DE102017010691A1 - Sichere Übertragung von Daten in einer Automatisierungsanlage - Google Patents

Sichere Übertragung von Daten in einer Automatisierungsanlage Download PDF

Info

Publication number
DE102017010691A1
DE102017010691A1 DE102017010691.6A DE102017010691A DE102017010691A1 DE 102017010691 A1 DE102017010691 A1 DE 102017010691A1 DE 102017010691 A DE102017010691 A DE 102017010691A DE 102017010691 A1 DE102017010691 A1 DE 102017010691A1
Authority
DE
Germany
Prior art keywords
data
microcontroller
data line
bus
transmission data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102017010691.6A
Other languages
English (en)
Other versions
DE102017010691B4 (de
Inventor
Christopher Wohlgemuth
Christian Voss
Andreas Patzelt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wago Verwaltungs GmbH
Original Assignee
Wago Verwaltungs GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wago Verwaltungs GmbH filed Critical Wago Verwaltungs GmbH
Priority to DE102017010691.6A priority Critical patent/DE102017010691B4/de
Publication of DE102017010691A1 publication Critical patent/DE102017010691A1/de
Application granted granted Critical
Publication of DE102017010691B4 publication Critical patent/DE102017010691B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

Gezeigt wird eine Vorrichtung mit einem Busumsetzer, eingerichtet zum Anschluss an einen Bus, einem ersten Mikrocontroller und einem zweiten Mikrocontroller, welche mittels einer Y-Datenleitung mit dem Busumsetzer verbunden sind, wobei die Y-Datenleitung eine erste Datenleitung vom Busumsetzer zum ersten Mikrocontroller und eine zweite Datenleitung vom Busumsetzer zum zweiten Mikrocontroller umfasst, und einer Selektionsschaltung, welche mit dem ersten Mikrocontroller mittels einer dritten Datenleitung, mit dem zweiten Mikrocontroller mittels einer vierten Datenleitung und mit dem Busumsetzer mittels einer fünften Datenleitung verbunden ist. Der erste Mikrocontroller ist eingerichtet, Empfangsdaten über die erste Datenleitung zu empfangen und erste Sendedaten über die dritte Datenleitung an die Selektionsschältung zu übertragen. Der zweite Mikrocontroller ist eingerichtet, die Empfangsdaten über die zweite Datenleitung zu empfangen und zweite Sendedaten über die vierte Datenleitung an die Selektionsschaltung zu übertragen. Die Selektionsschaltung ist eingerichtet, ein erstes Trigger-Signal von dem ersten Mikrocontroller zu empfangen und bei einem Ausbleiben des ersten Trigger-Signals eine Verbindung zwischen der dritten Datenleitung und der fünften Datenleitung zu unterbrechen und die zweiten Sendedaten über die fünfte Datenleitung an den Busumsetzer zu übertragen.

Description

  • GEBIET
  • Die vorliegende Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren, welche auf eine sichere Übertragung von Daten in einer Automatisierungsanlage gerichtet sind.
  • HINTERGRUND
  • Fehlersichere Eingabe/Ausgabe-Module (F-E/A-Module), die in die Kategorie 4 der DIN EN ISO 13849 fallen, weisen typischerweise redundante Übertragungskanäle auf. Daher sind die Ein- und Ausgänge sowie die Mikrocontroller in solchen F-E/A-Modulen oftmals doppelt ausgeführt, wobei fehlerhafte Daten modulseitig durch den Austausch von Informationen zwischen den Mikrocontrollern erkannt werden können.
  • Bearbeiten beide Mikrocontroller Eingangsdaten auf Basis des gleichen Protokoll-Stacks, kann bspw. bereits ein Abgleich der Eingangsdaten mittels Kreuzkommunikation zweckmäßig sein, da identische Eingangsdaten verarbeiten werden müssen, um identische Ausgangsdaten zu erzielen. Abweichende Ausgangsdaten können hingegen entweder durch das F-E/A-Modul selbst oder durch eine übergeordnete Steuerung aufgedeckt werden und führen in der Regel dazu, dass die Automatisierungsanlage in einen sicheren Zustand gebracht wird. In diesem Zustand kann die Automatisierungsanlage ihre eigentliche Aufgabe jedoch typischerweise nicht mehr erfüllen.
  • Die Daten, die auf Basis des Protokoll-Stacks verarbeitet werden, können sowohl von den Mikrocontrollern, als auch von der übergeordneten Steuerung verarbeitet bzw. generiert werden. Sendet die übergeordnete Steuerung Empfangsdaten an das F-E/A-Modul werden diese bspw. über einen Rückwandbus an einen Busumsetzer übertragen, der als Vermittler zwischen dem Rückwandbus und den Mikrocontrollern fungiert.
  • Da beide Mikrocontroller identische Daten benötigen, werden die Empfangsdaten typischerweise durch einen Mikrocontroller vom Busumsetzer empfangen, über eine Kreuzkommunikation an den zweiten Mikrocontroller weitergeleitet und erst dann in den Mikrocontrollern verarbeitet. Die Datenübertragung über die Kreuzkommunikation kostet dabei Prozessor- und Übertragungszeit und führt dadurch zu einer längeren Verarbeitungszeit.
  • Bei alternativen Lösungen, die zwei Übertragungskanäle am Busumsetzer vorsehen, um die Empfangsdaten gleichzeitig an beide Mikrocontroller zu senden, wird eine weitere Übertragungsschnittstelle am Busumsetzer benötigt. Zudem können Synchronisationsprobleme auftreten, wenn nicht sichergestellt ist, dass die Empfangsdaten über die beiden Übertragungskanäle gleichzeitig übertragen werden.
  • ZUSAMMENFASSUNG
  • Die Erfindung bereichert diesbezüglich den Stand der Technik, als die Mikrocontroller einer erfindungsgemäßen Vorrichtung bzw. in einem erfindungsgemäßen Verfahren die Empfangsdaten zeitgleich erhalten, obwohl nur eine einzelne Übertragungsschnittstelle am Busumsetzer vorgesehen ist bzw. nur ein einziger Übertragungskanal verwendet wird. Dadurch kann die Notwendigkeit eines Abgleichs der Empfangsdaten über die Kreuzkommunikation vermieden werden.
  • Eine erfindungsgemäße Vorrichtung umfasst dazu einen Busumsetzer, eingerichtet zum Anschluss an einen Bus, einen ersten Mikrocontroller und einen zweiten Mikrocontroller, welche mittels einer Y-Datenleitung mit dem Busumsetzer verbunden sind, wobei die Y-Datenleitung eine erste Datenleitung vom Busumsetzer zum ersten Mikrocontroller und eine zweite Datenleitung vom Busumsetzer zum zweiten Mikrocontroller umfasst, und eine Selektionsschaltung, welche mit dem ersten Mikrocontroller mittels einer dritten Datenleitung, mit dem zweiten Mikrocontroller mittels einer vierten Datenleitung und mit dem Busumsetzer mittels einer fünften Datenleitung verbunden ist.
  • Der erste Mikrocontroller ist eingerichtet, Empfangsdaten über die erste Datenleitung zu empfangen und erste Sendedaten über die dritte Datenleitung an die Selektionsschaltung zu übertragen. Der zweite Mikrocontroller ist eingerichtet, die Empfangsdaten über die zweite Datenleitung zu empfangen und zweite Sendedaten über die vierte Datenleitung an die Selektionsschaltung zu übertragen. Die Selektionsschaltung ist eingerichtet, ein erstes Trigger-Signal von dem ersten Mikrocontroller zu empfangen und bei einem Ausbleiben des ersten Trigger-Signals eine Verbindung zwischen der dritten Datenleitung und der fünften Datenleitung zu unterbrechen und die zweiten Sendedaten über die fünfte Datenleitung an den Busumsetzer zu übertragen.
  • Dabei ist unter dem Begriff „Mikrocontroller“, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere ein Halbleiterchip mit einem Prozessor und einem Speicher zu verstehen, welcher bspw. zur Steuerung einer Anlage bzw. zur Verwendung als Teil einer Anlagensteuerung ausgebildet ist. Ferner ist unter dem Begriff „Prozessor“, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine elektronische Schaltung zu verstehen, die eingerichtet ist, Daten auf Basis von in dem Speicher gespeicherten Anweisungen zu verarbeiten.
  • Des Weiteren sind unter dem Begriff „Daten“, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere aus elektrischen Signalen abgeleitete digitale Daten zu verstehen. Dabei sei angemerkt, dass die Begriffe „Empfangsdaten“ und „Sendedaten“ sich auf den jeweiligen Mikrocontroller beziehen und Empfangsdaten somit Daten sind, die von einem Mikrocontroller über den Busumsetzer empfangen werden und Sendedaten Daten sind, die von einem Mikrocontroller versendet werden.
  • Ferner ist unter dem Begriff „Datenleitung “, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine Ein- oder Zweidrahtleitung zu verstehen, die zur Übertragung elektrischer Signale eingerichtet ist. Zudem ist unter dem Begriff „Datenleitung “, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine Drahtleitung zu verstehen, die aus mehreren Teilsegmenten besteht, welche bspw. mittels Logik- und Treiberbausteinen verbunden sind.
  • Als Y-Datenleitung ist in diesem Zusammenhang eine Einrichtung zu verstehen, die über eine Datenleitung ankommende Signale (nahezu) simultan über zwei Datenleitungen ausgibt. Dabei kann die Signalverdopplung sowohl durch eine Y-Drahtleitung, als auch durch eine integrierte Schaltung, wie bspw. einen Logik- oder Treiberbaustein bewirkt werden.
  • Zudem ist unter dem Begriff „Selektionsschaltung“, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere ein Multiplexer zu verstehen. Zudem ist unter dem Begriff „Busumsetzer“, wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine Schnittstelle zu verstehen, die zum Anschluss einer Datenleitung und zum Einspeisen/Ausgeben von Daten von der Datenleitung in den Bus bzw. von dem Bus in die Datenleitung ausgebildet ist.
  • Vorzugsweise ist die Selektionsschaltung eingerichtet, ein zweites Trigger-Signal von dem zweiten Mikrocontroller zu empfangen und bei einem Ausbleiben des zweiten Trigger-Signals eine Verbindung zwischen der vierten Datenleitung und der fünften Datenleitung zu unterbrechen und die ersten Sendedaten über die fünfte Datenleitung an den Busumsetzer zu übertragen
  • Vorzugsweise sind die Mikrocontroller eingerichtet, die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen mittels einer Kreuzkommunikation auszutauschen.
  • Vorzugsweise sind der erste und zweite Mikrocontroller eingerichtet die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und in Abhängigkeit von einem Ergebnis des Vergleichs die ersten und/oder zweiten Sendedaten und/oder ein Fehlersignal an den Busumsetzer zu übertragen.
  • Vorzugsweise sind der erste und der zweite Mikrocontroller eingerichtet, die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und, wenn der Vergleich ergibt, dass die ersten und zweiten Sendedaten nicht übereinstimmen, ein durch den ersten und/oder zweiten Mikrocontroller gesteuertes Modul in einen sicheren Zustand zu versetzen.
  • Ist das Modul in einem sicheren Zustand, kann das Modul eine Fehlermeldung an die übergeordnete Steuerung übertragen.
  • Vorzugsweise umfasst der Busumsetzer genau einen Transceiver, an dem die Y-Datenleitung angeschlossen ist.
  • Vorzugsweise umfasst ein System die Vorrichtung und einen Feldbusumsetzer, eingerichtet zum Anschluss an den Bus, wobei der Feldbusumsetzer ferner eingerichtet ist, die ersten und/oder zweiten Sendedaten über den Bus zu empfangen und einen Anlagenteil oder eine Anlage auf Basis der empfangenen Sendedaten zu steuern und insbesondere empfangene erste und zweite Sendedaten oder aus den empfangenen ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und in Abhängigkeit von einem Ergebnis des Vergleichs den Anlagenteil bzw. die Anlage auf Basis der empfangenen Sendedaten zu steuern bzw. den Anlagenteil oder die Anlage in einen sicheren Zustand zu überführen.
  • Vorzugsweise umfasst ein System die Vorrichtung und eine Steuerung, eingerichtet zur Verbindung mit dem Bus über einen Feldbus, wobei die Steuerung ferner eingerichtet ist, die ersten und/oder zweiten Sendedaten über den Bus und den Feldbus zu empfangen und eine Anlage auf Basis der empfangenen Sendedaten zu steuern und insbesondere, empfangene erste und zweite Sendedaten oder aus den empfangenen ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und in Abhängigkeit von einem Ergebnis des Vergleichs die Anlage auf Basis der empfangenen Sendedaten zu steuern bzw. die Anlage in einen sicheren Zustand zu überführen.
  • Das erfindungsgemäße Verfahren umfasst ein gleichzeitiges Übertragen von Empfangsdaten von einem Busumsetzer über eine Y-Datenleitung an einen ersten Mikrocontroller und an einen zweiten Mikrocontroller, wobei die Y-Datenleitung eine erste Datenleitung zwischen dem Busumsetzer und dem ersten Mikrocontroller und eine zweite Datenleitung zwischen dem Busumsetzer und dem zweiten Mikrocontroller umfasst, ein Bestimmen, durch den ersten Mikrocontroller, von ersten Sendedaten und Übertragen der ersten Sendedaten über eine dritte Datenleitung an die Selektionsschaltung.
  • Das Verfahren umfasst ferner ein Bestimmen, durch den zweiten Mikrocontroller, von zweiten Sendedaten und Übertragen der zweiten Sendedaten über eine vierte Datenleitung an die Selektionsschaltung, und ein Ansteuern der Selektionsschaltung mittels eines von dem ersten Mikrocontroller erzeugten ersten Trigger-Signals, wobei bei einem Ausbleiben des ersten Trigger-Signals, eine Verbindung zwischen der dritten Datenleitung und der fünften Datenleitung unterbrochen und die zweiten Sendedaten über die fünfte Datenleitung an den Busumsetzer übertragen werden.
  • Vorzugsweise umfasst das Verfahren ferner ein Empfangen, durch die Selektionsschaltung, eines zweiten Trigger-Signals von dem zweiten Mikrocontroller und, bei einem Ausbleiben des zweiten Trigger-Signals, ein Unterbrechen einer Verbindung zwischen der vierten Datenleitung und der fünften Datenleitung und ein Übertragen der ersten Sendedaten über die fünfte Datenleitung an den Busumsetzer.
  • Vorzugsweise umfasst das Verfahren ein Vergleichen der ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen und in Abhängigkeit von einem Ergebnis des Vergleichs, Übertragen der ersten und/oder zweiten Sendedaten und/oder eines Fehlersignals an den Busumsetzer.
  • Vorzugsweise umfasst das Verfahren ein Übertragen der ersten und/oder zweiten Sendedaten über den Bus an die Steuerung und ein Steuern einer Anlage auf Basis der an die Steuerung übertragenen Sendedaten.
  • Vorzugsweise umfasst das Verfahren ein Vergleichen der an die Steuerung übertragenen ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen und, in Abhängigkeit von einem Ergebnis des Vergleichs, ein Steuern der Anlage auf Basis der übertragenen Sendedaten oder ein Überführen der Anlage in einen sicheren Zustand.
  • Figurenliste
  • Die Erfindung wird nachfolgend in der detaillierten Beschreibung anhand von Ausführungsbeispielen erläutert, wobei auf Zeichnungen Bezug genommen wird, in denen:
    • 1 ein Blockdiagramm einer beispielhaften Vorrichtung;
    • 2 ein Blockdiagramm eines beispielhaften Systems, welches die in 1 gezeigte beispielhafte Vorrichtung umfasst;
    • 3 ein Blockdiagramm des beispielhaften Systems der 2 mit zusätzlichen Elementen; und
    • 4 ein Ablaufdiagramm eines beispielhaften Prozesses zum Betrieb der beispielhaften Vorrichtung der 1 zeigt.
  • Dabei sind in den Zeichnungen gleiche Elemente durch gleiche Bezugszeichen gekennzeichnet.
  • DETAILLIERTE BESCHREIBUNG
  • 1 zeigt ein Blockdiagramm einer beispielhaften Vorrichtung 10. Die Vorrichtung 10 umfasst einen Busumsetzer 12, der an einem Rückwandbus 14 angeschlossen ist, sowie zwei Mikrocontroller 16a, 16b, die über eine Y-Datenleitung 18 am Busumsetzer 12 angeschlossen sind. Die durch Verwendung der Y-Datenleitung 18 erzielte Signalverdopplung ermöglicht es, mit einem einzelnen Transmitter/Transceiver 12a am Busumsetzer 12 Daten vom Rückwandbus 14 gleichzeitig (d. h. ohne wesentliche zeitliche Verzögerung bzw. annähernd simultan) an beide Mikrocontroller 16a, 16b zu übertragen.
  • Der Busumsetzer 12 und die Mikrocontroller 16a, 16b können, über eine gemeinsame Taktleitung verbunden bzw. an eine gemeinsame Taktleitung angeschlossen sein, die es ermöglicht, eine synchrone Übertragung der Empfangsdaten vom Busumsetzer 12 über eine erste Datenleitung 18a zum Mikrocontroller . „A16a und über eine zweite Datenleitung 18b zum Mikrocontroller „B16b zu gewährleisten. Die Datenleitungen können bspw. als Ein-, Zwei- oder Mehrdrahtleitungen ausgeführt sein und eine Taktleitung umfassen. Ferner kann der Busumsetzer 12 die Empfangsdaten asynchron an die Mikrocontroller 16a, 16b übertragen (bspw. über eine UART-Schnittstelle).
  • Die Mikrocontroller 16a, 16b sind dazu eingerichtet, die vom Busumsetzer 12 empfangenen Daten (Empfangsdaten) zu verarbeiten. Die Ergebnisse der Verarbeitung können mittels einer Kreuzkommunikation 20 zwischen den Mikrocontrollern 16a, 16b abgeglichen werden. Bspw. können die Ergebnisse, oder aus den Ergebnissen abgeleitete Prüfsummen, über Datenleitungen zwischen den Mikrocontrollern 16a, 16b ausgetauscht werden. Der Datenaustausch kann dabei, wie in 1 gezeigt, (gleichzeitig) über zwei getrennte Datenleitungen oder nacheinander über eine einzelne Datenleitung erfolgen.
  • Die abgeglichenen Ergebnisse der Verarbeitung können dann durch die Mikrocontroller 16a, 16b ausgegeben werden. Bspw. können die Ergebnisse der Verarbeitung Steuersignale betreffen, die über analoge oder digitale Ausgänge der Mikrocontroller 16a, 16b ausgegeben werden. Die Steuersignale können bspw. zur Ansteuerung von einem oder mehreren Schaltkreisen einer Automatisierungsanlage (bspw. Aktoren oder Meldern) vorgesehen sein.
  • Die Vorrichtung 10 umfasst ferner eine Selektionsschaltung 22. Die Selektionsschaltung 22 ist eingerichtet, Daten (Sendedaten) von den Mikrocontrollern 16a, 16b über die Datenleitungen 16c, 16d zu empfangen und über die Datenleitung 22a an den Busumsetzer 12 weiterzuleiten bzw. eine Weiterleitung redundanter oder fehlerbehafteter Daten an den Busumsetzer 12 zu unterbinden. Dazu empfängt die Selektionsschaltung 22 von Mikrocontroller „A16a ein Triggersignal (Trigger „A“), dessen Ausbleiben nahelegt, dass der Mikrocontroller „A16a fehlerhaft arbeitet bzw. keine (fehlerfreien) Daten ausgibt. Analog dazu kann auch der Mikrocontroller „B16b ein Triggersignal (Trigger „B“) erzeugen, wie in 1 durch den gestrichelten Pfeil angedeutet.
  • Wechselt bspw. Mikrocontroller „A16a aufgrund eines internen Speicherfehlers oder eines anderen Fehlers in eine Abschaltung/Endlosschleife, erstirbt das Triggersignal „A“. Das Ausbleiben des Triggersignals „A“ kann eine Zustandsänderung der Selektionsschaltung 22 auslösen, welche die Weiterleitung von Sendedaten des Mikrocontrollers „A16a unterbindet. Bspw. kann die Selektionsschaltung 22 bei Ausbleiben des Triggersignals „A“ auf die Weiterleitung der Sendedaten des Mikrocontrollers „B16b umschalten.
  • Ferner kann die Selektionsschaltung 22 bei Ausbleiben des Triggersignals „B“ die Weiterleitung der Sendedaten des Mikrocontrollers „B“ 16b unterbrechen und stattdessen ein Fehlersignal erzeugen/ausgeben bzw. über den Busumsetzer 12 an eine übergeordnete Steuerung 30 (in 2 und 3 gezeigt) übertragen. Ferner kann, wenn beide Triggersignale „A“ und „B“ verfügbar sind, das Ausbleiben eines der Triggersignale bewirken, dass die Selektionsschaltung 22 das Ausbleiben des Triggersignals bzw. den anzunehmenden Ausfall des entsprechenden Mikrocontrollers 16a, 16b über den Busumsetzer 12 an die übergeordnete Steuerung 30 meldet.
  • Die übergeordnete Steuerung 30 kann auf den (anzunehmenden) Ausfall eines der Mikrocontroller 16a, 16b mit dem Überführen der Anlage in einen sicheren Zustand, in dem keine Steuerung der Anlage über die Mikrocontroller 16a, 16b nötig ist, reagieren, um bei einem Ausfall des zweiten Mikrocontrollers 16a, 16b nicht die Steuerbarkeit der Anlage zu riskieren bzw.. die Kontrolle über die Anlage zu verlieren. Ferner kann ein wiedereinsetzender Empfang eines Triggersignals (Trigger „A“ oder Trigger „B“) als Indiz für die wiederhergestellte Verfügbarkeit eines Mikrocontroller 16a, 16b aufgefasst und die entsprechenden Sendedaten wieder über die Selektionsschaltung 22 an den Busumsetzer 12 übertragen werden. Bspw. kann durch das Ausbleiben eines Triggersignals (Trigger „A“ oder Trigger „B“) ein Neustart des entsprechenden Mikrocontrollers 16a, 16b getriggert werden, durch den ein Fehlerzustand des Mikrocontrollers 16a, 16b möglicherweise überwunden werden kann.
  • Alternativ kann ein wiedereinsetzender Empfang eines Triggersignals (Trigger „A“ oder Trigger „B“) als Indiz für eine möglicherweise beschädigte Triggerleitung aufgefasst werden und eine entsprechende Meldung über den Busumsetzer 12 an die übergeordnete Steuerung übertragen werden. Ferner kann die Selektionsschaltung 22 anstatt zweier getrennter Eingänge für zwei Triggerleitungen auch nur einen Eingang aufweisen, an dem ein Triggersignal empfangen wird, welches bspw. von den Triggersignalen (Trigger „A“ und Trigger „B“) beider Mikrocontroller 16a, 16b abgeleitet ist und signalisiert, wenn von einem der Mikrocontroller 16a, 16b kein Triggersignal (Trigger „A“ oder Trigger „B“) erzeugt wird.
  • 2 zeigt ein Blockdiagramm eines beispielhaften Systems zur Steuerung einer Anlage. Das System umfasst einen Feldbusknoten 24 mit einem Feldbusumsetzer 26 und einer Vielzahl von an den Feldbusumsetzer 26 angereihten Busklemmen 10a, wobei eine oder mehrere der Busklemmen 10a als F-E-/A-Module ausgebildet sein können. Die Busklemmen 10a sind über den Rückwandbus 14 (oftmals auch als Subbus bezeichnet) mit dem Feldbusumsetzer 26 verbunden, der seinerseits über einen Feldbus 28 mit einer übergeordneten Steuerung 30 verbunden ist. Dabei versteht es sich, dass, obwohl in 2 nur ein einzelner Feldbusknoten 24 gezeigt ist, mehrere Feldbusknoten 24 über den Feldbus 28 mit der übergeordneten Steuerung 30 verbunden sein können.
  • Die Busklemmen 10a, die, wenn sie als F-E-/A-Module ausgebildet sind, die in 1 gezeigten Elemente der Vorrichtung 10 und insbesondere die redundanten Mikrocontroller 16a, 16b aufweisen, sind eingerichtet, feldseitig Eingangssignale zu empfangen, zu verarbeiten und aus den Eingangssignalen abgeleitete Sendedaten über die Busumsetzer 12 und den Rückwandbus 14 des Feldbusknotens 24 an den Feldbusumsetzer 26 zu übertragen. Der Feldbusumsetzer 26 überträgt die Sendedaten über den Feldbus 28 an die übergeordnete Steuerung 30, die die Sendedaten verarbeitet, wobei das Verarbeiten auch ein Plausibilisieren und/oder Vergleichen von Sendedaten umfassen kann.
  • Die übergeordnete Steuerung 30 bestimmt auf Basis der Sendedaten Steuerbefehle, die über den Feldbus 28 an einen oder mehrere der Feldbusknoten 24 übertragen werden. Die von einem Feldbusumsetzer 26 empfangenen Daten (Empfangsdaten) werden über den Rückwandbus 14 an den oder die entsprechenden Busumsetzer 12 weitergeleitet, der/die die Empfangsdaten (ggf. über die Y-Datenleitungen 18) an den oder die Mikrocontroller 16a, 16b der jeweiligen Busklemme 10a überträgt/übertragen.
  • Jeder Mikrocontroller 16a, 16b verarbeitet die an ihn übertragenen Empfangsdaten und bestimmt auf Basis der Empfangsdaten Ausgangssignale, die feldseitig über Ausgänge der Busklemmen 10a ausgegeben werden. Die Ausgänge können dabei sowohl als digitale als auch als analoge Ausgänge ausgebildet sein. Ferner können an den Anschlüssen redundante Elemente angeschlossen sein, bspw. um einen Ausfall eines Übertragungskanals kompensieren zu können bzw. Auswirkungen eines Ausfalls eines Übertragungskanals auf die Steuerbarkeit der Anlage zu vermeiden.
  • Zudem kann der Feldbusumsetzer 26 als Feldbuscontroller (d. h. als Einheit, auf der ein Steuerprogramm laufen kann) ausgebildet sein, der anstatt (oder zusätzlich zu) der übergeordneten Steuerung 30 auf den (anzunehmenden) Ausfall eines der jeweiligen Mikrocontroller 16a, 16b eines F-E-/A-Moduls mit dem Überführen eines durch ein oder mehrere F-E-/A-Module gesteuerten Anlagenteils in einen sicheren Zustand reagiert, um bei einem Ausfall des verbleibenden Mikrocontrollers 16a, 16b nicht die Steuerbarkeit des Anlagenteils/der Anlage zu riskieren bzw. die Kontrolle über den Anlagenteil/die Anlage zu verlieren.
  • 3 zeigt Elemente, die an den Anschlüssen von als F-E-/A-Modulen ausgebildeten Busklemmen 10b angeschlossen sein können. Bspw. sind an der Busklemme „A10b, die als F-E-/A-Modul ausgebildet ist, zwei Sensoren 32 angeschlossen. Die Sensoren 32 können insbesondere zum Messen derselben Messgröße eingerichtet sein, wobei einer der Sensoren 32 an Mikrocontroller „A16a und der andere Sensor 32 an Mikrocontroller „B16b angeschlossen ist. Dabei versteht es sich, dass, obwohl in 3 nur ein einzelner Sensor 32 an jedem Mikrocontroller 16a, 16b angeschlossen ist, auch mehrere Sensoren 32 an den jeweiligen Mikrocontrollern 16a, 16b angeschlossen sein können.
  • Ferner sind an der Busklemme „B10b, die als F-E-/A-Modul ausgebildet ist, zwei Aktoren 34 angeschlossen. Die Aktoren 34 können bspw. zum Bewirken derselben Bewegung eingerichtet sein, wobei einer der Aktoren 34 an Mikrocontroller „A16a und der andere Aktor 34 an Mikrocontroller „B16b angeschlossen ist. Dabei versteht es sich, dass, obwohl in 3 nur ein einzelner Aktor 34 an jedem Mikrocontroller 16a, 16b angeschlossen ist, auch mehrere Aktoren 34 an den jeweiligen Mikrocontrollern 16a, 16b angeschlossen sein können. Zudem können die Sensoren 32 und Aktoren 34 auch an den gleichen Mikrocontrollern 16a, 16b angeschlossen sein.
  • Zudem ist an der Busklemme „C“ lob, die als F-E-/A-Modul ausgebildet ist, eine Logikschaltung 36 angeschlossen. Die Logikschaltung 36 kann bspw., wie in 3 gezeigt, eine logische „UND“-Operation implementieren, so dass bspw. ein an der Logikschaltung angeschlossener Aktor 34 nur angesteuert wird, wenn beide Mikrocontroller 16a, 16b identische digitale Ausgangssignale ausgeben. Dabei versteht es sich, dass, obwohl in 3 nur eine einzelne Logikschaltung 36 an den Mikrocontrollern 16a, 16b angeschlossen ist, auch mehrere Logikschaltungen 36 an den Mikrocontrollern 16a, 16b angeschlossen sein können.
  • 4 zeigt ein Ablaufdiagramm eines beispielhaften Prozesses zum Betrieb der Vorrichtung 10 der auch auf eine Busklemme 10a, 10b angewendet werden kann, die analog der Vorrichtung 10 als F-E-/A-Modul ausgebildet ist. Der Prozess beginnt in Schritt 38 mit dem Bestimmen, durch den Mikrocontroller „A16a, von ersten Sendedaten und dem Übertragen der ersten Sendedaten über die Datenleitung 16c an die Selektionsschaltung 22. Der Prozess wird fortgeführt in Schritt 40 mit dem Bestimmen, durch den Mikrocontroller „B16b, von zweiten Sendedaten und dem Übertragen der zweiten Sendedaten über die Datenleitung 16d an die Selektionsschaltung 22.
  • In Schritt 42 wird die Selektionsschaltung 22 mittels eines von dem Mikrocontroller 16a erzeugten ersten Trigger-Signals (Trigger „A“) angesteuert, wobei bei einem Ausbleiben des ersten Trigger-Signals (Trigger „A“) eine Verbindung zwischen der Datenleitung 16c und der Datenleitung 22a unterbrochen und die zweiten Sendedaten über die Datenleitung 22a an den Busumsetzer 12 übertragen werden. Der Busumsetzer 12 überträgt die Sendedaten über den Rückwandbus 14 an den Feldbusumsetzer 26, der die Sendedaten über den Feldbus 28 an die übergeordnete Steuerung 30 überträgt.
  • Die übergeordnete Steuerung 30 bestimmt auf Basis der Sendedaten Steuerbefehle, die über den Feldbus 28 an den Feldbusumsetzer 26 und von dem Feldbusumsetzer 26 über den Rückwandbus 14 an den entsprechenden Busumsetzer 12 übertragen werden. Der Prozess wird dann in Schritt 44 mit dem gleichzeitigen Übertragen der Empfangsdaten von dem Busumsetzer 12 über die Y-Datenleitung 18 an den Mikrocontroller „A16a und an den Mikrocontroller „B16b fortgeführt, wobei die Mikrocontroller 16a, 16b die Empfangsdaten verarbeiten und entsprechende Signale zur Steuerung der Anlage ausgeben.
  • Bezugszeichenliste
    • 10
    Vorrichtung
    10a
    Busklemme
    10b
    Busklemme
    12
    Busumsetzer
    12a
    Transmitter/Transceiver
    14
    Bus
    16a
    Mikrocontroller
    16b
    Mikrocontroller
    16c
    Datenleitung
    16d
    Datenleitung
    18
    Y-Datenleitung
    18a
    Datenleitung
    18b
    Datenleitung
    20
    Kreuzkommunikation
    22
    Selektionsschaltung
    22a
    Datenleitung
    24
    Feldbusknoten
    26
    Feldbusumsetzer
    28
    Feldbus
    30
    Steuerung
    32
    Sensor
    34
    Aktor
    36
    Logikschaltung
    38
    Prozessschritt
    40
    Prozessschritt
    42
    Prozessschritt
    44
    Prozessschritt
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • DIN EN ISO 13849 [0002]

Claims (12)

  1. Vorrichtung (10), umfassend: einen Busumsetzer (12), eingerichtet zum Anschluss an einen Bus (14); einen ersten Mikrocontroller (16a) und einen zweiten Mikrocontroller (16b), welche mittels einer Y-Datenleitung (18) mit dem Busumsetzer (12) verbunden sind, wobei die Y-Datenleitung (18) eine erste Datenleitung (18a) vom Busumsetzer (12) zum ersten Mikrocontroller (16a) und eine zweite Datenleitung (18b) vom Busumsetzer (12) zum zweiten Mikrocontroller (16b) umfasst; und eine Selektionsschaltung (22), welche mit dem ersten Mikrocontroller (16a) mittels einer dritten Datenleitung (16c), mit dem zweiten Mikrocontroller (16b) mittels einer vierten Datenleitung (16d) und mit dem Busumsetzer (12) mittels einer fünften Datenleitung (22a) verbunden ist; wobei der erste Mikrocontroller (16a) eingerichtet ist, Empfangsdaten über die erste Datenleitung (18a) zu empfangen und erste Sendedaten über die dritte Datenleitung (16c) an die Selektionsschaltung (22) zu übertragen; wobei der zweite Mikrocontroller (16b) eingerichtet ist, die Empfangsdaten über die zweite Datenleitung (18b) zu empfangen und zweite Sendedaten über die vierte Datenleitung (16d) an die Selektionsschaltung (22) zu übertragen; wobei die Selektionsschaltung (22) eingerichtet ist, ein erstes Trigger-Signal (Trigger „A“) von dem ersten Mikrocontroller (16a) zu empfangen und bei einem Ausbleiben des ersten Trigger-Signals (Trigger „A“) eine Verbindung zwischen der dritten Datenleitung (16c) und der fünften Datenleitung (22a) zu unterbrechen und die zweiten Sendedaten über die fünfte Datenleitung (22a) an den Busumsetzer (12) zu übertragen.
  2. Vorrichtung (10) nach Anspruch 1, wobei die Selektionsschaltung (22) eingerichtet ist, ein zweites Trigger-Signal (Trigger „B“) von dem zweiten Mikrocontroller (16b) zu empfangen und bei einem Ausbleiben des zweiten Trigger-Signals (Trigger „B“) eine Verbindung zwischen der vierten Datenleitung (16d) und der fünften Datenleitung (22a) zu unterbrechen und die ersten Sendedaten über die fünfte Datenleitung (22a) an den Busumsetzer (12) zu übertragen
  3. Vorrichtung (10) nach Anspruch 1 oder 2, wobei die Mikrocontroller (16a, 16b) eingerichtet sind, die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen mittels einer Kreuzkommunikation (20) auszutauschen.
  4. Vorrichtung (10) nach Anspruch 3, wobei der erste und zweite Mikrocontroller (16a, 16b) eingerichtet sind: die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen; und in Abhängigkeit von einem Ergebnis des Vergleichs die ersten und/oder zweiten Sendedaten und/oder ein Fehlersignal an den Busumsetzer (12) zu übertragen.
  5. Vorrichtung (10) nach einem der Ansprüche 1 bis 4, wobei der erste und der zweite Mikrocontroller (16a, 16b) eingerichtet sind, die ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und, wenn der Vergleich ergibt, dass die ersten und zweiten Sendedaten nicht übereinstimmen, ein durch den ersten und/oder zweiten Mikrocontroller (16a, 16b) gesteuertes Modul in einen sicheren Zustand zu versetzen.
  6. Vorrichtung (10) nach einem der Ansprüche 1 bis 5, wobei der Busumsetzer (12) genau einen Transceiver (12a) umfasst, an dem die Y-Datenleitung (18) angeschlossen ist.
  7. System, umfassend: eine Vorrichtung (10) nach einem der Ansprüche 1 bis 6; und einen Feldbusumsetzer (26), eingerichtet zum Anschluss an den Bus (14), wobei der Feldbusumsetzer (26) ferner eingerichtet ist, die ersten und/oder zweiten Sendedaten über den Bus (14) zu empfangen und einen Anlagenteil oder eine Anlage auf Basis der empfangenen Sendedaten zu steuern; und insbesondere empfangene erste und zweite Sendedaten oder aus den empfangenen ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und in Abhängigkeit von einem Ergebnis des Vergleichs den Anlagenteil bzw. die Anlage auf Basis der empfangenen Sendedaten zu steuern bzw. den Anlagenteil oder die Anlage in einen sicheren Zustand zu überführen.
  8. System, umfassend: eine Vorrichtung (10) nach einem der Ansprüche 1 bis 7; und eine Steuerung (30), eingerichtet zur Verbindung mit dem Bus (14) über einen Feldbus (28), wobei die Steuerung (30) ferner eingerichtet ist, die ersten und/oder zweiten Sendedaten über den Bus (14) und den Feldbus (28) zu empfangen und eine Anlage auf Basis der empfangenen Sendedaten zu steuern; und insbesondere empfangene erste und zweite Sendedaten oder aus den empfangenen ersten und zweiten Sendedaten abgeleitete Prüfsummen zu vergleichen und in Abhängigkeit von einem Ergebnis des Vergleichs die Anlage auf Basis der empfangenen Sendedaten zu steuern bzw. die Anlage in einen sicheren Zustand zu überführen.
  9. Verfahren, umfassend: Gleichzeitiges Übertragen (44) von Empfangsdaten von einem Busumsetzer (12) über eine Y-Datenleitung (18) an einen ersten Mikrocontroller (16a) und an einen zweiten Mikrocontroller (16b), wobei die Y-Datenleitung (18) eine erste Datenleitung (18a) vom Busumsetzer (12) zum ersten Mikrocontroller (16a) und eine zweite Datenleitung (18b) vom Busumsetzer (12) zum zweiten Mikrocontroller (16b) umfasst; Bestimmen (38), durch den ersten Mikrocontroller (16a), von ersten Sendedaten und Übertragen der ersten Sendedaten über eine dritte (16c) Datenleitung an eine Selektionsschaltung (22); Bestimmen (40), durch den zweiten Mikrocontroller (16b), von zweiten Sendedaten und Übertragen der zweiten Sendedaten über eine vierte Datenleitung (16d) an die Selektionsschaltung (22); und Ansteuern (42) der Selektionsschaltung (22) mittels eines von dem ersten Mikrocontroller (16a) erzeugten ersten Trigger-Signals (Trigger „A“), wobei bei einem Ausbleiben des ersten Trigger-Signals (Trigger „A“), eine Verbindung zwischen der dritten Datenleitung (16c) und der fünften Datenleitung (22a) unterbrochen und die zweiten Sendedaten über die fünfte Datenleitung (22a) an den Busumsetzer (12) übertragen werden.
  10. Verfahren nach Anspruch 9, ferner umfassend: Vergleichen der ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen und in Abhängigkeit von einem Ergebnis des Vergleichs, Übertragen der ersten und/oder zweiten Sendedaten und/oder eines Fehlersignals an den Busumsetzer (12).
  11. Verfahren nach Anspruch 9 oder 10, ferner umfassend: Übertragen der ersten und/oder zweiten Sendedaten über den Bus (14) an eine Steuerung (30); und Steuern einer Anlage auf Basis der an die Steuerung (30) übertragenen Sendedaten.
  12. Verfahren nach Anspruch 11, ferner umfassend: Vergleichen der an die Steuerung (30) übertragenen ersten und zweiten Sendedaten oder aus den ersten und zweiten Sendedaten abgeleitete Prüfsummen und, in Abhängigkeit von einem Ergebnis des Vergleichs, Steuern der Anlage auf Basis der übertragenen Sendedaten oder Überführen der Anlage in einen sicheren Zustand.
DE102017010691.6A 2017-11-18 2017-11-18 Sichere Übertragung von Daten in einer Automatisierungsanlage Active DE102017010691B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017010691.6A DE102017010691B4 (de) 2017-11-18 2017-11-18 Sichere Übertragung von Daten in einer Automatisierungsanlage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017010691.6A DE102017010691B4 (de) 2017-11-18 2017-11-18 Sichere Übertragung von Daten in einer Automatisierungsanlage

Publications (2)

Publication Number Publication Date
DE102017010691A1 true DE102017010691A1 (de) 2019-05-23
DE102017010691B4 DE102017010691B4 (de) 2019-05-29

Family

ID=66336092

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017010691.6A Active DE102017010691B4 (de) 2017-11-18 2017-11-18 Sichere Übertragung von Daten in einer Automatisierungsanlage

Country Status (1)

Country Link
DE (1) DE102017010691B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19815097A1 (de) * 1998-04-03 1999-10-07 Siemens Ag Busmasterumschalteinheit
US20050232145A1 (en) * 2004-04-15 2005-10-20 Cooper Cameron Corporation Systems and methods of providing redundant communication to an electronic device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19815097A1 (de) * 1998-04-03 1999-10-07 Siemens Ag Busmasterumschalteinheit
US20050232145A1 (en) * 2004-04-15 2005-10-20 Cooper Cameron Corporation Systems and methods of providing redundant communication to an electronic device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DIN EN ISO 13849

Also Published As

Publication number Publication date
DE102017010691B4 (de) 2019-05-29

Similar Documents

Publication Publication Date Title
EP1192511B1 (de) Sicherheitsbezogenes automatisierungsbussystem
EP2504740B1 (de) Sicherheitsmodul für ein automatisierungsgerät
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP1927914B1 (de) Sicherheitsmodul und Automatisierungssystem
EP1923759B1 (de) Verfahren und System zur sicheren Datenübertragung
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
DE102016110641B3 (de) Feldbusmodul und Verfahren zum Betreiben eines Feldbussystems
EP1631014A2 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP3669240B1 (de) Redundante prozesssteuerung
EP2606610B1 (de) Verfahren zur vergabe von teilnehmeradressen an busteilnehmer eines busbasierten steuerungssystems
EP3738044B1 (de) Spannungsdiagnoseschaltung
EP1509005B1 (de) Verfahren und Vorrichtung zur Übertragung von Daten über ein Busnetz mittels Broadcast
EP2701019B1 (de) Verfahren zur Parametrierung eines Feldgerätes und entsprechendes System zur Parametrierung
DE102017010691B4 (de) Sichere Übertragung von Daten in einer Automatisierungsanlage
EP0625751A1 (de) Sicheres Informationsübertragungsverfahren für einen Bus
DE102019123146B4 (de) Diagnose- und/oder parameterdaten-übertragung zwischen steuermodul und eingabe/ausgabe-modul
EP1596517B1 (de) Verfahren zur einkanaligen Übertragung von redundant vorliegenden Daten
DE102008045599B3 (de) Bussystem
WO2019145778A1 (de) System zum erzeugen eines datenstroms auf basis redundanter informationen
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
WO2023110487A2 (de) Fehlermeldungs-quittierung
EP2950174A1 (de) Verfahren und Vorrichtung zum sicheren Überprüfen eines Zustandes zweier Einrichtungen
DE102008064761B3 (de) Verfahren und Vorrichtung zum Prüfen einer asynchronenÜbertragung von Steuersignalen
WO2023072642A1 (de) Schaltung mit schalter zum entladen von mit einem sicherheitsgerichteten digitalen eingang verbundenen kapazitiven elementen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012400000

Ipc: H04L0012403000

R018 Grant decision by examination section/examining division
R020 Patent grant now final