DE102013200330A1 - Zweikanaliger Sicherheitssensor - Google Patents

Zweikanaliger Sicherheitssensor Download PDF

Info

Publication number
DE102013200330A1
DE102013200330A1 DE201310200330 DE102013200330A DE102013200330A1 DE 102013200330 A1 DE102013200330 A1 DE 102013200330A1 DE 201310200330 DE201310200330 DE 201310200330 DE 102013200330 A DE102013200330 A DE 102013200330A DE 102013200330 A1 DE102013200330 A1 DE 102013200330A1
Authority
DE
Germany
Prior art keywords
signal
signal processing
microcontroller
output information
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201310200330
Other languages
English (en)
Inventor
Alfred Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IFM Electronic GmbH
Original Assignee
IFM Electronic GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IFM Electronic GmbH filed Critical IFM Electronic GmbH
Priority to DE201310200330 priority Critical patent/DE102013200330A1/de
Publication of DE102013200330A1 publication Critical patent/DE102013200330A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24195Compare data in channels at timed intervals, for equality

Abstract

Bei einem zweikanaligen Sicherheitssensor werden für jeden Signalverarbeitungskanal K1, K2 mit entsprechenden Signalausgängen S-OUT-1 und S-OUT-2 ein Datentelegramm bzw. ein binäres Signal ausgegeben. Durch über Kreuz zurücklesen dieser beiden Ausgabeinformationen INFO1 und INFO2 steht jedem Signalverarbeitungskanal K1 bzw. K2 die Ausgabeinformation des anderen Kanals zur Verfügung. Damit entspricht der Sicherheitssensor erhöhten Sicherheitsanforderungen.

Description

  • Die Erfindung betrifft einen zweikanaligen Sicherheitssensor gemäß dem Oberbegriff des Anspruchs 1.
  • Sensoren, auch Messumformer genannt, werden in der Automatisierungstechnik vielfach eingesetzt, um den Prozesswert (Messwert) einer Prozessvariablen in analoger Form als Stromsignal oder in digitaler Form von einer Messstelle an eine entfernt liegende übergeordnete Einheit, z. B. Steuerung oder Messwarte, zu übertragen.
  • Im Industriebereich wird der Messwert analog als 4-20 mA Stromsignal oder digital als Datentelegramme gemäß einem in der Automatisierungstechnik üblichen Kommunikationsstandard übertragen. Prozessvariable sind z. B. Druck, Temperatur, Durchfluss etc..
  • Um Messumformer in sicherheitskritischen Bereichen einsetzen zu können, müssen sie je nach Gefährdungsgrad der Anlage gewisse Sicherheitsanforderungsstufen, die in nationalen wie internationalen Normen (z. B. IEC 61508/IEC61511) festgelegt sind erfüllen. Die Anforderungsstufen werden auch nach SIL Sicherheitsintegritätslevel klassifiziert. In der Sicherheitstechnik werden häufig zweikanalige Sicherheitssensoren eingesetzt, dabei sind die Signalverarbeitung und die externe Kommunikationsschnittstelle für die Messwertausgabe redundant ausgeführt.
  • Ein zweikanaliger Sicherheitssensor mit zwei Schaltausgängen wird von der Anmelderin unter der Bezeichnung GG505S hergestellt und vertreiben.
  • Zweikanalige Sicherheitssensoren mit zwei digitalen externen Kommunikationsschnittstellen liefern jeweils zwei Datentelegramme an die Steuerung. Bei einwandfreier Funktion der Sensoreinheit, d. h. sowohl der Hardware- wie auch der Softwarekomponenten, stimmen die beiden Datentelegramme, wenn die Datenübertragung zwischen der Sensoreinheit und der Steuerung ordnungsgemäß funktioniert, überein
  • Die Datenübertragung an die Steuerung z. B. eine SPS erfolgt somit redundant.
  • Der Analyse insbesondere der Telegrammvergleich muss in der Steuerung erfolgen. Dabei ist eine aufwendige Programmierung der Steuerung notwendig. Dies ist anwenderseitig unerwünscht, da Steuerungen nur aufwendig umzuprogrammieren sind.
  • Einen weiteren Nachteil, den zweikanalige Sicherheitssensoren aufweisen, besteht darin, dass bei einem Fehler (Software/Hardware) in einem Kanal, der Fehler jeweils nur auf einem Weg an die Steuerung übertragen wird. Bei einem Fehler z.B. in der Signalverarbeitung von Kanal 1 wird dieser immer nur über das entsprechende Datentelegramm am Signalausgang 1 signalisiert. Fehler werden somit nicht redundant übertragen.
  • Bei digitalen externen Kommunikationsschnittstellen wird eine Fehlfunktion des Sicherheitssensors aufgrund der Zykluszeiten bei einer Master Slave Kommunikation, erst verzögert signalisiert. Je nach Zykluszeit kann dies eine erhebliche Verzögerung bedeuten, mit der die Steuerung auf die Fehlfunktion reagieren kann, um die Anlage in einen sicheren Zustand zu überführen.
  • Aufgabe der Erfindung ist es einen zweikanaligen Sicherheitssensor anzugeben, der einfach aufgebaut ist, der eine schnelle Reaktion auf eine Fehlfunktion erlaubt, ohne dass eine Umprogrammierung der Steuerung notwendig ist, außerdem soll eine Fehlfunktion der Sensoreinheit redundant über beide Kommunikationskanäle übertragen werden, weiterhin sollen alle Vergleiche zwischen den beiden Kanälen in der Sensoreinheit selbst erfolgen.
  • Gelöst wird diese Aufgabe durch einen Zweikanaligen Sicherheitssensor mit den Merkmalen des Anspruchs 1.
  • Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.
  • Die wesentliche Idee der Erfindung besteht darin, bei einem zweikanaligen Sicherheitssensor mit zwei Signalverarbeitungskanälen denen jeweils Signalausgänge zugeordnet sind, an einem ersten Signalausgang ein Datentelegramm und an einem zweiten Signalausgang ein Schaltsignal auszugeben, wobei die Informationen an beiden Signalausgängen über Kreuz zurückgelesen werden.
  • Damit steht in jedem Signalverarbeitungskanal die vom anderen Signalverarbeitungskanal generierte Ausgabeinformation zur Verfügung und kann mit der in diesem Signalverarbeitungskanal generierten Ausgabeinformation verglichen werden.
  • Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
  • Es zeigen:
  • 1 schematische Darstellung eines zweikanaligen Sicherheitssensors, der eine Anlage/Prozess überwacht, die über einen Aktor von einer Steuerung gesteuert wird
  • 2 Blockschaltbild eines zweikanaligen Sicherheitssensors
  • In 1 ist ein zweikanaliger Sicherheitssensor 7 der eine Anlage 8 bzw. einen Prozess überwacht, dargestellt. Die Anlage 8 bzw. der Prozess werden über einen Aktor 9 der von einer Steuerung 4 z. B. SPS gesteuert, geregelt. Der zweikanalige Sicherheitssensor 7 weist einen Messwerterfassungsblock 10 und einen sicheren Signalverarbeitungsblock 11 auf. Über eine Kommunikationsschnittstelle 14 ist der zweikanalige Sicherheitssensor 7 mit der Steuerung 4 verbunden. Der Informationsaustausch zwischen dem Sicherheitssensor 7 und der Steuerung 4 erfolgt über zwei getrennte Leitungen. Zum einen wird über eine Datenleitung 12 ein serielles Protokoll übertragen. Zum anderen wird über eine weitere Datenleitung 13 ein binäres Signal ausgegeben. Versorgt wird der Sicherheitssensor 7 über eine in der Steuerung 4 vorgesehene Spannungsversorgung 1.
  • Die Steuerung 4 weist einen digitalen Eingang 2 für das serielle Protokoll und einen Eingang 3 für das binäre Signal auf. Beide Eingänge sind mit einer Ablaufsteuerung 5 in der ein Ablaufprogramm abgearbeitet wird verbunden. Über einen Ausgang 6 steuert die Steuerung 4 einen Aktor 9 an, der die Anlage bzw. den Prozesses beeinflusst.
  • In 2 ist ein Blockschaltbild eines zweikanaligen Sicherheitssensors S dargestellt, der dem Block 7 aus 1 entspricht. Mit einem Sensorelement SE wird eine physikalische Größe z. B. Druck, Temperatur etc. als Messsignal erfasst. Das Messsignal wird in zwei Signalverarbeitungskanälen K1 und K2 weiterverarbeitet. Die Trennung der beiden Kanäle K1 und K2 ist gestrichelt dargestellt, sie erstreckt sich bis zum Steckeranschluss Pin 4 bzw. Pin 2. Ein weiterer Pin dient zur nicht näher dargestellten Versorgung des Sicherheitssensors S. Beide Kanäle weisen jeweils eine Sensorschaltung und einen Signalverarbeitungsblock 10, 9 auf. Der Signalverarbeitungsblock 10 ist über eine Leitung 3 bzw. 12 mit einem Microcontroller µC1 verbunden. Der Microcontroller weist einen AD-Wandler, einen Binärdecoder, einen Hardwarediagnoseblock, einen Eventbitblock, einen Checksummenblock und einen Prozesswert 1 Block auf. Über einen Protokollstack und eine Treiberschaltung wird das im Microcontroller µC1 generierte Datenprotokoll am Signalausgang S-OUT-1 ausgegeben. Der Signalverarbeitungskanal K2 weist ebenfalls einen Microcontroller µC2 mit einem AD-Wandler, Prozesswert 2-Block, Prozesswert 1 Block, Checksumme 1 Block, Checksumme 2 Block, Diagnose Hardware Block, Eventbitblockund und Protokolldecoderblock auf. Weiterhin weist der Microcontroller µC2 einen Vergleicherblock VE und eine Kombinationsblock KE auf. Über den Kombinationsblock und eine Treiberschaltung 11 wird ein binäres Signal (Schaltsignal) am Signalausgang S-OUT-2 ausgegeben. Die Signalausgänge S-OUT-1, S-OUT-2 sind erfindungsgemäß über Rückleseleitungen L6 bzw. L8 jeweils mit dem anderen Mikrokontroller µC2, µC1 verbunden sind, um die Ausgabeinformationen INFO1 bzw. INFO2, die an den beiden Ausgängen anliegen, über Kreuz zurückzulesen und zu verarbeiten.
  • Von der Treiberschaltung 11 führt eine gestrichelt dargestellte Verbindungsleitung zum Hardwarediagnose Block. Über diese Leitung kann ein Kurzschluss signalisiert werden.
  • Nachfolgend ist die Funktion der Erfindung näher erläutert. Im Folgenden wird zuerst die Messsignalverarbeitung im Signalverarbeitungskanal K1 beschrieben. In dem Signalverarbeitungsblock 10 wird das vom Sensorelement SE gelieferte Messsignal aufbereitet und über einen AD-Wandler digitalisiert. Im Block Prozesswert 1 wird der Prozesswert P1 generiert und an den Protokollstackblock übergeben. Der Protokollstackblock generiert das Datentelegramm das unter anderem den Prozesswert P1 umfasst. Im Block Checksumme 1 wird die Checksumme des Datentelegramms ermittelt und geprüft. Über die Leitung 3 wird dem Microcontroller µC1 ein Hardwarefehler der Signalverarbeitung 10 gemeldet. Das Schaltsignal SS, auf dessen Erzeugung später eingegangen wird, wird über eine Eingangsschaltung 8 in dem Binärdecoderblock dekodiert. Im Eventbitblock werden die Informationen die der Binärdecoder und die Diagnosehardwareblock liefert, verglichen und ein Eventbit E1 generiert, das ebenfalls an den Protokollstack übergeben wird. Liegt kein Hardwarediagnosefehler vor und ist das Diagnosebit am Schaltsignalausgang S-OUT-2 nicht gesetzt, so wird auch das Eventbit E1 nicht gesetzt.
  • Die Generierung des binären Signals (Schaltsignal) erfolgt folgendermaßen: Das von der Signalverarbeitung 2 generierte Messsignal wird in einem AD-Wandler gewandelt und zu einem Prozesswert P2 verarbeitet. Das Datentelegramm am Signalausgang S-OUT-1 wird über eine Verstärkerschaltung 6 zurückgelesen und im Protokolldecoderblock dekodiert. Der Protokolldecoderblock extrahiert aus dem Datentelegramm das Eventbit E1, den Prozesswert P1 und die Checksumme 1.
  • Weiterhin signalisiert die Signalverarbeitung 2 dem Microcontroller µC2 über die Leitung 7 einen Hardwarefehler im Signalverarbeitungsblock. In dem Vergleicherblock VE werden der Prozesswert P1 und der Prozesswert P2 sowie die Checksumme 1 und die Checksumme 2 jeweils in einem Vergleicher miteinander verglichen. Falls beide übereinstimmen wird jeweils eine 0 an die Kombinationseinheit KE übergeben. Im einem OR-Glied des Vergleicherblocks VE werden das Eventbit E1 und das Hardwarefehlerbit OR-verknüpft und an den Kombinationsblock KE weitergeleitet. Der Kombinationsblock KE erzeugt nur dann kein binäres Signal (Schaltsignal) wenn der Prozesswert P2 mit dem Prozesswert P1 und gleichzeitig die Checksumme 1 mit der Checksumme 2 übereinstimmen. Zusätzlich dürfen weder das Hardwarediagnosebit bzw. das Eventbit gesetzt sein. In jedem anderen Fall wird ein Schaltsignal SS am Signalausgang S-OUT-2 generiert.
  • Der Sicherheitssensor S hat für jeden Kanal einen separaten Ausgang S-OUT-1 und S- OUT-2. Am Ausgang S-OUT-1 wird ein Datentelegramm mit dem Prozesswert P1 und einem Eventbit E1 ausgegeben. Am Ausgang S-OUT-2 wird das Diagnosebit D2 als Schaltsignal ausgegeben.
  • Das Eventbit E2 bzw. das Diagnosebit D2 signalisieren der Steuerung 4 ob eine Fehlfunktion im Sicherheitssensor S vorliegt, wobei das nicht gesetzte zweite Diagnosebit D2 signalisiert, dass das Datentelegramm inhaltlich richtig ist und tatsächlich so am Ausgang S-OUT-1 ausgegeben wurde. In einem Fehlerfall (Hardware/Software) werden sowohl das Diagnosebit D1 wie auch das Eventbit E2 gesetzt.
  • Dadurch wird eine Fehlfunktion im Sicherheitssensor redundant zur Steuerung 4 übertragen.
