-
Die Erfindung betrifft einen zweikanaligen Sicherheitssensor gemäß dem Oberbegriff des Anspruchs 1.
-
Sensoren, auch Messumformer genannt, werden in der Automatisierungstechnik vielfach eingesetzt, um den Prozesswert (Messwert) einer Prozessvariablen in analoger Form als Stromsignal oder in digitaler Form von einer Messstelle an eine entfernt liegende übergeordnete Einheit, z. B. Steuerung oder Messwarte, zu übertragen.
-
Im Industriebereich wird der Messwert analog als 4-20 mA Stromsignal oder digital als Datentelegramme gemäß einem in der Automatisierungstechnik üblichen Kommunikationsstandard übertragen. Prozessvariable sind z. B. Druck, Temperatur, Durchfluss etc..
-
Um Messumformer in sicherheitskritischen Bereichen einsetzen zu können, müssen sie je nach Gefährdungsgrad der Anlage gewisse Sicherheitsanforderungsstufen, die in nationalen wie internationalen Normen (z. B. IEC 61508/IEC61511) festgelegt sind erfüllen. Die Anforderungsstufen werden auch nach SIL Sicherheitsintegritätslevel klassifiziert. In der Sicherheitstechnik werden häufig zweikanalige Sicherheitssensoren eingesetzt, dabei sind die Signalverarbeitung und die externe Kommunikationsschnittstelle für die Messwertausgabe redundant ausgeführt.
-
Ein zweikanaliger Sicherheitssensor mit zwei Schaltausgängen wird von der Anmelderin unter der Bezeichnung GG505S hergestellt und vertreiben.
-
Zweikanalige Sicherheitssensoren mit zwei digitalen externen Kommunikationsschnittstellen liefern jeweils zwei Datentelegramme an die Steuerung. Bei einwandfreier Funktion der Sensoreinheit, d. h. sowohl der Hardware- wie auch der Softwarekomponenten, stimmen die beiden Datentelegramme, wenn die Datenübertragung zwischen der Sensoreinheit und der Steuerung ordnungsgemäß funktioniert, überein
-
Die Datenübertragung an die Steuerung z. B. eine SPS erfolgt somit redundant.
-
Der Analyse insbesondere der Telegrammvergleich muss in der Steuerung erfolgen. Dabei ist eine aufwendige Programmierung der Steuerung notwendig. Dies ist anwenderseitig unerwünscht, da Steuerungen nur aufwendig umzuprogrammieren sind.
-
Einen weiteren Nachteil, den zweikanalige Sicherheitssensoren aufweisen, besteht darin, dass bei einem Fehler (Software/Hardware) in einem Kanal, der Fehler jeweils nur auf einem Weg an die Steuerung übertragen wird. Bei einem Fehler z.B. in der Signalverarbeitung von Kanal 1 wird dieser immer nur über das entsprechende Datentelegramm am Signalausgang 1 signalisiert. Fehler werden somit nicht redundant übertragen.
-
Bei digitalen externen Kommunikationsschnittstellen wird eine Fehlfunktion des Sicherheitssensors aufgrund der Zykluszeiten bei einer Master Slave Kommunikation, erst verzögert signalisiert. Je nach Zykluszeit kann dies eine erhebliche Verzögerung bedeuten, mit der die Steuerung auf die Fehlfunktion reagieren kann, um die Anlage in einen sicheren Zustand zu überführen.
-
Aufgabe der Erfindung ist es einen zweikanaligen Sicherheitssensor anzugeben, der einfach aufgebaut ist, der eine schnelle Reaktion auf eine Fehlfunktion erlaubt, ohne dass eine Umprogrammierung der Steuerung notwendig ist, außerdem soll eine Fehlfunktion der Sensoreinheit redundant über beide Kommunikationskanäle übertragen werden, weiterhin sollen alle Vergleiche zwischen den beiden Kanälen in der Sensoreinheit selbst erfolgen.
-
Gelöst wird diese Aufgabe durch einen Zweikanaligen Sicherheitssensor mit den Merkmalen des Anspruchs 1.
-
Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.
-
Die wesentliche Idee der Erfindung besteht darin, bei einem zweikanaligen Sicherheitssensor mit zwei Signalverarbeitungskanälen denen jeweils Signalausgänge zugeordnet sind, an einem ersten Signalausgang ein Datentelegramm und an einem zweiten Signalausgang ein Schaltsignal auszugeben, wobei die Informationen an beiden Signalausgängen über Kreuz zurückgelesen werden.
-
Damit steht in jedem Signalverarbeitungskanal die vom anderen Signalverarbeitungskanal generierte Ausgabeinformation zur Verfügung und kann mit der in diesem Signalverarbeitungskanal generierten Ausgabeinformation verglichen werden.
-
Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
-
Es zeigen:
-
1 schematische Darstellung eines zweikanaligen Sicherheitssensors, der eine Anlage/Prozess überwacht, die über einen Aktor von einer Steuerung gesteuert wird
-
2 Blockschaltbild eines zweikanaligen Sicherheitssensors
-
In 1 ist ein zweikanaliger Sicherheitssensor 7 der eine Anlage 8 bzw. einen Prozess überwacht, dargestellt. Die Anlage 8 bzw. der Prozess werden über einen Aktor 9 der von einer Steuerung 4 z. B. SPS gesteuert, geregelt. Der zweikanalige Sicherheitssensor 7 weist einen Messwerterfassungsblock 10 und einen sicheren Signalverarbeitungsblock 11 auf. Über eine Kommunikationsschnittstelle 14 ist der zweikanalige Sicherheitssensor 7 mit der Steuerung 4 verbunden. Der Informationsaustausch zwischen dem Sicherheitssensor 7 und der Steuerung 4 erfolgt über zwei getrennte Leitungen. Zum einen wird über eine Datenleitung 12 ein serielles Protokoll übertragen. Zum anderen wird über eine weitere Datenleitung 13 ein binäres Signal ausgegeben. Versorgt wird der Sicherheitssensor 7 über eine in der Steuerung 4 vorgesehene Spannungsversorgung 1.
-
Die Steuerung 4 weist einen digitalen Eingang 2 für das serielle Protokoll und einen Eingang 3 für das binäre Signal auf. Beide Eingänge sind mit einer Ablaufsteuerung 5 in der ein Ablaufprogramm abgearbeitet wird verbunden. Über einen Ausgang 6 steuert die Steuerung 4 einen Aktor 9 an, der die Anlage bzw. den Prozesses beeinflusst.
-
In 2 ist ein Blockschaltbild eines zweikanaligen Sicherheitssensors S dargestellt, der dem Block 7 aus 1 entspricht. Mit einem Sensorelement SE wird eine physikalische Größe z. B. Druck, Temperatur etc. als Messsignal erfasst. Das Messsignal wird in zwei Signalverarbeitungskanälen K1 und K2 weiterverarbeitet. Die Trennung der beiden Kanäle K1 und K2 ist gestrichelt dargestellt, sie erstreckt sich bis zum Steckeranschluss Pin 4 bzw. Pin 2. Ein weiterer Pin dient zur nicht näher dargestellten Versorgung des Sicherheitssensors S. Beide Kanäle weisen jeweils eine Sensorschaltung und einen Signalverarbeitungsblock 10, 9 auf. Der Signalverarbeitungsblock 10 ist über eine Leitung 3 bzw. 12 mit einem Microcontroller µC1 verbunden. Der Microcontroller weist einen AD-Wandler, einen Binärdecoder, einen Hardwarediagnoseblock, einen Eventbitblock, einen Checksummenblock und einen Prozesswert 1 Block auf. Über einen Protokollstack und eine Treiberschaltung wird das im Microcontroller µC1 generierte Datenprotokoll am Signalausgang S-OUT-1 ausgegeben. Der Signalverarbeitungskanal K2 weist ebenfalls einen Microcontroller µC2 mit einem AD-Wandler, Prozesswert 2-Block, Prozesswert 1 Block, Checksumme 1 Block, Checksumme 2 Block, Diagnose Hardware Block, Eventbitblockund und Protokolldecoderblock auf. Weiterhin weist der Microcontroller µC2 einen Vergleicherblock VE und eine Kombinationsblock KE auf. Über den Kombinationsblock und eine Treiberschaltung 11 wird ein binäres Signal (Schaltsignal) am Signalausgang S-OUT-2 ausgegeben. Die Signalausgänge S-OUT-1, S-OUT-2 sind erfindungsgemäß über Rückleseleitungen L6 bzw. L8 jeweils mit dem anderen Mikrokontroller µC2, µC1 verbunden sind, um die Ausgabeinformationen INFO1 bzw. INFO2, die an den beiden Ausgängen anliegen, über Kreuz zurückzulesen und zu verarbeiten.
-
Von der Treiberschaltung 11 führt eine gestrichelt dargestellte Verbindungsleitung zum Hardwarediagnose Block. Über diese Leitung kann ein Kurzschluss signalisiert werden.
-
Nachfolgend ist die Funktion der Erfindung näher erläutert. Im Folgenden wird zuerst die Messsignalverarbeitung im Signalverarbeitungskanal K1 beschrieben. In dem Signalverarbeitungsblock 10 wird das vom Sensorelement SE gelieferte Messsignal aufbereitet und über einen AD-Wandler digitalisiert. Im Block Prozesswert 1 wird der Prozesswert P1 generiert und an den Protokollstackblock übergeben. Der Protokollstackblock generiert das Datentelegramm das unter anderem den Prozesswert P1 umfasst. Im Block Checksumme 1 wird die Checksumme des Datentelegramms ermittelt und geprüft. Über die Leitung 3 wird dem Microcontroller µC1 ein Hardwarefehler der Signalverarbeitung 10 gemeldet. Das Schaltsignal SS, auf dessen Erzeugung später eingegangen wird, wird über eine Eingangsschaltung 8 in dem Binärdecoderblock dekodiert. Im Eventbitblock werden die Informationen die der Binärdecoder und die Diagnosehardwareblock liefert, verglichen und ein Eventbit E1 generiert, das ebenfalls an den Protokollstack übergeben wird. Liegt kein Hardwarediagnosefehler vor und ist das Diagnosebit am Schaltsignalausgang S-OUT-2 nicht gesetzt, so wird auch das Eventbit E1 nicht gesetzt.
-
Die Generierung des binären Signals (Schaltsignal) erfolgt folgendermaßen: Das von der Signalverarbeitung 2 generierte Messsignal wird in einem AD-Wandler gewandelt und zu einem Prozesswert P2 verarbeitet. Das Datentelegramm am Signalausgang S-OUT-1 wird über eine Verstärkerschaltung 6 zurückgelesen und im Protokolldecoderblock dekodiert. Der Protokolldecoderblock extrahiert aus dem Datentelegramm das Eventbit E1, den Prozesswert P1 und die Checksumme 1.
-
Weiterhin signalisiert die Signalverarbeitung 2 dem Microcontroller µC2 über die Leitung 7 einen Hardwarefehler im Signalverarbeitungsblock. In dem Vergleicherblock VE werden der Prozesswert P1 und der Prozesswert P2 sowie die Checksumme 1 und die Checksumme 2 jeweils in einem Vergleicher miteinander verglichen. Falls beide übereinstimmen wird jeweils eine 0 an die Kombinationseinheit KE übergeben. Im einem OR-Glied des Vergleicherblocks VE werden das Eventbit E1 und das Hardwarefehlerbit OR-verknüpft und an den Kombinationsblock KE weitergeleitet. Der Kombinationsblock KE erzeugt nur dann kein binäres Signal (Schaltsignal) wenn der Prozesswert P2 mit dem Prozesswert P1 und gleichzeitig die Checksumme 1 mit der Checksumme 2 übereinstimmen. Zusätzlich dürfen weder das Hardwarediagnosebit bzw. das Eventbit gesetzt sein. In jedem anderen Fall wird ein Schaltsignal SS am Signalausgang S-OUT-2 generiert.
-
Der Sicherheitssensor S hat für jeden Kanal einen separaten Ausgang S-OUT-1 und S- OUT-2. Am Ausgang S-OUT-1 wird ein Datentelegramm mit dem Prozesswert P1 und einem Eventbit E1 ausgegeben. Am Ausgang S-OUT-2 wird das Diagnosebit D2 als Schaltsignal ausgegeben.
-
Das Eventbit E2 bzw. das Diagnosebit D2 signalisieren der Steuerung 4 ob eine Fehlfunktion im Sicherheitssensor S vorliegt, wobei das nicht gesetzte zweite Diagnosebit D2 signalisiert, dass das Datentelegramm inhaltlich richtig ist und tatsächlich so am Ausgang S-OUT-1 ausgegeben wurde. In einem Fehlerfall (Hardware/Software) werden sowohl das Diagnosebit D1 wie auch das Eventbit E2 gesetzt.
-
Dadurch wird eine Fehlfunktion im Sicherheitssensor redundant zur Steuerung 4 übertragen.
-
Über den binären Ausgang S-OUT-2 wird somit die Richtigkeit des Prozesswertes P1 bestätigt. Man kann fast sagen, dass über den Ausgang S-OUT-2 der Prozesswert P1 quasi nochmals redundant ausgegeben wird.
-
Der erfindungsgemäße Sicherheitssensor kann über das binäre Ausgangssignal der Steuerung sehr schnell eine Fehlfunktion signalisieren. Dies ist bei zweitkritischen Anwendungen sehr wichtig.
-
Wenn das Diagnosebit D2 nicht gesetzt ist, wird der Steuerung 4 signalisiert, dass sowohl der Prozesswert P1 zuverlässig ist und dass auch die einwandfreie Funktion des Sicherheitssensors S garantiert ist. Über das Eventbit E1, das in diesem Fall nicht gesetzt sein kann, wird die einwandfreie Funktion des Sicherheitssensors S bestätigt.
-
Wenn das Diagnosebit D2 gesetzt ist, wird der Steuerung 4 signalisiert, dass entweder der Prozesswert im Datentelegramm unsicher ist oder eine Fehlfunktion im Sicherheitssensor S vorliegt. Da in beiden Fällen das Eventbit E1 gesetzt ist, wird das Schaltsignal am Ausgang S-OUT-2 durch das Eventbit bestätigt.
-
Die Signale an den beiden Ausgängen S-OUT-1, S-OUT-2 dienen zur gegenseitigen Bestätigung.
-
Der erfindungsgemäße Sicherheitssensor S entspricht damit den Sicherheitsanforderungen nach SIL-3. Aufwendige Umprogrammierung an der Steuerung sind nicht notwendig. Der Sicherheitssensor ist insbesondere für den Industriestandard IO-Link geeignet.
-
Nachfolgen sind verschieden Fehlerfälle im Einzelnen skizziert
- 1.1 Leitung Pin4 (serielles Protokoll) hat Kabelbruch oder Kurzschluss
--> Protokoll von µC1 kommt in der Steuerung nicht an --> Checksumme falsch --> Defekt wird erkannt
--> Das zurückgelesene Protokoll wird von µC2 als ungleich zu dem erwarteten Prozesswert aus Signalverarbeitung 9 erkannt --> Ausgabe Event-Bit führt zu high- Signal an Pin 2 hier sogar doppelte Fehlermeldung zur Steuerung
- 1.2 Leitung Pin 2 (binäres Signal, normally closed) hat Kabelbruch
--> Eingangsschaltung (8) kann nicht detektieren, da der ausgegebene Pegel zwar eingelesen wird, aber an der Steuerung nicht ankommt. Ist aber unrelevant, weil,
--> Pegel an der Steuerung geht von UB- auf floatend, also high --> Fehler wird erkannt, da UB- erwartet wird
- 1.3 Leitung Pin 2 (binäres Signal, normally closed) hat Kurzschluss gegen UB+
--> Eingangsschaltung (8) detektiert UB+ , da der Kurzschlusspegel eingelesen wird --> µC setzt das Event-Bit --> Über das serielle Protokoll wird der Steuerung ein Problem gemeldet.
--> zusätzlich geht an der Steuerung ohnehin der Pegel von UB- auf high --> Fehler wird erkannt, da UB- erwartet wird
hier sogar doppelte Absicherung bzw. immer noch die einfache Absicherung, sollte der Kurzschlusspegel nicht am Sensor ankommen, weil dort z.B: zusätzlich Kabelbruch herrscht.
- 1.4 Leitung Pin 2 (binäres Signal, normally closed) hat Kurzschluss gegen UB–
--> nicht relevant, solange das interne Diagnoseergebnis ohnehin OK ist, so dass UB- signalisiert werden würde.
--> Im Fehlerfalle Signalverarbeitung (10) signalisiert µC1 über das Event-Bit die serielle Schnittstelle --> Fehler wird durch Steuerung erkannt
--> Im Fehlerfalle Signalverarbeitung (9) würde µC2 den Ausgangspegel an Pin2 von UB- auf UB+ anheben wollen.
Endstufe (11) geht in Kurzschluss. µC1 detektiert den Kurzschluss über die Kurzschlussmeldung von der Endstufe (11) und meldet dies über das Event-Bit
Über das serielle Protokoll wird der Steuerung ein Problem gemeldet.
-
Die Ausführung kann mit den hinlänglich bekannten Methoden, wie z.B. die dargestellte 2-Kanaligkeit erfolgen. Durch die redundante Ausführung sind im fehlerfreien Zustand beide generierten Analogwerte (12, 13) gleich. Optional verfügen die Schaltungen (9, 10) über einen digitalen Diagnosepegel (3, 7), die den fehlerfreien Zustand der Schaltung selbst signalisiert.
- 2.1 Fehler in der Signalverarbeitung (10)
--> Ein Fehler in der Signalverarbeitung (10) äußert sich entweder
a) in der Zustandsänderung der Diagnoseleitung (3) oder
b) in einer Veränderung des richtigen Analogwertes (12)
--> a) µC 1 erkennt den Zustandswechsel des Signals (3) und überträgt dies seriell mit dem Event-Bit zur Steuerung
--> zusätzlich liest µC2 das Protokoll über (6) zurück, erkennt ein gesetztes Event- Bit und meldet den Diagnosefall zusätzlich über (11) an Pin 2.
--> b) der durch den µC1 übertragene Prozesswert wird durch den Eingangsverstärker (6) von µC2 zurückgelesen und mit dem Prozesswert, verursacht durch den Analogwert (13) verglichen.
--> µC2 erkennt die Veränderung und meldet über die Endstufe (11) ein Diagnosefall an die Steuerung
--> eine zusätzliche Übertragung entsteht durch das Rücklesen von Pin2 über Verstärker (8) in den µC1, der anhand dem Diagnosepegel an Pin2 das Event-Bit setzt.
somit wird der Fehler zusätzlich noch über das serielle Protokoll an Pin 4 übertragen.
- 2.2 Fehler in der Signalverarbeitung (9)
--> Ein Fehler in der Signalverarbeitung (9) äußert sich entweder
a) in der Zustandsänderung der Diagnoseleitung (7) oder
b) in einer Veränderung des richtigen Analogwertes (13)
--> a) µC 2 erkennt den Zustandswechsel des Signals (7) und überträgt dies über die Endstufe (11) an Pin2 zur Steuerung
--> zusätzlich liest µC1 das Signal an Pin2 über (8) zurück, setzt sein Event-Bit und überträgt den Diagnosefall seriell zur Steuerung zusätzlich.
--> b) der durch den µC1 richtig übertragene Prozesswert wird durch den Eingangsverstärker (6) von µC2 zurückgelesen und mit Prozesswert, verursacht durch den falschen Analogwert (13) verglichen.
--> µC2 erkennt die Veränderung und meldet über die Endstufe (11) ein Diagnosefall an die Steuerung
--> eine zusätzliche Übertragung entsteht durch das Rücklesen von Pin2 über Verstärker (8) in den µC1, der anhand dem Diagnosepegel an Pin2 das Event-Bit setzt.
somit wird der Fehler zusätzlich noch über das serielle Protokoll an Pin 4 übertragen.
- 3.1 Ein Fehler in µC1, welcher Art auch immer erzeugt
a) entweder ein fehlerhaftes Protokoll mit Checksummenfehler
--> der Checksummenfehler wird durch die serielle Schnittstelle an die Steuerung übertragen und wird dort als Fehler erkannt.
--> zusätzlich liest der Protokolldekoder (5) von µC2 über Eingangsverstärker (6) das gesendete Protokoll von µC1 zurück und vergleicht dies mit der eigen berechneten Checksumme.
µC 2 erkennt also den Unterschied und signalisiert zusätzlich den diagnostizierten Fehler über Endstufe (11) an Pin2.
b) oder ein richtiges Protokoll, mit richtig berechneter Checksumme, aber mit fehlerhaften Inhalten.
--> µC2 liest durch den Protokolldekoder (5) über Eingangsverstärker (6) das gesendete Protokoll von µC1 zurück und vergleicht dies mit den eigenen Inhalten
µC2 erkennt den Unterschied und signalisiert den diagnostizierten Fehler über Endstufe (11) an Pin2.
- 3.2. Fall --> Fehler in der Software / Stack / Hardware von µC2
Ein Fehler in µC2, welcher Art auch immer erzeugt eine Veränderung der log. UND- Verknüpfung (4), wie z.B
a) Protokolldekoder uC ist fehlerhaft
--> Vergleich mit dem AD-gewandelten Analogwert (13) der Signalverarbeitung (9) erzeugt eine Fehlermeldung über (4).
--> Berechnete Checksummer passt nicht zu der durch Protokolldekoder (5) eingelesenen
b) Prozesswertberechnung ist fehlerhaft
--> Berechnete Checksummer passt nicht zu der durch Protokolldekoder (5) eingelesenen
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- IEC 61508/IEC61511 [0004]