DE102012001624A1 - Method for interference-tolerant safety-at-work system designed as specific version of standard safety-at-work system, involves tolerating disrupted and failed messages of safely aligned components in defined measurement and tolerance - Google Patents

Method for interference-tolerant safety-at-work system designed as specific version of standard safety-at-work system, involves tolerating disrupted and failed messages of safely aligned components in defined measurement and tolerance Download PDF

Info

Publication number
DE102012001624A1
DE102012001624A1 DE201210001624 DE102012001624A DE102012001624A1 DE 102012001624 A1 DE102012001624 A1 DE 102012001624A1 DE 201210001624 DE201210001624 DE 201210001624 DE 102012001624 A DE102012001624 A DE 102012001624A DE 102012001624 A1 DE102012001624 A1 DE 102012001624A1
Authority
DE
Germany
Prior art keywords
safety
tolerance
telegram
disturbances
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE201210001624
Other languages
German (de)
Other versions
DE102012001624B4 (en
Inventor
Bernhard Wiedemann
Carsten Ruhm
Jochen Bihl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bihl & Wiedemann GmbH
BIHL+WIEDEMANN GmbH
Original Assignee
Bihl & Wiedemann GmbH
BIHL+WIEDEMANN GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bihl & Wiedemann GmbH, BIHL+WIEDEMANN GmbH filed Critical Bihl & Wiedemann GmbH
Priority to DE102012001624.7A priority Critical patent/DE102012001624B4/en
Publication of DE102012001624A1 publication Critical patent/DE102012001624A1/en
Application granted granted Critical
Publication of DE102012001624B4 publication Critical patent/DE102012001624B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40254Actuator Sensor Interface ASI

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

The method involves tolerating disrupted and failed messages of safely aligned components in a defined measurement and tolerance without putting the application in a secured condition. The measurement of the tolerance is determined as tolerance time, during which the interferences are not considered, or is determined as tolerance number, which considers the length and frequency of the tolerated interference and length of the uninterrupted phases. The application is set into a safe state, when the tolerance exceeds without receiving a valid message.

Description

Stand der TechnikState of the art

Die Erfindung betrifft eine sicherheitsgerichtete Variante des bekannten Safety-at-Work Systems, die Störungen in der Datenübertragung für eine einstellbare Zeit toleriert, ohne dass die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt wird.The invention relates to a safety-oriented variant of the known safety-at-work system that tolerates disturbances in the data transmission for an adjustable time without the application controlled by it being put into a safe state.

AS-Interface ist ein eingeführtes und genormtes1

1
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 ; oder: Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010)
Bussystem für einfache Sensoren und Aktuatoren, die in computergesteuerten Prozessen oder Anlagen (hier „Applikationen” genannt) verwendet werden. Sein Master tauscht mit jedem Slave zyklisch je ein Master- und ein Antworttelegramm aus. Für Applikationen mit besonders hohen Sicherheitsanforderungen gemäß den internationalen Normen2
2
DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen
für sicherheitsgerichtete Geräte existiert eine Sicherheitsvariante von AS-Interface unter dem Namen „Safety at Work”3
3
AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert.
, in der der Datenverkehr im AS-Interface Netz mit sicherheitsgerichteten Slaves durch Codefolgen so abgesichert wird, dass die Daten dieser Sensoren oder Aktuatoren innerhalb des Netzes sicherheitsgerichtet im Sinne der Normen übertragen werden.AS-Interface is an established and standardized 1
1
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 ; or: Kriesel, WR, Madelung, OW (ed.): AS-Interface The Actuator Sensor Interface for Automation; 213 p., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; Updated: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010)
Bus system for simple sensors and actuators used in computer-controlled processes or systems (here called "applications"). Its master cyclically exchanges one master and one response telegram with each slave. For applications with particularly high safety requirements in accordance with international standards 2
2
DIN EN ISO 13849-1: 2008: Safety of machine-safety-related parts of control systems
For safety-related devices there is a safety variant of AS-Interface under the name "Safety at Work" 3
3
AS-International Association (ed.): AS-Interface Safety-at-Work, (2004) and Complete Specification, cited in footnote 1.
in which the data traffic in the AS-Interface network with safety-related slaves is protected by code sequences in such a way that the data of these sensors or actuators within the network are transmitted in a safety-oriented manner in accordance with the standards.

Nicht-sicherheitsgerichtete Slaves (im folgenden einfache Slaves genannt) und sicherheitsgerichtete Slaves können in demselben Netz verwendet werden. Ein AS-Interface Netz, das wenigstens einen Sicherheitsmonitor und einen sicherheitsgerichteten Slave enthält, wird als „Safety-at-Work Netz” oder „SaW-Netz” bezeichnet. Für die Steuerung einer Applikation über die Sensoren und Aktuatoren ist im kontinuierlichen Betrieb in beiden Netzen – AS-Interface und Safety-at-Work – eine übergeordnete Steuerung, z. B. eine SPS, ein PC oder ein „Controller”, verantwortlich.Non-safety-related slaves (referred to below as simple slaves) and safety-related slaves can be used in the same network. An AS-Interface network containing at least one safety monitor and one safety-related slave is referred to as a "safety-at-work network" or "SaW network". For the control of an application via the sensors and actuators in continuous operation in both networks - AS-Interface and Safety-at-Work - a higher-level control, eg. As a PLC, a PC or a "controller", responsible.

Bei Safety-at-Work enthält das Netz zusätzlich zum einfachen AS-Interface System einen „Sicherheitsmonitor”, der den Datenverkehr mit den sicherheitsgerichteten Slaves überwacht und die Applikation über seine lokalen Ausgänge oder über sicherheitsgerichtete Aktuatoren in einen sicheren Zustand versetzt, falls dies von einem sicherheitsgerichteten Eingangssignal verlangt wird oder falls in dem überwachten Datenverkehr eine Störung auftritt.In Safety-at-Work, in addition to the simple AS-Interface system, the network also contains a "safety monitor" that monitors the data traffic with the safety-related slaves and places the application in a safe state via its local outputs or via safety-related actuators, if one safety-related input signal is requested or if a fault occurs in the monitored data traffic.

Dabei ist für die sichere Funktion der Applikation entscheidend, dass für alle sicherheitsgerichtete Nachrichten die Kette „sicherheitsgerichtete Quelle – sicherheitsgerichtete Datenübertragung – sicherheitsgerichtete Datensenke” gewährleistet wird. Im Falle eines Eingangssignales ist der Sensor die Datenquelle, der Sicherheitsmonitor die Datensenke. Im Fall eines sicherheitsgerichteten Aktuators ist dieser die Datensenke, der Sicherheitsmonitor die Datenquelle. Diese Komponenten werden nach den bekannten Regeln sicherheitsgerichtet konstruiert. Die sicherheitsgerichtete Datenübertragung wirdbei Safety-at-Work durch die kontinuierliche Übertragung einer Codefolge C, die bei Sensoren aus 8, bei Aktuatoren aus 7 Einzeltelegrammen C1 bis C8 mit je vier Bit besteht, von der Datenquelle gesendet und von der Datensenke kontinuierlich überwacht wird. Die Codefolge wird für jeden einzelnen Slave individuell vom Hersteller festgelegt. Der korrekte Empfang der Codefolge in der Datensenke ergibt das „FREI”-Signal, das Ausbleiben der Codes, Fehler in den Codes oder das Erkennen des Ausschalttelegramms 0-0-0-0, ergeben ein „NICHT-FREI”-Signal”. Das NICHT-FREI-Signal führt dazu, dass die Datensenke an Stelle des Masters das Kommando über die Applikation übernimmt und diese in einen sicheren Zustand versetzt.It is crucial for the safe function of the application that the chain "safety-related source - safety-related data transmission - safety-related data sink" is guaranteed for all safety-related messages. In the case of an input signal, the sensor is the data source, the safety monitor the data sink. In the case of a safety-related actuator, this is the data sink, the safety monitor is the data source. These components are designed safety-oriented according to the known rules. The safety-oriented data transmission is transmitted from the data source and continuously monitored by the data sink in Safety-at-Work by the continuous transmission of a code sequence C, which consists of 7 individual telegrams C1 to C8 with actuators of 7 individual telegrams C1 to C8. The code sequence is determined individually for each individual slave by the manufacturer. The correct receipt of the code sequence in the data sink yields the "FREE" signal, the absence of the codes, errors in the codes or the recognition of the OFF telegram 0-0-0-0 result in a "NOT-FREE" signal ". The NON-FREI signal causes the data sink instead of the master to take command of the application and put it in a safe state.

AS-Interface (einschließlich SaW) wird überwiegend im industriellen Umfeld eingesetzt und erfordert keine abgeschirmten Leitungen; es wird sogar erfolgreich mit Schleifleitungen verwendet. Durch seine Konstruktion ist sicher gestellt worden, dass fast jede Störung eines Telegramms als solche erkannt wird und dass das System darauf in geeigneter Weise reagiert. Dazu gibt es bei AS-Interface eine spezielle Art der Datencodierung, die die Detektierung von Fehlern in der Datenübertragung ermöglicht. Bei fehlenden oder fehlerhaften Telegrammen wird der Masteraufruf einmal im Zyklus wiederholt. Wenn nach 3 Zyklen von ein und demselben Slave immer noch kein oder nur ein fehlerhaftes Telegramm empfangen wird, wird dieser Slave aus der „Liste der aktivierten Slaves” (LAS), die im Master hinterlegt ist, gestrichen und aus dem Netz genommen. Der Master meldet dies als Störung an die übergeordnete Steuerung.AS-Interface (including SaW) is mainly used in industrial environments and does not require shielded cables; it is even successfully used with conductor rails. Its construction has ensured that almost every disruption of a telegram is recognized as such and that the system reacts to it in a suitable manner. For this purpose, AS-Interface offers a special type of data coding that enables the detection of errors in data transmission. In the case of missing or faulty telegrams, the master call is repeated once in the cycle. If after 3 cycles of one and the same slave still no or only one faulty telegram is received, this slave is deleted from the "List of activated slaves" (LAS), which is stored in the master, and removed from the network. The master reports this as a fault to the higher-level control.

Bei Safety at Work wird nach dem Stand der Technik nur die Telegrammwiederholung im ersten Zyklus erlaubt, sowie die Wiederholung im folgenden Zyklus. Führt dies nicht zu einem korrekten Telegramm, gilt dies für den Sicherheitsmonitor bzw. den betroffenen Aktuator als NICHT-FREI-Signal und führt dazu, dass die Applikation von ihnen in einen sicheren Zustand geschaltet wird. Der Verzicht auf weitere Wiederholungen in einem dritteen Zyklus ermöglicht eine kurze Reaktionszeit des Standard-SaW Systems, die bei einem vollausgebauten Netz etwa 35 ms beträgt.With Safety at Work, according to the state of the art, only the telegram repetition in the first cycle is allowed, as well as the repetition in the following cycle. If this does not lead to a correct telegram, this applies to the safety monitor or the affected actuator as a NOT-FREI signal and causes the application to switch to a safe state. Avoiding further repetitions in a third cycle allows a short reaction time of the standard SaW System, which is about 35 ms for a fully-equipped network.

Es gibt aber auch Applikationen, für die zwar eine sicherheitsgerichtete Funktion des Netzes unverzichtbar ist, bei denen aber eine längere Reaktionszeit unkritisch ist. Störungen, die länger als eine Zykluszeit dauern, wie sie beispielsweise durch einen schlechten Kontakt auf einer verschmutzten Schleifbahn auftreten können, werden aber bei einem Standard-SaW Netz dann problematisch, wenn sie zu einem häufigeren Ausfall von Slaves und damit zu Stopps der Applikation führen. Für derartige Applikationen ist ein toleranterer Umgang des System mit kurzfristigen Störungen zu Lasten der Reaktionsgeschwindigkeit von Interesse, falls seine sicherheitsgerichtete Funktion dabei gewährleistet bleibt. Eine einfache Erhöhung der Zahl erlaubter Telegrammwiederholungen würde die zweite Bedingung nicht erfüllen.But there are also applications for which a safety-related function of the network is indispensable, but where a longer reaction time is not critical. Disturbances that last longer than one cycle time, such as may occur due to poor contact on a dirty sliding track, however, become problematic in a standard SaW network if they lead to more frequent failure of slaves and thus to stops of the application. For such applications, a more tolerant handling of the system with short-term disturbances at the expense of the reaction rate of interest, if its safety-related function remains ensured. A simple increase in the number of allowed telegram repeats would not fulfill the second condition.

Derartige Fälle sind bisher mit Standard-Safety at Work nicht befriedigend zu bedienen. Der Erfindung liegt daher die Aufgabe zu Grunde, hierfür eine Lösung anzugeben.Such cases have hitherto been unsatisfactory with standard Safety at Work. The invention is therefore based on the object to provide a solution for this.

Erfindunginvention

Das erfindungsgemäße Verfahren löst das skizzierte Problem durch Veränderungen und Ergänzungen an den einzelnen Komponenten des Systems und in deren Zusammenwirken. Sie werden im folgenden beschrieben. Zur Unterscheidung zwischen dem bekannten, standardisierten Safety at Work System und dem modifizierten System der Erfindung wird im folgenden von „Standard-SaW” und „störungstolerantem SaW” und seinen Komponenten gesprochen.The inventive method solves the problem outlined by changes and additions to the individual components of the system and in their interaction. They are described below. To distinguish between the known, standardized Safety at Work system and the modified system of the invention, the following is spoken of "standard SaW" and "fault tolerant SaW" and its components.

Wie beim Standard-SaW wird der sicherheitsgerichtete Datenverkehr auch beim störungstoleranten SaW durch den Sicherheitsmonitor oder einen odere mehrere sicherheitsgerichtete Aktuatoren überwacht. Der Übergang von einem „FREI”-Zustand zum „NICHT-FREI”-Zustand erfolgt beim störungstoleranten SaW aber nicht wie beim Standard-SaW unveränderlich nach dem zweiten fehlerhaften Zyklus, sondern erst dann, wenn nach einer vorgegebenen Toleranz kein gültiges Telegramm erkannt worden ist. Diese Toleranz kann erfindungsgemäß als Toleranzzeit TToleranz oder als Toleranzzahl NToleranz festgelegt werden, wobei NToleranz sowohl die Zahl der unmittelbar aufeinanderfolgenden Telegrammausfälle als auch die Folge mehrerer, aufeinander folgender Störungen und damit die Stärke und die Häufigkeit von Störungen berücksichtigen kann. Erfindungsgemäß erkennen aber Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren jedes einzelne Telegramm trotzdem genauso sicher als „gültig” oder „ungültig” wie ein Standard-SaW-System. Verändert ist nur das Kriteium für ein FREI- bzw. NICHT-FREI Signal an die Applikation.As with the standard SaW, the safety-related data traffic is also monitored in the fault-tolerant SaW by the safety monitor or one or more safety-related actuators. The transition from a "free" state to the "non-free" state takes place in the fault-tolerant SaW but not as in the standard SaW invariably after the second faulty cycle, but only if no valid telegram has been detected after a predetermined tolerance , According to the invention, this tolerance can be defined as the tolerance time T tolerance or as the tolerance number N tolerance , where N tolerance can take into account both the number of immediately consecutive telegram failures and the sequence of several consecutive faults and thus the strength and frequency of faults. In accordance with the invention, however, the safety monitor and the safety-related actuators nevertheless recognize each individual telegram just as reliably as "valid" or "invalid" as a standard SaW system. Only the criterion for a FREE or NOT-FREE signal to the application is changed.

Die Toleranz TToleranz bzw. NToleranz kann für die sicherheitsgerichteten Slaves einer Applikation gleich oder unterschiedlich eingestellt werden und wird gewöhnlich für jede der Komponenten unabhängig von den anderen überprüft. Dadurch kann der Ausfall eines Slaves an einer kritischen Stellen der Applikation schärfer beurteilt werden als an einer weniger kritischen.The tolerance T tolerance or N tolerance can be set the same or different for the safety-related slaves of an application and is usually checked independently of the others for each of the components. As a result, the failure of a slave at a critical point of the application can be assessed sharper than at a less critical one.

Parallel zum Sicherheitsmonitor, aber ohne dessen erhöhte Sicherheitsfunktion, überprüft der Master der Applikation die Zahl der Telegrammwiederholungen aller Slaves. Eine Erhöhung der Toleranz für sicherheitsgerichtete Slaves ist daher im Allgeminen nur dann sinnvoll, wenn der Master während dieser Zeit keine Slaves aus der Liste der aktivierten Slaves streicht. Er wird daher für das erfindungsgemäße Verfahren so verändert, dass entweder die Zahl der vom Master akzeptierten Telegrammwiederholungen oder eine Toleranzzeit für Störungen einstellbar sind. In beiden Fällen wird damit sichergestellt, dass die Slaves zwar zunächst länger in der LAS verbleiben, nach Ablauf einer Toleranz aber wie bei AS-Interface üblich aus der LAS genommen werden.Parallel to the safety monitor, but without its increased safety function, the master of the application checks the number of telegram repetitions of all slaves. Increasing the tolerance for safety-related slaves is generally only useful if the master does not delete slaves from the list of activated slaves during this time. It is therefore modified for the inventive method so that either the number of accepted by the master telegram repetitions or a tolerance period for disturbances are adjustable. In both cases, this ensures that the slaves initially remain longer in the LAS, but are taken out of the LAS after expiration of a tolerance but as usual with AS-Interface.

Viele einfache Slaves besitzen einen Watchdog, der ebenfalls auf das Ausbleiben von Telegrammen reagiert, Diese Watchdogs werden für das störungstolerante SaW so angepasst, dass sie erst nach Ablauf einer Toleranzzeit aktiv werden.Many simple slaves have a watchdog, which also reacts to the absence of telegrams. These watchdogs are adapted for the fault-tolerant SaW in such a way that they only become active after a tolerance time has elapsed.

Für alle Komponenten werden die Toleranz und die Funktion des Watchdogs über Parametrierung festgelegt oder sie sind hardwaremäßig fest einstellbar. Bei allen sicherheitsgerichteten Komponenten werden sie sicher abgelegt, so dass eine versehentliche Veränderung dieser Daten oder ihre fehlerhafte Veränderung ausgeschlossen werden können. (Anspruch 1)For all components, the tolerance and the function of the watchdog are defined via parameterization or they can be permanently set in hardware. For all safety-related components, they are safely stored so that an accidental change to this data or its incorrect modification can be ruled out. (Claim 1)

Beim Standard-SaW empfangen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren als Antworttelegramme Codes aus einer slave-typischen Codefolge von acht bzw. sieben Codes. Sind die Telegramme in zwei aufeinanderfolgenden Zyklen wegen einer Abweichung von der AS-Interface Norm oder wegen einer Abweichung von der erwarteten Codefolge ungültig oder fallen sie ganz aus, so erzeugen der Sicherheitsmonitor bzw. der sicherheitsgerichtete Aktuator das NICHT-FREI-Signal und die Applikation wird in einen sicheren Zustand geschaltet. Dabei ist ein empfangenes Telegramm dann gültig, wenn es das nächste oder übernächste Telegramm der Codefolge ist.In the standard SaW safety monitor and safety-related actuators receive as response telegrams codes from a slave-typical code sequence of eight or seven codes. If the telegrams are invalid in two consecutive cycles because of a deviation from the AS-Interface standard or due to a deviation from the expected code sequence or if they fail completely, then the safety monitor or the safety-related actuator generates the NON-FREI signal and the application becomes switched to a safe state. In this case, a received telegram is valid if it is the next or the next telegram of the code sequence.

Wird dagegen im störungstoleranten SaW eine Toleranzzeit TToleranz vorgegeben, so beurteilen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren für jeden Slave die Dauer der Störung(en) und schalten die Applikation erst dann in einen sicheren Zustand, wenn die Toleranzzeit TToleranz eines Elementes überschritten wird. Dabei wird der ungestörte Empfang einer vollständigen Codefolge als Beweis dafür gedeutet, dass der betrachtete Slave regulär arbeitet und das FREI-Signal korrekt ist. Ab diesem Zeitpunkt werden eine oder mehrere Störungen dann toleriert, wenn vor Ablauf der Toleranzzeit wieder mindestens ein gültiges Telegramm empfangen wird. „Gültig” ist in diesem Fall jedes Telegramm, das in der Codefolge enthalten ist. Eine nächste tolerable Störung darf dann auftreten, wenn deutlich ist, dass der betrachtete Slave regulär arbeitet, beispielsweise dadurch, dass seit der letzten Störung wieder mindestens eine Codefolge ungestört nach dem Stand der Technik empfangen wurde. Auf diese Weise werden Ausfälle von sicherheitsgerichteten Slaves über eine gewisse Zeitspanne zugelassen, ohne ein NICHT-FREI-Signal auszulösen. Die Länge der Toleranzzeit hängt von den Erfordernissen der Applkation ab. Der sicherheitsgerichtete Betrieb bleibt erhalten. Das Verhältnis von Zahl der fehlerhaften zu ungestörten Telegrammen kann als Maß für die Güte des Netzes genommen werden. Die tolerierten Ausfälle dieser Slaves können nach Dauer und Zeitpunkt voneinander unabhängig sein. (Anspruch 2) If, on the other hand, a tolerance time T tolerance is specified in the fault-tolerant SaW, the safety monitor and safety-related actuators judge the duration of the fault for each slave and switch the application to a safe state only if the tolerance time T tolerance of an element is exceeded. In this case, the undisturbed reception of a complete code sequence is interpreted as proof that the observed slave is working normally and the FREI signal is correct. From this point on, one or more faults will be tolerated if at least one valid telegram is received again before the tolerance time has expired. "Valid" in this case is any telegram contained in the code sequence. A next tolerable fault may occur when it is clear that the observed slave is working normally, for example, that since the last fault again at least one code sequence was received undisturbed according to the prior art. In this way, failures of safety-related slaves are allowed for a certain period of time without triggering a NOT-FREE signal. The length of the tolerance time depends on the requirements of the application. The safety-related operation is retained. The ratio of the number of faulty to undisturbed telegrams can be taken as a measure of the quality of the network. The tolerated failures of these slaves can be independent of each other in terms of duration and time. (Claim 2)

Diese Definition der Toleranz über eine Toleranzzeit hat den Nachteil, dass zwei und mehr einzeln tolerierbare Störungen mit dazwischen liegenden kurzen störungsfreien Phasen nur dann toleriert werden, wenn sie gemeinsam die Toleranzzeit TToleranz unterschreiten (Bild 1), auch wenn die Störungen einzeln kürzer als die Toleranzzeit sind. Eine Variante des erfindungsgemäßen Verfahrens berücksichtigt daher anstelle der Toleranzzeit für jeden sicherheitsgerichteten Slave eine Toleranzzahl NToleranz, Sie wird durch einen Algorithmus bestimmt, der die Zahl der fehlenden oder ungültigen Telegramme und ihr Aufeinanderfolgen berücksichtigt. Einzelstörungen mit vielen ungültigen Telegrammen werden dabei stärker bewertet als kurze Störungen. Längere störungsfreie Phasen zeigen die korrekte Funktion der Applikation.This definition of the tolerance over a tolerance time has the disadvantage that two and more individually tolerable interferences with intervening short interference-free phases are tolerated only if they jointly fall below the tolerance time T tolerance (Figure 1), even if the disturbances individually shorter than the Tolerance time are. A variant of the method according to the invention therefore takes into account, instead of the tolerance time for each safety-related slave, a tolerance number N tolerance . It is determined by an algorithm that takes into account the number of missing or invalid telegrams and their succession. Single disturbances with many invalid telegrams are rated more strongly than short disturbances. Longer, trouble-free phases show the correct function of the application.

Die Toleranzzahl NToleranz kann beispielsweise folgendermaßen definiert werden: NToleranz soll im Wertebereiche zwischen 0 und Nmax liegen. NToleranz = 0 soll ein für längere Zeit ungestörtes Netz beschreiben, NToleranz = Nmax ein so stark gestörtes Netz, dass das NICHT-FREI-Signal ausgelöst werden muss. Für jedes ungültige Telegramm wird die Toleranzzahl um einen Inkrementierungsbetrag I erhöht; für jedes erhaltene gültige Telegramm wird NToleranz um einen Dekrementierungsbetrag D dekrementiert, wobei immer I > D gewählt wird. Damit wird die Toleranzzahl NToleranz durch Störungen schnell erhöht, während sie durch gültige Telegramme langsamer erniedrigt wird. Die Werte I, D und Nmax können applikationsspezifisch gewählt werden. Da die störungsfreie Übertragung einer vollständigen Codefolge die einwandfreie Funktion des Slaves anzeigt, kann nach einer solchen Phase NToleranz sofort auf 0 gesetzt werden. Auf diese Weise kann auch eine Folge kurzer Störungen ohne eine dazwischen liegende längere störungsfreie Phase toleriert werden. Erst eine größere Serie kurzer Störungen oder eine sehr lange Störung führen zu einem NICHT-FREI-Signal. Der maximale Wert von N innerhalb eines Beobachtungszeitraumes kann außerdem als Maß für die Güte des Netzes genommen werden. Er zeigt an, wie weit die Toleranz des Systems ausgenutzt wurde.The tolerance number N tolerance can be defined, for example, as follows: N Tolerance should be in the value range between 0 and N max . N tolerance = 0 should describe a network undisturbed for a long time, N tolerance = N max a network so heavily disturbed that the NON-FREI signal must be triggered. For each invalid telegram, the tolerance number is increased by an increment amount I; for every valid telegram received, the N tolerance is decremented by a decrementing amount D, where I> D is always selected. Thus, the tolerance number N tolerance is quickly increased by disturbances, while it is slowed down by valid telegrams slower. The values I, D and N max can be selected application-specific. Since the trouble-free transmission of a complete code sequence indicates the proper functioning of the slave, after such a phase N tolerance can be set immediately to 0. In this way, even a sequence of short disturbances can be tolerated without an intervening longer interference-free phase. Only a larger series of short faults or a very long fault will result in a NOT-FREE signal. The maximum value of N within an observation period can also be taken as a measure of the quality of the network. It shows how far the tolerance of the system has been exploited.

Im Beispiel des Bildes 2 ist I = 10, D = 1 gewählt und Nmax ist größer als 55. Die eingezeichneten Störungen führen daher zu keinem NICHT-FREI-Signal und damit nicht zu einem Abschalten wie dies in diesem Beispiel bei enem Standard-SaW unweigerlich geschehen würde. (Anspruch 3)In the example of picture 2, I = 10, D = 1 is selected and N max is greater than 55. The recorded disturbances therefore do not lead to a NOT-FREE signal and thus not to a shutdown, as in this example with a standard SaW inevitably would happen. (Claim 3)

In der Praxis werden Master und Sicherheitsmonitor häufig in einem Gerät realisiert. Dies bietet für das störungstolerante SaW den Vorteil, dass der Sicherheitsmonitor registrieren kann, welche Masteraufrufe an einen Slave doppelt gesendet werden. Das kann im Algorithmus zur Identifikation erlaubter und nicht erlaubter Codesprünge genutzt werden. Der isoliert stehende Sicherheitsmonitor muss im Antworttelegramm eines Slaves sowohl den gegenüber dem letzten gültigen Antworttelegramm nächsten Code einer Codefolge als auch den übernächsten Code als gültig akzeptieren. Dagegen kann bei dem hier beschriebenen Master mit integriertem Sicherheitsmonitor eindeutig ermittelt werden, welcher der beiden Codes zu erwarten und damit gültig ist. Das führt zu einer verschärften Beurteilung der Situation. (Anspruch 4)In practice, master and safety monitor are often implemented in one device. This offers the advantage for the fault-tolerant SaW that the safety monitor can register which master calls are sent twice to a slave. This can be used in the algorithm for the identification of permitted and not allowed code jumps. In the response telegram of a slave, the isolated safety monitor must accept both the code of a code sequence next to the last valid response telegram and the next but one code as valid. By contrast, in the case of the master described here with integrated safety monitor, it can be determined unambiguously which of the two codes is to be expected and thus valid. This leads to a sharper assessment of the situation. (Claim 4)

Die übliche Konstruktion eines Sicherheitsmonitors sieht einen Empfänger als UART vor, in dem die Telegramme detektiert, auf ihre formale Richtigkeit nach der AS-Interface Spezifikation überprüft, digitalisiert und an zwei redundante CPUs weitergegeben werden. Dort werden die Telegramme bezüglich der Richtigkeit ihrer Codefolge untersucht. Stimmt das Ergebnis beider CPUs überein, so wird die Entscheidung FREI/NICHT-FREI generiert. Um eine exakte Zuordnung der Telegramme in beiden CPUs zu erreichen, werden sie erfindungsgemäß durch einen Taktgeber synchronisiert. Die Taktrate liegt vorzugsweise im Bereich zwischen der Dauer eines einzelnen Telegramms und der Dauer der Zykluszeit. (Anspruch 5)The usual design of a safety monitor provides a receiver as a UART, in which the telegrams are detected, checked for their formal accuracy according to the AS-Interface specification, digitized and forwarded to two redundant CPUs. There, the telegrams are examined for the correctness of their code sequence. If the result of both CPUs is the same then the decision FREI / NOT-FREE is generated. In order to achieve an exact assignment of the telegrams in both CPUs, they are synchronized according to the invention by a clock. The clock rate is preferably in the range between the duration of a single telegram and the duration of the cycle time. (Claim 5)

Der Taktgeber kann vorzugsweise als Teil der UART-Einheit realisiert werden. Der Takt kann dann zusammen mit den Telegrammen als Folge von Taktsignalen und Telegrammen an die redundanten CPUs weitergegeben werden (Anspruch 6).The clock may preferably be realized as part of the UART unit. The clock can then be forwarded together with the telegrams as a result of clock signals and telegrams to the redundant CPUs (claim 6).

Das erfindungsgemäße Verfahren verringert durch die Vorgabe von Toleranzzeiten absichtlich die Schärfe der Forderungen an eine sicherheitsgerichtete Applikation. Bei der Konfigurierung einer Applikation müssen also Fehler beim Übergang von Standard-SaW auf das erfindungsgemäße Verfahren vermieden werden. Daher wird erfindungsgemäß vom Bediener eine kontrollierbare Aktion gefordert, die eine bewusste Entscheidung über die veränderten Sicherheitsanforderungen verlangt. Das geschieht beispielsweise durch Abfragen in der Konfigurations-Software für die Programmierung der Applikation. Aus dem gleichen Grund muss eine fehlerhafte Veränderung der Toleranzen verhindert werden. Dies geschieht erfindungsgemäß durch deren redundante Speicherung in den CPUs von Sicherheitsmonitor und Aktuatoren. (Anspruch 7)By specifying tolerance times, the method according to the invention deliberately reduces the severity of the requirements for a safety-oriented application. When configuring an application, therefore, errors in the transition from standard SaW to the method according to the invention must be avoided. Therefore, according to the invention a controllable action is required by the operator, which requires a conscious decision on the changed safety requirements. This happens, for example, through queries in the configuration software for programming the application. For the same reason, a faulty change of the tolerances must be prevented. This is done according to the invention by their redundant storage in the CPUs of safety monitor and actuators. (Claim 7)

Das erfindungsgemäße Verfahren kann auch in Fällen eingesetzt werden, in denen auf sicherheitsgerichtete Komponenten verzichtet werden kann, in denen aber die gegenüber dem genormten AS-Interface erhöhte Toleranzzeit benötigt wird. Es wird damit zu einem „Störungstoleranten AS-Interface System”. (Anspruch 8)The method according to the invention can also be used in cases in which safety-related components can be dispensed with, but in which the increased tolerance time compared with the standardized AS-interface is required. It thus becomes a "fault-tolerant AS-Interface system". (Claim 8)

Zeichnungen: Bild 1 und 2 zeigen an einem beispielhaften Codeverlauf wie das erfindungsgemäße System in den Varianten von Anspruch 2 und 3 auf ausgefallene Telegramme reagiert, die hier durch drei Störungen verursacht werden:
Bild 1: Alle drei Störungen sind deutlich kürzer als die Toleranzzeit von 40 ms. Ein Standard-SaW würde bereits nach etwa 10 ms das NICHT-FREI Signal auslösen. Von einem System nach Anspruch 2 wird die erste Störung toleriert. Die ungestörte Phase zwischen den ersten beiden Störungen ist aber zu kurz, um das System in den Ausgangszustand zurückzuversetzen. Das störungstolerante SaW nach Anspruch 2 schaltet daher nach 40 ms, d. h. während der zweiten Störung in den NICHT-FREI Zustand. Die dritte Störung und die davor liegende störungsfreie Phase werden nicht mehr erreicht.
Bild 2: Die gleichen angenommenen Störungen werden von der SaW-Variante nach Anspruch 3 vollständig toleriert, solange die Toleranzzahl Nmax größer als 55 gewählt wird.Drawings: FIGS. 1 and 2 show, on an exemplary code course, how the system according to the invention in the variants of claims 2 and 3 reacts to failed telegrams which are caused here by three disturbances:
Fig. 1: All three faults are significantly shorter than the tolerance time of 40 ms. A standard SaW would trigger the NON-FREE signal after about 10 ms. From a system according to claim 2, the first disturbance is tolerated. However, the undisturbed phase between the first two disturbances is too short to restore the system to the initial state. The fault tolerant SaW according to claim 2 therefore switches to the non-free state after 40 ms, ie during the second fault. The third fault and the previous trouble-free phase are no longer achieved.
Fig. 2: The same assumed disturbances are completely tolerated by the SaW variant according to claim 3, as long as the tolerance number N max greater than 55 is selected.

Vorteile und wirtschaftlicher Wert der ErfindungAdvantages and economic value of the invention

Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass mit ihm auch dann eine sicherheitsgerichtete Steuerung realisiert werden kann, wenn in einer Applikation kurzfristige Störungen auftreten können, die bei Verwendung eines Standard-SaW zu einem unerwünscht häufigen Abschalten der Applikation führen würden. Das Verfahren wird in Applikationen eingesetzt, die einerseits sicherheitsgerichtet gesteuert werden müssen, andererseits aber wegen einer relativ langen, zulässigen Abschaltzeit kurze Störungen im Datenaustausch tolerieren können.The advantage of the method according to the invention is that a safety-related control can be realized with it even if short-term disturbances can occur in an application which would lead to an undesired frequent shutdown of the application when using a standard SaW. The method is used in applications that need to be safely controlled on the one hand, but on the other hand tolerate short disturbances in the data exchange because of a relatively long, permissible shutdown time.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 [0002] IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000 [0002]
  • Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010) [0002] Kriesel, WR, Madelung, OW (ed.): AS-Interface The Actuator Sensor Interface for Automation; 213 p., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; Updated: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010) [0002]
  • DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen [0002] DIN EN ISO 13849-1: 2008: Safety of machine-safety-related parts of control systems [0002]
  • AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert. [0002] AS-International Association (ed.): AS-Interface Safety-at-Work, (2004) and Complete Specification, cited in footnote 1. [0002]

Claims (8)

Verfahren für ein störungstolerantes „Safety-at-Work”-System, konzipiert als eine Sonderversion des standardisierten „Satety at Work”-Systems, bestehend aus den Komponenten Master, gewöhnlichen und sicherheitsgerichteten AS-Interface Slaves und einem Safety-Monitor, dessen Kommunikation zwischen den sicherheitsgerichteten Komponenten durch Codefolgen gemäß dem AS-Interface Standard abgesichert wird und das die von ihm gesteuerte Applikation beim Auftreten von bestimmten Signalen oder im Fehlerfall in einen stabilen, sicheren Zustand versetzt dadurch gekennzeichnet, • dass das System gestörte und ausfallende Telegramme der sicherheitsgerichteten Komponenten in einem definierten Maß, Toleranz genannt, tolerieren kann, ohne die von ihm gesteuerte Applikation in einen sicheren Zustand zu versetzen, • dass die Größe der Toleranz als Toleranzzeit, während der Störungen nicht berücksichtigt werden, oder als Toleranzahl, die die Länge und Häufigkeit der tolerierten Störungen und die Länge der ungestörten Phasen berücksichtigt, festgelegt wird, • dass es aber die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt, sobald die Toleranz überschritten wird, ohne dass ein weiteres gültiges Telegramm erkannt wurde, • dass die Toleranz für alle Komponenten gleich oder unterschiedlich festgelegt werden kann, • dass das Ausmaß der Störungen für jede Komponente abhängig oder unabhängig von den anderen überprüft wird, • dass der Master im Falle von Störungen, die vom System toleriert werden, die betroffenen Slaves nicht aus der Liste der aktivierten Slaves (LAS) streicht, • dass Watchdogs in den Systemkomponenten so gesteuert werden können, dass sie während der Toleranzzeit nicht ansprechen, • dass die Toleranz und die Funktion der Watchdogs für die Systemkomponenten entweder fest vorgegeben oder durch Parametrierung eingestellt werden und bei sicherheitsgerichteten Komponenten in diesen sicher abgelegt werden.Procedure for a fault-tolerant "Safety-at-Work" system, designed as a special version of the standardized "Satety at Work" system, consisting of the components master, common and safety-related AS-Interface slaves and a safety monitor whose communication between the safety-related components are protected by code sequences in accordance with the AS-Interface standard and that the application controlled by it is switched to a stable, safe state when certain signals occur or in the event of a fault, characterized in that the system disturbed and failing telegrams of the safety-related components in can tolerate a defined measure, called tolerance, without putting the application controlled by it into a safe state, • that the size of the tolerance is not taken into account as the tolerance time, during the disturbances, or as the tolerance number that tolerates the length and frequency of the tolerance S • but that it puts the application controlled by it into a safe state as soon as the tolerance is exceeded, without another valid telegram being recognized, • that the tolerance is the same for all components or that the extent of the faults for each component can be determined independently or independently of each other, • that in the case of faults that are tolerated by the system, the master does not remove the slaves concerned from the list of activated slaves ( • that watchdogs in the system components can be controlled so that they do not respond during the tolerance time, • that the tolerance and the function of the watchdogs for the system components are either predefined or set by parameterization and for safety-related components in these be filed. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass der Sicherheitsmonitor und die sicherheitsgerichteten Aktuatoren in diesem System eine oder mehrere Storung(en) in der Übermittlung der Codefolge jedes einzelnen Slaves dann tolerieren, wenn unmittelbar vor Beginn der Störung(en) die acht bzw. sieben Codes der Slave-typischen Codefolge nach dem Stand der Technik erkannt wurden und wenn vor Ablauf der Toleranzzeit TToleranz wieder mindestens ein gültiges Telegramm empfangen wird.A method according to claim 1, characterized in that the safety monitor and the safety-related actuators in this system tolerate one or more disturbances in the transmission of the code sequence of each individual slave, if immediately before the beginning of the disturbance (s) the eight or seven codes the slave-typical code sequence were recognized according to the prior art and if at least one valid message is received again before the end of the tolerance time T tolerance . Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass im Sicherheitsmonitor und in den sicherheitsgerichteten Aktuatoren ein Algorithmus realisiert wird, der Störungen im Ablauf der Telegrammfolge durch fehlende oder ungültige Telegramme entsprechend der Länge dieser Störungen und entsprechend der Länge der dazwischen liegenden ungestörten Phasen so bewertet, dass kurze Störungen leichter toleriert werden als längere Störungen.A method according to claim 1, characterized in that in the safety monitor and in the safety-related actuators, an algorithm is realized, the interference in the sequence of telegram sequence by missing or invalid telegrams according to the length of these disturbances and according to the length of the intermediate undisturbed phases evaluated so that short Disturbances are more easily tolerated than longer disturbances. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, dass eine direkte, vom Busnetz unabhängige Verbindung zwischen Master und Sicherheitsmonitor besteht und der Sicherheitsmonitor über diese Verbindung die Zahl der ungültigen Masteraufrufe im Netz kontrolliert, nicht erlaubte Sprünge innerhalb der Codefolge identifiziert und in seinem Algorithmus berücksichtigt.Method according to one of the preceding claims, characterized in that a direct, independent from the bus network connection between master and safety monitor and the safety monitor over this connection controls the number of invalid master calls in the network, unauthorized jumps identified within the code sequence and taken into account in its algorithm. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, – dass Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren jeweils mit zwei parallel arbeitenden Einheiten redundant aufgebaut sind und – dass diese beiden Einheiten durch einen Taktgeber mit einem Takt, der vorzugsweise zwischen der Dauer eines einzelnen Telegrammes und der Dauer eines Zyklus liegt, so synchronisiert werden, dass während der Verarbeitung der Telegrammfolgen in den beiden redundanten Einheiten die Zuordnung von Takt und Telegramm gleich und eindeutig erhalten bleibt.Method according to one of the preceding claims characterized, - that safety monitor and safety-related actuators each with two parallel operating units are redundant and - That these two units are synchronized by a clock with a clock, which is preferably between the duration of a single telegram and the duration of a cycle, that during the processing of telegram sequences in the two redundant units, the assignment of clock and telegram and is clearly preserved. Verfahren nach den Anspruch 5 dadurch gekennzeichnet, dass der Taktgeber im Empfänger von Sicherheitsmonitor und sicherheitsgerichteten Aktuatoren realisiert wird und die Taktimpulse gemeinsam mit den digital umgewandelten Telegrammen an die redundanten Einheiten weitergegeben werden.Method according to claim 5, characterized in that the clock is implemented in the receiver of safety monitor and safety-related actuators and the clock pulses are passed along with the digitally converted telegrams to the redundant units. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, dass der Übergang vom Standard-SaW zum störungstoleranten SaW und jede Veränderung der Toleranz nur über eine bewusste Entscheidung bei der Konfigurierung der Applikation vorgenommen werden kann und dass Daten, die für die sicherheitsgerichtee Funktion relevant sind, durch Sicherungsverfahren geschützt gespeichert werden.Method according to one of the preceding claims, characterized in that the transition from the standard SaW to the fault-tolerant SaW and any change in the tolerance can only be made via a deliberate decision in the configuration of the application and that data that are relevant to the sicherheitsgerichtee function by Backup procedure protected to be stored. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, dass es auch ohne sicherheitsgerichtete Komponenten als einfaches AS-Interface System mit erhöhter Toleranz arbeiten kann.Method according to one of the preceding claims, characterized in that it can operate without safety-related components as a simple AS-Interface system with increased tolerance.
DE102012001624.7A 2012-01-30 2012-01-30 Failure tolerant safety-at-work system Active DE102012001624B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102012001624.7A DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012001624.7A DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Publications (2)

Publication Number Publication Date
DE102012001624A1 true DE102012001624A1 (en) 2013-08-01
DE102012001624B4 DE102012001624B4 (en) 2021-02-11

Family

ID=48783472

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012001624.7A Active DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Country Status (1)

Country Link
DE (1) DE102012001624B4 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200091A1 (en) * 2002-01-03 2003-07-24 Schmersal K A Gmbh & Co Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address
US7624219B2 (en) * 2007-08-09 2009-11-24 Ifm Electronic Gmbh Bus node
DE102008057003B4 (en) * 2008-11-12 2023-08-03 Bihl+Wiedemann Gmbh Procedure for safe parameterization of AS Interface slaves
DE202008015021U1 (en) * 2008-11-12 2009-07-30 Bihl+Wiedemann Gmbh Programmable speed monitor for Safety at Work
DE102011117896B4 (en) * 2011-11-04 2013-05-29 Euchner Gmbh + Co. Kg Safety-oriented slave for an actuator-sensor-interface (AS-i) system

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004) und Complete Specification, wie in Fußnote 1 zitiert.
DIN EN ISO 13849-1: 2008: Sicherheit von Maschinen-Sicherheitsbezogene Teile von Steuerungen
IEC 62026-2; Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000
Kriesel, W. R., Madelung, O. W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4; aktualisiert: AS-International Association: Complete Specification Version 3.0 Rev. 3 (2010)

Also Published As

Publication number Publication date
DE102012001624B4 (en) 2021-02-11

Similar Documents

Publication Publication Date Title
EP1923759B1 (en) Secure data transfer method and system
DE102009042368B4 (en) Control system for controlling safety-critical processes
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
EP2857913B1 (en) Redundant automation system
EP2981868A1 (en) Control and data transmission system, process device, and method for redundant process control with decentralized redundancy
EP2613463B1 (en) Method for monitoring a transmitter and corresponding transmitter
EP1686732B1 (en) Method and system for transmitting protocol data units
EP2375636A1 (en) Device and method for configuring a bus system
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
EP1748299A1 (en) Electronic circuit, system with an electronic circuit and method to test an electronic circuit
EP0996060A2 (en) Single processor system
EP2433184B1 (en) Control system for controlling a process
EP3526672A1 (en) Circuit for monitoring a data processing system
EP2418580B1 (en) Method for operating a network and network
EP2080031A2 (en) Method for monitoring whether the switching threshold of a switching sensor lies within a predefined tolerance region
DE102009033229B4 (en) Method for detecting double addressing in AS interface networks
DE102012001624B4 (en) Failure tolerant safety-at-work system
DE10357797A1 (en) Peripheral unit for a redundant control system
DE112018005001T5 (en) Communication device
EP3644143B1 (en) Self-paramaterisation peripheral module
DE2831960C2 (en) Safety device for the receiving-side evaluation circuit of a data transmission system with information that is mutually exclusive
EP3026514B1 (en) Automation system and method for external control of a self-testing algorithm in a decentralised safety device
EP2950176A1 (en) Method and automation component for generating an event message
DE102014103135B3 (en) System for the safe control of machines, installations or the like
DE102010033447B4 (en) Safe Safety-at-Work slave with standard input

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final