DE19754769A1 - Feldbus-System für sicherheitsgerichtete Anwendungen - Google Patents

Feldbus-System für sicherheitsgerichtete Anwendungen

Info

Publication number
DE19754769A1
DE19754769A1 DE1997154769 DE19754769A DE19754769A1 DE 19754769 A1 DE19754769 A1 DE 19754769A1 DE 1997154769 DE1997154769 DE 1997154769 DE 19754769 A DE19754769 A DE 19754769A DE 19754769 A1 DE19754769 A1 DE 19754769A1
Authority
DE
Germany
Prior art keywords
unit
fieldbus
field bus
switch
peripheral unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE1997154769
Other languages
English (en)
Inventor
Joachim Dipl Ing Brille
Lutz Dipl Ing Reinke
Guenter Dipl Ing Watzlawik
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE1997154769 priority Critical patent/DE19754769A1/de
Publication of DE19754769A1 publication Critical patent/DE19754769A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Hardware Redundancy (AREA)

Description

Auf dem Gebiet der Automatisierungs-Technik ist es bekannt, zur Steuerung z. B. einer Maschine, die in z. B. einer Produk­ tions-Halle steht, die zu dieser Steuerung erforderlichen Da­ ten über eine Leitung zu übertragen, die das diese Daten emp­ fangende Steuergerät der Maschine mit einem von dieser Ma­ schine mehr oder weniger entfernt befindlichen Rechner ver­ bindet. In der angesprochenen Automatisierungstechnik ist es üblich, eine einfache Verbindung zwischen dem Rechner und dem Peripheriegerät vorzusehen, das z. B. das Steuergerät der er­ wähnten Maschine oder irgendein anderes zu steuerndes Gerät ist. Es ist nicht üblich, für eine solche Übertragung zwi­ schen Rechner und Peripherie besondere Maßnahmen hinsichtlich der Sicherheit der Datenübertragung vorzusehen, weil die im Regelfall in dieser Technik vorliegenden äußeren Umstände dies nicht erfordern und/oder durch einen nicht auszuschlie­ ßenden Ausfall schwerwiegende Folgen nicht zu erwarten sind.
Ein anderes Gebiet, in dem Feldbus-Datenübertragung angewen­ det wird, ist die Sicherungstechnik. Deren Stand ist, daß dort ein mehrkanaliges Parallelbus-System verwendet wird, das jedoch nur relativ lokal begrenzte Übertragungs-Weglängen hat. Da in der Sicherungstechnik es wichtig ist, daß die Da­ tenausgabe, die Datenübertragung und der Empfang und die Aus­ wertung der Daten in der Peripherie stets fehlerfrei erfolgt, ist es dort die Regel, für die Datenausgabe zwei gleiche Rechner und für jeden der vorhandenen Rechner eine Parallel­ busverbindung mit voneinander getrennten Kanälen zu einer entsprechend mehrkanaligen Peripherieeinheit vorzusehen. Durch Vergleichs-Überprüfung in der Peripherieeinheit wird sichergestellt, daß die von den zwei erwähnten Rechnern aus­ gegangenen Datensätze, die identisch sein müssen, richtig an­ gekommen sind. Bei Übereinstimmung liefert die adressierte Peripherie ihr Ausgangssignal für die vorgesehene Steuerung.
Es ist auch bekannt, statt zwei auch drei parallele identi­ sche Rechner, 3-kanalige Parallelbusleitungen und Peripherie­ einheiten mit 2 v 3-Votern vorzusehen. Diese Maßnahme dient der erhöhten Verfügbarkeit, denn dieses Dreifach-System ist auch dann noch arbeitsfähig, wenn einer dieser drei Wege aus welchen Gründen auch immer ausfällt.
Es ist üblich, daß für jeden Kanal dem Rechnerausgang nach­ folgend eine Masterschaltung und im jeweiligen Eingang der Peripherie (je) eine Slave-Schaltung vorgesehen ist.
Solche mehrkanaligen Parallelbussysteme mit Rechner und Peri­ pherie sind kompakt bzw. lokal begrenzt aufgebaut. Dies er­ möglicht es problemlos, das Ein-/Aus-Schalten der Stromver­ sorgung desjenigen Prozeßelements vorzunehmen, das mit diesem System zu steuern ist und dafür mit dessen Ausgang verbunden ist.
Aufgabe der vorliegenden Erfindung ist es, ein solches System zu konzipieren, das vergleichsweise dem Stand der Technik in der Lage ist, ein jeweiliges Prozeßelement (aus einer Viel­ zahl von mit dem System verbundenen und von diesem separat zu steuernden Prozeßelementen) so sicher zu steuern, daß darauf beruhene fehlerhafte Funktion des Prozeßelementes praktisch ausgeschlossen ist, und zwar unter jeglichen nur denkbaren Umständen. Insbesondere müssen darunter auch Umstände wie die Systemeinschaltung/-abschaltung, Wartungsmaßnahmen und dgl. berücksichtigt sein. Das System muß insbesondere für die Au­ tomatisierung des Schienenverkehrs und dergl. trotz der dort großen Entfernungen zwischen der Steuerzentrale (Rechner) und dem jeweiligen Prozeßelement (Signal, Weiche-und dgl.) si­ cherheitsorientiert anwendbar sein.
Diese Aufgabe wird mit den Merkmalen des Patentanspruches ge­ löst und die Unteransprüche betreffen weitere besonders vor­ teilhafte Ausgestaltungen.
Mit wenigen Worten lediglich umrissen, umfaßt die Erfindung ein System mit einem 2- bzw. 3-kanaligen Feldbus (3-kanalig für höhere Verfügbarkeit), entsprechend vielen gleichen Rech­ nern mit dazugehörigem jeweiligem Feldbusmaster und n Peri­ pherieeinheiten entsprechend der Anzahl n anzusteuernder Pro­ zeßelemente. Eine jede Peripherieeinheit hat entsprechend 2- bzw. 3-fach Feldbus-Slaves, doppelt bestückt Vergleicher bzw. bei 3-kanaligem System 2v3-Voter und - als besonders wichtig - eine oder doppelt bestückt zwei solche An-/Abschalt- Einheit(en), die mit jeweils separatem Anschluß mit den Sla­ ve-Stufen der betreffenden Peripherieeinheit für eine (noch näher zu beschreibende) gesonderte Signalauswertung und de­ zentrale Abschaltfunktion verbunden ist (sind). Die jeweilige An-/Abschalt-Einheit ist mit dem sie betreffenden Abschaltre­ lais der Peripherieeinheit für das zugehörige Prozeßelement verbunden.
Erfindungsgemäß ist hier eine spezielle Abschaltsignal- Feldbus-Übertragung mit entsprechend spezieller Signalverar­ beitung in der betreffenden Peripherieeinheit vorgesehen, wo­ bei in wie noch zu beschreibender Weise vorgesehene Codierung für einwandfrei sichere Ansteuerung und Funktion des Ein- /Aus-Schalt-vorganges durch die besondere An-/Abschalt- Einheit vorgesehen und gewährleistet ist. Eingehendere Erläu­ terungen zur Erfindung werden des einfacheren Verständnisses halber anhand der beigefügten Figuren gegeben.
Fig. 1 zeigt eine Übersicht des Aufbaus eines Feldbussystems (10, 11, 20) mit erfindungsgemäßer lokaler peripherer An-/Abschalt-Einheit (40, 40').
Fig. 2 zeigt Einzelheiten der Peripheriebaugruppe 20 und deren lokaler An-/Abschalt-Einheit(en) 40, 40'.
Fig. 3 zeigt Einzelheiten des Aufbaus einer An-/Abschalt- Einheit 40.
Fig. 4 zeigt einen Programmablauf des Einschaltprozesses.
Das erfindungsgemäße System 1 umfaßt entsprechend Fig. 1 ein 2-Kanal (oder redundant für höhere Verfügbarkeit ein 2 v 3) - Rechnersystem 10, dementsprechend ein 2-kanaliges oder 3-kanaliges Feldbussystem 11 und je nach gewählter Anzahl der Prozeßelemente 12 entsprechend viele parallel angeschlossene Peripherieeinheiten 20, die vom Rechnersystem 10 angesteuert werden und ihrerseits Signale an das Prozeßelement abgeben. Ein solches Prozeßelement kann z. B. ein Eisenbahnsignal, ei­ ne Weiche und dgl. sein, die/das vom Rechnersystem her zu steuern ist und die/das auch seinerseits ein jeweiliges Si­ gnal über die aktuelle Stellung derselben/desselben an das Rechnersystem (zurück-)geben kann.
Fig. 2 zeigt nähere Einzelheiten einer Peripherieeinheit 20 aus der vorgebbaren Vielzahl von Peripherieeinheiten, die je vorgesehenem Prozeßelement an das Feldbussystem 11 parallel angeschlossen sind. Mit 21 sind im Prinzip bekannte Feldbus- Slaves bezeichnet. Wie dargestellt, sind sie an das Feldbus­ system 11 angeschlossen. Das auch in Fig. 2 dargestellte redundante System umfaßt in einer jeden Peripherieeinheit 20 2v3-Voter 22 1, 22 2 in somit doppelter Anzahl für die Emp­ fangssignal-Identitäts-Prüfung. In einem nur zweikanaligen System sind nur zwei Feldbus-Slaves je Peripherieeinheit für den Signalempfang vorhanden, und für den Signalvergleich an­ stelle der Voter 22 sind zwei Vergleicher (als Doppelbestüc­ kung) vorgesehen.
Es sind in der Peripherieeinheit 20 die mit 1 bezeichneten Anschlüsse der Feldbus-Slaves 21 und der Voter 22 miteinander verbunden. Entsprechendes gilt für die mit 2 und mit 3 be­ zeichneten Anschlüsse. In jedem Falle hat die Peripherieein­ heit 20 zwei parallele Ausgänge 122, mit denen sie das über­ einstimmende Steuersignal zweikanalig an das Prozeßelement 12 abgibt. Übereinstimmendes Ansprechen der Voter 22 auf ein vom Rechnersystem 10 eingehendes Steuersignal führt so z. B. zum Schließen der (lediglich) als Beispiel dargestellten Schalter 30 1 und 30 2 für Zuführung der Prozeßspannung U an das Prozeßelement 12. Wie ersichtlich, erfolgt in der Pro­ zeßeinheit 20 die Prozeßsteuerung immer 2-kanalig (22 1 und 30 1; 22 2 und 30 2), nämlich um die als Voraussetzung geforder­ te Sicherheit zu gewährleisten.
Ebenso wie die besprochenen Steuersignale mehrkanalig über­ tragen werden, werden auch Rückwärts-Eingabeinformationen vom Prozeßelement zum Rechner gleichermaßen immer auf alle Feld­ bus-Slaves der betreffenden Peripherieeinheit verteilt über­ tragen. Das heißt, auch die Rückmeldung von Daten der Peri­ pherieeinheit zum Rechner erfolgt stets mehrkanalig.
Zu beachtende Sicherheitsprobleme ergeben sich in Verbindung mit dem Einschalten und/oder Reset der jeweiligen Peripherie­ einheit. Es muß sichergestellt sein, daß durch den Einschalt- /Reset-Vorgang, Wartungsarbeiten und dgl. nicht ungewollt ei­ ne Ansteuerung des Prozeßelements erfolgt, z. B. ein Signal ungewollt von Rot auf Grün geschaltet werden könnte. Zur Ge­ währleistung dieser Sicherheitsanforderung ist erfindungsge­ mäß, und zwar (bezogen auf den Rechner als Steuerzentrum) de­ zentral, in der jeweiligen Peripherieeinheit 20 eine An- /Abschalt-Einheit 40 vorgesehen und enthalten. Die bei dieser Einheit 40 vorhandenen Anschlüsse 1, 2 und 3 sind, wie schon oben für die Voter 22 beschrieben, mit den Anschlüssen 1, 2 und 3 der Feldbus-Slaves 21 verbunden. Der Ausgang 141 der An-/Abschalt-Einheit ist mit einem Schalter 41 zur Ansteue­ rung desselben verbunden. Dieser Schalter 41 liegt in Reihe mit der Prozeßspannung U. Solange der Schalter 41 geöffnet ist, kann durch keinerlei Signal, insbesondere durch kein un­ programmäßiges Signal, ein (Um-)Schalten des Prozeßelementes 12 erfolgen. Bei der Erfindung bedarf es einer speziellen er­ findungsgemäßen Ansteuerung dieser An-/Abschalt-Einheit 40, um durch Ansteuern und Schließen des Schalters 41 die Voraus­ setzung für die Signal-Ansteuerung des betreffenden Prozeße­ lements 12 über die Leitungen 122 zu schaffen.
Prozessual muß bei der Erfindung (siehe hierzu auch das Pro­ gramm der noch zu beschreibenden Fig. 4) nach einem Reset der Peripherieeinheit 20 zuerst die Freigabe der An-/Ab­ schalt-Einheit 40 dieser Peripherieeinheit, d. h. das Schlie­ ßen des Relaisschalters 41, erfolgen. Weiteren Erläuterungen dient auch die Fig. 3. Nach dem Reset-Vorgang ist erfin­ dungsgemäß vorgesehen, daß nach einer feldbusspezifischen Initialisierungsphase des Bussystems aus dem Rechner vom je­ weiligen Feldbus-Master ein vorgegeben definiertes Freigabe­ polynom (im weiteren auch nur als Polynom bezeichnet) an die An-/Abschalt-Einheit der freizugebenden Peripherieeinheit auszusenden ist. Zur Sicherheitskontrolle, daß das richtige Freigabepolynom an die richtige Peripherieeinheit gelangt ist, dient ein für diese Peripherieeinheit ausgewählt be­ stimmtes, in der An-/Abschalt-Einheit enthaltenes fest ver­ drahtetes Polynom 52, und zwar dies in 2- bzw. - wie die Fig. 3 einer An-/Abschalt-Einheit 40 zeigt - 3-facher Anzahl je nach Anzahl der Kanäle für die (im Falle doppelter Ausführung für jede) An-/Abschalt-Einheit. Die vom Rechner über die je­ weiligen Feldbuskanäle, d. h. Anschlüsse, 1, 2 und ggf. 3 der Slaves 21 an die Eingänge 1, 2 und 3 der An-/Abschalt-Ein­ heit(en) 40 gelangenden Freigabepolynome 51 des Rechners wer­ den mit dem jeweiligen der zwei bzw. drei fest verdrahteten Polynomen 52 der An-/Abschalt-Einheit jeweils verglichen. Die Tatsache der Übereinstimmung wird gespeichert. Ist das von der Peripherieeinheit und ihrer An-/Abschalt-Einheit 40 emp­ fangene Polynom identisch mit dem in ihrer An-/Abschalt-Ein­ heit fest verdrahteten Polynom 52 des entsprechenden Kanals, erfolgt eine kanalspezifische Freigabe in der Stufe 151. Die­ se Information wird gespeichert. Die kanalspezifischen Frei­ gaben der Kanäle werden auf einen 2v3-Voter 53 (bei 2-kanalig auf einen entsprechenden Vergleicher) geführt. Dieser Voter läßt nach erfolgtem Mehrheitsentscheid das Relais 53 der An- /Abschalt-Einheit 40 anziehen. Damit ist bei geschlossenem Relais-Kontakt 41 das Prozeßelement 12 dieser Peripherieein­ heit mit der Prozeßspannung U versorgt und die Datenansteue­ rung dieses Prozeßelements über die Voter 22 und Leitungen 122 kann erfolgen, z. B. die Weiche umgestellt oder das Signal umgesteuert werden.
Die Abschaltung des Prozeßelements 12 von der Prozeßspannung U erfolgt durch eine direkte Übertragung 150 einer Abschal­ tinformation in einem Feldbustelegramm. Die Abschaltung wird erst wirksam, wenn die Abschaltinformation mindestens über zwei Feldbusse gesendet und von der An-/Abschalt-Einheit 40 empfangen worden ist. Dort erfolgt die Verknüpfung der zwei (drei) kanalspezifischen Abschaltinformationen im Voter 153. Das akzeptierte Abschaltsignal bewirkt erst dann die Abschal­ tung der Prozeßspannung für das Prozeßelement 12 und auch das Rücksetzen der Einschaltfreigabe.
Die Abschaltung ist irreversibel, da die Anschaltung der Pro­ zeßspannung, d. h. ein (Wieder-)Anzug des Relais 54, erst nach (dem oben beschriebenen) mehrkanaligen Senden des Frei­ gabepolynoms erfolgt. Das stellt sicher, daß trotz der dezen­ tralen Position ein ungewolltes Einschalten eines Prozeßele­ mentes ausgeschlossen ist.
Für die Sicherheit ist es im Regelfall ausreichend, daß die soweit beschriebene An-/Abschalt-Einheit 40 und der Relais­ schalter 41 einmal je Peripherieeinheit 20 vorgesehen ist.
Noch weiter erhöhte Sicherheit ist erreicht, wenn (ebenso wie die Voter 22) auch die An-/Abschalt-Einheit 40 (mit einer weiteren An-/Abschalt-Einheit 40') doppelt vorgesehen ist mit in der Peripherieeinheit vorgesehener Prüfung der Miteinan­ der-Übereinstimmung der Abschalt-(Wiedereinschalt-)Befehle in beiden Einheiten 40, 40'.
Je nach gefordertem Sicherheitsgrad/(-niveau) zeigt sich, ob eine solche An-/Abschalt-Einheit 40 nur einmal oder ob dieser Schaltkreis zweimal in der Peripherieeinheit vorgesehen sein muß (worauf bereits oben hingewiesen ist), um das vorgegebene Maß an Betriebssicherheit zu gewährleisten.
Es sind auch noch weitere Maßnahmen zur Erhöhung der Sicher­ heit möglich, so z. B. eine sogenannte Watchdog-Einheit W (Fig. 3) zusätzlich vorzusehen. Diese an sich bekannte Watchdog-Einheit dient dazu, bei Ausbleiben des Telegrammver­ kehrs mit dem Feldbus-Master, z. B. bei einer Leitungsunter­ brechung, eine kanalspezifische Information zu erzeugen, die dann dergestalt ist, daß der oben beschriebene Abschaltvor­ gang wirksam wird.
Für die Erfindung ist vorgesehen, daß ein jedes über den Feldbus empfangenes Telegramm den Timer des Watchdog-Schalt­ kreises W zurücksetzt. Ist der Timer jedoch abgelaufen, d. h. kein gültiges Telegramm erkannt worden, werden alle Ausgänge auf "0" zurückgesetzt. Die Funktion der Peripheriebaugruppe 20 mit der lokalen An-/Abschalt-Einheit 40 ist so ausgelegt, daß eine Portausgabe log."0" den sicheren Zustand wiedergibt, z. B. ein Signal auf (vorsorglich) "Halt" stellt.
Eine Abschaltung der Prozeßspannung erfolgt somit entweder durch mindestens zwei Abschaltinformationen aus einem Feldbus­ telegramm oder durch mindestens zwei Abschaltinformationen der Watchdogs.
Als die Beschreibung ergänzende Übersicht dient die Fig. 4.
Diese Figur zeigt als ,,Abszisse" den zeitlichen Ablauf des Betriebs eines die Erfindung umfassenden Bus-Systems für si­ cherheitsgerichtete Anwendungen.
Mit 10 ist wieder der Rechner mit seinen Master-Ausgangs­ schaltungen bezeichnet. Die Slave-Eingangsschaltungen der Pe­ ripherieeinheit 20 sind mit 21 bezeichnet.
In der Zeitspanne a werden aufeinanderfolgend feldbusspezifi­ sche Initialisierungs-Telegramme zur Einbindung der Slaves 21 in den Busverkehr hin und her übermittelt. In der Zeitspanne b folgt dann die Übermittlung der Einschaltinformation in der Form des oben beschriebenen Polynoms. Es ist dies der Schritt der Prozeßfreigabe, mit der die An-/Abschalt-Einheit akti­ viert wird, daß dem jeweiligen Prozeßelement 12 die für des­ sen Aktion notwendige Spannung U zugeführt wird. Nach erfolg­ ter Prozeßfreigabe kann dann in der (hier bezüglich des Endes offenen) Zeitspanne c der betriebliche Telegrammverkehr er­ folgen, z. B. als Prozeßelement der einen Peripherieeinheit eine Weiche hin und her umgestellt werden oder als Prozeßele­ ment 12 einer anderen Peripherieeinheit ein Signal zwischen "Halt" und "Fahrt" hin und her umgeschaltet werden.
Wesentlich für die Erfindung und für den mit dieser Erfindung erreichten Sicherheitsgrad ist also, daß für das Sperren un­ erwünschter Aktion des jeweiligen Prozeßelements 12 keinerlei spezielle/gesonderte Leitungsverbindung vom entfernt positio­ nierten Rechnersystem 10 zur Peripherieeinheit 40 am Ort des Prozeßelements 12 erforderlich ist. Vielmehr ist diese An-/Abschalt-Einheit 40 Bestandteil der betreffenden einzel­ nen Peripherieeinheit. Dort reagiert diese An-/Abschalt-Ein­ heit auf Signale, die über das Feldbussystem 11 mehrkanalig übertragen werden und vermöge der Feldbus-Slaves 21 der Peri­ pherieeinheit und der Voter-Schaltung 53 der An-/Abschalt- Einheit 40 sicher übertragen und ausgewertet werden. Wie schon erwähnt, kann die An-/Abschalt-Einheit in der Periphe­ rieeinheit sogar doppelt (40 und 40') installiert sein, womit dann sogar ohne jeden Unterschied der maximale Sicherheits­ standard der Signal- /Datenübertragung gemäß der Erfindung erzielt ist. Für die Erfindung wesentlich ist, daß diese An- /Abschalt-Einheit 40 (40') so ausgestaltet und in der Lage ist, daß sie auch ohne Feldbus-Signal die zur weiteren Ge­ währleistung der Sicherheit notwendigen Aktionen ausführen kann, so z. B. das Abschalten aufgrund eines Signals der Watchdog-Einheit W (nämlich bei z. B. Ausfall der Verbindung zwischen Peripherieeinheit und Rechnersystem) bewirken kann.

Claims (12)

1. Feldbussystem für sicherheitsgerichtete Anwendungen mit Datenübertragung zwischen einem mehrkanaligen Rechnersy­ stem (10) und einer (jeweiligen) dezentralen Peripherie­ einheit (20) mit einem/für ein Prozeßelement (12), das über die Peripherieeinheit vom Rechnersystem aus zu steu­ ern ist und ggf. von dem Daten an das Rechnersystem zu übertragen sind, mit wenigstens einer An-/Abschalt-Einheit (40, 40'), mit deren vom Rechnersystem (10) dezentral steuerbarer Funk­ tion das jeweilige Prozeßelement (12) sicherheitsgerich­ tet zu aktivieren und/oder zu deaktivieren ist.
2. Feldbussystem nach Anspruch 1, bei dem die An-/Abschalt-Einheit (40, 40') ein integrier­ tes Bauteil der Peripherieeinheit (20) ist.
3. Feldbussystem nach Anspruch 1 oder 2, bei dem die An-/Abschalt-Einheit (40, 40') mit einem Schaltsystem (41, 54) für An- und Abschaltung der Prozeß­ spannung (U) an/vom Prozeßelement. (12) verbunden ist.
4. Feldbussystem nach Anspruch 3, bei dem das Schaltsystem (41, 54) integriertes Bauteil der Peripherieeinheit (20) ist.
5. Feldbussystem nach einem der Ansprüche 1 bis 4, bei dem die An-/Abschalt-Einheit (40, 40') zweifach vor­ handen für ein Prozeßelement (12) vorgesehen ist.
6. Feldbussystem nach einem der Ansprüche 1 bis 5, bei dem die jeweilige An-/Abschalt-Einheit (40, 40') je vorhandenem Kanal des Bussystems ein gleiches fest ver­ drahtetes Polynom (53) für einen sicherheitsgerichteten Empfangsvergleich (151) mit einem Freigabepolynom, ent­ sprechend der Anzahl der Kanäle mehrfach vom Rechnersy­ stem (10) an die adressierte Peripherieeinheit (20) aus­ gesandt, ausgerüstet ist.
7. Feldbussystem nach einem der Ansprüche 1 bis 6, bei dem die An-/Abschalt-Einheit (40, 40') einen Speicher für die Prozeßfreigabe-Information enthält.
8. Feldbussystem nach einem der Ansprüche 1 bis 7, bei dem die An-/Abschalt-Einheit (40, 40') einen Verglei­ cher/Voter (53) enthält.
9. Feldbussystem nach einem der Ansprüche 1 bis 8, das der (jeweiligen) An-/Abschalt-Einheit (40, 40') Watchdogs (W) in der Anzahl der Kanäle zugeordnet sind.
10. Feldbussystem nach einem der Ansprüche 1 bis 9, bei dem die An-/Abschalt-Einheit (40, 40') in der Peri­ pherie-Einheit (20) separat von der sonstigen Datenverar­ beitung der Peripherie-Einheit mit Feldbus-Slaves (21) derselben verbunden ist.
11. Feldbussystem nach einem der Ansprüche 1 bis 10, bei dem in der An-/Abschalt-Einheit ein separater Voter (153) für den Empfang einer Abschaltinformation, ausge­ sandt vom Rechnersystem, vorgesehen ist.
12. Verfahren zum Betrieb eines Feldbussystems nach einem der Ansprüche 1 bis 11, bei dem (Fig. 4) für das Aktivieren mittels der An-/Ab­ schalt-Einheit (40, 40') zunächst feldbusspezifische Initialisierungstelegramme (a) vom Rechnersystem (10) an die Slaves (21) der Peri­ pherie-Einheit (20) ausgesandt werden, dann Freigabepolynome (b) für den Einschaltvorgang an die An-/Abschalt-Einheit(n) (40, 40') ausgesandt werden, worauf dann weiter der betriebliche Telegrammverkehr (c) zwischen Rechnersystem (10) und Peripherie-Einheit (20) erfolgen kann.
DE1997154769 1997-11-28 1997-11-28 Feldbus-System für sicherheitsgerichtete Anwendungen Withdrawn DE19754769A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1997154769 DE19754769A1 (de) 1997-11-28 1997-11-28 Feldbus-System für sicherheitsgerichtete Anwendungen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1997154769 DE19754769A1 (de) 1997-11-28 1997-11-28 Feldbus-System für sicherheitsgerichtete Anwendungen

Publications (1)

Publication Number Publication Date
DE19754769A1 true DE19754769A1 (de) 1999-06-02

Family

ID=7851358

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1997154769 Withdrawn DE19754769A1 (de) 1997-11-28 1997-11-28 Feldbus-System für sicherheitsgerichtete Anwendungen

Country Status (1)

Country Link
DE (1) DE19754769A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19928984A1 (de) * 1999-06-24 2000-12-28 Leuze Electronic Gmbh & Co Bussystem mit abgesicherten Ausgängen
DE19928517A1 (de) * 1999-06-22 2001-01-11 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
WO2008037495A2 (de) * 2006-09-28 2008-04-03 Pepperl + Fuchs Gmbh Bussystem und verfahren zum betreiben eines solchen
US8207831B2 (en) 2007-08-29 2012-06-26 Texas Instruments Deutschland Gmbh Transponder demodulator for a low antenna limiter threshold
DE102018120344A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19928517A1 (de) * 1999-06-22 2001-01-11 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
DE19928984A1 (de) * 1999-06-24 2000-12-28 Leuze Electronic Gmbh & Co Bussystem mit abgesicherten Ausgängen
WO2008037495A2 (de) * 2006-09-28 2008-04-03 Pepperl + Fuchs Gmbh Bussystem und verfahren zum betreiben eines solchen
WO2008037495A3 (de) * 2006-09-28 2008-06-26 Pepperl & Fuchs Bussystem und verfahren zum betreiben eines solchen
US8207831B2 (en) 2007-08-29 2012-06-26 Texas Instruments Deutschland Gmbh Transponder demodulator for a low antenna limiter threshold
DE102018120344A1 (de) * 2018-08-21 2020-02-27 Pilz Gmbh & Co. Kg Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses
US11982984B2 (en) 2018-08-21 2024-05-14 Pilz Gmbh & Co. Kg Automation system for monitoring a safety-critical process

Similar Documents

Publication Publication Date Title
EP1738382B2 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
EP2302472B1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP0972389B1 (de) Sicherheitsgerichtetes steuerungssystem sowie verfahren zum betreiben eines solchen
EP2720051B1 (de) Sicherheitssystem
EP1642179B1 (de) Vorrichtung zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage
EP1769293B1 (de) Automatisierungssystem und ein-/ausgabebaugruppe für dasselbe
EP1059576B1 (de) Sicherheitsschalteranordnung mit zwei Aktoren
DE4416795C2 (de) Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
DE102007050708A1 (de) System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP0658832B1 (de) Einrichtung zur Steuerung einer Werkzeugmaschine oder eines Roboters
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP1619565A2 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
EP2297619A1 (de) Überwachungssystem
EP3336624B1 (de) Anordnung mit zwei redundanten baugruppen die sich gegenseitig überwachen
EP3214512A1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
DE19754769A1 (de) Feldbus-System für sicherheitsgerichtete Anwendungen
EP2590036B1 (de) Sicherheitsschaltgerät
DE102011051629B3 (de) Sicherheitsbussystem
EP0470441A2 (de) Verfahren zum Übertragen eines Zustimmungssignals für den Betrieb eines Roboters
EP2876510A1 (de) Sicherheitssteuerung zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchetrs
EP2767877B1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
EP3591478B1 (de) Sicherheitsschalteranordnung
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
AT521134B1 (de) Industrieanlage

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee