DE102012001624A1 - Method for interference-tolerant safety-at-work system designed as specific version of standard safety-at-work system, involves tolerating disrupted and failed messages of safely aligned components in defined measurement and tolerance - Google Patents
Method for interference-tolerant safety-at-work system designed as specific version of standard safety-at-work system, involves tolerating disrupted and failed messages of safely aligned components in defined measurement and tolerance Download PDFInfo
- Publication number
- DE102012001624A1 DE102012001624A1 DE201210001624 DE102012001624A DE102012001624A1 DE 102012001624 A1 DE102012001624 A1 DE 102012001624A1 DE 201210001624 DE201210001624 DE 201210001624 DE 102012001624 A DE102012001624 A DE 102012001624A DE 102012001624 A1 DE102012001624 A1 DE 102012001624A1
- Authority
- DE
- Germany
- Prior art keywords
- safety
- tolerance
- telegram
- disturbances
- components
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/403—Bus networks with centralised control, e.g. polling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40254—Actuator Sensor Interface ASI
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Description
Stand der TechnikState of the art
Die Erfindung betrifft eine sicherheitsgerichtete Variante des bekannten Safety-at-Work Systems, die Störungen in der Datenübertragung für eine einstellbare Zeit toleriert, ohne dass die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt wird.The invention relates to a safety-oriented variant of the known safety-at-work system that tolerates disturbances in the data transmission for an adjustable time without the application controlled by it being put into a safe state.
AS-Interface ist ein eingeführtes und genormtes
- 1
-
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010)
- 2
-
DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen
- 3
-
AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert.
- 1
-
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 Kriesel, WR, Madelung, OW (ed.): AS-Interface The Actuator Sensor Interface for Automation; 213 p., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; Updated: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010)
- 2
-
DIN EN ISO 13849-1: 2008: Safety of machine-safety-related parts of control systems
- 3
-
AS-International Association (ed.): AS-Interface Safety-at-Work, (2004) and Complete Specification, cited in footnote 1.
Nicht-sicherheitsgerichtete Slaves (im folgenden einfache Slaves genannt) und sicherheitsgerichtete Slaves können in demselben Netz verwendet werden. Ein AS-Interface Netz, das wenigstens einen Sicherheitsmonitor und einen sicherheitsgerichteten Slave enthält, wird als „Safety-at-Work Netz” oder „SaW-Netz” bezeichnet. Für die Steuerung einer Applikation über die Sensoren und Aktuatoren ist im kontinuierlichen Betrieb in beiden Netzen – AS-Interface und Safety-at-Work – eine übergeordnete Steuerung, z. B. eine SPS, ein PC oder ein „Controller”, verantwortlich.Non-safety-related slaves (referred to below as simple slaves) and safety-related slaves can be used in the same network. An AS-Interface network containing at least one safety monitor and one safety-related slave is referred to as a "safety-at-work network" or "SaW network". For the control of an application via the sensors and actuators in continuous operation in both networks - AS-Interface and Safety-at-Work - a higher-level control, eg. As a PLC, a PC or a "controller", responsible.
Bei Safety-at-Work enthält das Netz zusätzlich zum einfachen AS-Interface System einen „Sicherheitsmonitor”, der den Datenverkehr mit den sicherheitsgerichteten Slaves überwacht und die Applikation über seine lokalen Ausgänge oder über sicherheitsgerichtete Aktuatoren in einen sicheren Zustand versetzt, falls dies von einem sicherheitsgerichteten Eingangssignal verlangt wird oder falls in dem überwachten Datenverkehr eine Störung auftritt.In Safety-at-Work, in addition to the simple AS-Interface system, the network also contains a "safety monitor" that monitors the data traffic with the safety-related slaves and places the application in a safe state via its local outputs or via safety-related actuators, if one safety-related input signal is requested or if a fault occurs in the monitored data traffic.
Dabei ist für die sichere Funktion der Applikation entscheidend, dass für alle sicherheitsgerichtete Nachrichten die Kette „sicherheitsgerichtete Quelle – sicherheitsgerichtete Datenübertragung – sicherheitsgerichtete Datensenke” gewährleistet wird. Im Falle eines Eingangssignales ist der Sensor die Datenquelle, der Sicherheitsmonitor die Datensenke. Im Fall eines sicherheitsgerichteten Aktuators ist dieser die Datensenke, der Sicherheitsmonitor die Datenquelle. Diese Komponenten werden nach den bekannten Regeln sicherheitsgerichtet konstruiert. Die sicherheitsgerichtete Datenübertragung wirdbei Safety-at-Work durch die kontinuierliche Übertragung einer Codefolge C, die bei Sensoren aus 8, bei Aktuatoren aus 7 Einzeltelegrammen C1 bis C8 mit je vier Bit besteht, von der Datenquelle gesendet und von der Datensenke kontinuierlich überwacht wird. Die Codefolge wird für jeden einzelnen Slave individuell vom Hersteller festgelegt. Der korrekte Empfang der Codefolge in der Datensenke ergibt das „FREI”-Signal, das Ausbleiben der Codes, Fehler in den Codes oder das Erkennen des Ausschalttelegramms 0-0-0-0, ergeben ein „NICHT-FREI”-Signal”. Das NICHT-FREI-Signal führt dazu, dass die Datensenke an Stelle des Masters das Kommando über die Applikation übernimmt und diese in einen sicheren Zustand versetzt.It is crucial for the safe function of the application that the chain "safety-related source - safety-related data transmission - safety-related data sink" is guaranteed for all safety-related messages. In the case of an input signal, the sensor is the data source, the safety monitor the data sink. In the case of a safety-related actuator, this is the data sink, the safety monitor is the data source. These components are designed safety-oriented according to the known rules. The safety-oriented data transmission is transmitted from the data source and continuously monitored by the data sink in Safety-at-Work by the continuous transmission of a code sequence C, which consists of 7 individual telegrams C1 to C8 with actuators of 7 individual telegrams C1 to C8. The code sequence is determined individually for each individual slave by the manufacturer. The correct receipt of the code sequence in the data sink yields the "FREE" signal, the absence of the codes, errors in the codes or the recognition of the OFF telegram 0-0-0-0 result in a "NOT-FREE" signal ". The NON-FREI signal causes the data sink instead of the master to take command of the application and put it in a safe state.
AS-Interface (einschließlich SaW) wird überwiegend im industriellen Umfeld eingesetzt und erfordert keine abgeschirmten Leitungen; es wird sogar erfolgreich mit Schleifleitungen verwendet. Durch seine Konstruktion ist sicher gestellt worden, dass fast jede Störung eines Telegramms als solche erkannt wird und dass das System darauf in geeigneter Weise reagiert. Dazu gibt es bei AS-Interface eine spezielle Art der Datencodierung, die die Detektierung von Fehlern in der Datenübertragung ermöglicht. Bei fehlenden oder fehlerhaften Telegrammen wird der Masteraufruf einmal im Zyklus wiederholt. Wenn nach 3 Zyklen von ein und demselben Slave immer noch kein oder nur ein fehlerhaftes Telegramm empfangen wird, wird dieser Slave aus der „Liste der aktivierten Slaves” (LAS), die im Master hinterlegt ist, gestrichen und aus dem Netz genommen. Der Master meldet dies als Störung an die übergeordnete Steuerung.AS-Interface (including SaW) is mainly used in industrial environments and does not require shielded cables; it is even successfully used with conductor rails. Its construction has ensured that almost every disruption of a telegram is recognized as such and that the system reacts to it in a suitable manner. For this purpose, AS-Interface offers a special type of data coding that enables the detection of errors in data transmission. In the case of missing or faulty telegrams, the master call is repeated once in the cycle. If after 3 cycles of one and the same slave still no or only one faulty telegram is received, this slave is deleted from the "List of activated slaves" (LAS), which is stored in the master, and removed from the network. The master reports this as a fault to the higher-level control.
Bei Safety at Work wird nach dem Stand der Technik nur die Telegrammwiederholung im ersten Zyklus erlaubt, sowie die Wiederholung im folgenden Zyklus. Führt dies nicht zu einem korrekten Telegramm, gilt dies für den Sicherheitsmonitor bzw. den betroffenen Aktuator als NICHT-FREI-Signal und führt dazu, dass die Applikation von ihnen in einen sicheren Zustand geschaltet wird. Der Verzicht auf weitere Wiederholungen in einem dritteen Zyklus ermöglicht eine kurze Reaktionszeit des Standard-SaW Systems, die bei einem vollausgebauten Netz etwa 35 ms beträgt.With Safety at Work, according to the state of the art, only the telegram repetition in the first cycle is allowed, as well as the repetition in the following cycle. If this does not lead to a correct telegram, this applies to the safety monitor or the affected actuator as a NOT-FREI signal and causes the application to switch to a safe state. Avoiding further repetitions in a third cycle allows a short reaction time of the standard SaW System, which is about 35 ms for a fully-equipped network.
Es gibt aber auch Applikationen, für die zwar eine sicherheitsgerichtete Funktion des Netzes unverzichtbar ist, bei denen aber eine längere Reaktionszeit unkritisch ist. Störungen, die länger als eine Zykluszeit dauern, wie sie beispielsweise durch einen schlechten Kontakt auf einer verschmutzten Schleifbahn auftreten können, werden aber bei einem Standard-SaW Netz dann problematisch, wenn sie zu einem häufigeren Ausfall von Slaves und damit zu Stopps der Applikation führen. Für derartige Applikationen ist ein toleranterer Umgang des System mit kurzfristigen Störungen zu Lasten der Reaktionsgeschwindigkeit von Interesse, falls seine sicherheitsgerichtete Funktion dabei gewährleistet bleibt. Eine einfache Erhöhung der Zahl erlaubter Telegrammwiederholungen würde die zweite Bedingung nicht erfüllen.But there are also applications for which a safety-related function of the network is indispensable, but where a longer reaction time is not critical. Disturbances that last longer than one cycle time, such as may occur due to poor contact on a dirty sliding track, however, become problematic in a standard SaW network if they lead to more frequent failure of slaves and thus to stops of the application. For such applications, a more tolerant handling of the system with short-term disturbances at the expense of the reaction rate of interest, if its safety-related function remains ensured. A simple increase in the number of allowed telegram repeats would not fulfill the second condition.
Derartige Fälle sind bisher mit Standard-Safety at Work nicht befriedigend zu bedienen. Der Erfindung liegt daher die Aufgabe zu Grunde, hierfür eine Lösung anzugeben.Such cases have hitherto been unsatisfactory with standard Safety at Work. The invention is therefore based on the object to provide a solution for this.
Erfindunginvention
Das erfindungsgemäße Verfahren löst das skizzierte Problem durch Veränderungen und Ergänzungen an den einzelnen Komponenten des Systems und in deren Zusammenwirken. Sie werden im folgenden beschrieben. Zur Unterscheidung zwischen dem bekannten, standardisierten Safety at Work System und dem modifizierten System der Erfindung wird im folgenden von „Standard-SaW” und „störungstolerantem SaW” und seinen Komponenten gesprochen.The inventive method solves the problem outlined by changes and additions to the individual components of the system and in their interaction. They are described below. To distinguish between the known, standardized Safety at Work system and the modified system of the invention, the following is spoken of "standard SaW" and "fault tolerant SaW" and its components.
Wie beim Standard-SaW wird der sicherheitsgerichtete Datenverkehr auch beim störungstoleranten SaW durch den Sicherheitsmonitor oder einen odere mehrere sicherheitsgerichtete Aktuatoren überwacht. Der Übergang von einem „FREI”-Zustand zum „NICHT-FREI”-Zustand erfolgt beim störungstoleranten SaW aber nicht wie beim Standard-SaW unveränderlich nach dem zweiten fehlerhaften Zyklus, sondern erst dann, wenn nach einer vorgegebenen Toleranz kein gültiges Telegramm erkannt worden ist. Diese Toleranz kann erfindungsgemäß als Toleranzzeit TToleranz oder als Toleranzzahl NToleranz festgelegt werden, wobei NToleranz sowohl die Zahl der unmittelbar aufeinanderfolgenden Telegrammausfälle als auch die Folge mehrerer, aufeinander folgender Störungen und damit die Stärke und die Häufigkeit von Störungen berücksichtigen kann. Erfindungsgemäß erkennen aber Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren jedes einzelne Telegramm trotzdem genauso sicher als „gültig” oder „ungültig” wie ein Standard-SaW-System. Verändert ist nur das Kriteium für ein FREI- bzw. NICHT-FREI Signal an die Applikation.As with the standard SaW, the safety-related data traffic is also monitored in the fault-tolerant SaW by the safety monitor or one or more safety-related actuators. The transition from a "free" state to the "non-free" state takes place in the fault-tolerant SaW but not as in the standard SaW invariably after the second faulty cycle, but only if no valid telegram has been detected after a predetermined tolerance , According to the invention, this tolerance can be defined as the tolerance time T tolerance or as the tolerance number N tolerance , where N tolerance can take into account both the number of immediately consecutive telegram failures and the sequence of several consecutive faults and thus the strength and frequency of faults. In accordance with the invention, however, the safety monitor and the safety-related actuators nevertheless recognize each individual telegram just as reliably as "valid" or "invalid" as a standard SaW system. Only the criterion for a FREE or NOT-FREE signal to the application is changed.
Die Toleranz TToleranz bzw. NToleranz kann für die sicherheitsgerichteten Slaves einer Applikation gleich oder unterschiedlich eingestellt werden und wird gewöhnlich für jede der Komponenten unabhängig von den anderen überprüft. Dadurch kann der Ausfall eines Slaves an einer kritischen Stellen der Applikation schärfer beurteilt werden als an einer weniger kritischen.The tolerance T tolerance or N tolerance can be set the same or different for the safety-related slaves of an application and is usually checked independently of the others for each of the components. As a result, the failure of a slave at a critical point of the application can be assessed sharper than at a less critical one.
Parallel zum Sicherheitsmonitor, aber ohne dessen erhöhte Sicherheitsfunktion, überprüft der Master der Applikation die Zahl der Telegrammwiederholungen aller Slaves. Eine Erhöhung der Toleranz für sicherheitsgerichtete Slaves ist daher im Allgeminen nur dann sinnvoll, wenn der Master während dieser Zeit keine Slaves aus der Liste der aktivierten Slaves streicht. Er wird daher für das erfindungsgemäße Verfahren so verändert, dass entweder die Zahl der vom Master akzeptierten Telegrammwiederholungen oder eine Toleranzzeit für Störungen einstellbar sind. In beiden Fällen wird damit sichergestellt, dass die Slaves zwar zunächst länger in der LAS verbleiben, nach Ablauf einer Toleranz aber wie bei AS-Interface üblich aus der LAS genommen werden.Parallel to the safety monitor, but without its increased safety function, the master of the application checks the number of telegram repetitions of all slaves. Increasing the tolerance for safety-related slaves is generally only useful if the master does not delete slaves from the list of activated slaves during this time. It is therefore modified for the inventive method so that either the number of accepted by the master telegram repetitions or a tolerance period for disturbances are adjustable. In both cases, this ensures that the slaves initially remain longer in the LAS, but are taken out of the LAS after expiration of a tolerance but as usual with AS-Interface.
Viele einfache Slaves besitzen einen Watchdog, der ebenfalls auf das Ausbleiben von Telegrammen reagiert, Diese Watchdogs werden für das störungstolerante SaW so angepasst, dass sie erst nach Ablauf einer Toleranzzeit aktiv werden.Many simple slaves have a watchdog, which also reacts to the absence of telegrams. These watchdogs are adapted for the fault-tolerant SaW in such a way that they only become active after a tolerance time has elapsed.
Für alle Komponenten werden die Toleranz und die Funktion des Watchdogs über Parametrierung festgelegt oder sie sind hardwaremäßig fest einstellbar. Bei allen sicherheitsgerichteten Komponenten werden sie sicher abgelegt, so dass eine versehentliche Veränderung dieser Daten oder ihre fehlerhafte Veränderung ausgeschlossen werden können. (Anspruch 1)For all components, the tolerance and the function of the watchdog are defined via parameterization or they can be permanently set in hardware. For all safety-related components, they are safely stored so that an accidental change to this data or its incorrect modification can be ruled out. (Claim 1)
Beim Standard-SaW empfangen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren als Antworttelegramme Codes aus einer slave-typischen Codefolge von acht bzw. sieben Codes. Sind die Telegramme in zwei aufeinanderfolgenden Zyklen wegen einer Abweichung von der AS-Interface Norm oder wegen einer Abweichung von der erwarteten Codefolge ungültig oder fallen sie ganz aus, so erzeugen der Sicherheitsmonitor bzw. der sicherheitsgerichtete Aktuator das NICHT-FREI-Signal und die Applikation wird in einen sicheren Zustand geschaltet. Dabei ist ein empfangenes Telegramm dann gültig, wenn es das nächste oder übernächste Telegramm der Codefolge ist.In the standard SaW safety monitor and safety-related actuators receive as response telegrams codes from a slave-typical code sequence of eight or seven codes. If the telegrams are invalid in two consecutive cycles because of a deviation from the AS-Interface standard or due to a deviation from the expected code sequence or if they fail completely, then the safety monitor or the safety-related actuator generates the NON-FREI signal and the application becomes switched to a safe state. In this case, a received telegram is valid if it is the next or the next telegram of the code sequence.
Wird dagegen im störungstoleranten SaW eine Toleranzzeit TToleranz vorgegeben, so beurteilen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren für jeden Slave die Dauer der Störung(en) und schalten die Applikation erst dann in einen sicheren Zustand, wenn die Toleranzzeit TToleranz eines Elementes überschritten wird. Dabei wird der ungestörte Empfang einer vollständigen Codefolge als Beweis dafür gedeutet, dass der betrachtete Slave regulär arbeitet und das FREI-Signal korrekt ist. Ab diesem Zeitpunkt werden eine oder mehrere Störungen dann toleriert, wenn vor Ablauf der Toleranzzeit wieder mindestens ein gültiges Telegramm empfangen wird. „Gültig” ist in diesem Fall jedes Telegramm, das in der Codefolge enthalten ist. Eine nächste tolerable Störung darf dann auftreten, wenn deutlich ist, dass der betrachtete Slave regulär arbeitet, beispielsweise dadurch, dass seit der letzten Störung wieder mindestens eine Codefolge ungestört nach dem Stand der Technik empfangen wurde. Auf diese Weise werden Ausfälle von sicherheitsgerichteten Slaves über eine gewisse Zeitspanne zugelassen, ohne ein NICHT-FREI-Signal auszulösen. Die Länge der Toleranzzeit hängt von den Erfordernissen der Applkation ab. Der sicherheitsgerichtete Betrieb bleibt erhalten. Das Verhältnis von Zahl der fehlerhaften zu ungestörten Telegrammen kann als Maß für die Güte des Netzes genommen werden. Die tolerierten Ausfälle dieser Slaves können nach Dauer und Zeitpunkt voneinander unabhängig sein. (Anspruch 2) If, on the other hand, a tolerance time T tolerance is specified in the fault-tolerant SaW, the safety monitor and safety-related actuators judge the duration of the fault for each slave and switch the application to a safe state only if the tolerance time T tolerance of an element is exceeded. In this case, the undisturbed reception of a complete code sequence is interpreted as proof that the observed slave is working normally and the FREI signal is correct. From this point on, one or more faults will be tolerated if at least one valid telegram is received again before the tolerance time has expired. "Valid" in this case is any telegram contained in the code sequence. A next tolerable fault may occur when it is clear that the observed slave is working normally, for example, that since the last fault again at least one code sequence was received undisturbed according to the prior art. In this way, failures of safety-related slaves are allowed for a certain period of time without triggering a NOT-FREE signal. The length of the tolerance time depends on the requirements of the application. The safety-related operation is retained. The ratio of the number of faulty to undisturbed telegrams can be taken as a measure of the quality of the network. The tolerated failures of these slaves can be independent of each other in terms of duration and time. (Claim 2)
Diese Definition der Toleranz über eine Toleranzzeit hat den Nachteil, dass zwei und mehr einzeln tolerierbare Störungen mit dazwischen liegenden kurzen störungsfreien Phasen nur dann toleriert werden, wenn sie gemeinsam die Toleranzzeit TToleranz unterschreiten (Bild 1), auch wenn die Störungen einzeln kürzer als die Toleranzzeit sind. Eine Variante des erfindungsgemäßen Verfahrens berücksichtigt daher anstelle der Toleranzzeit für jeden sicherheitsgerichteten Slave eine Toleranzzahl NToleranz, Sie wird durch einen Algorithmus bestimmt, der die Zahl der fehlenden oder ungültigen Telegramme und ihr Aufeinanderfolgen berücksichtigt. Einzelstörungen mit vielen ungültigen Telegrammen werden dabei stärker bewertet als kurze Störungen. Längere störungsfreie Phasen zeigen die korrekte Funktion der Applikation.This definition of the tolerance over a tolerance time has the disadvantage that two and more individually tolerable interferences with intervening short interference-free phases are tolerated only if they jointly fall below the tolerance time T tolerance (Figure 1), even if the disturbances individually shorter than the Tolerance time are. A variant of the method according to the invention therefore takes into account, instead of the tolerance time for each safety-related slave, a tolerance number N tolerance . It is determined by an algorithm that takes into account the number of missing or invalid telegrams and their succession. Single disturbances with many invalid telegrams are rated more strongly than short disturbances. Longer, trouble-free phases show the correct function of the application.
Die Toleranzzahl NToleranz kann beispielsweise folgendermaßen definiert werden: NToleranz soll im Wertebereiche zwischen 0 und Nmax liegen. NToleranz = 0 soll ein für längere Zeit ungestörtes Netz beschreiben, NToleranz = Nmax ein so stark gestörtes Netz, dass das NICHT-FREI-Signal ausgelöst werden muss. Für jedes ungültige Telegramm wird die Toleranzzahl um einen Inkrementierungsbetrag I erhöht; für jedes erhaltene gültige Telegramm wird NToleranz um einen Dekrementierungsbetrag D dekrementiert, wobei immer I > D gewählt wird. Damit wird die Toleranzzahl NToleranz durch Störungen schnell erhöht, während sie durch gültige Telegramme langsamer erniedrigt wird. Die Werte I, D und Nmax können applikationsspezifisch gewählt werden. Da die störungsfreie Übertragung einer vollständigen Codefolge die einwandfreie Funktion des Slaves anzeigt, kann nach einer solchen Phase NToleranz sofort auf 0 gesetzt werden. Auf diese Weise kann auch eine Folge kurzer Störungen ohne eine dazwischen liegende längere störungsfreie Phase toleriert werden. Erst eine größere Serie kurzer Störungen oder eine sehr lange Störung führen zu einem NICHT-FREI-Signal. Der maximale Wert von N innerhalb eines Beobachtungszeitraumes kann außerdem als Maß für die Güte des Netzes genommen werden. Er zeigt an, wie weit die Toleranz des Systems ausgenutzt wurde.The tolerance number N tolerance can be defined, for example, as follows: N Tolerance should be in the value range between 0 and N max . N tolerance = 0 should describe a network undisturbed for a long time, N tolerance = N max a network so heavily disturbed that the NON-FREI signal must be triggered. For each invalid telegram, the tolerance number is increased by an increment amount I; for every valid telegram received, the N tolerance is decremented by a decrementing amount D, where I> D is always selected. Thus, the tolerance number N tolerance is quickly increased by disturbances, while it is slowed down by valid telegrams slower. The values I, D and N max can be selected application-specific. Since the trouble-free transmission of a complete code sequence indicates the proper functioning of the slave, after such a phase N tolerance can be set immediately to 0. In this way, even a sequence of short disturbances can be tolerated without an intervening longer interference-free phase. Only a larger series of short faults or a very long fault will result in a NOT-FREE signal. The maximum value of N within an observation period can also be taken as a measure of the quality of the network. It shows how far the tolerance of the system has been exploited.
Im Beispiel des Bildes 2 ist I = 10, D = 1 gewählt und Nmax ist größer als 55. Die eingezeichneten Störungen führen daher zu keinem NICHT-FREI-Signal und damit nicht zu einem Abschalten wie dies in diesem Beispiel bei enem Standard-SaW unweigerlich geschehen würde. (Anspruch 3)In the example of
In der Praxis werden Master und Sicherheitsmonitor häufig in einem Gerät realisiert. Dies bietet für das störungstolerante SaW den Vorteil, dass der Sicherheitsmonitor registrieren kann, welche Masteraufrufe an einen Slave doppelt gesendet werden. Das kann im Algorithmus zur Identifikation erlaubter und nicht erlaubter Codesprünge genutzt werden. Der isoliert stehende Sicherheitsmonitor muss im Antworttelegramm eines Slaves sowohl den gegenüber dem letzten gültigen Antworttelegramm nächsten Code einer Codefolge als auch den übernächsten Code als gültig akzeptieren. Dagegen kann bei dem hier beschriebenen Master mit integriertem Sicherheitsmonitor eindeutig ermittelt werden, welcher der beiden Codes zu erwarten und damit gültig ist. Das führt zu einer verschärften Beurteilung der Situation. (Anspruch 4)In practice, master and safety monitor are often implemented in one device. This offers the advantage for the fault-tolerant SaW that the safety monitor can register which master calls are sent twice to a slave. This can be used in the algorithm for the identification of permitted and not allowed code jumps. In the response telegram of a slave, the isolated safety monitor must accept both the code of a code sequence next to the last valid response telegram and the next but one code as valid. By contrast, in the case of the master described here with integrated safety monitor, it can be determined unambiguously which of the two codes is to be expected and thus valid. This leads to a sharper assessment of the situation. (Claim 4)
Die übliche Konstruktion eines Sicherheitsmonitors sieht einen Empfänger als UART vor, in dem die Telegramme detektiert, auf ihre formale Richtigkeit nach der AS-Interface Spezifikation überprüft, digitalisiert und an zwei redundante CPUs weitergegeben werden. Dort werden die Telegramme bezüglich der Richtigkeit ihrer Codefolge untersucht. Stimmt das Ergebnis beider CPUs überein, so wird die Entscheidung FREI/NICHT-FREI generiert. Um eine exakte Zuordnung der Telegramme in beiden CPUs zu erreichen, werden sie erfindungsgemäß durch einen Taktgeber synchronisiert. Die Taktrate liegt vorzugsweise im Bereich zwischen der Dauer eines einzelnen Telegramms und der Dauer der Zykluszeit. (Anspruch 5)The usual design of a safety monitor provides a receiver as a UART, in which the telegrams are detected, checked for their formal accuracy according to the AS-Interface specification, digitized and forwarded to two redundant CPUs. There, the telegrams are examined for the correctness of their code sequence. If the result of both CPUs is the same then the decision FREI / NOT-FREE is generated. In order to achieve an exact assignment of the telegrams in both CPUs, they are synchronized according to the invention by a clock. The clock rate is preferably in the range between the duration of a single telegram and the duration of the cycle time. (Claim 5)
Der Taktgeber kann vorzugsweise als Teil der UART-Einheit realisiert werden. Der Takt kann dann zusammen mit den Telegrammen als Folge von Taktsignalen und Telegrammen an die redundanten CPUs weitergegeben werden (Anspruch 6).The clock may preferably be realized as part of the UART unit. The clock can then be forwarded together with the telegrams as a result of clock signals and telegrams to the redundant CPUs (claim 6).
Das erfindungsgemäße Verfahren verringert durch die Vorgabe von Toleranzzeiten absichtlich die Schärfe der Forderungen an eine sicherheitsgerichtete Applikation. Bei der Konfigurierung einer Applikation müssen also Fehler beim Übergang von Standard-SaW auf das erfindungsgemäße Verfahren vermieden werden. Daher wird erfindungsgemäß vom Bediener eine kontrollierbare Aktion gefordert, die eine bewusste Entscheidung über die veränderten Sicherheitsanforderungen verlangt. Das geschieht beispielsweise durch Abfragen in der Konfigurations-Software für die Programmierung der Applikation. Aus dem gleichen Grund muss eine fehlerhafte Veränderung der Toleranzen verhindert werden. Dies geschieht erfindungsgemäß durch deren redundante Speicherung in den CPUs von Sicherheitsmonitor und Aktuatoren. (Anspruch 7)By specifying tolerance times, the method according to the invention deliberately reduces the severity of the requirements for a safety-oriented application. When configuring an application, therefore, errors in the transition from standard SaW to the method according to the invention must be avoided. Therefore, according to the invention a controllable action is required by the operator, which requires a conscious decision on the changed safety requirements. This happens, for example, through queries in the configuration software for programming the application. For the same reason, a faulty change of the tolerances must be prevented. This is done according to the invention by their redundant storage in the CPUs of safety monitor and actuators. (Claim 7)
Das erfindungsgemäße Verfahren kann auch in Fällen eingesetzt werden, in denen auf sicherheitsgerichtete Komponenten verzichtet werden kann, in denen aber die gegenüber dem genormten AS-Interface erhöhte Toleranzzeit benötigt wird. Es wird damit zu einem „Störungstoleranten AS-Interface System”. (Anspruch 8)The method according to the invention can also be used in cases in which safety-related components can be dispensed with, but in which the increased tolerance time compared with the standardized AS-interface is required. It thus becomes a "fault-tolerant AS-Interface system". (Claim 8)
Zeichnungen: Bild 1 und 2 zeigen an einem beispielhaften Codeverlauf wie das erfindungsgemäße System in den Varianten von Anspruch 2 und 3 auf ausgefallene Telegramme reagiert, die hier durch drei Störungen verursacht werden:
Bild 1: Alle drei Störungen sind deutlich kürzer als die Toleranzzeit von 40 ms. Ein Standard-SaW würde bereits nach etwa 10 ms das NICHT-FREI Signal auslösen. Von einem System nach Anspruch 2 wird die erste Störung toleriert. Die ungestörte Phase zwischen den ersten beiden Störungen ist aber zu kurz, um das System in den Ausgangszustand zurückzuversetzen. Das störungstolerante SaW nach Anspruch 2 schaltet daher nach 40 ms, d. h. während der zweiten Störung in den NICHT-FREI Zustand. Die dritte Störung und die davor liegende störungsfreie Phase werden nicht mehr erreicht.
Bild 2: Die gleichen angenommenen Störungen werden von der SaW-Variante nach Anspruch 3 vollständig toleriert, solange die Toleranzzahl Nmax größer als 55 gewählt wird.Drawings: FIGS. 1 and 2 show, on an exemplary code course, how the system according to the invention in the variants of
Fig. 1: All three faults are significantly shorter than the tolerance time of 40 ms. A standard SaW would trigger the NON-FREE signal after about 10 ms. From a system according to
Fig. 2: The same assumed disturbances are completely tolerated by the SaW variant according to
Vorteile und wirtschaftlicher Wert der ErfindungAdvantages and economic value of the invention
Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass mit ihm auch dann eine sicherheitsgerichtete Steuerung realisiert werden kann, wenn in einer Applikation kurzfristige Störungen auftreten können, die bei Verwendung eines Standard-SaW zu einem unerwünscht häufigen Abschalten der Applikation führen würden. Das Verfahren wird in Applikationen eingesetzt, die einerseits sicherheitsgerichtet gesteuert werden müssen, andererseits aber wegen einer relativ langen, zulässigen Abschaltzeit kurze Störungen im Datenaustausch tolerieren können.The advantage of the method according to the invention is that a safety-related control can be realized with it even if short-term disturbances can occur in an application which would lead to an undesired frequent shutdown of the application when using a standard SaW. The method is used in applications that need to be safely controlled on the one hand, but on the other hand tolerate short disturbances in the data exchange because of a relatively long, permissible shutdown time.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 [0002] IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 [0002]
- Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010) [0002] Kriesel, WR, Madelung, OW (ed.): AS-Interface The Actuator Sensor Interface for Automation; 213 p., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; Updated: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010) [0002]
- DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen [0002] DIN EN ISO 13849-1: 2008: Safety of machine-safety-related parts of control systems [0002]
-
AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert. [0002] AS-International Association (ed.): AS-Interface Safety-at-Work, (2004) and Complete Specification, cited in
footnote 1. [0002]
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012001624.7A DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012001624.7A DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102012001624A1 true DE102012001624A1 (en) | 2013-08-01 |
DE102012001624B4 DE102012001624B4 (en) | 2021-02-11 |
Family
ID=48783472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102012001624.7A Active DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102012001624B4 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10200091A1 (en) * | 2002-01-03 | 2003-07-24 | Schmersal K A Gmbh & Co | Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address |
US7624219B2 (en) * | 2007-08-09 | 2009-11-24 | Ifm Electronic Gmbh | Bus node |
DE102008057003B4 (en) * | 2008-11-12 | 2023-08-03 | Bihl+Wiedemann Gmbh | Procedure for safe parameterization of AS Interface slaves |
DE202008015021U1 (en) * | 2008-11-12 | 2009-07-30 | Bihl+Wiedemann Gmbh | Programmable speed monitor for Safety at Work |
DE102011117896B4 (en) * | 2011-11-04 | 2013-05-29 | Euchner Gmbh + Co. Kg | Safety-oriented slave for an actuator-sensor-interface (AS-i) system |
-
2012
- 2012-01-30 DE DE102012001624.7A patent/DE102012001624B4/en active Active
Non-Patent Citations (4)
Title |
---|
AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert. |
DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen |
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 |
Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010) |
Also Published As
Publication number | Publication date |
---|---|
DE102012001624B4 (en) | 2021-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1923759B1 (en) | Secure data transfer method and system | |
DE102009042368B4 (en) | Control system for controlling safety-critical processes | |
EP1952238B1 (en) | Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system | |
EP2857913B1 (en) | Redundant automation system | |
EP2981868A1 (en) | Control and data transmission system, process device, and method for redundant process control with decentralized redundancy | |
EP2613463B1 (en) | Method for monitoring a transmitter and corresponding transmitter | |
EP1686732B1 (en) | Method and system for transmitting protocol data units | |
EP2375636A1 (en) | Device and method for configuring a bus system | |
EP1619565B1 (en) | Method and apparatus for safe switching of a bus- based automation system | |
EP1748299A1 (en) | Electronic circuit, system with an electronic circuit and method to test an electronic circuit | |
EP0996060A2 (en) | Single processor system | |
EP2433184B1 (en) | Control system for controlling a process | |
EP3526672A1 (en) | Circuit for monitoring a data processing system | |
EP2418580B1 (en) | Method for operating a network and network | |
EP2080031A2 (en) | Method for monitoring whether the switching threshold of a switching sensor lies within a predefined tolerance region | |
DE102009033229B4 (en) | Method for detecting double addressing in AS interface networks | |
DE102012001624B4 (en) | Failure tolerant safety-at-work system | |
DE10357797A1 (en) | Peripheral unit for a redundant control system | |
DE112018005001T5 (en) | Communication device | |
EP3644143B1 (en) | Self-paramaterisation peripheral module | |
DE2831960C2 (en) | Safety device for the receiving-side evaluation circuit of a data transmission system with information that is mutually exclusive | |
EP3026514B1 (en) | Automation system and method for external control of a self-testing algorithm in a decentralised safety device | |
EP2950176A1 (en) | Method and automation component for generating an event message | |
DE102014103135B3 (en) | System for the safe control of machines, installations or the like | |
DE102010033447B4 (en) | Safe Safety-at-Work slave with standard input |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |