DE102012001624B4 - Failure tolerant safety-at-work system - Google Patents
Failure tolerant safety-at-work system Download PDFInfo
- Publication number
- DE102012001624B4 DE102012001624B4 DE102012001624.7A DE102012001624A DE102012001624B4 DE 102012001624 B4 DE102012001624 B4 DE 102012001624B4 DE 102012001624 A DE102012001624 A DE 102012001624A DE 102012001624 B4 DE102012001624 B4 DE 102012001624B4
- Authority
- DE
- Germany
- Prior art keywords
- safety
- tolerance
- components
- faults
- slaves
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/403—Bus networks with centralised control, e.g. polling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40254—Actuator Sensor Interface ASI
Abstract
Verfahren für ein störungstolerantes „Safety-at-Work“-System konzipiert als eine Sonderversion des standardisierten „Safety at Work“-Systems, bestehend aus den Komponenten Master, gewöhnlichen und sicherheitsgerichteten AS-Interface Slaves einschließlich sicherheitsgerichteter Akuatoren und einem Sicherheitsmonitor, dessen Kommunikation zwischen den sicherheitsgerichteten Komponenten durch Codefolgen gemäß dem AS-Interface Standard abgesichert wird und das die von ihm gesteuerte Applikation beim Auftreten von bestimmten Signalen oder im Fehlerfall in einen stabilen, sicheren Zustand zu versetzen, dadurch gekennzeichnet,• dass das System gestörte und ausfallende Telegramme der sicherheitsgerichteten Komponenten in einem definierten Maß, Toleranz genannt, tolerieren kann, ohne die von ihm gesteuerte Applikation in einen sicheren Zustand zu versetzen,• dass die Größe der Toleranz als Toleranzzeit, während der Störungen nicht berücksichtigt werden, oder als Toleranzzahl, die die Länge und Häufigkeit der tolerierten Störungen und die Länge der ungestörten Phasen berücksichtigt, festgelegt wird,• dass es aber die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt, sobald die Toleranz überschritten wird, ohne dass ein weiteres gültiges Telegramm erkannt wurde,• dass die Toleranz für alle Komponenten gleich oder unterschiedlich festgelegt werden kann,• dass das Ausmaß der Störungen für jede Komponente abhängig oder unabhängig von den anderen überprüft wird,• dass der Master im Falle von Störungen, die vom System toleriert werden, die betroffenen Slaves nicht aus der Liste der aktivierten Slaves (LAS) streicht,• dass Watchdogs in den Systemkomponenten so gesteuert werden können, dass sie während der Toleranzzeit nicht ansprechen,• dass die Toleranz und die Funktion der Watchdogs für die Systemkomponenten entweder fest vorgegeben oder durch Parametrierung eingestellt werden und bei sicherheitsgerichteten Komponenten in diesen sicher abgelegt werden.Procedure for a fault-tolerant "Safety-at-Work" system designed as a special version of the standardized "Safety at Work" system, consisting of the components master, normal and safety-related AS-Interface slaves including safety-related acuators and a safety monitor whose communication between the safety-related components is protected by code sequences in accordance with the AS-Interface standard and to put the application controlled by it in a stable, safe state when certain signals occur or in the event of an error, characterized in that • the system disrupted and failing telegrams of the safety-related Can tolerate components to a defined extent, called tolerance, without putting the application it controls into a safe state, • that the size of the tolerance as the tolerance time, during the faults, is not taken into account, or as a tolerance number that defines the length and Frequency of the tolerated disturbances and the length of the undisturbed phases are taken into account, • that it puts the application controlled by it into a safe state as soon as the tolerance is exceeded without another valid telegram being recognized, • that the tolerance for all components can be defined identically or differently, • that the extent of the disturbances for each component is checked depending on or independently of the others, • that the master does not remove the affected slaves from the list in the event of disturbances that are tolerated by the system activated slaves (LAS), • that watchdogs in the system components can be controlled in such a way that they do not respond during the tolerance time, • that the tolerance and function of the watchdogs for the system components are either fixed or set by parameterization and for safety-related components can be safely stored in these.
Description
Stand der TechnikState of the art
Die Erfindung betrifft eine sicherheitsgerichtete Variante des bekannten Safety-at-Work Systems, die Störungen in der Datenübertragung für eine einstellbare Zeit toleriert, ohne dass die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt wird.The invention relates to a safety-oriented variant of the known Safety-at-Work system which tolerates disturbances in the data transmission for an adjustable time without the application controlled by it being put into a safe state.
AS-Interface ist ein eingeführtes und genormtes (IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; oder: Kriesel, W. R., Madelung, O.W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4) Bussystem für einfache Sensoren und Aktuatoren, die in computergesteuerten Prozessen oder Anlagen (hier „Applikationen“ genannt) verwendet werden. Sein Master tauscht mit jedem Slave zyklisch je ein Master- und ein Antworttelegramm aus. Ein in den zuvor genannten Dokumenten entsprechendes System ist für industrielle Standard-Aufgaben sehr gut geeignet, nicht aber für Aufgaben, die gefährliche Maschinen überwachen und steuern sollen.AS-Interface is an established and standardized (IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; or: Kriesel, WR, Madelung, OW ( Ed.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4) Bus system for simple sensors and actuators, which are in computer-controlled Processes or systems (called "applications" here) are used. Its master cyclically exchanges a master and a response telegram with each slave. A system corresponding to the documents mentioned above is very well suited for standard industrial tasks, but not for tasks that are to monitor and control dangerous machines.
Für Applikationen mit diesen besonders hohen Sicherheitsanforderungen gemäß den internationalen Normen (
Nicht-sicherheitsgerichtete Slaves (im folgenden einfache Slaves genannt) und sicherheitsgerichtete Slaves können in demselben Netz verwendet werden. Ein AS-Interface Netz, das wenigstens einen Sicherheitsmonitor und einen sicherheitsgerichteten Slave enthält, wird als „Safety-at-Work Netz“ oder „SaW-Netz“ bezeichnet. Für die Steuerung einer Applikation über die Sensoren und Aktuatoren ist im kontinuierlichen Betrieb in beiden Netzen - AS-Interface und Safety-at-Work - eine übergeordnete Steuerung, z.B. eine SPS, ein PC oder ein „Controller“, verantwortlich.Non-safety-related slaves (hereinafter referred to as simple slaves) and safety-related slaves can be used in the same network. An AS-Interface network that contains at least one safety monitor and one safety-related slave is referred to as a "Safety-at-Work network" or "SaW network". A higher-level controller, e.g. a PLC, a PC or a "controller", is responsible for controlling an application via the sensors and actuators in both networks in continuous operation - AS-Interface and Safety-at-Work.
Bei Safety-at-Work enthält das Netz zusätzlich zum einfachen AS-Interface System einen „Sicherheitsmonitor“, der den Datenverkehr mit den sicherheitsgerichteten Slaves überwacht und die Applikation über seine lokalen Ausgänge oder über sicherheitsgerichtete Aktuatoren in einem sicheren Zustand versetzt, falls dies von einem sicherheitsgerichteten Eingangssignal verlangt wird oder falls in dem überwachten Datenverkehr eine Störung auftritt.With Safety-at-Work, the network contains a "safety monitor" in addition to the simple AS-Interface system, which monitors the data traffic with the safety-related slaves and puts the application in a safe state via its local outputs or via safety-related actuators, if this is done by one safety-related input signal is required or if a fault occurs in the monitored data traffic.
Die Druckschriften
Dabei ist für die sichere Funktion der Applikation bei Safety-at-Work entscheidend, dass für alle sicherheitsgerichtete Nachrichten die Kette „sicherheitsgerichtete Quelle - sicherheitsgerichtete Datenübertragung - sicherheitsgerichtete Datensenke“ gewährleistet wird. Im Falle eines Eingangssignales ist der Sensor die Datenquelle. Diese Komponenten werden nach den bekannten Regeln sicherheitsgerichtet konstruiert. Die sicherheitsgerichtete Datenübertragung wird bei Safety-at-Work durch die kontinuierliche Übertragung einer Codefolge C, die bei Sensoren aus 8, bei Aktuatoren aus 7 Einzeltelegrammen C1 bis C8 mit je vier Bit besteht, von der Datenquelle gesendet und von der Datensenke kontinuierlich überwacht. Die Codefolge wird für jeden einzelnen Slave individuell vom Hersteller festgelegt. Der korrekte Empfang der Codefolge in der Datensenke ergibt das „FREI“-Signal, das Ausbleiben der Codes, Fehler in den Codes oder das Erkennen des Ausschalttelegramms 0- 0 - 0 - 0 ergeben ein „NICHT-FREI“-Signal". Das NICHT-FREI -Signal führt dazu, dass die Datensenke an Stelle des Masters das Kommando über die Applikation übernimmt und diese in einen sicheren Zustand versetzt.For the safe functioning of the application with Safety-at-Work, it is crucial that the chain "safety-related source - safety-related data transmission - safety-related data sink" is guaranteed for all safety-related messages. In the case of an input signal, the sensor is the data source. These components are designed in a safety-oriented manner according to the known rules. With Safety-at-Work, the safety-related data transmission is sent from the data source through the continuous transmission of a code sequence C, which consists of 8 individual telegrams C1 to C8 with four bits for sensors and seven individual telegrams for actuators and continuously monitored by the data sink. The code sequence is defined individually by the manufacturer for each individual slave. Correct reception of the code sequence in the data sink results in the "FREE" signal, the absence of codes, errors in the codes or the recognition of the switch-off telegram 0-0-0-0 result in a "NOT FREE" signal ". The NOT -FREI -Signal means that the data sink takes over the command of the application instead of the master and puts it in a safe state.
AS-Interface (einschließlich SaW) wird überwiegend im industriellen Umfeld eingesetzt und erfordert keine abgeschirmten Leitungen; es wird sogar erfolgreich mit Schleifleitungen verwendet. Durch seine Konstruktion ist sicher gestellt worden, dass fast jede Störung eines Telegramms als solche erkannt wird und dass das System darauf in geeigneter Weise reagiert. Dazu gibt es bei AS-Interface eine spezielle Art der Datencodierung, die die Detektierung von Fehlern in der Datenübertragung ermöglicht. Bei fehlenden oder fehlerhaften Telegrammen wird der Masteraufruf einmal im Zyklus wiederholt. Wenn nach 3 Zyklen von ein und demselben Slave immer noch kein oder nur ein fehlerhaftes Telegramm empfangen wird, wird dieser Slave aus der „Liste der aktivierten Slaves“ (LAS), die im Master hinterlegt ist, gestrichen und aus dem Netz genommen. Der Master meldet dies als Störung an die übergeordnete Steuerung.AS-Interface (including SaW) is mainly used in the industrial environment and does not require shielded cables; it is even used successfully with conductor rails. Its design ensures that almost every fault in a telegram is recognized as such and that the system reacts to it in a suitable manner. In addition, AS-Interface has a special type of data coding that enables errors in data transmission to be detected. If the telegrams are missing or incorrect, the master call is repeated once in the cycle. If after 3 cycles from one and the same slave still no or only an incorrect telegram is received this slave is deleted from the "list of activated slaves" (LAS) stored in the master and removed from the network. The master reports this as a fault to the higher-level controller.
Bei Safety at Work wird nach dem Stand der Technik nur die Telegrammwiederholung im ersten Zyklus erlaubt, sowie die Wiederholung im folgenden Zyklus. Führt dies nicht zu einem korrekten Telegramm, gilt dies für den Sicherheitsmonitor bzw. den betroffenen Aktuator als NICHT-FREI -Signal und führt dazu, dass die Applikation von ihnen in einen sicheren Zustand geschaltet wird. Der Verzicht auf weitere Wiederholungen in einem dritten Zyklus ermöglicht eine kurze Reaktionszeit des Standard-SaW Systems, die bei einem vollausgebauten Netz etwa 35 ms beträgt.With Safety at Work, according to the state of the art, only the telegram repetition is permitted in the first cycle and the repetition in the following cycle. If this does not lead to a correct telegram, this applies to the safety monitor or the actuator concerned as a NOT-FREE signal and results in the application being switched to a safe state by you. Dispensing with further repetitions in a third cycle enables a short response time of the standard SaW system, which is around 35 ms with a fully expanded network.
Es gibt aber auch Applikationen, für die zwar eine sicherheitsgerichtete Funktion des Netzes unverzichtbar ist, bei denen aber eine längere größere Reaktionszeit unkritisch ist. Störungen, die länger als eine Zykluszeit dauern, wie sie beispielsweise durch einen schlechten Kontakt auf einer verschmutzten Schleifbahn auftreten können, werden aber bei einem Standard-SaW Netzt dann problematisch, wenn sie zu einem häufigeren Ausfall von Slaves und damit zu Stopps der Applikation führen. Für derartige Applikationen ist ein toleranterer Umgang des Systems mit kurzfristigen Störungen zu Lasten der Reaktionsgeschwindigkeit von Interesse, falls seine sicherheitsgerichtete Funktion dabei gewährleistet bleibt. Eine einfache Erhöhung der Zahl erlaubter Telegrammwiederholungen würde die zweite Bedingung nicht erfüllen.However, there are also applications for which a safety-related function of the network is indispensable, but for which a longer reaction time is not critical. Faults that last longer than a cycle time, such as those that can occur due to poor contact on a dirty slideway, become problematic in a standard SaW network if they lead to more frequent failure of slaves and thus stops the application. For such applications, a more tolerant handling of the system with short-term disturbances at the expense of the reaction speed is of interest, provided that its safety-related function is guaranteed. A simple increase in the number of permitted telegram repetitions would not meet the second condition.
Derartige Fälle sind bisher mit Standard-Safety at Work nicht befriedigend zu bedienen. Der Erfindung liegt daher die Aufgabe zu Grunde, hierfür eine Lösung anzugeben.Such cases have so far not been able to be handled satisfactorily with standard Safety at Work. The invention is therefore based on the object of specifying a solution for this.
Erfindunginvention
Das erfindungsgemäße Verfahren löst das skizzierte Problem durch Veränderungen und Ergänzungen an den einzelnen Komponenten des Systems und in deren Zusammenwirken. Sie werden im folgenden beschrieben. Zur Unterscheidung zwischen dem bekannten, standardisierten Safety at Work System und dem modifizierten System der Erfindung wird im folgenden von „Standard-SaW” und „tolerantem SaW“ und seinen Komponenten gesprochen.The method according to the invention solves the problem outlined by changes and additions to the individual components of the system and in their interaction. They are described below. To distinguish between the known, standardized Safety at Work system and the modified system of the invention, the terms “standard SaW” and “tolerant SaW” and its components are used below.
Wie beim Standard-SaW wird der sicherheitsgerichtete Datenverkehr auch beim störungstoleranten SaW durch den Sicherheitsmonitor oder einen oder mehrere sicherheitsgerichtete Aktuatoren überwacht. Der Übergang von einem „FREI”-Zustand zum „NICHT-FREI”-Zustand erfolgt beim störungstoleranten SaW aber nicht wie beim Standard-SaW unveränderlich nach dem zweiten fehlerhaften Zyklus, sondern erst dann, wenn nach einer vorgegebenen Toleranz kein gültiges Telegramm erkannt worden ist. Diese Toleranz kann erfindungsgemäß als Toleranzzeit TToleranz oder als Toleranzzahl NToleranz festgelegt werden, wobei NToleranz sowohl die Zahl der unmittelbar aufeinander folgenden Telegrammausfälle als auch die Folge mehrerer, aufeinander folgender Störungen und damit die Stärke und die Häufigkeit von Störungen berücksichtigen kann. Erfindungsgemäß erkennen aber Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren jedes einzelne Telegramm trotzdem genauso sicher als „gültig“ oder „ungültig“ wie ein Standard-SaW-System. Verändert ist nur das Kriteium für ein FREI- bzw. NICHT-FREI Signal an die Applikation.As with the standard SaW, the safety-related data traffic is also monitored by the safety monitor or one or more safety-related actuators with the fault-tolerant SAW. With the fault-tolerant SaW, the transition from a “FREE” state to a “NOT-FREE” state does not take place after the second faulty cycle, as is the case with the standard SaW, but only when no valid telegram has been recognized after a specified tolerance . According to the invention, this tolerance can be defined as a tolerance time T tolerance or as a tolerance number N tolerance , where N tolerance can take into account both the number of telegram failures that follow one another and the consequence of several successive faults and thus the strength and frequency of faults. According to the invention, however, the safety monitor and safety-related actuators recognize each individual telegram just as reliably as "valid" or "invalid" as a standard SaW system. Only the criterion for a FREE or NOT-FREE signal to the application is changed.
Die Toleranz TToleranz bzw. NToleranz kann für die sicherheitsgerichteten Slaves einer Applikation gleich oder unterschiedlich eingestellt werden und wird gewöhnlich für jede der Komponenten unabhängig von den anderen überprüft. Dadurch kann der Ausfall eines Slaves an einer kritischen Stelle der Applikation schärfer beurteilt werden als an einer weniger kritischen.The tolerance T tolerance or N tolerance can be set the same or different for the safety-related slaves of an application and is usually checked for each of the components independently of the others. This means that the failure of a slave at a critical point in the application can be assessed more precisely than at a less critical point.
Parallel zum Sicherheitsmonitor, aber ohne dessen erhöhte Sicherheitsfunktion, überprüft der Master der Applikation die Zahl der Telegrammwiederholungen aller Slaves. Eine Erhöhung der Toleranz für sicherheitsgerichtete Slaves ist daher im Allgemeinen nur dann sinnvoll, wenn der Master während dieser Zeit keine Slaves aus der Liste der aktivierten Slaves streicht. Er wird daher für das erfindungsgemäße Verfahren so verändert, dass entweder die Zahl der vom Master akzeptierten Telegrammwiederholungen oder eine Toleranzzeit für Störungen einstellbar sind. In beiden Fällen wird damit sichergestellt, dass die Slaves zwar zunächst länger in der LAS verbleiben, nach Ablauf einer Toleranz aber wie beim Standard AS-Interface aus der LAS genommen werden.In parallel to the safety monitor, but without its increased safety function, the application master checks the number of telegram repetitions of all slaves. Increasing the tolerance for safety-related slaves therefore generally only makes sense if the master does not delete any slaves from the list of activated slaves during this time. It is therefore changed for the method according to the invention in such a way that either the number of telegram repetitions accepted by the master or a tolerance time for faults can be set. In both cases, this ensures that the slaves initially remain in the LAS for a longer period of time, but are removed from the LAS after a tolerance has expired, as with the standard AS-Interface.
Viele einfache Slaves besitzen einen Watchdog, der ebenfalls auf das Ausbleiben von Telegrammen reagiert. Diese Watchdogs werden für das störungstolerante SaW so angepasst, dass sie erst nach Ablauf einer Toleranzzeit aktiv werden.Many simple slaves have a watchdog that also reacts to the absence of telegrams. These watchdogs are adapted for the fault-tolerant SaW so that they only become active after a tolerance time has expired.
Für alle Komponenten werden die Toleranz und die Funktion des Watchdogs über Parametrierung festgelegt oder sie sind hardwaremäßig fest einstellbar. Bei allen sicherheitsgerichteten Komponenten werden sie sicher abgelegt, so dass eine versehentliche Veränderung dieser Daten oder ihre fehlerhafte Veränderung ausgeschlossen werden können. (Anspruch 1)For all components, the tolerance and the function of the watchdog are defined via parameterization or they can be permanently set using the hardware. They are securely stored for all safety-related components so that accidental changes to this data or incorrect changes can be excluded. (Claim 1)
Beim Standard-SaW empfangen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren als Antworttelegramme Codes aus einer slave-typischen Codefolge von acht bzw. sieben Codes. Sind die Telegramme in zwei aufeinanderfolgenden Zyklen wegen einer Abweichung von der AS-Interface Norm oder wegen einer Abweichung von der erwarteten Codefolge ungültig oder fallen sie ganz aus, so erzeugen Sicherheitsmonitor bzw. der sicherheitsgerichtete Aktuator das NICHT-FREI -Signal und die Applikation wird in einen sicheren Zustand geschaltet. Dabei ist ein empfangenes Telegramm dann gültig, wenn es das nächste oder übernächste Telegramm der Codefolge ist.With the standard SaW, the safety monitor and safety-related actuators receive as Response telegrams Codes from a slave-typical code sequence of eight or seven codes. If the telegrams are invalid in two consecutive cycles because of a deviation from the AS-Interface standard or because of a deviation from the expected code sequence, or if they fail completely, the safety monitor or the safety-oriented actuator generate the NOT-FREE signal and the application is in switched to a safe state. A received telegram is then valid if it is the next or the next but one in the code sequence.
Wird dagegen im störungstoleranten SaW eine Toleranzzeit TToleranz vorgegeben, so beurteilen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren für jeden Slave die Dauer der Störung(en) und schalten die Applikation erst dann in einen sicheren Zustand, wenn die Toleranzzeit TToleranz eines Elementes überschritten wird. Dabei wird der ungestörte Empfang einer vollständigen Codefolge als Beweis dafür gedeutet, dass der betrachtete Slave regulär arbeitet und das FREI -Signal korrekt ist. Ab diesem Zeitpunkt werden eine oder mehrere Störungen dann toleriert, wenn vor Ablauf der Toleranzzeit wieder mindestens ein gültiges Telegramm empfangen wird. „Gültig“ ist in diesem Fall jedes Telegramm, das in der Codefolge enthalten ist. Eine nächste tolerable Störung darf dann auftreten, wenn deutlich ist, dass der betrachtete Slave regulär arbeitet, beispielsweise dadurch, dass seit der letzten Störung wieder mindestens eine Codefolge ungestört nach dem Stand der Technik empfangen wurde. Auf diese Weise werden Ausfälle von sicherheitsgerichteten Slaves über eine gewisse Zeitspanne zugelassen, ohne ein NICHT-FREI -Signal auszulösen. Die Länge der Toleranzzeit hängt von den Erfordernissen der Applikation ab. Der sicherheitsgerichtete Betrieb bleibt erhalten. Das Verhältnis von Zahl der fehlerhaften zu ungestörten Telegrammen kann als Maß für die Güte des Netzes genommen werden. Die tolerierten Ausfälle dieser Slaves können nach Dauer und Zeitpunkt voneinander unabhängig sein. (Anspruch 2)If, on the other hand, a tolerance time T tolerance is specified in the fault-tolerant SaW, the safety monitor and safety-related actuators assess the duration of the fault (s) for each slave and only switch the application to a safe state when the tolerance time T tolerance of an element is exceeded. The undisturbed reception of a complete code sequence is interpreted as evidence that the slave in question is working normally and that the FREE signal is correct. From this point on, one or more faults are tolerated if at least one valid telegram is received again before the tolerance time has expired. "Valid" in this case is every telegram that is contained in the code sequence. The next tolerable disturbance may occur when it is clear that the slave in question is working normally, for example because at least one code sequence has been received undisturbed according to the prior art since the last disturbance. In this way, failures of safety-related slaves are permitted over a certain period of time without triggering a NOT-FREE signal. The length of the tolerance time depends on the requirements of the application. The safety-related operation is retained. The ratio of the number of faulty to undisturbed telegrams can be used as a measure of the quality of the network. The tolerated failures of these slaves can be independent of one another in terms of duration and time. (Claim 2)
Diese Definition der Toleranz über eine Toleranzzeit hat den Nachteil, dass zwei und mehr einzeln tolerierbare Störungen mit dazwischen liegenden kurzen störungsfreien Phasen nur dann toleriert werden, wenn sie gemeinsam die Toleranzzeit TToleranz unterschreiten (Bild 1), auch wenn die Störungen einzeln kürzer als die Toleranzzeit sind. Eine Variante des erfindungsgemäßen Verfahrens berücksichtigt daher anstelle der Toleranzzeit für jeden sicherheitsgerichteten Slave eine Toleranzzahl NToleranz, Sie wird durch einen Algorithmus bestimmt, der die Zahl der fehlenden oder ungültigen Telegramme und ihr Aufeinanderfolgen berücksichtigt. Einzelstörungen mit vielen ungültigen Telegrammen werden dabei stärker bewertet als kurze Störungen. Längere störungsfreie Phasen zeigen die korrekte Funktion der Applikation.This definition of the tolerance over a tolerance time has the disadvantage that two or more individually tolerable faults with short, fault-free phases in between are only tolerated if they jointly fall below the tolerance time T tolerance (Figure 1), even if the faults are individually shorter than the Tolerance time. Therefore, a variant of the method takes into account instead of the tolerance time for each safety-related slave tolerance number N tolerance, is determined by an algorithm that takes into account the number of missing or invalid telegrams and their succession. Individual faults with many invalid telegrams are rated more heavily than short faults. Longer, trouble-free phases show that the application is functioning correctly.
Die Toleranzzahl NToleranz kann beispielsweise folgendermaßen definiert werden: NToleranz soll im Wertebereiche zwischen 0 und Nmax liegen. NToleranz = 0 soll ein für längere Zeit ungestörtes Netz beschreiben, NToleranz = Nmax ein so stark gestörtes Netz, dass das NICHT-FREI -Signal ausgelöst werden muss. Für jedes ungültige Telegramm wird die Toleranzzahl um einen Inkrementierungsbetrag I erhöht; für jedes erhaltene gültige Telegramm wird NToleranz um einen Dekrementierungsbetrag D dekrementiert, wobei immer I > D gewählt wird. Damit wird die Toleranzzahl NToleranz durch Störungen schnell erhöht, während sie durch gültige Telegramme langsamer erniedrigt wird. Die Werte I, D und Nmax können applikationsspezifisch gewählt werden. Da die störungsfreie Übertragung einer vollständigen Codefolge die einwandfreie Funktion des Slaves anzeigt, kann nach einer solchen Phase NToleranz sofort auf 0 gesetzt werden. Auf diese Weise kann auch eine Folge kurzer Störungen ohne eine dazwischen liegende längere störungsfreie Phase toleriert werden. Erst eine längere Serie kurzer Störungen oder eine sehr lange Störung führen zu einem NICHT-FREI -Signal. Der maximale Wert von N innerhalb eines Beobachtungszeitraumes kann außerdem als Maß für die Güte des Netzes genommen werden. Er zeigt an, wie weit die Toleranz des Systems ausgenutzt wurde.The tolerance number N tolerance can be defined as follows, for example: N tolerance should be in the value range between 0 and Nmax. N tolerance = 0 should describe a network that is undisturbed for a long time, N tolerance = Nmax a network that is so badly disturbed that the NOT FREE signal must be triggered. For each invalid telegram, the tolerance number is increased by an incremental amount I; For each valid telegram received, N tolerance is decremented by a decrement amount D, where I> D is always selected. This increases the tolerance number N tolerance quickly due to faults, while it is decreased more slowly due to valid telegrams. The values I, D and Nmax can be selected application-specifically. Since the trouble-free transmission of a complete code sequence indicates that the slave is functioning properly, after such a phase N tolerance can be set to 0 immediately. In this way, even a series of short disturbances can be tolerated without a longer disturbance-free phase in between. Only a long series of short faults or a very long fault lead to a NOT-FREE signal. The maximum value of N within an observation period can also be used as a measure of the quality of the network. It shows how far the tolerance of the system has been used.
Im Beispiel des Bildes 2 ist I=10, D=1 gewählt und Nmax ist größer als 55. Die eingezeichneten Störungen führen daher zu keinem NICHT-FREI -Signal und damit nicht zu einem Abschalten wie dies in diesem Beispiel bei einem Standard-SaW unweigerlich geschehen würde. (Anspruch 3)In the example in Figure 2, I = 10, D = 1 is selected and Nmax is greater than 55. The indicated disturbances therefore do not lead to a NOT-FREE signal and therefore do not inevitably lead to a shutdown as in this example with a standard SaW would happen. (Claim 3)
In der Praxis werden Master und Sicherheitsmonitor häufig in einem Gerät realisiert. Dies bietet für das störungstolerante SaW den Vorteil, dass der Sicherheitsmonitor registrieren kann, welche Masteraufrufe an einen Slave doppelt gesendet werden. Das kann im Algorithmus zur Identifikation erlaubter und nicht erlaubter Codesprünge genutzt werden. Der isoliert stehende Sicherheitsmonitor muss im Antworttelegramm eines Slaves sowohl den gegenüber dem letzten gültigen Antworttelegramm nächsten Code einer Codefolge als auch den übernächsten Code als gültig akzeptieren. Dagegen kann bei dem hier beschriebenen Master mit integriertem Sicherheitsmonitor eindeutig ermittelt werden, welcher der beiden Codes zu erwarten und damit gültig ist. Das führt zu einer verschärften Beurteilung der Situation. (Anspruch 4)In practice, the master and safety monitor are often implemented in one device. For the fault-tolerant SaW, this has the advantage that the safety monitor can register which master calls are sent twice to a slave. This can be used in the algorithm to identify permitted and prohibited code jumps. In the response telegram of a slave, the isolated safety monitor must accept both the next code of a code sequence compared to the last valid response telegram and the next but one code as valid. In contrast, with the master described here with an integrated safety monitor, it can be clearly determined which of the two codes is to be expected and is therefore valid. This leads to a tightened assessment of the situation. (Claim 4)
Die übliche Konstruktion eines Sicherheitsmonitors sieht einen Empfänger als UART vor, in dem die Telegramme detektiert, auf ihre formale Richtigkeit nach der AS-Interface Spezifikation überprüft, digitalisiert und an zwei redundante CPUs weitergegeben werden. Dort werden die Telegramme bezüglich der Richtigkeit ihrer Codefolge untersucht. Stimmt das Ergebnis beider CPUs überein, so wird die Entscheidung FREI/NICHT-FREI generiert. Um eine exakte Zuordnung der Telegramme in beiden CPUs zu erreichen, werden sie erfindungsgemäß durch einen Taktgeber synchronisiert. Die Taktrate liegt vorzugsweise im Bereich der Dauer eines einzelnen Telegramms und der Zykluszeit. (Anspruch 5)The usual design of a safety monitor provides a receiver as a UART, in which the telegrams are detected, checked for their formal correctness according to the AS-Interface specification, digitized and passed on to two redundant CPUs. There the telegrams are examined for the correctness of their code sequence. If the result of both CPUs is the same, the decision FREE / NOT FREE is generated. In order to achieve an exact assignment of the messages in both CPUs, they are synchronized according to the invention by a clock generator. The clock rate is preferably in the range of the duration of an individual telegram and the cycle time. (Claim 5)
Der Taktgeber kann vorzugsweise als Teil der UART-Einheit realisiert werden. Der Takt kann dann zusammen mit den Telegrammen als Folge von Taktsignalen und Telegrammen an die redundanten CPUs weitergegeben werden (Anspruch 6).The clock generator can preferably be implemented as part of the UART unit. The clock can then be passed on to the redundant CPUs together with the telegrams as a sequence of clock signals and telegrams (claim 6).
Das erfindungsgemäße Verfahren verringert durch die Vorgabe von Toleranzzeiten absichtlich die Schärfe der Forderungen an eine sicherheitsgerichtete Applikation. Bei der Konfigurierung einer Applikation müssen also Fehler beim Übergang von Standard-SaW auf das erfindungsgemäße Verfahren vermieden werden. Daher wird erfindungsgemäß vom Bediener eine kontrollierbare Aktion gefordert, die eine bewusste Entscheidung über die veränderten Sicherheitsanforderungen verlangt. Das geschieht beispielsweise durch Abfragen in der Konfigurations-Software für die Programmierung der Applikation. Aus dem gleichen Grund muss eine fehlerhafte Veränderung der Toleranzen verhindert werden. Dies geschieht erfindungsgemäß durch deren redundante Speicherung in den CPUs von Sicherheitsmonitor und Aktuatoren. (Anspruch 7)By specifying tolerance times, the method according to the invention deliberately reduces the severity of the requirements for a safety-oriented application. When configuring an application, errors in the transition from standard SaW to the method according to the invention must therefore be avoided. Therefore, according to the invention, a controllable action is required from the operator, which requires a conscious decision about the changed safety requirements. This is done, for example, by querying the configuration software for programming the application. For the same reason, an incorrect change in the tolerances must be prevented. According to the invention, this is done by their redundant storage in the CPUs of the safety monitor and actuators. (Claim 7)
Das erfindungsgemäße Verfahren kann auch in Fällen eingesetzt werden, in denen auf sicherheitsgerichtete Komponenten verzichtet werden kann, in denen aber die gegenüber dem genormten Standard AS-Interface erhöhte Toleranzzeit benötigt wird. Es wird damit zu einem „Störungstoleranten AS-Interface System“. (Anspruch 8)The method according to the invention can also be used in cases in which safety-related components can be dispensed with, but in which the increased tolerance time compared to the standardized standard AS-Interface is required. It thus becomes a "fault-tolerant AS-Interface system". (Claim 8)
Vorteile und wirtschaftlicher Wert der ErfindungAdvantages and economic value of the invention
Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass mit ihm auch dann eine sicherheitsgerichtete Steuerung realisiert werden kann, wenn in einer Applikation kurzfristige Störungen auftreten können, die bei Verwendung eines Standard-SaW zu einem unerwünscht häufigen Abschalten der Applikation führen würden. Das Verfahren wird in Applikationen eingesetzt, die einerseits sicherheitsgerichtet gesteuert werden müssen, andererseits aber wegen einer relativ langen, zulässigen Abschaltzeit kurze Störungen im Datenaustausch tolerieren können.The advantage of the method according to the invention is that it can also be used to implement a safety-oriented control when short-term malfunctions can occur in an application which would lead to an undesirably frequent shutdown of the application when using a standard SaW. The method is used in applications that, on the one hand, have to be controlled in a safety-related manner, but on the other hand, can tolerate brief disruptions in data exchange due to a relatively long, permissible shutdown time.
Bild 1 und 2 zeigen an einem beispielhaften Codeverlauf wie das erfindungsgemäße System in den Varianten von Anspruch 2 und 3 auf ausgefallene Telegramme reagiert, die hier durch drei Störungen verursacht werden:
- Bild 1:
- Alle drei Störungen sind deutlich kürzer als die Toleranzzeit von 40 ms. Ein Standard-SaW würde bereits nach etwa 10 ms das NICHT-FREI Signal auslösen. Von einem
System nach Anspruch 2 wird die erste Störung toleriert. Die ungestörte Phase zwischen den ersten beiden Störungen ist zu kurz, um das System in den Ausgangszustand zurückzuversetzen. Das störungstoleranteSaW nach Anspruch 2 schaltet daher nach 40 ms, d. h. Während der zweiten Störung in den NICHT-FREI Zustand. Die dritte Störung und die davor liegende störungsfreie Phase werden nicht mehr erreicht.
- Alle drei Störungen sind deutlich kürzer als die Toleranzzeit von 40 ms. Ein Standard-SaW würde bereits nach etwa 10 ms das NICHT-FREI Signal auslösen. Von einem
- Bild 2:
- Die gleichen angenommenen Störungen werden von der SaW-
Variante nach Anspruch 3 vollständig toleriert, solange die ToleranzzahlNmax größer als 55 gewählt wird.
- Die gleichen angenommenen Störungen werden von der SaW-
- Image 1:
- All three faults are significantly shorter than the tolerance time of 40 ms. A standard SaW would trigger the NOT-FREE signal after about 10 ms. The first disturbance is tolerated by a system according to
claim 2. The undisturbed phase between the first two disturbances is too short to restore the system to its initial state. The fault-tolerant SaW according toclaim 2 therefore switches to the NOT-FREE state after 40 ms, ie during the second fault. The third fault and the preceding fault-free phase are no longer reached.
- All three faults are significantly shorter than the tolerance time of 40 ms. A standard SaW would trigger the NOT-FREE signal after about 10 ms. The first disturbance is tolerated by a system according to
- Picture 2:
- The same assumed disturbances are completely tolerated by the SaW variant according to
claim 3 as long as the tolerance number Nmax is selected to be greater than 55.
- The same assumed disturbances are completely tolerated by the SaW variant according to
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012001624.7A DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012001624.7A DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102012001624A1 DE102012001624A1 (en) | 2013-08-01 |
DE102012001624B4 true DE102012001624B4 (en) | 2021-02-11 |
Family
ID=48783472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102012001624.7A Active DE102012001624B4 (en) | 2012-01-30 | 2012-01-30 | Failure tolerant safety-at-work system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102012001624B4 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10200091A1 (en) * | 2002-01-03 | 2003-07-24 | Schmersal K A Gmbh & Co | Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address |
US20090043939A1 (en) * | 2007-08-09 | 2009-02-12 | Bernd Fuessl | Bus node |
DE202008015021U1 (en) * | 2008-11-12 | 2009-07-30 | Bihl+Wiedemann Gmbh | Programmable speed monitor for Safety at Work |
DE102008057003A1 (en) * | 2008-11-12 | 2010-05-20 | Bihl+Wiedemann Gmbh | Method for safe parameterization of actuator-sensor interface slaves, involves transferring entered parameter values of pattern from higher-level control unit to slave, where parameter values are stored at slave in safe manner |
DE102011117896A1 (en) * | 2011-11-04 | 2013-05-08 | Euchner Gmbh + Co. Kg | Safety slave for actuator-sensor-interface system, has safety monitor, which is coupled to data bus and monitors condition of slave, where safety sensor provides sensor signal in two channels |
-
2012
- 2012-01-30 DE DE102012001624.7A patent/DE102012001624B4/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10200091A1 (en) * | 2002-01-03 | 2003-07-24 | Schmersal K A Gmbh & Co | Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address |
US20090043939A1 (en) * | 2007-08-09 | 2009-02-12 | Bernd Fuessl | Bus node |
DE202008015021U1 (en) * | 2008-11-12 | 2009-07-30 | Bihl+Wiedemann Gmbh | Programmable speed monitor for Safety at Work |
DE102008057003A1 (en) * | 2008-11-12 | 2010-05-20 | Bihl+Wiedemann Gmbh | Method for safe parameterization of actuator-sensor interface slaves, involves transferring entered parameter values of pattern from higher-level control unit to slave, where parameter values are stored at slave in safe manner |
DE102011117896A1 (en) * | 2011-11-04 | 2013-05-08 | Euchner Gmbh + Co. Kg | Safety slave for actuator-sensor-interface system, has safety monitor, which is coupled to data bus and monitors condition of slave, where safety sensor provides sensor signal in two channels |
Also Published As
Publication number | Publication date |
---|---|
DE102012001624A1 (en) | 2013-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2657797B1 (en) | Method for operating a redundant automation system | |
EP1952238B1 (en) | Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system | |
EP2857913B1 (en) | Redundant automation system | |
EP3220561B1 (en) | Device and method for controlling an automated system | |
EP2981868B1 (en) | Control and data transmission system, process device and method for redundant process control with decentralized redundancy | |
EP1923759B1 (en) | Secure data transfer method and system | |
DE19904893B4 (en) | Method for error suppression in control devices by an intelligent monitoring unit | |
EP1619565B1 (en) | Method and apparatus for safe switching of a bus- based automation system | |
EP0996060A2 (en) | Single processor system | |
EP1051669B1 (en) | Method and circuit configuration for monitoring machine parameters | |
DE19860358B4 (en) | Method for error suppression in output units in control devices | |
EP2433184B1 (en) | Control system for controlling a process | |
EP2418580B1 (en) | Method for operating a network and network | |
DE102012001624B4 (en) | Failure tolerant safety-at-work system | |
EP3470937A1 (en) | Method and devices for monitoring the response time of a security function provided by a security system | |
DE102009033229B4 (en) | Method for detecting double addressing in AS interface networks | |
DE102017123910A1 (en) | Method and apparatus for monitoring the security integrity of a security function provided by a security system | |
EP1692578B1 (en) | Peripheral unit for a redundant control system | |
EP2806316A1 (en) | Method for operating an automation system | |
DE19844562B4 (en) | Method for the safe monitoring of clock rates in a redundant system | |
WO2002075992A2 (en) | System and method for introducing redundancy mechanisms into a communication system | |
EP3026514B1 (en) | Automation system and method for external control of a self-testing algorithm in a decentralised safety device | |
EP2950176A1 (en) | Method and automation component for generating an event message | |
EP2133764B1 (en) | Error-proof automation system and method | |
EP1811347A1 (en) | Switch device control using a retriggerable monoflop |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |