-
Zusammenfassung
-
Es wird ein Verfahren zur Parametrierung von AS-Interface Slaves angegeben, das anstelle von üblichen mechanischen Schaltern die sichere Parametrierung über das AS-Interface Netz erlaubt.
-
Die Parameter werden in einem mehrstufigen Verfahren übertragen und auf Richtigkeit überprüft, sodass die Bedingungen einer sicherheitsgerichteten Übertragung nach den gültigen Normen erfüllt sind.
-
Das Verfahren ist in allen AS-Interface Slaves, insbesondere auch in Safety-at-Work Slaves, anwendbar, die einfach, differenziert und sicherheitsgerichtet parametriert werden müssen.
-
Stand der Technik
-
AS-Interface ist ein eingeführtes und genormtes (IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; oder: Kriesel, W. R., Madelung, 0. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; oder aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 1 (2006)) Bussystem für Anwendungen mit einfachen Sensoren und Aktuatoren, hier Standard-Sensoren bzw. Standard-Aktuatoren genannt. Für Prozesse mit besonders hohen Sicherheitsanforderungen gemäß den internationalen Normen für sicherheitsgerichtete Geräte (z. B. EN 954-1: Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen, Teil 1: Allgemeine Gestaltungsleitsätze; 1997) existiert eine Sicherheitsvariante unter dem Namen „Safety at Work"(AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004)), in der der Datenverkehr im AS-Interface Netz mit sicherheitsgerichteten Slaves durch Codefolgen so abgesichert wird, dass die Daten zwischen dem Master einerseits und Sensoren oder Aktuatoren andererseits sicherheitsgerichtet im Sinne der Normen übertragen werden. Dazu enthält das Netz einen „Sicherheitsmonitor“, der den Datenverkehr mit den sicheren Slaves überwacht und die Applikation über seine lokalen Ausgänge oder über sicherheitsgerichtete Aktuatoren im Netz stets in einem sicheren Zustand hält. Ein AS-Interface Netz, das wenigstens einen Sicherheitsmonitor mit dieser Funktion enthält, wird dann als „Safety-at-Work Netz“ bezeichnet. Ein solches Netz kann aus Standard- und sicherheitsgerichteten Slaves aufgebaut sein. Safety-at-Work wurde für Fälle entwickelt, in denen eine sichere Datenübertragung nur auf der Feldebene und innerhalb eines Safety-at-Work Netzes notwendig ist. Der Master des Netzes kann dann ein Standard AS-Interface Master, die ihm übergeordnete Steuerung eine Standard-SPS oder ein Standard-PC sein, die jeweils nicht sicherheitsgerichtet zu sein brauchen. Daraus folgt aber auch, dass Daten, die vom Master oder der übergeordneten Steuerung an einen (sicheren) Slave gesendet werden, nur unter besonderen Bedingungen als sicherheitsgerichtet betrachtet werden dürfen.
-
Aufgrund der einfachen Struktur des Systems können Standard-Slaves nur 3 oder 4 bit pro Zyklus übertragen. Durch Kaskadierung in sogenannten „combined transactions“ (siehe dazu auch
DE10 2007 002 094 A1 , S2, Abs. [0002]) sind aber auch längere Daten zu übertragen. Sichere Slaves können dagegen immer nur 1 bit übertragen, nämlich „erkenne sicheren/nichtsicheren Zustand“ bei sicherheitsgerichteten Eingangsslaves, „schalte frei/nichtfrei“ bei sicherheitsgerichteten Aktuatoren.
-
Standard- und sicherheitsgerichtete Slaves können für ihre spezifische Anwendung unterschiedlich eingestellt werden. Sie werden dazu für die jeweilige Anwendung parametriert. Das kann bei Standard-Slaves durch ein besonderes Telegramm über die AS-Interface Leitung geschehen. Für sicherheitsgerichtete Slaves ist das bisher nicht vorgesehen, da für diese Slaves auch eine sicherheitsgerichtete Übertragung der Parameter zu fordern wäre, die die Steuerung zunächst nicht leisten kann Eine sichere Parametrierung muss daher bisher auf anderem Weg erfolgen, beispielsweise durch Dipschalter am Slave oder durch eine besondere Datenverbindung. Für Applikationen, die eine sichere Parametrierung benötigen, ist dies aber ein Mangel im Stand der Technik, da diese Lösung schwerfällig ist und nur Parametrierungen in einem engen Rahmen zulässt.
-
Ein typisches Beispiel für einen solchen Sensor ist ein sicherer Drehzahlwächter, der mit seinem sicheren Signal Informationen wie „Drehzahl liegt (oder liegt nicht) im gewünschten Bereich“ oder „Aktuelle Drehrichtung ist links (oder rechts)“ oder „Welle steht (oder dreht sich)“ an die Steuerung meldet. Nach dem Stand der Technik wird die Auswahl zwischen diesen Aussagen, vor allem aber auch das Drehzahlfenster an dem Drehzahlwächter, der seine Daten von einem sicheren Drehgeber erhält, schaltet, über Dipschalter manuell eingestellt. Das ist hinderlich und erlaubt nur eine Einstellung in vorher durch die Konstruktion festgelegten Stufen und Toleranzen. Eine Parametrierung von der Steuerung aus galt bisher als nicht möglich, falls sie sicherheitsgerichtet erfolgen muss.
-
Vergleichbares tritt bei vielen anderen Sensoren auf und kann auch dort die Funktion oder Auswertung eines Signals betreffen.
-
Bei Aktuatoren gilt analoges: An einem sicherheitsgerichteten Relais als Schalter für einen Motor können beispielsweise durch Parametrierung dessen Solldrehzahl oder die Drehrichtung für den Fall eines „frei-Signals“ vorgegeben werden. Auch hier erlaubt der Stand der Technik keine einfache Lösung über den angeschlossenen Bus. Die Parameterübertragung, auch im Safety-at-Work Bereich, wird in
DE10 2007 002 094 A1 , S. 4, Patentanspruch 8 und 11 erwähnt. Ebenfalls wird diese, auch mit Hinweis auf unterschiedliche Schemata, in Siemens, SIMATIC NET AS-Interface - Einführung und Grundlagen, insb. S. 24, Abs. 1, S.29, Abs. 1, S. 47, letzter Absatz, S.50, Abs. 1 und S. 54, Abs. 2 aufgeführt. Das erfindungsgemäße Verfahren geht hier jedoch noch weiter ins Detail, um eine sicherheitsgerichtete Übertragung in jedem Falle zu gewährleisten.
-
Erfindung
-
Der Erfindung liegt daher die Aufgabe zu Grunde, ein einfaches und in seinen Möglichkeiten differenziertes Verfahren anzugeben, mit dem eine Parametrierung von Sensoren oder Aktuatoren, inbesondere von sicherheitsgerichteten Sensoren und Aktuatoren, von der Steuerung aus über die AS-Interface Leitung ebenfalls sicherheitsgerichtet im Sinne der Normen erfolgen kann.
-
Die Aufgabe wird dadurch gelöst, dass der zu parametrierende Sensor oder Aktuator seine Parameterwerte über einen Standard-AS-Interface Slave erhält und dass die Richtigkeit dieser Übertragung durch eine anschließende Überprüfung in genau vorgegebenen Schritten und unter Kontrolle durch ein Parametrierungsprogramm so erfolgt, dass Fehler definitiv ausgeschlossen werden können. Das erfindungsgemäße Verfahren besteht daher aus folgenden Schritten:
- (a) In einem ersten Schritt werden die Parameterwerte nach einem ersten Schema von der Steuerung über das AS-Interface Netzwerk an den Slave übertragen. Dabei wird eine „Combined Transaction“ entsprechend der AS-Interface Spezifikation verwendet und der Parametersatz durch eine Prüfsumme gegen Fehler abgesichert.
- (b) Im zweiten Schritt werden diese Werte im Slave entschlüsselt und sicherheitsgerichtet, z. B. in zwei redundanten CPUs (dies findet ebenfalls Anwendung in DE10 2007 02 094 A1, S. 3, Abs. [0016]), hinterlegt, ohne dass sie bereits zur Funktion des Slaves zur Verfügung stehen.
- (c) Im dritten Schritt werden diese Werte aus dem Slave (gegebenenfalls aus seinen redundanten CPUs) nach einem zweiten, von dem ersten verschiedenen Schema ausgelesen und wieder über das AS-Interface Netz und mit einer Prüfsumme versehen an die Steuerung so übertragen, dass sie dort ohne eine weitere Konvertierung zur Verfügung stehen.
- (d) Im vierten Schritt überprüft der verantwortliche Projektierer die ein- und ausgegebenen Werte darauf, ob sie identisch sind und gibt - wenn dies erfüllt ist - die Parametrierung durch einen weiteren Datenstring frei, der an den Slave wieder über das Netz übertragen wird.
- (e) Im fünften Schritt werden die übertragenen und freigegebenen Parameterwerte vom Slave übernommen und steuern seine Funktion.
- (f) Das Verfahren wird gegen unberechtigte Änderungen der Parameter durch ein Passwort geschützt, das bei jeder Übertragung eingegeben werden muss.
-
Der gesamte Ablauf wird durch ein Parametrierungsprogramm in der Steuerung überwacht, um sicher zu stellen, dass die dargestellten Schritte wie beschrieben erfolgen.
-
Der Datenstring zur Freigabe wird gewöhnlich die Bezeichnung der Maschine, den Namen des verantwortlichen Projektierers, das Datum der Parametrierung und ähnliche Angaben tragen und wird zusammen mit den Parameterwerten gespeichert und zur Dokumentation ausgedruckt werden.
-
Durch dieses mehrstufige Verfahren mit zwei unterschiedlichen Übertragungsschemata, der Verwendung von Prüfsummen, mit dem Vergleich der Soll- und Istwerte und der Kontrolle über das Parametrierungsprogramm wird sichergestellt, dass sowohl zufällige als auch systemimmanente Fehler entdeckt werden, bevor neue Parameterwerte in der von dem (sicherheitsgerichteten) Slave gesteuerten Anlage wirksam werden. Damit erfüllt das Verfahren selbst die Forderungen, die an eine sichere Übertragung der Parameterwerte gestellt werden müssen (Anspruch 1).
-
Die Besonderheit des erfindungsgemäßen Verfahrens ist damit einmal die sichere Übertragung der Parameterwerte über die vorhandene, a priori nicht sicherheitsgerichtete Struktur des AS-Interface Netzwerkes, zum anderen die Möglichkeit mit diesen Parametern die Funktion eines Slaves differenziert und in einem weiten Spektrum von möglichen Aufgaben einzusetzen.
-
Bei einem Drehzahlwächter können beispielsweise die Informationen „Drehzahl liegt (oder liegt nicht) im gewünschten Bereich“ oder „Aktuelle Drehrichtung ist links (oder rechts)“ oder „Welle steht (oder dreht sich) durch Wahl der Parameter ausgewählt und die zughörigen Schaltwerte und ihre Toleranzen festgelegt werden.
-
Das erfindungsgemäße Verfahren lässt sich in sehr unterschiedlicher Weise ausformen:
- Bei Safety-at-Work Slaves, die für die ihre sicherheitsgerichtete Funktion nur ein Bit zur Verfügung haben, kann die Parametrierfunktion ein zusätzlicher Standard-Slave übernehmen (Anspruch 2).
-
Die Parametrierwerte müssen sicherheitsgerichtet im Slave gespeichert werden. Das kann beispielsweise durch Verwendung von zwei CPUs im Slave geschehen, die bei sicherheitsgerichteten Slaves häufig bereits vorhanden sind (Anspruch 3).
-
Als zusätzliche Sicherungsmaßnahme kann das Parametrierungsprogramm so ausgebildet werden, dass es zusätzlich eingelesene und zurückgegebene Werte vergleicht und im Falle der Nichtübereinstimmung die Freigabe blockiert. Das ist zwar kein Ersatz für die Überprüfung durch den Projektierer, bietet aber zusätzliche Sicherheit gegen Irrtümer (Anspruch 4).
-
Für die beiden genannten Schemata kommen in einer möglichen Ausführungsform beispielsweise eine grafische Oberfläche zur Definition der Parameter bei der Übertragung zum Slave und eine besonders übersichtliche Klartextausgabe der im Slave gespeicherten Daten in Frage, bei der Abweichungen durch Übertragungsfehler sofort augenfällig sind (Ansprüche 5 und 6). Ein Hinweis auf eine solche grafische Anzeige wird auch in Siemens, SIMATIC NET AS-Interface - Einführung und Grundlagen, NET AS-Interface - Einführung und Grundlagen, insb.S.23, letzter Abs. gegeben, jedoch ohne weitere Ausführungen.
-
Das erfindungsgemäße Verfahren ist auch in Geräten einsetzbar, die - bei sicheren Eingängen -mehrere Eingänge überwachen und die Ergebnisse der Auswertung über einen oder mehrere sicherheitsgerichtete Slaves an die Steuerung übertragen, oder die - bei Ausgängen - mehrere Aktuatoren ansteuern. Die Auswertung der Eingänge oder die Funktion der sicheren Ausgänge kann einzeln parametriert werden und gemeinsam, einzeln oder gruppenweise über einen oder mehrere sicherheitsgerichtete Slaves übertragen werden (Ansprüche 7 bis 9).
-
Das erfindungsgemäße Verfahren ist schließlich auch so einsetzbar, dass es direkt in einen Sensor oder Aktuator integriert wird (Anspruch 10).
-
Vorteile und wirtschaftlicher Wert der Erfindung
-
Das erfindungsgemäße Verfahren kann immer dann eingesetzt werden, wenn AS-Interface Slaves sicherheitsgerichtet parametriert werden müssen, insbesondere bei sicherheitsgerichteten Slaves. Es ist nicht nur sicher, sondern auch einfach, da es das vorhandene AS-Interface Netz zur Übertragung der Parameter nutzt. Es erlaubt zugleich eine viel differenziertere Vorgabe von Parametern als jede mechanische Einstellung, z. B. über Dipschalter, und ist damit anwenderfreundlicher als bisherige Lösungen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers auf-genommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- - IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; oder: Kriesel, W. R., Madelung, 0. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Inter- face für die Automation; 213 S., 2. deutsche Auf- lage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; oder aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 1 (2006) 12M
- - EN 954-1: Sicherheit von Maschinen - Sicher- heitsbezogene Teile von Steuerungen, Teil 1: All- gemeine Gestaltungsleitsätze; 1997 (0001]
- - AS-International Association (Hrsg.): AS-Inter- face Safety-at-Work, (2004) [0001]
- - Siemens, SIMATIC NET AS-Inteface - Einführung und Grundlagen Handbuch (04/2006) [0006,0017]