DE102019117972B4 - Process and device for monitoring a plant - Google Patents

Process and device for monitoring a plant Download PDF

Info

Publication number
DE102019117972B4
DE102019117972B4 DE102019117972.6A DE102019117972A DE102019117972B4 DE 102019117972 B4 DE102019117972 B4 DE 102019117972B4 DE 102019117972 A DE102019117972 A DE 102019117972A DE 102019117972 B4 DE102019117972 B4 DE 102019117972B4
Authority
DE
Germany
Prior art keywords
operating state
communication interface
evaluation
transmission
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019117972.6A
Other languages
German (de)
Other versions
DE102019117972A1 (en
Inventor
Xiaoming Peng
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kriwan Industrie Elektronik GmbH
Original Assignee
Kriwan Industrie Elektronik GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kriwan Industrie Elektronik GmbH filed Critical Kriwan Industrie Elektronik GmbH
Priority to DE102019117972.6A priority Critical patent/DE102019117972B4/en
Priority to CN202010633480.0A priority patent/CN112187847B/en
Publication of DE102019117972A1 publication Critical patent/DE102019117972A1/en
Application granted granted Critical
Publication of DE102019117972B4 publication Critical patent/DE102019117972B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C19/00Electric signal transmission systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2209/00Arrangements in telecontrol or telemetry systems
    • H04Q2209/40Arrangements in telecontrol or telemetry systems using a wireless architecture

Abstract

Verfahren zur Überwachung einer Anlage, wobeia. wenigstens ein sicherheitsrelevanter Parameter der Anlage gemessen wird,b. der gemessene, sicherheitsrelevante Parameter in einer ersten Auswerteeinheit auf Einhaltung wenigstens eines vorgegebenen Grenzwertes ausgewertet wird,c. die erste Auswerteeinheit (2) auf einer Sendeseite einer Kommunikationsschnittstelle (6) und eine Auslöseeinheit auf einer Empfangsseite der Kommunikationsschnittstelle (6) vorgesehen sind und eine Datenübermittlung zwischen der Sende- und der Empfangsseite erfolgt und wobei fernerd. zwischen drei Betriebszuständen, nämlich einem Normalbetrieb, einem 1. kritischen Betriebszustand und einem 2. kritischen Betriebszustand unterschieden wird, wobeid1. der Normalbetrieb dadurch gekennzeichnet ist, dass der wenigstens eine gemessene sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert einhält und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert,d2. der 1. kritische Betriebszustand dadurch gekennzeichnet ist, dass der gemessene sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert überschreitet und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert undd3. der 2. kritische Betriebszustand dadurch gekennzeichnet ist, dass eine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, und wobeie. bei der Datenübermittlung zumindest Informationen über den Betriebszustand übermittelt werden,f. jedem Betriebszustand wenigstens eine den ermittelten Betriebszustand charakterisierende Übertragungsform zugeordnet ist, die bei der Datenübermittlung verwendet wird,g. auf der Empfangsseite der Kommunikationsschnittstelle (6) eine mit der Auslöseeinheit in Verbindung stehende zweite Auswerteeinheit (8) vorgesehen ist, welche in einem ersten und einem zweiten Auswertungskanal (80, 81) die Informationen über den Betriebszustand unabhängig voneinander auswertet,h. die Auswertung der Information über den Betriebszustand in der zweiten Auswerteeinheit (8) durch Auswertung der Übertragungsform erfolgt undi. wobei bei Vorliegen des 1. oder 2. kritischen Betriebszustandes die Auslöseeinheit (9) aktiviert wird, um die Anlage in einen sicheren Zustand zu bringen.A method of monitoring a facility, whereina. at least one safety-relevant parameter of the system is measured,b. the measured, safety-relevant parameter is evaluated in a first evaluation unit for compliance with at least one specified limit value,c. the first evaluation unit (2) is provided on a transmission side of a communication interface (6) and a triggering unit is provided on a reception side of the communication interface (6) and data is transmitted between the transmission and reception sides and wherein furthermored. a distinction is made between three operating states, namely normal operation, a 1st critical operating state and a 2nd critical operating state, with d1. normal operation is characterized in that the at least one measured safety-relevant parameter complies with the at least one specified limit value and there is no technical fault that prevents effective data transmission via the communication interface (6),d2. the 1st critical operating state is characterized in that the measured safety-relevant parameter exceeds the at least one predetermined limit value and there is no technical fault that prevents effective data transmission via the communication interface (6) andd3. the 2. critical operating state is characterized in that there is a technical fault which prevents effective data transmission via the communication interface (6), and whereine. at least information about the operating status is transmitted during the data transmission,f. each operating state is assigned at least one form of transmission that characterizes the determined operating state and is used in the data transmission,g. on the receiving side of the communication interface (6) there is a second evaluation unit (8) which is connected to the tripping unit and evaluates the information about the operating state independently of one another in a first and a second evaluation channel (80, 81),h. the information about the operating status is evaluated in the second evaluation unit (8) by evaluating the form of transmission andi. with the presence of the 1st or 2nd critical operating state, the triggering unit (9) is activated in order to bring the system into a safe state.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung einer Anlage, bei der sicherheitsrelevante Informationen über eine Kommunikationsschnittstelle übertragen werden.The invention relates to a method and a device for monitoring a system in which safety-related information is transmitted via a communication interface.

Anlagen, von denen eine Gefahr für Mensch und Umwelt ausgeht, wie beispielsweise Anlagen in einem explosionsgefährdeten Bereich, werden oft von elektronischen Schutzschaltungen überwacht. Diese sollen die Anlage bei Erkennen einer vordefinierten Gefahr in einen sicheren Zustand bringen. Dabei ist die Zuverlässigkeit dieser Schutzschaltungen und die sichere Verarbeitung der sicherheitsrelevanten Informationen von besonderer Bedeutung.Systems that pose a risk to people and the environment, such as systems in a potentially explosive area, are often monitored by electronic protective circuits. These are intended to bring the system into a safe state when a predefined danger is detected. The reliability of these protective circuits and the safe processing of the safety-relevant information are of particular importance.

In der EP 1 967 831 B1 wird ein Schutzkonzept für eine Temperaturüberwachung vorgestellt, wobei die Messschaltung (Temperaturmessung), die Messwertauswertung und der Aktuator, der die überwachte Anlage bei Erkennen einer sicherheitsrelevanten Gefahr (Übertemperatur) in einen sicheren Zustand bringen soll, kompakt in einem Gerät untergebracht sind.In the EP 1 967 831 B1 A protection concept for temperature monitoring is presented, whereby the measuring circuit (temperature measurement), the measured value evaluation and the actuator, which is intended to bring the monitored system into a safe state when a safety-related danger (overtemperature) is detected, are compactly accommodated in one device.

Die DE 10 2015 001 741 A1 beschreibt ein Verfahren und ein System zum Betreiben einer mehrachsigen Maschine, insbesondere eines Roboters, mit einer Sicherheitssteuerung, die einen ersten und einen hierzu redundanten, insbesondere diversitären, zweiten Kanal aufweist, in denen jeweils Eingangs-Soll-Werte mit von Erfassungsmitteln übermittelten Eingangs-Ist-Werten verglichen werden, wobei eine Fehlerreaktion (STOP) ausgelöst wird, falls eine Abweichung eine vorgegebene Toleranz übersteigt. Gemäß einer Ausführung ist auch vorgesehen, dass die Erfassungsmittel so ausgebildet sind, dass auch sie eine Fehlerreaktion auslösen können, wenn eine Abweichung zwischen unterschiedlich ermittelten Eingangs-Ist-Werten eine vorgegebene Toleranz übersteigt.The DE 10 2015 001 741 A1 describes a method and a system for operating a multi-axis machine, in particular a robot, with a safety controller that has a first channel and a second channel that is redundant thereto, in particular diverse, in each of which nominal input values with actual input values transmitted by detection means values are compared, with an error response (STOP) being triggered if a deviation exceeds a specified tolerance. According to one embodiment, it is also provided that the detection means are designed in such a way that they can also trigger an error reaction if a deviation between differently determined actual input values exceeds a predetermined tolerance.

In spezifischen Anwendungsfällen ist eine räumliche Trennung der Messeinheit von dem Aktuator (Auslöseeinheit), technisch sinnvoll bzw. notwendig. So muss z. B. eine Maschine, die speziell für den Einsatz in einem explosionsgefährdeten Bereich konzipiert ist, auf eine zündfähige Übertemperatur überwacht werden. Diese Überwachung gilt als sicherheitsrelevant und muss gemäß den Sicherheitsanforderungen besonders zuverlässig funktionieren. Der Aktuator, der oft durch ein elektrisches Schaltelement (Relais; Schütz) gebildet wird, soll die Maschine bei Erkennung einer potentiell zündfähigen Übertemperatur abschalten, darf aber selbst nicht oder nur mit hohem Aufwand mit der Maschine im explosionsgefährdeten Bereich untergebracht sein, da etwaige Schaltfunken des Aktuators selbst eine Zündquelle darstellen könnten. Die sicherheitsrelevante Temperaturinformation muss dann in einem solchen Fall über eine Kommunikationsschnittstelle an den Aktuator übermittelt werden, der in einem sicheren und räumlich von der Maschine getrennten Bereich untergebracht ist. In einem solchen Fall gelten hohe Sicherheitsanforderungen bzw. es ist eine hohe Zuverlässigkeit für die Übermittlung der Temperaturinformationen gefordert.In specific applications, a physical separation of the measuring unit from the actuator (triggering unit) is technically sensible or necessary. So e.g. B. a machine that is specially designed for use in a potentially explosive area can be monitored for an ignitable excess temperature. This monitoring is considered to be safety-relevant and must function particularly reliably in accordance with the safety requirements. The actuator, which is often formed by an electrical switching element (relay; contactor), should switch off the machine when a potentially ignitable overtemperature is detected, but it must not be housed with the machine in the potentially explosive area, or only with great effort, since any switching sparks of the Actuator itself could represent an ignition source. In such a case, the safety-relevant temperature information must then be transmitted via a communication interface to the actuator, which is housed in a safe area separate from the machine. In such a case, there are high security requirements and a high degree of reliability is required for the transmission of the temperature information.

Auch in den Zeiten der Industrie 4.0 ist es nicht mehr wegzudenken, dass sicherheitsrelevante Informationen über Kommunikationsschnittstellen übertragen werden. Die hohen Sicherheitsanforderungen gelten somit auch für die ganze Verarbeitungskette von der Messeinheit, der Signalerzeugung, der Kommunikationsschnittstelle, der Informationsübertragung, dem Informationsempfang und der Auswertung sowie der Ausführung der sicherheitsrelevanten Aufgaben. Die Umsetzung dieser Sicherheitsanforderungen erfordert in der Regel einen hohen Aufwand, wobei mit steigender Komplexität, die für eine direkte Umsetzung der Sicherheitsanforderungen oft notwendig ist, auch die Unübersichtlichkeit zunimmt, die dann zu einer weiteren Problemquelle wird.Even in the age of Industry 4.0, it has become indispensable that safety-related information is transmitted via communication interfaces. The high safety requirements therefore also apply to the entire processing chain from the measuring unit, signal generation, the communication interface, information transmission, information reception and evaluation as well as the execution of safety-related tasks. The implementation of these security requirements usually requires a great deal of effort, with increasing complexity, which is often necessary for a direct implementation of the security requirements, also increasing the lack of transparency, which then becomes a further source of problems.

Der Erfindung liegt daher die Aufgabe zugrunde, ein einfaches und klares Sicherheitskonzept für die Überwachung einer Anlage anzugeben, mit dem sicherheitsrelevante Informationen über eine Kommunikationsschnittstelle übertragen werden.The invention is therefore based on the object of specifying a simple and clear safety concept for monitoring a system, with which safety-related information is transmitted via a communication interface.

Erfindungsgemäß wird diese Aufgabe durch die Merkmale der Ansprüche 1 und 9 gelöst.According to the invention, this object is achieved by the features of claims 1 and 9.

Während herkömmlicherweise nur Informationen über den gemessenen Parameter bzw. ein sich daraus ergebendes Auslösesignal übertragen werden, wird erfindungsgemäß nun auch berücksichtigt, ob eine technische Störung vorliegt, die eine wirksame Datenübermittelung über die Kommunikationsschnittstelle hindert. Liegt beispielsweise eine Unterbrechung der Übertragungsstrecke vor, indem ein verwendetes USB-Kabel unerwartet unterbrochen ist, wäre eine Datenübermittlung und somit eine effektive Zustandserkennung der Anlage auf Basis der Messwertübermittlung nicht mehr möglich. Erfindungsgemäß liegt in diesem Fall der 2. kritische Betriebszustand vor.While conventionally only information about the measured parameter or a trigger signal resulting therefrom is transmitted, according to the invention it is now also taken into account whether there is a technical fault that prevents effective data transmission via the communication interface. If, for example, there is an interruption in the transmission path because a USB cable used is unexpectedly interrupted, data transmission and thus effective status recognition of the system based on the transmission of measured values would no longer be possible. According to the invention, the second critical operating state is present in this case.

Des Weiteren ist es beispielsweise denkbar, dass der Signalpegel wegen eines Hardwarefehlers auf der Sendeseite der Kommunikationsschnittstelle deutlich reduziert ist, wodurch die Auswertung der übermittelten Daten auf der Empfangsseite der Kommunikationsschnittstelle nicht mehr sichergestellt werden kann. Erfindungsgemäß wird jeder mögliche Fehlerzustand der Kommunikationsschnittstelle und der Übertragungsstrecke, der eine wirksame Datenübermittlung hindert, als eine Übertragungsform für den 2. kritischen Betrieb betrachtet.Furthermore, it is conceivable, for example, that the signal level is significantly reduced due to a hardware error on the transmission side of the communication interface, as a result of which the evaluation of the transmitted data can no longer be ensured on the receiving side of the communication interface. According to the invention, any possible error condition of the communication interface and the transmission link that prevents effective data transmission is considered a form of transmission for the 2nd critical operation.

Weitere Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche, wobei die in den Unteransprüchen formulierten Merkmale auch miteinander kombiniert werden können.Further configurations of the invention are the subject matter of the subclaims, with the features formulated in the subclaims also being able to be combined with one another.

Durch eine geeignete Auswahl der Übertragungsform kann sichergestellt werden, dass klar und eindeutig zwischen dem Normalbetrieb einerseits und den beiden kritischen Betriebszuständen andererseits unterschieden werden kann. Jeder Fehlerzustand der Kommunikationsschnittstelle (6), der eine effektive Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, wird einer Übertragungsform für den 2. kritischen Betrieb zugeordnet wird.A suitable selection of the form of transmission can ensure that a clear and unambiguous distinction can be made between normal operation on the one hand and the two critical operating states on the other. Each error state of the communication interface (6) that prevents effective data transmission via the communication interface (6) is assigned to a form of transmission for the 2nd critical operation.

Die Auswertung der Information über den Betriebszustand erfolgt erfindungsgemäß in der zweiten Auswerteeinheit durch Auswertung der übermittelten Übertragungsform. In diesem Zusammenhang ist es denkbar, dass sich die den Normalbetrieb charakterisierende Übertragungsform zur Unterscheidung von der den 1. kritischen Betriebszustand charakterisierenden Übertragungsform durch wenigstens ein erstes Unterscheidungsmerkmal und von der den 2. kritischen Betriebszustand charakterisierenden Übertragungsform durch ein wenigstens ein zweites Unterscheidungsmerkmal unterscheidet. Dadurch soll sichergestellt werden, dass eine eindeutige und klare Trennung des Normalbetriebs vom 1. bzw. 2. kritischen Betriebszustand möglich ist. Als erstes Unterscheidungsmerkmal könnte beispielsweise ein definierter DC-Offset vorgesehen werden. So könnte eine Übertragungsform mit dem definierten DC-Offset den Normalbetrieb implizieren, während eine Übertragungsform mit einem DC-Offset außerhalb des Toleranzbereiches des definierten DC-Offsets anzeigt, dass ein 1. kritischer Betriebszustand vorliegt. Alternativ könnte man als erstes Unterscheidungsmerkmal auch eine definierte Amplitude vorsehen, wobei eine Übertragungsform mit der definierten Amplitude den Normalbetrieb anzeigt, während eine Übertragungsform mit einer Amplitude außerhalb des Toleranzbereichs der definierten Amplitude den 1. kritischen Betriebszustand signalisiert. Als zweites Unterscheidungsmerkmal zur Abgrenzung des Normalbetriebs vom 2. kritischen Betriebszustand kann wiederum ein definierter DC-Offset verwendet werden. Alternativ kann aber auch hier wiederum eine definierte Amplitude vorgesehen werden, die den Normalbetrieb vom 2. kritischen Betriebszustand unterscheidet.According to the invention, the information about the operating state is evaluated in the second evaluation unit by evaluating the transmitted form of transmission. In this context, it is conceivable that the form of transmission that characterizes normal operation differs from the form of transmission that characterizes the 1st critical operating state by at least one first distinguishing feature and from the form of transmission that characterizes the 2nd critical operating state by at least one second distinguishing feature. This is to ensure that a clear and unambiguous separation of normal operation from the 1st or 2nd critical operating state is possible. A defined DC offset, for example, could be provided as the first distinguishing feature. A form of transmission with the defined DC offset could imply normal operation, while a form of transmission with a DC offset outside the tolerance range of the defined DC offset indicates that a 1. critical operating state is present. Alternatively, one could also provide a defined amplitude as the first distinguishing feature, with a form of transmission with the defined amplitude indicating normal operation, while a form of transmission with an amplitude outside the tolerance range of the defined amplitude signals the 1st critical operating state. A defined DC offset can again be used as a second distinguishing feature to distinguish between normal operation and the second critical operating state. Alternatively, however, a defined amplitude can also be provided here, which distinguishes normal operation from the second critical operating state.

Das erste Unterscheidungsmerkmal und das zweite Unterscheidungsmerkmal weisen vorzugsweise eine gemeinsame Eigenschaft auf, die eine Unterscheidung des Normalbetriebs sowohl vom 1. kritischen Betriebszustand als auch vom 2. kritischen Betriebszustand ermöglicht. Im Rahmen der Erfindung ist es aber auch denkbar, dass das erste Unterscheidungsmerkmal und das zweite Unterscheidungsmerkmal gleich sind, da es in vielen Anwendungsfällen auf der Empfangsseite nur darauf ankommt, ob einerseits ein Normalbetrieb oder anderseits einer der beiden kritischen Betriebszustände vorliegt, da sowohl beim 1. kritischen Betriebszustand als auch beim 2. kritischen Betriebszustand eine Aktivierung der Auslöseeinheit erfolgt.The first differentiating feature and the second differentiating feature preferably have a common property which enables normal operation to be distinguished both from the 1st critical operating state and from the 2nd critical operating state. Within the scope of the invention, however, it is also conceivable that the first distinguishing feature and the second distinguishing feature are the same, since in many applications on the receiving side it is only important whether on the one hand normal operation or on the other hand one of the two critical operating states is present, since both in the 1st .critical operating state as well as in the 2nd critical operating state activation of the tripping unit takes place.

In einer weiteren Ausgestaltung der Erfindung werden bei der Datenübermittlung im Normalbetrieb und/oder im 1. kritischen Betriebszustand neben den Informationen über den Betriebszustand auch Informationen über den gemessenen, sicherheitsrelevanten Parametern und/oder sonstige Betriebsdaten übermittelt. Dies hat den Vorteil, dass man auf der Empfangsseite der Kommunikationsschnittstelle im Normalbetrieb Informationen darüber erhält, wo der gemessenen, sicherheitsrelevanten Parameter in Bezug auf seinen Grenzwert liegt. Somit können ggf. schon frühzeitig Gegenmaßnahmen ergriffen werden, indem beispielsweise die Anlage mit einer entsprechend reduzierten Leistung gefahren wird. Liegt hingegen ein 1. kritischer Betriebszustand vor, kann aus den übermittelten Informationen über den gemessenen, sicherheitsrelevanten Parameter die Fehlerursache genauer und detailliert eingegrenzt werden, insbesondere dann, wenn verschiedene sicherheitsrelevante Parameter gemessen und ausgewertet werden.In a further embodiment of the invention, during data transmission in normal operation and/or in the 1st critical operating state, information about the measured, safety-relevant parameters and/or other operating data is also transmitted in addition to the information about the operating state. This has the advantage that information is obtained on the reception side of the communication interface in normal operation as to where the measured, safety-relevant parameter lies in relation to its limit value. This means that countermeasures can be taken at an early stage if necessary, for example by running the system with a correspondingly reduced output. If, on the other hand, a 1. critical operating state is present, the cause of the error can be narrowed down more precisely and in detail from the transmitted information about the measured, safety-relevant parameters, particularly when various safety-relevant parameters are measured and evaluated.

Außerdem ist es natürlich denkbar, dass auch noch sonstige Betriebsdaten zwecks Information und Diagnose übermittelt werden, welche die Auswertung des übermittelten Betriebszustands auf der Empfangsseite nicht negativ beeinflussen.In addition, it is of course conceivable that other operating data are also transmitted for the purpose of information and diagnosis, which do not negatively influence the evaluation of the transmitted operating state on the receiving side.

Weiterhin sind der erste und zweite Auswertungskanal vorzugsweise derart mit der Auslöseeinheit verbunden, dass die Auslöseeinheit aktiviert wird, wenn wenigstens einer der beiden Auswertungskanäle ein Auslösesignal generiert. Dies kann beispielsweise über ein ODER-Glied erfolgen. Zur weiteren Verbesserung der Auswertung und zur Gewährleistung einer höheren Sicherheit, sind die beiden Auswertungskanäle unterschiedlich ausgestaltet, so kann der erste Auswertungskanal auf einem softwaregesteuerten Arbeitsprinzip und die Auswertung im zweiten Auswertungskanal auf einem hardwaregesteuerten Arbeitsprinzip beruhen. Beide Auswertungskanäle sind aber so ausgebildet, dass sie den übermittelten Betriebszustand erkennen können, wobei der erste Auswertungskanal neben dem Betriebszustand auch den ggf. übermittelten, sicherheitsrelevanten Parameter auswertet, während der zweite Auswertungskanal lediglich erkennt, ob einer der beiden kritischen Betriebszustände vorliegt.Furthermore, the first and second evaluation channels are preferably connected to the triggering unit in such a way that the triggering unit is activated when at least one of the two evaluation channels generates a triggering signal. This can be done, for example, via an OR element. For further improvement the evaluation and to ensure greater security, the two evaluation channels are configured differently, the first evaluation channel can be based on a software-controlled working principle and the evaluation in the second evaluation channel can be based on a hardware-controlled working principle. However, both evaluation channels are designed in such a way that they can recognize the transmitted operating state, with the first evaluation channel evaluating not only the operating state but also any safety-relevant parameters that may have been transmitted, while the second evaluation channel only recognizes whether one of the two critical operating states is present.

Weitere Vorteile und Ausgestaltungen der Erfindung werden anhand der nachfolgenden Beschreibung und der Zeichnung näher erläutert.Further advantages and configurations of the invention are explained in more detail with reference to the following description and the drawing.

In der Zeichnung zeigen

  • 1 ein Blockschaltbild der erfindungsgemäßen Vorrichtung,
  • 2 einen Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betrieb mit einer definierten Grenzfrequenz als erstes Unterscheidungsmerkmal,
  • 3 einen Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betriebszustand mit einer auf Null gesetzten Grenzfrequenz als erstes Unterscheidungsmerkmal,
  • 4 einen Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betrieb mit einer definierten Amplitude als erstes Unterscheidungsmerkmal,
  • 5 einen Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betrieb mit einem definierten DC-Offset als erstes Unterscheidungsmerkmal,
  • 6 einen Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betrieb, wobei das erste Unterscheidungsmerkmal darin besteht, dass die Datenübertragung im Normalbetrieb kontinuierlich und im 1. kritischen Betriebszustand mit ausreichender Pause erfolgt,
  • 7 einen Signalverlauf im Normalbetrieb und im 2. kritischen Betriebszustand, wobei die Übertragungsform im 2. kritischen Betriebszustand darin besteht, dass keine Datenübertragung erfolgt und das DC-Niveau der Schaltungsmasse entspricht, wobei eine definierte Grenzfrequenz als zweites Unterscheidungsmerkmal gilt,
  • 8 einen Signalverlauf im Normalbetrieb und im 2. kritischen Betriebszustand, wobei die Übertragungsform im 2. kritischen Betriebszustand sich dadurch auszeichnet, dass keine Datenübertragung erfolgt und ein DC-Niveau in undefinierter Höhe vorliegt, wobei eine definierte Grenzfrequenz als zweites Unterscheidungsmerkmal gilt,
  • 9 einen Signalverlauf im Normalbetrieb und im 2. kritischen Betriebszustand, wobei im 2. kritischen Betriebszustand der DC-Offset auf ein vom Normalbetrieb unterschiedliches Niveau verschoben ist, wobei ein definierter DC-Offset als zweites Unterscheidungsmerkmal gilt,
  • 10 einen Signalverlauf im Normalbetrieb und im 2. kritischen Betriebszustand, wobei die Übertragungsform im 2. kritischen Betriebszustand sich durch eine deutlich reduzierte Amplitude des Übertragungssignals auszeichnet, wobei eine definierte Amplitude als zweites Unterscheidungsmerkmal gilt, und
  • 11 ein schematisches Ausführungsbeispiel im Bereich der zweiten Auswerteeinheit.
Show in the drawing
  • 1 a block diagram of the device according to the invention,
  • 2 a signal curve of the form of transmission in normal operation and in 1st critical operation with a defined limit frequency as the first distinguishing feature,
  • 3 a signal curve of the form of transmission in normal operation and in the 1st critical operating state with a cut-off frequency set to zero as the first distinguishing feature,
  • 4 a signal curve of the form of transmission in normal operation and in 1st critical operation with a defined amplitude as the first distinguishing feature,
  • 5 a signal curve of the form of transmission in normal operation and in 1st critical operation with a defined DC offset as the first distinguishing feature,
  • 6 a signal curve of the form of transmission in normal operation and in the 1st critical operation, the first distinguishing feature being that the data is transmitted continuously in normal operation and with a sufficient pause in the 1st critical operating state,
  • 7 a signal curve in normal operation and in the 2nd critical operating state, with the form of transmission in the 2nd critical operating state being that no data transmission takes place and the DC level corresponds to the circuit ground, with a defined limit frequency being the second distinguishing feature,
  • 8th a signal curve in normal operation and in the 2nd critical operating state, with the form of transmission in the 2nd critical operating state being characterized in that no data transmission takes place and a DC level of an undefined level is present, with a defined cut-off frequency being the second distinguishing feature,
  • 9 a signal curve in normal operation and in the 2nd critical operating state, with the DC offset being shifted to a level different from normal operation in the 2nd critical operating state, with a defined DC offset being the second distinguishing feature,
  • 10 a signal curve in normal operation and in the 2nd critical operating state, with the form of transmission in the 2nd critical operating state being characterized by a significantly reduced amplitude of the transmission signal, with a defined amplitude being the second distinguishing feature, and
  • 11 a schematic embodiment in the area of the second evaluation unit.

Die erfindungsgemäß Vorrichtung zur Überwachung einer Anlage, wie beispielsweise eine Kühlanlage oder eine Pumpstation weist eine Messeinheit 1 auf, die über einen nicht näher dargestellten Sensor wenigstens einen sicherheitsrelevanten Parameter der Anlage misst. Hierbei kann es sich beispielsweise um die Wicklungstemperatur eines elektrischen Motors handeln. Der gemessene, sicherheitsrelevante Parameter wird in einer ersten Auswerteeinheit 2 auf Einhaltung wenigstens eines vergebenen Grenzwertes ausgewertet. Dabei wird im Falle einer Temperaturmessung überprüft, ob ein vorgegebener maximaler Temperaturwert überschritten ist. Weiterhin ist eine Auslöseeinheit 9 vorgesehen, um die Anlage in einen sicheren Zustand zu bringen, indem die Anlage beispielweise abgeschaltet oder mit einer reduzierten Leistung gefahren wird.The device according to the invention for monitoring a system, such as a cooling system or a pumping station, has a measuring unit 1 that measures at least one safety-relevant parameter of the system via a sensor that is not shown in detail. This can be the winding temperature of an electric motor, for example. The measured, safety-relevant parameter is evaluated in a first evaluation unit 2 for compliance with at least one assigned limit value. In the case of a temperature measurement, it is checked whether a predetermined maximum temperature value has been exceeded. Furthermore, a tripping unit 9 is provided in order to bring the system into a safe state by switching off the system, for example, or by running it at reduced power.

Die Ermittlung des Betriebszustandes der Anlage verläuft folgendermaßen:

  • Eine Unterscheidung zwischen dem Normalbetrieb und dem 1. kritischen Betriebszustand erfolgt dadurch, ob eine Grenzwertverletzung wenigstens eines sicherheitsrelevanten Parameters durch die erste Auswerteeinheit 2 festgestellt wird. Die Erkennung des 2. kritischen Betriebszustandes ist Aufgabe der Empfangsseite, da man bei Vorliegen solch einer technischen Störung nicht mehr davon ausgehen kann, dass die Datenübermittlung über die Kommunikationsschnittstelle 6 noch wirksam ist bzw. man nicht weiß, in welchem Fehlerzustand sich Kommunikationsschnittstelle befindet.
The operating status of the system is determined as follows:
  • A distinction between normal operation and the 1st critical operating state is made by whether a limit violation of at least one safety-related parameter by the first evaluation unit 2 is determined. The detection of the 2nd critical operating state is the task of the receiving side, because if such a technical fault is present, it can no longer be assumed that the data transmission via the communication interface 6 is still effective or it is not known in which error state the communication interface is.

Weiterhin ist eine Signalerzeugungseinheit 5 auf der Sendeseite der Kommunikationsschnittstelle 6 vorgesehen, die ein von der Sendeseite zur Empfangsseite der Kommunikationsschnittstelle zu übertragendes Datensignal erzeugt, wobei das Datensignal den von der Betriebszustands-Ermittlungseinheit 3 ermittelten Betriebszustand in Form einer charakteristischen Übertragungsform aufweist. Auf der Empfangsseite der Kommunikationsschnittstelle 6 ist neben der Auslöseeinheit 9 eine zweite Auswerteeinheit 8 vorgesehen, die einen ersten Auswertungskanal 80 und einen zweiten redundanten Auswertungskanal 81 zur Auswertung des übermittelten Betriebszustandes vorsieht. Der erste und zweite Auswertungskanal 80, 81 sind über ein ODER-Glied 82 mit der Auslöseeinheit verbunden, um die Auslöseeinheit zu aktivieren, wenn wenigstens einer der beiden Auswertungskanäle feststellt, dass der erste oder zweite kritische Betriebszustand vorliegt und ein entsprechendes Auslösesignal 83 bzw. 84 erzeugt.Furthermore, a signal generation unit 5 is provided on the transmission side of the communication interface 6, which generates a data signal to be transmitted from the transmission side to the reception side of the communication interface, the data signal having the operating state determined by the operating state determination unit 3 in the form of a characteristic transmission form. On the reception side of the communication interface 6, in addition to the triggering unit 9, a second evaluation unit 8 is provided, which provides a first evaluation channel 80 and a second redundant evaluation channel 81 for evaluating the transmitted operating state. The first and second evaluation channels 80, 81 are connected to the trip unit via an OR element 82 in order to activate the trip unit if at least one of the two evaluation channels determines that the first or second critical operating state is present and a corresponding trip signal 83 or 84 generated.

Die Übertragungsstrecke 7 zwischen der Kommunikationsschnittstelle 6 und der zweiten Auswerteeinheit 8 kann insbesondere kabelgebunden oder als Funkverbindung ausgebildet sein. Je nach Anwendungsfall, insbesondere bei einer explosionsgefährdeten Anlage, wird über die Übertragungsstrecke 7 eine räumliche Trennung des explosionsgefährdeten Bereichs der Anlage von der Auslöseeinheit 9 sichergestellt. Dies ist insbesondere dann erforderlich, wenn die Auslöseeinheit beim Auslösevorgang Schaltfunken erzeugen könnte, die eine Zündquelle darstellen könnte.The transmission path 7 between the communication interface 6 and the second evaluation unit 8 can in particular be wired or designed as a radio connection. Depending on the application, in particular in an installation at risk of explosion, a spatial separation of the area of the installation at risk of explosion from the tripping unit 9 is ensured via the transmission path 7 . This is necessary in particular if the tripping unit could generate switching sparks during the tripping process, which could represent an ignition source.

Wenngleich im dargestellten Ausführungsbeispiel lediglich eine Messeinheit 1 vorgesehen ist, können selbstverständlich mehrere sicherheitsrelevante und auch sonstige Betriebsparameter der Anlage gemessen und ausgewertet werden.Although only one measuring unit 1 is provided in the exemplary embodiment shown, several safety-relevant and also other operating parameters of the system can of course be measured and evaluated.

In den 2 bis 10 werden im Folgenden verschiedene Beispiele von Übertragungsformen dargestellt, die bei der Datenübermittlung zur Übermittlung des Betriebszustandes verwendet werden können.In the 2 until 10 Various examples of transmission forms are presented below that can be used in data transmission to transmit the operating status.

Bei der Datenübermittlung über die Kommunikationsschnittstelle 6 werden zumindest Informationen über den Betriebszustand übermittelt. Es ist allerdings elementare Aufgabe einer Kommunikationsschnittstelle, herkömmliche Dateninformationen zu übermitteln. Vorzugsweise werden über eine einzige Kommunikationsschnittstelle sowohl Informationen über den Betriebszustand als auch herkömmliche Daten übertragen. So werden in einer bevorzugten Ausführungsform zumindest im Normalbetrieb und vorzugsweise auch im 1. kritischen Betriebszustand zusätzlich Informationen über den wenigstens einen gemessenen, sicherheitsrelevanten Parameter übertragen.When data is transmitted via the communication interface 6, at least information about the operating state is transmitted. However, it is an elementary task of a communication interface to transmit conventional data information. Both information about the operating state and conventional data are preferably transmitted via a single communication interface. In a preferred embodiment, information about the at least one measured, safety-relevant parameter is transmitted at least in normal operation and preferably also in the 1st critical operating state.

In 2 ist ein erstes Ausführungsbeispiel für den Signalverlauf der Übertragungsform im Normalbetrieb und im 1. kritischen Betriebszustand dargestellt. Um die beiden Betriebszustände voneinander zu unterscheiden wird ein erstes Unterscheidungsmerkmal verwendet, das hier durch eine unterschiedliche Übertragungsfrequenz realisiert wird. So wird das Signal, welches auch Informationen über den gemessenen, sicherheitsrelevanten Parameter enthält, im Normalbetrieb mit einer Frequenz übertragen, die oberhalb einer festgelegten Grenzfrequenz liegt. Wird durch die Betriebszustands-Ermittlungseinheit 3 jedoch festgestellt, dass der gemessene, sicherheitsrelevante Parameter den vorgegebenen Grenzwert nicht einhält und somit der 1. kritische Betriebszustand vorliegt, findet eine Datenübermittlung mit einer Übertragungsfrequenz statt, die unterhalb der festgelegten Grenzfrequenz liegt, wie dies aus 2 ersichtlich ist.In 2 a first exemplary embodiment of the signal curve of the form of transmission in normal operation and in the 1st critical operating state is shown. In order to differentiate between the two operating states, a first distinguishing feature is used, which is implemented here by a different transmission frequency. In normal operation, the signal, which also contains information about the measured, safety-relevant parameter, is transmitted at a frequency that is above a defined limit frequency. However, if the operating state determination unit 3 determines that the measured, safety-relevant parameter does not comply with the specified limit value and the 1st critical operating state is therefore present, data is transmitted at a transmission frequency that is below the specified limit frequency, as shown 2 is evident.

Wenn im Falle des 1. kritischen Betriebszustandes keine Übermittlung von Informationen des gemessenen, sicherheitsrelevanten Parameters erforderlich sind, kann die Datenübertragung im 1. kritischen Betriebszustand aber beispielsweise auch einfach ausgesetzt werden, wie das im Ausführungsbeispiel gemäß 3 dargestellt ist.If, in the case of the 1st critical operating state, no transmission of information about the measured, safety-relevant parameter is required, the data transmission in the 1st critical operating state can also simply be suspended, as in the exemplary embodiment according to FIG 3 is shown.

Während das erste Unterscheidungsmerkmal der Übertragungsformen zwischen der Übertragungsform des Normalbetriebs und der Übertragungsform im 1. kritischen Betriebszustand im Ausführungsbeispiel der 2 durch unterschiedliche Übertragungsfrequenzen realisiert wurde, zeigt das Ausführungsbeispiel der 4 eine Übertragungsform, bei der im Falle des 1. kritischen Betriebszustandes mit einer deutlich reduzierten Amplitude übertragen wird.While the first distinguishing feature of the forms of transmission between the form of transmission of normal operation and the form of transmission in the first critical operating state in the embodiment of 2 was realized by different transmission frequencies, shows the embodiment of 4 a form of transmission in which, in the case of the 1st critical operating state, transmission is carried out with a significantly reduced amplitude.

In 5 ist eine weitere Alternative aufgezeigt, bei der die Signale im Normalbetrieb und im 1. kritischen Betriebszustand mit einer unterschiedlichen DC-Offset-Spannung übertragen werden. So wird im Normalbetrieb eine DC-Offset-Spannung U1 verwendet, während im 1. kritischen Betriebszustand eine oberhalb von Uz liegende DC-Offset-Spannung U2 zur Anwendung kommt.In 5 Another alternative is shown, in which the signals in normal operation and in the 1st critical operating state are transmitted with a different DC offset voltage. A DC offset voltage U 1 is used in normal operation, while a DC offset voltage U 2 above Uz is used in the first critical operating state.

6 zeigt schließlich noch ein letztes Ausführungsbeispiel, wie sich die Übertragungsform im Normalbetrieb von der Übertragungsform im 1. kritischen Betriebszustand unterscheiden könnte. Hier erfolgt im Normalbetrieb eine kontinuierliche Datenübertragung, während im Falle des 1. kritischen Betriebszustandes die Datenübertragung durch ausreichende Pausen unterbrochen wird. 6 Finally, FIG. 1 shows a final exemplary embodiment of how the form of transmission in normal operation could differ from the form of transmission in the 1st critical operating state. In normal operation, data is transmitted continuously here, while in the case of the 1st critical operating state, data transmission is interrupted by sufficient pauses.

Selbstverständlich sind im Rahmen der Erfindung auch noch andere Unterscheidungskriterien denkbar, so können insbesondere auch Kombination der aufgezeigten Beispiele verwendet werden.Other distinguishing criteria are of course also conceivable within the scope of the invention, so in particular combinations of the examples shown can also be used.

Im Folgenden werden anhand 7 bis 10 verschiedene Beispiele zur Darstellung der unterschiedlichen Übertragungsformen des Normalbetrieb und des 2. kritischen Betriebszustandes.The following are based 7 until 10 various examples to show the different forms of transmission of normal operation and the 2nd critical operating state.

Im Ausführungsbeispiel gemäß 7 wird ein Ausfall der Datenübertragung als 2. kritischer Betriebszustand dargestellt. Dieser Fehlerzustand wurde im Ausführungsbeispiel gemäß 3 gezielt als Übertragungsform für den 1. kritischen Betriebszustand gewählt. Es wird somit das gleiche Unterscheidungsmerkmal zwischen Normalbetrieb und 1. kritischen Betriebszustand sowie Normalbetrieb und 2. kritischen Betriebszustand verwendet. Dies ist insbesondere für den Fall ausreichend, bei dem keine Übermittlung der Informationen der gemessenen, sicherheitsrelevanten Parameter erforderlich ist und der 1. und 2. kritischen Betriebszustand die gleiche Aktivierung der Auslöseeinheit zur Folge hat.In the embodiment according to 7 a failure of the data transmission is shown as a 2nd critical operating state. This error condition was in accordance with the embodiment 3 specifically selected as the form of transmission for the 1st critical operating state. The same distinguishing feature between normal operation and 1st critical operating state and between normal operation and 2nd critical operating state is therefore used. This is sufficient in particular for the case in which no transmission of the information on the measured, safety-relevant parameters is required and the 1st and 2nd critical operating state result in the same activation of the tripping unit.

Es ist aber vielfach auf der Empfangsseite hilfreich, wenn zwischen dem 1. kritischen Betriebszustand und dem 2. kritischen Betriebszustand unterschieden werden kann. So könnte man für den 1. kritischen Betriebszustand ein DC-Niveau auf definiertem, aber von der Schaltungsmasse unterschiedlichen Niveau gemäß Ausführungsbeispiel in 5 heranziehen, um damit von dem Fehlerzustand des 2. kritischen Betriebszustandes gemäß Ausführungsbeispiel in 7 der Kommunikationsschnittstelle 6 zu unterscheiden. In dem Fall sind alle 3 Betriebszustände mit ihrer den jeweiligen Betriebszustand charakterisierenden Übertragungsform auf der Empfangsseite unterschiedlich auswertbar: die Übertragungsform für den Normalbetrieb und den 1. kritischen Betriebszustand jeweils in 5 und die Übertragungsform für den 2. kritischen Betriebszustand in 7. Das erste Unterscheidungsmerkmal mit einem definierten DC-Offset gemäß Ausführungsbeispiel in 5 und das zweite Unterscheidungsmerkmal mit einer definierten Grenzfrequenz weisen eine gemeinsame Eigenschaft auf: Datensignal im definierten DC-Offset-Bereich UND im definierten Frequenzbereich.However, it is often helpful on the receiving side if a distinction can be made between the 1st critical operating state and the 2nd critical operating state. So you could for the 1st critical operating state, a DC level at a defined level, but different from the circuit ground level according to the embodiment in 5 use in order to from the error state of the 2nd critical operating state according to the embodiment in 7 the communication interface 6 to distinguish. In this case, all 3 operating states with the form of transmission that characterizes the respective operating state can be evaluated differently on the receiving side: the form of transmission for normal operation and the 1st critical operating state in each case 5 and the form of transmission for the 2nd critical operating state in 7 . The first distinguishing feature with a defined DC offset according to the embodiment in 5 and the second distinguishing feature with a defined limit frequency have a common property: data signal in the defined DC offset range AND in the defined frequency range.

Die Ausführungsbeispiele gemäß 9 und 10 stellen weitere Fehlerzustände des 2. kritischen Betriebszustandes dar, die wiederum in den Ausführungsbeispielen gemäß 5 und 4 gezielt als jeweilige Übertragungsform für den 1. kritischen Betriebszustand gewählt werden können, falls ein gleiches Unterscheidungsmerkmal zwischen Normalbetrieb und 1. kritischen Betriebszustand sowie Normalbetrieb und 2. kritischen Betriebszustand gewünscht wird. Sofern in der zweiten Auswerteeinheit ohnehin nur eine Überprüfung dahingehend stattfindet, ob der Normalbetrieb oder einer der beiden kritischen Betriebszustände vorliegt, wobei sowohl im Falle des 1. kritischen Betriebszustandes als auch im Falle des 2. kritischen Betriebszustandes die Auslöseeinheit aktiviert wird, dann besteht auch keine Notwendigkeit die beiden kritischen Betriebszustände durch unterschiedliche Übertragungsformen voneinander zu unterscheiden.The exemplary embodiments according to 9 and 10 represent further error states of the 2nd critical operating state, which in turn are in accordance with the exemplary embodiments 5 and 4 can be selected specifically as the respective form of transmission for the 1st critical operating state if the same distinguishing feature between normal operation and 1st critical operating state and between normal operation and 2nd critical operating state is desired. If the second evaluation unit only checks whether normal operation or one of the two critical operating states is present, with the triggering unit being activated both in the case of the 1st critical operating state and in the case of the 2nd critical operating state, then there is none Necessity to distinguish between the two critical operating states by different transmission forms.

Im Folgenden wird anhand von 11 ein denkbares Ausführungsbeispiel für die zweite Auswerteeinheit 8 näher erläutert. Um eine erhöhte Auswertesicherheit zu gewährleisten, ist der erste Auswertungskanal 80 als softwaregesteuerte Realisierung ausgebildet und weist beispielsweise einen Mikrocontroller auf, der das von der Kommunikationsschnittstelle 6 über die Übertragungsstrecke 7 zu übertragende Datensignal auswertet. Neben der Auswertung des übermittelten Betriebszustandes können im ersten Auswertungskanal selbstverständlich auch die Informationen über den gemessenen, sicherheitsrelevanten Parameter analysiert werden, um ggf. auf den Betrieb der Anlage einzuwirken. So kann die Anlage beispielsweise in ihrer Leistung reduziert werden, wenn eine stark ansteigende Temperatur festgestellt wird, um einer vorzeitigen Aktivierung des Auslösegerätes entgegenzuwirken. Wird im Mikrocontroller festgestellt, dass der 1. oder der 2. kritische Betriebszustand vorliegt, wird ein Auslösesignal 83 erzeugt, das über das ODER-Glied 82 eine Aktivierung der Auslöseeinheit bewirkt.The following is based on 11 a conceivable exemplary embodiment for the second evaluation unit 8 is explained in more detail. In order to ensure increased evaluation reliability, the first evaluation channel 80 is designed as a software-controlled implementation and has, for example, a microcontroller which evaluates the data signal to be transmitted from the communication interface 6 via the transmission path 7 . In addition to the evaluation of the transmitted operating status, the information about the measured, safety-relevant parameters can of course also be analyzed in the first evaluation channel in order to possibly influence the operation of the system. For example, the power of the system can be reduced if a sharp rise in temperature is detected in order to counteract premature activation of the tripping device. If it is determined in the microcontroller that the 1st or the 2nd critical operating state is present, a triggering signal 83 is generated, which causes the triggering unit to be activated via the OR element 82 .

Der zweite Auswertungskanal 81 ist hingehen als hardwaregesteuerte Realisierung ausgebildet und enthält vorzugsweise eine einfache und robuste Schaltungstechnik, die lediglich darauf abgestellt ist, den übermittelten Betriebszustand zu erkennen, um dann im Falle des Erkennens eines der beiden kritischen Betriebszustände ein Auslösesignal 84 zu erzeugen. Im dargestellten Ausführungsbeispiel weist der zweite Auswertungskanal 81 einen Hochpassfilter 81a und eine Frequenzüberwachungsschaltung 81b auf. Für eine Übertragungsform mit einem definierten DC-Offset als erstes und zweites Unterscheidungsmerkmal (gemäß 5 und 9) kann der Hochpassfilter 81a einen Spannungsbegrenzer V1 mir einer Klemmspannung Uz integrieren. Die Klemmspannung Uz ist größer als die DC-Offset-Spannung U1 für den Normalbetrieb, allerdings kleiner als die DC-Offset-Spannung U2 für den 1. kritischen Betrieb (5) und ebenfalls kleiner als die mögliche DC-Offset-Spannung U2 im Fehlerzustand für den 2. kritischen Betrieb ( 9). Die Frequenzüberwachungsschaltung 81b überwacht die durch den Hochpassfilter 81a gekommenen Signalen mit dem bewerten Ruhestromprinzip. Hiernach wird der Betrieb der überwachten Anlagen nur freigegeben, wenn die Datenübermittlung an der Kommunikationsschnittstelle 6 eine Übertragungsform aufweist, die dem Normalbetrieb zugeordnet ist. Im Ausführungsbeispiel gemäß 2 ist die Übertragungsform des Normalbetriebs durch die kontinuierliche Datenübertragung mit einer oberhalb der Grenzfrequenz des Hochpassfilters 61a liegender Frequenz. Übertragungssignale mit niedrigeren Frequenzen, die der Übertragungsform für den Normalbetrieb nicht entsprechen, werden durch den Hochpassfilter 81a dahingehend gedämpft bzw. gesperrt, dass die Frequenzüberwachungsschaltung 81b das Auslösesignal 84 zur Aktivierung der Auslöseeinheit 9 generiert.The second evaluation channel 81 is in the form of a hardware-controlled implementation and preferably contains simple and robust circuitry that is only designed to detect the transmitted operating state in order to then generate a trigger signal 84 if one of the two critical operating states is detected. In the exemplary embodiment shown, the second evaluation channel 81 has a high-pass filter 81a and a frequency monitoring circuit 81b. For a form of transmission with a defined DC offset as the first and second distinguishing feature (according to 5 and 9 ) the high-pass filter 81a can integrate a voltage limiter V1 with a clamping voltage Uz. The terminal voltage Uz is greater than the DC offset voltage U 1 for normal operation, but smaller than the DC offset voltage U 2 for the 1st critical operation ( 5 ) and also smaller than the possible DC offset voltage U 2 in the error state for the 2nd critical operation ( 9 ). The frequency monitor circuit 81b monitors the signals passed through the high-pass filter 81a using the weighted quiescent current principle. According to this, the operation of the monitored systems is only released if the data transmission at the communication interface 6 has a transmission form that is associated with normal operation. In the embodiment according to 2 is the form of transmission of normal operation through continuous data transmission at a frequency above the cut-off frequency of high-pass filter 61a. Transmission signals with lower frequencies, which do not correspond to the transmission form for normal operation, are attenuated or blocked by the high-pass filter 81a in such a way that the frequency monitoring circuit 81b generates the triggering signal 84 for activating the triggering unit 9 .

Die Auslösesignale 83 und 84 der beiden Auswertungskanäle 80, 81 werden ODERverknüpft, um die Auslöseeinheit 9 zu aktivieren, wenn wenigstens eines der beiden Auslösesignale 83, 84 vorliegt. Dazu wird im ODER-Glied 82 das erste Auslösesignal 83 über den Transistor Q3 mit dem zweiten Auslösesignal 84 über den Transistor Q4 zum Ausgangssignal über die Auslöseeinheit 9 wie folgt verknüpft: Ausl o ¨ seeinheit ist aktiviert ,  wenn Q 3 gespernt  ODER Q 4 gespernt

Figure DE102019117972B4_0001
The triggering signals 83 and 84 of the two evaluation channels 80, 81 are ORed in order to activate the triggering unit 9 when at least one of the two triggering signals 83, 84 is present. For this purpose, the first triggering signal 83 is linked in the OR element 82 via the transistor Q3 with the second triggering signal 84 via the transistor Q4 to form the output signal via the triggering unit 9 as follows: foreign O ¨ sea unit is activated , if Q 3 locked OR Q 4 locked
Figure DE102019117972B4_0001

Claims (12)

Verfahren zur Überwachung einer Anlage, wobei a. wenigstens ein sicherheitsrelevanter Parameter der Anlage gemessen wird, b. der gemessene, sicherheitsrelevante Parameter in einer ersten Auswerteeinheit auf Einhaltung wenigstens eines vorgegebenen Grenzwertes ausgewertet wird, c. die erste Auswerteeinheit (2) auf einer Sendeseite einer Kommunikationsschnittstelle (6) und eine Auslöseeinheit auf einer Empfangsseite der Kommunikationsschnittstelle (6) vorgesehen sind und eine Datenübermittlung zwischen der Sende- und der Empfangsseite erfolgt und wobei ferner d. zwischen drei Betriebszuständen, nämlich einem Normalbetrieb, einem 1. kritischen Betriebszustand und einem 2. kritischen Betriebszustand unterschieden wird, wobei d1. der Normalbetrieb dadurch gekennzeichnet ist, dass der wenigstens eine gemessene sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert einhält und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, d2. der 1. kritische Betriebszustand dadurch gekennzeichnet ist, dass der gemessene sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert überschreitet und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert und d3. der 2. kritische Betriebszustand dadurch gekennzeichnet ist, dass eine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, und wobei e. bei der Datenübermittlung zumindest Informationen über den Betriebszustand übermittelt werden, f. jedem Betriebszustand wenigstens eine den ermittelten Betriebszustand charakterisierende Übertragungsform zugeordnet ist, die bei der Datenübermittlung verwendet wird, g. auf der Empfangsseite der Kommunikationsschnittstelle (6) eine mit der Auslöseeinheit in Verbindung stehende zweite Auswerteeinheit (8) vorgesehen ist, welche in einem ersten und einem zweiten Auswertungskanal (80, 81) die Informationen über den Betriebszustand unabhängig voneinander auswertet, h. die Auswertung der Information über den Betriebszustand in der zweiten Auswerteeinheit (8) durch Auswertung der Übertragungsform erfolgt und i. wobei bei Vorliegen des 1. oder 2. kritischen Betriebszustandes die Auslöseeinheit (9) aktiviert wird, um die Anlage in einen sicheren Zustand zu bringen.Method for monitoring a plant, wherein a. at least one safety-relevant parameter of the system is measured, b. the measured, safety-relevant parameter is evaluated in a first evaluation unit for compliance with at least one specified limit value, c. the first evaluation unit (2) is provided on a transmission side of a communication interface (6) and a triggering unit is provided on a reception side of the communication interface (6), and data is transmitted between the transmission and reception sides, and further d. a distinction is made between three operating states, namely normal operation, a 1st critical operating state and a 2nd critical operating state, with d1. normal operation is characterized in that the at least one measured safety-relevant parameter complies with the at least one specified limit value and there is no technical fault preventing effective data transmission via the communication interface (6), d2. the 1st critical operating state is characterized in that the measured safety-relevant parameter exceeds the at least one predetermined limit value and there is no technical fault that prevents effective data transmission via the communication interface (6), and d3. the 2nd critical operating state is characterized in that there is a technical fault that prevents effective data transmission via the communication interface (6), and wherein e. at least information about the operating state is transmitted during the data transmission, f. each operating state is assigned at least one transmission form that characterizes the determined operating state and is used in the data transmission, g. on the receiving side of the communication interface (6) there is a second evaluation unit (8) which is connected to the tripping unit and evaluates the information about the operating status independently of one another in a first and a second evaluation channel (80, 81), h. the information about the operating status is evaluated in the second evaluation unit (8) by evaluating the form of transmission and i. with the presence of the 1st or 2nd critical operating state, the triggering unit (9) is activated in order to bring the system into a safe state. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jeder Fehlerzustand der Kommunikationsschnittstelle (6), der eine effektive Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, einer Übertragungsform für den 2. kritischen Betrieb zugeordnet wird.procedure after claim 1 , characterized in that each error condition of the communication interface (6) which prevents effective data transmission via the communication interface (6) is assigned a form of transmission for the second critical operation. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass sich die den Normalbetrieb charakterisierende Übertragungsform zur Unterscheidung von der den 1. kritischen Betriebszustand charakterisierenden Übertragungsform durch wenigstens ein erstes Unterscheidungsmerkmal und von der den 2. kritischen Betriebszustand charakterisierenden Übertragungsform durch wenigstens ein zweites Unterscheidungsmerkmal unterscheidet.procedure after claim 1 , characterized in that the transmission form characterizing normal operation differs from the transmission form characterizing the 1st critical operating state by at least one first distinguishing feature and from the transmission form characterizing the 2nd critical operating state by at least one second distinguishing feature. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das erste Unterscheidungsmerkmal und das zweite Unterscheidungsmerkmal eine gemeinsame Eigenschaft aufweisen, die eine Unterscheidung des Normalbetriebs sowohl vom 1. kritischen Betriebszustand als auch vom 2. kritischen Betriebszustand ermöglicht.procedure after claim 3 , characterized in that the first distinguishing feature and the second distinguishing feature have a common property that allows a distinction of normal operation both from the 1st critical operating state and from the 2nd critical operating state. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das erste Unterscheidungsmerkmal und das zweite Unterscheidungsmerkmal gleich sind.procedure after claim 3 , characterized in that the first distinguishing feature and the second distinguishing feature are the same. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der erste und der zweite Auswertungskanal (80, 81) derart mit der Auslöseeinheit (9) verbunden sind, dass die Auslöseeinheit (9) aktiviert wird, wenn wenigstens einer der beiden Auswertungskanäle (80, 81) ein Auslösesignal (83, 84) generiert.procedure after claim 1 , characterized in that the first and the second evaluation channel (80, 81) are connected to the triggering unit (9) in such a way that the triggering unit (9) is activated when at least one of the two evaluation channels (80, 81) receives a triggering signal (83 , 84) generated. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei der Datenübermittlung im Normalbetrieb und/oder im 1. kritischen Betriebszustand neben den Informationen über den Betriebszustand auch Informationen über den gemessenen, sicherheitsrelevanten Parameter und/oder sonstige Betriebsdaten übermittelt werden.procedure after claim 1 , characterized in that in the data transmission in normal operation and/or in the 1st critical operating state, information about the measured, safety-relevant parameters and/or other operating data are transmitted in addition to the information about the operating state. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Auswertung im ersten Auswertungskanal (80) auf einem hardwaregesteuerten Arbeitsprinzip und die Auswertung im zweiten Auswertungskanal (81) auf einem softwaregesteuerten Arbeitsprinzip beruht.procedure after claim 1 , characterized in that the evaluation in the first evaluation channel (80) is based on a hardware-controlled working principle and the evaluation in the second evaluation channel (81) is based on a software-controlled working principle. Vorrichtung zur Durchführung des Verfahrens nach Anspruch 1 mit a. wenigstens einer Messeinheit (1) zur Messung eines sicherheitsrelevanten Parameters der Anlage, b. einer ersten Auswerteeinheit (2) zur Auswertung des gemessenen, sicherheitsrelevanten Parameters auf Einhaltung wenigstens eines vorgegebenen Grenzwertes, c. einer Auslöseeinheit (9), um die Anlage in einen sicheren Zustand zu bringen, d. einer Betriebszustands-Ermittlungseinheit (3) zur Ermittlung eines Betriebszustandes der Anlage, wobei zwischen drei Betriebszuständen, nämlich einem Normalbetrieb, einem 1. kritischen Betriebszustand und einem 2. kritischen Betriebszustand unterschieden wird, wobei d1. der Normalbetrieb dadurch gekennzeichnet ist, dass der wenigstens eine gemessene, sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert einhält und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, d2. der 1. kritische Betriebszustand dadurch gekennzeichnet ist, dass der gemessene, sicherheitsrelevante Parameter den wenigstens einen vorgegebenen Grenzwert überschreitet und keine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert und d3. der 2. kritische Betriebszustand dadurch gekennzeichnet ist, dass eine technische Störung vorliegt, die eine wirksame Datenübermittlung über die Kommunikationsschnittstelle (6) hindert, e. einer Kommunikationsschnittstelle (6) zur Datenübermittlung des Betriebszustandes zwischen einer Sendeseite und einer Empfangsseite, wobei die erste Auswerteeinheit (2) und die Betriebszustands-Ermittlungseinheit (3) auf der Sendeseite der Kommunikationsschnittstelle (6) und die Auslöseeinheit (9) auf der Empfangsseite der Kommunikationsschnittstelle (6) vorgesehen sind, wobei bei der Datenübermittlung jedem Betriebszustand wenigstens eine den ermittelten Betriebszustand charakterisierende Übertragungsform zugeordnet ist und f. einer auf der Empfangsseite der Kommunikationsschnittstelle (6) mit der Auslöseeinheit (9) in Verbindung stehende zweite Auswerteeinheit (8) mit einem ersten und einem zweiten, redundanten Auswertungskanal (80, 81) zur Überwachung des Betriebszustandes und zur Ansteuerung des Auslösegerätes (9) im Falle des Vorliegens des 1. oder 2. kritischen Betriebszustandes, wobei die Auswertung der Information über den Betriebszustand in der zweiten Auswerteeinheit (8) durch Auswertung der Übertragungsform erfolgt.Device for carrying out the method claim 1 with a at least one measuring unit (1) for measuring a safety-relevant parameter of the system, b. a first evaluation unit (2) for evaluating the measured, safety-relevant parameter for compliance with at least one specified limit value, c. a tripping unit (9) to bring the system into a safe state, d. an operating state determination unit (3) for determining an operating state of the system, a distinction being made between three operating states, namely normal operation, a 1st critical operating state and a 2nd critical operating state, with d1. normal operation is characterized in that the at least one measured, safety-relevant parameter complies with the at least one specified limit value and there is no technical fault preventing effective data transmission via the communication interface (6), d2. the 1st critical operating state is characterized in that the measured, safety-relevant parameter exceeds the at least one predetermined limit value and there is no technical fault that prevents effective data transmission via the communication interface (6), and d3. the 2. critical operating state is characterized in that there is a technical fault that prevents effective data transmission via the communication interface (6), e. a communication interface (6) for data transmission of the operating status between a sending end and a receiving end, the first evaluation unit (2) and the operating status determination unit (3) on the sending end of the communication interface (6) and the triggering unit (9) on the receiving end of the communication interface (6) are provided, with each operating state being assigned at least one form of transmission characterizing the determined operating state during data transmission, and f. a second evaluation unit (8) connected to the tripping unit (9) on the receiving side of the communication interface (6) and having a first and a second, redundant evaluation channel (80, 81) for monitoring the operating status and for controlling the tripping device (9) in the event of the 1st or 2nd critical operating status being present, with the evaluation of the information about the operating status being carried out in the second evaluation unit (8th ) by evaluating the form of transmission. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass der erste und der zweite Auswertungskanal (80, 81) über ein ODER-Glied (82) mit der Auslöseeinheit (9) verbunden sind, um die Auslöseeinheit (9) zu aktivieren, wenn wenigstens einer der beiden Auswertungskanäle (80, 81) ein Auslösesignal (83, 84) generiert.device after claim 9 , characterized in that the first and the second evaluation channel (80, 81) are connected to the tripping unit (9) via an OR element (82) in order to activate the tripping unit (9) when at least one of the two evaluation channels (80 , 81) generates a trigger signal (83, 84). Vorrichtung nach Anspruch 9, gekennzeichnet, durch eine Signalerzeugungseinheit (5) zur Erzeugung eines von der Sendeseite zur Empfangsseite der Kommunikationsschnittstelle (6) zu übertragendes Informationssignal, wobei das Informationssignal eine den ermittelten Betriebszustand charakterisierende Übertragungsform aufweist.device after claim 9 , characterized by a signal generation unit (5) for generating an information signal to be transmitted from the transmission side to the reception side of the communication interface (6), the information signal having a transmission form characterizing the determined operating state. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass der erste Auswertungskanal (80) als hardwaregesteuerte Realisierung und der zweiten Auswertungskanal (81) als softwaregesteuerte Realisierung ausgebildet sind.device after claim 9 , characterized in that the first evaluation channel (80) is designed as a hardware-controlled implementation and the second evaluation channel (81) as a software-controlled implementation.
DE102019117972.6A 2019-07-03 2019-07-03 Process and device for monitoring a plant Active DE102019117972B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102019117972.6A DE102019117972B4 (en) 2019-07-03 2019-07-03 Process and device for monitoring a plant
CN202010633480.0A CN112187847B (en) 2019-07-03 2020-07-02 Method and apparatus for monitoring a device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019117972.6A DE102019117972B4 (en) 2019-07-03 2019-07-03 Process and device for monitoring a plant

Publications (2)

Publication Number Publication Date
DE102019117972A1 DE102019117972A1 (en) 2021-01-07
DE102019117972B4 true DE102019117972B4 (en) 2023-05-25

Family

ID=73919361

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019117972.6A Active DE102019117972B4 (en) 2019-07-03 2019-07-03 Process and device for monitoring a plant

Country Status (2)

Country Link
CN (1) CN112187847B (en)
DE (1) DE102019117972B4 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1967831B1 (en) 2007-03-07 2012-04-18 Kriwan Industrie-Elektronik GmbH Temperature release device
DE102015001741A1 (en) 2015-02-11 2016-08-11 Kuka Roboter Gmbh Method and system for operating a multi-axis machine, in particular a robot

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005036777B4 (en) * 2005-08-02 2020-01-09 Phoenix Contact Gmbh & Co. Kg Three-phase power amplifier
DE102010019086A1 (en) * 2010-04-30 2011-11-03 Abb Technology Ag Device and method for transmitting measurement signals in spatially extended supply networks
DE102014210653A1 (en) * 2014-06-04 2015-12-17 Conti Temic Microelectronic Gmbh Device for controlling and / or monitoring a brushless DC motor
DE102015203250A1 (en) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE112016000264T5 (en) * 2015-03-04 2017-09-28 Abb Ag Safety control system and method for operating a safety control system
DE102015116100A1 (en) * 2015-09-23 2017-03-23 Phoenix Contact Gmbh & Co. Kg Safety-related control system for the safe control of an actuator
RU2661761C1 (en) * 2017-08-25 2018-07-19 Закрытое акционерное общество "КБ "Проминжиниринг" Threshold control unit for operating mechanism or technological equipment with input signal diagnostic function

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1967831B1 (en) 2007-03-07 2012-04-18 Kriwan Industrie-Elektronik GmbH Temperature release device
DE102015001741A1 (en) 2015-02-11 2016-08-11 Kuka Roboter Gmbh Method and system for operating a multi-axis machine, in particular a robot

Also Published As

Publication number Publication date
CN112187847A (en) 2021-01-05
DE102019117972A1 (en) 2021-01-07
CN112187847B (en) 2024-04-05

Similar Documents

Publication Publication Date Title
EP3246715B1 (en) Methods and devices for testing the functionality of an insulation monitoring device
DE102006053397A1 (en) Safety switching device
EP3657288B1 (en) Safe voltage monitoring
EP3365735B1 (en) Safety sensor for monitoring the operational safety of a system
EP0610711B1 (en) Electronic device for the control of an electrical motor device, in particular a device for a garage door
DE102006027135B3 (en) Safety switch operating method, involves transmitting impulse by controller over contact, where controller waits for return impulse at another contact for retrieving information about switching position of switching units between contacts
DE102016011803B4 (en) Test device and method for checking a vibration motor arranged in a device
EP2587512A1 (en) Safety-oriented switching device
DE3701714A1 (en) METHOD AND DEVICE FOR MONITORING COMPUTER-CONTROLLED ACTUATORS
WO2013072028A2 (en) Method and device for monitoring a high-voltage arrangement
DE102007055521A1 (en) Area monitoring device for person protection, has test input provided at receiver unit, where test signals for implementing external tests are read by test input and response signals are outputted at testing and evaluation device
DE102012010143B3 (en) Analog signal input circuit with a number of analog signal acquisition channels
EP3137948B1 (en) Device and method for failsafe monitoring of a moving machine part
DE102019117972B4 (en) Process and device for monitoring a plant
EP0924585A1 (en) Surveillance device for garage door drive
DE102015113364B3 (en) Security system and method of surveillance
DE10109864A1 (en) Safety switching device
EP0940623B1 (en) Device for monitoring a protected zone
EP3452876B1 (en) Control system for electrically controlled systems
EP2988419B1 (en) Method for determining the state of a reporting element which forms a short circuit
DE4403156B4 (en) Method and device for carrying out the method for controlling a consumer
WO2017194546A1 (en) Monitoring arrangement for monitoring a security device and method for monitoring a security device
EP2037340A1 (en) System and method for monitoring the control unit of a safety switching device
DE102018100627B4 (en) Electrical device with a fused and an unsecured functional device
EP3627033B1 (en) Device for protecting a hazardous area of a system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final