DE102012001624B4 - Failure tolerant safety-at-work system - Google Patents

Failure tolerant safety-at-work system Download PDF

Info

Publication number
DE102012001624B4
DE102012001624B4 DE102012001624.7A DE102012001624A DE102012001624B4 DE 102012001624 B4 DE102012001624 B4 DE 102012001624B4 DE 102012001624 A DE102012001624 A DE 102012001624A DE 102012001624 B4 DE102012001624 B4 DE 102012001624B4
Authority
DE
Germany
Prior art keywords
safety
tolerance
components
faults
slaves
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102012001624.7A
Other languages
German (de)
Other versions
DE102012001624A1 (en
Inventor
Bernhard Wiedemann
Jochen Bihl
Carsten Ruhm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bihl Wiedemann GmbH
BIHL+WIEDEMANN GmbH
Original Assignee
Bihl Wiedemann GmbH
BIHL+WIEDEMANN GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bihl Wiedemann GmbH, BIHL+WIEDEMANN GmbH filed Critical Bihl Wiedemann GmbH
Priority to DE102012001624.7A priority Critical patent/DE102012001624B4/en
Publication of DE102012001624A1 publication Critical patent/DE102012001624A1/en
Application granted granted Critical
Publication of DE102012001624B4 publication Critical patent/DE102012001624B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40254Actuator Sensor Interface ASI

Abstract

Verfahren für ein störungstolerantes „Safety-at-Work“-System konzipiert als eine Sonderversion des standardisierten „Safety at Work“-Systems, bestehend aus den Komponenten Master, gewöhnlichen und sicherheitsgerichteten AS-Interface Slaves einschließlich sicherheitsgerichteter Akuatoren und einem Sicherheitsmonitor, dessen Kommunikation zwischen den sicherheitsgerichteten Komponenten durch Codefolgen gemäß dem AS-Interface Standard abgesichert wird und das die von ihm gesteuerte Applikation beim Auftreten von bestimmten Signalen oder im Fehlerfall in einen stabilen, sicheren Zustand zu versetzen, dadurch gekennzeichnet,• dass das System gestörte und ausfallende Telegramme der sicherheitsgerichteten Komponenten in einem definierten Maß, Toleranz genannt, tolerieren kann, ohne die von ihm gesteuerte Applikation in einen sicheren Zustand zu versetzen,• dass die Größe der Toleranz als Toleranzzeit, während der Störungen nicht berücksichtigt werden, oder als Toleranzzahl, die die Länge und Häufigkeit der tolerierten Störungen und die Länge der ungestörten Phasen berücksichtigt, festgelegt wird,• dass es aber die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt, sobald die Toleranz überschritten wird, ohne dass ein weiteres gültiges Telegramm erkannt wurde,• dass die Toleranz für alle Komponenten gleich oder unterschiedlich festgelegt werden kann,• dass das Ausmaß der Störungen für jede Komponente abhängig oder unabhängig von den anderen überprüft wird,• dass der Master im Falle von Störungen, die vom System toleriert werden, die betroffenen Slaves nicht aus der Liste der aktivierten Slaves (LAS) streicht,• dass Watchdogs in den Systemkomponenten so gesteuert werden können, dass sie während der Toleranzzeit nicht ansprechen,• dass die Toleranz und die Funktion der Watchdogs für die Systemkomponenten entweder fest vorgegeben oder durch Parametrierung eingestellt werden und bei sicherheitsgerichteten Komponenten in diesen sicher abgelegt werden.Procedure for a fault-tolerant "Safety-at-Work" system designed as a special version of the standardized "Safety at Work" system, consisting of the components master, normal and safety-related AS-Interface slaves including safety-related acuators and a safety monitor whose communication between the safety-related components is protected by code sequences in accordance with the AS-Interface standard and to put the application controlled by it in a stable, safe state when certain signals occur or in the event of an error, characterized in that • the system disrupted and failing telegrams of the safety-related Can tolerate components to a defined extent, called tolerance, without putting the application it controls into a safe state, • that the size of the tolerance as the tolerance time, during the faults, is not taken into account, or as a tolerance number that defines the length and Frequency of the tolerated disturbances and the length of the undisturbed phases are taken into account, • that it puts the application controlled by it into a safe state as soon as the tolerance is exceeded without another valid telegram being recognized, • that the tolerance for all components can be defined identically or differently, • that the extent of the disturbances for each component is checked depending on or independently of the others, • that the master does not remove the affected slaves from the list in the event of disturbances that are tolerated by the system activated slaves (LAS), • that watchdogs in the system components can be controlled in such a way that they do not respond during the tolerance time, • that the tolerance and function of the watchdogs for the system components are either fixed or set by parameterization and for safety-related components can be safely stored in these.

Description

Stand der TechnikState of the art

Die Erfindung betrifft eine sicherheitsgerichtete Variante des bekannten Safety-at-Work Systems, die Störungen in der Datenübertragung für eine einstellbare Zeit toleriert, ohne dass die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt wird.The invention relates to a safety-oriented variant of the known Safety-at-Work system which tolerates disturbances in the data transmission for an adjustable time without the application controlled by it being put into a safe state.

AS-Interface ist ein eingeführtes und genormtes (IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; oder: Kriesel, W. R., Madelung, O.W. (Hrsg.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2. deutsche Auflage, Carl Hanser Verlag 1999, ISBN 3-446-21064-4) Bussystem für einfache Sensoren und Aktuatoren, die in computergesteuerten Prozessen oder Anlagen (hier „Applikationen“ genannt) verwendet werden. Sein Master tauscht mit jedem Slave zyklisch je ein Master- und ein Antworttelegramm aus. Ein in den zuvor genannten Dokumenten entsprechendes System ist für industrielle Standard-Aufgaben sehr gut geeignet, nicht aber für Aufgaben, die gefährliche Maschinen überwachen und steuern sollen.AS-Interface is an established and standardized (IEC 62026-2: Part 2: Actuator Sensor Interface (AS-i), Part 2: Actuator Sensor Interface (AS-i); 2000; or: Kriesel, WR, Madelung, OW ( Ed.): AS-Interface Das Aktuator-Sensor-Interface für die Automation; 213 S., 2nd German edition, Carl Hanser Verlag 1999, ISBN 3-446-21064-4) Bus system for simple sensors and actuators, which are in computer-controlled Processes or systems (called "applications" here) are used. Its master cyclically exchanges a master and a response telegram with each slave. A system corresponding to the documents mentioned above is very well suited for standard industrial tasks, but not for tasks that are to monitor and control dangerous machines.

Für Applikationen mit diesen besonders hohen Sicherheitsanforderungen gemäß den internationalen Normen ( DIN EN ISO 13849-1:2008 : Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen) für sicherheitsgerichtete Geräte existiert eine Sicherheitsvariante von AS-Interface unter dem Namen „Safety at Work“ (AS-International Association (Hrsg.): AS-Interface Safety-at-Work, (2004)), in der der Datenverkehr im AS-Interface Netz mit sicherheitsgerichteten Slaves durch Codefolgen so abgesichert wird, dass die Daten dieser Sensoren oder Aktuatoren innerhalb des Netzes sicherheitsgerichtet im Sinne der Normen übertragen werden. In „Safety at Work“ sind Verfahren zum Umgang mit gestörten Telegrammen beschrieben, die aber unter manchen, gestörten Bedingungen zu unbefriedigender Verfügbarkeit des Systems führen können. Die DIN EN ISO 13849-1 beschreibt dagegen die normativen Anforderungen an die Kommunikation, die mindestens erfüllt werden müssen. For applications with these particularly high safety requirements in accordance with international standards ( DIN EN ISO 13849-1: 2008 : Safety of machines - safety-related parts of control systems) for safety-related devices there is a safety variant of AS-Interface under the name "Safety at Work" (AS-International Association (publisher): AS-Interface Safety-at-Work, (2004) ), in which the data traffic in the AS-Interface network with safety-related slaves is secured by code sequences in such a way that the data from these sensors or actuators are safely transmitted within the network in accordance with the standards. "Safety at Work" describes procedures for dealing with disturbed telegrams, which, however, can lead to unsatisfactory system availability under some disturbed conditions. The DIN EN ISO 13849-1 on the other hand, describes the normative requirements for communication that must at least be met.

Nicht-sicherheitsgerichtete Slaves (im folgenden einfache Slaves genannt) und sicherheitsgerichtete Slaves können in demselben Netz verwendet werden. Ein AS-Interface Netz, das wenigstens einen Sicherheitsmonitor und einen sicherheitsgerichteten Slave enthält, wird als „Safety-at-Work Netz“ oder „SaW-Netz“ bezeichnet. Für die Steuerung einer Applikation über die Sensoren und Aktuatoren ist im kontinuierlichen Betrieb in beiden Netzen - AS-Interface und Safety-at-Work - eine übergeordnete Steuerung, z.B. eine SPS, ein PC oder ein „Controller“, verantwortlich.Non-safety-related slaves (hereinafter referred to as simple slaves) and safety-related slaves can be used in the same network. An AS-Interface network that contains at least one safety monitor and one safety-related slave is referred to as a "Safety-at-Work network" or "SaW network". A higher-level controller, e.g. a PLC, a PC or a "controller", is responsible for controlling an application via the sensors and actuators in both networks in continuous operation - AS-Interface and Safety-at-Work.

Bei Safety-at-Work enthält das Netz zusätzlich zum einfachen AS-Interface System einen „Sicherheitsmonitor“, der den Datenverkehr mit den sicherheitsgerichteten Slaves überwacht und die Applikation über seine lokalen Ausgänge oder über sicherheitsgerichtete Aktuatoren in einem sicheren Zustand versetzt, falls dies von einem sicherheitsgerichteten Eingangssignal verlangt wird oder falls in dem überwachten Datenverkehr eine Störung auftritt.With Safety-at-Work, the network contains a "safety monitor" in addition to the simple AS-Interface system, which monitors the data traffic with the safety-related slaves and puts the application in a safe state via its local outputs or via safety-related actuators, if this is done by one safety-related input signal is required or if a fault occurs in the monitored data traffic.

Die Druckschriften DE 20 2008 015 021 U1 , DE 10 2008 057 003 A1 , US 2009/0043939 A1 , DE 10 2011 117 896 A1 und DE 102 00 091 zeigen jeweils Ausgestaltungen von Safety-at-Work-Systemen, jedoch keinen in definiert begrenztem Maße toleranteren Umgang des Safety-at-Work Systemsmit kurzfristigen Störungen.The pamphlets DE 20 2008 015 021 U1 , DE 10 2008 057 003 A1 , US 2009/0043939 A1 , DE 10 2011 117 896 A1 and DE 102 00 091 each show configurations of Safety-at-Work systems, but no, to a defined limited extent, more tolerant handling of the Safety-at-Work system with short-term disruptions.

Dabei ist für die sichere Funktion der Applikation bei Safety-at-Work entscheidend, dass für alle sicherheitsgerichtete Nachrichten die Kette „sicherheitsgerichtete Quelle - sicherheitsgerichtete Datenübertragung - sicherheitsgerichtete Datensenke“ gewährleistet wird. Im Falle eines Eingangssignales ist der Sensor die Datenquelle. Diese Komponenten werden nach den bekannten Regeln sicherheitsgerichtet konstruiert. Die sicherheitsgerichtete Datenübertragung wird bei Safety-at-Work durch die kontinuierliche Übertragung einer Codefolge C, die bei Sensoren aus 8, bei Aktuatoren aus 7 Einzeltelegrammen C1 bis C8 mit je vier Bit besteht, von der Datenquelle gesendet und von der Datensenke kontinuierlich überwacht. Die Codefolge wird für jeden einzelnen Slave individuell vom Hersteller festgelegt. Der korrekte Empfang der Codefolge in der Datensenke ergibt das „FREI“-Signal, das Ausbleiben der Codes, Fehler in den Codes oder das Erkennen des Ausschalttelegramms 0- 0 - 0 - 0 ergeben ein „NICHT-FREI“-Signal". Das NICHT-FREI -Signal führt dazu, dass die Datensenke an Stelle des Masters das Kommando über die Applikation übernimmt und diese in einen sicheren Zustand versetzt.For the safe functioning of the application with Safety-at-Work, it is crucial that the chain "safety-related source - safety-related data transmission - safety-related data sink" is guaranteed for all safety-related messages. In the case of an input signal, the sensor is the data source. These components are designed in a safety-oriented manner according to the known rules. With Safety-at-Work, the safety-related data transmission is sent from the data source through the continuous transmission of a code sequence C, which consists of 8 individual telegrams C1 to C8 with four bits for sensors and seven individual telegrams for actuators and continuously monitored by the data sink. The code sequence is defined individually by the manufacturer for each individual slave. Correct reception of the code sequence in the data sink results in the "FREE" signal, the absence of codes, errors in the codes or the recognition of the switch-off telegram 0-0-0-0 result in a "NOT FREE" signal ". The NOT -FREI -Signal means that the data sink takes over the command of the application instead of the master and puts it in a safe state.

AS-Interface (einschließlich SaW) wird überwiegend im industriellen Umfeld eingesetzt und erfordert keine abgeschirmten Leitungen; es wird sogar erfolgreich mit Schleifleitungen verwendet. Durch seine Konstruktion ist sicher gestellt worden, dass fast jede Störung eines Telegramms als solche erkannt wird und dass das System darauf in geeigneter Weise reagiert. Dazu gibt es bei AS-Interface eine spezielle Art der Datencodierung, die die Detektierung von Fehlern in der Datenübertragung ermöglicht. Bei fehlenden oder fehlerhaften Telegrammen wird der Masteraufruf einmal im Zyklus wiederholt. Wenn nach 3 Zyklen von ein und demselben Slave immer noch kein oder nur ein fehlerhaftes Telegramm empfangen wird, wird dieser Slave aus der „Liste der aktivierten Slaves“ (LAS), die im Master hinterlegt ist, gestrichen und aus dem Netz genommen. Der Master meldet dies als Störung an die übergeordnete Steuerung.AS-Interface (including SaW) is mainly used in the industrial environment and does not require shielded cables; it is even used successfully with conductor rails. Its design ensures that almost every fault in a telegram is recognized as such and that the system reacts to it in a suitable manner. In addition, AS-Interface has a special type of data coding that enables errors in data transmission to be detected. If the telegrams are missing or incorrect, the master call is repeated once in the cycle. If after 3 cycles from one and the same slave still no or only an incorrect telegram is received this slave is deleted from the "list of activated slaves" (LAS) stored in the master and removed from the network. The master reports this as a fault to the higher-level controller.

Bei Safety at Work wird nach dem Stand der Technik nur die Telegrammwiederholung im ersten Zyklus erlaubt, sowie die Wiederholung im folgenden Zyklus. Führt dies nicht zu einem korrekten Telegramm, gilt dies für den Sicherheitsmonitor bzw. den betroffenen Aktuator als NICHT-FREI -Signal und führt dazu, dass die Applikation von ihnen in einen sicheren Zustand geschaltet wird. Der Verzicht auf weitere Wiederholungen in einem dritten Zyklus ermöglicht eine kurze Reaktionszeit des Standard-SaW Systems, die bei einem vollausgebauten Netz etwa 35 ms beträgt.With Safety at Work, according to the state of the art, only the telegram repetition is permitted in the first cycle and the repetition in the following cycle. If this does not lead to a correct telegram, this applies to the safety monitor or the actuator concerned as a NOT-FREE signal and results in the application being switched to a safe state by you. Dispensing with further repetitions in a third cycle enables a short response time of the standard SaW system, which is around 35 ms with a fully expanded network.

Es gibt aber auch Applikationen, für die zwar eine sicherheitsgerichtete Funktion des Netzes unverzichtbar ist, bei denen aber eine längere größere Reaktionszeit unkritisch ist. Störungen, die länger als eine Zykluszeit dauern, wie sie beispielsweise durch einen schlechten Kontakt auf einer verschmutzten Schleifbahn auftreten können, werden aber bei einem Standard-SaW Netzt dann problematisch, wenn sie zu einem häufigeren Ausfall von Slaves und damit zu Stopps der Applikation führen. Für derartige Applikationen ist ein toleranterer Umgang des Systems mit kurzfristigen Störungen zu Lasten der Reaktionsgeschwindigkeit von Interesse, falls seine sicherheitsgerichtete Funktion dabei gewährleistet bleibt. Eine einfache Erhöhung der Zahl erlaubter Telegrammwiederholungen würde die zweite Bedingung nicht erfüllen.However, there are also applications for which a safety-related function of the network is indispensable, but for which a longer reaction time is not critical. Faults that last longer than a cycle time, such as those that can occur due to poor contact on a dirty slideway, become problematic in a standard SaW network if they lead to more frequent failure of slaves and thus stops the application. For such applications, a more tolerant handling of the system with short-term disturbances at the expense of the reaction speed is of interest, provided that its safety-related function is guaranteed. A simple increase in the number of permitted telegram repetitions would not meet the second condition.

Derartige Fälle sind bisher mit Standard-Safety at Work nicht befriedigend zu bedienen. Der Erfindung liegt daher die Aufgabe zu Grunde, hierfür eine Lösung anzugeben.Such cases have so far not been able to be handled satisfactorily with standard Safety at Work. The invention is therefore based on the object of specifying a solution for this.

Erfindunginvention

Das erfindungsgemäße Verfahren löst das skizzierte Problem durch Veränderungen und Ergänzungen an den einzelnen Komponenten des Systems und in deren Zusammenwirken. Sie werden im folgenden beschrieben. Zur Unterscheidung zwischen dem bekannten, standardisierten Safety at Work System und dem modifizierten System der Erfindung wird im folgenden von „Standard-SaW” und „tolerantem SaW“ und seinen Komponenten gesprochen.The method according to the invention solves the problem outlined by changes and additions to the individual components of the system and in their interaction. They are described below. To distinguish between the known, standardized Safety at Work system and the modified system of the invention, the terms “standard SaW” and “tolerant SaW” and its components are used below.

Wie beim Standard-SaW wird der sicherheitsgerichtete Datenverkehr auch beim störungstoleranten SaW durch den Sicherheitsmonitor oder einen oder mehrere sicherheitsgerichtete Aktuatoren überwacht. Der Übergang von einem „FREI”-Zustand zum „NICHT-FREI”-Zustand erfolgt beim störungstoleranten SaW aber nicht wie beim Standard-SaW unveränderlich nach dem zweiten fehlerhaften Zyklus, sondern erst dann, wenn nach einer vorgegebenen Toleranz kein gültiges Telegramm erkannt worden ist. Diese Toleranz kann erfindungsgemäß als Toleranzzeit TToleranz oder als Toleranzzahl NToleranz festgelegt werden, wobei NToleranz sowohl die Zahl der unmittelbar aufeinander folgenden Telegrammausfälle als auch die Folge mehrerer, aufeinander folgender Störungen und damit die Stärke und die Häufigkeit von Störungen berücksichtigen kann. Erfindungsgemäß erkennen aber Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren jedes einzelne Telegramm trotzdem genauso sicher als „gültig“ oder „ungültig“ wie ein Standard-SaW-System. Verändert ist nur das Kriteium für ein FREI- bzw. NICHT-FREI Signal an die Applikation.As with the standard SaW, the safety-related data traffic is also monitored by the safety monitor or one or more safety-related actuators with the fault-tolerant SAW. With the fault-tolerant SaW, the transition from a “FREE” state to a “NOT-FREE” state does not take place after the second faulty cycle, as is the case with the standard SaW, but only when no valid telegram has been recognized after a specified tolerance . According to the invention, this tolerance can be defined as a tolerance time T tolerance or as a tolerance number N tolerance , where N tolerance can take into account both the number of telegram failures that follow one another and the consequence of several successive faults and thus the strength and frequency of faults. According to the invention, however, the safety monitor and safety-related actuators recognize each individual telegram just as reliably as "valid" or "invalid" as a standard SaW system. Only the criterion for a FREE or NOT-FREE signal to the application is changed.

Die Toleranz TToleranz bzw. NToleranz kann für die sicherheitsgerichteten Slaves einer Applikation gleich oder unterschiedlich eingestellt werden und wird gewöhnlich für jede der Komponenten unabhängig von den anderen überprüft. Dadurch kann der Ausfall eines Slaves an einer kritischen Stelle der Applikation schärfer beurteilt werden als an einer weniger kritischen.The tolerance T tolerance or N tolerance can be set the same or different for the safety-related slaves of an application and is usually checked for each of the components independently of the others. This means that the failure of a slave at a critical point in the application can be assessed more precisely than at a less critical point.

Parallel zum Sicherheitsmonitor, aber ohne dessen erhöhte Sicherheitsfunktion, überprüft der Master der Applikation die Zahl der Telegrammwiederholungen aller Slaves. Eine Erhöhung der Toleranz für sicherheitsgerichtete Slaves ist daher im Allgemeinen nur dann sinnvoll, wenn der Master während dieser Zeit keine Slaves aus der Liste der aktivierten Slaves streicht. Er wird daher für das erfindungsgemäße Verfahren so verändert, dass entweder die Zahl der vom Master akzeptierten Telegrammwiederholungen oder eine Toleranzzeit für Störungen einstellbar sind. In beiden Fällen wird damit sichergestellt, dass die Slaves zwar zunächst länger in der LAS verbleiben, nach Ablauf einer Toleranz aber wie beim Standard AS-Interface aus der LAS genommen werden.In parallel to the safety monitor, but without its increased safety function, the application master checks the number of telegram repetitions of all slaves. Increasing the tolerance for safety-related slaves therefore generally only makes sense if the master does not delete any slaves from the list of activated slaves during this time. It is therefore changed for the method according to the invention in such a way that either the number of telegram repetitions accepted by the master or a tolerance time for faults can be set. In both cases, this ensures that the slaves initially remain in the LAS for a longer period of time, but are removed from the LAS after a tolerance has expired, as with the standard AS-Interface.

Viele einfache Slaves besitzen einen Watchdog, der ebenfalls auf das Ausbleiben von Telegrammen reagiert. Diese Watchdogs werden für das störungstolerante SaW so angepasst, dass sie erst nach Ablauf einer Toleranzzeit aktiv werden.Many simple slaves have a watchdog that also reacts to the absence of telegrams. These watchdogs are adapted for the fault-tolerant SaW so that they only become active after a tolerance time has expired.

Für alle Komponenten werden die Toleranz und die Funktion des Watchdogs über Parametrierung festgelegt oder sie sind hardwaremäßig fest einstellbar. Bei allen sicherheitsgerichteten Komponenten werden sie sicher abgelegt, so dass eine versehentliche Veränderung dieser Daten oder ihre fehlerhafte Veränderung ausgeschlossen werden können. (Anspruch 1)For all components, the tolerance and the function of the watchdog are defined via parameterization or they can be permanently set using the hardware. They are securely stored for all safety-related components so that accidental changes to this data or incorrect changes can be excluded. (Claim 1)

Beim Standard-SaW empfangen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren als Antworttelegramme Codes aus einer slave-typischen Codefolge von acht bzw. sieben Codes. Sind die Telegramme in zwei aufeinanderfolgenden Zyklen wegen einer Abweichung von der AS-Interface Norm oder wegen einer Abweichung von der erwarteten Codefolge ungültig oder fallen sie ganz aus, so erzeugen Sicherheitsmonitor bzw. der sicherheitsgerichtete Aktuator das NICHT-FREI -Signal und die Applikation wird in einen sicheren Zustand geschaltet. Dabei ist ein empfangenes Telegramm dann gültig, wenn es das nächste oder übernächste Telegramm der Codefolge ist.With the standard SaW, the safety monitor and safety-related actuators receive as Response telegrams Codes from a slave-typical code sequence of eight or seven codes. If the telegrams are invalid in two consecutive cycles because of a deviation from the AS-Interface standard or because of a deviation from the expected code sequence, or if they fail completely, the safety monitor or the safety-oriented actuator generate the NOT-FREE signal and the application is in switched to a safe state. A received telegram is then valid if it is the next or the next but one in the code sequence.

Wird dagegen im störungstoleranten SaW eine Toleranzzeit TToleranz vorgegeben, so beurteilen Sicherheitsmonitor und sicherheitsgerichtete Aktuatoren für jeden Slave die Dauer der Störung(en) und schalten die Applikation erst dann in einen sicheren Zustand, wenn die Toleranzzeit TToleranz eines Elementes überschritten wird. Dabei wird der ungestörte Empfang einer vollständigen Codefolge als Beweis dafür gedeutet, dass der betrachtete Slave regulär arbeitet und das FREI -Signal korrekt ist. Ab diesem Zeitpunkt werden eine oder mehrere Störungen dann toleriert, wenn vor Ablauf der Toleranzzeit wieder mindestens ein gültiges Telegramm empfangen wird. „Gültig“ ist in diesem Fall jedes Telegramm, das in der Codefolge enthalten ist. Eine nächste tolerable Störung darf dann auftreten, wenn deutlich ist, dass der betrachtete Slave regulär arbeitet, beispielsweise dadurch, dass seit der letzten Störung wieder mindestens eine Codefolge ungestört nach dem Stand der Technik empfangen wurde. Auf diese Weise werden Ausfälle von sicherheitsgerichteten Slaves über eine gewisse Zeitspanne zugelassen, ohne ein NICHT-FREI -Signal auszulösen. Die Länge der Toleranzzeit hängt von den Erfordernissen der Applikation ab. Der sicherheitsgerichtete Betrieb bleibt erhalten. Das Verhältnis von Zahl der fehlerhaften zu ungestörten Telegrammen kann als Maß für die Güte des Netzes genommen werden. Die tolerierten Ausfälle dieser Slaves können nach Dauer und Zeitpunkt voneinander unabhängig sein. (Anspruch 2)If, on the other hand, a tolerance time T tolerance is specified in the fault-tolerant SaW, the safety monitor and safety-related actuators assess the duration of the fault (s) for each slave and only switch the application to a safe state when the tolerance time T tolerance of an element is exceeded. The undisturbed reception of a complete code sequence is interpreted as evidence that the slave in question is working normally and that the FREE signal is correct. From this point on, one or more faults are tolerated if at least one valid telegram is received again before the tolerance time has expired. "Valid" in this case is every telegram that is contained in the code sequence. The next tolerable disturbance may occur when it is clear that the slave in question is working normally, for example because at least one code sequence has been received undisturbed according to the prior art since the last disturbance. In this way, failures of safety-related slaves are permitted over a certain period of time without triggering a NOT-FREE signal. The length of the tolerance time depends on the requirements of the application. The safety-related operation is retained. The ratio of the number of faulty to undisturbed telegrams can be used as a measure of the quality of the network. The tolerated failures of these slaves can be independent of one another in terms of duration and time. (Claim 2)

Diese Definition der Toleranz über eine Toleranzzeit hat den Nachteil, dass zwei und mehr einzeln tolerierbare Störungen mit dazwischen liegenden kurzen störungsfreien Phasen nur dann toleriert werden, wenn sie gemeinsam die Toleranzzeit TToleranz unterschreiten (Bild 1), auch wenn die Störungen einzeln kürzer als die Toleranzzeit sind. Eine Variante des erfindungsgemäßen Verfahrens berücksichtigt daher anstelle der Toleranzzeit für jeden sicherheitsgerichteten Slave eine Toleranzzahl NToleranz, Sie wird durch einen Algorithmus bestimmt, der die Zahl der fehlenden oder ungültigen Telegramme und ihr Aufeinanderfolgen berücksichtigt. Einzelstörungen mit vielen ungültigen Telegrammen werden dabei stärker bewertet als kurze Störungen. Längere störungsfreie Phasen zeigen die korrekte Funktion der Applikation.This definition of the tolerance over a tolerance time has the disadvantage that two or more individually tolerable faults with short, fault-free phases in between are only tolerated if they jointly fall below the tolerance time T tolerance (Figure 1), even if the faults are individually shorter than the Tolerance time. Therefore, a variant of the method takes into account instead of the tolerance time for each safety-related slave tolerance number N tolerance, is determined by an algorithm that takes into account the number of missing or invalid telegrams and their succession. Individual faults with many invalid telegrams are rated more heavily than short faults. Longer, trouble-free phases show that the application is functioning correctly.

Die Toleranzzahl NToleranz kann beispielsweise folgendermaßen definiert werden: NToleranz soll im Wertebereiche zwischen 0 und Nmax liegen. NToleranz = 0 soll ein für längere Zeit ungestörtes Netz beschreiben, NToleranz = Nmax ein so stark gestörtes Netz, dass das NICHT-FREI -Signal ausgelöst werden muss. Für jedes ungültige Telegramm wird die Toleranzzahl um einen Inkrementierungsbetrag I erhöht; für jedes erhaltene gültige Telegramm wird NToleranz um einen Dekrementierungsbetrag D dekrementiert, wobei immer I > D gewählt wird. Damit wird die Toleranzzahl NToleranz durch Störungen schnell erhöht, während sie durch gültige Telegramme langsamer erniedrigt wird. Die Werte I, D und Nmax können applikationsspezifisch gewählt werden. Da die störungsfreie Übertragung einer vollständigen Codefolge die einwandfreie Funktion des Slaves anzeigt, kann nach einer solchen Phase NToleranz sofort auf 0 gesetzt werden. Auf diese Weise kann auch eine Folge kurzer Störungen ohne eine dazwischen liegende längere störungsfreie Phase toleriert werden. Erst eine längere Serie kurzer Störungen oder eine sehr lange Störung führen zu einem NICHT-FREI -Signal. Der maximale Wert von N innerhalb eines Beobachtungszeitraumes kann außerdem als Maß für die Güte des Netzes genommen werden. Er zeigt an, wie weit die Toleranz des Systems ausgenutzt wurde.The tolerance number N tolerance can be defined as follows, for example: N tolerance should be in the value range between 0 and Nmax. N tolerance = 0 should describe a network that is undisturbed for a long time, N tolerance = Nmax a network that is so badly disturbed that the NOT FREE signal must be triggered. For each invalid telegram, the tolerance number is increased by an incremental amount I; For each valid telegram received, N tolerance is decremented by a decrement amount D, where I> D is always selected. This increases the tolerance number N tolerance quickly due to faults, while it is decreased more slowly due to valid telegrams. The values I, D and Nmax can be selected application-specifically. Since the trouble-free transmission of a complete code sequence indicates that the slave is functioning properly, after such a phase N tolerance can be set to 0 immediately. In this way, even a series of short disturbances can be tolerated without a longer disturbance-free phase in between. Only a long series of short faults or a very long fault lead to a NOT-FREE signal. The maximum value of N within an observation period can also be used as a measure of the quality of the network. It shows how far the tolerance of the system has been used.

Im Beispiel des Bildes 2 ist I=10, D=1 gewählt und Nmax ist größer als 55. Die eingezeichneten Störungen führen daher zu keinem NICHT-FREI -Signal und damit nicht zu einem Abschalten wie dies in diesem Beispiel bei einem Standard-SaW unweigerlich geschehen würde. (Anspruch 3)In the example in Figure 2, I = 10, D = 1 is selected and Nmax is greater than 55. The indicated disturbances therefore do not lead to a NOT-FREE signal and therefore do not inevitably lead to a shutdown as in this example with a standard SaW would happen. (Claim 3)

In der Praxis werden Master und Sicherheitsmonitor häufig in einem Gerät realisiert. Dies bietet für das störungstolerante SaW den Vorteil, dass der Sicherheitsmonitor registrieren kann, welche Masteraufrufe an einen Slave doppelt gesendet werden. Das kann im Algorithmus zur Identifikation erlaubter und nicht erlaubter Codesprünge genutzt werden. Der isoliert stehende Sicherheitsmonitor muss im Antworttelegramm eines Slaves sowohl den gegenüber dem letzten gültigen Antworttelegramm nächsten Code einer Codefolge als auch den übernächsten Code als gültig akzeptieren. Dagegen kann bei dem hier beschriebenen Master mit integriertem Sicherheitsmonitor eindeutig ermittelt werden, welcher der beiden Codes zu erwarten und damit gültig ist. Das führt zu einer verschärften Beurteilung der Situation. (Anspruch 4)In practice, the master and safety monitor are often implemented in one device. For the fault-tolerant SaW, this has the advantage that the safety monitor can register which master calls are sent twice to a slave. This can be used in the algorithm to identify permitted and prohibited code jumps. In the response telegram of a slave, the isolated safety monitor must accept both the next code of a code sequence compared to the last valid response telegram and the next but one code as valid. In contrast, with the master described here with an integrated safety monitor, it can be clearly determined which of the two codes is to be expected and is therefore valid. This leads to a tightened assessment of the situation. (Claim 4)

Die übliche Konstruktion eines Sicherheitsmonitors sieht einen Empfänger als UART vor, in dem die Telegramme detektiert, auf ihre formale Richtigkeit nach der AS-Interface Spezifikation überprüft, digitalisiert und an zwei redundante CPUs weitergegeben werden. Dort werden die Telegramme bezüglich der Richtigkeit ihrer Codefolge untersucht. Stimmt das Ergebnis beider CPUs überein, so wird die Entscheidung FREI/NICHT-FREI generiert. Um eine exakte Zuordnung der Telegramme in beiden CPUs zu erreichen, werden sie erfindungsgemäß durch einen Taktgeber synchronisiert. Die Taktrate liegt vorzugsweise im Bereich der Dauer eines einzelnen Telegramms und der Zykluszeit. (Anspruch 5)The usual design of a safety monitor provides a receiver as a UART, in which the telegrams are detected, checked for their formal correctness according to the AS-Interface specification, digitized and passed on to two redundant CPUs. There the telegrams are examined for the correctness of their code sequence. If the result of both CPUs is the same, the decision FREE / NOT FREE is generated. In order to achieve an exact assignment of the messages in both CPUs, they are synchronized according to the invention by a clock generator. The clock rate is preferably in the range of the duration of an individual telegram and the cycle time. (Claim 5)

Der Taktgeber kann vorzugsweise als Teil der UART-Einheit realisiert werden. Der Takt kann dann zusammen mit den Telegrammen als Folge von Taktsignalen und Telegrammen an die redundanten CPUs weitergegeben werden (Anspruch 6).The clock generator can preferably be implemented as part of the UART unit. The clock can then be passed on to the redundant CPUs together with the telegrams as a sequence of clock signals and telegrams (claim 6).

Das erfindungsgemäße Verfahren verringert durch die Vorgabe von Toleranzzeiten absichtlich die Schärfe der Forderungen an eine sicherheitsgerichtete Applikation. Bei der Konfigurierung einer Applikation müssen also Fehler beim Übergang von Standard-SaW auf das erfindungsgemäße Verfahren vermieden werden. Daher wird erfindungsgemäß vom Bediener eine kontrollierbare Aktion gefordert, die eine bewusste Entscheidung über die veränderten Sicherheitsanforderungen verlangt. Das geschieht beispielsweise durch Abfragen in der Konfigurations-Software für die Programmierung der Applikation. Aus dem gleichen Grund muss eine fehlerhafte Veränderung der Toleranzen verhindert werden. Dies geschieht erfindungsgemäß durch deren redundante Speicherung in den CPUs von Sicherheitsmonitor und Aktuatoren. (Anspruch 7)By specifying tolerance times, the method according to the invention deliberately reduces the severity of the requirements for a safety-oriented application. When configuring an application, errors in the transition from standard SaW to the method according to the invention must therefore be avoided. Therefore, according to the invention, a controllable action is required from the operator, which requires a conscious decision about the changed safety requirements. This is done, for example, by querying the configuration software for programming the application. For the same reason, an incorrect change in the tolerances must be prevented. According to the invention, this is done by their redundant storage in the CPUs of the safety monitor and actuators. (Claim 7)

Das erfindungsgemäße Verfahren kann auch in Fällen eingesetzt werden, in denen auf sicherheitsgerichtete Komponenten verzichtet werden kann, in denen aber die gegenüber dem genormten Standard AS-Interface erhöhte Toleranzzeit benötigt wird. Es wird damit zu einem „Störungstoleranten AS-Interface System“. (Anspruch 8)The method according to the invention can also be used in cases in which safety-related components can be dispensed with, but in which the increased tolerance time compared to the standardized standard AS-Interface is required. It thus becomes a "fault-tolerant AS-Interface system". (Claim 8)

Vorteile und wirtschaftlicher Wert der ErfindungAdvantages and economic value of the invention

Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass mit ihm auch dann eine sicherheitsgerichtete Steuerung realisiert werden kann, wenn in einer Applikation kurzfristige Störungen auftreten können, die bei Verwendung eines Standard-SaW zu einem unerwünscht häufigen Abschalten der Applikation führen würden. Das Verfahren wird in Applikationen eingesetzt, die einerseits sicherheitsgerichtet gesteuert werden müssen, andererseits aber wegen einer relativ langen, zulässigen Abschaltzeit kurze Störungen im Datenaustausch tolerieren können.The advantage of the method according to the invention is that it can also be used to implement a safety-oriented control when short-term malfunctions can occur in an application which would lead to an undesirably frequent shutdown of the application when using a standard SaW. The method is used in applications that, on the one hand, have to be controlled in a safety-related manner, but on the other hand, can tolerate brief disruptions in data exchange due to a relatively long, permissible shutdown time.

Bild 1 und 2 zeigen an einem beispielhaften Codeverlauf wie das erfindungsgemäße System in den Varianten von Anspruch 2 und 3 auf ausgefallene Telegramme reagiert, die hier durch drei Störungen verursacht werden:

  • Bild 1:
    • Alle drei Störungen sind deutlich kürzer als die Toleranzzeit von 40 ms. Ein Standard-SaW würde bereits nach etwa 10 ms das NICHT-FREI Signal auslösen. Von einem System nach Anspruch 2 wird die erste Störung toleriert. Die ungestörte Phase zwischen den ersten beiden Störungen ist zu kurz, um das System in den Ausgangszustand zurückzuversetzen. Das störungstolerante SaW nach Anspruch 2 schaltet daher nach 40 ms, d. h. Während der zweiten Störung in den NICHT-FREI Zustand. Die dritte Störung und die davor liegende störungsfreie Phase werden nicht mehr erreicht.
  • Bild 2:
    • Die gleichen angenommenen Störungen werden von der SaW-Variante nach Anspruch 3 vollständig toleriert, solange die Toleranzzahl Nmax größer als 55 gewählt wird.
Fig. 1 and 2 show an example code sequence how the system according to the invention reacts in the variants of claims 2 and 3 to failed telegrams that are caused here by three faults:
  • Image 1:
    • All three faults are significantly shorter than the tolerance time of 40 ms. A standard SaW would trigger the NOT-FREE signal after about 10 ms. The first disturbance is tolerated by a system according to claim 2. The undisturbed phase between the first two disturbances is too short to restore the system to its initial state. The fault-tolerant SaW according to claim 2 therefore switches to the NOT-FREE state after 40 ms, ie during the second fault. The third fault and the preceding fault-free phase are no longer reached.
  • Picture 2:
    • The same assumed disturbances are completely tolerated by the SaW variant according to claim 3 as long as the tolerance number Nmax is selected to be greater than 55.

Claims (8)

Verfahren für ein störungstolerantes „Safety-at-Work“-System konzipiert als eine Sonderversion des standardisierten „Safety at Work“-Systems, bestehend aus den Komponenten Master, gewöhnlichen und sicherheitsgerichteten AS-Interface Slaves einschließlich sicherheitsgerichteter Akuatoren und einem Sicherheitsmonitor, dessen Kommunikation zwischen den sicherheitsgerichteten Komponenten durch Codefolgen gemäß dem AS-Interface Standard abgesichert wird und das die von ihm gesteuerte Applikation beim Auftreten von bestimmten Signalen oder im Fehlerfall in einen stabilen, sicheren Zustand zu versetzen, dadurch gekennzeichnet, • dass das System gestörte und ausfallende Telegramme der sicherheitsgerichteten Komponenten in einem definierten Maß, Toleranz genannt, tolerieren kann, ohne die von ihm gesteuerte Applikation in einen sicheren Zustand zu versetzen, • dass die Größe der Toleranz als Toleranzzeit, während der Störungen nicht berücksichtigt werden, oder als Toleranzzahl, die die Länge und Häufigkeit der tolerierten Störungen und die Länge der ungestörten Phasen berücksichtigt, festgelegt wird, • dass es aber die von ihm gesteuerte Applikation in einen sicheren Zustand versetzt, sobald die Toleranz überschritten wird, ohne dass ein weiteres gültiges Telegramm erkannt wurde, • dass die Toleranz für alle Komponenten gleich oder unterschiedlich festgelegt werden kann, • dass das Ausmaß der Störungen für jede Komponente abhängig oder unabhängig von den anderen überprüft wird, • dass der Master im Falle von Störungen, die vom System toleriert werden, die betroffenen Slaves nicht aus der Liste der aktivierten Slaves (LAS) streicht, • dass Watchdogs in den Systemkomponenten so gesteuert werden können, dass sie während der Toleranzzeit nicht ansprechen, • dass die Toleranz und die Funktion der Watchdogs für die Systemkomponenten entweder fest vorgegeben oder durch Parametrierung eingestellt werden und bei sicherheitsgerichteten Komponenten in diesen sicher abgelegt werden.Procedure for a fault-tolerant "Safety-at-Work" system designed as a special version of the standardized "Safety at Work" system, consisting of the components master, normal and safety-related AS-Interface slaves including safety-related acuators and a safety monitor whose communication between the safety-related components is protected by code sequences in accordance with the AS-Interface standard and to put the application controlled by it in a stable, safe state when certain signals occur or in the event of an error, characterized in that • the system disrupted and failing telegrams of the safety-related Can tolerate components to a defined extent, called tolerance, without putting the application controlled by it into a safe state, • that the size of the tolerance is not taken into account as the tolerance time during the faults, or as a tolerance number that determines the length and the like nd frequency of the tolerated disturbances and the length of the undisturbed phases are taken into account, • that it puts the application controlled by it into a safe state as soon as the tolerance is exceeded without another valid telegram being recognized, • that the tolerance it can be determined the same or different for all components, • that the extent of the disturbances is checked for each component depending on or independently of the others, • that the master does not delete the affected slaves from the list of activated slaves (LAS) in the event of faults that are tolerated by the system, • that watchdogs in the system components can be controlled in such a way that they do not respond during the tolerance time, • that the tolerance and the function of the watchdogs for the system components are either permanently specified or set by parameterization and, in the case of safety-related components, are safely stored in these. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass der Sicherheitsmonitor und die sicherheitsgerichteten Aktuatoren in diesem System eine oder mehrere Störung(en) in der Übermittlung der Codefolge jedes einzelnen Slaves dann tolerieren, wenn unmittelbar vor Beginn der Störung(en) die bei Eingängen acht und bei Ausgängen sieben Codes der Slave-typischen Codefolge nach dem Stand der Technik erkannt wurden und wenn vor Ablauf der Toleranzzeit TToleranz wieder mindestens ein gültiges Telegramm empfangen wird.Procedure according to Claim 1 characterized in that the safety monitor and the safety-related actuators in this system tolerate one or more fault (s) in the transmission of the code sequence of each individual slave if, immediately before the start of the fault (s), eight codes for inputs and seven for outputs Slave-typical code sequence according to the state of the art has been recognized and if at least one valid telegram is received again before the tolerance time T tolerance has expired. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass im Sicherheitsmonitor und in den sicherheitsgerichteten Aktuatoren ein Algorithmus realisiert wird, der Störungen durch fehlende oder ungültige Telegramme entsprechend der Länge dieser Störungen und entsprechend der Länge der dazwischen liegenden ungestörten Phasen so bewertet, dass kurze Störungen leichter toleriert werden als längere Störungen.Procedure according to Claim 1 characterized in that an algorithm is implemented in the safety monitor and in the safety-related actuators which evaluates faults caused by missing or invalid telegrams according to the length of these faults and the length of the undisturbed phases in between so that short faults are more easily tolerated than longer faults. Verfahren nach Anspruch 3 dadurch gekennzeichnet, dass eine direkte, vom Busnetz unabhängige Verbindung zwischen Master und Sicherheitsmonitor besteht und der Sicherheitsmonitor über diese Verbindung die Zahl der ungültigen Masteraufrufe im Netz kontrolliert, nicht erlaubte Codesprünge innerhalb der Codefolge identifiziert und in seinem Algorithmus berücksichtigt.Procedure according to Claim 3 characterized in that there is a direct connection between the master and the safety monitor that is independent of the bus network and the safety monitor controls the number of invalid master calls in the network via this connection, identifies illegal code jumps within the code sequence and takes them into account in its algorithm. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, • dass der Sicherheitsmonitor und die sicherheitsgerichteten Aktuatoren jeweils mit zwei parallel arbeitenden Einheiten redundant aufgebaut sind und • dass diese beiden Einheiten durch einen Taktgeber mit einem Takt, der vorzugsweise zwischen der Dauer eines einzelnen Telegrammes und der Dauer eines Zyklus liegt, so synchronisiert werden, dass während der Verarbeitung der Telegrammfolgen in den beiden redundanten Einheiten die Zuordnung von Takt und Telegramm gleich und eindeutig erhalten bleibt.Method according to one of the preceding claims, characterized in that • that the safety monitor and the safety-related actuators are each built redundantly with two units working in parallel and • that these two units are equipped with a clock with a clock that is preferably between the duration of a single telegram and the duration of a cycle, are synchronized in such a way that during the processing of the telegram sequences in the two redundant units, the assignment of clock and telegram is retained identically and clearly. Verfahren nach den Anspruch 5 dadurch gekennzeichnet, dass der Taktgeber im Empfänger von Sicherheitsmonitor und sicherheitsgerichteten Aktuatoren realisiert wird und die Taktimpulse gemeinsam mit den digital umgewandelten Telegrammen an die redundanten Einheiten weitergegeben werden.Procedure according to the Claim 5 characterized in that the clock generator is implemented in the receiver by the safety monitor and safety-related actuators and the clock pulses are passed on to the redundant units together with the digitally converted telegrams. Verfahren nach einem der vorgenannten Ansprüche dadurch gekennzeichnet, dass der Übergang vom Standard-Safey-at-Work zum störungstoleranten Safety-at-Work und jede Veränderung der Toleranz nur über eine bewusste Entscheidung bei der Konfigurierung der Applikation vorgenommen werden kann und dass Daten, die für die sicherheitsgerichte Funktion relevant sind, durch Sicherungsverfahren geschützt gespeichert werden.Method according to one of the preceding claims, characterized in that the transition from standard Safey-at-Work to fault-tolerant Safety-at-Work and any change in the tolerance can only be made via a conscious decision when configuring the application and that data that are relevant for the safety-related function, are stored in a protected manner using security procedures. Verfahren für ein „AS-lnterface“-System, bestehend aus Master und AS-Interface Slaves einschließlich Aktuatoren, mit erhöhter Toleranz, dadurch gekennzeichnet, • dass das System gestörte und ausfallende Telegramme der Komponenten in einem definierten Maß, Toleranz genannt, tolerieren kann. • dass die Größe der Toleranz als Toleranzzeit, während der Störungen nicht berücksichtigt werden, oder als Toleranzzahl, die die Länge und Häufigkeit der tolerierten Störungen und die Länge der ungestörten Phasen berücksichtigt, festgelegt wird, • dass die Toleranz für alle Komponenten gleich oder unterschiedlich festgelegt werden kann, • dass das Ausmaß der Störungen für jede Komponente abhängig oder unabhängig von den anderen überprüft wird, • dass der Master im Falle von Störungen, die vom System toleriert werden, die betroffenen Slaves nicht aus der Liste der aktivierten Slaves (LAS) streicht, • dass Watchdogs in den Systemkomponenten so gesteuert werden können, dass sie während der Toleranzzeit nicht ansprechen, • dass die Toleranz und die Funktion der Watchdogs für die Systemkomponenten entweder fest vorgegeben oder durch Parametrierung eingestellt werden.Process for an "AS-Interface" system, consisting of master and AS-Interface slaves including actuators, with increased tolerance, characterized in that • the system can tolerate disturbed and failing telegrams from the components to a defined extent, called tolerance. • that the size of the tolerance is specified as the tolerance time during which faults are not taken into account, or as a tolerance number that takes into account the length and frequency of the tolerated faults and the length of the undisturbed phases, • that the tolerance is determined to be the same or different for all components • that the extent of the malfunctions is checked for each component depending on or independently of the others, • that the master does not delete the affected slaves from the list of activated slaves (LAS) in the event of malfunctions that are tolerated by the system • that watchdogs in the system components can be controlled in such a way that they do not respond during the tolerance time, • that the tolerance and the function of the watchdogs for the system components are either permanently specified or set by parameterization.
DE102012001624.7A 2012-01-30 2012-01-30 Failure tolerant safety-at-work system Active DE102012001624B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102012001624.7A DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012001624.7A DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Publications (2)

Publication Number Publication Date
DE102012001624A1 DE102012001624A1 (en) 2013-08-01
DE102012001624B4 true DE102012001624B4 (en) 2021-02-11

Family

ID=48783472

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012001624.7A Active DE102012001624B4 (en) 2012-01-30 2012-01-30 Failure tolerant safety-at-work system

Country Status (1)

Country Link
DE (1) DE102012001624B4 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200091A1 (en) * 2002-01-03 2003-07-24 Schmersal K A Gmbh & Co Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address
US20090043939A1 (en) * 2007-08-09 2009-02-12 Bernd Fuessl Bus node
DE202008015021U1 (en) * 2008-11-12 2009-07-30 Bihl+Wiedemann Gmbh Programmable speed monitor for Safety at Work
DE102008057003A1 (en) * 2008-11-12 2010-05-20 Bihl+Wiedemann Gmbh Method for safe parameterization of actuator-sensor interface slaves, involves transferring entered parameter values of pattern from higher-level control unit to slave, where parameter values are stored at slave in safe manner
DE102011117896A1 (en) * 2011-11-04 2013-05-08 Euchner Gmbh + Co. Kg Safety slave for actuator-sensor-interface system, has safety monitor, which is coupled to data bus and monitors condition of slave, where safety sensor provides sensor signal in two channels

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200091A1 (en) * 2002-01-03 2003-07-24 Schmersal K A Gmbh & Co Actuator-sensor interface system for connection to a master control unit for controlling and monitoring a machine system, whereby each slave sensor has an actuator interface incorporating a memory with a security address
US20090043939A1 (en) * 2007-08-09 2009-02-12 Bernd Fuessl Bus node
DE202008015021U1 (en) * 2008-11-12 2009-07-30 Bihl+Wiedemann Gmbh Programmable speed monitor for Safety at Work
DE102008057003A1 (en) * 2008-11-12 2010-05-20 Bihl+Wiedemann Gmbh Method for safe parameterization of actuator-sensor interface slaves, involves transferring entered parameter values of pattern from higher-level control unit to slave, where parameter values are stored at slave in safe manner
DE102011117896A1 (en) * 2011-11-04 2013-05-08 Euchner Gmbh + Co. Kg Safety slave for actuator-sensor-interface system, has safety monitor, which is coupled to data bus and monitors condition of slave, where safety sensor provides sensor signal in two channels

Also Published As

Publication number Publication date
DE102012001624A1 (en) 2013-08-01

Similar Documents

Publication Publication Date Title
EP2657797B1 (en) Method for operating a redundant automation system
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
EP2857913B1 (en) Redundant automation system
EP3220561B1 (en) Device and method for controlling an automated system
EP2981868B1 (en) Control and data transmission system, process device and method for redundant process control with decentralized redundancy
EP1923759B1 (en) Secure data transfer method and system
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
EP0996060A2 (en) Single processor system
EP1051669B1 (en) Method and circuit configuration for monitoring machine parameters
DE19860358B4 (en) Method for error suppression in output units in control devices
EP2433184B1 (en) Control system for controlling a process
EP2418580B1 (en) Method for operating a network and network
DE102012001624B4 (en) Failure tolerant safety-at-work system
EP3470937A1 (en) Method and devices for monitoring the response time of a security function provided by a security system
DE102009033229B4 (en) Method for detecting double addressing in AS interface networks
DE102017123910A1 (en) Method and apparatus for monitoring the security integrity of a security function provided by a security system
EP1692578B1 (en) Peripheral unit for a redundant control system
EP2806316A1 (en) Method for operating an automation system
DE19844562B4 (en) Method for the safe monitoring of clock rates in a redundant system
WO2002075992A2 (en) System and method for introducing redundancy mechanisms into a communication system
EP3026514B1 (en) Automation system and method for external control of a self-testing algorithm in a decentralised safety device
EP2950176A1 (en) Method and automation component for generating an event message
EP2133764B1 (en) Error-proof automation system and method
EP1811347A1 (en) Switch device control using a retriggerable monoflop

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final