  • Über den binären Ausgang S-OUT-2 wird somit die Richtigkeit des Prozesswertes P1 bestätigt. Man kann fast sagen, dass über den Ausgang S-OUT-2 der Prozesswert P1 quasi nochmals redundant ausgegeben wird.
  • Der erfindungsgemäße Sicherheitssensor kann über das binäre Ausgangssignal der Steuerung sehr schnell eine Fehlfunktion signalisieren. Dies ist bei zweitkritischen Anwendungen sehr wichtig.
  • Wenn das Diagnosebit D2 nicht gesetzt ist, wird der Steuerung 4 signalisiert, dass sowohl der Prozesswert P1 zuverlässig ist und dass auch die einwandfreie Funktion des Sicherheitssensors S garantiert ist. Über das Eventbit E1, das in diesem Fall nicht gesetzt sein kann, wird die einwandfreie Funktion des Sicherheitssensors S bestätigt.
  • Wenn das Diagnosebit D2 gesetzt ist, wird der Steuerung 4 signalisiert, dass entweder der Prozesswert im Datentelegramm unsicher ist oder eine Fehlfunktion im Sicherheitssensor S vorliegt. Da in beiden Fällen das Eventbit E1 gesetzt ist, wird das Schaltsignal am Ausgang S-OUT-2 durch das Eventbit bestätigt.
  • Die Signale an den beiden Ausgängen S-OUT-1, S-OUT-2 dienen zur gegenseitigen Bestätigung.
  • Der erfindungsgemäße Sicherheitssensor S entspricht damit den Sicherheitsanforderungen nach SIL-3. Aufwendige Umprogrammierung an der Steuerung sind nicht notwendig. Der Sicherheitssensor ist insbesondere für den Industriestandard IO-Link geeignet.
  • Nachfolgen sind verschieden Fehlerfälle im Einzelnen skizziert
    • 1.1 Leitung Pin4 (serielles Protokoll) hat Kabelbruch oder Kurzschluss --> Protokoll von µC1 kommt in der Steuerung nicht an --> Checksumme falsch --> Defekt wird erkannt --> Das zurückgelesene Protokoll wird von µC2 als ungleich zu dem erwarteten Prozesswert aus Signalverarbeitung 9 erkannt --> Ausgabe Event-Bit führt zu high- Signal an Pin 2 hier sogar doppelte Fehlermeldung zur Steuerung
    • 1.2 Leitung Pin 2 (binäres Signal, normally closed) hat Kabelbruch --> Eingangsschaltung (8) kann nicht detektieren, da der ausgegebene Pegel zwar eingelesen wird, aber an der Steuerung nicht ankommt. Ist aber unrelevant, weil, --> Pegel an der Steuerung geht von UB- auf floatend, also high --> Fehler wird erkannt, da UB- erwartet wird
    • 1.3 Leitung Pin 2 (binäres Signal, normally closed) hat Kurzschluss gegen UB+ --> Eingangsschaltung (8) detektiert UB+ , da der Kurzschlusspegel eingelesen wird --> µC setzt das Event-Bit --> Über das serielle Protokoll wird der Steuerung ein Problem gemeldet. --> zusätzlich geht an der Steuerung ohnehin der Pegel von UB- auf high --> Fehler wird erkannt, da UB- erwartet wird hier sogar doppelte Absicherung bzw. immer noch die einfache Absicherung, sollte der Kurzschlusspegel nicht am Sensor ankommen, weil dort z.B: zusätzlich Kabelbruch herrscht.
    • 1.4 Leitung Pin 2 (binäres Signal, normally closed) hat Kurzschluss gegen UB– --> nicht relevant, solange das interne Diagnoseergebnis ohnehin OK ist, so dass UB- signalisiert werden würde. --> Im Fehlerfalle Signalverarbeitung (10) signalisiert µC1 über das Event-Bit die serielle Schnittstelle --> Fehler wird durch Steuerung erkannt --> Im Fehlerfalle Signalverarbeitung (9) würde µC2 den Ausgangspegel an Pin2 von UB- auf UB+ anheben wollen. Endstufe (11) geht in Kurzschluss. µC1 detektiert den Kurzschluss über die Kurzschlussmeldung von der Endstufe (11) und meldet dies über das Event-Bit Über das serielle Protokoll wird der Steuerung ein Problem gemeldet.
  • Die Ausführung kann mit den hinlänglich bekannten Methoden, wie z.B. die dargestellte 2-Kanaligkeit erfolgen. Durch die redundante Ausführung sind im fehlerfreien Zustand beide generierten Analogwerte (12, 13) gleich. Optional verfügen die Schaltungen (9, 10) über einen digitalen Diagnosepegel (3, 7), die den fehlerfreien Zustand der Schaltung selbst signalisiert.
    • 2.1 Fehler in der Signalverarbeitung (10) --> Ein Fehler in der Signalverarbeitung (10) äußert sich entweder a) in der Zustandsänderung der Diagnoseleitung (3) oder b) in einer Veränderung des richtigen Analogwertes (12) --> a) µC 1 erkennt den Zustandswechsel des Signals (3) und überträgt dies seriell mit dem Event-Bit zur Steuerung --> zusätzlich liest µC2 das Protokoll über (6) zurück, erkennt ein gesetztes Event- Bit und meldet den Diagnosefall zusätzlich über (11) an Pin 2. --> b) der durch den µC1 übertragene Prozesswert wird durch den Eingangsverstärker (6) von µC2 zurückgelesen und mit dem Prozesswert, verursacht durch den Analogwert (13) verglichen. --> µC2 erkennt die Veränderung und meldet über die Endstufe (11) ein Diagnosefall an die Steuerung --> eine zusätzliche Übertragung entsteht durch das Rücklesen von Pin2 über Verstärker (8) in den µC1, der anhand dem Diagnosepegel an Pin2 das Event-Bit setzt. somit wird der Fehler zusätzlich noch über das serielle Protokoll an Pin 4 übertragen.
    • 2.2 Fehler in der Signalverarbeitung (9) --> Ein Fehler in der Signalverarbeitung (9) äußert sich entweder a) in der Zustandsänderung der Diagnoseleitung (7) oder b) in einer Veränderung des richtigen Analogwertes (13) --> a) µC 2 erkennt den Zustandswechsel des Signals (7) und überträgt dies über die Endstufe (11) an Pin2 zur Steuerung --> zusätzlich liest µC1 das Signal an Pin2 über (8) zurück, setzt sein Event-Bit und überträgt den Diagnosefall seriell zur Steuerung zusätzlich. --> b) der durch den µC1 richtig übertragene Prozesswert wird durch den Eingangsverstärker (6) von µC2 zurückgelesen und mit Prozesswert, verursacht durch den falschen Analogwert (13) verglichen. --> µC2 erkennt die Veränderung und meldet über die Endstufe (11) ein Diagnosefall an die Steuerung --> eine zusätzliche Übertragung entsteht durch das Rücklesen von Pin2 über Verstärker (8) in den µC1, der anhand dem Diagnosepegel an Pin2 das Event-Bit setzt. somit wird der Fehler zusätzlich noch über das serielle Protokoll an Pin 4 übertragen.
    • 3.1 Ein Fehler in µC1, welcher Art auch immer erzeugt a) entweder ein fehlerhaftes Protokoll mit Checksummenfehler --> der Checksummenfehler wird durch die serielle Schnittstelle an die Steuerung übertragen und wird dort als Fehler erkannt. --> zusätzlich liest der Protokolldekoder (5) von µC2 über Eingangsverstärker (6) das gesendete Protokoll von µC1 zurück und vergleicht dies mit der eigen berechneten Checksumme. µC 2 erkennt also den Unterschied und signalisiert zusätzlich den diagnostizierten Fehler über Endstufe (11) an Pin2. b) oder ein richtiges Protokoll, mit richtig berechneter Checksumme, aber mit fehlerhaften Inhalten. --> µC2 liest durch den Protokolldekoder (5) über Eingangsverstärker (6) das gesendete Protokoll von µC1 zurück und vergleicht dies mit den eigenen Inhalten µC2 erkennt den Unterschied und signalisiert den diagnostizierten Fehler über Endstufe (11) an Pin2.
    • 3.2. Fall --> Fehler in der Software / Stack / Hardware von µC2 Ein Fehler in µC2, welcher Art auch immer erzeugt eine Veränderung der log. UND- Verknüpfung (4), wie z.B a) Protokolldekoder uC ist fehlerhaft --> Vergleich mit dem AD-gewandelten Analogwert (13) der Signalverarbeitung (9) erzeugt eine Fehlermeldung über (4). --> Berechnete Checksummer passt nicht zu der durch Protokolldekoder (5) eingelesenen b) Prozesswertberechnung ist fehlerhaft --> Berechnete Checksummer passt nicht zu der durch Protokolldekoder (5) eingelesenen
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEC 61508/IEC61511 [0004]

Claims (3)

  1. Zweikanalige Sensoreinheit S für die Sicherheitstechnik mit einem Sensorelement SE zur Erfassung eines Messsignals (z. B. Druck Temperatur etc.), das in zwei getrennten Signalverarbeitungskanälen K1, K2 verarbeitet wird, wobei der Signalverarbeitungskanal K1 mit einem Mikrokontroller µC1 und der Signalverarbeitungskanal K2 mit einem Mikrokontroller µC2 verbunden ist und beide Mikrokontroller µC1, µC2 jeweils eine Ausgabeinformation INFO1, INFO2 für eine externe Steuerung, die über Signalausgänge S-OUT-1 bzw. S-OUT-2 ausgegeben werden, erzeugen, dadurch gekennzeichnet, dass die Ausgabeinformation INFO1 ein Datentelegramm DT, mit dem Prozesswert P1 der Messgröße und einem Eventbit E1 und die Ausgabeinformation INFO2 einem Diagnosebit D2 entspricht, das als Schaltsignal SS ausgegeben wird, und dass die Signalausgänge S-OUT-1, S-OUT-2 über Rückleseleitungen L6 bzw. L8 jeweils mit dem anderen Mikrokontroller µC2, µC1 verbunden sind, um die Ausgabeinformationen INFO1 bzw. INFO2 über Kreuz zurückzulesen und zu verarbeiten.
  2. Zweikanaligen Sensoreinheit gemäß Anspruch 1, dadurch gekennzeichnet, dass der Mikrokontroller µC2 eine Vergleichereinheit aufweist, in der über den Signalverarbeitungskanal K1 gewonnene Prozesswert P1 mit dem über den Signalverarbeitungspfad K2 gewonnene Prozesswert P2 verglichen wird und bei Abweichungen ein Fehler signalisiert wird, der sowohl im Datentelegramm DT wie auch über das Schaltsignal SS an die Steuerung übertragen wird.
  3. Verfahren zur Überwachung einer zweikanaligen Sensoreinheit gemäß Anspruch 1, gekennzeichnet durch folgende Verfahrensschritte: a. Bestimmung eines Prozesswertes P1 für den Signalverarbeitungskanal K1 b. Bestimmung eines Prozesswertes P2 für den Signalverarbeitungskanal K2 c. Generierung eines Datentelegramms DT gemäß einem Standard- Industriekommunikationsprotokoll (z. B. IO-Link) mit dem Prozesswert P1und einem ersten Eventbit E1 d. Senden des Datentelegramms DT an die Steuerung e. Rücklesen des Datentelegramms DT in den zweiten Mikrokontroller µC2 f. Erzeugung eines zweiten Diagnosebits D2 im Mikrokontroller µC2 durch Vergleich der im Mikrocontroller µC2 vorliegenden Informationen mit den im Datentelegramm DT enthaltenen Informationen g. Ausgabe des zweiten Diagnosebits D2 als binäres Signal (Schaltsignal) SS h. Rücklesen des zweiten Diagnosebits D2 im Mikrokontroller µC1
DE201310200330 2013-01-11 2013-01-11 Zweikanaliger Sicherheitssensor Pending DE102013200330A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201310200330 DE102013200330A1 (de) 2013-01-11 2013-01-11 Zweikanaliger Sicherheitssensor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201310200330 DE102013200330A1 (de) 2013-01-11 2013-01-11 Zweikanaliger Sicherheitssensor

Publications (1)

Publication Number Publication Date
DE102013200330A1 true DE102013200330A1 (de) 2014-07-17

Family

ID=51015022

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201310200330 Pending DE102013200330A1 (de) 2013-01-11 2013-01-11 Zweikanaliger Sicherheitssensor

Country Status (1)

Country Link
DE (1) DE102013200330A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10466722B2 (en) 2016-02-26 2019-11-05 Nel Hydrogen A/S Process and safety control systems for a hydrogen refueling station
US10539969B2 (en) 2016-02-26 2020-01-21 Nel Hydrogen A/S Communication system for a hydrogen refuelling system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4441070A1 (de) * 1994-11-18 1996-05-30 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE102008005837A1 (de) * 2008-01-24 2009-07-30 Sick Ag Sicherheitsgerät und System

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4441070A1 (de) * 1994-11-18 1996-05-30 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE102008005837A1 (de) * 2008-01-24 2009-07-30 Sick Ag Sicherheitsgerät und System

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEC 61508/IEC61511

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10466722B2 (en) 2016-02-26 2019-11-05 Nel Hydrogen A/S Process and safety control systems for a hydrogen refueling station
US10539969B2 (en) 2016-02-26 2020-01-21 Nel Hydrogen A/S Communication system for a hydrogen refuelling system

Similar Documents

Publication Publication Date Title
EP2210151B1 (de) FELDGERÄT FÜR DIE BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER PROZESSAUTOMATISIERUNG
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
DE102016110641B3 (de) Feldbusmodul und Verfahren zum Betreiben eines Feldbussystems
DE102009026785A1 (de) Feldgerät zur Bestimmung und/oder Überwachung einer physikalischen oder chemischen Prozessgröße
EP3607405B1 (de) Verfahren zum parametrieren eines feldgeräts sowie parametrierbares feldgerät
EP2021736B1 (de) Messumformer
DE102008057474B4 (de) Meßumformer
EP3745217B1 (de) Vorrichtung zum überwachen einer datenverarbeitung und - übertragung in einem sicherheitssystems
WO2014016074A1 (de) FELDGERÄT ZUR BESTIMMUNG ODER ÜBERWACHUNG EINER PROZESSGRÖßE IN DER AUTOMATISIERUNGSTECHNIK
DE102013200330A1 (de) Zweikanaliger Sicherheitssensor
EP2926203B1 (de) Feldgerät mit redundanter auslegung zur bestimmung oder überwachung einer prozessgrösse in der automatisierungstechnik
EP2701019B1 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
EP2080031A2 (de) Verfahren zum überwachen, ob die schaltschwelle eines schaltgebers innerhalb eines vorgegebenen toleranzbereichs liegt
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
EP3470939A1 (de) Verfahren und vorrichtungen zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
WO2014124792A1 (de) Feldgerät für eine sicherheitskritische anwendung mit redundanten messkanälen in einem fpga
EP2787407B1 (de) Verfahren für einen fehlersicheren Betrieb eines netzwerksfähigen Steuerungssystems
DE102016222938A1 (de) Sicherheitsmodul für ein Automatisierungssystem, Verfahren zum Betreiben eines Sicherheitsmoduls und einer Sicherheitskomponente in einem Automatisierungssystem sowie Automatisierungssystem
EP3588216A1 (de) Verfahren und system zum fehlersicheren bereitstellen eines analogen ausgabewertes
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen
DE102023121718A1 (de) Sichere digitale eingangsschaltung zur entkopplung von diagnoseausgängen
WO2016138956A1 (de) Fehlerrobuste steuerung für eine automatisierungsanlage
WO2022106326A1 (de) Verfahren und systeme zum validieren von industriellen maschinensystemen
DE102008064886B3 (de) Verfahren zur Parametrierung einer Automatisierungsvorrichtung
EP2463734A1 (de) Automatisierungsgerät und Verfahren zur Bewertung einer Diagnosemeldung aus einer Peripheriebaugruppe.

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed