-
Die Erfindung betrifft ein Sicherheitssystem sowie ein Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem. Das Sicherheitssystem umfasst hierbei insbesondere einen AS-i Master, eine Steuerung, einen AS-i Datenbus und einen von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist.
-
Ein derartiges Sicherheitssystem kommt insbesondere im Bereich der industriellen Automatisierungstechnik zum Einsatz. Innerhalb der industriellen Automatisierungstechnik konnen Geräte auf unterschiedliche Weise miteinander zur Kommunikation angebunden werden. Gerate auf der untersten Feldbusebene können beispielsweise mittels AS-i (abgekürzt für englisch „Actuator-Sensor-Interface”) angebunden werden. AS-i bildet einen Standard für die Feldbus-Kommunikation, bei welchem insbesondere Aktoren und Sensoren an einen AS-i Master angebunden werden. AS-i ist ein Single-Master-System, d. h. ein Master pollt zyklisch alle projektierten Slaves und tauscht mit ihnen die Ein- und Ausgangsdaten aus. Ein Telegramm besteht dabei aus 4-Bit Nutzdaten. Der Master kommuniziert mit einem seriellen Übertragungsprotokoll mit den Teilnehmern. Der AS-i Master übernimmt somit innerhalb AS-i System fur den gewöhnlichen Datenaustausch die Steuerungsaufgaben.
-
Ubergeordnete Systeme können zur Kommunikation wiederum einen anderen Datenbus verwenden. So kann beispielsweise der AS-i Master mittels eines vom AS-i Datenbus unterschiedlichen anderen Datenbusses mit einer Steuerung verbunden sein. Eine derartige übergeordnete Steuerung ist beispielsweise eine SPS (Speicher Programmierbare Steuerung) und der andere Datenbus ist beispielsweise PROFIBUS oder PROFINET. Auf diese Weise kann eine durchgangige Kommunikation und somit ein durchgangiger Informationsfluss innerhalb eines Automatisierungssystems ermöglicht werden.
-
Durch die Integration von Sicherheitstechnik in einem Automatisierungssystem können entsprechende Sicherheitsanforderungsstufen erreicht werden. Derartige Sicherheitsanforderungsstufen werden beispielsweise durch die Sicherheitskategorien nach EN 954-1 oder durch die Stopp-Kategorien nach EN 60204 oder das Sicherheits-Integritätslevel (SIL) definiert. Je nach Sicherheitsanforderungsstufen muss das betrachtete System (Sicherheitssystem) entsprechende Sicherheitsmechanismen aufweisen.
-
Im Vergleich zu einem gewöhnlichen System sind bei einem Sicherheitssystem üblicherweise die betroffenen Gerate sowie deren Datenaustausch sicherheitsgerichtet ausgebildet, so dass eine entsprechende Sicherheitsanforderungsstufe erreicht wird. Die sicherheitsgerichteten Geräte können hierfür beispielsweise redundant aufgebaut sein und der Datenaustausch wird beispielsweise durch einen Zusatz von Codes zu den Daten sicherheitsgerichtet ausgebildet. Bei einem Datenaustausch kann somit zwischen einem normalen Datenaustausch und einem sicherheitsgerichteten Datenaustausch unterschieden werden. Bei dem normalen Datenaustausch werden Daten mittels eines normalen Telegramms uber den jeweiligen Datenbus ausgetauscht. Bei einem sicherheitsgerichteten Datenaustausch werden Daten mittels eines sicherheitsgerichteten Telegramms über den jeweiligen Datenbus ausgetauscht. Im Folgenden werden Daten, welche sicherheitsgerichtet übertragen werden, als sicherheitskritische Daten bezeichnet. Das sicherheitsgerichtete Telegramm umfasst hierbei sicherheitskritische Daten sowie ein Sicherungsmittel, mit welchem die Ubertragung der sicherheitskritischen Daten abgesichert werden kann. Ein derartiges Sicherungsmittel ist beispielsweise eine Codefolge oder ein Prufwert (z. B. mittels CRC „cyclic redundancy check”). Zu übertragende Daten bzw. sicherheitskritische Daten werden durch mindestens 1 Bit abgebildet.
-
Im Fall von AS-i wurde mit AS-i Safety at Work ein zertifizierter Standard entwickelt, der den Einsatz von sicherheitsgerichteten Komponenten im AS-i Netz ermöglicht. Hierzu zählen unter anderem Sicherheitsmonitore, Not-Aus-Betatigungen, Turverriegelungen, Lichtgitter/-vorhänge und optische Scanner. Sicherheitsgerichte Komponenten können innerhalb eines AS-i Safety at Work Systems einfach in ein besehendes AS-i Netz eingebunden werden. Sicherheitsgerichtete Komponenten sowie Standardkomponenten arbeiten parallel am selben AS-i Datenbus. Der AS-i Master betrachtet die sicherheitsgerichteten Slaves wie alle ubrigen Slaves und bindet sie in das AS-i Netz ein. Das Übertragungsprotokoll und die Leitungen des AS-i Systems sind so ausgelegt, dass neben gewöhnlichen Telegrammen auch sicherheitsgerichtete Telegramme und somit sicherheitskritische Daten ubertragen werden können. Die Auswertung der sicherheitsgerichteten Telegramme und deren sicherheitskritische Daten und Sicherungsmittel erfolgt mittels eines Sicherheitsmonitors. Dieser Sicherheitsmonitor uberwacht zum einen die sicherheitsgerichtete Kommunikation auf dem AS-i Datenbus auf ihre Korrektheit und zum anderen kann ein Endanwender uber den Sicherheitsmonitor die Logik zwischen den verwendeten sicherheitsgerichteten Gerten und deren Signale festlegen. Der Sicherheitsmonitor übernimmt somit innerhalb des AS-i Safety at Work Systems für den sicherheitsgerichteten Datenaustausch die logische Auswertung der sicherheitskritischen Daten. Die Konfiguration des Sicherheitsmonitors und somit des Sicherheitssystems erfolgt beispielsweise mittels einer PC-Software, über deren grafische Benutzeroberfläche die Reaktion auf die verschiedenen Eingangssignale am Sicherheitsmonitor definiert werden kann. Das Sicherheitssystem wird somit uber den Sicherheitsmonitor gesteuert.
-
Wird nun beispielsweise ein bestehendes nicht sicheres AS-i System betrachtet, welches einen AS-i Datenbus und einen an diesem angebundenen AS-i Master und mindestens einen sicherheitsgerichteten Slave umfasst und ein Anwender möchte dieses AS-i System sicherheitsgerichtet ausbilden, so gibt es derzeit zwei unterschiedliche Ansatze:
- a) An den bestehenden AS-i Datenbus wird ein separater Sicherheitsmonitor angebunden (siehe 1).
- b) Der bestehende AS-i Master wird durch einen AS-i Master mit integriertem Sicherheitsmonitor ausgetauscht (siehe 2).
-
Der Sicherheitsmonitor sowie der AS-i Master mit integriertem Sicherheitsmonitor ermöglicht die Auswertung des sicherheitsgerichteten Datenaustausches. Hierbei kann ein Anwender mittels des Sicherheitsmonitors zum einen die von den sicherheitsgerichteten Slaves gesandten sicherheitsgerichteten Telegramme auf ihre Korrektheit überprüfen (das Sicherheitsmittel wird kontrolliert) als auch die eingehenden sicherheitskritischen Daten der Slaves logisch auswerten. Der Sicherheitsmonitor umfasst somit eine vom Anwender programmierbare Logik, so dass eine logische Auswertung sicherheitskritischer Daten sowie eine Steuerung des sicherheitsgerichteten Systems erfolgen kann.
-
Ansatz a) bietet den Vorteil, dass sichere und nicht sichere Komponenten getrennt sind. Die Steuerung des „nichtsicheren” AS-i Systems erfolgt durch den AS-i Master und die Steuerung des sicheren AS-i Systems erfolgt über den Sicherheitsmonitor. Nachteil daran ist jedoch, dass ein Anwender somit zwei Steuerungsprogramme konfigurieren sowie verwalten muss. Ein Austausch sicherheitskritischer Daten mit einer ubergeordneten Steuerung eines übergeordneten Datenbusses ist nicht moglich, da die sicherheitskritischen Daten des Sicherheitsmonitors dem AS-i Master nicht vorliegen.
-
Diese Funktion hingegen leistet der Ansatz b), da der AS-i Master, welcher den Sicherheitsmonitor umfasst, üblicherweise ein Anschlussmittel für einen übergeordneten Datenbus umfasst, so dass er mit einer übergeordneten Steuerung kommunizieren kann.
-
Hat ein Anwender einen nicht sicheren AS-i Master verwendet, so kann nachtraglich die Sicherheitstechnik entweder durch Ansatz a) mit den damit verbundenen Einschrankungen nachgerüstet werden oder der Anwender tauscht den bisher eingesetzten nichtsicheren AS-i Master durch einen AS-i Master mit integriertem Sicherheitsmonitor aus. Hierfür musste er jedoch das abgebildete AS-i System vollstandig neu konfigurieren, so dass ein erhohter Installationsaufwand betrieben werden muss. Ferner entstehen durch den Austausch zusätzliche Kosten, da der bisherige AS-i Master nicht mehr innerhalb des betrachteten Systems verwendet werden kann.
-
Mochte der Anwender sicherheitskritische Daten des AS-i Systems ebenso in dem ubergeordneten Datenbus-System vorliegen haben, so ist dies lediglich mit Ansatz b) zu realisieren.
-
Es ist Aufgabe der vorliegenden Erfindung ein verbessertes Sicherheitssystem anzugeben, mit welchem insbesondere genannte Nachteile uberwunden werden konnen.
-
Die Aufgabe wird gelöst durch eine Vorrichtung gemaß Anspruch 1, d. h. durch ein Sicherheitssystem mit einem Koppler, einem AS-i Master einer Steuerung, einem AS-i Datenbus und einem von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master und der Koppler jeweils mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist, wobei uber den Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundnen AS-i Datenbus und dem zweiten Datenbus erfolgen kann, einem Koppler nach Anspruch 11, d. h. einem Koppler fur ein Sicherheitssystem nach einem der Ansprüche 1 bis 10, mit einer ersten Anschlusseinrichtung für den AS-i Datenbus, einer zweiten Anschlusseinrichtung für den zweiten Datenbus, und einer Datenverarbeitungseinheit, welche mit der ersten und zweiten Anschlusseinrichtung verbunden ist, um den sicherheitsgerichteten Datenaustausch zwischen dem AS-i Datenbus und dem zweiten Datenbus zu ermoglichen, und einem Verfahren nach Anspruch 12, d. h. durch ein Verfahren zum Austauschen von sicherheitskritischen Daten in einem Sicherheitssystem mit einem Koppler, einem AS-i Master, einer Steuerung, einem AS-i Datenbus und einem von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master und der Koppler jeweils mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist, wobei über den Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundnen AS-i Datenbus und dem zweiten Datenbus erfolgt.
-
Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen 2 bis 10 sowie 13 bis 14 angegeben.
-
Der mit der Erfindung erzielte Vorteil besteht darin, dass nun ein sicherheitsgerichteter Datenaustausch zwischen Slaves, welche am AS-i Datenbus angeschlossen sind, und der Steuerung, welche nicht am AS-i Datenbus angeschlossen ist, erfolgen kann. Der Koppler bildet somit eine Schnittstelle zwischen dem AS-i Datenbus und dem zweiten Datenbus, so dass sicherheitskritische Daten des AS-i Datenbusses zu Steuerung gesandt werden konnen und ebenso die Steuerung sicherheitskritische Daten uber den Koppler in den AS-i Datenbus senden kann. Dadurch, dass der Koppler eine sicherheitsgerichtete Datenubertragung zwischen den beiden Datenbussen ermöglicht, kann nun eine logische Auswertung der sicherheitskritischen Daten in der Steuerung erfolgen.
-
Um eine logische Auswertung sicherheitskritischer Daten des AS-i Datenbusses zu ermoglichen muss der AS-i Datenbus nun nicht mehr mit einem Sicherheitsmonitor oder einem AS-i Master mit integriertem Sicherheitsmonitor verbunden werden, da dies nun „extern” über die Steuerung erfolgen kann.
-
Möchte folglich ein Anwender ein bestehendes „unsicheres” AS-i System sicherheitsgerichtet ausbilden, so kann der bestehende AS-i Master weiter hin genutzt werden. Ferner muss er keinen Sicherheitsmonitor mit dem AS-i Datenbus verbinden. Es genugt, wenn er den Koppler mit dem AS-i Datenbus und dem zweiten Datenbus verbindet. Dadurch, dass der Koppler ein sicherheitsgerichtetes Telegramm des AS-i Datenbusses in ein sicherheitsgerichtetes Telegramm des zweiten Datenbusses umsetzen kann, kann die logische Auswertung der sicherheitskritischen Daten nun mittels der Steuerung des zweiten Datenbusses erfolgen. Da durch den Koppler keine logische Auswertung bereitgestellt werden muss, kann ein kostengünstiges Bauelement bereitgestellt werden mittels welchem ein bestehendes AS-i System sicherheitsgerichtet ausgebildet werden kann. Der Steuerung des zweiten Bussystems liegen somit die sicherheitskritischen Daten vor und können von dieser logisch ausgewertet werden.
-
Die logische Auswertung der am Sicherheitsprozess beteiligten Slaves, welche uber den AS-i Datenbus zur Kommunikation angebunden sind, kann somit zentral über die „übergeordnete” Steuerung erfolgen. Die Auswertung der sicherheitskritischen Daten erfolgt somit zentral uber die Steuerung. Ein Vorteil eines derartigen Aufbaus besteht insbesondere darin, dass der Steuerung die sicherheitskritischen Daten vorliegen, so dass eine weitere Analyse der sicherheitskritischen Daten erfolgen kann.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist der Koppler sicherheitsgerichtet ausgebildet und kann auf dem AS-i Datenbus sowie dem zweiten Datenbus sicherheitsgerichtet kommunizieren. Der Koppler kann somit die sicherheitsgerichteten Telegramme des AS-i Datenbusses und des zweiten Datenbusses hinsichtlich ihres Sicherheitsmittels kontrollieren sowie die jeweiligen sicherheitskritischen Daten in das entsprechende Telegramm der Datenbusse umsetzten. Auf diese Weise kann ein sicherheitsgerichteter Datenaustausch zwischen den beiden Datenbussen gewährleistet werden.
-
In einer weiteren vorteilhaften Ausfuhrungsform der Erfindung umfasst der Koppler eine erste Anschlusseinrichtung fur den AS-i Datenbus, eine zweite Anschlusseinrichtung fur den zweiten Datenbus und eine Datenverarbeitungseinheit, welche mit der ersten und zweiten Anschlusseinrichtung verbunden ist, um den sicherheitsgerichteten Datenaustausch zwischen dem AS-i Datenbus und dem zweiten Datenbus zu ermoglichen.
-
In einer weiteren vorteilhaften Ausfuhrungsform der Erfindung kann der Koppler sicherheitsgerichtet sicherheitskritische Daten uber den mit ihm verbundnen AS-i Datenbus empfangen und uber den zweiten Datenbus an die Steuerung senden. Das Empfangen und Senden der sicherheitskritischen Daten erfolgt insbesondere mittels einer Datenverarbeitungseinheit des Kopplers.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung kann der Koppler sicherheitsgerichtet sicherheitskritische Daten der Steuerung über den zweiten Datenbus empfangen und in den mit ihm verbundnen AS-i Datenbus einspeisen. Das Empfangen und Einspeisen der sicherheitsgerichteten Daten erfolgt insbesondere mittels der Datenverarbeitungseinheit des Kopplers.
-
Hierbei hat insbesondere der Koppler keine vom Anwender programmierbare Logik bezüglich der Auswertung der sicherheitskritischen Daten der Steuerung. Die Auswertung der sicherheitskritischen Daten der Steuerung erfolgt insbesondere im angesprochenen Gerat, welches am AS-i Datenbus hangt.
-
In einer weiteren vorteilhaften Ausfuhrungsform der Erfindung kann mit dem Koppler lediglich ein Umsetzten von sicherheitskritischen Daten des AS-i Datenbusses in den zweiten Datenbus und/oder ein Umsetzten von sicherheitskritischen Daten des zweiten Datenbusses in den AS-i Datenbusses sowie eine Überprüfen des sicherheitsgerichteten Telegramms des jeweiligen Datenbusses auf seine Richtigkeit erfolgen. Liegt ein fehlerhaftes Telegramm vor, so kann vorzugsweise ein Fehlersignal ausgegeben werden.
-
Ein sicherheitsgerichtetes Telegramm besteht insbesondere aus sicherheitskritischen Daten, welche durch mindestens 1 Bit abgebildet sind, und einem Sicherungsmittel, welches durch mindestens 1 Bit abgebildet ist. Die Anzahl der Bits ist abhängig von der Sicherheitsanforderungsstufe.
-
Der Koppler weist insbesondere keine vom Anwender programmierbare Logik auf. Insbesondere kann keine logische Auswertung der empfangen sicherheitskritischen Daten erfolgen. Der Koppler kann lediglich einen Transfer der sicherheitskritischen Daten vom AS-i Datenbus in den zweiten Datenbus oder umgekehrt, sowie ein Überprüfen eines jeweiligen empfangenen Telegramms hinsichtlich seines Sicherungsmittels durchfuhren. Die logische Auswertung der sicherheitskritischen Daten erfolgt somit lediglich in der Steuerung bzw. den korrespondierenden Slaves des AS-i Datenbusses.
-
In einer weiteren vorteilhaften Ausfuhrungsform der Erfindung umfasst die Steuerung ein Logikmittel, welches eine logische Auswertung sicherheitskritischer Daten ermoglicht, wobei das Logikmittel programmierbar ist. Insbesondere konnen sicherheitskritische Daten welche über den AS-i Datenbus kommuniziert wurden ausgewertet werden. Vorzugsweise kann ein Anwender die Steuerung hinsichtlich der logischen Auswertung der sicherheitskritischen Daten programmieren.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst das Sicherheitssystem ferner einen AS-i Slave, welcher mit dem AS-i Datenbus verbunden ist, wobei ein sicherheitsgerichteter Datenaustausch zwischen dem AS-i Slave und der Steuerung uber den Koppler erfolgen kann. Der AS-i Slave ist insbesondere ein sicherheitsgerichteter AS-i Salve.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst das Sicherheitssystem einen weiteren Koppler und einen weiteren AS-i Datenbus, wobei der weitere Koppler mit dem zweiten Datenbus und dem weiteren AS-i Datenbus verbunden ist, wobei über den weiteren Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundnen weiteren AS-i Datenbus und dem zweiten Datenbus erfolgen kann. Über den weiteren Koppler können insbesondere sicherheitskritische Daten zwischen dem zweiten Datenbus und dem weiteren AS-i Datenbus sicherheitsgerichtet ausgetauscht werden.
-
Auf diese Weise kann ebenso durch die Steuerung eine logische Auswertung der sicherheitskritischen Daten des weiteren AS-i Datenbus erfolgen. Sowohl der AS-i Datenbus als auch der weitere AS-i Datenbus muss somit jeweils keinen Sicherheitsmonitor aufweisen. Übergreifende sicherheitsgerichtete Analysen sicherheitskritischer Daten zweier AS-i Datenbusse können somit zentral über eine Steuerung erfolgen. Zwei oder mehrere getrennte AS-i Datenbusse können somit mittels der Steuerung und weiterer Koppler derart verschaltet werden, dass sicherheitskritische Daten des einen AS-i Datenbusses Auswirkungen auf Slaves der anderen AS-i Datenbusse haben.
-
In einer weiteren vorteilhaften Ausfuhrungsform der Erfindung umfassen das Sicherheitssystem eine Einbaustation und der AS-i Master und der Koppler sind derart ausgebildet, dass sie modular in die Einbaustation eingebaut werden können. Insbesondere umfasst die Einbaustation bereits die Steuerung, so dass der AS-i Master und der Koppler unmittelbar mit der Steuerung gekoppelt werden kann.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist der zweite Datenbus ein PROFIBUS Datenbus. Uber diesen PROFIBUS wird insbesondere zwischen der Steuerung und dem Koppler mittels PROFIsafe kommuniziert.
-
Bei einem Datenaustausch wird insbesondere mindestens ein Bit übertragen.
-
Im Folgenden werden die Erfindung und Ausgestaltungen der Erfindung anhand der in den Figuren dargestellten Ausführungsbeispiele naher beschrieben und erlautert. Es zeigen:
-
1 Eine schematische Darstellung eines AS-i Bussystems, wobei ein Sicherheitsmonitor separat am AS-i Datenbus angeschlossen ist,
-
2 eine schematische Darstellung eines AS-i Bussystems, wobei ein AS-i Master mit integriertem Sicherheitsmonitor am AS-i Datenbus angeschlossen ist,
-
3 eine schematische Darstellung eines Sicherheitssystems, welches einen Koppler umfasst,
-
4 eine schematische Darstellung eines Sicherheitssystems, welches einen weiteren Koppler umfasst.
-
1 zeigt eine schematische Darstellung eines AS-i Bussystems, wobei ein Sicherheitsmonitor 4 separat am AS-i Datenbus 6 angeschlossen ist. In 1 sind zwei unterschiedliche Bussysteme abgebildet, welche mittels unterschiedlicher Telegramme auf ihren entsprechenden Datenbus 6, 7 kommunizieren können. Ein Bussystem ist hierbei das AS-i Bussystem. Gerate des AS-i Bussystems sind über den AS-i Datenbus 6 miteinander verbunden, so dass sie hieruber kommunizieren können. An dem AS-i Datenbus 6 ist ein AS-i Master 2, ein Sicherheitsmonitor 4 und zwei Slaves 5 angeschlossen. Hinsichtlich der normalen Datenkommunikation auf dem AS-i Datenbus 6 sorgt der AS-i Master 2 für die notwendige Steuerung und logische Auswertung der übertragenen Daten. Bei der sicherheitsgerichteten Datenkommunikation auf dem AS-i Datenbus 6 erfolgt hingegen die Überwachung sowie logische Auswertung der sicherheitsgerichteten Telegramme durch den Sicherheitsmonitor 4. Der Sicherheitsmonitor 4 wertet somit die sicherheitskritischen Daten aus.
-
Ein Anwender muss somit das Zusammenspiel der am AS-i Datenbus hängenden Geräte sowohl im AS-i Master 2, für die normale Datenkommunikation, als auch im Sicherheitsmonitor 4, für die sicherheitsgerichtete Datenkommunikation, konfigurieren. Eine logische Verschaltung der am AS-i Datenbus hangenden Slaves muss somit sowohl für den AS-i Master 2 als auch fur den Sicherheitsmonitor 4 erfolgen. Dem AS-i Master 2 liegen sicherheitskritische Daten eines sicherheitsgerichteten Datenaustauschs nicht vor, da diese über den Sicherheitsmonitor 4 abgehandelt werden. Der AS-i Master 2 weist zur Kommunikation mit einer ubergeordneten Steuerung 1 ein Anschlussmittel für einen zweiten Datenbusses 7 auf, so dass er uber den zweiten Datenbus 7 mit der Steuerung 1 kommunizieren kann. Nachteilig hieran ist, dass die Steuerung 1 nicht auf die sicherheitskritischen Daten des AS-i Systems zugreifen kann, da diese dem Master nicht vorliegen.
-
2 zeigt eine schematische Darstellung eines AS-i Bussystems, wobei ein AS-i Master 3 mit integriertem Sicherheitsmonitor am AS-i Datenbus 6 angeschlossen ist. Im Vergleich zu 1 liegt kein separater Sicherheitsmonitor sowie kein „unsicherer” AS-i Master vor. In 2 liegt ein AS-i Master 3 mit integriertem Sicherheitsmonitor vor. Der AS-i Master 3 mit integriertem Sicherheitsmonitor kann somit neben dem gewohnlichen Datenaustausch auf dem AS-i Datenbus 6 ebenso einen sicherheitsgerichteten Datenaustausch über den AS-i Datenbus 6 ermoglichen. Möchte beispielsweise einer der Slaves 5 sicherheitskritische Daten über den AS-i Datenbus 6 kommunizieren, so kann er mittels des sicherheitsgerichteten Telegramms die sicherheitskritischen Daten an den AS-i Master 3 mit Sicherheitsmonitor senden. Der AS-i Master 3 mit Sicherheitsmonitor kann daraufhin diese Daten empfangen und logisch auswerten. Nachteilig an einem derartigen Sicherheitssystem ist jedoch, dass bei einem nachträglichen Aufrüsten eines bestehenden AS-i Systems der „unsichere” AS-i Masters durch einen AS-i Master 3 mit Sicherheitsmonitor ersetzt werden muss. Ferner muss die Abbildung der Logik für das gesamte AS-i Bussystem erneut im AS-i Master 3 mit Sicherheitsmonitor erfolgen.
-
3 zeigt eine schematische Darstellung einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems, welches einen Koppler 8 umfasst. Das abgebildete Sicherheitssystem weist zwei unterschiedliche Bussysteme auf. Ein Bussystem kommuniziert über einen AS-i Datenbus 6, das andere Bussystem kommuniziert über einen zweiten Datenbus 7. An dem AS-i Datenbus 6 sind zwei Slaves 5, der Koppler 8 und ein AS-i Master 2 angeschlossen, so dass die Geräte über den AS-i Datenbus 6 kommunizieren konnen. Über den zweiten Datenbus 7 ist eine Steuerung 1, insbesondere eine sicherheitsgerichtete speicherprogrammierbare Steuerung, der AS-i Master 2 und der Koppler 8 angebunden, so dass sie uber den zweiten Datenbus 7 kommunizieren konnen. Der Koppler 8 ist hierbei derart ausgebildet, dass er einen sicherheitsgerichteten Datenaustausch zwischen dem mit ihm verbundenen ersten AS-i Datenbus 6 und dem zweiten Datenbus 7 ermöglicht. Folglich konnen sicherheitskritische Daten eines Slaves 5 zu der Steuerung 1 übertragen werden. Hierfür sendet der Slave 5 ein sicherheitsgerichtetes Telegramm uber den AS-i Datenbus 6. Der Koppler 8 empfängt dieses sicherheitsgerichtete Telegramm. Das sicherheitsgerichtete Telegramm besteht hierbei zum einen aus sicherheitskritischen Daten und aus einem Sicherungsmittel, welches eine ordnungsgemaße Übertragung auf dem AS-i Datenbus charakterisiert. Der Koppler 8 uberpruft das Sicherungsmittel dahingehend ob eine ordnungsgemäße Übertragung zwischen dem Slave 5 und ihm stattgefunden hat und extrahiert die sicherheitskritischen Daten. Diese sicherheitskritischen Daten werden sicherheitsgerichtet in ein sicherheitsgerichtetes Telegramm für den zweiten Datenbus 7 umgewandelt und an die Steuerung 1 gesandt. Ebenso kann er sicherheitskritische Daten von der Steuerung 1 an einen Slave 5 ubertragen. Der Koppler 8 kann somit insbesondere sicherheitskritische Daten zwischen den beiden Bussystemen austauschen. Ferner kann er während des Datenaustauschs die sicherheitsgerichtete Kommunikation des jeweiligen Datenbusses 6, 7 dahingehend überprüfen, ob eine ordnungsgemäße Übertragung stattgefunden hat. Der Vorteil eines derartigen Sicherheitssystems besteht darin, dass die logische Auswertung der sicherheitskritischen Daten in der Steuerung 1 erfolgen kann. Das AS-i Bussystem muss somit keinen Sicherheitsmonitor aufweisen, welcher eine logische Auswertung der sicherheitskritischen Daten bereitstellt, da dies in der ubergeordneten Steuerung 1 erfolgt. Ein nachträgliches Aufrusten eines bestehenden nicht sicheren AS-i Systems in ein sicherheitsgerichtetes AS-i System ist somit auf einfache Weise moglich. Hierfür muss lediglich ein Koppler 8 mit den bestehenden AS-i Datenbus 6 verbunden werden sowie mit einen übergeordneten zweiten Datenbus 7 verbunden werden. Eine übergeordnete Steuerung 1, wie beispielsweise eine SIMATIC ET200S, welche sicherheitsgerichtet ausgebildet ist, kann nun die logische Auswertung der sicherheitskritischen Daten der am AS-i Datenbus hängenden Slaves 5 ubernehmen. Die Ubertragung der sicherheitskritischen Daten auf dem zweiten Datenbus 7 kann beispielsweise uber PROFIsafe Telegramme erfolgen.
-
Durch den Einsatz eines Kopplers 8 ergeben sich mehrere Vorteile:
- – Ein Anwender kann ein bestehendes AS-i System durch einfaches Hinzufügen einer Komponente (Koppler 8) ebenso für eine sicherheitsrelevante Applikation einsetzen.
- – Fur den Gerätehersteller können AS-i Master 1 und Koppler 8 getrennt entwickelt und freigegeben werden. Entsprechend sind Fehlerbehebungen im AS-i Master 1 ohne aufwändigen Zertifizierungsprozess des Gesamtgerats möglich.
- – Die Anzahl der Produktvarianten sinkt, da es keine Unterscheidung nach „unsichere”- und sichere AS-i Master geben muss.
- – Eine einfache Kopplung zwischen verschiedenen AS-i Netzen kann mittels des Kopplers 8 umgesetzt werden
-
Besonders vorteilhaft ist es, wenn der AS-i Master 2 und der Koppler 8 jeweils derart ausgebildet sind, dass sie modular in eine Einbaustation eingebaut werden können. Eine derartige Einbaustation umfasst beispielsweise zum einen die Steuerung 1, welche weitere Steckplätze fur den AS-i Master 2 und den Koppler 8 umfasst.
-
4 zeigt eine schematische Darstellung einer weiteren Ausfuhrungsform eines erfindungsgemaßen Sicherheitssystems, welches einen weiteren Koppler 9 umfasst. Das abgebildete Sicherheitssystem besteht aus zwei Zellen 10, 11. Die erste Zelle 10 sowie die zweite Zelle 11 weisen den gleichen Aufbau auf wie das Sicherheitssystem, welches unter 3 gezeigt wurde. Zusätzlich ist der zweite Datenbus 7 der ersten Zelle 10 über einen weiteren Koppler 9 mit dem AS-i Datenbus 6' der zweiten Zelle 11 verbunden. Hierdurch kann ein sicherheitsgerichteter Datenaustausch zwischen der zweiten Zelle 11 und der ersten Zelle 10 erfolgen. Ein Slave 5, z. B. ein Not-Aus-Taster, kann über den AS-i Datenbus 6' der zweiten Zelle 11 ein sicherheitskritisches Signal an die Steuerung 1 der ersten Zelle 10 über den weiteren Koppler 9 senden. Die Steuerung 1 der ersten Zelle 10 kann daraufhin beispielsweise uber den Koppler 8 der ersten Zelle 10 einen Slave 5 der ersten Zelle 10 sicherheitsgerichtet ansteuern, so dass beispielsweise ein Antrieb deaktiviert wird. Auf diese Weise konnen auf einfache Weise zwei voneinander getrennte AS-i Systeme miteinander logisch verschaltet werden, so dass eine Interaktion zwischen den beiden Zellen 10, 11 erfolgen kann. Der AS-i Datenbus 6 der ersten Zelle 10 ist separat vom AS-i Datenbus 6' der zweiten Zelle 11 ausgebildet. Der zweite Datenbus 7 der ersten Zelle 10 ist separat vom zweiten Datenbus 7' der zweiten Zelle 11 ausgebildet. Es konnen somit in der ersten und zweiten Zelle 10, 11 unterschiedliche zweite Datenbusse 7, 7' vorliegen. Mittels weiterer Koppler 9 konnen weitere Zellen mit der ersten oder zweiten Zelle 10, 11 gekoppelt werden, so dass das Sicherheitssystem „zellenubergreifend” erweiterbar ist.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- EN 954-1 [0004]
- EN 60204 [0004]