DE102005055428A1 - Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem - Google Patents

Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem Download PDF

Info

Publication number
DE102005055428A1
DE102005055428A1 DE102005055428A DE102005055428A DE102005055428A1 DE 102005055428 A1 DE102005055428 A1 DE 102005055428A1 DE 102005055428 A DE102005055428 A DE 102005055428A DE 102005055428 A DE102005055428 A DE 102005055428A DE 102005055428 A1 DE102005055428 A1 DE 102005055428A1
Authority
DE
Germany
Prior art keywords
code
sequence
code sequence
bus module
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102005055428A
Other languages
English (en)
Other versions
DE102005055428B4 (de
Inventor
Gudrun Ritz
Peter Weichhold
Jürgen Wolski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102005055428A priority Critical patent/DE102005055428B4/de
Priority to DE502006004150T priority patent/DE502006004150D1/de
Priority to US12/085,269 priority patent/US7844865B2/en
Priority to EP06830033A priority patent/EP1952238B1/de
Priority to PCT/EP2006/068623 priority patent/WO2007057445A1/de
Publication of DE102005055428A1 publication Critical patent/DE102005055428A1/de
Application granted granted Critical
Publication of DE102005055428B4 publication Critical patent/DE102005055428B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Debugging And Monitoring (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

Das Busmodul ist an ein Bussystem (ASI) anschließbar und weist Mittel (17, 27) zur Ausgabe sicherheitsgerichteter Signale in Form von sich wiederholenden eindeutigen Kodefolgen (18) auf. Erfindungsgemäß weist das Busmodul eine erste und zweite Rechnereinheit (10a, 10b; 10b, 20b) mit Mitteln zur Ausführung von Softwareprogrammen auf, wobei ein Kodeerzeugerprogramm (11a, 21a) der ersten Rechnereinheit (10a, 20a) eine erste Teilkodefolge (12a) der Kodefolge (18) und ein Kodeerzeugerprogramm (11b, 21b) der zweiten Rechnereinheit (10b, 20b) den restlichen Teil der Kodefolge (18) als zweite Teilkodefolge (12b) erzeugt. Am Ausgang des Busmoduls wird vorteilhaft nur dann eine ordnungsgemäße Kodefolge (18) ausgegeben, wenn beide Rechnereinheiten (10a, 10b; 20a, 20b) ordnungsgemäß funktionieren. Eine Abweichung in der ausgegebenen Kodefolge (18) kann dann von einem Monitor oder Aktuator festgestellt werden. Darüber hinaus ist in vorteilhafter Weise eine niedrigere Sicherheitskategorie für die auf der jeweiligen Rechnereinheit (10a, 10b; 20a, 20b) ausgeführte Sicherheitssoftware, insbesondere für die Kodeerzeugerprogramme (11a, 11b; 21a, 21b), erforderlich. Das Zertifizierungs- bzw. Zulassungsverfahren wird dadurch vereinfacht und erheblich beschleunigt. Zudem verringert sich der Entwicklungsaufwand für eine solche Sicherheitssoftware deutlich.

Description

  • Die Erfindung betrifft ein Busmodul zum Anschluss an ein Bussystem, welches Mittel zur Ausgabe sicherheitsgerichteter Signale in Form von sich wiederholenden eindeutigen Kodefolgen aufweist. Die Erfindung betrifft zudem die Verwendung eines solchen Busmoduls in einem AS-i-Bussystem.
  • Derartige Busmodule können beispielsweise an ein AS-i-Bussystem nach der EN 50295-Norm bzw. nach dem zur Veröffentlichung anstehenden IEC 62026-2-Standard angeschlossen werden. Bei dem AS-i-Bussystem (AS-i für Actuator Sensor Interface) handelt es sich um einen Feldbus, der ein ungeschirmtes 2-Leiter-Flachkabel für die gemeinsame Übertragung von elektrischer Energie und Daten nutzt. Die maximale Kabellänge beträgt dabei ca. 100 m, wobei eine Verlängerung der Kabellänge durch Repeater möglich ist. Darüber hinaus ist jede Netzwerktopologie des Bussystems, wie z. B. eine Baumstruktur, zulässig.
  • An ein Bussystem der oben genannten Art können je nach Betriebsart bis zu 31 bzw. 62 Slaves an einen Master angeschlossen werden. Der Slave stellt eine datentechnische Verbindung zu einem Sensor oder zu einem Aktuator, der Master eine datentechnische Verbindung zu einem Hostsystem her, welches z. B. aus einer SPS (für Speicherprogrammierbare Steuerung), einem PC (für Personal Computer) oder aus einem Koppler zu einem übergeordneten Feldbussystem besteht. Die Funktionalität des Slaves ist vorzugsweise komplett im Sensor bzw. im Aktuator integriert.
  • Bei der Datenübertragung wird ein sicherheitsgerichtetes Signal in Form von sich wiederholenden eindeutigen Kodefolgen übertragen, wobei jedes Signal mehrfach auf Übertragungs fehler geprüft wird. Im Falle eines Fehlers wird die Kodefolge des Signals automatisch wiederholt, wobei dieser fehlerhaften Kodefolge dann zumindest neun korrekte Kodefolgen folgen müssen.
  • Das AS-i-Bussystem ist besonders für binäre und analoge Geräte der unteren Automatisierungsebene ausgebildet. Derartige Geräte sind z. B. Komponenten der Arbeitssicherheit wie Not-Aus-Schalter, Türkontakt-Schalter, Lichtvorhänge, Trittmatten, Absperrungen oder dergleichen. Die Signale solcher Sicherheitssensoren werden von einem Monitor überwacht, der über entsprechende Schaltausgänge Maschinen oder die Anlagen in einen sicheren Zustand versetzen kann.
  • Die Busmodule wie Slave, Master, Monitor oder Netzteil können an jeder beliebigen Stelle des Bussystems angeschlossen werden. Das Bussystem ist erweiterbar, leicht zu installieren und im Vergleich zu komplexeren Bussystemen wie Profibus, CAN-Bus erheblich günstiger in der Anschaffung.
  • Ein Busmodul mit der Funktionalität eines Slaves kann sicherheitsgerichtete Signale z. B. durch eine interne Verknüpfungslogik erzeugen. Die Signale können aber auch aus einem übergeordneten Bussystem oder aus einem angeschlossenen Rückwandbus eingelesen werden. Ein derartiges sicherheitsgerichtetes Signal kann z. B. aus einer ODER-Verknüpfung aus einem Trittmattensignal und aus einem Lichtvorhangsignal erzeugt werden. Das Signal wird vom Master zyklisch abgefragt und dann an den jeweils adressierten Aktuator weitergeleitet.
  • Ein sicherheitsgerichtetes Signal wird als sich wiederholende Kodefolge mit eindeutigen Kodierungen auf das Bussystem ausgegeben. Ist das Signal aktiv und für einen Aktuator zur Ausgabe bestimmt, so werden entsprechend der oben genannten Norm bzw. dem oben genannten Standard sieben Kodierungen zyklisch erzeugt, wobei sich eine aktuelle Kodierung von einer vorangegangenen Kodierung unterscheidet. Für einen Aktuator werden zyklisch sieben Kodierungen á 4 Bit ausgegeben, wobei eine Kodierung mit vier logischen „0"-Werten oder vier „1"-Werten selbst nicht erzeugt wird. Anstelle der binären Wertebezeichnung „0" oder „1" für einen logischen Zustand ist auch die Wertebezeichnung „L" oder „H" gängig. Empfängerseitig, d. h. auf Seiten des Aktuators, wird diese 7 × 4-Bit-Kodefolge intern mit einer auf die gleiche Weise gebildeten Kodefolge verglichen. In einem Fehlerfall, d. h. bei einer detektierten Abweichung, setzt der Aktuator seinen Schaltausgang zurück. Ein Busmodul kann folglich den Schaltzustand eines Aktuators zurücksetzen, indem dieses die Kodefolge verändert oder aussetzt. Bei dem vorliegenden Beispiel wird z. B. bei Betreten der Trittmatte das sicherheitsgerichtete Signal zurückgenommen. Der adressierte Aktuator stellt eine Abweichung von der empfangenen zu der selbst generierten Vergleichsfolge fest und ändert daraufhin den Schaltzustand am Ausgang. Dadurch kann z. B. ein Warnlichtsignal eingeschaltet werden.
  • Im Falle der Adressierung eines Monitors werden entsprechend der oben genannten Norm bzw. des oben genannten Standards acht sich wiederholende Kodierungen anstelle von sieben sich wiederholenden Kodierungen verwendet. Im Fehlerfall bzw. bei Rücknahme eines sicherheitsgerichteten Signals durch das Busmodul ändert der Monitor in entsprechender Weise seinen Schaltzustand. Auf diese Weise kann z. B. die Energieversorgung der zu überwachenden Maschine oder der Anlage abgeschaltet werden.
  • Bisher erfolgte die Ausgabe der sicherheitsgerichteten Signale mittels einer Rechnereinheit, auf welcher eine sichere Software ausgeführt wird. In der Regel benötigen Sicherheitsgeräte bzw. Sicherheitssteuerungen vor ihrer Verwendung eine besondere Zulassung durch zuständige Aufsichtsbehörden, wie beispielsweise in Deutschland durch den TÜV oder durch die Berufsgenossenschaften. Das Sicherheitsgerät muss dabei vorgegebene Sicherheitsstandards einhalten, die beispielsweise in der europäischen Norm EN 954-1 niedergelegt sind, und zumindest die Sicherheitskategorie 3 der genannten europäischen Norm erfüllen.
  • Nachteil daran sind die extrem hohen Anforderungen an die eigene Fehlersicherheit eines Geräts und der damit verbundene Zeit- und Entwicklungsaufwand für die Zulassung bzw, für die Zertifizierung einer Sicherheitssoftware auf einem solchen Gerät. Insbesondere ist bei der Entwicklung der Sicherheitssoftware zu berücksichtigen, dass in allen möglichen Ausfallsfällen der Rechnereinheit sicher die ausgegebene Kodefolge zumindest verändert wird, so dass im darauf folgenden Zyklus, spätestens beim übernächsten Zyklus, der Aktuator bzw. der Monitor die fehlerhafte Kodefolge detektieren kann. So ist durchaus vorstellbar, dass bei einem Absturz der Rechnereinheit der Prozessor derart in einer Schleife verharrt, dass weiterhin die Kodefolge zyklisch ausgegeben wird.
    •
  • Es ist somit eine Aufgabe der Erfindung, ein Busmodul anzugeben, bei welchem die oben genannten Nachteile vermieden werden.
  • Eine weitere Aufgabe der Erfindung ist es, eine geeignete Verwendung für ein solches Busmodul anzugeben.
  • Diese Aufgabe wird durch ein Busmodul zum Anschluss an ein Bussystem gemäß Anspruch 1 gelöst. Weitere vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen 2 bis 9 angegeben. In Anspruch 10 ist eine geeignete Verwendung eines solchen Bussystems angegeben.
  • Erfindungsgemäß weist das Busmodul eine erste und zweite Rechnereinheit mit Mitteln zur Ausführung von Softwareprogrammen auf, wobei ein Kodeerzeugerprogramm der ersten Rechnereinheit eine erste Teilkodefolge der Kodefolge und ein Kodeerzeugerprogramm der zweiten Rechnereinheit den restlichen Teil der Kodefolge als zweite Teilkodefolge erzeugt.
  • Der große Vorteil der Erfindung besteht darin, dass am Ausgang des Busmoduls nur dann eine ordnungsgemäße Kodefolge ausgegeben wird, wenn beide Rechnereinheiten ordnungsgemäß funktionieren. Fällt nun eine der Rechnereinheiten aus, so ändert sich die Teilkodefolge. Dadurch ändert sich auch die gesamte Kodefolge, deren Abweichung dann vom Monitor bzw. vom Aktuator sofort festgestellt werden kann.
  • Darüber hinaus ist in vorteilhafter Weise eine niedrigere Sicherheitskategorie für die auf der jeweiligen Rechnereinheit ausgeführte Sicherheitssoftware, insbesondere für die Kodeerzeugerprogramme, erforderlich. Das Zertifizierungs- bzw. Zulassungsverfahren wird dadurch vereinfacht und erheblich beschleunigt. Zudem verringert sich der Entwicklungsaufwand für eine solche Sicherheitssoftware deutlich.
  • Erzeugen die beiden Kodeerzeugerprogramme ausschließlich Kodierungen der jeweils eigenen Teilkodefolge, so kann die jeweils komplementäre, d. h. der von der gesamten Kodefolge verbleibende Teil, nicht von der anderen Rechnereinheit „erraten" werden, da die Kodierung der jeweils anderen Teilkodefolge nicht Bestandteil des jeweiligen Kodeerzeugerprogramms ist. Im Fall von 4-Bit breiten Kodierungen können z. B. in einem Speicherbereich einer Rechnereinheit nur die jeweiligen 2-Bit breiten Kodierungen hinterlegt sein, welche von einem Prozessor der jeweiligen Rechnereinheit nacheinander eingelesen und dann ausgegeben werden.
  • Typischerweise werden die beiden Rechnereinheiten mittels einer Synchronisierungsleitung, wie z. B. mittels einer Taktleitung, synchronisiert, so dass die beiden Teilkodefolgen synchron auf das Bussystem ausgegeben werden. Die beiden Rechnereinheiten können hierzu jeweils ein Ausgaberegister oder einen Ausgabeport aufweisen, an welchen die elektrischen Signale der jeweiligen Teilkodefolge abgegriffen werden können.
  • Insbesondere weist die Kodefolge Kodierungen mit einem 4-Bit breiten Wertebereich auf, welche sich insbesondere nach sieben oder acht Kodierungen wiederholen. Jede Kodierung ist dabei von einer vorangegangenen Kodierung verschieden. Aufeinander folgende gleiche Kodierungen zeigen eine fehlerhafte Kodefolge an. Dies ist häufig dann der Fall, wenn aufgrund eines gravierenden Fehlers bei der Abarbeitung eines Softwareprogramms eine so genannte „Exception" ausgelöst wird. In einem solchen Fall wird die weitere Prozessverarbeitung durch die Rechnereinheit gestoppt.
  • Gemäß der oben genannten Norm bzw. des oben genannten Standards weist die Kodefolge nur binäre Kodierungen mit maximal drei „0"-Werten oder drei „1"-Werten auf. Dies bedeutet, dass Bitfolgen eines jeweiligen Kodierungsbits der Kodefolge mit ausschließlich binären „0"-Werten oder „1"-Werten nicht zulässig sind. Diese Folgen würden insbesondere im Fall eines Stopps der Prozessverarbeitung ausgegeben.
  • In einer bevorzugten Ausführungsform der Erfindung erzeugen die beiden Kodeerzeugerprogramme außerdem je eine Freigabefolge, welche ausschließlich binäre „0"- und/oder „1"-Werte je Kodierungsbit enthält. Die Mittel zur Ausgabe der sicherheitsgerichteten Signale weisen UND-Elemente und/oder ODER-Elemente zur logischen Verknüpfung der Kodierungsbits der jeweiligen Teilkodefolgen mit den jeweiligen korrespondierenden Kodierungsbits der Freigabefolgen zur Bildung der Kodefolge auf.
  • Der besondere Vorteil ist, dass bei Erkennung eines fehlerhaften Verhaltens der (eigenen) Rechnereinheit die Ausgabe der Teilkodefolgen der anderen Rechnereinheit durch Änderungen der Werte der Freigabefolgen unterbunden werden kann. Ist z. B. der eine Eingang des UND-Elements mit dem korrespondierenden Ausgabeport eines Kodierungsbits der Teilkodefolge der einen Rechnereinheit verbunden, so durchläuft dieses Signal das UND-Element unverändert, wenn am anderen Eingang des UND-Elements eine 1-bit breite Freigabefolge mit „1"-Werten der anderen Rechnereinheit anliegt. Wird nun die Freigabefolge auf Werte mit einem „0"-Wert geändert, so liegen am Ausgang des UND-Elements nur noch „0"-Werte an. Spätestens im übernächsten Zyklus wird dann diese Kodefolge empfängerseitig als fehlerhaft erkannt. Ist z. B. der eine Eingang des ODER-Elements mit dem korrespondierenden Ausgangsport eines Kodierungsbits der Teilkodefolge der einen Rechnereinheit verbunden, so durchläuft dieses Signal das ODER-Element unverändert, wenn am anderen Eingang des UND-Elements eine 1-bit breite Freigabefolge mit „0"-Werten der anderen Rechnereinheit anliegt. Wird nun die Freigabefolge auf Werte mit einem „1"-Wert geändert, so liegen am Ausgang des ODER-Elements nur noch „1"-Werte an. Spätestens im übernächsten Zyklus wird dann auch diese Kodefolge empfängerseitig als fehlerhaft erkannt.
  • In einer bevorzugten Ausführungsform sind die beiden Rechnereinheiten über eine Datenleitung zum Austausch von Synchronisierungsdaten verbunden. Das Kodeerzeugerprogramm der jeweiligen Rechnereinheit erzeugt dann im Falle von Abweichungen bei den Synchronisierungsdaten eine geänderte Freigabefolge.
  • Der besondere Vorteil dabei ist, dass die eine Rechnereinheit die andere überwachen kann. Dies erfolgt auf Basis der gegenseitig ausgetauschten Synchronisierungsdaten. Hierzu erzeugen vorzugsweise beide Rechnereinheiten auf Basis eines Algorithmus synchron je ein gleiches und sich fortlaufend änderndes Synchronisierungsdatum, welches dann je über die Datenleitung zur anderen Rechnereinheit ausgegeben und dort verglichen wird. Empfängt nun eine Rechnereinheit über die Datenleitung ein vermutlich fehlerhaftes Synchronisierungsdatum, so sperrt die Rechnereinheit mittels der Ausgabe geänderter Freigabefolgen die Ausgabe der Teilkodefolge der anderen Rechnereinheit.
  • Im ordnungsgemäßen Betrieb kann im Falle einer Änderung eines auszugebenden Signals mittels der Kodeerzeugerprogramme die jeweilige Teilkodefolge geändert werden. Dieses ist z. B. dann der Fall, wenn ein durch eine interne Verknüpfungslogik erzeugtes sicheres Signal, ein aus einem übergeordneten Bussystem oder ein aus einem angeschlossenen Rückwandbus eingelesenes sicheres Signal zurückgenommen wird. Wird beispielsweise ein Not-Aus-Taster gedrückt, so wird das zugehörige sichere Signal „Not-Aus nicht gedrückt" zurückgenommen.
  • Im Besonderen weisen die Mittel zur Ausgabe des sicherheitsgerichteten Signals Mittel zur Umwandlung der Kodefolge in eine serielle Signalfolge auf. Dieses Mittel kann z. B. ein Parallel/Seriell-Umsetzer sein. Derartige Umsetzer sind als elektronische integrierte Bausteine erhältlich. Die serielle Signalfolge kann dann z. B. mittels einer Pulskodemodulation auf die beiden Leiter des AS-i-Bussystems aufmoduliert werden.
  • Ein Bussystem gemäß der Erfindung ist insbesondere in einem Bussystem auf Basis der EN 50295-Norm bzw. des IEC 62026-2-Standards verwendbar. Ein solches Bussystem ist insbesondere zur Übertragung von sicherheitsgerichteten Signalen geeignet.
    •
  • Weitere vorteilhafte Eigenschaften der Erfindung ergeben sich aus deren beispielhafter Erläuterung anhand der Figuren. Es zeigt:
  • 1 ein Beispiel für ein Busmodul, welches zwei Bussysteme datentechnisch miteinander verbindet,
  • 2 einen beispielhaften Aufbau eines Busmoduls mit zwei Rechnereinheiten zur gemeinsamen Erzeugung einer Kodefolge gemäß der Erfindung und mit Mitteln zur Ausgabe der Kodefolge gemäß einer Ausführungsform der Erfindung und
  • 3 eine weitere Ausführungsform des beispielhaften Busmoduls gemäß 2.
  • 1 zeigt ein Beispiel für ein Busmodul 1, welches zwei Bussysteme ASI, PB datentechnisch miteinander verbindet. Im oberen Teil der 1 ist beispielhaft ein Profibus PB als Bussystem der oberen Automatisierungsebene mit beispielhaft vier Busteilnehmern dargestellt. Im unteren Teil der 1 ist ein Bussystem ASI der unteren Automatisierungsebene dargestellt. Zwischen diesen beiden Bussystemen ASI, PB können Daten DAT mit sicherheitsgerichteten Informationen, wie z. B. sicherheitsgerichtete Signale, ausgetauscht werden. Im Beispiel der 1 fungiert das Busmodul 1 als so genanntes Gateway oder Link-Modul. Das Busmodul 1 kann durch interne logische Verknüpfung eigene sicherheitsgerichtete Signale erzeugen und diese auf die beiden Bussysteme ausgeben. Das Busmodul 1 kann aber auch weitere sicherheitsgerichtete Signale über einen Rückwandbus RB einlesen bzw. diese auf den Rückwandbus RB ausgeben.
  • Im unteren Teil der 1 ist beispielhaft ein AS-i-Bussystem entsprechend der europäischen Norm EN 50295 bzw. des IEC 62026-2-Standards dargestellt. An diesem Bussystem ASI sind beispielhaft sechs Busmodule angeschlossen. Im linken Teil der 1 ist ein Master 2 dargestellt, der adressierte Nachrichten versendet und der direkt die Antwort der angesprochenen Slaves 1, 4 erhält. Der Master 2 überwacht die Slaves 1, 4 permanent, indem er diese zyklisch mit einer Zykluszeit von weniger als 5 ms abfragt. Die Zykluszeit passt sich dabei automatisch an die Anzahl der angeschlossenen Slaves 1, 4 an. So beträgt die Zykluszeit im Fall von sechs Slaves 1, 4 ca. 1 ms; im Fall von 31 Slaves 1, 4 ca. 5 ms. Im Beispiel der 1 fungiert das als Gateway ausgebildete Busmodul 1 ebenfalls als Slave. Mit dem Bezugszeichen 4 sind Aktuatoren mit der Funktionalität eines Slaves zur Ausgabe insbesondere von binären Signalen für Meldegeräte, Signalsäulen, Steuerrelais etc. dargestellt.
  • Mit dem Bezugszeichen 3 ist ein AS-i-Sicherheitsmonitor dargestellt, der die Signale von den sicherheitsgerichteten Komponenten überwacht und die Anlage entsprechend der definierten Stopp-Kategorie abschaltet. Mittels des Monitors 3 lassen sich komplexe Schutzabläufe wie NOT-AUS, Zweihandbedienung, Türzuhaltung oder Vor-Ort-Quittierung realisieren. Mit dem Bezugszeichen 5 ist ein AS-i-Netzteil bezeichnet, welches aus zwei Funktionsblöcken besteht, nämlich einem konventionellen Netzteil und einer Datenentkopplung, um einen signaltechnischen Kurzschluss der auf die Betriebsspannung aufmodulierten Daten über das Netzteil zu vermeiden. Das Netzteil stellt meist eine Spannung im Bereich von 24 V bis 30 V zur Verfügung.
  • 2 zeigt einen beispielhaften Aufbau eines Busmoduls 1 mit zwei Rechnereinheiten 10a, 10b zur gemeinsamen Erzeugung einer Kodefolge 18 und mit Mitteln zur Ausgabe 17 der Kodefolge 18 gemäß einer Ausführungsform der Erfindung. Die beiden Rechnereinheiten 10a, 10b erzeugen im ordnungsgemäßen Betrieb das sicherheitsgerichtete Signal parallel bzw. sie leiten dieses Signal über die Mittel zur Ausgabe 17 an das Bussystem ASI weiter.
  • Gemäß der Erfindung weisen die Rechnereinheiten 10a, 10b Mittel zur Ausführung von Softwareprogrammen, insbesondere einer Vielzahl von Softwareroutinen, auf. Das Kodeerzeugerprogramm 11a der ersten Rechnereinheit 10a erzeugt dabei eine erste Teilkodefolge 12a der Kodefolge 18 und ein Kodeerzeugerprogramm 11b der zweiten Rechnereinheit 10b den restlichen Teil der Kodefolge 18 als zweite Teilkodefolge 12b. Die Ausgabe der sicherheitsgerichteten Signale in Form von sich wiederholenden eindeutigen Kodefolgen 18 ist durch einen Schalter mit einer Vielzahl von Schalterstellungen symbolisiert. Die gestrichelte Linie, welche die beiden „Schalter" verbindet, deutet das synchrone Weiterschalten und somit die synchrone Ausgabe der erzeugten Teilkodefolgen 12a, 12b an. Die gemäß dem Beispiel der 2 erzeugten Teilkode folgen 12a, 12b weisen eine 2-Bit breite Kodierung auf. Über die Mittel zur Ausgabe 17 ergeben die beiden 2-Bit breiten Teilkodefolgen 12a, 12b die 4-Bit breite Kodefolge 18. Zur Ausführung des jeweiligen Kodeerzeugerprogramms 11a, 11b wird zweckmäßigerweise ein Mikroprozessor bzw. eine CPU (für Central Processing Unit) verwendet.
  • Entsprechend einem Ausführungsbeispiel der Erfindung erzeugt das jeweilige Kodeerzeugerprogramm 11a, 11b neben den jeweiligen Teilkodefolgen 12a, 12b noch eine 2-Bit breite Freigabefolge 13, welche je Kodierungsbit einen logischen „1"-Wert aufweist. Die Mittel zur Ausgabe 17 weisen vier UND-Elemente 16 auf, an deren Ausgängen dann die Signale der Kodefolge 18 anliegen. Dabei ist ein Eingang eines UND-Elements 16 jeweils mit einem Kodierungsbit einer Freigabefolge 13 signaltechnisch verbunden, während der andere Eingang eines UND-Elements 16 mit dem jeweiligen Kodierbit der jeweils anderen Teilkodefolge 12a, 12b signaltechnisch verbunden ist. Die vier UND-Elemente 16 können bereits als Logikgatter in einem elektronischen Bauelement integriert sein. Ein derartiges Bauelement ist z. B. das integrierte Bauelement oder IC (für Integrated Circuit) mit der Typbezeichnung 7408 der bekannten 74er-TTL-Baureihe.
  • Im Beispiel der 2 sind die beiden Rechnereinheiten 10a, 10b über eine Datenleitung zum Austausch von Synchronisierungsdaten SD verbunden. Das Kodeerzeugerprogramm 11a, 11b der jeweiligen Rechnereinheit 10a, 10b würde nun eine geänderte Freigabefolge 13 im Falle von Abweichungen bei den Synchronisierungsdaten SD erzeugen, d. h. zweckmäßigerweise eine Folge mit ausschließlichen „0"-Werten anstelle der „1"-Werte. Die dadurch geänderte Kodefolge 18 ist dann von einem Monitor-Busmodul 3 detektierbar.
  • 3 zeigt eine weitere Ausführungsform des beispielhaften Busmoduls 1 gemäß 2. Die 3 unterscheidet sich vom Beispiel der 2 dadurch, dass anstelle von UND-Elementen 16 nun ODER-Elemente 26 bzw. ODER-Gatter und anstelle von Freigabefolgen 13 mit „1"-Werten nun Freigabefolgen 14 mit „0"-Werten verwendet werden.

Claims (10)

  1. Busmodul zum Anschluss an ein Bussystem (ASI), mit Mitteln (17, 27) zur Ausgabe sicherheitsgerichteter Signale in Form von sich wiederholenden eindeutigen Kodefolgen (18), dadurch gekennzeichnet, dass das Busmodul eine erste und zweite Rechnereinheit (10a, 10b; 20a, 20b) mit Mitteln zur Ausführung von Softwareprogrammen aufweist, wobei ein Kodeerzeugerprogramm (11a, 21a) der ersten Rechnereinheit (10a, 20a) eine erste Teilkodefolge (12a) der Kodefolge (18) und ein Kodeerzeugerprogramm (11b, 21b) der zweiten Rechnereinheit (10b, 20b) den restlichen Teil der Kodefolge (18) als zweite Teilkodefolge (12b) erzeugt.
  2. Busmodul nach Anspruch 1, dadurch gekennzeichnet, dass die Kodeerzeugerprogramme (11a, 11b; 21a, 21b) ausschließlich Kodierungen der jeweils eigenen Teilkodefolge (12a, 12b) erzeugen.
  3. Busmodul nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Kodefolge (18) Kodierungen mit einem 4-Bit breiten Wertebereich aufweist, welche sich insbesondere nach sieben oder acht Kodierungen wiederholen, wobei jede Kodierung von einer vorangegangenen Kodierung verschieden ist.
  4. Busmodul nach Anspruch 3, dadurch gekennzeichnet, dass die Kodefolge (18) nur binäre Kodierungen mit maximal drei „0"-Werten oder drei „1"-Werten aufweist.
  5. Busmodul nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass – die Kodeerzeugerprogramme (11a, 21a; 11b, 21b) je eine Freigabefolge (13, 14) erzeugen, welche je Kodierungsbit ausschließlich binäre „0"- und/oder „1"-Werte enthält, und – die Mittel zur Ausgabe (17, 27) der sicherheitsgerichteten Signale UND-Elemente (16) und/oder ODER-Elemente (26) zur logischen Verknüpfung der Kodierungsbits der jeweiligen Teilkodefolgen (12a, 12b) mit den jeweiligen korrespondierenden Kodierungsbits der Freigabefolgen (13, 14) zur Bildung der Kodefolge (18) aufweisen.
  6. Busmodul nach Anspruch 5, dadurch gekennzeichnet, dass – die beiden Rechnereinheiten (10a, 10b; 20a, 20b) über eine Datenleitung zum Austausch von Synchronisierungsdaten (SD) verbunden sind und – das Kodeerzeugerprogramm (11a, 11b; 21a, 21b) der jeweiligen Rechnereinheit (10a, 10b; 20a, 20b) im Falle von Abweichungen bei den Synchronisierungsdaten (SD) eine geänderte Freigabefolge (13, 14) erzeugt.
  7. Busmodul nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass im Falle einer Änderung eines auszugebenden Signals die jeweilige Teilkodefolge (12a, 12b) mittels des Kodeerzeugerprogramms (11a, 11b; 21a, 21b) änderbar ist.
  8. Busmodul nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Mittel zur Ausgabe (17, 27) des sicherheitsgerichteten Signals Mittel zur Umwandlung der Kodefolge (18) in eine serielle Signalfolge aufweisen.
  9. Busmodul nach Anspruch 8, dadurch gekennzeichnet, dass das Mittel zur Umwandlung der Kodefolge (18) in eine serielle Signalfolge ein Parallel/Seriell-Umsetzer ist.
  10. Verwendung eines Busmoduls (1) nach einem der vorangegangenen Ansprüche in einem Bussystem auf Basis der EN 50295-Norm bzw. des IEC 62026-2-Standards.
DE102005055428A 2005-11-21 2005-11-21 Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem Expired - Fee Related DE102005055428B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102005055428A DE102005055428B4 (de) 2005-11-21 2005-11-21 Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
DE502006004150T DE502006004150D1 (de) 2005-11-21 2006-11-17 Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
US12/085,269 US7844865B2 (en) 2005-11-21 2006-11-17 Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
EP06830033A EP1952238B1 (de) 2005-11-21 2006-11-17 Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem
PCT/EP2006/068623 WO2007057445A1 (de) 2005-11-21 2006-11-17 Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005055428A DE102005055428B4 (de) 2005-11-21 2005-11-21 Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem

Publications (2)

Publication Number Publication Date
DE102005055428A1 true DE102005055428A1 (de) 2007-05-24
DE102005055428B4 DE102005055428B4 (de) 2008-01-31

Family

ID=37852320

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102005055428A Expired - Fee Related DE102005055428B4 (de) 2005-11-21 2005-11-21 Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
DE502006004150T Active DE502006004150D1 (de) 2005-11-21 2006-11-17 Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE502006004150T Active DE502006004150D1 (de) 2005-11-21 2006-11-17 Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem

Country Status (4)

Country Link
US (1) US7844865B2 (de)
EP (1) EP1952238B1 (de)
DE (2) DE102005055428B4 (de)
WO (1) WO2007057445A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011047826A1 (de) 2009-10-20 2011-04-28 "Hesch" Schröder GmbH System Engineering + Production Steuereinrichtung und verfahren zur spannungspotentialgetriebenen ansteuerung von feldgeräten
DE102011076647B4 (de) * 2010-05-28 2014-09-04 Ifm Electronic Gmbh Sicherheitsgerichteter Slave

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8102799B2 (en) * 2006-10-16 2012-01-24 Assa Abloy Hospitality, Inc. Centralized wireless network for multi-room large properties
DE102007043769B4 (de) * 2007-09-13 2016-09-01 Sew-Eurodrive Gmbh & Co Kg Gerät, Verfahren zur Adressierung, Umrichter und Verfahren zur sicheren Datenübertragung
DE102008033588B9 (de) * 2008-07-17 2010-08-12 Phoenix Contact Gmbh & Co. Kg Verfahren zur Überführung eines Ausgangsmoduls in einen sicheren Zustand
DE102008045599B3 (de) * 2008-09-03 2010-01-07 Leuze Lumiflex Gmbh + Co. Kg Bussystem
DE102011005239B4 (de) 2011-03-08 2019-10-24 Siemens Aktiengesellschaft Sicherheitssystem sowie Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem
WO2014016695A2 (en) 2012-07-27 2014-01-30 Assa Abloy Ab Presence-based credential updating
EP2878142B1 (de) 2012-07-27 2021-05-19 Assa Abloy Ab Rückschlagsteuerungen auf der basis von präsenzinformationen ausserhalb eines raums
US11500715B1 (en) 2021-05-27 2022-11-15 Fort Robotics, Inc. Determining functional safety state using software-based ternary state translation of analog input
US11579953B2 (en) * 2021-07-01 2023-02-14 Fort Robotics, Inc. Method for encoded diagnostics in a functional safety system
WO2023205208A1 (en) 2022-04-19 2023-10-26 Fort Robotics, Inc. Method for safety responses to security policy violations
US12081202B2 (en) 2022-05-05 2024-09-03 Fort Robotics, Inc. Feedback-diverse, dual-controller-architecture functional safety system
WO2024059132A1 (en) 2022-09-13 2024-03-21 Fort Robotics, Inc. Method for decreasing probability of undetected errors on large messages over a black channel

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
EP1133096A2 (de) * 2000-03-07 2001-09-12 Siemens Aktiengesellschaft Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4245346A (en) * 1962-02-07 1981-01-13 Magnavox Government And Industrial Electronics Co. Communication system
US4791642A (en) * 1986-10-17 1988-12-13 Amdahl Corporation Buffer error retry
AU763141B2 (en) * 1999-04-19 2003-07-17 Motorola Australia Pty Ltd A method of detecting illegal sequences of code execution
US6505321B1 (en) * 1999-05-20 2003-01-07 Emc Corporation Fault tolerant parity generation
DE60221396D1 (de) * 2002-09-25 2007-09-06 St Microelectronics Srl Verfahren und Gerät, um digitales Signal über einem Rechnerbus zu übertragen und Rechnerprogrammprodukt dafür
JP4222154B2 (ja) * 2003-08-28 2009-02-12 株式会社デンソー 車両制御システム
US7583586B2 (en) * 2004-07-02 2009-09-01 Samsung Electronics Co., Ltd Apparatus and method for transmitting/receiving pilot signal in communication system using OFDM scheme
US7260765B2 (en) * 2004-12-17 2007-08-21 International Business Machines Corporation Methods and apparatus for dynamically reconfigurable parallel data error checking
JP4591379B2 (ja) * 2005-05-12 2010-12-01 ソニー株式会社 光記録媒体及び光記録再生方法
KR101147760B1 (ko) * 2005-10-06 2012-05-25 엘지전자 주식회사 디지털 방송의 송/수신 시스템, 방법, 및 데이터 구조
US7557739B1 (en) * 2006-10-17 2009-07-07 Marvell International Ltd. Four-to-six modulation encoder

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19532640A1 (de) * 1995-08-23 1997-02-27 Siemens Ag Einrichtung zur einkanaligen Übertragung von aus zwei Datenquellen stammenden Daten
EP1133096A2 (de) * 2000-03-07 2001-09-12 Siemens Aktiengesellschaft Verfahren zur signaltechnisch sicheren Übermittlung von Daten zwischen signaltechnisch sicheren Rechnern sowie Einrichtung hierzu

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011047826A1 (de) 2009-10-20 2011-04-28 "Hesch" Schröder GmbH System Engineering + Production Steuereinrichtung und verfahren zur spannungspotentialgetriebenen ansteuerung von feldgeräten
DE102011076647B4 (de) * 2010-05-28 2014-09-04 Ifm Electronic Gmbh Sicherheitsgerichteter Slave

Also Published As

Publication number Publication date
US20090055561A1 (en) 2009-02-26
DE502006004150D1 (de) 2009-08-13
DE102005055428B4 (de) 2008-01-31
EP1952238A1 (de) 2008-08-06
US7844865B2 (en) 2010-11-30
WO2007057445A1 (de) 2007-05-24
EP1952238B1 (de) 2009-07-01

Similar Documents

Publication Publication Date Title
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
EP2302472B1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE10353950C5 (de) Steuerungssystem
EP1923759B1 (de) Verfahren und System zur sicheren Datenübertragung
EP1738233B1 (de) Sicherheitssteuerung
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1054309B2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
DE102012210126A1 (de) Verfahren zum Betreiben einer Netzwerkanordnung, Netzwerkeinrichtung und Netzwerkanordnung
DE102011051629B3 (de) Sicherheitsbussystem
EP1128241B1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
DE19913279B4 (de) Steuerungseinrichtung mit Überwachungseinheit zur Fehlererkennung und Fehlerunterdrückung
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE102008045599B3 (de) Bussystem
DE102011052095B4 (de) Busanschaltung zum Anschluss eines Sicherheitssensors an ein AS-i Bussystem
EP4321949A1 (de) Modulare steuerungseinrichtung
DE102010033447B4 (de) Sicherer Safety-at-Work Slave mit Standardeingang
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
EP0992911A2 (de) Verfahren und Schaltungsanordnung zur sicheren Überwachung von Taktraten in einem redundanten System
EP1484655A1 (de) Ermittlung einer Reaktionszeit eines Steuerungssystems

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee