereits für sich genommen eine erhöhte Fehler­ sicherheit aufweist, so dass eine hohe Fehleraufdeckung auch ohne die Verwendung einer redundanten Komponente erreicht werden kann.
Die Lösung dieses Problems gelingt mittels wenigstens zweier weitgehend identisch aufgebauter Kanäle zur parallelen Sig­ nalein- und/oder -ausgabe, die im Bereich der Peripherie­ schnittstelle parallelgeschalten und/oder parallelschaltbar sind, und durch wenigstens eine Datenverarbeitungs-Baugruppe (µP oder µC) zum Testen der Kanäle ohne Unterbrechung des Da­ tenflusses.
Der von der Erfindung beschrittene Weg zeichnet sich durch eine Mehrzahl von Maßnahmen aus: Einerseits wird bereits in­ nerhalb des erfindungsgemäßen Peripheriebausteins ein zweiter Kanal vorgesehen, so dass bereits intern eine Redundanz ge­ schaffen wird. Darüber hinaus ist eine Datenverarbeitungs- Baugruppe vorgesehen, welche parallel zu dem üblichen Daten­ fluss permanent oder zumindest in kurzen Zeitabständen einen Test eines oder beider Kanäle durchführt, wodurch sowohl die Kommunikationsleitung zu der Zentraleinheit wie auch letztere von dieser Aufgabe entlastet wird. Sobald andererseits eine Fehlfunktion eines oder beider Kanäle erkannt worden ist, so kann die den Test durchführende Datenverarbeitungs-Baugruppe dies unverzüglich der Zentraleinheit melden, damit solchen­ falls unverzüglich eine Gegenmaßnahme eingeleitet werden kann, bevor in der Anlage selbst eine Fehlfunktion auftreten kann. Dadurch ist sichergestellt, dass bei Eintritt eines Fehlerfalls in der Anlage stets zumindest ein Kanal der er­ findungsgemäßen Peripheriebaugruppe intakt ist, so dass ein Informationsaustausch zwischen Anlage und Steuerung gewähr­ leistet ist.
Die Erfindung zeichnet sich weiterhin aus durch eine zweite Datenverarbeitungs-Baugruppe (µP oder µC) zum Aufbereiten der zu übertragenden Daten während einer Testphase. Einerseits wird durch diese zweite Datenverarbeitungs-Baugruppe bei Aus­ fall der ersten Datenverarbeitungs-Baugruppe eine Redundanz geschaffen, andererseits kann solchenfalls eine Datenaufbe­ reitung auch in dem den Datenfluss übernehmenden Kanal vorge­ nommen werden, wobei bspw. bei Ausfall eines zu erwartenden Eingangssignals eine Fehlermeldung ausgelöst werden kann, au­ ßerdem kann das Datenformat in eine für die Kommunikation mit der Zentralbaugruppe oder für die Kommunikation mit der den Test: durchführenden Datenverarbeitungs-Baugruppe umgesetzt werden.
Es hat sich als günstig erwiesen, dass jede der beiden Daten­ verarbeitungs-Baugruppen je einem Kanal zugeordnet ist und derart ausgebildet ist, dass sie sowohl die Signalaufberei­ tung wie auch den Test dieses Kanals übernehmen kann. Die feste Zuordnung der beiden Datenverarbeitungs-Baugruppen zu je einem Kanal bringt eine schaltungsmäßige Vereinfachung mit sich, indem zwischen der betreffenden Kanalbaugruppe und der zugeordneten Datenverarbeitungs-Baugruppe kein weiteres Schaltelement vorgesehen werden muss, welches somit als Feh­ lerquelle ausscheidet.
Es liegt im Rahmen der Erfindung, dass die beiden Datenverar­ beitungs-Baugruppen zwecks Informationsaustausch miteinander gekoppelt sind. Diese Koppelung ist einerseits für eine Koor­ dination des Betriebs der beiden Kanalbaugruppen wichtig, da­ mit stets mindestens auf einem Kanal ein ordnungsgemäßer Da­ tenfluss erfolgt, andererseits können bspw. Testergebnisse ausgetauscht werden, so dass jede der beiden Datenverarbei­ tungs-Baugruppen immer über den Zustand beider Kanäle infor­ miert ist und nicht nur ihren eigenen Betrieb danach ausrich­ ten kann, sondern auf Anfrage einer Zentraleinheit auch so­ fort die gewünschten Auskünfte erteilen kann.
Die Erfindung lässt sich dahingehend weiterbilden, dass die beiden Datenverarbeitungs-Baugruppen über bausteininterne Verbindungen miteinander gekoppelt sind. Diese Maßnahme redu­ ziert den Signalverkehr auf der Verbindungsleitung zwischen den einzelnen Komponenten der speicherprogrammierbaren Steue­ rung.
Weitere Vorteile lassen sich dadurch erzielen, dass die bei­ den Datenverarbeitungs-Baugruppen über einen Speicher gekop­ pelt sind, auf den sie beide Zugriff haben. In diesem gemein­ samen Speicher können die Datenverarbeitungs-Baugruppen die für die jeweils andere Baugruppe bestimmten Informationen hinterlegen, von wo sie sodann zu gegebenem Zeitpunkt, d. h. bei Bedarf, abgeholt werden können. Hierdurch werden unnötige Wartezeiten einer Datenverarbeitungs-Baugruppe vermieden.
In Ausgestaltung des Erfindungsgedankens kann vorgesehen sein, dass die beiden Datenverarbeitungs-Baugruppen an unter­ schiedlichen Ein-/Ausgängen des Speichers angeschlossen sind (Dual-Port-RAM). Solchenfalls ist die Kommunikation jeder der beiden Datenverarbeitungs-Baugruppen mit dem gemeinsamen Speicher völlig unabhängig von dem Betrieb der jeweils ande­ ren Baugruppe und insbesondere von deren Taktung. Somit las­ sen sich für jeden der beiden Datenverarbeitungs-Baugruppen weitgehend autarke Systeme schaffen, wodurch der reibungslose Betrieb zumindest eines Signals auch dann gewährleistet wer­ den kann, wenn in der anderen Kanalbaugruppe und/oder der diese bedienenden Datenverarbeitungs-Baugruppe ein Fehler eingetreten ist.
Die Leistungsfähigkeit der erfindungsgemäßen Anordnung lässt sich erhöhen, indem bei einem Zweikanal-Eingabe-Baustein ein zusätzlicher Ausgabekanal, bei einem Zweikanal-Ausgabe- Baustein ein zusätzlicher Einlesekanal vorgesehen ist, der mit jedem der beiden übrigen Kanäle koppelbar ist, um eine Schleife über jeweils einen der beiden parallelen Kanäle zu bilden, so dass die ordnungsgemäße Verarbeitung eines Test­ signals überprüfbar ist. Während ohne eine derartige Anord­ nung allenfalls ein Test durch Vergleich der von beiden Ka­ nalbaugruppen ausgegebenen Signale möglich ist, so kann durch einen hierzu komplementären Testkanal eine Schleife über je­ weils eine der beiden Kanalbaugruppen geschlossen werden, und somit ist ein echter Test auf die absolute Genauigkeit der gesamten Komponenten dieser Schleife durch Vergleich des Ein­ gangssignals dieser Schleife mit deren Ausgangssignal mög­ lich. Sobald demnach ein Fehler auftritt, bei welchem eine Kanalbaugruppe nicht mehr ordnungsgemäß funktioniert, so kann mit einem derartigen Testaufbau eindeutig festgestellt wer­ den, welche von beiden Kanalbaugruppen den Defekt aufweist, und sodann kann der Datenfluss über die noch intakte Kanal­ baugruppe geleitet werden, bis die fehlerhafte Kanalbaugruppe ausgetauscht oder repariert worden ist. Mit der erfindungsge­ mäßen Anordnung wird daher nicht nur ein Fehler sensiert, sondern dieser kann auch eindeutig lokalisiert werden, und solange noch eine einzige Kanalbaugruppe funktioniert, so kann der erfindungsgemäße Peripheriebaustein seine Aufgabe erfüllen.
Zur Vereinfachung des konstruktiven Aufwandes kann die An­ steuerung des Testkanals einer der beiden Datenverarbeitungs- Baugruppen übertragen sein. Zwar wäre es zur weiteren Erhö­ hung der Redundanz denkbar, die Steuerung der Testkanalbau­ gruppe beiden Datenverarbeitungs-Baugruppen zu erschließen. Dies erweist sich jedoch nicht als notwendig, da beim Ausfall einer Kanalbaugruppe ohnehin kein Test mehr durchgeführt wer­ den kann, weil solchenfalls der normale Datenfluss unterbro­ chen werden müsste. Aus diesem Grund kann die Ansteuerung der Testkanalbaugruppe fest einer von beiden Datenverarbeitungs- Baugruppen zugewiesen sein, so dass ein zusätzlicher Schalter sowie auch zwischengeschaltete ODER-Gatter od. dgl. entbehr­ lich sind und die Ausfallwahrscheinlichkeit weiter reduziert wird.
Überflüssige Fehlerquellen lassen sich vermeiden, indem die beiden Kanäle auf der selben Platine angeordnet sind. Diese Konstruktionsvorschrift folgt der Erkenntnis, dass jeder Steckverbinder, und insbesondere auch jede Kabelverbindung eine höhere Ausfallwahrscheinlichkeit hat als eine Leiterbahn auf einer Platine, wo allenfalls eine schlechte Lötverbindung zu einem Defekt führen könnte.
Dem selben Zweck dient eine Weiterbildung dahingehend, dass wenigstens ein Datenverarbeitungs-Baustein zusammen mit den beiden Kanälen auf der selben Platine angeordnet ist. Auch diese Maßnahme reduziert die Anzahl der Steck- und Lötverbin­ dungen und erhöht somit die Betriebssicherheit des erfin­ dungsgemäßen Peripheriebausteins.
Damit eingestreute Störspannungen von der Auswerteelektronik ferngehalten werden, sind in beiden Kanälen, vorzugsweise auch in einem Testkanal, Potentialtrennungen vorgesehen. Die­ sen Potentialtrennungen obliegt es, den reinen Informations­ wert eines Signals von dessen tatsächlichen Spannungspotenti­ al vollständig abzutrennen, so dass gefährliche Störspannun­ gen, welche von dem Prozess herrühren oder auf den betreffen­ den Zuleitungen eingestreut werden können, der empfindlichen Mikroelektronik nichts anhaben können. Dies kann am effek­ tivsten durch Opto-Koppler realisiert werden, welche die Po­ tentialfreiheit bei der Lichtübertragung nutzt.
Der konstruktive Aufwand lässt sich weiter reduzieren, wenn eine Signalumsetzung zwischen analogen Strom- oder Spannungs­ pegeln einerseits und einem alternierenden Signal (Impulsfol­ ge) mit einer zu dem Analogsignal proportionalen Frequenz an­ dererseits erfolgt. Während die Datenverarbeitungs-Baugruppen schließlich eine Reihenfolge binärer Zahlendarstellungen der betreffenden Amplitude des Analogsignals verwenden, bietet die Zwischenschaltung eines alternierenden Signals mit verän­ derbarer Frequenz den Vorteil, dass die vollständige Informa­ tion über den Amplitudenwert auf einer einzigen Signalleitung übertragen werden kann, wobei andererseits eine wenig störan­ fällige Analogschaltung Verwendung finden kann.
Solchenfalls ist es möglich, die Potentialtrennung bei dem alternierenden Signal vorzunehmen, bspw. über Optokoppler. Da in diesem alternierenden Signal der volle Informationsgehalt über die zu übertragende Signalamplitude enthalten ist, bie­ tet es sich für die Potentialtrennung bevorzugt an. Einer­ seits wird dadurch ein erhöhter Aufwand für die Potential­ trennung eingespart, wie dies bspw. bei einem binären Signal der Fall wäre, andererseits kann die Potentialtrennung bei einem zwischen zwei Spannungsbereichen alternierenden Signal, dessen exakte Amplitude keine Information trägt, weitaus ein­ facher gestaltet werden als bei einem reinen Analogsignal, wo die Information der betreffenden Spannungsamplitude ent­ spricht.
Zur Entschlüsselung des alternierenden Signals kann dieses einem Zählerbaustein zugeführt sein, der durch Zählen der Im­ pulse innerhalb eines festen Zeitintervalls einen zu der Fre­ quenz des alternierenden Signals proportionalen Digitalwert erzeugt. Hierbei handelt es sich um einen höchst einfachen Aufbau, wobei ausschließlich nach Ablauf eines fest vorgege­ benen Zeitintervalls der Zählerstand abgefragt und sodann der Zähler wieder auf null zurückgesetzt werden muss. Die Auflö­ sung, welche mit dieser Signalumsetzung erreicht werden kann, hängt ab von dem Zählintervall einerseits und der Frequenz des alternierenden Signals andererseits. Um im Rahmen dieses Verfahrens auch Spannungen der Amplitude null oder gar nega­ tive Spannungen mit einer ausreichenden Auflösung übertragen zu können, sollte das relevante Spannungsintervall auf einen Frequenzbereich transformiert werden, der sich von einer der minimalen Spannungsamplitude entsprechenden Mindestfrequenz nach oben erstreckt.
Bei umgekehrter Signalrichtung sollte das alternierende Sig­ nal einem Baustein mit einem sequentiellen Ausgang entnommen werden, bspw. einem Schieberegister, welches in einem vorge­ gebenen Zeitintervall eine vorgebbare Anzahl von Ausgangsbits abgibt. Die Möglichkeiten zur Erzeugung des alternierenden Signals sind vielfältig. Da die Aufteilung der einzelnen Im­ pulse auf das betreffende Zeitintervall nicht gleichförmig erfolgen muss, könnten bspw. von der Taktfrequenz abgeleitete Impulse ausgegeben werden, wobei gleichzeitig eine Zählung erfolgen könnte, um das aktuelle Zählergebnis mittels eines Komparators mit dem vorgegebenen Wert zu vergleichen und nach Erreichen desselben die Übertragung weiterer Impulse zu un­ terdrücken. Eine andere Möglichkeit besteht darin, die betreffende Anzahl von Impulsen in ein Schieberegister zu schreiben und dessen Inhalt sodann innerhalb des vorgegebenen Zeitintervalls seriell an die betreffende Kanalbaugruppe aus­ zugeben.
Zum Betrieb einer erfindungsgemäßen Anordnung sieht die Er­ findung vor, dass stets ein Kanal zur Signalübertragung ver­ wendet wird, während der ändere zu Test- und/oder Korrektur­ zwecken betrieben wird. Solchenfalls kann der Test für die Zentraleinheit der betreffenden, speicherprogrammierbaren Steuerung völlig unsichtbar erfolgen, d. h., diese wird stets und weitgehend verzögerungsfrei mit den für sie notwendigen Informationen beliefert bzw. darf darauf vertrauen, dass von ihr in Richtung der Anlage abgegebene Signale dort auch nahe­ zu unverzögert eintreffen, sofern kein Totalausfall der betreffenden Peripheriebaugruppe erfolgt.
Ein Komponententest kann dadurch vorgenommen werden, dass die Ausgangssignale der beiden Kanäle voneinander subtrahiert werden, wobei das Subtraktionsergebnis mit wenigstens einem vorgegebenen Grenzwert verglichen wird, um bei einer größeren Abweichung einen Fehler zu erkennen. Dieser Modus kann ver­ wendet werden, um einen auftretender Fehler einer Kanalbau­ gruppe sofort zu erkennen, da solchenfalls eine von null er­ heblich abweichende Differenz auftritt. Dabei kann dieser Vergleich sowohl bei einer Eingangs- wie auch bei einer Aus­ gangsbaugruppe vorgenommen werden, wenn bei dem Ausgang bspw. eine entsprechende Analogschaltung vorgesehen ist mit einem als Subtrahierer verschalteten Operationsverstärker, ggf. ei­ nem Absolutwertbildner und einem Komparator zum Vergleich der absoluten Differenz mit einem vorgegebenen und noch tolerier­ baren. Grenzwert. Die Rückmeldung dieser Testbaugruppe kann mittels eines einzigen Signals, bspw. des Ausgangssignals des Komparators erfolgen, so dass sich auch hier eine Potential­ trennung mit einfachsten Mitteln erreichen lässt.
Im Rahmen eines anderen Testmodus wird ein Kanal zur Signal­ übertragung verwendet und der andere währenddessen einem Test unterzogen, indem ein Testsignal ausgegeben und wieder einge­ lesen wird, wobei der ausgegebene und der eingelesene Signal­ wert voneinander subtrahiert werden, und wobei schließlich das Subtraktionsergebnis mit wenigstens einem vorgegebenen Grenzwert verglichen wird, um bei einer größeren Abweichung einen Fehler zu erkennen. Während durch den Parallelbetrieb beider Kanäle und Vergleich von deren Ausgangssignalen fest­ gestellt werden kann, ob bei einem dieser beiden Kanäle über­ haupt ein Fehler aufgetreten ist, kann mit dem letzteren Testschritt sogar ermittelt werden, welcher von beiden Kanä­ len defekt ist. Dies wird erreicht, indem der zu untersuchen­ de Kanal als Bestandteil einer Signalübertragungsschleife ge­ schalten wird, und durch Vergleich des Ausgangssignals dieser Schleife mit ihrem Eingangssignal lässt sich bei einer er­ kennbaren Abweichung eine Fehlfunktion der betreffenden Ka­ nalbaugruppe diagnostizieren. Solchenfalls kann selektiv die­ ser abgeschalten und sodann Vorübergehend nur mit dem verbleibenden Kanal gearbeitet werden, bis infolge eines durch die Fehlermeldung ausgelösten Alarms der Defekt behoben worden ist.
Um einen eingetretenen Fehler frühzeitig erkennen zu können, sollte der Testmodus in kurzen Zeitabständen wiederholt wer­ den, wobei jeweils zunächst ein Kanal und sodann der andere getestet wird und der jeweils andere währenddem die Signal­ übertragung übernimmt. In dem äußerst unwahrscheinlichen Fall, dass gleichzeitig beide Kanalbaugruppen beschädigt wer­ den, ließe sich durch einen Vergleich der Ausgangssignale möglicherweise kein Fehler feststellen, wenn bspw. beide Aus­ gangssignale gleichzeitig spannungslos werden. Dieser Fall kann jedoch durch regelmäßig durchzuführende Tests der abso­ luten Funktionsfähigkeit der Kanalbaugruppen ausgeschlossen bzw. erkannt werden. Deshalb sollte in kurzen Zeitabständen zumindest eine der beiden Kanalbaugruppen auf ihre absolute Funktionsfähigkeit hin untersucht werden. Da der gleichzeiti­ ge Ausfall beider Kanalbaugruppen ein extrem seltenes Ereig­ nis bildet, können diese absoluten Funktionstests in längeren Zeitintervallen durchgeführt werden, bspw. etwa einmal pro Sekunde. Sofern während des Normalbetriebs kein Vergleich der parallelgeschalteten Kanalbaugruppen vorgenommen wird, sollte in entsprechend kurzen Zeitabständen der Datenfluss zwischen den beiden Kanalbaugruppen umgeschalten und währenddessen je­ weils wenigstens ein Test der solange nicht benötigten Kanal­ baugruppe durchgeführt werden.
Optimale Ergebnisse lassen sich erzielen, wenn ein Datenver­ arbeitungs-Baustein die Auswertung der Testergebnisse (Ver­ gleich der Ausgangssignale beider Kanäle bzw. des eingelese­ nen mit dem ausgegebenen Testergebnis) übernimmt. Während des ordnungsgemäßen Betriebes kann der Vergleich der Ausgangssig­ nale beider, parallel betriebener Kanalbaugruppen stets in demselben Datenverarbeitungs-Baustein durchgeführt werden; diesem kann für die abwechselnd durchzuführenden Absolutwert- Tests auch die Steuerung der Testkanalbaugruppe sowie der Vergleich zwischen dem Eingangs- und dem Ausgangssignal der jeweiligen Testschleife übertragen werden. Hierdurch redu­ ziert sich der Programmieraufwand, da sich eine eindeutige Master-Slave-Konfiguration ergibt, wo Steuerungsbefehle stets von dem Master-Baustein zu dem Slave-Baustein und Informatio­ nen stets in umgekehrter Richtung gesendet werden.
Ein ordnungsgemäßer Datenaustausch mit der Zentraleinheit der speicherprogrammierbaren Steuerung erfolgt dadurch, dass ein Datenverarbeitungs-Baustein, vorzugsweise der die Auswertung übernehmende, über eine Datenschnittstelle mit der zentralen Steuereinheit kommuniziert. Der erfindungsgemäße Peripherie­ baustein kann in verschiedener Hinsicht zur Erhöhung der Feh­ lersicherheit einer speicherprogrammierbaren Steuerung ver­ wendet werden. Bereits in einer Anlage mit nur einer Zentral­ einheit und einem Kommunikationsbus wird die Sicherheit gegen einen Ausfall der Peripheriebaugruppe selbst erhöht. Durch Verwendung besonders sicherer Datenleitungen und/oder durch Einsatz besonders sicherer Datenformate und/oder durch eine Senkung der Datenübertragungsrate kann ebenfalls eine Erhö­ hung der Sicherheit erzielt werden. Diese Kommunikation fin­ det standardmäßig mit einem der beiden Datenverarbeitungs- Baugruppen in der erfindungsgemäßen Peripheriebaugruppe statt. Über diese Baugruppe kann die Zentraleinheit auch den aktuellen Fehlerstatus beider Kanalbaugruppen erfragen. Des­ halb ist es von Vorteil, hierfür diejenige Baugruppe zu ver­ wenden, welche gleichzeitig auch den Testablauf steuert, da solchenfalls eine Datenübertragung von den Master-Baustein zu dem Slave-Baustein nicht erforderlich ist.
Um die Ereignisse in dem erfindungsgemäßen Peripheriebaustein für die Zentraleinheit der betreffenden speicherprogrammier­ baren Steuerung transparent zu machen, sollte von dem mit der Zentraleinheit der speicherprogrammierbaren Steuerung kommu­ nizierenden Datenverarbeitungs-Baustein ein Informationssig­ nal über den aktuellen Test- bzw. Fehlerstatus bereitgehalten werden. Damit die Zentraleinheit zu jedem Zeitpunkt eine In­ formation über den jüngsten Erkenntnisstand hinsichtlich der Funktionsfähigkeit der erfindungsgemäßen Kanalbaugruppen er­ halten kann, sollte das jeweils aktuellste Testergebnis abge­ speichert werden, um bei jeder Anfrage seitens der Zentral­ einheit der speicherprogrammierbaren Steuerung eine sofortige Antwort liefern zu können. Die Speicherung kann hierbei ent­ weder in einem Register des die Tests ausführenden Datenver­ arbeitungs-Bausteins vorgenommen werden, oder aber in einem externen Speicher.
Schließlich entspricht es der Lehre der Erfindung, dass jeder Datenverarbeitungs-Baustein je eine eigene Datenschnittstelle zu je einer Datenverbindung aufweist, so dass die Verwendung zweier voneinander völlig unabhängiger Datenleitungen möglich ist. Diese Konfiguration ist vor allem für die Verwendung bei speicherprogrammierbaren Steuerungen mit zwei voneinander un­ abhängig betriebenen Kommunikationsbussen gedacht, welche je­ weils mit einem von zwei, parallel betriebenen Zentraleinhei­ ten kommunizieren. Solchenfalls ergibt sich ein maximaler Grad an Redundanz, während andererseits die Systemstruktur äußerst übersichtlich ist, da jede der beiden Zentraleinhei­ ten nur mit jeweils einer Datenverarbeitungs-Baugruppe der erfindungsgemäßen Peripheriebaugruppe kommuniziert. Da ande­ rerseits die beiden Datenverarbeitungs-Baugruppen des erfin­ dungsgemäßen Peripheriebausteins miteinander in Verbindung stehen, kann nötigenfalls auch ein "Über-Kreuz-Betrieb" auf­ recht erhalten werden, wobei bspw. bei Ausfall der primären Kanalbaugruppe die Hauptzentraleinheit über die Master- Datenverarbeitungs-Baugruppe die Slave-Datenverarbeitungs- Baugruppe steuert und damit auf die sekundäre Kanalbaugruppe zugreift, oder bei Ausfall der Hauptzentraleinheit die Hilfs­ zentraleinheit über die Slave-Datenverarbeitungs-Baugruppe entsprechende Anweisungen an die Master-Datenverarbeitungs- Baugruppe erteilt und dadurch mit der primären Kanalbaugruppe arbeiten kann.
Weitere Merkmale, Einzelheiten, Vorteile und Wirkungen auf der Basis der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines bevorzugten Ausführungsbeispiels der Er­ findung sowie anhand der Zeichnung. Hierbei zeigt:
Fig. 1 ein Blockschaltbild einer speicherprogrammierbaren Steuerung mit hoher Fehlersicherheit;
Fig. 2 ein Blockschaltbild einer speicherprogrammierbaren Steuerung mit hoher Verfügbarkeit und hoher Fehlersicherheit;
Fig. 3 den grundsätzlichen Aufbau eines erfindungsgemäßen Peripheriebausteins; sowie
Fig. 4 einen Schaltplan eines erfindungsgemäßen Periphe­ riebausteins für analoge Eingabe.
Die in Fig. 1 wiedergegebene speicherprogrammierbare Steue­ rung 1 umfasst eine fehlersicher aufgebaute Zentraleinheit 2, an welche über einen fehlersicher betriebenen Kommunikations­ bus 3 n Komponenten 4 angeschlossen sind, von denen wenigs­ tens eine fehlersicher aufgebaut ist. Die fehlersicheren Kom­ ponenten 2-4 bilden eine lückenlose, sicherheitsrelevante Kette, wobei über die fehlersichere Komponente 4 Informatio­ nen erfasst, über den Kommunikationsbus 3 mit hoher Sicher­ heit an die Zentraleinheit 2 übertragen werden, dort ver­ knüpft werden, um Steuerbefehle zu erhalten, mit denen über den Kommunikationsbus 3 und eine wiederum fehlersichere Peri­ pheriekomponente 4 eine Reaktion eines Aktuators in der Anla­ ge veranlasst wird. Die hohe Fehlersicherheit der einzelnen Komponenten 2, 4 kann durch einen sehr sorgfältigen Aufbau sowie durch ständige Selbsttests mittels eines jeweils in diesen Bauteilen 2, 4 enthaltenen Mikroprozessors oder Mikro­ controllers bewirkt werden. Besonders wichtige Bauteile der erfindungsgemäßen, fehlersicheren Peripheriebaugruppe 4 sind zusätzlich mehrfach ausgebildet, um dadurch eine Redundanz für die Situation eines Ausfalls zu schaffen.
Demgegenüber weist die speicherprogrammierbare Steuerung 5 eine besonders hohe Verfügbarkeit auf, indem zusätzlich zu einer ersten fehlersicheren Zentraleinheit ZE 1 eine dazu pa­ rallelbetriebene Zentraleinheit ZE 2 vorgesehen ist, welche mit sämtlichen n Komponenten 4 über jeweils eigene, fehlersi­ chere Kommunikationsbusse 3 kommunizieren. Ferner kann ein Datenaustausch sowie eine Synchronisation der beiden Zentral­ einheiten ZE 1, ZE 2 über eine Koppelung 6 erfolgen. Auch bei dieser Anordnung ist zumindest eine der an die Zentraleinhei­ ten 2 angeschlossenen Komponenten 4 als erfindungsgemäße, fehlersichere Peripheriebaugruppe aufgebaut, damit die hohe Verfügbarkeit dieser speicherprogrammierbaren Steuerung 5 keine Schwächung im Bereich der Schnittstelle zu dem Prozess erfährt.
In Fig. 3 ist ein Blockschaltbild einer erfindungsgemäßen, fehlersicheren Peripheriebaugruppe 4 in Form einer Analogein­ gabeeinheit zu sehen, welche den prinzipiellen Aufbau wie auch die grundsätzliche Wirkungsweise einer erfindungsgemäßen Baugruppe 4 deutlich macht.
Der mit der Anlage verbundene Analogeingang 7 ist über einen Umschalter 8 mit dem Input 9 eines ersten Übertragungskanals 10 verbunden, dem letztendlich die Aufgabe obliegt, das Ana­ logsignal 11 in ein Digitalsignal 12 zu transformieren, wel­ ches eine Folge mehrerer Zahlendarstellungen der in kurzen Zeitabständen abgetasteten Amplitude des Analogsignals 11 darstellt. Dieses Digitalsignal 12 wird von einer ersten Da­ tenverarbeitungs-Baugruppe 13 in Form eines Mikrocontrollers eingelesen, und ggf. aufbereitet, bspw. durch Addition eines Offsetwertes, Multiplikation mit einem Skalierungsfaktor, oder auch durch Zusammenstellung eines die Amplitudeninforma­ tion enthaltenden und diese ggf. als solche kennzeichnenden Telegramms 14, welches sodann von einem Kommunikationsbau­ stein 15 über die Verbindung 16 und den fehlersicheren Kommu­ nikationsbus 3 zu der Zentraleinheit 2 der speicherprogram­ mierbaren Steuerung 1 bzw. zu der Hauptzentraleinheit ZE 1 der hochverfügbaren Steuerung 5 übertragen wird.
Da der Übertragungskanal 10 aufgrund der notwendigen Signal­ umsetzung und der dafür benötigten, aktiven Bauteile eine nicht verschwindende Ausfallwahrscheinlichkeit aufweist, sieht die Erfindung einen weitgehend identischen, zweiten Übertragungskanal 17 vor, dessen analoger Eingangsanschluss 18 ebenfalls über einen Umschalter 19 an den Analogeingang 7 des erfindungsgemäßen Peripheriebausteins 4 anschließbar ist. Das von dem zweiten Übertragungskanal 17 in eine binäre Im­ pulsfolge 20 gewandelte Analogsignal 11 wird einer an dem Ausgang 20 des zweiten Übertragungskanals 17 angeschlossenen, zweiten Datenverarbeitungs-Baugruppe 21 zugeleitet, welche die notwendigen Aufbereitungsschritte durchführt, um normier­ te Digitalwerte zu erhalten, welche bei gleichzeitigem Be­ trieb der beiden Übertragungskanäle 10, 17 im Idealfall iden­ tisch mit den von der ersten Datenverarbeitungs-Baugruppe 13 erzeugten Werten sein sollten.
Die solchermaßen in der zweiten Datenverarbeitungs-Baugruppe 21 erhaltenen, normierten Werte werden an einen beschreib- und lesbaren Speicherbaustein 22 übertragen 23 und können von dort über einen weiteren Anschluss 24 dieses Speicherbau­ steins 22 von der ersten Datenverarbeitungs-Baugruppe 13 bei Bedarf gelesen 25 werden. Somit kann in der ersten Datenve­ rarbeitungs-Baugruppe 13 ein Vergleich der beiden Ergebnisse der beiden Übertragungskanäle 10, 17 vorgenommen werden, und sobald hierbei größere Abweichungen auftreten, liegt zweifel­ los bei mindestens einer Kanalübertragungsbaugruppe 10, 17 ein Fehler vor.
Die Steuerung 33 des ersten Übertragungskanals 10 ist wie auch die Betätigung 35 des ersten Umschalters 8 der ersten Datenverarbeitungs-Baugruppe 13 zugewiesen, während die ent­ sprechenden Funktionen 34, 36 für den zweiten Übertragungska­ nal 17 und den zweiten Umschalter 19 von der zweiten Daten­ verarbeitungs-Baugruppe 21 übernommen werden.
Ferner kann auch an der zweiten Datenverarbeitungs-Baugruppe 21 ein eigener Kommunikationsbaustein 26 angeschlossen 27 sein, um über den dortigen Ausgang 28 über den daran ange­ schlossenen Kommunikationsbus 3 mit der Hilfs-Zentraleinheit ZE 2 kommunizieren zu können.
Bei Auftreten einer Fehlfunktion, welche die Datenverarbei­ tungs-Baugruppe 13 feststellt, kann ein entsprechendes Sta­ tusregister gesetzt werden, so dass bei einer Anfrage der Zentraleinheit ZE, ZE 1 dieser Fehlerzustand weitergemeldet wird, oder die Datenverarbeitungs-Baugruppe 13 kann von sich aus eine entsprechende Fehlermeldung an die betreffende Zent­ raleinheit ZE, ZE 1 absenden. Darüber hinaus kann die Infor­ mation über den Fehlerstatus auch in den beschreib- und les­ baren Speicher 22 eingetragen werden, von wo sie über deren zweiten Anschluss 29 von der zweiten Datenverarbeitungs- Baugruppe 21 eingelesen und über deren Kommunikationsbaustein 26 auch an die Hilfs-Zentraleinheit ZE 2 weitergemeldet wer­ den kann.
Diese erste Betriebsart erlaubt zwar eine Feststellung, ob zumindest eine der beiden Kanalübertragungsbaugruppen 10, 17 defekt ist, jedoch kann bei einer festgestellten Abweichung nicht ohne weiteres eine Aussage darüber getroffen werden, bei welcher der beiden Kanalübertragungsbaugruppen 10, 17 der Fehler zu suchen ist. Deshalb ist eine zusätzliche Testmög­ lichkeit vorgesehen, wobei von einem Testkanal 30, der von der ersten Datenverarbeitungs-Baugruppe 13 steuerbar 31 ist, ein vorgebbares Analogsignal 32 erzeugt wird, welches durch die Umschalter 8, 19 wahlweise anstelle des Analogeingangsig­ nals 7 der erfindungsgemäßen Peripheriebaugruppe 4 an den Eingang 9, 18 einer Kanalübertragungsbaugruppe 10, 17 schalt­ bar ist. Durch Rücklesen des Ausgangssignals 12, 20 des betreffenden Kanals 10, 17 und durch Vergleich desselben mit dem Vorgabewert 31 für das von dem Testkanal 30 ausgegebene Signal 32 kann festgestellt werden, ob die betreffende Kanal­ übertragungsbaugruppe 10, 17 einwandfrei funktioniert.
Bevorzugt wird jeweils nur eine Kanalübertragungsbaugruppe 10, 17 gleichzeitig getestet, während die jeweils andere mit ihrem Umschalter 8, 19 an das analoge Eingangssignal 7 ange­ koppelt ist und somit für einen lückenlosen Datenfluss Sorge zu tragen vermag. Sofern ein zweiter Kommunikationsbaustein 26 vorgesehen ist, so kann der von dem jeweils den ordnungs­ gemäßen Betrieb sicherstellenden Übertragungskanal 10, 17 in digitalen Signalen zur Verfügung gestellte Wert 12, 20 über den gemeinsamen Speicher 22 zwischen den beiden Datenverar­ beitungs-Baugruppen 13, 21 ausgetauscht und somit über beide Ausgänge 16, 28 auf die jeweils angeschlossenen Kommunikati­ onsbusse 3 und von dort auf beide Zentraleinheiten ZE 1, ZE 2 übertragen werden.
Nach einem kurzen Zeitintervall wird sodann die Funktion der beiden Übertragungskanäle 10, 17 vertauscht, so dass nun der andere Übertragungsweg 10, 17 getestet werden kann. Vorzugs­ weise werden zwischen diesen Phasen vorübergehend beide Über­ tragungskanäle 10, 17 parallel an dem Eingangssignal 7 be­ trieben, so dass kein einziger Messwert verloren geht. Dies wird dadurch erreicht, dass stets einer der beiden Umschalter 8, 19 mit dem Analogeingang 7 verbunden ist. Bei einem Um­ schalten wird demnach immer zunächst eine Schalterstellung herbeigeführt, wo beide Umschalter 8, 19 mit dem Analogein­ gang 7 verbunden sind, bis der jeweils andere von diesem Sig­ nal gelöst und an das Testsignal 32 angelegt wird.
Eine hardwaremäßig aufgebaute Schaltung zur Realisierung der soeben beschriebenen Funktionen ist in Fig. 4 wiedergegeben. Man erkennt aus Fig. 4, dass der erfindungsgemäße Peripherie­ baustein 4 insgesamt drei Analogeingänge 7a-7c aufweist, von denen jeder an jeden der beiden Übertragungskanäle 10, 17 schaltbar ist. Jede Analogeingangsstufe 7a-7c ist mit einem Spannungsteiler aus zwei Widerständen 37a-37c und 38a-38c aufgebaut. Diese Spannungsteiler 37, 38 sind einseitig mit einem Masseanschluss 39 verbunden, während das jeweils andere Endpotential sowie der Mittelabgriff als Spannungs- U und Stromeingänge I, 7a-7c ausgebildet sind, deren Nennspan­ nungs- bspw. Strompegel über den betreffenden Spannungsteiler 37, 38 in für nachgeordnete Bausteine kompatible Spannungspe­ gel umgesetzt werden. Von einer Versorgungsgleichspannung 41 von bspw. 24 Volt, die von einem Verstärker 42 hinreichend niederohmig zur Verfügung gestellt wird, werden bspw. ange­ schlossene Sensor-Stromquellen 40a-40c von jeweils bspw. 20 mA gespeist, die durch das sensierte Signal moduliert werden. Als relevante Eingangsspannung wird sodann je nachdem die Spannung an dem Spannungsteiler-Mittelabgriffs 7a-7c und/oder an dem betreffenden Spannungseingang U betrachtet und ggf. über jeweils zwei Leitungen 43a-43c bzw. 44a-44c an die Schalter 8, 19 gelegt, von wo sie paarweise an die Eingänge 9a, 9b bzw. 18a, 18b eines oder beider Übertragungs­ kanäle 10, 17 geschalten werden können.
Da die Analogeingänge 7a-7c durch eine weiter unten zu er­ läuternde Potentialtrennung 45 nicht mit der allgemeinen Mas­ se verbunden sind, kann die analoge Masse 39 sich in beliebi­ ger Relation zu den Eingangsspannungen 7a-7c einstellen.
Die Spannungsdifferenz über den Widerständen 37 wird demnach von dem betreffenden Übertragungskanal 10, 17 als eine posi­ tive Spannung aufgefasst und von einem Analog-Frequenz- Wandler 46, 47 in eine Impulsfolge 48, 49 mittlerer Frequenz transformiert. Diese Impulsfolge 48, 49 kann von je einem Op­ tokoppler 50, 51 potentialfrei zu einem nachgeschalteten Zäh­ lerbaustein 52, 53 übertragen werden, der jeweils die inner­ halb eines vorgegebenen Zeitintervalls eintreffenden Impulse zählt und damit ein Maß für die Frequenz 48, 49 liefert. Die­ ser Zählerstand wird von der jeweils angekoppelten Datenve­ rarbeitungs-Baugruppe 13, 21 jeweils nach Ablauf des vorgege­ benen Zeitintervalls abgefragt, sodann wird der Zähler auf null zurückgesetzt und wieder frei gegeben. Der frequenzpro­ portionale Zählerstand 12, 20 stellt somit ein binäres Analo­ gon zu dem aktuellen Spannungswert an dem jeweils durchge­ schaltenen Analogeingang 7a-7c dar und kann von der betref­ fenden Datenverarbeitungs-Baugruppe 13, 21 ggf. normiert wer­ den, um einen für eine Weiterverarbeitung zugänglichen Digi­ talwert zu erhalten.
Indem der von dem Übertragungskanal 17 gelieferte Digitalwert 20 von der Datenverarbeitungs-Baugruppe 21 über einen be­ schreib- und lesbaren Speicher 22 der ersten Datenverarbei­ tungs-Baugruppe 13 zur Verfügung gestellt wird, können mit dieser Anordnung gleichzeitig zwei unterschiedliche Eingangs­ signale 7a, 7b in Digitalwerte umgewandelt und über die Kom­ munikationsbaugruppe 15 an eine Zentraleinheit ZE, ZE 1 wei­ tergeleitet 16 werden. Andererseits ist es auch möglich, das­ selbe Eingangssignal 7a-7c an beide Übertragungskanäle 10, 17 parallel anzuschließen 8, 19, und die solchenfalls erhal­ tenen Digitalwerte 12, 20 von der Datenverarbeitungs- Baugruppe 13 bspw. durch Subtraktion miteinander vergleichen zu lassen, um einen Anhaltspunkt dafür zu erhalten, ob bei einem der beiden Übertragungskanäle 10, 17 ein Fehler aufge­ treten ist.
Bei einer von Null abweichenden Eingangsspannung 7a-7c ver­ ändert sich das Eingangssignal 9, 18 des betreffenden Über­ tragungskanals 10, 17, so dass sich die Frequenz 48, 49 und demnach das Zählerausgangssignal 12, 20 entsprechend verän­ dern.
Die den Eingängen 7a-7c nachgeschalteten Signalleitungen 43, 44 weisen Überspannungsschutzdioden 54 auf, um einge­ streute Störspitzen von den Eingängen 9, 18 der Übertragungs­ kanäle 10, 17 fernzuhalten. Die Schaltkreise 8a und 8b besit­ zen integrierte Schutzdioden.
In der Zeichnung sind zwei unterschiedliche Arten von Schal­ tern wiedergegeben: Bei den Schaltern 8a, 8b handelt es sich um jeweils 1-aus-n-Multiplexer für jeden der beiden Eingangs­ anschlüsse 9a, 9b des angeschlossenen Übertragungskanals 10, während die Schaltbausteine 19a-19f als 2xEIN-Schalter auf­ gebaut sind. Die jeweiligen Ansteuersignale für diese Schalt­ bausteine 8a, 8b bzw. 19a-19f werden von den Datenverarbei­ tungs-Baugruppen 13, 21 generiert und sind zusätzlich poten­ tialmäßig aufgetrennt, so dass auch auf diesem Weg keine Störspannungen durch die Barriere 45 in den Datenverarbei­ tungsbereich 13, 21 gelangen können. Um einen ordnungsgemäßen Betrieb sicherzustellen, müssen von den Schaltern 8a, 8b je­ weils die einander entsprechenden Eingänge zu den Ausgangs­ signalen 9a, 9b durchgeschalten werden. Andererseits muss bei der Schaltungsanordnung mit den Schaltern 19a-19f sicherge­ stellt werden, dass stets nur ein einziger Schalterbaustein 19a-19f durchgeschalten ist.
Unter Beachtung dieser Schaltregeln können zu jedem der bei­ den Übertragungskanäle 10, 17 neben den drei Eingangssignal­ anschlüssen 7a-7c auch drei Testsignale durchgeschalten werden. Am deutlichsten ist dies bei dem Übertragungskanal 17 zu erkennen, wo für jeden Testmodus ein eigener Schalter 19d-19f vorgesehen ist. Wird hiervon der Schalter 19d geschlos­ sen, so liegt an beiden Eingängen 18a, 18b des Analog- Frequenz-Wandlers 47 dieselbe Spannung an, nämlich das analo­ ge Massepotential 39. Demzufolge muss bei diesem Testmodus stets ein Zählerwert von null ausgelesen 20 werden. Ist dies nicht der Fall, so ist der getestete Kanal defekt.
Über einen weiteren Schalter 19e kann einerseits das Massepo­ tential 39 und andererseits eine fest vorgegebene Referenz­ spannung 54 von bspw. 2,5 V gegenüber dem Massepotential 39 zu den Eingängen 18a, 18b des Analog-Frequenz-Wandlers 47 durchgeschalten werden, und sofern nicht ein dieser Span­ nungsamplitude 54 entsprechender Wert aus dem Zähler 53 aus­ gelesen 20 wird, so liegt ebenfalls ein Fehler vor.
Schließlich kann mit dem Schalter 19f eine kontinuierliche Überprüfung des Übertragungskanals 47 für beliebige Zwischen­ werte vorgenommen werden. Hierbei findet ein Testkanal 30 Verwendung, der von der Datenverarbeitungs-Baugruppe 13 ange­ steuert 31 wird. Kern dieses Testkanals bildet ein Frequenz- Analogspannungs-Wandler 55, der zwecks Potentialtrennung 45 über einen Optokoppler 56 mit einer Bitfolge beschickt wird, die von einem Schieberegister 57 ausgegeben wird. Das Schie­ beregister 57 wird über die Steuerleitung 31 von der Datenve­ rarbeitungs-Baugruppe 13 geladen und sodann mit einer vorge­ gebenen Frequenz getaktet, derart, dass sämtliche Bits dieses Schieberegisters 57 in einem vorgegebenen Zeitintervall an dem Ausgang 58 abgegeben werden. Je nach Anzahl der Flanken der von dem Schieberegister 57 abgegebenen Impulsfolge 58 er­ zeugt der Frequenz-Spannungs-Wandler 55 unterschiedliche Ana­ logspannungen 32, welche sodann - bezogen auf das analoge Massenpotential 39 - über den Schalter 19f an die Eingänge 18 des zu testenden Übertragungssignals 17 gelegt werden. Dort wird diese Spannung zurückgewandelt und kann von der zweiten Datenverarbeitungs-Baugruppe 21 eingelesen 20 werden. Diese meldet das registrierte Ergebnis über den Speicher 22 an die erste Datenverarbeitungs-Baugruppe 13, welche den solcherma­ ßen am Ende der Schleife erhaltenen Wert mit dem ursprünglich an das Schieberegister 57 ausgegebenen Wert vergleicht und hieraus größere Abweichungen erkennen und ggf. einen Fehler feststellen kann.
Mit demselben Testsignal 39, 54, 32 kann auch der erste Über­ tragungskanal 10 getestet werden, wobei ausschließlich die Steuerung der Multiplexer 8a, 8b entsprechend vorgenommen werden muss.
Bei einer weiter modifizierten Ausführungsform kann auch die Eingangsbeschaltung etwa bis zu der Barriere 45 pro Periphe­ riebaustein 4 insgesamt doppelt ausgeführt sein, um die Si­ cherheit weiter zu verbessern. Solchenfalls kann bei der Zu­ ordnung der Eingänge 7a, 7b und 7c zu den Bausteinen 8, 19 und/oder die Zuordnung der Spannungs-Frequenz-Wandler 46, 47 zu den Datenverarbeitungs-Baugruppen 13, 21 bei den beiden Eingangsbeschaltungen über Kreuz erfolgen, so dass die beiden Eingangsbeschaltungen quasi antiparallel von den Datenverar­ beitungs-Baugruppen 13, 21 angesteuert werden.

Claims (24)

1. Peripheriebaustein (4) mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen (1, 5), insbesondere Ana­ logeingabe-Schaltung, gekennzeichnet durch we­ nigstens zwei weitgehend identisch aufgebaute Kanäle (10, 17) zur parallelen Signalein- und/oder -ausgabe, die im Bereich der Peripherieschnittstelle (7) parallelgeschalten und/oder parallelschaltbar sind, und durch wenigstens eine Datenverar­ beitungs-Block (µP oder µC; 13) zum Testen der Kanäle (10, 17) ohne Unterbrechung des Datenflusses.
2. Peripheriebaustein nach Anspruch 1, gekenn­ zeichnet durch eine zweite(n), Datenverarbeitungs- Block (µP oder µC; 21) zum Aufbereiten der zu übertragenden Daten (11, 20) während einer Testphase.
3. Peripheriebaustein nach Anspruch 2, dadurch gekennzeichnet, dass jede der beiden Datenve­ rarbeitungs-Blöcke (13, 21) je einem Kanal (10, 17) zugeord­ net ist und derart ausgebildet ist, dass er sowohl die Sig­ nalaufbereitung wie auch den Test dieses Kanals (10, 17) übernehmen kann.
4. Peripheriebaustein nach Anspruch 3, dadurch gekennzeichnet, dass die beiden Datenverarbei­ tungs-Blöcke (13, 21) zwecks Informationsaustausch miteinan­ der gekoppelt sind (22, 23, 25).
5. Peripheriebaustein nach Anspruch 4, dadurch gekennzeichnet, dass die beiden Datenverarbei­ tungs-Blöcke (13, 21) über bausteininterne Verbindungen (22, 23, 25) miteinander gekoppelt sind.
6. Peripheriebaustein nach Anspruch 5, dadurch gekennzeichnet, dass die beiden Datenverarbei­ tungs-Blöcke (13, 21) über einen Speicher (22) gekoppelt sind, auf den sie beide Zugriff haben.
7. Peripheriebaustein nach Anspruch 6, dadurch gekennzeichnet, dass die beiden Datenverarbei­ tungs-Blöcke (13, 21) an unterschiedlichen Ein-/Ausgängen (24, 29) des Speichers (22) angeschlossen (23, 25) sind (Dual-Port-RAM).
8. Peripheriebaustein nach einem der vorhergehenden Ansprü­ che, dadurch gekennzeichnet, dass bei einem Zweikanal-Eingabe-Baustein (4) ein zusätzlicher Ausga­ bekanal (30), bei einem Zweikanal-Ausgabe-Baustein ein zu­ sätzlicher Einlesekanal vorgesehen ist, der mit jedem der beiden übrigen Kanäle (10, 17) koppelbar (8, 19) ist, um eine Schleife über jeweils einen der beiden parallelen Kanäle (10, 17) zu bilden, so dass die ordnungsgemäße Verarbeitung eines Testsignals (32) überprüfbar ist.
9. Peripheriebaustein nach Anspruch 8, dadurch gekennzeichnet, dass die Ansteuerung (31) des Testkanals (30) einem der beiden Datenverarbeitungs-Blocks (13) fest zugewiesen ist.
10. Peripheriebaustein nach einem der vorhergehenden Ansprü­ che, dadurch gekennzeichnet, dass die beiden Kanäle (10, 17) auf der selben Platine angeordnet sind.
11. Peripheriebaustein nach Anspruch 10, dadurch gekennzeichnet, dass wenigstens ein Datenverar­ beitungs-Block (13, 21) zusammen mit den beiden Kanälen (10, 17) auf der selben Platine angeordnet ist.
12. Peripheriebaustein nach einem der vorhergehenden Ansprü­ che, dadurch gekennzeichnet, dass in beiden Kanälen (10, 17), vorzugsweise auch in einem Testkanal (30), eine Potentialtrennung (45) vorgesehen ist.
13. Peripheriebaustein nach einem der vorhergehenden Ansprü­ che für eine analoge Ein- und/oder Ausgabe, dadurch gekennzeichnet, dass eine Signalumsetzung (46, 47) zwischen analogen Strom- oder Spannungspegeln (9, 18) ei­ nerseits und einem alternierenden Signal (Impulsfolge; 48, 49) mit einer zu dem Analogsignal (9, 18) proportionalen Fre­ quenz andererseits erfolgt.
14. Peripheriebaustein nach Anspruch 12 in Verbindung mit Anspruch 13, dadurch gekennzeichnet, dass die Potentialtrennung (45) bei dem alternierenden Signal (48, 49) erfolgt, bspw. über Optokoppler (50, 51).
15. Peripheriebaustein nach Anspruch 13 oder 14, da­ durch gekennzeichnet, dass das alternie­ rende Signal (48, 49) einem Zählerbaustein (52, 53) zugeführt ist, um durch Zählen der Impulse (48, 49) innerhalb eines festen Zeitintervalls einen zu der Frequenz des alternieren­ den Signals (48, 49) proportionalen Digitalwert (12, 20) zu erzeugen.
16. Peripheriebaustein nach einem der Ansprüche 13 oder 14, dadurch gekennzeichnet, dass das alter­ nierende Signal (58) einem Baustein (57) mit einem seriellen Ausgang entnommen wird, bspw. einem Schieberegister, welches in einem vorgegebenen Zeitintervall eine vorgegebene Anzahl von Ausgangsbits abgibt.
17. Verfahren zum Betrieb eines Peripheriebausteins nach ei­ nem der vorhergehenden Ansprüche, dadurch ge­ kennzeichnet, dass stets ein Kanal (10, 17) zur Signalübertragung verwendet wird, während der andere (17, 10) zu Test- und/oder Korrekturzwecken betrieben wird.
18. Verfahren nach Anspruch 17, dadurch ge­ kennzeichnet, dass die Ausgangssignale der beiden Kanäle (10, 17) voneinander subtrahiert werden, wobei das Subtraktionsergebnis mit wenigstens einem vorgegebenen Grenz­ wert verglichen wird, um bei einer größeren Abweichung einen Fehler zu erkennen.
19. Verfahren nach Anspruch 17 oder 18, gekenn­ zeichnet durch einen Testmodus, wobei ein Kanal (10, 17) zur Signalübertragung verwendet und der andere (17, 10) währenddessen einem Test unterzogen wird, indem ein Testsig­ nal (31) ausgegeben und wieder eingelesen wird, und wobei der ausgegebene und der eingelesene (12, 20) Signalwert voneinan­ der subtrahiert werden, und wobei schließlich das Subtrakti­ onsergebnis mit wenigstens einem vorgegebenen Grenzwert ver­ glichen wird, um bei einer größeren Abweichung einen Fehler zu erkennen.
20. Verfahren nach Anspruch 19, dadurch ge­ kennzeichnet, dass der Testmodus in kurzen Zeit­ abständen wiederholt wird, wobei jeweils zunächst ein Kanal (10, 17) und sodann der andere (17, 10) getestet (32) wird und der jeweils andere währenddem die Signalübertragung (7) übernimmt.
21. Verfahren nach einem der Ansprüche 17 bis 20, da­ durch gekennzeichnet, dass ein Daten­ verarbeitungs-Baustein (13) die Auswertung der Testergebnisse (Vergleich der Ausgangssignale beider Kanäle bzw. des einge­ lesenen mit dem ausgegebenen Testergebnis) übernimmt.
22. Verfahren nach Anspruch 21, dadurch ge­ kennzeichnet, dass ein Datenverarbeitungs- Baustein (13, 21), vorzugsweise der die Auswertung überneh­ mende (13), über eine Datenschnittstelle (15) mit der Zent­ raleinheit (ZE, ZE1, 2) der speicherprogrammierbaren Steue­ rung (1, S) kommuniziert.
23. Verfahren nach Anspruch 22, dadurch ge­ kennzeichnet, dass von dem mit der Zentraleinheit (ZE, ZE1, 2) der speicherprogrammierbaren Steuerung (1, 5) kommunizierende (15) Datenverarbeitungs-Baustein (13) ein In­ formationssignal über den aktuellen Test- bzw. Fehlerstatus bereitgehalten wird.
24. Verfahren nach einem der Ansprüche 17 bis 23, da­ durch gekennzeichnet, dass jeder Daten­ verarbeitungs-Baustein (13, 21) je eine eigene Datenschnitt­ stelle (15, 26) zu je einer Datenverbindung aufweist, so dass die Verwendung zweier voneinander völlig unabhängiger Daten­ leitungen (16, 3; 28, 3) möglich ist.
DE10035174A 2000-05-18 2000-07-19 Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen Withdrawn DE10035174A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE10035174A DE10035174A1 (de) 2000-05-18 2000-07-19 Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE50100806T DE50100806D1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
AT01943110T ATE252249T1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
EP01943110A EP1282859B1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
PCT/DE2001/001885 WO2001088711A1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
ES01943110T ES2208609T3 (es) 2000-05-18 2001-05-17 Componente periferico con una alta seguridad frente a errores para controles programables con memoria.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10024479 2000-05-18
DE10035174A DE10035174A1 (de) 2000-05-18 2000-07-19 Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen

Publications (1)

Publication Number Publication Date
DE10035174A1 true DE10035174A1 (de) 2001-12-06

Family

ID=7642601

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10035174A Withdrawn DE10035174A1 (de) 2000-05-18 2000-07-19 Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE50100806T Expired - Lifetime DE50100806D1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE50100806T Expired - Lifetime DE50100806D1 (de) 2000-05-18 2001-05-17 Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen

Country Status (2)

Country Link
US (1) US7149925B2 (de)
DE (2) DE10035174A1 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004010003A1 (de) * 2004-03-01 2005-09-29 Siemens Ag Automatisierungssystem und Verfahren zur Erkennung und Korrektur von Anschlussfehlern
EP1701230A1 (de) * 2005-03-10 2006-09-13 Siemens Aktiengesellschaft Diagnose parallel geschalteter, redundanter Signalausgabekanäle
DE102005030276A1 (de) * 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
US7613592B2 (en) 2005-03-11 2009-11-03 Siemens Aktiengeseschaft Two-channel method for continuously determining at least one output signal from changing input signals
DE102009016485A1 (de) * 2009-04-06 2010-10-07 Siemens Aktiengesellschaft Steuereinrichtung und zugehöriges Steuerverfahren zur Steuerung einer elektrischen Einrichtung
DE102013111888A1 (de) 2013-10-29 2015-04-30 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen Verarbeiten eines analogen Eingangssignals
EP2667267A3 (de) * 2012-05-24 2016-06-01 PHOENIX CONTACT GmbH & Co. KG Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
EP1589386B1 (de) 2004-04-16 2018-01-10 Sick Ag Prozesssteuerung

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030125817A1 (en) * 2001-12-31 2003-07-03 Scharwat Frank E. Multiple action controller system
ES2407808T3 (es) * 2002-05-21 2013-06-14 Koninklijke Kpn N.V. Sistema y método para monitorización de red y red correspondiente
GB0312414D0 (en) * 2003-05-30 2003-07-02 Fortress Interlocks Ltd Security or safety bus system
US7287184B2 (en) * 2003-09-16 2007-10-23 Rockwell Automation Technologies, Inc. High speed synchronization in dual-processor safety controller
US7681199B2 (en) * 2004-08-31 2010-03-16 Hewlett-Packard Development Company, L.P. Time measurement using a context switch count, an offset, and a scale factor, received from the operating system
DE102005037236A1 (de) * 2005-08-08 2007-02-15 Robert Bosch Gmbh Vorrichtung und Verfahren zur Konfiguration einer Halbleiterschaltung
JP4925271B2 (ja) * 2006-08-21 2012-04-25 株式会社メガチップス 一眼レフデジタルカメラにおける連続撮像方法
TW200847087A (en) * 2007-05-18 2008-12-01 Beyond Innovation Tech Co Ltd Method and system for protecting information between a master terminal and a slave terminal
FR2924238B1 (fr) * 2007-11-22 2009-12-11 Schneider Electric Ind Sas Module d'entrees/sorties integrant une fonction logique pour controler les donnees
EP2090945B1 (de) 2008-02-14 2011-10-26 Siemens Aktiengesellschaft Eingabebaugruppe und Verfahren zur Fehlererkennung
DK201870684A1 (en) * 2018-08-27 2020-05-19 Aptiv Technologies Limited PARTITIONED WIRELESS COMMUNICATION SYSTEM WITH REDUNDANT DATA LINKS AND POWER LINES

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4199799A (en) * 1978-03-24 1980-04-22 General Electric Company Supervisory circuit for redundant channel control systems
US4270168A (en) * 1978-08-31 1981-05-26 United Technologies Corporation Selective disablement in fail-operational, fail-safe multi-computer control system
US4542506A (en) * 1981-06-30 1985-09-17 Nec Home Electronics Ltd. Control system having a self-diagnostic function
US4692298A (en) * 1985-10-18 1987-09-08 Westinghouse Electric Corp. Analog process control system testing
US4907228A (en) * 1987-09-04 1990-03-06 Digital Equipment Corporation Dual-rail processor with error checking at single rail interfaces
US5088021A (en) * 1989-09-07 1992-02-11 Honeywell, Inc. Apparatus and method for guaranteed data store in redundant controllers of a process control system
DE4235872C2 (de) 1992-10-23 1996-12-19 Siemens Ag Überwachungsverfahren für ein elektrisches Gerät
DE4408603A1 (de) 1994-03-08 1995-09-14 Mannesmann Ag Verfahren zur Erhöhung der Sicherheit in hierarchisch strukturierten Automatisierungssystemen
DE4416795C2 (de) 1994-05-06 1996-03-21 Mannesmann Ag Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
US5508910A (en) * 1994-09-26 1996-04-16 Forney International, Inc. Redundant analog I/O board system
US5589766A (en) * 1995-04-06 1996-12-31 General Electric Company Field-testable integrated circuit and method of testing
US5970430A (en) * 1996-10-04 1999-10-19 Fisher Controls International, Inc. Local device and process diagnostics in a process control network having distributed control functions
CA2267528C (en) * 1996-10-04 2006-04-04 Fisher Controls International, Inc. Maintenance interface device for use in a process control network
DE19814102C2 (de) 1998-03-30 1999-05-12 Siemens Ag Datenübertragungsverfahren
EP1086408B1 (de) * 1998-06-10 2003-01-29 Siemens Aktiengesellschaft Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung
DE19860358B4 (de) 1998-12-24 2008-05-08 Wratil, Peter, Dr. Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen
DE19904892B4 (de) 1999-02-06 2008-06-12 Wratil, Peter, Dr. Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten in Steuerungseinrichtungen
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NICHTS ERMITTELT *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7462041B2 (en) 2004-03-01 2008-12-09 Siemens Aktiengesellschaft Automation system and method for identifying and correcting connection errors
DE102004010003A1 (de) * 2004-03-01 2005-09-29 Siemens Ag Automatisierungssystem und Verfahren zur Erkennung und Korrektur von Anschlussfehlern
EP1589386B1 (de) 2004-04-16 2018-01-10 Sick Ag Prozesssteuerung
US7764620B2 (en) 2005-03-10 2010-07-27 Siemens Aktiengesellschaft Diagnosis of redundant signal output channels connected in parallel
EP1701230A1 (de) * 2005-03-10 2006-09-13 Siemens Aktiengesellschaft Diagnose parallel geschalteter, redundanter Signalausgabekanäle
US7613592B2 (en) 2005-03-11 2009-11-03 Siemens Aktiengeseschaft Two-channel method for continuously determining at least one output signal from changing input signals
US7593205B2 (en) 2005-06-21 2009-09-22 Pilz Gmbh & Co. Kg Safety switching apparatus and method for safe disconnection of a load
DE102005030276A1 (de) * 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
DE102009016485A1 (de) * 2009-04-06 2010-10-07 Siemens Aktiengesellschaft Steuereinrichtung und zugehöriges Steuerverfahren zur Steuerung einer elektrischen Einrichtung
EP2667267A3 (de) * 2012-05-24 2016-06-01 PHOENIX CONTACT GmbH & Co. KG Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
DE102013111888A1 (de) 2013-10-29 2015-04-30 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen Verarbeiten eines analogen Eingangssignals
EP2869147A2 (de) 2013-10-29 2015-05-06 PHOENIX CONTACT GmbH & Co. KG Sicherheitsvorrichtung zum mehrkanaligen Verarbeiten eines analogen Eingangssignals
DE102013111888B4 (de) 2013-10-29 2018-06-14 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen Verarbeiten eines analogen Eingangssignals

Also Published As

Publication number Publication date
DE50100806D1 (de) 2003-11-20
US7149925B2 (en) 2006-12-12
US20040078715A1 (en) 2004-04-22

Similar Documents

Publication Publication Date Title
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
EP3069202B1 (de) Sicherheitssteuerung mit konfigurierbaren eingängen
EP1923759B1 (de) Verfahren und System zur sicheren Datenübertragung
EP1952238B1 (de) Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
DE4441070C2 (de) Sicherheitsschalteranordnung
EP0007579B1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
EP1059576B1 (de) Sicherheitsschalteranordnung mit zwei Aktoren
DE102017123615B4 (de) Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
EP3170287A1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1833005A1 (de) Detektionssystem und Detektionsverfahren
EP1748299B1 (de) Elektronische Schaltung, System mit einer elektronischen Schaltung und Verfahren zum Testen einer elektronischen Schaltung
DE102008032823B4 (de) Sichere Anschlussvorrichtung
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE19815147A1 (de) Sensoranordnung
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
DE102008045590B3 (de) Bussystem
DE19540069A1 (de) Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
EP1128241B1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
EP1025501A1 (de) Verfahren und vorrichtung zur überprüfung einer fehlerüberwachung einer schaltung
EP0660044B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen
DE3739227C2 (de)
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE102023121718A1 (de) Sichere digitale eingangsschaltung zur entkopplung von diagnoseausgängen
DE2709819A1 (de) Schaltungsanordnung zur ueberpruefung von vergleichern

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8139 Disposal/non-payment of the annual fee