DE102020127515A1 - Vorrichtung zum Steuern eines sicherheitskritischen Prozesses - Google Patents

Vorrichtung zum Steuern eines sicherheitskritischen Prozesses Download PDF

Info

Publication number
DE102020127515A1
DE102020127515A1 DE102020127515.3A DE102020127515A DE102020127515A1 DE 102020127515 A1 DE102020127515 A1 DE 102020127515A1 DE 102020127515 A DE102020127515 A DE 102020127515A DE 102020127515 A1 DE102020127515 A1 DE 102020127515A1
Authority
DE
Germany
Prior art keywords
signal unit
secure
safety
communication
secure signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020127515.3A
Other languages
English (en)
Inventor
Michael Schlecht
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Priority to DE102020127515.3A priority Critical patent/DE102020127515A1/de
Priority to CN202180070546.2A priority patent/CN116438489A/zh
Priority to EP21791383.9A priority patent/EP4229485A1/de
Priority to JP2023522778A priority patent/JP2023547801A/ja
Priority to PCT/EP2021/078524 priority patent/WO2022084161A1/de
Publication of DE102020127515A1 publication Critical patent/DE102020127515A1/de
Priority to US18/303,339 priority patent/US20230259098A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24028Explosion free control, intrinsically safe
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25462Galvanic separation, galvanic isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50193Safety in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Small-Scale Networks (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Vorrichtung (10) und Verfahren (100) zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage. Eine erste sichere Signaleinheit (12) und eine zweite sichere Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess (20) verbunden sind, sind dazu eingerichtet, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess (20) zu steuern. Die physikalische Verbindung erfolgt über ein Stromnetz (16).

Description

  • Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage mit einer ersten sicheren Signaleinheit und einer zweiten sicheren Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind, wobei die erste sichere Signaleinheit und die zweite sichere Signaleinheit dazu eingerichtet sind, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess zu steuern.
  • Unter einem sicherheitskritischen Prozess wird hier ein Prozess verstanden, von dem beim Auftreten eines Fehlers eine nicht akzeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei einem sicherheitskritischen Prozess muss daher mit im Idealfall 100%iger Sicherheit gewährleistet sein, dass der Prozess bei Auftreten eines Fehlers in einen sicheren Zustand überführt wird. Dies kann bei einer Maschinenanlage beinhalten, dass die Anlage abgeschaltet wird. Bei einem chemischen Produktionsprozess könnte ein Abschalten jedoch eine unkontrollierte Reaktion hervorrufen, so dass in einem solchen Fall der Prozess besser in einen unkritischen Parameterbereich gefahren wird.
  • Sicherheitskritische Prozesse können auch Teilprozesse von größeren, übergeordneten Gesamtprozessen sein. Bei einer hydraulischen Presse kann bspw. die Materialzuführung ein nicht-sicherheitskritischer Teilprozess, die Inbetriebnahme des Presswerkzeugs dagegen ein sicherheitskritischer Teilprozess sein. Weitere Beispiele für sicherheitskritische (Teil-)Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zwei-Hand-Schaltern oder die Überwachung und Auswertung eines Not-Aus-Schalters. Grundsätzlich umfasst das Steuern eines sicherheitskritischen Prozesses das Abfragen sicherer Sensorik bzw. das Empfangen von sicheren Peripheriesignalen sowie das Auslösen einer sicherheitsgerichteten Reaktion in Abhängigkeit davon.
  • Die an der Steuerung eines sicherheitskritischen Prozesses beteiligten Einheiten müssen über ihre eigentliche Funktion hinausgehende, sicherheitsbezogene Einrichtungen aufweisen. Diese dienen vor allem der Fehler- und Funktionsüberwachung. In der Regel sind derartige Einheiten redundant aufgebaut, um eine sichere Funktion auch bei Auftreten eines Fehlers zu gewährleisten. Einheiten mit derartigen sicherheitsbezogenen Maßnahmen werden nachfolgend im Unterschied zu „normalen“ Einheiten als sicher bezeichnet. Sichere Einheiten sind insbesondere Sicherheitsbauteile im Sinne der der Maschinenrichtlinie 2006/42/EG oder der Norm DIN EN ISO 13849-1.
  • In den Anfängen der Sicherheitstechnik beruht eine Verknüpfung der sicheren Einheiten auf einer dedizierten Verdrahtung. Diese war im Wesentlichen unabhängig von der eigentlichen Steuerung der technischen Anlage realisiert. In der Regel wurden über eine Relaislogik sichere Eingänge, wie Not-Aus-Schalter, Lichtschranken etc. mit sicheren Ausgängen über eine eigenständige, individuelle Verdrahtung verknüpft, um eine Sicherheitsfunktion abzubilden. Bei moderneren Systemen wurde diese Festverdrahtung zunehmend durch ein komplexeres Kommunikationssystem ersetzt mit dem Ziel, die aus der Steuerungs- und Automatisierungstechnik allgemein bekannten Kommunikationsmittel auch für die Sicherheitstechnik wiederzuverwenden. Hierfür wurden entweder die bekannten Kommunikationsmittel für die Übertragung von sicherheitskritischen Daten befähigt (SafetyNET P) oder eine sichere Übertragung über die vorhandenen Kommunikationsmittel durch die Implementierung von Sicherheitsprotokollen gewährleistet (bspw. FailSafe over Ethernet).
  • Die von sich aus sicheren Kommunikationsmittel haben den Vorteil, dass diese eine sehr flexible Implementierung von Sicherheitsfunktionen ermöglichen, da Sicherheit der Kommunikation inhärent ist. Sichere Kommunikationsmittel sind jedoch teurer und müssen bei bestehenden Systemen oftmals erst nachgerüstet werden. Die Verwendung von bereits vorhandenen Kommunikationsmitteln, wie bspw. ein für die Steuerung einer technischen Anlage verwendetes Feldbussystem, ist zwar demgegenüber günstiger, schränkt das Abbilden einer Sicherheitsfunktion aber auf die bestehenden Kommunikationsmittel ein. Bestehende Kommunikationsmittel sind jedoch nicht immer an den Orten verfügbar, wo Einrichtungen der Sicherheitstechnik benötigt werden. Beispielsweise muss ein Not-Aus-Schalter nicht unmittelbar an einem Antrieb angeordnet sein, sondern an dem angetriebenen Teil, der für einen Benutzer eine Gefahr darstellt. Nicht selten werden daher einige Sicherheitsfunktionen weiterhin über eine dedizierte Verkabelung abgebildet, da die Kommunikationsmittel für die normale Steuerung der technischen Anlage zwar für die Übertragung von sicheren Daten befähigt werden können, nicht aber immer dort vorhanden sind, wo Eingänge und/oder Ausgänge für die Sicherheitstechnik benötigt werden.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung eine Vorrichtung und ein Verfahren zum Steuern eines sicherheitskritischen Prozesses anzugeben, die eine flexible Ausgestaltung einer Sicherheitsfunktion ermöglichen. Ferner ist es eine Aufgabe eine Vorrichtung und ein Verfahren anzugeben, welche sich kostengünstig realisieren und sich einfach in bestehende Systeme integrieren lassen.
  • Gemäß einem Aspekt der vorliegenden Erfindung wird diese Aufgabe durch eine Vorrichtung der eingangs genannten Art gelöst, wobei die physikalische Verbindung ein Stromnetz ist.
  • Ferner wird diese Aufgabe gelöst durch ein Verfahren zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage, umfassend: Bereitstellen einer ersten sicheren Signaleinheit und einer zweiten Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind; Verbinden der ersten sicheren Signaleinheit mit der zweiten sicheren Signaleinheit über eine physikalische Verbindung; Implementieren eines Sicherheitsprotokolls zur Absicherung eines Datenaustauschs auf einer logischen Ebene; Austauschen von Daten zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit, um den sicherheitskritischen Prozess zu steuern, wobei die physikalische Verbindung über ein Stromnetz realisiert ist.
  • Es ist somit eine Idee der vorliegenden Erfindung eine Verknüpfung zwischen sicheren Einheiten über ein Stromnetz zu realisieren und nicht über ein Kommunikationsnetz der technischen Anlage. Ein Stromnetz im Sinne der vorliegenden Offenbarung ist ein Netzwerk, welches dazu eingerichtet ist, elektrische Energie zu übertragen und zu verteilen. Es umfasst elektrische Leitungen, die für eine Übertragung von elektrischer Energie eingerichtet sind, um einen elektrischen Verbraucher anzutreiben. In Abgrenzung hierzu ist ein Kommunikationsnetz ein Netzwerk, das als primäre Aufgabe das Übertragen von Daten hat.
  • Die Verwendung eines Stromnetzes zur Verknüpfung von sicheren Signaleinheiten ermöglicht es einem Anwender, die Sicherheitstechnik unabhängig von einer bestehenden Vernetzung für die Steuerung einer technischen Anlage zu realisieren. Die Kommunikation für die Sicherheitstechnik muss folglich nicht über die gleiche Kommunikationsinfrastruktur erfolgen, wie die Kommunikation für die Steuerung der technischen Anlage, an der die Sicherheitsfunktion zu realisieren ist. Gleichzeitig muss der Anwender für die Realisierung der Sicherheitsfunktion aber auch keine Neuverkabelung vornehmen, da er auf eine üblicherweise vorhandene Verkabelung eines Stromnetzes zurückgreifen kann.
  • Während eine Kommunikationsinfrastruktur für die Steuerung einer technischen Anlage primär steuerungstechnische Aspekte der technischen Anlage berücksichtigt, ist ein Stromnetz regelmäßig universeller eigerichtet und somit auch an Stellen verfügbar, an denen keine Steuerung der technischen Anlage stattfindet, die jedoch für die Sicherheitstechnik relevant sein können. So sind einige sichere Signaleinheiten gerade nicht unmittelbar in der Nähe von Antrieben einer Maschine angeordnet, sondern in Bereichen, in denen ein Anwender die Maschine bedient. An diesen Stellen ist oftmals keine Verkabelung für die Anlagensteuerung vorgesehen, jedoch kann eine Verkabelung des Stromnetzes zugänglich sein, bspw. von einer Beleuchtung, die an diesem Abschnitt angeordnet ist.
  • Die Verwendung des Stromnetzes für die Verknüpfung von sicheren Signaleinheiten erfordert zudem nur geringen Entwicklungsaufwand, der sowohl Verfahren zur Datenübertragung über Stromnetze, sog. Trägerfrequenzanlagen, als auch entsprechende Protokolle zur Absicherung der Übertragung bekannt sind. Beispielsweise kann eine Kommunikation über das Stromnetz mittels der unter dem Namen PowerLAN oder Powerline Communications (PLC) zusammengefassten Verfahren zum Beispiel nach einem der Standards IEEE-1901-FFT, IEEE-1901-wavelet oder ITU G.hn erfolgen.
  • Die Absicherung der Kommunikation kann auf logischer Ebene nach dem sog. „Black Channel“-Prinzip erfolgen. Beim „Black Channel“-Prinzip setzt die Sicherheitsfunktion als eigene Sicherheitsebene (safety layer) auf dem eigentlichen Übertragungsmedium auf. Dieses Prinzip ist mit Zertifizierern, wie bspw. dem deutschen TÜV, gemeinsam ausgearbeitet, wissenschaftlich fundiert untersucht und gut abgesichert. Das „Black Channel“-Prinzip wurde bereits zur Absicherung von Standard-Feldbussen oder industriellen Ethernet-Lösungen angewandt.
  • Insgesamt stellt die vorgeschlagene Vorrichtung somit eine einfache, flexible und kostengünstige Möglichkeit dar, eine Sicherheitsfunktion an einer technischen Anlage zu implementieren. Die eingangs genannte Aufgabe ist damit vollständig gelöst.
  • In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die technische Anlage bereitstellen.
  • Gemäß dieser Ausgestaltung ist das Stromnetz über das die sicheren Einheiten miteinander kommunizieren dasselbe Netz, welches die elektrische Energie für die Energieversorgung der technischen Anlage bereitstellt. Eine bestehende Verkabelung kann somit die zusätzliche sichere Kommunikation zwischen sicheren Signaleinheiten bereitstellen, wodurch Verkabelungs- und Installationskosten eingespart werden können.
  • In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit bereitstellen.
  • Gemäß dieser Ausgestaltung versorgen sich die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit über das Stromnetz mit elektrischer Energie. Mit anderen Worten ein Anwender kann aus einer bestehenden Verdrahtung einerseits eine Versorgungsspannung abgreifen sowie andererseits Signale auf die Leitungen der Versorgungsspannung übertragen. Das Stromnetz kann die Spannungsversorgung auch unabhängig von der Spannung oder Frequenz bereitstellen. Dies kann bspw. über Weitspannungsnetzteile oder universale Spannungsversorgung mit hoher Bandbreite der Eingangsspannung und Frequenz erfolgen. Diese Ausgestaltung trägt insgesamt weiter zu einer vereinfachten Verkabelung bei, da für die Spannungsversorgung und für die Datenübertragung nur ein Anschluss notwendig ist.
  • In einer weiteren Ausgestaltung kann das Stromnetz zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit mindestens einen Abschnitt aufweisen, der durch einen Gleitkontakt, insbesondere eine Schleifleiste oder ein Schleifring realisiert ist.
  • Gemäß dieser Ausgestaltung kann die Kommunikation auch über sich zueinander bewegende Komponenten auf einfache Weise realisiert werden. Dies ermöglicht auch ein Nachrüsten bei Geräten, bei denen eine separate Kommunikationsverkabelung nachteilig oder nicht realisierbar ist. Bei einem Roboter bspw. kann eine Kommunikation über die einzelnen Gelenke hinweg realisiert werden, ohne dass zusätzlich Kabel verlegt werden müssen, die den Roboter in seine Bewegung einschränken. Bei Windkrafträder, bei denen Kuppel und Mast drehbarbar zueinander gelagert sind und eine Stromübertragung über Schleifringe erfolgt, kann diese Ausgestaltung ebenfalls vorteilhaft angewandt werden.
  • In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit an einer beweglichen Einrichtung der technischen Anlage angeordnet sein und relativ zu der zweiten sicheren Signaleinheit beweglich sein.
  • Gemäß dieser Ausgestaltung können die Signaleinheiten mit Einrichtungen gekoppelt sein, die sich zueinander bewegen. Beispielsweise kann eine Signaleinheit bei einer Hallenkrananlage an dem laufenden Kranelement angeordnet sein oder bei einem führungsgebundenen Transportsystem an dem jeweiligen Transportmittel. Wenn das jeweilige Element mit Strom versorgt wird, kann über dieselbe Leitung auch die sichere Kommunikation zwischen dieser sicheren Signaleinheit und einer weiteren sicheren Signaleinheit, die an dasselbe Stromnetz angeschlossen ist, erfolgen. Diese Ausgestaltung trägt somit zu einer weiteren Vereinfachung der Verkabelung bei.
  • In einer weiteren Ausgestaltung können die erste sichere Signaleinheit und die zweite sichere Signaleinheit je Kommunikationsmittel aufweisen, die ein Sicherheitskommunikationsprotokoll für die Kommunikation auf der logischen Ebene und ein Standardkommunikationsprotokoll zur Kommunikation über die physikalische Verbindung implementieren.
  • Gemäß dieser Ausgestaltung implementieren die sicheren Signaleinheiten jeweils ein Sicherheitskommunikationsprotokoll und ein Standardkommunikationsprotokoll. Das Standardkommunikationsprotokoll kann ein Feldbus- oder ein auf Ethernet-basierendes Kommunikationsprotokoll sein. Das Kommunikationsprotokoll sollte wenigstens die OSI-Referenzmodellschichten 1 und 2 (Netzzugriff) abdecken. In verschiedenen Ausführungsbeispielen kann das Standardkommunikationsprotokoll die Schichten 1 bis 7 des OSI-Referenzmodells umfassen. Das Sicherheitskommunikationsprotokoll setzt auf den Schichten des Standardkommunikationsprotokolls auf und richtet eine sichere Kommunikationsverbindung auf logischer Ebene zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit ein. Bei der Implementierung des Standardkommunikationsprotokolls kann auf generische Lösung zurückgegriffen werden. Verfügbare Lösungen sind auf Basis von FPGAs, ASICs, Stacks und Modulen implementiert, auf denen die komplette Hard- und Software für die Standardkommunikation integriert ist. Auch für die Implementierung des Sicherheitskommunikationsprotokolls sind generische Lösungen bekannt, wenn auch nicht so zahlreich. Die Zweiteilung in Standard- und Sicherheitskommunikation hat neben der Modularisierung den Vorteil, dass gemäß dem „Black Channel“-Prinzip nur die Sicherheitskommunikation eine gesonderte Zertifizierung durchlaufen muss. Kapselt man zudem die Implementierung des Sicherheitskommunikationsprotokolls in einer Hard- und Softwarekomponente mit entsprechenden Schnittstellen, muss nur diese Komponente den aufwändigen Zertifizierungsprozess durchlaufen. Die Zweiteilung trägt somit zu einer kostengünstigen und flexiblen Ausgestaltung der Vorrichtung bei.
  • In einer weiteren Ausgestaltung kann das Stromnetz ein Gleichspannungsnetz, insbesondere ein 24/48VDC-Netz, sein.
  • Gemäß dieser Ausgestaltung erfolgt die Kommunikation über ein Gleichspannungsnetz, wie es im industriellen Umfeld regelmäßig vorzufinden ist. Die Vorrichtung kann somit auf eine im industriellen Umfeld häufig anzutreffende Verkabelung zurückgreifen. Zudem können sich die sicheren Signaleinheiten einfach aus dem Gleichspannungsnetz speisen, ohne dass eine Gleichrichtung stattfinden muss.
  • In einer weiteren Ausgestaltung kann das Stromnetz ein Wechselspannungsnetz, insbesondere ein 230/400VAC-Netz, sein.
  • Ein Wechselspannungsnetz ist Bestandteil nahezu jeder Liegenschaft und regelmäßig großflächig über diese verteilt. Zudem sind für gängige Wechselspannungsnetze eine Vielzahl von Trägerfrequenzanlagen mit ausreichender Übertragungskapazität und - qualität verfügbar.
  • In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Steuereinheit aufweisen, welche dazu eingerichtet ist, die Kommunikation zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit zu koordinieren.
  • Gemäß dieser Ausgestaltung ist eine weitere sichere Einheit als Steuereinheit vorgesehen. Die Steuereinheit verfügt über dieselben Kommunikationseinrichtungen wie die erste sichere Signaleinheit und die zweite sichere Signaleinheit. Die Steuereinheit kann mit den beiden Signaleinheiten kommunizieren und deren Kommunikation koordinieren. Beispielsweise kann die Steuereinheit als Kommunikationsmaster fungieren, während die sicheren Signaleinheiten als Slaves arbeiten. Eine Kommunikation zwischen den sicheren Signaleinheiten kann dann indirekt über die Steuereinheit ausgeführt werden. Die Steuereinheit kann auch eine Adressierung der ersten und zweiten Signaleinheiten sowie weiterer Kommunikationsteilnehmer einrichten, um auch komplexe Kommunikationsstrukturen abbilden zu können. Die Steuereinheit kann als eigenständige Kommunikationseinheit an das Stromnetz angeschlossen sein oder als Teilkomponente einer der ersten oder zweiten Signaleinheit ausgebildet sein. Denkbar ist auch, dass die Funktion der Steuereinheit flexibel und dynamisch einer sicheren Einheit zugeordnet werden kann. Über die Steuereinheit können komplexe Szenarien oder Kommunikationsstrukturen abgebildet werden, wodurch die Vorrichtung insgesamt flexibler eingesetzt werden kann.
  • In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Vermittlungseinheit aufweisen, welche dazu eingerichtet ist, eine sichere Kommunikation zwischen der ersten sicheren Signaleinheit und/oder der zweiten sicheren Signaleinheit und einem System einzurichten, das nicht über eine Datenschnittstelle mit dem Stromnetz verbunden ist.
  • Gemäß dieser Ausgestaltung umfasst die Vorrichtung somit eine Vermittlungseinheit, die eine sichere Kommunikation zwischen zwei (sicheren) Systemen vermitteln kann. Beispielsweise kann die Vermittlungseinheit eine Brücke zwischen zwei Netzen bilden, wobei das erste Netz das Stromnetz ist und das zweite Netz ein Datenkommunikationsnetzwerk, wie bspw. ein Feldbus oder ein industrielles Ethernet-Netzwerk. Über die Vermittlungseinheit kann ein bestehendes Netzwerk um die in dem Stromnetz kommunizierenden Einheiten erweitert werden. Die Ausgestaltung erhöht somit die Einsatzmöglichkeiten der Vorrichtung und trägt zur Integrationsfähigkeit bei.
  • In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit ein Eingangsmodul, insbesondere ein Not-Halt-Modul, sein.
  • Gemäß dieser Ausgestaltung ist die erste sichere Signaleinheit ein Eingangsmodul, welches Signale eines oder mehrerer Signalgeber (Sensoren) empfängt. Die Signale können mit oder ohne weitere Signalverarbeitung bspw. als Not-Halt-Signal sicher über die physikalische Verbindung übertragen werden. Die Signalgeber können bspw. Lichtschranken, Türschalter, Not-Aus-Taster oder andere sichere Sensoren aus der Sicherheitstechnik sein. Die Verwendung von Eingangsmodulen in Kombination mit einer Datenübertragung über ein Stromnetz erlaubt eine flexible Positionierung der sicheren Sensoren für die Implementierung einer Sicherheitsfunktion.
  • In einer weiteren Ausgestaltung kann das Eingangsmodul zusätzlich eine Logikeinheit aufweisen.
  • Gemäß dieser Ausgestaltung kann das Eingangsmodul nicht nur Daten von Signalgebern entgegennehmen, sondern diese mit einer Verarbeitungslogik verarbeiten. Beispielsweise kann eine Verarbeitungslogik Signale mehrerer Signalgeber miteinander verknüpfen und ein Not-Halt-Signal generieren, das auf dieser Verknüpfung basiert. Auf diese Weise lassen sich auch komplexe Sicherheitsfunktionen auf einfache Weise implementieren.
  • In einer weiteren Ausgestaltung kann die zweite sichere Signaleinheit ein Ausgangsmodul, insbesondere ein Ausgangsmodul mit Ausgängen auf Relais- oder Halbleiterbasis, sein.
  • Gemäß dieser Ausgestaltung ist die zweite sichere Signaleinheit ein Ausgangsmodul, welches den Prozess über Aktoren steuert. Die Aktoren können bspw. Schütze in einer Stromversorgung eines Antriebs einer technischen Anlage sein, die einen Betrieb nur dann erlauben, wenn ein entsprechendes Ausgangssignal von dem Ausgangsmodul bereitgestellt wird. Das Ausgangssignal kann sich bspw. aus der Stromversorgung speisen, welche durch das Stromnetz zur Verfügung gestellt wird. Gleichzeitig kann auch das Signal, bspw. das Not-Halt-Signal, welches ursächlich für das Ausgangssignal des Ausgangsmoduls ist, über das Stromnetz empfangen werden. Die Ausgestaltung erlaubt daher eine sehr einfache Verkabelung auf der Ausgangsseite.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Ausführungsbeispiele sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung noch nähert erläutert. Es zeigen:
    • 1 ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind,
    • 2 ein weiteres Ausführungsbeispiel mit zusätzlichen Komponenten, die an der sicheren Kommunikation über das Stromnetz beteiligt sein können, und
    • 3 eine schematische Darstellung eines Ausführungsbeispiels eines Verfahrens gemäß der vorliegenden Offenbarung.
  • 1 zeigt ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind. Die Vorrichtung ist hier in der Gesamtheit mit der Bezugsziffer 10 bezeichnet und umfasst mindestens eine erste sichere Signaleinheit 12 und eine zweite sichere Signaleinheit 14.
  • Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander gekoppelt, wie in der nachfolgenden Beschreibung noch näher erläutert ist.
  • Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 weisen jeweils einen oder mehrere E/A-Kanäle 18 auf, über die sie mit einem sicherheitskritischen Prozess 20 verbunden sind. Über die E/A-Kanäle 18 lesen die Signaleinheiten 12, 14 Signale und/oder Daten des sicherheitskritischen Prozesses 20 ein. Derartige Signale bzw. Daten sind bspw. die aktuelle Drehzahl einer Maschinenwelle oder die Schalterstellung eines Not-Aus-Schalters. Andererseits können die Signaleinheiten 12, 14 über die E/A-Kanäle 18 auf Aktoren einwirken, mit denen der sicherheitskritische Prozess 20 beeinflusst werden kann.
  • In einem Ausführungsbeispiel kann es sich bei dem sicherheitskritischen Prozess 20 um eine Not-Aus-Funktion handeln. In diesem Fall kann die erste Signaleinheit 12 mit einem Not-Aus-Schalter verbunden sein und als ein Eingangsmodul über die E/A-Kanäle 18 ein Signal, welches die Schalterstellung des Not-Aus-Schalters repräsentiert, empfangen. Die zweite Signaleinheit 14 kann über die E/A-Kanäle 18 als ein Ausgangsmodul ein Ausgangssignal an den sicherheitskritischen Prozess 20 abgeben. Das Ausgangssignal kann ein Freigabesignal sein, welches einen Betrieb der technischen Anlage nur dann erlaubt, wenn dieses Signal vorhanden ist. Beispielsweise kann das Freigabesignal auf einen Aktor wirken, mit dem die Hauptstromversorgung der technischen Anlage abgeschaltet werden kann.
  • Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander verbunden. Das heißt, die erste und die zweite sichere Signaleinheit 12, 14 stehen in Kontakt mit einem oder mehreren Leitern 22 eines für die Energieübertragung eingerichteten Stromnetzes 16. Die Leiter können bspw. einzelne Außenleiter (Phasen) eines 230/400V-Wechselstromnetzes sein oder alternativ die Drähte eines Gleichstromnetzes, bspw. eines 24V-Gleichstromnetzes, wie es regelmäßig im industriellen Umfeld vorzufinden ist. Die erste und die zweite sichere Signaleinheit 12, 14 können über das Stromnetz 16 eine Versorgungsspannung beziehen.
  • Ferner können die erste und die zweite sichere Signaleinheit 12, 14 als sog. Trägerfrequenzanlagen eingerichtet sein oder mit einer solchen gekoppelt werden, um Daten über den bezeichneten Kontakt auf das Stromnetz 16 zu übertragen. Trägerfrequenzanlagen verwenden eine Trägerfrequenztechnik um Daten über bereits vorhandene, oftmals für einen anderen Zweck eingerichtete Übertragungswege auszutauschen. Hierzu werden die zu übertragenden Signale über eine oder mehrere Trägerfrequenzen auf einen Leiter 22 des Stromnetzes 16 moduliert. Die Trägerfrequenztechnik wird bei Stromnetzen auch als PowerLAN oder als Powerline Communications bezeichnet und ist in diversen Standards beschrieben.
  • Die Kommunikation zwischen der ersten Signaleinheit 12 und der zweiten Signaleinheit 14 ist als sichere Kommunikation 24 (auch als Failsafe-FS-Kommunikation bezeichnet) eingerichtet. Sichere Kommunikation bedeutet gemäß dieser Offenbarung, dass Daten im Sinne der Maschinensicherheit übertragen werden können. Da eine solche Kommunikation in der Regel nicht von der zuvor beschriebenen Datenkommunikation über das Stromnetz 16 abgebildet werden kann, findet die sichere Kommunikation 24 zwischen den Signaleinheiten 12, 14 auf einer logischen Ebene oberhalb der eigentlichen Kommunikationsschicht unter Anwendung eines „Black Channel“-Prinzips statt.
  • „Black Channel“ bezeichnet in der Kommunikationstechnik einen Kommunikationskanal mit ungesicherten oder nicht zur Anwendung passenden Eigenschaften. Das „Black Channel“-Prinzip ermöglicht es, die Anforderung einer Anwendung bezüglich der Kommunikation zu erfüllen, ohne dass der Kommunikationskanal dieses sicherstellt. Hierfür wird bspw. zwischen einer Sicherheitsanwendung und dem nichtsicheren Kommunikationskanal ein Sicherheitsprotokoll integriert, welches dem gewünschten Sicherheitsniveau eines sicherheitsgerichteten Systems entspricht und Übertragungsfehler der darunterliegenden Kommunikationsschichten erkennt und beherrscht.
  • Für die Implementierung des Sicherheitsprotokolls können die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils sicherheitsgerichtete Einrichtungen 26 aufweisen, mittels derer das Protokoll implementiert wird. Im dargestellten Ausführungsbeispiel gemäß 1 sind die sicherheitsgerichteten Einrichtungen 26 durch zwei Verarbeitungseinheiten 28a, 28b angedeutet. Die beiden Verarbeitungseinheiten 28a, 28b führen sicherheitsrelevante Aufgaben redundant zueinander aus. Dabei können sie sich gegenseitig kontrollieren, was in der 1 durch den Doppelpfeil zwischen den Verarbeitungseinheiten 28a, 28b angedeutet ist. Neben der Implementierung des Sicherheitsprotokolls können die sicherheitsgerichteten Einrichtungen 26 weitere sicherheitsrelevante Aufgaben wahrnehmen, wie bspw. eine sichere Verknüpfung von Signalen oder das Ausführen eines sicherheitsbezogenen Anwenderprogramms.
  • Die Hard- und Software für die Implementierung des Sicherheitsprotokolls kann zu einem Modul gekapselt sein. Dieses Modul kann getrennt von einem Kommunikationsmodul 30, welches die „unsichere“ Kommunikation über das Stromnetz 16 realisiert, implementiert werden. Bei dem Kommunikationsmodul 30 kann es sich um eine Standardkomponente handeln, welche die zuvor beschriebene Trägerfrequenztechnik implementiert.
  • 2 zeigt ein Ausführungsbeispiel, bei dem zusätzliche Komponenten das zuvor beschriebene System ergänzen und erweitern.
  • Neben der ersten sicheren Signaleinheit 12 und der zweiten sicheren Signaleinheit 14 umfasst die Vorrichtung gemäß dem Ausführungsbeispiel nach 2 zwei weitere Signaleinheiten 32, 34, eine Vermittlungseinheit 36 sowie eine Steuereinheit 38. Alle Einheiten 12, 14, 32, 34, 36, 38 sind in der zuvor beschriebenen Weise über das Stromnetz 16 miteinander gekoppelt und dazu eingerichtet, hierüber Daten sicher auszutauschen. Die Einheiten haben somit jeweils ein Kommunikationsmodul 30 für die „unsichere“ Kommunikation über das Stromnetz 16 sowie sicherheitsgerichtete Einrichtungen 26 für die Implementierung eines Sicherheitsprotokolls, welches die Übertragung über den unsicheren Kommunikationskanal absichert.
  • Die erste und zweite sichere Signaleinheit 12, 14, die bereits im Zusammenhang mit dem Ausführungsbeispiel gemäß 1 erläutert wurden, werden im Folgenden nicht erneut beschrieben. Gleiches gilt für die übrigen Komponenten, die in Bezug auf 1 bereits beschrieben worden sind. Diese sind auch in der 2 mit denselben Bezugszeichen versehen.
  • Die sichere Signaleinheit 32 entspricht im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich darin, dass sie sowohl Eingänge als auch Ausgänge zu einem Prozess 40 aufweist. Die Signaleinheit 32 kombiniert somit die Funktionen der Signaleinheiten 12, 14 und integriert diese in einer einzelnen Einheit. Ergänzend kann die sichere Signaleinheit 32 eine Logikeinheit aufweisen, welche eine sichere Verknüpfung der Ein- und Ausgangssignale realisiert.
  • Die weitere sichere Signaleinheit 34 entspricht ebenfalls im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich lediglich in ihrem Anschluss an das Stromnetz 16. Dieser ist hier als eine separate Anschlusseinheit 42 ausgebildet. Die Anschlusseinheit 42 kann ein handelsüblicher PowerLAN-Adapter sein, der bspw. eine auf Ethernet-basierende Kommunikation für eine Übertragung über das Stromnetz 16 umwandelt. Die sichere Signaleinheit 34 kann dementsprechend mit einem Kommunikationsmodul 44 ausgestattet sein, das eine gewöhnliche Netzwerkschnittstelle implementiert. Beispielsweise kann es sich bei dem Kommunikationsmodul 44 um eine Ethernet-Schnittstelle handeln. Auf diese Weise kann eine bereits vorhandene Hardware einer sicheren Signaleinheit weiterverwendet werden, da lediglich das Sicherheitsprotokoll implementiert werden muss. Dies kann auf Basis einer Softwareänderung erfolgen.
  • Die Vermittlungseinheit 36 stellt einen weiteren Kommunikationsteilnehmer dar, der dazu eingerichtet ist, zwischen zwei Netzen zu vermitteln. Exemplarisch ist hier neben dem Stromnetz 16 ein Feldbus 46 als ein zweites Netz angedeutet. Die Vermittlungseinheit 36 vermittelt zwischen den beiden Netzen 16, 46 wie eine Brücke. Hierfür weist sie das zuvor beschriebene Kommunikationsmodul 30 für die Kommunikation über das Stromnetz 16 auf und zusätzlich ein Kommunikationsmodul 48 für eine Kommunikation über den Feldbus 46. Ferner erweitert die Vermittlungseinheit 36 des Sicherheitsprotokolls dahingehend, dass über das Kommunikationsmodul 30 empfangene Datentelegramme oder Signale über das Kommunikationsmodul 48 an Einheiten weitergeleitet werden, die an den Feldbus 46 angeschlossen sind, oder umgekehrt.
  • Neben einer Verknüpfung zweier unterschiedlicher Netzwerke kann eine Vermittlungseinheit 36 in einem anderen Ausführungsbeispiel auch dazu eingerichtet sein, zwei verschiedene Arten von Stromnetzen für die Datenkommunikation zu koppeln. Auf diese Weise können Signaleinheiten, die bspw. über ein 24VDC-Netz gekoppelt sind, mit Einheiten, die in einem 230/400VAC-Netz miteinander gekoppelt sind, kommunizieren.
  • Grundsätzlich kann die Vorrichtung noch weitere Koppelelemente umfassen, die weitere Übertragungswege bereitstellen. Beispielsweise kann ein Phasenkoppler vorgesehen sein, der zwei Außenleiter für die Übertragung der Trägersignale miteinander verbindet. Als Außenleiter bezeichnet man allgemein die Leiter in einem Stromnetz, die im üblichen Betrieb unter Spannung stehen und zur Übertragung oder Verteilung elektrischer Energie beitragen. Der Phasenkoppler verbindet die Außenleiter derart, dass die Spannungen getrennt bleiben, jedoch das hochfrequente Trägersignal, welches die Datenkommunikation ermöglicht, von einem Außenleiter auf den anderen übertragen wird. Auf diese Weise lässt sich bspw. bei einem Dreiphasen-Wechselstromnetz jeder Leiter für die Übertragung von Daten nutzbar machen.
  • 2 zeigt ferner eine Steuereinheit 38, die dazu eingerichtet ist, eine Kommunikation innerhalb des Stromnetzes 16 zu koordinieren. Beispielsweise kann die Steuereinheit 38 als eine Masterstation eingerichtet sein und die weiteren Einheiten jeweils als Slave. Auf diese Weise lassen sich verschiedene Kommunikationsmodi abbilden. Die Steuereinheit 38 kann zudem weitere aus der Kommunikationstechnik bekannte Koordinierungsaufgaben wahrnehmen. Beispielsweise kann die Steuereinheit 38 eine zentrale Adressvergabe und Adresszuordnung koordinieren.
  • Die Steuereinheit 38 verfügt wie die übrigen Signaleinheiten 12, 14 über ein Kommunikationsmodul 30 sowie über sicherheitsgerichtete Einrichtungen 26 zur Implementierung des Sicherheitsprotokolls.
  • Die sicherheitsgerichteten Einrichtungen 26 der Steuereinheit 38 können ferner dazu verwendet werden, ein (sicheres) Anwenderprogramm auszuführen, um eine gewünschte Sicherheitsfunktion zu realisieren. In diesem Fall können die anderen Signaleinheiten als einfache Ein- und Ausgangsmodule eingerichtet sein, die abgesetzt von der Steuereinheit 38 diese mit dem Prozess verbinden. Die Verarbeitung der über das Stromnetz 16 sicher übertragenen Daten kann dann zentral durch die Steuereinheit 38 erfolgen.
  • Während die Steuereinheit 38 und die Vermittlungseinheit 36 hier als eigenständige Einheiten dargestellt sind, können deren Funktion in jeder der zuvor beschriebenen Signaleinheit integriert werden. Im Falle der Steuereinheit 38 ist sogar denkbar, dass deren Aufgabe dynamisch beim Einrichten des Netzwerks an eine Signaleinheit delegiert wird. Denkbar ist auch, dass eine dynamische Neukonfiguration stattfindet, sobald sich die Teilnehmer im Netz verändern.
  • Grundsätzlich ist das in 2 gezeigte Netzwerk exemplarisch zu verstehen. Dem Fachmann ist bewusst, dass hier mögliche Bausteine dem Prinzip nach dargestellt sind, die sich auch in anderer Weise und in anderer Anzahl kombinieren lassen, um eine Sicherheitsfunktion abzubilden. Ferner erkennt der Fachmann, dass das Netzwerk nicht nur für sicherheitsgerichtete Aufgaben eingerichtet ist, sondern auch Standardautomatisierungsaufgaben parallel hierzu abarbeiten kann, indem die entsprechenden Komponenten in das Netzwerk integriert werden.
  • Mit den vorgeschlagenen Vorrichtungen können bestehende Einrichtungen auf einfache Weise erweitert werden. Insbesondere können Bereiche, die bisher nur über das Stromnetz erreichbar sind, mit der neuen Vorrichtung abgedeckt werden.
  • 3 zeigt in einer schematischen Darstellung ein Verfahren nach einem Ausführungsbeispiel der vorliegenden Offenbarung.
  • Das Verfahren 100 steuert einen sicherheitskritischen Prozess 20 und umfasst zunächst das Bereitstellen einer ersten sicheren Signaleinheit 12 und einer zweiten sicheren Signaleinheit 14, die über E/A-Kanäle 18 mit dem sicherheitskritischen Prozess 20 verbunden sind (S102).
  • Die sicheren Signaleinheiten 12, 14 werden über eine physikalische Verbindung miteinander gekoppelt. Die physikalische Verbindung ist über ein Stromnetz 16 realisiert (S104). Die Kopplung mit dem Stromnetz 16 kann bspw. durch Einstecken der Signaleinheiten 12, 14 in einen Auslass des Stromnetzes 16 (Steckdose) erfolgen. Neben dem Anschluss an das Stromnetz 16 können für die sichere Signaleinheit 12, 14 nur noch Anschlüsse für die Peripherie vorgesehen sein.
  • Ferner implementieren die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils ein Sicherheitsprotokoll zur Absicherung eines Datenaustauschs auf einer logischen Ebene zwischen den beiden Signaleinheiten (S106).
  • Basierend auf dem Sicherheitsprotokoll tauschen die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 Daten miteinander aus, um den sicherheitskritischen Prozess 20 zu steuern (S108).
  • Es versteht sich, dass die hier wiedergegebenen Verfahrensschritte nur die wesentlichen Elemente des Verfahrens wiedergeben. Weitere Schritte zwischen den genannten Verfahrensschritten sind denkbar. Darüber hinaus lässt sich auch ein komplexeres Netzwerk durch weitere Verfahrensschritte abbilden, wie es zuvor in Bezug auf der 2 beschrieben worden ist.

Claims (14)

  1. Eine Vorrichtung (10) zum Steuern eines sicherheitskritischen Prozesses (20) an einer technischen Anlage, umfassend: eine erste sichere Signaleinheit (12) und eine zweite sichere Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess (20) verbunden sind, wobei die erste sichere Signaleinheit (12) und die zweite sichere Signaleinheit (14) dazu eingerichtet sind, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess (20) zu steuern, dadurch gekennzeichnet, dass die physikalische Verbindung ein Stromnetz (16) ist.
  2. Die Vorrichtung nach Anspruch 1, wobei das Stromnetz (16) eine Versorgungsspannung für die technische Anlage bereitstellt.
  3. Die Vorrichtung nach einem der Ansprüche 1 oder 2, wobei das Stromnetz (16) eine Versorgungsspannung für die erste sichere Signaleinheit (12) und/oder die zweite sichere Signaleinheit (14) bereitstellt.
  4. Die Vorrichtung nach einem der Ansprüche 1 bis 3, wobei das Stromnetz (16) zwischen der ersten sicheren (12) und der zweiten sicheren Signaleinheit (14) mindestens einen Abschnitt aufweist, der durch einen Gleitkontakt, insbesondere eine Schleifleiste oder einen Schleifring realisiert ist.
  5. Die Vorrichtung nach einem der Ansprüche 1 bis 4, wobei die erste sichere Signaleinheit (12) an einer beweglichen Einrichtung der technischen Anlage angeordnet ist und relativ zu der zweiten sicheren Signaleinheit (14) beweglich ist.
  6. Die Vorrichtung nach einem der Ansprüche 1 bis 5, wobei die erste sichere Signaleinheit (12) und die zweite sichere Signaleinheit (14) je Kommunikationsmittel aufweisen, die ein Sicherheitskommunikationsprotokoll für die Kommunikation auf der logischen Ebene und ein Standardkommunikationsprotokoll zur Kommunikation über die physikalische Verbindung implementieren.
  7. Die Vorrichtung nach einem der Ansprüche 1 bis 6, wobei das Stromnetz (16) ein Gleichspannungsnetz, insbesondere ein 24VDC-Netz, ist.
  8. Die Vorrichtung nach einem der Ansprüche 1 bis 6, wobei das Stromnetz (16) ein Wechselspannungsnetz, insbesondere ein 230/400VAC-Netz, ist.
  9. Die Vorrichtung nach einem der Ansprüche 1 bis 8, wobei die Vorrichtung ferner eine Steuereinheit (38) aufweist, welche dazu eingerichtet ist, die Kommunikation zwischen der ersten sicheren Signaleinheit (12) und der zweiten sicheren Signaleinheit (14) zu koordinieren.
  10. Die Vorrichtung nach einem der Ansprüche 1 bis 9, wobei die Vorrichtung ferner eine Vermittlungseinheit (36) aufweist, welche dazu eingerichtet ist, eine sichere Kommunikation zwischen der ersten sicheren Signaleinheit (12) und/oder der zweiten sicheren Signaleinheit (14) und einem System einzurichten, das nicht über eine Datenschnittstelle mit dem Stromnetz (16) verbunden ist.
  11. Die Vorrichtung nach einem der Ansprüche 1 bis 10, wobei die erste sichere Signaleinheit (12) ein Eingangsmodul, insbesondere ein Not-Halt-Modul, ist.
  12. Die Vorrichtung nach Anspruch 11, wobei das Eingangsmodul eine Logikeinheit aufweist.
  13. Die Vorrichtung nach einem der Ansprüche 1 bis 12, wobei die zweite sichere Signaleinheit (14) ein Ausgangsmodul ist, insbesondere ein Ausgangsmodul mit Ausgängen auf Relais- oder Halbleiterbasis.
  14. Ein Verfahren (100) zum Steuern eines sicherheitskritischen Prozesses (20) an einer technischen Anlage, umfassend: Bereitstellen einer ersten sicheren Signaleinheit (12) und einer zweiten sicheren Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess verbunden sind; Verbinden der ersten sicheren Signaleinheit (12) mit der zweiten sicheren Signaleinheit (14) über eine physikalische Verbindung; Implementieren eines Sicherheitsprotokolls zur Absicherung eines Datenaustauschs auf einer logischen Ebene; Austauschen von Daten zwischen der ersten sicheren Signaleinheit (12) und der zweiten sicheren Signaleinheit (14), um den sicherheitskritischen Prozess (20) zu steuern; dadurch gekennzeichnet, dass die physikalische Verbindung über ein Stromnetz (16) realisiert ist.
DE102020127515.3A 2020-10-19 2020-10-19 Vorrichtung zum Steuern eines sicherheitskritischen Prozesses Pending DE102020127515A1 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102020127515.3A DE102020127515A1 (de) 2020-10-19 2020-10-19 Vorrichtung zum Steuern eines sicherheitskritischen Prozesses
CN202180070546.2A CN116438489A (zh) 2020-10-19 2021-10-14 用于控制安全关键过程的装置
EP21791383.9A EP4229485A1 (de) 2020-10-19 2021-10-14 Vorrichtung zum steuern eines sicherheitskritischen prozesses
JP2023522778A JP2023547801A (ja) 2020-10-19 2021-10-14 セーフティクリティカルプロセスを制御する装置
PCT/EP2021/078524 WO2022084161A1 (de) 2020-10-19 2021-10-14 Vorrichtung zum steuern eines sicherheitskritischen prozesses
US18/303,339 US20230259098A1 (en) 2020-10-19 2023-04-19 Apparatus and Method for Controlling a Safety-Critical Process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020127515.3A DE102020127515A1 (de) 2020-10-19 2020-10-19 Vorrichtung zum Steuern eines sicherheitskritischen Prozesses

Publications (1)

Publication Number Publication Date
DE102020127515A1 true DE102020127515A1 (de) 2022-04-21

Family

ID=78179442

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020127515.3A Pending DE102020127515A1 (de) 2020-10-19 2020-10-19 Vorrichtung zum Steuern eines sicherheitskritischen Prozesses

Country Status (6)

Country Link
US (1) US20230259098A1 (de)
EP (1) EP4229485A1 (de)
JP (1) JP2023547801A (de)
CN (1) CN116438489A (de)
DE (1) DE102020127515A1 (de)
WO (1) WO2022084161A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015221512A1 (de) 2015-11-03 2017-05-04 Krones Ag Rotierendes Maschinenmodul in der Getränkemittelindustrie
EP3441832A1 (de) 2017-08-07 2019-02-13 Wieland Electric GmbH Modulare speicherprogrammierbare steuerung

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4599013B2 (ja) * 1999-08-23 2010-12-15 ピルツ ゲーエムベーハー アンド コー.カーゲー 安全ステーションを設定する方法およびそれを利用した安全制御システム
ES2499340T3 (es) * 2007-08-07 2014-09-29 Thyssenkrupp Elevator Ag Sistema de elevador
EP3230189B1 (de) * 2014-12-10 2020-06-24 Inventio AG Aufzugsystem mit sicherheitsüberwachungssystem mit einer master-slave-hierarchie
JP6539457B2 (ja) * 2015-02-20 2019-07-03 株式会社ダイヘン ロボットの関節構造
JP2018069438A (ja) * 2016-10-31 2018-05-10 株式会社タイテック 産業用ロボットシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015221512A1 (de) 2015-11-03 2017-05-04 Krones Ag Rotierendes Maschinenmodul in der Getränkemittelindustrie
EP3441832A1 (de) 2017-08-07 2019-02-13 Wieland Electric GmbH Modulare speicherprogrammierbare steuerung

Also Published As

Publication number Publication date
JP2023547801A (ja) 2023-11-14
US20230259098A1 (en) 2023-08-17
EP4229485A1 (de) 2023-08-23
CN116438489A (zh) 2023-07-14
WO2022084161A1 (de) 2022-04-28

Similar Documents

Publication Publication Date Title
DE102010037262B4 (de) Integrierte Bussteuerungs- und Energieversorgungseinrichtung zur Verwendung in einem Prozesssteuerungssystem
EP0344609B1 (de) Digitales Signalübertragungssystem für die Hausleittechnik
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2315088B1 (de) Sicherheitssteuerung
DE102012014681B4 (de) Verwendung eines lO-Links zur Anbindung eines Netzgerätes
EP1642179B1 (de) Vorrichtung zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
DE102009013303A1 (de) Verwendung eines IO-Links
DE3236812A1 (de) Fernwirksystem
DE102012009494A1 (de) Steuereinrichtung zum Steuern eines Sicherheitsgerätes und Verwendung eines IO-Links zur Übermittlung eines Sicherheitsprotokolls an ein Sicherheitsgerät
DE10353950A1 (de) Steuerungssystem
EP2053476A2 (de) System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
DE112014006106B4 (de) Sicherheitssteuersystem und Sicherheitssteuergerät
DE102020127515A1 (de) Vorrichtung zum Steuern eines sicherheitskritischen Prozesses
EP1690390B1 (de) Verfahren zur übertragung von daten über einen datenbus sowie system und gateway zur durchführung des verfahrens
EP2506445B1 (de) Verbindungsgerät, System und Verfahren zur Signalübertragung zwischen einer Leitstelle und mindestens einem Feldgerät in einer industriellen Anlage
EP3441832A1 (de) Modulare speicherprogrammierbare steuerung
AT505741A1 (de) Dezentrale energieversorgungseinrichtung für ein modulares, fehlersicheres steuerungssystem
EP3847760B1 (de) Verfahren und vorrichtung zur datenübermittlung an bord eines wasserfahrzeugs
DE19703160B4 (de) Einrichtung zum Verbinden und Betreiben von Protokolliereinrichtungen in einer EIB-Anlage
DE102006049636A1 (de) Buskoppler sowie Kommunikationssystem mit Buskoppler
DE102012211867B3 (de) PROFIenergy in unterlagerten Kommunikationssystemen
WO2004107555A1 (de) Motorsteuerung

Legal Events

Date Code Title Description
R012 Request for examination validly filed