DE19758848B4 - Control and data transmission installation - Google Patents

Control and data transmission installation Download PDF

Info

Publication number
DE19758848B4
DE19758848B4 DE19758848A DE19758848A DE19758848B4 DE 19758848 B4 DE19758848 B4 DE 19758848B4 DE 19758848 A DE19758848 A DE 19758848A DE 19758848 A DE19758848 A DE 19758848A DE 19758848 B4 DE19758848 B4 DE 19758848B4
Authority
DE
Germany
Prior art keywords
safety
bus
data
related data
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19758848A
Other languages
German (de)
Inventor
Dipl.-Ing. Behr Thorsten
Dipl.-Ing. Meyer-Gräfe Karsten
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE19758848A priority Critical patent/DE19758848B4/en
Application granted granted Critical
Publication of DE19758848B4 publication Critical patent/DE19758848B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40032Details regarding a bus interface enhancer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Installation includes a serial field bus (10) to which a master control device (20) and a number of bus subscribers (30,40,50) are connected. Safety-related devices which carry out safety functions such as e.g. a stop function or emergency off function are placed in the master control device and in the bus subscribers. The safety- related devices (80) can communicate with each other by way of the field bus. Each bus subscriber is connected to the field bus by a bus connecting device. Each bus subscriber and master control device has at least one input connected to a monitoring device, e.g. sensor. Each bus subscriber and master control device has at least one output connected to a device to be safeguarded. An independent claim is included for a process for the transmission of safety-related data in a control and data installation.

Description

Die Erfindung betrifft eine Steuer- und Datenübertragungsanlage gemäß dem Oberbegriff des Anspruchs 1 sowie ein Verfahren zum Übertragen von sicherheitsbezogenen Daten in einer solchen Anlage nach Anspruch 10.The invention relates to a control and data transmission system according to the preamble of claim 1 and to a method for transmitting safety-related data in such a system according to claim 10.

Seit mehreren Jahren werden auf dem Gebiet der Automatisierung immer häufiger Feldbussysteme eingesetzt, an die Eingabe-/Ausgabe-Geräte sowie eine übergeordnete Steuereinrichtung angeschaltet sind. Mit solchen Feldbussystemen kann der Verkabelungsaufwand deutlich verringert werden, da Kupferleitungen eingespart werden können. Damit die Feldbussysteme den geforderten sicherheitstechnischen Anforderungen gerecht werden, müssen bestimmte Sicherheitsfunktionen, wie z. B. eine Stopp-Funktion oder eine Not-Aus-Funktion, durch die das Feldbussystem in einen sicheren Zustand gefahren werden kann, realisiert werden. Bei bisher bekannten Feldbussystemen erfolgt die Übertragung der dazu erforderlichen Steuersignale jeweils über parallele Einzelleitungen, d. h. nicht über den Feldbus selbst. Andere bekannte Ansätze bestehen darin, all diejenigen Einrichtungen, die Sicherheitsfunktionen ausführen sollen, entsprechend redundant auszulegen. Den bekannten Techniken haftet der Nachteil an, daß entweder ein hohes Maß an redundanten Bauteilen erforderlich ist, oder zur Übertragung der zusätzlichen Steuersignale parallele Einzelleitungen benötigt werden.For several years, fieldbus systems have increasingly been used in the field of automation, to which input / output devices and a higher-level control device are connected. With such fieldbus systems, the cabling effort can be significantly reduced, since copper lines can be saved. So that the fieldbus systems meet the required safety requirements, certain safety functions, such. B. a stop function or an emergency stop function by which the fieldbus system can be moved to a safe state can be realized. In previously known fieldbus systems, the transmission of the required control signals takes place in each case via parallel individual lines, d. H. not via the fieldbus itself. Other known approaches are to make redundant all those devices that are to perform security functions. The known techniques have the disadvantage that either a high degree of redundant components is required, or parallel individual lines are required to transmit the additional control signals.

Die DE 37 06 325 C2 zeigt ein Steuer- und Datennetzwerk, bei dem eine Steuerschaltung einen Prozessor veranlassen kann, ein konkretes Anschaltmodul in einen vorbestimmten Nothaltzustand zu bringen.The DE 37 06 325 C2 shows a control and data network, in which a control circuit may cause a processor to bring a concrete power-up module in a predetermined emergency stop state.

Die DE 40 32 033 A1 zeigt ein Steuerungs- und Überwachungsverfahren für eine technische Anlage, bei dem sicherheitsrelevante Signale mindestens doppelt ausgelöst werden.The DE 40 32 033 A1 shows a control and monitoring method for a technical system in which safety-related signals are triggered at least twice.

Die DE 44 12 653 C2 zeigt eine Überwachungseinrichtung für eine zu sichernde Einrichtung, bei welchem mittels Sensorsignalen ein Selbsttest durchführbar ist.The DE 44 12 653 C2 shows a monitoring device for a device to be secured, in which by means of sensor signals, a self-test is feasible.

Die EP 0 601 216 A1 zeigt ein serielles Nachrichtenübertragungsverfahren, bei welchem ein Soll-Ist-Vergleich durchgeführt wird.The EP 0 601 216 A1 shows a serial communication method in which a target-actual comparison is performed.

Die WO 94/26558 zeigt ein Fahrzeugkommunikationssystem mit zumindest zwei Bussystemen.The WO 94/26558 shows a vehicle communication system with at least two bus systems.

Der Erfindung liegt die Aufgabe zugrunde, die eingangs genannte Steuer- und Datenübertragungsanlage mit einem seriellen Feldbus derart zu verbessern, daß die obengenannten Nachteile vermieden werden und die Flexibilität der Anlage gesteigert werden kann, indem auf einfache Art und Weise Hersteller-unabhängige sicherheitsbezogene Baugruppen in der Anlage integriert werden können.The invention has for its object to improve the aforementioned control and data transmission system with a serial field bus such that the above disadvantages are avoided and the flexibility of the system can be increased by manufacturers-independent safety-related assemblies in the simple way Plant can be integrated.

Dieses technische Problem löst die Erfindung zum einen mit den Merkmalen des Anspruchs 1.This technical problem solves the invention on the one hand with the features of claim 1.

Kerngedanke der Erfindung ist es, ein Feldbussystem mit Sicherheitsfunktionen auszustatten, die beispielsweise die Kategorie 3 bzw. 4 der europäischen Norm EN 954-1 (Stand 1996) und die Anforderungsklassen 4 bzw. 6 nach DIN V 19250 (Stand Mai 1994) erfüllen.The core idea of the invention is to equip a fieldbus system with safety functions that meet, for example, category 3 or 4 of the European standard EN 954-1 (as of 1996) and the requirement classes 4 and 6 according to DIN V 19250 (as of May 1994).

Dazu ist eine Steuer- und Datenübertragungsanlage mit einem seriellen Feldbus vorgesehen, an den eine Master-Steuereinrichtung und mehrere Busteilnehmer, das sind beispielsweise Eingabe-/Ausgabe-Geräte, angeschaltet sind. Sowohl in der Master-Steuereinrichtung als auch in den Busteilnehmern ist jeweils eine sicherheitsbezogene Einrichtung zum Ausführen von vorbestimmten Sicherheitsfunktionen angeordnet. Unter einer sicherheitsbezogenen Einrichtung ist eine Einrichtung zu verstehen, die im wesentlichen unter Ansprechen auf Zustandsinformationen der Anlage vorbestimmte Sicherheitsfunktionen ausführt, die ermöglichen, daß die gesamte Anlage, vorbestimmte Baugruppen oder Abschnitte der Anlage einen sicheren Zustand erreichen können. Sicherheitsfunktionen umfassen beispielsweise eine Stopp-Funktion, die die gesamte Anlage oder bestimmte Abschnitte der Anlage so schnell wie nötig in einen sicheren Zustand überführen kann. Auch die Not-Aus-Funktion ist eine Sicherheitsfunktion, mit der das gesamte System in einen sicheren Zustand gefahren werden kann. Weitere Sicherheitsfunktionen betreffen z. B. das Verriegeln von Türen, einen unbeabsichtigten Wiederanlauf im Fehlerfall der Anlage oder eines vorbestimmten Bereichs und andere, beispielsweise in der Europa-Norm EN 959-1 definierte Funktionen. Im Unterschied zum Stand der Technik, nach dem entweder redundante Bauteile für sicherheitstechnische Maßnahmen implementiert werden, oder parallele Leitungen zur Übertragung der notwendigen Steuersignale erforderlich sind, sind die sicherheitsbezogenen Einrichtungen gemäß der Erfindung ohne Redundanz in der Master-Steuereinrichtung und sind den Busteilnehmern implemetiert und in der Lage, über den Feldbus selbst miteinander zu kommunizieren.For this purpose, a control and data transmission system with a serial field bus is provided, to which a master control device and a plurality of bus users, for example input / output devices, are connected. Both in the master control device and in the bus users, a safety-related device for executing predetermined safety functions is arranged in each case. A safety-related device is to be understood as a device which essentially performs predetermined safety functions in response to condition information of the system, which enables the entire system, predetermined assemblies or sections of the system to reach a safe state. Safety functions include, for example, a stop function that can bring the entire system or certain sections of the system into a safe state as quickly as necessary. The emergency stop function is also a safety function with which the entire system can be moved to a safe state. Other safety functions concern z. As the locking of doors, accidental restart in case of failure of the system or a predetermined range and other, for example, defined in the European standard EN 959-1 functions. In contrast to the prior art, according to which either redundant components are implemented for safety measures, or parallel lines for transmitting the necessary control signals are required, the safety-related devices according to the invention without redundancy in the master controller and are the bus participants and implements implied able to communicate with each other via the fieldbus.

Jeder Busteilnehmer ist über eine Bus-Anschalteinrichtung an den Feldbus angeschlossen. Die Bus-Anschalteinrichtung weist einen ASIC-Baustein auf, in dem das Datenübertragungsprotokoll implementiert ist. Bei dem Datenübertragungsprotokoll kann es sich beispielsweise um das Interbus-Protokoll handeln, wenn als Feldbus ein Interbus zum Einsatz kommt. Die Bus-Anschalteinrichtung dient dazu, die zwischen den sicherheitsbezogenen Einrichtungen auszutauschenden sicherheitsbezogenen Daten in den Nutzdatenfeldern vorbestimmter Datenrahmen über den Feldbus zu übertragen. Sofern ein Interbus-Protokoll verwendet wird, ist der Datenrahmen ein Summenrahmen, in dem die Nutzdaten aller angeschalteter Busteilnehmer enthalten sind. Als sicherheitsbezogene Daten werden in der gesamten Beschreibung und in den Ansprüchen Daten verstanden, die den Sicherheitszustand des jeweiligen Bus-Teilnehmers oder auch der Master-Sicherheitseinrichtung darstellen. Die Sicherheitszustände eines Bus-Teilnehmers werden von Überwachungseinrichtungen, insbesondere Sensoren erfasst, die den zu sichernden Baugruppen, die an dem jeweiligen Busteilnehmer angeschaltet sind, zugeordnet sind. Beispielsweise erfasst ein Sensor die Drehzahl einer Maschine. In diesem Fall zeigen die sicherheitsbezogenen Daten an, ob die Drehzahl der Maschine im Toleranzbereich liegt oder eine kritische Drehzahl überschritten hat. Es ist möglich, daß die Master-Steuereinrichtung und die Busteilnehmer die zu übertragenden sicherheitsbezogenen Daten in die Nutzdatenfelder des jeweiligen Bus-Teilnehmers einbetten, so daß die für die Master-Steuereinrichtung bestimmten Nutzdaten und die sicherheitsbezogenen Daten des Busteilnehmers in demselben Buszyklus übertragen werden können. Darüber hinaus ist es denkbar, die sicherheitsbezogenen Daten eines Busteilnehmers in dem Nutzdatenfeld während eines separaten Buszyklus zu übertragen.Each bus participant is connected to the fieldbus via a bus connection device. The bus connection device has an ASIC component in which the data transmission protocol is implemented. The data transmission protocol may, for example, be the Interbus protocol if an Interbus is used as the fieldbus. The bus connection device serves to transmit the security-related data to be exchanged between the security-related devices in the payload data fields of predetermined data frames via the fieldbus. If an Interbus protocol is used, the data frame is a summation frame in which the user data of all connected bus users are contained. As safety-related data are understood in the entire description and in the claims data representing the security status of the respective bus subscriber or the master security device. The safety states of a bus subscriber are detected by monitoring devices, in particular sensors, which are assigned to the modules to be protected, which are connected to the respective bus subscriber. For example, a sensor detects the speed of a machine. In this case, the safety-related data indicate whether the speed of the machine is within the tolerance range or has exceeded a critical speed. It is possible for the master control device and the bus users to embed the security-related data to be transmitted in the payload fields of the respective bus subscriber, so that the payload data intended for the master control device and the security-related data of the bus subscriber can be transmitted in the same bus cycle. In addition, it is conceivable to transmit the safety-related data of a bus user in the user data field during a separate bus cycle.

Die sicherheitsbezogene Einrichtung jedes Busteilnehmers und/oder der Master-Steuereinrichtung weist wenigstens einen Eingang auf, der mit der Überwachungseinrichtung, beispielsweise einem Sensor, verbunden ist. Die sicherheitsbezogene Einrichtung ist derart ausgebildet, daß sie das Ausgangssignal der Überwachungseinrichtung negiert und aus dem Ausgangssignal und/oder dessen negiertem Ausgangssignal eine Prüfinformation erzeugt, die zusammen die zu übertragenden sicherheitsbezogenen Informationen des jeweiligen Busteilnehmers darstellen. Auf diese Weise kann die Anlagensicherheit weiter gesteigert werden, da bei einer fehlerhaften Übertragung der sicherheitsbezogenen Daten die richtige Information entweder aus den negierten Daten oder der Prüfsumme gewonnen werden kann. Mit diesem Verfahren kann eine Bitfehlerwahrscheinlichkeit von 10–13 realisiert werden.The safety-related device of each bus subscriber and / or the master control device has at least one input which is connected to the monitoring device, for example a sensor. The safety-related device is designed such that it negates the output signal of the monitoring device and generates a check information from the output signal and / or its negated output signal, which together constitute the safety-related information of the respective bus user to be transmitted. In this way, the plant security can be further increased, since the faulty transmission of the safety-related data, the correct information can be obtained either from the negated data or the checksum. With this method, a bit error probability of 10 -13 can be realized.

In an sich bekannter Weise weist jeder Busteilnehmer und/oder die Master-Steuereinrichtung wenigstens einen Ausgang auf, der mit einer zu sichernden Einrichtung verbunden ist. Wie bereits erwähnt, kann es sich bei den zu sichernden Einrichtungen um Roboter, Maschinen und ähnliches handeln.In a manner known per se, each bus subscriber and / or the master control device has at least one output which is connected to a device to be secured. As already mentioned, the devices to be secured may be robots, machines and the like.

Gemäß einer vorteilhaften Weiterbildung ist jeder Ausgang über einen Schalter mit der Bus-Anschalteinrichtung und unmittelbar mit der sicherheitsbezogenen Einrichtung des jeweiligen Busteilnehmers und/oder der Master-Steuereinrichtung verbunden. In Abhängigkeit von dem Ausgangssignal der einer zu sichernden Einrichtung zugeordneten Überwachungseinrichtung öffnet oder schließt die sicherheitsbezogene Einrichtung den Schalter. Mit anderen Worten wird die zu sichernde Einrichtung in einen sicheren Zustand gefahren, d. h. von der Anlage abgeschaltet, wenn ein Fehler aufgetreten ist. An dieser Stelle sei bereits erwähnt, daß die infolge eines erfassten Fehlers auszuführende Sicherheitsfunktion entweder durch das Ausgangssignal der jeweiligen Überwachungseinrichtung erfolgt, oder durch entsprechende, von der Master-Steuereinrichtung erzeugte und zur sicherheitsbezogenen Einrichtung des jeweiligen Busteilnehmers übertragene sicherheitsbezogenen Daten ausgelöst wird.According to an advantageous development, each output is connected via a switch to the bus connection device and directly to the safety-related device of the respective bus device and / or the master control device. Depending on the output signal of the monitoring device associated with a device to be secured, the safety-related device opens or closes the switch. In other words, the device to be secured is driven to a safe state, i. H. disconnected from the system if an error has occurred. It should already be mentioned at this point that the safety function to be executed as a result of a detected error is either triggered by the output signal of the respective monitoring device or triggered by corresponding safety-related data generated by the master control device and transmitted to the safety-related device of the respective bus device.

Gemäß einer vorteilhaften Weiterbildung ist der Master-Steuereinrichtung eine übergeordnete Steuereinheit zugeordnet, die in Abhängigkeit von den sicherheitsbezogenen Daten der Busteilnehmer eine oder mehrere vorbestimmte Sicherheitsfunktionen auslösen kann. So können beispielsweise je nach Art des in einem Busteilnehmer ermittelten Fehlers entweder die an diesen Busteilnehmer angeschalteten zu sichernden Einrichtungen alleine, vorbestimmte Bereiche der Anlage oder sogar die gesamte Anlage abgeschaltet werden.According to an advantageous development of the master control device is associated with a higher-level control unit, which can trigger one or more predetermined safety functions depending on the safety-related data of the bus subscribers. Thus, for example, depending on the type of fault detected in a bus subscriber, either the devices connected to this bus device to be protected alone, predetermined areas of the system or even the entire system can be switched off.

Damit die Master-Steuereinrichtung die sicherheitsbezogenen Daten der Busteilnehmer aus dem Datenrahmen auslesen kann, weist sie eine Empfangseinrichtung, eine Auswertungseinrichtung zum Auswerten der empfangenen sicherheitsbezogenen Daten und eine Einrichtung auf, die unter Ansprechen auf die ausgewerteten Daten neue für den jeweiligen Busteilnehmer bestimmte sicherheitsbezogene Daten erzeugt, die einer vorbestimmten Sicherheitsfunktion entsprechen. Die Empfangseinrichtung ist darüber hinaus derart ausgebildet, daß sie die sicherheitsbezogenen Daten, deren negierte Daten und die daraus gebildeten Prüfinformationen des jeweiligen Busteilnehmers empfangen kann, und daß die Erzeugungseinrichtung neue sicherheitsbezogene Daten, deren negierte Daten und eine daraus gebildete neue Prüfinformation erzeugen und im Nutzdatenfeld eines Datenrahmens zum jeweiligen Busteilnehmer übertragen kann.In order for the master control device to be able to read out the safety-related data of the bus users from the data frame, it has a receiving device, an evaluation device for evaluating the received safety-related data and a device which, in response to the evaluated data, generates new safety-related data intended for the respective bus user that correspond to a predetermined safety function. The receiving device is furthermore designed such that it can receive the safety-related data, its negated data and the test information of the respective bus subscriber formed therefrom, and that the generating device generates new safety-related data, its negated data and new test information formed therefrom, and a user data field Data frame to the respective bus subscriber can transmit.

Das technische Problem wird auch durch die Verfahrensschritte des in Anspruch 10 beanspruchten Verfahrens zum übertragen von sicherheitsbezogenen Daten in einer Steuer- und Datenübertragungsanlage gelöst.The technical problem is also solved by the method steps of the claimed in claim 10 method for transmitting safety-related data in a control and data transmission system.

Vorteilhafte Weiterbildungen sind in den Unteransprüchen angegeben. Advantageous developments are specified in the subclaims.

Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels in Verbindung mit den beiliegenden Zeichnungen näher erläutert. Darin zeigen:The invention will be explained in more detail using an exemplary embodiment in conjunction with the accompanying drawings. Show:

1 ein stark vereinfachtes Blockschaltbild einer Steuer-Datenübertragungsanlage, in der die Erfindung verwirklicht ist; 1 a highly simplified block diagram of a control data transmission system in which the invention is implemented;

2 die Blockschaltbilder zweier Busteilnehmer nach 1, in denen die erfindungsgemäße sicherheitsbezogene Einrichtung implementiert ist; 2 the block diagrams of two bus participants 1 in which the safety-related device according to the invention is implemented;

3 das Blockschaltbild der in 1 gezeigten Master-Steuereinrichtung mit der erfindungsgemäßen sicherheitsbezogenen Einrichtung; und 3 the block diagram of in 1 shown master control device with the safety-related device according to the invention; and

4 einen beispielhaften Datenrahmen, in dem sicherheitsbezogene Information eines Busteilnehmers enthalten sind. 4 an exemplary data frame in which security-related information of a bus subscriber are included.

1 zeigt exemplarisch ein Interbus-System für eine Steuer- und Datenübertragungsanlage, wie sie in der Fachliteratur ”Interbus-S, Grundlagen und Praxis”, Mühtig Buchverlag, Heidelberg, 1994, von Alfredo Baginsky et al. beschrieben wird. An den Interbus 10 sind eine Master-Steuereinrichtung 20 und drei Busteilnehmer 30, 40 und 50 angeschaltet. Es sei ausdrücklich darauf hingewiesen, daß dies eine beispielhafte Ausführungsform ist, wobei die Erfindung auf andere Feldbusse sowie auf Systeme aus mehreren zusammengeschalteten Feldbussen anwendbar ist. Der Busteilnehmer 30 ist mit einem an sich bekannten Schutzgitter 60 zur Überwachung von an den Busteilnehmer 30 angeschalteten Maschinen, Roboter und dergleichen, verbunden. 1 shows an example of an Interbus system for a control and data transmission system, as described in the specialist literature "Interbus-S, Fundamentals and Practice", Mühtig Buchverlag, Heidelberg, 1994, by Alfredo Baginsky et al. is described. To the Interbus 10 are a master controller 20 and three bus participants 30 . 40 and 50 turned on. It is to be expressly understood that this is an exemplary embodiment, and the invention is applicable to other field buses as well as systems of multiple interconnected field buses. The bus participant 30 is with a known protective grid 60 for monitoring to the bus subscriber 30 connected machines, robots and the like, connected.

In 2 sind die Busteilnehmer 30 und 40 in Blockschaltbildform detaillierter dargestellt. Da der schaltungstechnische Aufbau der Busteilnehmer im wesentlichen identisch ist, wird nur der Aufbau des Busteilnehmers 30 näher beschrieben. Der Busteilnehmer 30 ist über eine Busanschalteinrichtung 70 an den Interbus 10 angeschaltet. Die Busanschalteinrichtung 70 kann einen ASIC-Baustein aufweisen, auf dem das an sich bekannte Interbus-Datenübertragungsprotokoll implementiert ist. Ferner ist in dem Busteilnehmer 30 eine sicherheitsbezogene Schaltungsanordnung 80 implementiert, die im Sinne der Erfindung die sicherheitstechnische Überwachung des Busteilnehmers 30 übernehmen kann. Die Sicherheitsfunktionen, die die sicherheitstechnische Schaltungsanordnung 80 ausführen kann, sind in verschiedenen Normen bereits definiert. Darüber hinaus lassen sich alle denkbaren Sicherheitsfunktionen durch die sicherheitsbezogene Schaltungsanordnung 80 verwirklichen. Dazu weist die sicherheitsbezogene Schaltungsanordnung 80 einen Sicherheitsbaustein 90 auf, in dem ein vorbestimmtes Sicherheitsprotokoll, das an sich bekannt sein kann, implementiert ist. Der Sicherheitsbaustein 90 führt beispielsweise in Übereinstimmung mit der EN 954-1 regelmäßige Selbsttests durch. Dazu ist eine Ausgangsleitung 94 mit Schaltern 95 und 96 verbunden, über die die Sensoren 100 bzw. 102 mit den Eingängen 92 und 93 verbunden sind. Diese Art von Selbsttest ist an sich bekannt. Der Sicherheitsbaustein 90 weist beispielsweise zwei Eingänge 92 und 93 auf, die mit einem Sensor 100 bzw. 102 verbunden sind, die zu überwachenden Einrichtungen zugeordnet sind. Beispielsweise überwacht der Sensor 100 die Drehzahl einer Drehmaschine 110 und der Sensor 102 einen Schweißroboter 120. An die Eingänge des Sicherheitsbausteins 90 kann auch das in 1 gezeigte Schutzgitter 60 angeschaltet sein. Der Ausgang des Sensors 100 ist, wie bereits gezeigt, mit dem Eingang 92 des Sicherheitsbausteins 90 und unmittelbar mit einem Eingang der Busanschalteinrichtung 70 verbunden. Auf ähnliche Weise ist der Ausgang des Sensors 102 mit dem Eingang 93 des Sicherheitsbausteins 90 und unmittelbar mit einem Eingang der Bus-Anschalteinrichtung 70 verbunden. Der Sicherheitsbaustein 90 dient dazu, die von den Sensoren 100 und 102 kommenden Eingangsdaten, nachfolgend als die eigentlichen sicherheitsbezogene Daten bezeichnet, zu negieren, und als sicherheitsbezogene negierte Daten der Bus-Anschalteinrichtung 70 zuzuführen. Darüber hinaus erzeugt der Sicherheitsbaustein 90 aus den negierten sicherheitsbezogenen Daten und/oder aus den nicht negierten sicherheitsbezogenen Daten eine Prüfinformation, die ebenfalls der Bus Anschalteinrichtung 70 zugeführt wird. Die sicherheitsbezogenen Daten, die negierten sicherheitsbezogenen Daten und die Prüfinformation bilden die sicherheitsbezogene Information. Diese Maßnahme sorgt dafür, das Sicherheitsverhalten des Interbus-Systems zu verbessern, da die Datenübertragungssicherheit erhöht wird. Natürlich ist es möglich, nur die sicherheitsbezogenen Daten der Bus-Anschalteinrichtung 70 zuzuführen. Es sei noch einmal erwähnt, daß es sich bei den sicherheitsbezogenen Daten um die eigentlichen Zustandsdaten des Busteilnehmers 30, spezieller um die Zustandsdaten der an ihn angeschalteten zu sichernden Einrichtungen 110 und 120 handelt. Die Bus-Anschalteinrichtung 70 erzeugt einen gewöhnlichen Datenrahmen, beim Beispiel des Interbus-Systems einen Summenrahmen, in dem hintereinander die Eingangsdaten der angeschalteten Busteilnehmer 30, 40 und 50 enthalten sind, die zur Master-Steuereinrichtung 20 übertragen werden sollen. 4 zeigt einen beispielhaften Interbus-Summenrahmen 125, der z. B. ein sogenanntes Loop-Back-Wort enthält, das die Master-Steuereinrichtung 20 erzeugt hat. Ein weiteres Feld ist der Prüfsumme gewidmet. In den Feldern 130, 140 und 150 sind die Nutzdaten des Busteilnehmers 30, 40 bzw. 50 enthalten. Der Summenrahmen 125 wird in einem Buszyklus zur Master-Steuereinrichtung 20 übertragen. Erfindungsgemäß hat die Bus-Anschalteinrichtung 70 nunmehr die Aufgabe, die sicherheitsbezogenen Informationen des Busteilnehmers 30 in das ihm zugeordnete Feld 130 einzuschreiben. In unserem Beispiel werden die sicherheitsbezogenen Daten der Sensoren 100 und 102 in das Feld 132, die negierten sicherheitsbezogenen Daten in das Feld 134 und die berechnete Prüfinformation in das Feld 136 eingeschrieben. Es sei angemerkt, daß die in den Feldern 132, 134 und 136 stehenden sicherheitsbezogenen Daten entweder das gesamte Nutzdatenfeld 130 des Busteilnehmers 30 besetzen und in einem separaten Buszyklus übertragen werden oder aber nur einen Teil des Nutzdatenfeldes 150 belegen und somit zusammen mit den Nutzdaten des Busteilnehmers 30 in demselben Buszyklus zur Master-Steuereinrichtung 20 übertragen werden können. Dadurch kann eine effektivere Datenübertragung erzielt werden. Die Busteilnehmer 30, 40 und 50 können nicht nur sicherheitsbezogene Informationen zur Master-Steuereinrichtung 20 übertragen, sondern im Gegenzug auch sicherheitsbezogene Daten oder Informationen von der Master-Steuereinrichtung 20 empfangen. Dazu liest die Bus-Anschalteinrichtung 70 aus einem Nutzdatenfeld eines Summenrahmens die für den Busteilnehmer 30 bestimmten sicherheitsbezogenen Informationen aus, die wiederum aus den eigentlichen sicherheitsbezogenen Daten, den negierten sicherheitsbezogenen Daten und einer Prüfinformation, die allesamt, wie weiter unten noch beschrieben wird, in der Master-Steuereinrichtung 20 erzeugt werden. Die Bus-Anschalteinrichtung 70 weist beispielsweise zwei Ausgänge 72, 73 auf. An dem Ausgang 72 ist über einen Schalter 170 die Drehmaschine 110 und an den Ausgang 73 über einen Schalter 180 der Schweißroboter 120 angeschaltet. Über die Schalter 170 und 180 können die Drehmaschine 110 und der Schweißroboter 120 im Bedarfsfall von dem Interbus-System getrennt werden. Über die Schalter 170 und 180 werden insbesondere Steuerdaten, Prozeß- und Parameterdaten zu der Drehmaschine 110 bzw. dem Schweißroboter 120 oder Parameter- und Prozeßdaten von diesen zur Bus-Anschalteinrichtung übertragen. Die Ausgänge der Schalter 170 und 180 sind mit dem Sicherheitsbaustein 90 verbunden. Die Bus-Anschalteinrichtung 70 ist ebenfalls mit dem Sicherheitsbaustein 90 verbunden, um die von der Master-Steuereinrichtung 20 empfangenen sicherheitsbezogenen Informationen diesem zuzuführen. Die von der Master-Steuereinrichtung 20 empfangenen sicherheitsbezogenen Daten entsprechen vorbestimmten Sicherheitsfunktionen, die von dem Sicherheitsbaustein 90 ausgeführt werden. Dazu ist der Sicherheitsbaustein 90 ebenfalls mit den Schaltern 170 und 180 verbunden. Der Sicherheitsbaustein 90 erhält von der Bus-Anschalteinrichtung 70 die von der Master-Steuereinrichtung 20 kommenden sicherheitsbezogenen Daten, negierten sicherheitsbezogenen Daten und die Prüfinformation, die er zur Ermittlung der entsprechenden Sicherheitsfunktion benötigt. Beispielsweise interpretiert der Sicherheitsbaustein 90 die von der Master-Steuereinrichtung 20 kommenden sicherheitsbezogenen Daten dahin, daß die Drehzahl der Drehmaschine 110 einen kritischen Wert überschritten hat, und daß beispielsweise eine Person in den Sicherheitsbereich des Schweißroboters eingedrungen ist. Daraufhin wird eine vorbestimmte Sicherheitsfunktion ausgelöst, die bewirkt, daß die Schalter 170 und 180 geöffnet werden, so daß die Drehmaschine 110 und der Schweißroboter 120 von dem INTERBUS 10 abgetrennt werden können. Mit der Zurückführung der Ausgänge der Schalter 170 und 180 auf den Sicherheitsbaustein 90 wird die Sicherheit des Systems weiter verbessert. So ist es denkbar, daß die von der Master Steuereinrichtung 20 kommenden sicherheitsbezogenen Information derart verfälscht worden sind, daß sie einen fehlerfreien Zustand widerspiegeln. Tatsächlich aber sind in der Drehmaschine 110 und dem Schweißroboter 120 Fehler aufgetreten. Durch die rückgeführten Ausgänge der Schalter 170 und 180 ist der Sicherheitsbaustein 90 in der Lage, die tatsächlichen Zustandswerte mit den von der Master-Sicherheitseinrichtung 20 empfangenen sicherheitsbezogenen Informationen zu vergleichen und die Schalter 170 und 180 zu öffnen oder offen zu halten, wenn die Daten nicht übereinstimmen.In 2 are the bus participants 30 and 40 shown in more detail in block diagram form. Since the circuit design of the bus participants is essentially identical, only the structure of the bus station 30 described in more detail. The bus participant 30 is via a bus switching device 70 to the Interbus 10 turned on. The bus switching device 70 may comprise an ASIC device on which the known Interbus data transmission protocol is implemented. Further, in the bus subscriber 30 a safety-related circuit arrangement 80 implemented, in the context of the invention, the safety monitoring of the bus station 30 can take over. The safety functions, the safety-related circuitry 80 are already defined in various standards. In addition, all conceivable safety functions can be achieved by the safety-related circuit arrangement 80 realize. For this purpose, the safety-related circuit arrangement 80 a safety module 90 in which a predetermined security protocol, which may be known per se, is implemented. The security module 90 performs regular self-tests in accordance with EN 954-1, for example. This is an output line 94 with switches 95 and 96 connected via which the sensors 100 respectively. 102 with the entrances 92 and 93 are connected. This type of self-test is known per se. The security module 90 has for example two inputs 92 and 93 on that with a sensor 100 respectively. 102 are connected, which are assigned to be monitored facilities. For example, the sensor monitors 100 the speed of a lathe 110 and the sensor 102 a welding robot 120 , To the inputs of the safety module 90 can also do that in 1 shown protective grid 60 be turned on. The output of the sensor 100 is, as already shown, with the entrance 92 of the safety module 90 and immediately with an input of the bus interface 70 connected. Similarly, the output of the sensor 102 with the entrance 93 of the safety module 90 and immediately to an input of the bus connection device 70 connected. The security module 90 This is done by the sensors 100 and 102 to deny incoming input data, hereinafter referred to as the actual safety-related data, and as safety-related negated data of the bus connection device 70 supply. In addition, the security module generates 90 from the negated safety-related data and / or from the non-negated safety-related data, a test information, which is also the bus connection device 70 is supplied. The safety-related data, the negated safety-related data and the test information form the safety-related information. This measure ensures that the security behavior of the Interbus system is improved, since data transmission security is increased. Of course, it is possible only the safety-related data of the bus connection device 70 supply. It should be mentioned once again that the safety-related data are the actual status data of the bus user 30 and, more specifically, the status data of the devices to be secured connected to it 110 and 120 is. The bus connection device 70 generates an ordinary data frame, in the example of the Interbus system a summation frame, in which one after the other the input data of the connected bus subscribers 30 . 40 and 50 are included, the master controller 20 to be transferred. 4 shows an exemplary Interbus sum frame 125 , the z. B. contains a so-called loop-back word containing the master controller 20 has generated. Another field is dedicated to the checksum. In the fields 130 . 140 and 150 are the user data of the bus device 30 . 40 respectively. 50 contain. The sum frame 125 will be in one Bus cycle to the master controller 20 transfer. According to the invention, the bus connection device 70 now the task, the safety-related information of the bus station 30 in the field assigned to it 130 enroll. In our example, the safety-related data of the sensors 100 and 102 in the field 132 that negated safety-related data in the field 134 and the calculated check information in the field 136 enrolled. It should be noted that in the fields 132 . 134 and 136 either the entire user data field 130 of the bus participant 30 occupy and be transmitted in a separate bus cycle or only a portion of the user data field 150 occupy and thus together with the user data of the bus station 30 in the same bus cycle to the master controller 20 can be transmitted. As a result, a more effective data transmission can be achieved. The bus participants 30 . 40 and 50 Not only can security related information about the master controller 20 but in return also security-related data or information from the master controller 20 receive. The bus connection device reads this 70 from a user data field of a summation frame that for the bus subscriber 30 certain safety-related information, in turn, from the actual safety-related data, the negated safety-related data, and test information, all of which, as will be described below, in the master controller 20 be generated. The bus connection device 70 has, for example, two outputs 72 . 73 on. At the exit 72 is over a switch 170 the lathe 110 and to the exit 73 via a switch 180 the welding robot 120 turned on. About the switches 170 and 180 can the lathe 110 and the welding robot 120 if necessary, be disconnected from the Interbus system. About the switches 170 and 180 In particular, control data, process and parameter data become the lathe 110 or the welding robot 120 or transfer parameter and process data from these to the bus interface device. The outputs of the switches 170 and 180 are with the safety module 90 connected. The bus connection device 70 is also with the safety module 90 connected to the master controller 20 received safety-related information supply this. The from the master controller 20 received safety-related data correspond to predetermined security functions by the security module 90 be executed. This is the security module 90 also with the switches 170 and 180 connected. The security module 90 obtained from the bus connection device 70 that of the master controller 20 safety-related data, negated safety-related data and the test information required to determine the corresponding safety function. For example, the safety module interprets 90 that of the master controller 20 coming safety-related data to the fact that the speed of the lathe 110 has exceeded a critical value, and that, for example, a person has penetrated into the security area of the welding robot. Thereafter, a predetermined safety function is triggered, which causes the switches 170 and 180 be opened so that the lathe 110 and the welding robot 120 from the INTERBUS 10 can be separated. With the return of the outputs of the switches 170 and 180 on the security module 90 the safety of the system is further improved. So it is conceivable that by the master control device 20 upcoming safety-related information has been corrupted so that they reflect a healthy state. In fact, however, are in the lathe 110 and the welding robot 120 Error occurred. Through the returned outputs of the switches 170 and 180 is the safety component 90 able to match the actual state values with those of the master safety device 20 received safety related information and compare the switches 170 and 180 to open or keep open if the data does not match.

Der Sicherheitsbaustein 90 kann weitere Maßnahmen in Übereinstimmung mit der EN 954-1 enthalten, wie z. B. den erwähnten regelmäßig durchgeführten Selbsttest sowie einen Timer, der beispielsweise nach 40 ms die Schalter 170 und 180 öffnet, um die Drehmaschine 110 und den Schweißroboter 120 in einen sicheren Zustand zu schalten, wenn keine gültigen sicherheitsbezogenen Daten erkannt worden sind.The security module 90 may contain further measures in accordance with EN 954-1, such as: As mentioned regularly performed self-test and a timer, for example, after 40 ms, the switch 170 and 180 opens to the lathe 110 and the welding robot 120 to switch to a safe state if no valid safety-related data has been detected.

3 zeigt ein Blockschaltbild der in 1 dargestellten Master-Steuereinrichtung 20. Allerdings sind nur die erfindungswesentlichen Merkmale dargestellt. Die Master-Steuereinrichtung 20 enthält eine übergeordnete Steuereinheit 200, deren Funktion später noch ausführlich beschrieben wird. Darüber hinaus ist in der Master-Steuereinrichtung 20 eine sicherheitsbezogene Schaltungsanordnung 210 implementiert. Ferner weist die Master-Steuereinrichtung 20 eine nicht dargestellte Empfangseinrichtung auf, die aus den Nutzdatenfeldern eines empfangenen Summenrahmen, beispielsweise aus dem in 4 gezeigten Summenrahmen 125, die sicherheitsbezogenen Informationen der Busteilnehmer 30, 40 und 50 auslesen kann. Beispielhaft werden die in dem Nutzdatenfeld 130 übertragenen sicherheitsbezogenen Daten des Busteilnehmers 30 betrachtet. Die Empfangseinrichtung führt die eigentlichen sicherheitsbezogenen Daten, die in dem Unterfeld 132 enthalten sind, einer ersten Prüfschaltung 220 zu. Die negierten im Unterfeld 134 enthaltenen sicherheitsbezogenen Daten werden einer zweiten Prüfschaltung 225 zugeführt. Die im Unterfeld 136 übertragene Prüfinformation wird sowohl der Prüfschaltung 220 als auch der Prüfschaltung 225 zugeführt. Die Prüfschaltungen 220 und 225 werten die empfangenen Daten aus. Die Prüfschaltung 220, die die eigentlichen sicherheitsbezogenen Daten verarbeitet, ist mit einer Logikschaltung 230 verbunden und führt ihre Ausgangsdaten der übergeordneten Steuereinheit 200 zu, während die Prüfschaltung 225 ausgangsseitig mit einer Logikschaltung 235 verbunden. Die übergeordnete Steuereinheit 200 erzeugt unter Ansprechen auf das Ausgangssignal der Prüfschaltung 220 ein von den sicherheitsbezogenen Daten des Busteilnehmers 30 abhängiges Steuersignal, das der Logikschaltung 230 und der Logikschaltung 235 zugeführt wird. 3 shows a block diagram of in 1 illustrated master controller 20 , However, only the features essential to the invention are shown. The master controller 20 contains a higher-level control unit 200 whose function will be described in detail later. In addition, in the master controller 20 a safety-related circuit arrangement 210 implemented. Further, the master controller 20 a receiving device, not shown, from the payload data fields of a received sum frame, for example from the in 4 shown sum frame 125 , the safety-related information of the bus participants 30 . 40 and 50 can read. The examples in the user data field 130 transmitted safety-related data of the bus station 30 considered. The receiving device carries the actual security-related data that is in the subfield 132 are included, a first test circuit 220 to. The negated in the subfield 134 safety-related data contained in a second test circuit 225 fed. The in the subfield 136 transmitted test information is both the test circuit 220 as well as the test circuit 225 fed. The test circuits 220 and 225 evaluate the received data. The test circuit 220 , which processes the actual safety-related data, is provided with a logic circuit 230 connected and their output data of the parent control unit 200 to while the test circuit 225 on the output side with a logic circuit 235 connected. The higher-level control unit 200 generated in response to the output signal of the test circuit 220 one of the safety-related data of the bus participant 30 dependent control signal, that of the logic circuit 230 and the logic circuit 235 is supplied.

Die Logikschaltung 235 erzeugt aus dem Ausgangssignal der Prüfschaltung 225 und dem Steuersignal der übergeordneten Steuereinrichtung 200 die eigentlichen sicherheitsbezogenen Daten, die für den Busteilnehmer 30 bestimmt sind. Die Logikschaltung 230 ermittelt aus dem Steuersignal der übergeordneten Steuereinheit 200 und den Ausgangsdaten der Prüfschaltung 220 ein Ausgangssignal, das einer Schaltung 240 zugeführt wird, die ein Ausgangssignal liefert, das den negierten sicherheitsbezogenen Daten der Logikschaltung 235 entspricht. Die Schaltung 240 erzeugt ferner entweder eine Prüfinformation aus den negierten sicherheitsbezogenen Daten und/oder aus den eigentlichen sicherheitsbezogenen Daten. Die eigentlichen sicherheitsbezogenen Daten, die negierten sicherheitsbezogenen Daten und die Prüfinformation, die zusammenfassend als sicherheitsbezogene Information bezeichnet werden, werden von der sicherheitsbezogenen Schaltungsanordnung 210 wieder in das Nutzdatenfeld eines Summenrahmens eingeschrieben, das für den Busteilnehmer 30 bestimmt ist. Die Master-Steuereinrichtung 20 ist auch in der Lage, die sicherheitsbezogenen informationen aller angeschalteter Busteilnehmer 30, 40 und 50 auf diese Art und Weise zu verarbeiten und in die entsprechenden Nutzdatenfelder eines Summenrahmens einzuschreiben.The logic circuit 235 generated from the output signal of the test circuit 225 and the control signal of the higher-level control device 200 the actual safety-related data for the bus subscriber 30 are determined. The logic circuit 230 determined from the control signal of the higher-level control unit 200 and the output data of the test circuit 220 an output signal that is a circuit 240 which supplies an output signal which corresponds to the negated safety-related data of the logic circuit 235 equivalent. The circuit 240 also generates either check information from the negated safety-related data and / or from the actual safety-related data. The actual safety-related data, the negated safety-related data and the test information, collectively referred to as safety-related information, are provided by the safety-related circuitry 210 again written in the payload data field of a sum frame, for the bus subscriber 30 is determined. The master controller 20 It is also able to provide the safety-related information of all connected bus subscribers 30 . 40 and 50 in this way to process and write into the corresponding payload fields of a sum frame.

Unter der Steuerung der übergeordneten Steuereinheit 200 kann die sicherheitsbezogene Schaltungsanordnung 210 der Master-Steuereinrichtung 20 während jedes Buszyklus oder in vorbestimmten Buszyklen vorbestimmte, d. h. eindeutig definierte sicherheitsbezogene Informationen in den, den Busteilnehmern 30, 40 und 50 zugeordneten Nutzdatenfeldern eines Summenrahmens zu den Busteilnehmern 30, 40, 50 übertragen. Die sicherheitsbezogenen Einrichtungen 80 der Busteilnehmer 30, 40 und 50 sind derart ausgebildet, daß sie unter Ansprechen auf den tatsächlichen Zustand des jeweiligen Busteilnehmers bzw. auf den Zustand der an den Busteilnehmer angeschalteten Eingabe-/Ausgabeseinrichtungen die empfangenen vorbestimmten sicherheitsbezogenen Daten verändert oder unverändert zur Master-Steuereinrichtung 20 zurücksenden können. Die Master-Steuereinrichtung 20 vergleicht die in den Nutzdatenfeldern des Summenrahmens empfangenen Busteilnehmer-spezifischen, sicherheitsbezogenen Informationen mit den vorbestimmten sicherheitsbezogenen Informationen. Stimmen die sicherheitsbezogenen Informationen überein, werden keine Sicherheitsfunktionen ausgelöst. Wenn allerdings die empfangenen sicherheitsbezogenen Informationen nicht mit den vorbestimmten sicherheitsbezogenen Informationen übereinstimmen, kann unter der Steuerung der übergeordneten Steuereinheit 200 die sicherheitsbezogene Schaltunfgsanordnung 210 sofort entsprechende sicherheitsbezogene Informationen, erzeugen, die entsprechenden Sicherheitsfunktionen entsprechen. Diese sicherheitsbezogenen Informationen werden entweder von der sicherheitsbezogenen Schaltungsanordnung 210 der Master-Steuereinrichtung 20 verwendet, um beispielsweise eine Not-Aus-Funktion auszulösen, die das gesamte System in einen sicheren Zustand fährt. Andererseits ist es möglich, daß diese sicherheitsbezogenen Informationen zu den angeschalteten Busteilnehmern 30, 40 und 50 übertragen werden, deren sicherheitsbezogene Schaltungsanordnungen 80 unter Ansprechen auf die empfangenen sicherheitsbezogenen Informationen die jeweiligen Sicherheitsfunktionen auslösen. Um die Sicherheit des Gesamtsystems zu verbessern, können die vorbestimmten sicherheitsbezogenen Informationen ein zweites Mal zu dem Busteilnehmern 30, 40 und 50 übertragen werden, die dann wiederum in Abhängigkeit ihres Zustandes diese vorbestimmten sicherheitsbezogenen Informationen verändert oder unverändert zur Master-Steuereinrichtung 20 zurücksenden.Under the control of the higher-level control unit 200 can the safety-related circuitry 210 the master controller 20 during each bus cycle or in predetermined bus cycles predetermined, ie clearly defined safety-related information in the, the bus participants 30 . 40 and 50 assigned user data fields of a sum frame to the bus participants 30 . 40 . 50 transfer. The safety-related facilities 80 the bus participant 30 . 40 and 50 are formed so as to change the received predetermined predetermined safety-related data in response to the actual state of the respective bus subscriber or to the state of the input / output devices connected to the bus subscriber, or unchanged to the master control device 20 can send back. The master controller 20 compares the bus user-specific, safety-related information received in the payload data fields of the sum frame with the predetermined safety-related information. If the safety-related information matches, no safety functions will be triggered. However, if the received safety-related information does not match the predetermined safety-related information, then under the control of the higher-level control unit 200 the safety related Schaltunfgsanordnung 210 immediately generate corresponding safety-related information that corresponds to the corresponding safety functions. This safety related information is either from the safety related circuitry 210 the master controller 20 used, for example, to trigger an emergency stop function that drives the entire system to a safe state. On the other hand, it is possible that this safety-related information to the connected bus participants 30 . 40 and 50 be transmitted, their safety-related circuits 80 trigger the respective safety functions in response to the received safety-related information. In order to improve the security of the overall system, the predetermined safety-related information can be sent to the bus subscribers a second time 30 . 40 and 50 in turn, depending on their state, this predetermined safety-related information is changed or unchanged to the master control device 20 return.

Dank der Erfindung, mit der die sicherheitstechnischen Maßnahmen zum einen in der Master-Steuereinrichtung 20 und zum anderen in jedem Busteilnehmer 30, 40 bzw. 50 implementiert werden, wobei die sicherheitsbezogenen Daten oder Informationen in den Nutzdatenfeldern des Interbus-Summenrahmens übertragen werden, ist es möglich, das System jederzeit mit herstellerunabhängigen Baugruppen zu erweitern, und die in der übergeordneten Steuereinheit 200 ablaufende Applikation zu verändern, ohne daß dadurch die sicherheitstechnischen Funktionen beeinträchtigt werden.Thanks to the invention, with the safety measures on the one hand in the master controller 20 and on the other hand in every bus participant 30 . 40 respectively. 50 can be implemented, with the security-related data or information is transmitted in the user data fields of the Interbus sum frame, it is possible to expand the system at any time with manufacturer-independent modules, and in the higher-level control unit 200 change running application, without affecting the safety functions are affected.

Claims (12)

Steuer- und Datenübertragungsanlage, umfassend einen seriellen Feldbus (10), an den eine Master-Steuereinrichtung (20) und mehrere Busteilnehmer (30, 40, 50) angeschaltet sind, wobei in der Master-Steuereinrichtung (20) und in den Busteilnehmern (30, 40, 50) jeweils eine sicherheitsbezogene Einrichtung (210; 80) zum Ausführen von vorbestimmten Sicherheitsfunktionen angeordnet ist, jeder Busteilnehmer (30, 40, 50) über eine Bus-Anschalteinrichtung (70) an den Feldbus (10) angeschlossen ist, die sicherheitsbezogenen Einrichtungen (210; 80) über den Feldbus (10) miteinander kommunizieren können, die Bus-Anschalteinrichtung einen ASIC-Baustein aufweist, in dem das Datenübertragungsprotokoll implementiert ist, die Bus-Anschalteinrichtung (70) dazu dient, die zwischen den sicherheitsbezogenen Einrichtungen (210; 80) auszutauschenden sicherheitsbezogenen Daten (132, 134, 136) in den Nutzdatenfeldern (130) vorbestimmter Datenrahmen über den Feldbus (10) zu übertragen, dadurch gekennzeichnet, dass die sicherheitsbezogene Einrichtung (80; 210) jedes Busteilnehmers (30, 40, 50) und/oder der Master-Steuereinrichtung (20) wenigsten einen Eingang (92, 93) aufweist, der mit einer Überwachungseinrichtung (100, 102) verbunden ist, wobei die sicherheitsbezogene Einrichtung (80, 210) das Ausgangssignal der Überwachungseinrichtung (100, 102) negiert und aus dem Ausgangssignal und dessen negiertem Ausgangssignal eine Prüfinformation erzeugt, die die zu übertragenden sicherheitsbezogenen Daten darstellt.Control and data transmission system comprising a serial field bus ( 10 ) to which a master controller ( 20 ) and several bus participants ( 30 . 40 . 50 ) are turned on, wherein in the master controller ( 20 ) and in the bus participants ( 30 . 40 . 50 ) a safety-related facility ( 210 ; 80 ) is arranged to perform predetermined safety functions, each bus subscriber ( 30 . 40 . 50 ) via a bus connection device ( 70 ) to the fieldbus ( 10 ), the safety-related facilities ( 210 ; 80 ) via the fieldbus ( 10 ), the bus interface device has an ASIC module in which the data transmission protocol is implemented, the bus interface device ( 70 ) between the safety-related facilities ( 210 ; 80 ) safety-related data ( 132 . 134 . 136 ) in the user data fields ( 130 ) predetermined data frame via the fieldbus ( 10 ), characterized in that the safety-related device ( 80 ; 210 ) of each bus participant ( 30 . 40 . 50 ) and / or the master controller ( 20 ) at least one entrance ( 92 . 93 ) provided with a monitoring device ( 100 . 102 ), the safety-related device ( 80 . 210 ) the output signal of the monitoring device ( 100 . 102 ) and generates from the output signal and its negated output test information that represents the safety-related data to be transmitted. Steuer- und Datenübertragungsanlage nach Anspruch 1, wobei die sicherheitsbezogenen Daten den Sicherheitszustand des jeweiligen Bus-Teilnehmers (30, 40, 50) darstellen.Control and data transmission system according to claim 1, wherein the safety-related data the security state of the respective bus subscriber ( 30 . 40 . 50 ). Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass jeder Busteilnehmer (30, 40, 50) und/oder die Master-Steuereinrichtung (20) wenigstens einen Ausgang (72, 73) aufweist, der mit einer zu sichernden Einrichtung (110, 120) verbunden ist.Control and data transmission system according to one of claims 1 or 2, characterized in that each bus subscriber ( 30 . 40 . 50 ) and / or the master control device ( 20 ) at least one output ( 72 . 73 ) to be secured with a device ( 110 . 120 ) connected is. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass jeder Ausgang (72, 73) über einen Schalter (170, 180) mit der Bus-Anschalteinrichtung (70) und unmittelbar mit der sicherheitsbezogenen Einrichtung (90) des jeweiligen Busteilnehmers (30, 40, 50) und/oder der Master-Steuereinrichtung (20) verbunden ist.Control and data transmission system according to one of claims 1 to 3, characterized in that each output ( 72 . 73 ) via a switch ( 170 . 180 ) with the bus connection device ( 70 ) and directly with the safety-related facility ( 90 ) of the respective bus subscriber ( 30 . 40 . 50 ) and / or the master controller ( 20 ) connected is. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die sicherheitsbezogene Einrichtung (80; 210) unter Ansprechen auf das Ausgangssignal der entsprechenden Überwachungseinrichtung (100, 102) den Schalter (170, 180) öffnet oder schließt.Control and data transmission system according to one of claims 1 to 4, characterized in that the safety-related device ( 80 ; 210 ) in response to the output signal of the corresponding monitoring device ( 100 . 102 ) the switch ( 170 . 180 ) opens or closes. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die sicherheitsbezogene Einrichtung (210) der Master-Steuereinrichtung (20) eine Empfangseinrichtung zum Empfangen der sicherheitsbezogenen Daten jedes Busteilnehmers, eine Auswertungseinrichtung (220, 225) zum Auswerten der empfangenen sicherheitsbezogenen Daten und eine Einrichtung (200, 230, 235, 240) aufweist, die unter Ansprechen auf die ausgewerteten Daten neue für den jeweiligen Busteilnehmer (30, 40, 50) bestimmte sicherheitsbezogene Daten erzeugt, die einer vorbestimmten Sicherheitsfunktion entsprechen.Control and data transmission system according to one of claims 1 to 5, characterized in that the safety-related device ( 210 ) of the master controller ( 20 ) a receiving device for receiving the safety-related data of each bus subscriber, an evaluation device ( 220 . 225 ) for evaluating the received safety-related data and a device ( 200 . 230 . 235 . 240 ) in response to the evaluated data new for the respective bus subscriber ( 30 . 40 . 50 ) generates certain security related data corresponding to a predetermined security function. Steuer- und Datenübertragungsanlage nach dem vorstehenden Anspruch 6, dadurch gekennzeichnet, dass die Empfangseinrichtung zum Empfangen der sicherheitsbezogenen Daten, deren negierten Daten und der Prüfinformation ausgebildet ist, und dass die Erzeugungseinrichtung (200, 230, 235, 240) zum Erzeugen der neuen sicherheitsbezogenen Daten, deren negierter Daten und einer neuen Prüfinformation ausgebildet ist.Control and data transmission system according to the preceding claim 6, characterized in that the receiving means for receiving the safety-related data, their negated data and the check information is formed, and that the generating means ( 200 . 230 . 235 . 240 ) for generating the new safety-related data, the negated data of which and a new test information is formed. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Feldbus (10) ein INTERBUS nach DIN 19258 und der Datenrahmen ein Summenrahmen (125) ist, der die Eingangs- oder Ausgangsdaten eines jeden Busteilnehmers (30, 40, 50) enthält.Control and data transmission system according to one of claims 1 to 7, characterized in that the fieldbus ( 10 ) an INTERBUS according to DIN 19258 and the data frame a summation frame ( 125 ), which is the input or output data of each bus subscriber ( 30 . 40 . 50 ) contains. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Master-Steuereinrichtung (20) eine übergeordnete Steuereinheit (200) zugeordnet ist, die in Abhängigkeit von den sicherheitsbezogenen Daten der Busteilnehmer (30, 40, 50) eine oder mehrere vorbestimmte Sicherheitsfunktionen auslöst.Control and data transmission system according to one of claims 1 to 8, characterized in that the master control device ( 20 ) a higher-level control unit ( 200 ), which depends on the safety-related data of the bus subscribers ( 30 . 40 . 50 ) triggers one or more predetermined safety functions. Verfahren zum Übertragen von sicherheitsbezogenen Daten in einer Steuer- und Datenübertraqungsanlage nach einem der Ansprüche 1 bis 9, die einen seriellen Feldbus (10) und daran angeschaltete Busteilnehmer (30, 40, 50) sowie eine daran angeschaltete Master-Steuereinrichtung (20) umfasst, wobei jeder der Busteilnehmer (30, 40, 50) über eine Bus-Anschalteinrichtung (70) an den Feldbus (10) angeschlossen ist, wobei die Bus-Anschalteinrichtung (70) einen ASIC-Baustein aufweist, in dem das Datenübertragungsprotokoll implementiert ist und wobei die Bus-Anschalteinrichtung (70) dazu dient, die zwischen den sicherheitsbezogenen Einrichtungen (210; 80) auszutauschenden sicherheitsbezogenen Daten (132, 134, 136) in den Nutzdatenfeldern (130) vorbestimmter Datenrahmen über den Feldbus (10) zu übertragen, mit folgenden Verfahrensschritten: a) Implementieren eines Datenübertragungsprotokolls und eines Sicherheitsprotokolls zur Ausführung vorbestimmter, anlagespezifischer Sicherheitsfunktionen in jedem Busteilnehmer und in der Master-Steuereinrichtung; b) unter Ansprechen auf die Ausgangssignale einer dem Busteilnehmer zugeordneten Überwachungseinrichtung erzeugt das entsprechende Sicherheitsprotokoll sicherheitsbezogene Daten, die den Zustand des jeweiligen Busteilnehmers widerspiegeln, wobei das Sicherheitsprotokoll die sicherheitsbezogenen Daten negiert und eine Prüfinformation aus den sicherheitsbezogenen Daten und den negierten sicherheitsbezogenen Daten bildet und diese an das Datenübertragungsprotokoll weiterleitet; c) das Datenübertragungsprotokoll überträgt die sicherheitsbezogenen Daten des jeweiligen Busteilnehmers in dem Nutzdatenfeld eines vorbestimmten Datenrahmens über den seriellen Feldbus zur Master-Steuereinrichtung; d) das Sicherheitsprotokoll der Master-Steuereinrichtung empfängt die vom Busteilnehmer kommenden sicherheitsbezogenen Daten, erzeugt in Abhängigkeit davon neue sicherheitsbezogene Daten, die einer vorbestimmten Sicherheitsfunktion entsprechen, und überträgt die neuen sicherheitsbezogenen Daten in dem Nutzdatenfeld eines Datenrahmens zu dem entsprechenden Busteilnehmer zurück; e) unter Ansprechen auf die neuen sicherheitsbezogenen Daten führt das Sicherheitsprotokoll des Busteilnehmers die zugehörige Sicherheitsfunktion aus.Method for transmitting safety-related data in a control and data transmission system according to one of Claims 1 to 9, which comprises a serial field bus ( 10 ) and connected bus subscribers ( 30 . 40 . 50 ) and a master control device connected thereto ( 20 ), each of the bus subscribers ( 30 . 40 . 50 ) via a bus connection device ( 70 ) to the fieldbus ( 10 ), wherein the bus connection device ( 70 ) has an ASIC module in which the data transmission protocol is implemented, and wherein the bus interface device ( 70 ) between the safety-related facilities ( 210 ; 80 ) safety-related data ( 132 . 134 . 136 ) in the user data fields ( 130 ) predetermined data frame via the fieldbus ( 10 ), comprising the steps of: a) implementing a data transmission protocol and a security protocol for execution predetermined, plant-specific safety functions in each bus subscriber and in the master control device; b) in response to the output signals of a bus device associated monitoring device generates the corresponding safety record safety-related data that reflect the state of each bus user, the safety protocol negates the safety-related data and forms a check information from the safety-related data and the negated safety-related data and this forward the data transfer protocol; c) the data transmission protocol transmits the security-related data of the respective bus subscriber in the payload data field of a predetermined data frame via the serial field bus to the master control device; d) the safety log of the master controller receives the safety related data coming from the bus user, generates new safety related data corresponding to a predetermined safety function in response thereto, and returns the new safety related data in the payload field of a data frame to the corresponding bus subscriber; e) In response to the new safety-related data, the safety protocol of the bus device executes the associated safety function. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass in Schritt d) aus den empfangenen sicherheitsbezogenen Daten und deren negierten Daten sowie der Prüfinformation neue sicherheitsbezogene Daten, neue negierte sicherheitsbezogene Daten und eine neue Prüfinformation erzeugt werden.Method according to Claim 10, characterized in that new safety-related data, new negated safety-related data and new test information are generated in step d) from the received safety-related data and their negated data as well as the test information. Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass die Master-Steuereinrichtung in jedem Buszyklus vorbestimmte sicherheitsbezogene Daten zu den angeschalteten Busteilnehmern überträgt, dass die Busteilnehmer in Abhängigkeit ihres Sicherheitszustands sicherheitsbezogene Daten erzeugen und zur Master-Steuereinrichtung zurückschicken, die die ausgesendeten vorbestimmten sicherheitsbezogenen Daten mit den von jedem Busteilnehmer empfangenen sicherheitsbezogenen Daten vergleicht und vorbestimmte Sicherheitsfunktionen auslöst, wenn das Vergleichsergebnis negativ ist.A method according to claim 11, characterized in that in each bus cycle the master controller transmits predetermined safety-related data to the connected bus subscribers, the bus subscribers generate security-related data in dependence on their security status and send it back to the master controller, which transmits the transmitted predetermined safety-related data with the compares safety-related data received by each bus user and triggers predetermined safety functions if the comparison result is negative.
DE19758848A 1997-09-26 1997-09-26 Control and data transmission installation Expired - Lifetime DE19758848B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19758848A DE19758848B4 (en) 1997-09-26 1997-09-26 Control and data transmission installation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19758848A DE19758848B4 (en) 1997-09-26 1997-09-26 Control and data transmission installation

Publications (1)

Publication Number Publication Date
DE19758848B4 true DE19758848B4 (en) 2012-10-18

Family

ID=46935825

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19758848A Expired - Lifetime DE19758848B4 (en) 1997-09-26 1997-09-26 Control and data transmission installation

Country Status (1)

Country Link
DE (1) DE19758848B4 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3706325C2 (en) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De
DE4032033A1 (en) * 1990-10-09 1992-04-16 Siemens Ag Electric control and monitoring for underground plant - triggering safety-relevant signals for transmission over independent paths and processing by redundant systems
EP0601216A1 (en) * 1992-11-13 1994-06-15 Siemens Aktiengesellschaft Serial information transmission method
WO1994026558A1 (en) * 1993-05-07 1994-11-24 Oztech Industries Pty. Limited Vehicle communication/control system
DE4412653C2 (en) * 1994-04-13 1997-01-09 Schmersal K A Gmbh & Co Monitoring device
DE19742716C5 (en) * 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Control and data transmission system and method for transmitting safety-related data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3706325C2 (en) * 1987-02-27 1992-01-09 Phoenix Elektrizitaetsgesellschaft H. Knuemann Gmbh & Co Kg, 4933 Blomberg, De
DE4032033A1 (en) * 1990-10-09 1992-04-16 Siemens Ag Electric control and monitoring for underground plant - triggering safety-relevant signals for transmission over independent paths and processing by redundant systems
EP0601216A1 (en) * 1992-11-13 1994-06-15 Siemens Aktiengesellschaft Serial information transmission method
WO1994026558A1 (en) * 1993-05-07 1994-11-24 Oztech Industries Pty. Limited Vehicle communication/control system
DE4412653C2 (en) * 1994-04-13 1997-01-09 Schmersal K A Gmbh & Co Monitoring device
DE19742716C5 (en) * 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Control and data transmission system and method for transmitting safety-related data

Similar Documents

Publication Publication Date Title
DE19742716C5 (en) Control and data transmission system and method for transmitting safety-related data
DE19928517C2 (en) Control system for controlling safety-critical processes
DE10353950C5 (en) control system
DE19927635B4 (en) Security related automation bus system
DE19707241C2 (en) Modular safety relay
EP0875810A2 (en) Method and device for monitoring an installation with several function units
EP1631014A2 (en) Method and device for coupling critical processes to a bus
DE19619117A1 (en) Control system, in particular for security systems in motor vehicles, and method for exchanging information in a control system
EP1811722A2 (en) Method and device for converting messages on multiple channels into a safe single channel message
DE2453011A1 (en) PROCEDURE AND CIRCUIT ARRANGEMENT FOR SELECTING A SIGNAL FROM AT LEAST THREE REDUNDANT SIGNAL CHANNELS
DE2316433A1 (en) PROGRAMMABLE UNIVERSAL LOGIC MODULE
EP3557598A1 (en) Safety switch
DE2854655A1 (en) SIGNAL TRANSFER CONTROL ARRANGEMENT
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP0059789B1 (en) Device for testing the functions of a multi-computer system
DE19758848B4 (en) Control and data transmission installation
EP0582848A2 (en) Method of error detection in digital communication systems
DE102004037227A1 (en) Method and device for addressing subscribers of a bus system
DE19814096A1 (en) Changeover to subsystem connected in cold redundancy, in hierarchical automation system
DE19758993B3 (en) Control and data transmission installation
DE19758994B3 (en) Control and data transmission system and method for transmitting safety-related data
EP0984344B1 (en) Sytem for cable-connection of a control and data transmission installation
DE3137046A1 (en) "CIRCUIT ARRANGEMENT FOR DETECTING FAULTS IN A DATA PROCESSING SYSTEM"
EP0864875B1 (en) Method for testing a safety circuit
DE3108870C2 (en) Procedure for the functional test of a multiplexer

Legal Events

Date Code Title Description
Q369 Divided out of:

Ref document number: 19742716

Country of ref document: DE

Kind code of ref document: P

8110 Request for examination paragraph 44
AC Divided out of

Ref document number: 19742716

Country of ref document: DE

Kind code of ref document: P

R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R130 Divisional application to

Ref document number: 19758993

Country of ref document: DE

Effective date: 20120323

R020 Patent grant now final

Effective date: 20130119

R130 Divisional application to

Ref document number: 19758993

Country of ref document: DE

Effective date: 20131126

R071 Expiry of right