DE10247520A1 - Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem - Google Patents

Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem Download PDF

Info

Publication number
DE10247520A1
DE10247520A1 DE2002147520 DE10247520A DE10247520A1 DE 10247520 A1 DE10247520 A1 DE 10247520A1 DE 2002147520 DE2002147520 DE 2002147520 DE 10247520 A DE10247520 A DE 10247520A DE 10247520 A1 DE10247520 A1 DE 10247520A1
Authority
DE
Germany
Prior art keywords
control units
control
redundant
control unit
redundancy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2002147520
Other languages
English (en)
Inventor
Gunter Griessbach
Enrico Ramm
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2002147520 priority Critical patent/DE10247520A1/de
Priority to PCT/DE2003/003365 priority patent/WO2004036324A1/de
Publication of DE10247520A1 publication Critical patent/DE10247520A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14132Dual plc, each monitors other

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren sowie eine Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem gemäß Oberbegriff der Patentansprüche 1 und 14. DOLLAR A Um bei einem Verfahren sowie einer Einrichtung der gattungsgemäßen Art eine schnelle Umschaltung vornehmen zu können und überdies auf die Vorsehung einer zusätzlichen Zusammenschalteinheit oder einer mit aktiven Bauelementen versehenen Zusammenschalteinheit verzichten zu können, ist erfindungsgemäß vorgeschlagen, dass eine Redundanzumschaltung in den Steuergeräten selbst erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.

Description

  • Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem Die Erfindung betrifft ein Verfahren und eine Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem gemäß Oberbegriff der Patentansprüche 1 und 14.
  • In Automatisierungsverfahren werden vorwiegend hierarchisch organisierte Systeme eingesetzt. Ausgehend von einer Zentralsteuerung werden einzelne Gerätegruppen angesteuert, die zu einem gesamten Verfahrensprozess gehören. So kann beispielsweise zur Lösung einer bestimmten technischen oder prozesstechnischen Aufgabe die Ansteuerung von Ventilen oder sonstigen Aktoren gehören. Diese einzelnen Aktoren sind über ein Bussystem ansteuerungsmäßig und informationstechnisch miteinander verbunden. Die einzelnen Aktoren und Sensoren sind dabei adressiert ansteuerbar.
  • Einer jeweiligen Prozessaufgabe zugeordnet können mehrere Peripheriegeräte sein, denen jeweils ein Steuergerät, eine so genannte Kopfstation, hierarchisch direkt übergeordnet ist, über welche sie angesteuert werden. Den jeweiligen Kopfstationen wiederum sind übergeordnete Steuer- oder Prozesseinheiten vorgeschaltet.
  • Betrachtet man ein gesamtes Automatisierungssystem in diesem Teilbereich, nämlich der ansteuerungsmäßigen Zuordnung von Peripheriegeräten an eine entsprechende Kopfstation, so ist es üblich, die Kopfstationen redundant auszulegen. Diese redundante Ausführung der Kopfstationen, wobei in der Regel zwei Kopfstationen sich redundant ersetzen können, greift über das Bussystem auf wechselweise nicht redundante Peripherieeinheiten zu. In diesem Fall bedient immer eine der beiden Kopfstationen bzw. eines der beiden Steuergeräte aktiv die Peripherieeinheiten, während die andere Kopfstation oder das andere Steuergerät sich passiv verhält und auf eine Übernahme der Ansteuerung der Peripherieeinheiten wartet.
  • Die redundante Auslegung soll hierbei der Gefahr zuvorkommen, dass die jeweils aktive Kopfstation oder das aktive Steuergerät defekt sein könnte. Das redundante zweite Steuergerät soll in einem solchen Fall diese Steueraufgabe dann übernehmen.
  • Tritt ein solches Umschaltkriterium ein, so wird die Aktivität der Bedienung der Peripherie von der bislang passiven Kopfstation übernommen. Prozesstechnisch wird dabei gewünscht, dass der Aktivitätswechsel in einer sehr kurzen Zeit und stoßfrei erfolgen soll. Vor allem soll der oben genannte Fall sichergestellt werden, dass bei Ausfall einer Kopfstation oder eines Steuergerätes eine sichere Umschaltung erfolgt und die dann übernehmende Kopfstation sogleich die Aufgabe übernimmt, ohne durch die ausgefallene Kopfstation behindert oder blockiert zu werden.
  • Im Stand der Technik ist es daher bekannt, dass die beiden Kopfstationen bzw. die beiden Steuergeräte auf einer so genannten Zusammenschalteinheit angeordnet sind, die den Tausch zwischen aktivem und passivem Zustand zwischen den einzelnen Kopfstationen erkennt und schaltet. Nachteilig ist daher im Stand der Technik, dass die Zusammenschalteinheit die technische Koordination des Umschaltens zwischen den beiden Kopfstationen vornehmen muss. Dafür ist die Zusammenschalteinheit mit logischen Elementen versehen bzw. mit aktiven Bauelementen, die ggf. recht aufwendig sind. Dem Problem der Redundanzumschaltung will man durch relativ kurze Umschaltzyklen begegnen.
  • Nebenbei bemerkt sei noch, dass die Kopfstation auch nicht redundant an die Peripherieeinheiten angeschlossen werden kann. Dabei entfällt die Zusammenschalteinheit gänzlich. Auf diese Weise ist das System auch nicht mehr redundant ausgelegt und der Ausfall der Kopfstation würde einen Ausfall auch der Funktion der Peripherieeinheiten bedeuten, da diese nicht mehr angesteuert würden.
  • Bisher war es so, dass die beiden Kopfstationen auf eine aktive Zusammenschalteinheit aufgesteckt sind, die zum einen die Korrespondenz der beiden Kopfstationen, nämlich der aktiven und der passiven, durchführt und zum anderen auch die Kommunikation zu den an das Bussystem angeschlossenen Peripherieeinheiten durchführt. In der Zusammenschalteinheit befindet sich in der Regel ein komplexer programmierbarer Logikschaltkreis, der von jeder Kopfstation aus über spezielle Peripheriebuszugriffe erreichbar ist. Die Zusammenschalteinheit organisiert somit insgesamt die Anschaltung des Peripheriebusses an eine der beiden Kopfstationen bzw. an eines der beiden Steuergeräte. In der Regel werden über den Logikschaltkreis auch Daten von einer Kopfstation zur zweiten Kopfstation ausgetauscht. Bei Ausfall einer der beiden Kopfstationen kann der Logikschaltkreis selbstständig den Peripheriebus auf die andere Kopfstation umschalten.
  • Die Einbeziehung einer solchen separaten Zusammenschalteinheit führt dazu, dass im Umschaltvorgang zwischen der ausgefallenen Kopfstation und der dafür einzuschaltenden Kopfstation eine Totzeit entsteht, in der der Prozess nicht ordnungsgemäß läuft. Solche Totzeiten sind von Nachteil und im Übrigen ist die Vorsehung einer solchen, mit aktiven Bauelementen versehenen Zusammenschalteinheit technisch aufwendig.
  • Eine grundlegende Ausbildung der Redundanz bei Bussystemen ist aus der DE 37 13 825 A1 bekannt. Das dort beschriebene Bussystem wird als hochverfügbar bezeichnet und aus diesem Grund doppelt ausgelegt. Bei Fehlererkennung auf einem der Bussysteme wird von einem auf das andere umgeschaltet.
  • Hierbei wird jedoch das gesamte Bussystem redundant ausgelegt, was relativ aufwendig ist.
  • Ein weiteres System ist aus der WO 99/32947 bekannt. Dort werden eine Reihe von Prozesscontrollern verwendet, die von einer übergeordneten Einheit wahlweise beaufschlagt werden. Dabei handelt es sich um ein System nach der Art, wie eingangs beschrieben. Die Anordnung einer übergeordneten Steuereinheit, die wiederum im Redundanzfall die einzelnen Steuergeräte beaufschlagt, ist ähnlich aufgebaut wie eine mit aktiven Bauelementen bestückte Zusammenschalteinheit, die die einzelnen Steuereinheiten überwacht.
  • Redundanz spielt bei der Anforderung an solche Systeme eine wichtige Rolle, jedoch wird diese in bekannten Systemen zu aufwendig umgesetzt.
    •
  • Der Erfindung liegt somit die Aufgabe zugrunde, bei einem Verfahren sowie einer Einrichtung der gattungsgemäßen Art eine schnelle Umschaltung vornehmen zu können. Darüber hinaus soll weitgehend auf eine zusätzliche Zusammenschalteinheit oder eine mit aktiven Bauelementen versehene Zusammenschalteinheit verzichtet werden.
  • Bei einem Verfahren der gattungsgemäßen Art wird die gestellte Aufgabe erfindungsgemäß durch die kennzeichnenden Merkmale des Patentanspruchs 1 gelöst.
  • Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den abhängigen Ansprüchen 2 bis 11 angegeben.
  • Im Hinblick auf eine Einrichtung der gattungsgemäßen Art wird die gestellte Aufgabe erfindungsgemäß durch die kennzeichnenden Merkmale des Patentanspruchs 12 gelöst.
  • Weitere vorteilhafte Ausgestaltungen der erfindungsgemäßen Einrichtung sind in den übrigen abhängigen Patentansprüchen 13 bis 15 angegeben.
  • Eine weitere erfindungsgemäße Lösung der Aufgabe ist in den Ansprüchen 16 und 17 angegeben.
  • Das erfindungsgemäße Verfahren besteht nunmehr darin, dass eine Redundanzumschaltung in den Steuergeräten selbst erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
  • Alternativ dazu kann aber auch eine Umschaltung aktiv durch Bustreiber bewirkt werden, die beispielsweise auf der passiven Umschalteinheit abgelegt sein können.
  • Hierdurch wird erreicht, dass eine Zusammenschalteinheit mit aktiven Bauelementen überflüssig wird, indem nunmehr erfindungsgemäß in den Steuergeräten selbst ein Selbsttest über die jeweilige Funktionstauglichkeit des jeweils aktiven Steuergerätes selbst diagnostiziert werden kann. Für den Fall, dass eines der Steuergeräte, welches gerade aktiv ist, seine Funktionsuntauglichkeit oder eine eigene Fehlfunktion selbst diagnostiziert, wird dieses selbsttätig das redundante zweite Steuergerät aktivieren und sich selbst dabei vom System selbsttätig deaktivieren. Hierzu wird nicht nur ein Aktivierungssignal an das zweite redundante, bisher passive Steuergerät gesendet, sondern auch ggf. vorhandene Prozessdaten werden dabei mit übermittelt.
  • In weiterer vorteilhafter Ausgestaltung ist daher vorgesehen, dass, wie oben bereits ausgeführt, beim Ausfall eines der Steuergeräte das sich selbst deaktivierende Steuergerät zuvor noch die Prozessdaten an das dann aktivierte redundante Steuergerät übermittelt.
  • In weiterer vorteilhafter Ausgestaltung ist angegeben, dass die Steuergeräte selbsttätig zwischen dem Zustand, dass eine Zusammenschalteinheit vorhanden ist oder nicht, und zwischen redundantem und nicht redundantem System selbst unterscheiden können, durch ein entsprechendes Statussignal STK. Über diese verfahrensgemäße Maßnahme ist es möglich, dass nun ein Steuergerät durch die Tatsache, dass es auf eine passive Zusammenschalteinheit aufgesteckt wird oder nicht, selbst unterscheiden kann und zudem unterscheiden kann, ob ein zweites Steuergerät vorhanden ist, und dies über eine entsprechende 5teckplatzbewertung bzw. ein Steckplatzbewertungssignal STK vorgenommen wird, welches dann in entsprechender Weise entweder high oder low sein kann.
  • In weiterer vorteilhafter Ausgestaltung ist vorgesehen, dass so genannte Redundanzhilfssignale generiert werden bzw, generiert werden können, die das Vorhandensein von Redundanzgeräten selbsttätig erkennen und zwischen einem Steckplatz rechts und links durch ein entsprechendes jeweiliges Signal unterscheiden können. Auf diese Weise können sich die Steuergeräte auf die jeweiligen Steckplätze appliziert selbst erkennen und können somit auch erkennen, welchen der beiden Steuergeräteplätze sie im System jeweils belegen. Ein entsprechendes Statussignal wird hierbei erzeugt.
  • In weiterer vorteilhafter Ausgestaltung ist angegeben, dass die beiden Steuergeräte über serielle Datensätze bzw. Ports SDE und SDR miteinander kommunizieren, wobei SDE serieller Dateneingang und SDA serieller Datenausgang meint. Diese Kommunikation ist eine Redundanzkommunikation. Bei einer synchronen Übertragung wird hierzu zusätzlich noch der Takt mit übertragen. Dabei erfolgt ein gegenseitiger Datenaustausch zwischen der aktiven und der passiven Kopfstation bzw. zwischen dem aktiven und dem passiven Steuergerät, was für Datengleichheit auf beiden Steuergeräten sorgt.
  • Darüber hinausgehend kann hierbei anhand des Datenaustausches auch eine gegenseitige Lebens- oder Aktivitätsüberwachung stattfinden. Auch der oben beschriebene Umschaltvorgang zwischen den beiden Steuergeräten wird bei Erkennung eines Umschaltkriteriums durch diese Datenübertragung initiiert. Dies bedeutet, dass die beiden Steuergeräte miteinander direkt kommunizieren und somit je nach selbst erkanntem Status verabreden können, welches der Steuergeräte nun aktiv ist, d. h. je nach vorliegenden Umschaltkriterien. Das jeweils andere Steuergerät schaltet sich dabei selbsttätig passiv. Auch dies braucht nicht mehr von einer im Stand der Technik ansonsten üblichen Zusammenschalteinheit vorgenommen werden, da die beiden Steuergeräte nunmehr direkt miteinander kommunizieren und auch dieses Statussignal miteinander austauschen.
  • In weiterer vorteilhafter Ausgestaltung ist ein weiteres Statussignal AKT eingeführt, welches den Umschaltvorgang und die dafür wichtigen Funktionen miteinander bezeichnet. Dieses Signal AKT wird über eine Verbindungsleitung zwischen den beiden Steuergeräten ausgetauscht und erfüllt dabei gleichzeitig mehrere Funktionen.
  • Dabei erfolgt
  • – eine gegenseitige Information der Steuergeräte über den jeweils aktiven Zustand bezüglich des Peripheriebusses,
  • – eine Vermeidung der gleichzeitigen Aktivierung beider Steuergeräte, indem jeweils eines deaktiviert bzw. passiv geschaltet wird,
  • – und die so genannte Reißleinenfunktion bei Spannungsausfall oder Defekt der aktiven Baugruppe.
  • Der Zustand des Signals kann von jeder Kopfstation, d. h. von jedem Steuergerät, aus auf high oder low geschaltet werden. Dabei kann jedoch auch jedes Steuergerät den Zustand des Signals zurücklesen. Von dem jeweils aktiven Steuergerät wird AKT auf high gestellt. Vor einem Wechsel auf high fragt das aktiv werdende Steuergerät das AKT-Signal ab. Dabei ist ein Wechsel auf den Zustand high nur dann möglich, wenn zuvor der Zustand low zurückgelesen wurde, d. h. wenn die Gegenseite nicht durch AKT = high ihre Aktivität anzeigt.
  • Somit ist ein Wechsel der Aktivität von einem Steuergerät zum anderen erst dann möglich, wenn das passiv werdende Steuergerät durch AKT = low seinen Rückzug von der Busaktivität anzeigt. Bei einem Wechsel des Signals AKT wird auf jeder Kopfstation, d. h. in jedem Steuergerät, ein Interrupt ausgelöst. Hierdurch wiederum wird dem jeweils anderen Steuergerät ein Wechsel angezeigt. Aufgrund der Ausführung der Treiberstufe des AKT-Signals wird dieses mit einem Spannungsausfall auf AKT = low geschaltet. Auch in diesem Fall wird ein Umschaltvorgang eingeleitet, wie er bereits oben beschrieben ist.
  • Gleichzeitig ergibt sich damit noch eine Sicherheit, nämlich dass mit dem AKT-Signal noch eine solche Sicherheitsfunktion verknüpft wird, um sicherzustellen, dass bei einem Ausfall eines Steuergerätes der Peripheriebus und das AKT-Signal nicht blockiert werden. Dabei ist ein Timer-Kanal vorgesehen, der im fehlerfreien Betrieb per Software immer wieder zurückgestellt wird, also im Normalfall nicht abläuft. Nur bei einem Software- oder einem Hardware-Fehler kommt es zum Ablauf des so genannten Signales auf dem Timer-Kanal. Damit wird dann der Peripheriebus zwangsweise freigegeben und auch das AKT-Signal auf low geschaltet. Aufgrund dieser indirekten so genannten Reißleinenfunktion ist das bislang passive Steuergerät in der Lage, die Aktivität zu übernehmen und sich auf das Bussystem zu schalten.
  • Eine Zusammenschalteinheit kann als solche noch vorhanden sein, jedoch, wie oben bereits beschrieben, bedarf es keiner aktiven Bauelemente mehr. Die Zusammenschalteinheit kann so mit nur noch aus passiven Bauelementen bestehen, die ggf. nur Datenleitungen enthalten und die entsprechenden Stecksockel für die Steuergeräte.
  • In weiterer vorteilhafter Ausgestaltung ist daher ein Statussignal zur Unterscheidung zwischen der Belegung des rechten oder des linken Steckplatzes angegeben. Diese Information ist für eine Priorisierung eines Steuergerätes beim Einschalten der Automatisierungsstation erforderlich. Das Signal wird auf dem Steuergerät auf high gezogen. Auf einem der beiden Steckplätze wird das Signal fest auf low geschaltet. D. h., es ergibt sich ein Anfangszustand in der Aktivierung der Steuergeräte.
  • Eine besonders vorteilhafte Betriebsweise des erfindungsgemäßen Verfahrens, aber auch der noch nachfolgend beschriebenen erfindungsgemäßen Einrichtung ist die Zusammenwirkung aller genannten Statussignale in Verbindung mit der Tatsache, dass die Zusammenschalteinheit nur noch aus passiven Elementen besteht und die Redundanzüberwachung und Umschaltung samt aller zu treffenden Maßnahmen und aller zu übermittelnden Daten logisch in den Steuergeräten funktional selbst implementiert ist. Die Gesamtheit aller genannten Signale werden somit als Redundanzhilfssignale bezeichnet, wobei dem zuletzt beschriebenen AKT-Signal eine besondere Bedeutung zukommt.
  • Die erfindungsgemäße Einrichtung besteht nun im Kern darin, dass die beiden redundant ausgelegten Steuergeräte jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implementiert erhalten. Die Zusammenschalteinheit besteht somit nur noch aus Datenverbindungsleitungen sowie ggf. Sockelanschlüssen zur Aufnahme der jeweiligen Steuergeräte. Sämtliche, im Stand der Technik ansonsten vorgesehenen aktiven logischen Bauelemente bedarf die erfindungsgemäße Einrichtung in ihrer Zusammenschalteinheit nicht mehr. Hierbei können alle Funktionen vorgesehen werden, wie sie im Verfahren oben bereits beschrieben sind.
  • Auch hierbei besteht eine Alternative darin, dass die Umschaltung durch im Bussystem implementierte Bustreiber erfolgen kann.
  • Dabei enthält in jeweils weiterer vorteilhafter Ausgestaltung die erfindungsgemäße Einrichtung in den Steuergeräten aktive Bauelemente zur Generierung der oben genannten Redundanzhilfssignale im Einzelnen. Darüber hinaus wird über entsprechende Bauelemente auch das Erkennen, welches der jeweiligen Steuergeräte nunmehr aktiv ist, selbsttätig möglich und auf diese Weise korrespondieren die beiden Steuergeräte automatisch miteinander und das funktionstaugliche Steuergerät, welches als erstes initiiert war, bleibt am Netz und schaltet das redundante Steuergerät solange deaktiv. Für den Fall, dass das aktive Steuergerät ausfällt, wird der oben bereits beschriebene Vorgang eingeleitet und es erfolgt eine Umschaltung auf das redundante zweite Steuergerät, wobei das fehlerhafte Steuergerät sich selbst deaktiviert und zuvor noch sämtliche ggf. für den Steuerprozess notwendigen Daten, die in dem zuvor aktiven Steuergerät eingelesen waren, dem jetzt neu aktivierten Steuergerät übersendet. Dieses kann sodann ohne weitere Totzeit die Funktion übernehmen und das dann zukünftig deaktive Steuergerät deaktiviert sich selbst und die Statussignale von aktiv und passiv tauschen dann von einem Steuergerät zum anderen.
  • Nach dem erfindungsgemäßen Verfahren ist vorzugsweise vorgesehen, dass das fehlerhafte Steuergerät vor seiner automatischen Deaktivierung noch mit dem nicht fehlerhaften Steuergerät zur Umschaltabstimmung kommuniziert.
    •
  • Die Erfindung ist in der Zeichnung dargestellt und nachfolgend näher beschrieben.
  • Es zeigt:
  • 1: Automatisierungsgerät mit redundanten Steuergeräten.
  • 2: Redundanzhilfssignale und passive Zusammenschalteinheit.
  • 1 zeigt eine Ausführung mit zwei Steuergeräten, die hierbei die Redundanz des Systemes darstellen. Die beiden Steuergeräte A und B sind dabei auf einer Zusammenschalteinheit aufgesteckt, welche lediglich passive Bauelemente enthält. Die besagte Zusammenschalteinheit 1 verfügt nur noch über entsprechende Steckkontakte und entsprechende Kabelführungen 2 zur Zusammenschaltung der beiden Steuergeräte sowie zur Ankopplung an das dargestellte Bussystem zu den einzelnen Peripherieeinheiten.
  • Hierbei ist dargestellt, dass eines der beiden Steuergeräte aktiv geschaltet und das andere Steuergerät passiv geschaltet ist. Die Aktivierung eines der beiden Steuergeräte und die Deaktivierung des jeweils anderen wird innerhalb der Steuergeräte vorgenommen und nicht mehr in der Zusammenschalteinheit. Busseitig sind die Steuergeräte dann mit einer Mehrzahl von einzelnen Peripheriegeräten 10, 11,... verbunden.
  • 2 zeigt ein Ausführungsbeispiel der Erfindung, bei dem zwei Steuergeräte A, B in entsprechender Darstellung gezeigt sind, wobei eines der Steuergeräte aktiv und das andere passiv ist. Es handelt sich damit um ein redundantes so genanntes Profibus-Steuergerät zur Anschaltung an einen gemeinsamen Peripheriebus. Jedem Steuergerät A und B ist profibusseitig ein Master zugeordnet. Damit sind die Master, die Übertragungsleitung sowie die Steuergeräte, die so genannten Slaves, redundant ausgeführt.
  • Im nachfolgenden und in diesem hier gezeigten Beispiel spielt die profibusseitige Redundanz keine Rolle und braucht daher auch nicht mehr betrachtet werden. Beide Steuergeräte sind auf die Zusammenschalteinheit 1 gesteckt. Es handelt sich bei der Zusammenschalteinheit um eine rein passive Baugruppe, besteht also nur aus einer mit Leiterplatte sowie Steckverbin dungen und Kabelführungen 2 versehenen Baugruppe. Alle Signale des Peripheriebusses beider Steuergeräte sind miteinander und mit den nachfolgenden Peripheriebaugruppen 10, ... über den Peripheriebus 20 verbunden. Weiterhin sind die Redundanzsignale SDE, SDA und AKT beider Steuergeräte miteinander verbunden.
  • Das Signal RE-LI ist nur auf dem linken Steckplatz der Baugruppe mit low verbunden. Beide Signale STK und RE-LI werden auf den Steuergeräten auf Betriebsspannung gezogen. Nach dem Einschalten bereitet eines der beiden Steuergeräte die aktive Bedienung der Peripheriebaugruppen vor. Hierbei wird die eingangs bereits beschriebene Anlaufpriorisierung des linken Steuergerätes aufgrund der Unterscheidung mit Hilfe des Signals RE-LI getroffen.
  • Das andere passive Steuergerät kann nicht in Richtung Peripherie senden, da sich der entsprechende Treiber im hochohmigen Zustand befindet. Das aktive und das passive Steuergerät kommunizieren über die Redundanzkommunikation einer seriellen Schnittstelle miteinander. Diese besagte Redundanzkommunikation dient zum einen der gegenseitigen Funktionsüberwachung und zum anderen wird ein gegenseitiger Abgleich verschiedener Daten vorgenommen, welcher der Vorbereitung einer schnellen Umschaltung der Aktivität von einem Steuergerät zum anderen bezüglich des Peripheriebusses dient. Das jeweils aktive Steuergerät signalisiert seinen aktiven Zustand, indem es das AKT-Signal treibt, also das AKT-Signal gleich high setzt. Zuvor wurde AKT abgefragt, wobei festgestellt wurde, dass es auf low geschaltet ist, also die Gegenseite passiv ist. Danach wird der Peripheriebustreiber aktiviert und die Bedienung der Peripheriebaugruppen beginnt. Wenn es zum Auftreten eines Umschaltkriteriums kommt, wird die bevorstehende Umschaltung über die Redundanzkommunikation organisiert, in die eine Abklärung der Übernahmefähigkeit in Form des Funktionstauglichkeitszeichens eingebunden ist. Kann das bisher passive Steuergerät die Aktivität übernehmen, wird sich das aktive Steuergerät vom Peripheriebus abschalten und auch das AKT-Signal nicht mehr treiben. Der Flankenwechsel von AKT führt zum Interrupt und zeigt dem bisher passiven Steuergerät die Voraussetzung für eine Übernahme der Aktivität an. Nachdem diese nun ihrerseits das AKT-Signal treibt, bei zuvoriger Abfrage auf Passivität, kann auch der Peripheriebustreiber aktiviert werden und die Bedienung der Peripherie wird von dem anderen Steuergerät aus fortgesetzt.
  • Bemerkt das aktive Steuergerät anhand der Redundanzkommunikation einen Ausfall des passiven Steuergerätes, bleibt ein Umschalten aus. Beim Ausfall des aktiven Steuergerätes erfolgt eine Umschaltung, wie oben beschrieben. Danach kann das defekte Steuergerät gegen ein funktionsfähiges Gerät ausgetauscht werden, ohne dass das Automatisierungsgerät abgeschaltet oder angehalten werden muss.
  • Ein Sonderfall stellt ein denkbarer Ausfall eines Steuergerätes dar, bei dem das ausgefallene Steuergerät im Zustand der aktiven Bedienung der Peripherieeinheiten stecken bleibt, d. h. sich von der Aktivität aufgrund des Defektes nicht mehr zurückziehen kann. Dieser Fall wird beherrscht, indem dann ein nachtriggerbarer so genannter Watchdog abläuft und den Peripheriebustreiber und das AKT-Signal zwangsweise entaktiviert. In diesem Fall wirkt der Flankenwechsel des AKT-Signals aus der Sicht der übernehmenden Baugruppe als Reißleine. Dies ist mit der oben bereits beschriebenen Reißleinenfunktion bezeichnet. Diese kann aktiv werden, ohne den Wechsel per Redundanzkommunikation ausgehandelt zu haben. Dieser Aspekt erhöht die Sicherheit bzw. die Betriebssicherheit der gesamten Einrichtung zusätzlich.
  • Um hierbei Anlagen ggf. nachrüsten zu können oder beliebige Konfigurationen gestalten zu können, ist außerdem ein Softwareprogrammprodukt angegeben, welches die beschriebenen Funktionen des erfindungsgemäßen Verfahrens auf die erfindungsgemäße Einrichtung leicht übertragbar macht. Hierdurch können funktionelle Anpassungen an geforderte technische Besonderheiten des Bussystems und an die jeweilige Peripherie ermöglicht werden.
  • Wichtig und erheblich vorteilhaft ist dabei auch die angegebene Möglichkeit, die beschriebene Funktion auf einem Datenträger softwaremäßig unterzubringen und in das System einspeisen zu können.
  • Die erfindungsgemäßen Funktionen können dann auf diesem Wege in das System implementiert werden.

Claims (21)

  1. Verfahren zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung in den Steuergeräten selbst erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
  2. Verfahren zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung direkt über das Bussystem erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass eine Redundanzumschaltung direkt über Bustreiber erfolgt.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Selbsttest eines Steuergerätes und bei Feststellung einer Fehlfunktion das fehlerhafte Steuergerät das redundante Steuergerät automatisch aktiviert und das fehlerhafte Steuergerät sich anschließend selbsttätig deaktiviert.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das fehlerhafte Steuergerät vor seiner automatischen Deaktivierung noch mit dem nicht fehlerhaften Steuergerät zur Umschaltabstimmung kommuniziert.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuergeräte selbsttätig zwischen dem Zustand, dass eine Zusammenschalteinheit vorhanden ist oder nicht, unterscheiden können.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuergeräte bzw. die Bustreiber zwischen einem redundant und einem nicht redundant ausgeführten System selbsttätig unterscheiden können, durch ein entsprechendes Redundanzhilfssignal.
  8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem redundant ausgelegten System die Steuergeräte über serielle Datensätze derart miteinander kommunizieren, dass Datengleichheit in beiden Steuergeräten besteht.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass über den besagten Datenaustausch von einem Steuergerät zum anderen eine gegenseitige Fehler- bzw. Aktivitätsüberwachung erfolgt.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Aktivitätsumschaltung ein Signal AKT generiert wird, welches eine gegenseitige Information der Steuergeräte über den jeweils aktiven Zustand bezüglich des Peripheriebusses gibt und die gleichzeitige Aktivierung beider Steuergeräte vermeidet, indem jeweils eines deaktiviert ist, während das andere aktiviert ist.
  11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Aktivitätswechsel in den beiden Steuergeräten ein Interrupt erzeugt wird und dass bei Vorliegen eines Umschaltkriteriums das sich deaktivierende Steuergerät ein Signal AKT = low erzeugt.
  12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Timer-Kanal vorgesehen ist, der im Normalbetriebsfall immer wieder zurückgestellt wird und im Fehlerfall abläuft und so den Peripheriebus zwangsweise freigibt und das Signal AKT = low generiert.
  13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem redundanten System ein Statussignal in den Steuergeräten generiert wird, welches anzeigt, welche Steckposition das jeweilige Steuergerät im System hat.
  14. Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung in den Steuergeräten (A, B) selbst erfolgt und die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren, indem die beiden redundant ausgelegten Steuergeräte (A, B) jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implementiert erhalten.
  15. Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung durch Bustreiber selbst erfolgt und die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren, indem die beiden redundant ausgelegten Steuergeräte (A, B) jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implementiert erhalten.
  16. Einrichtung nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass eine Zusammenschalteinheit (1) vorgesehen ist, auf welche die Steuergeräte (A, B) aufsteckbar sind und welche lediglich nur noch passive Bauelemente, wie Steckkontakte und Kabelführungen (2), enthält.
  17. Einrichtung nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass eine Zusammenschalteinheit (1) vorgesehen ist, auf welche die Steuergeräte (A, B) aufsteckbar sind und in welcher Bustreiber implementiert sind.
  18. Einrichtung nach Anspruch 14 oder 16, dadurch gekennzeichnet, dass jedes der Steuergeräte (A, B) über einen seriellen Dateneingang (SDE) und einen seriellen Datenausgang (SDA) verfügt, über welche dieselben direkt miteinander korrespondieren.
  19. Einrichtung nach einem der vorhergehenden Ansprüche 14 bis 18, dadurch gekennzeichnet, dass in jedem Steuergerät (A, B) Mittel (STK, RE-LI) zur Selbsterkennung des jeweiligen Steckplatzes auf der Zusammenschalteinheit (1) vorhanden sind.
  20. Softwareprogrammprodukt für den Betrieb einer Prozesssteuerung über ein Bussystem, bei welchem eine Redundanzumschaltung nach einem Verfahren nach einem der Ansprüche 1 bis 13 und mit einer Einrichtung nach einem der Ansprüche 14 bis 19 implementiert wird und der Selbstbewertungstest der Steuergeräte und ihre gegenseitige Redundanzsignalerzeugung softwaremäßig implementierbar ist.
  21. Softwareprogrammprodukt nach Anspruch 20, dadurch gekennzeichnet, dass die besagte Funktion bzw. die besagten Funktionen in die Einrichtung durch Übertragbarkeit der als Programm umgesetzten Funktion bzw. Funktionen über das Bussystem implementierbar ist/sind.
DE2002147520 2002-10-11 2002-10-11 Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem Withdrawn DE10247520A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE2002147520 DE10247520A1 (de) 2002-10-11 2002-10-11 Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
PCT/DE2003/003365 WO2004036324A1 (de) 2002-10-11 2003-10-10 Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002147520 DE10247520A1 (de) 2002-10-11 2002-10-11 Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem

Publications (1)

Publication Number Publication Date
DE10247520A1 true DE10247520A1 (de) 2004-04-22

Family

ID=32038538

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002147520 Withdrawn DE10247520A1 (de) 2002-10-11 2002-10-11 Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem

Country Status (2)

Country Link
DE (1) DE10247520A1 (de)
WO (1) WO2004036324A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2423834A (en) * 2003-01-28 2006-09-06 Fisher Rosemount Systems Inc A process control system with an embedded safety system
DE102005038183A1 (de) * 2005-08-12 2007-02-15 Daimlerchrysler Ag Verfahren zum Betreiben eines Netzwerks
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
EP3242172A4 (de) * 2014-12-29 2018-08-29 Hyosung Corporation Verfahren zum betrieb eines dualen steuergeräts
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797884A (en) * 1986-09-29 1989-01-10 Texas Instruments Incorporated Redundant device control unit
US5148433A (en) * 1989-03-13 1992-09-15 Square D Company Transfer network interface
EP0518630A3 (en) * 1991-06-12 1993-10-20 Aeci Ltd Redundant control system
US5313386A (en) * 1992-06-11 1994-05-17 Allen-Bradley Company, Inc. Programmable controller with backup capability

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2423834A (en) * 2003-01-28 2006-09-06 Fisher Rosemount Systems Inc A process control system with an embedded safety system
GB2423834B (en) * 2003-01-28 2007-09-05 Fisher Rosemount Systems Inc Process control system with an embedded safety system
US7289861B2 (en) 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
DE102005038183A1 (de) * 2005-08-12 2007-02-15 Daimlerchrysler Ag Verfahren zum Betreiben eines Netzwerks
EP3242172A4 (de) * 2014-12-29 2018-08-29 Hyosung Corporation Verfahren zum betrieb eines dualen steuergeräts
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Also Published As

Publication number Publication date
WO2004036324A1 (de) 2004-04-29

Similar Documents

Publication Publication Date Title
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE102006047026B4 (de) Verfahren und System zum redundanten Ansteuern einer Slaveeinrichtung
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
EP1860564A1 (de) Verfahren und Vorrichtung zum Austausch von Daten auf Basis des OPC-Kommunikationsprotokolls zwischen redundanten Prozessautomatisierungskomponenten
DE19744071B4 (de) Eine programmierbare Logiksteuervorrichtung verwendendes Steuerungssystem
EP2491492B1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
DE102005055428A1 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
EP0782722B1 (de) Verfahren und vorrichtung zur steuerung und aktivierung von miteinander mittels eines bussystems vernetzten sensoren und/oder aktuatoren
DE4416795A1 (de) Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
EP2375636A1 (de) Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
DE10247520A1 (de) Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
DE102004035442B4 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
EP2942686B1 (de) Steuerungs- und datenübertragungssystem zum übertragen von sicherheitsbezogenen daten über ein kommunikationsmedium
EP2881812A1 (de) Verfahren zum Betreiben einer Automatisierungseinrichtung
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
EP1550269B1 (de) Kommunikationssystem
EP1692578A1 (de) Peripherieeinheit für ein redundantes steuersystem
WO2011113405A1 (de) Steuergeräteanordnung
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee