DE19758994B3 - Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten - Google Patents

Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten Download PDF

Info

Publication number
DE19758994B3
DE19758994B3 DE19758994.4A DE19758994A DE19758994B3 DE 19758994 B3 DE19758994 B3 DE 19758994B3 DE 19758994 A DE19758994 A DE 19758994A DE 19758994 B3 DE19758994 B3 DE 19758994B3
Authority
DE
Germany
Prior art keywords
safety
bus
data
predetermined
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19758994.4A
Other languages
English (en)
Inventor
Thorsten Behr
Dipl.-Ing. Meyer-Gräfe Karsten
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE19758994.4A priority Critical patent/DE19758994B3/de
Application granted granted Critical
Publication of DE19758994B3 publication Critical patent/DE19758994B3/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31144Interbus-S
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft einen Busteilnehmer einer Steuer- und Datenübertragungsanlage. Der Erfindung liegt die Aufgabe zugrunde, bestehende Feldbussysteme, insbesondere den Interbus, sicherheitstechnisch derart zu verbessern, dass weder zusätzliche Leitungen zur Übertragung von Steuersignalen noch redundante, sicherheitsbezogene Baugruppen erforderlich sind. Die Erfindung erreicht dies dadurch, dass in der Master-Steuereinrichtung (20) und in den Busteilnehmers (30, 40, 50) jeweils eine sicherheitsbezogene Einrichtung (210; 80) zum Ausführen von vorbestimmten Sicherheitsfunktionen angeordnet ist, und dass die sicherheitsbezogenen Einrichtungen (80; 210) über den Feldbus (10) miteinander kommunizieren können.

Description

  • Die Erfindung betrifft einen Busteilnehmer einer Steuer- und Datenübertragungsanlage gemäß Anspruch 1.
  • Seit mehreren Jahren werden auf dem Gebiet der Automatisierung immer häufiger Feldbussysteme eingesetzt, an die Eingabe-/Ausgabe-Geräte sowie eine übergeordnete Steuereinrichtung angeschaltet sind. Mit solchen Feldbussystemen kann der Verkabelungsaufwand deutlich verringert werden, da Kupferleitungen eingespart werden können. Damit die Feldbussysteme den geforderten sicherheitstechnischen Anforderungen gerecht werden, müssen bestimmte Sicherheitsfunktionen, wie z. B. eine Stopp-Funktion oder eine Not-Aus-Funktion, durch die das Feldbussystem in einen sicheren Zustand gefahren werden kann, realisiert werden. Bei bisher bekannten Feldbussystemen erfolgt die Übertragung der dazu erforderlichen Steuersignale jeweils über parallele Einzelleitungen, d. h. nicht über den Feldbus selbst. Andere bekannte Ansätze bestehen darin, all diejenigen Einrichtungen, die Sicherheitsfunktionen ausführen sollen, entsprechend redundant auszulegen. Den bekannten Techniken haftet der Nachteil an, dass entweder ein hohes Maß an redundanten Bauteilen erforderlich ist, oder zur Übertragung der zusätzlichen Steuersignale parallele Einzelleitungen benötigt werden.
  • Der Erfindung liegt daher die Aufgabe zugrunde, die eingangs genannte Steuer- und Datenübertragungsanlage mit einem seriellen Feldbus derart zu verbessern, dass die obengenannten Nachteile vermieden werden und die Flexibilität der Anlage gesteigert werden kann, indem auf einfache Art und Weise Hersteller-unabhängige sicherheitsbezogene Baugruppen in der Anlage integriert werden können.
  • Dieses technische Problem löst die Erfindung mit den Merkmalen des Anspruchs 1.
  • Kerngedanke der Erfindung ist es, ein Feldbussystem mit Sicherheitsfunktionen auszustatten, die beispielsweise die Kategorie 3 bzw. 4 der europäischen Norm EN 954-1 (Stand 1996) und die Anforderungsklassen 4 bzw. 6 nach DIN V 19250 (Stand Mai 1994) erfüllen.
  • Dazu ist eine Steuer- und Datenübertragungsanlage mit einem seriellen Feldbus vorgesehen, an den eine Master-Steuereinrichtung und mehrere Busteilnehmer, das sind beispielsweise Eingabe-/Ausgabe-Geräte, angeschaltet sind. Sowohl in der Master-Steuereinrichtung als auch in den Busteilnehmern ist jeweils eine sicherheitsbezogene Einrichtung zum Ausführen von vorbestimmten Sicherheitsfunktionen angeordnet. Unter einer sicherheitsbezogenen Einrichtung ist eine Einrichtung zu verstehen, die im wesentlichen unter Ansprechen auf Zustandsinformationen der Anlage vorbestimmte Sicherheitsfunktionen ausführt, die ermöglichen, dass die gesamte Anlage, vorbestimmte Baugruppen oder Abschnitte der Anlage einen sicheren Zustand erreichen können.
  • Sicherheitsfunktionen umfassen beispielsweise eine Stopp-Funktion, die die gesamte Anlage oder bestimmte Abschnitte der Anlage so schnell wie nötig in einen sicheren Zustand überführen kann. Auch die Not-Aus-Funktion ist eine Sicherheitsfunktion, mit der das gesamte System in einen sicheren Zustand gefahren werden kann. Weitere Sicherheitsfunktionen betreffen z. B. das Verriegeln von Türen, einen unbeabsichtigten Wiederanlauf im Fehlerfall der Anlage oder eines vorbestimmten Bereichs und andere, beispielsweise in der Europa-Norm EN 954-1 definierte Funktionen. Im Unterschied zum Stand der Technik, nach dem entweder redundante Bauteile für sicherheitstechnische Maßnahmen implementiert werden, oder parallele Leitungen zur Übertragung der notwendigen Steuersignale erforderlich sind, sind die sicherheitsbezogenen Einrichtungen gemäß der Erfindung ohne Redundanz in der Master-Steuereinrichtung und in den Busteilnehmern implementiert und in der Lage, über den Feldbus selbst miteinander zu kommunizieren.
  • Jeder Busteilnehmer ist über eine Bus-Anschalteinrichtung an den Feldbus angeschlossen. Die Bus-Anschalteinrichtung weist einen ASIC-Baustein auf, in dem das Datenübertragungsprotokoll implementiert ist. Bei dem Datenübertragungsprotokoll kann es sich beispielsweise um das Interbus-Protokoll handeln, wenn als Feldbus ein Interbus zum Einsatz kommt. Die Bus-Anschalteinrichtung dient dazu, die zwischen den sicherheitsbezogenen Einrichtungen auszutauschenden sicherheitsbezogenen Daten in den Nutzdatenfeldern vorbestimmter Datenrahmen über den Feldbus zu übertragen. Sofern ein Interbus-Protokoll verwendet wird, ist der Datenrahmen ein Summenrahmen, in dem die Nutzdaten aller angeschalteten Busteilnehmer enthalten sind. Als sicherheitsbezogene Daten werden in der gesamten Beschreibung und in den Ansprüchen Daten verstanden, die den Sicherheitszustand des jeweiligen Bus-Teilnehmers oder auch der Master-Sicherheitseinrichtung darstellen. Die Sicherheitszustände eines Bus-Teilnehmers werden von Überwachungseinrichtungen, insbesondere Sensoren erfasst, die den zu sichernden Baugruppen, die an dem jeweiligen Busteilnehmer angeschaltet sind, zugeordnet sind.
  • Beispielsweise erfasst ein Sensor die Drehzahl einer Maschine. In diesem Fall zeigen die sicherheitsbezogenen Daten an, ob die Drehzahl der Maschine im Toleranzbereich liegt oder eine kritische Drehzahl überschritten hat. Es ist möglich, dass die Master-Steuereinrichtung und die Busteilnehmer die zu übertragenden sicherheitsbezogenen Daten in die Nutzdatenfelder des jeweiligen Bus-Teilnehmers einbetten, so dass die für die Master-Steuereinrichtung bestimmten Nutzdaten und die sicherheitsbezogenen Daten des Busteilnehmers in demselben Buszyklus übertragen werden können. Darüber hinaus ist es denkbar, die sicherheitsbezogenen Daten eines Busteilnehmers in dem Nutzdatenfeld während eines separaten Buszyklus zu übertragen.
  • Die sicherheitsbezogene Einrichtung jedes Busteilnehmers und/oder der Master-Steuereinrichtung weist wenigstens einen Eingang auf, der mit der Überwachungseinrichtung, beispielsweise einem Sensor, verbunden ist. Die sicherheitsbezogene Einrichtung ist derart ausgebildet, dass sie das Ausgangssignal der Überwachungseinrichtung negiert und aus dem Ausgangssignal und/oder dessen negiertem Ausgangssignal eine Prüfinformation erzeugt, die zusammen die zu übertragenden sicherheitsbezogenen Informationen des jeweiligen Busteilnehmers darstellen. Auf diese Weise kann die Anlagensicherheit weiter gesteigert werden, da bei einer fehlerhaften Übertragung der sicherheitsbezogenen Daten die richtige Information entweder aus den negierten Daten oder der Prüfsumme gewonnen werden kann. Mit diesem Verfahren kann eine Bitfehlerwahrscheinlichkeit von 10–13 realisiert werden.
  • In an sich bekannter Weise weist jeder Busteilnehmer und/oder die Master-Steuereinrichtung wenigstens einen Ausgang auf, der mit einer zu sichernden Einrichtung verbunden ist. Wie bereits erwähnt, kann es sich bei den zu sichernden Einrichtungen um Roboter, Maschinen und ähnliches handeln.
  • Gemäß einer vorteilhaften Weiterbildung ist jeder Ausgang über einen Schalter mit der Bus-Anschalteinrichtung und unmittelbar mit der sicherheitsbezogenen Einrichtung des jeweiligen Busteilnehmers und/oder der Master-Steuereinrichtung verbunden. In Abhängigkeit von dem Ausgangssignal der einer zu sichernden Einrichtung zugeordneten Überwachungseinrichtung öffnet oder schließt die sicherheitsbezogene Einrichtung den Schalter. Mit anderen Worten wird die zu sichernde Einrichtung in einen sicheren Zustand gefahren, d. h. von der Anlage abgeschaltet, wenn ein Fehler aufgetreten ist. An dieser Stelle sei bereits erwähnt, dass die infolge eines erfassten Fehlers auszuführende Sicherheitsfunktion entweder durch das Ausgangssignal der jeweiligen Überwachungseinrichtung erfolgt, oder durch entsprechende, von der Master-Steuereinrichtung erzeugte und zur sicherheitsbezogenen Einrichtung des jeweiligen Busteilnehmers übertragene sicherheitsbezogenen Daten ausgelöst wird.
  • Gemäß einer vorteilhaften Weiterbildung ist der Master-Steuereinrichtung eine übergeordnete Steuereinheit zugeordnet, die in Abhängigkeit von den sicherheitsbezogenen Daten der Busteilnehmer eine oder mehrere vorbestimmte Sicherheitsfunktionen auslösen kann. So können beispielsweise je nach Art des in einem Busteilnehmer ermittelten Fehlers entweder die an diesen Busteilnehmer angeschalteten zu sichernden Einrichtungen alleine, vorbestimmte Bereiche der Anlage oder sogar die gesamte Anlage abgeschaltet werden.
  • Damit die Master-Steuereinrichtung die sicherheitsbezogenen Daten der Busteilnehmer aus dem Datenrahmen auslesen kann, weist sie eine Empfangseinrichtung, eine Auswertungseinrichtung zum Auswerten der empfangenen sicherheitsbezogenen Daten und eine Einrichtung auf, die unter Ansprechen auf die ausgewerteten Daten neue für den jeweiligen Busteilnehmer bestimmte sicherheitsbezogene Daten erzeugt, die einer vorbestimmten Sicherheitsfunktion entsprechen. Die Empfangseinrichtung ist darüber hinaus derart ausgebildet, dass sie die sicherheitsbezogenen Daten, deren negierte Daten und die daraus gebildeten Prüfinformationen des jeweiligen Busteilnehmers empfangen kann, und dass die Erzeugungseinrichtung neue sicherheitsbezogene Daten, deren negierte Daten und eine daraus gebildete neue Prüfinformation erzeugen und im Nutzdatenfeld eines Datenrahmens zum jeweiligen Busteilnehmer übertragen kann.
  • Vorteilhafte Weiterbildungen sind in den Unteransprüchen angegeben.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels in Verbindung mit den beiliegenden Zeichnungen näher erläutert. Darin zeigen:
  • 1 ein stark vereinfachtes Blockschaltbild einer Steuer-Datenübertragungsanlage, in der die Erfindung verwirklicht ist;
  • 2 die Blockschaltbilder zweier Busteilnehmer nach 1, in denen die erfindungsgemäße sicherheitsbezogene Einrichtung implementiert ist;
  • 3 das Blockschaltbild der in 1 gezeigten Master-Steuereinrichtung mit der erfindungsgemäßen sicherheitsbezogenen Einrichtung; und
  • 4 einen beispielhaften Datenrahmen, in dem sicherheitsbezogene Information eines Busteilnehmers enthalten sind.
  • 1 zeigt exemplarisch ein Interbus-System für eine Steuer- und Datenübertragungsanlage, wie sie in der Fachliteratur ”Interbus-S, Grundlagen und Praxis”, Mühtig Buchverlag, Heidelberg, 1994, von Alfredo Baginsky et al. beschrieben wird. An den Interbus 10 sind eine Master-Steuereinrichtung 20 und drei Busteilnehmer 30, 40 und 50 angeschaltet. Es sei ausdrücklich darauf hingewiesen, dass dies eine beispielhafte Ausführungsform ist, wobei die Erfindung auf andere Feldbusse sowie auf Systeme aus mehreren zusammengeschalteten Feldbussen anwendbar ist. Der Busteilnehmer 30 ist mit einem an sich bekannten Schutzgitter 60 zur Überwachung von an den Busteilnehmer 30 angeschalteten Maschinen, Roboter und dergleichen, verbunden.
  • In 2 sind die Busteilnehmer 30 und 40 in Blockschaltbildform detaillierter dargestellt. Da der schaltungstechnische Aufbau der Busteilnehmer im wesentlichen identisch ist, wird nur der Aufbau des Busteilnehmers 30 näher beschrieben. Der Busteilnehmer 30 ist über eine Busanschalteinrichtung 70 an den Interbus 10 angeschaltet. Die Busanschalteinrichtung 70 kann einen ASIC-Baustein aufweisen, auf dem das an sich bekannte Interbus-Datenübertragungsprotokoll implementiert ist. Ferner ist in dem Busteilnehmer 30 eine sicherheitsbezogene Schaltungsanordnung 80 implementiert, die im Sinne der Erfindung die sicherheitstechnische Überwachung des Busteilnehmers 30 übernehmen kann. Die Sicherheitsfunktionen, die die sicherheitstechnische Schaltungsanordnung 80 ausführen kann, sind in verschiedenen Normen bereits definiert. Darüber hinaus lassen sich alle denkbaren Sicherheitsfunktionen durch die sicherheitsbezogene Schaltungsanordnung 80 verwirklichen. Dazu weist die sicherheitsbezogene Schaltungsanordnung 80 einen Sicherheitsbaustein 90 auf, in dem ein vorbestimmtes Sicherheitsprotokoll, das an sich bekannt sein kann, implementiert ist. Der Sicherheitsbaustein 90 führt beispielsweise in Übereinstimmung mit der EN 954-1 regelmäßige Selbsttests durch. Dazu ist eine Ausgangsleitung 94 mit Schaltern 95 und 96 verbunden, über die die Sensoren 100 bzw. 102 mit den Eingängen 92 und 93 verbunden sind. Diese Art von Selbsttest ist an sich bekannt. Der Sicherheitsbaustein 90 weist beispielsweise zwei Eingänge 92 und 93 auf, die mit einem Sensor 100 bzw. 102 verbunden sind, die zu überwachenden Einrichtungen zugeordnet sind. Beispielsweise überwacht der Sensor 100 die Drehzahl einer Drehmaschine 110 und der Sensor 102 einen Schweißroboter 120. An die Eingänge des Sicherheitsbausteins 90 kann auch das in 1 gezeigte Schutzgitter 60 angeschaltet sein. Der Ausgang des Sensors 100 ist, wie bereits gezeigt, mit dem Eingang 92 des Sicherheitsbausteins 90 und unmittelbar mit einem Eingang der Busanschalteinrichtung 70 verbunden. Auf ähnliche Weise ist der Ausgang des Sensors 102 mit dem Eingang 93 des Sicherheitsbausteins 90 und unmittelbar mit einem Eingang der Bus-Anschalteinrichtung 70 verbunden. Der Sicherheitsbaustein 90 dient dazu, die von den Sensoren 100 und 102 kommenden Eingangsdaten, nachfolgend als die eigentlichen sicherheitsbezogene Daten bezeichnet, zu negieren, und als sicherheitsbezogene negierte Daten der Bus-Anschalteinrichtung 70 zuzuführen. Darüber hinaus erzeugt der Sicherheitsbaustein 90 aus den negierten sicherheitsbezogenen Daten und/oder aus den nicht negierten sicherheitsbezogenen Daten eine Prüfinformation, die ebenfalls der Bus-Anschalteinrichtung 70 zugeführt wird. Die sicherheitsbezogenen Daten, die negierten sicherheitsbezogenen Daten und die Prüfinformation bilden die sicherheitsbezogene Information. Diese Maßnahme sorgt dafür, das Sicherheitsverhalten des Interbus-Systems zu verbessern, da die Datenübertragungssicherheit erhöht wird. Natürlich ist es möglich, nur die sicherheitsbezogenen Daten der Bus-Anschalteinrichtung 70 zuzuführen. Es sei noch einmal erwähnt, dass es sich bei den sicherheitsbezogenen Daten um die eigentlichen Zustandsdaten des Busteilnehmers 30, spezieller um die Zustandsdaten der an ihn angeschalteten zu sichernden Einrichtungen 110 und 120 handelt. Die Bus-Anschalteinrichtung 70 erzeugt einen gewöhnlichen Datenrahmen, beim Beispiel des Interbus-Systems einen Summenrahmen, in dem hintereinander die Eingangsdaten der angeschalteten Busteilnehmer 30, 40 und 50 enthalten sind, die zur Master-Steuereinrichtung 20 übertragen werden sollen. 4 zeigt einen beispielhaften Interbus-Summenrahmen 125, der z. B. ein sogenanntes Loop-Back-Wort enthält, das die Master-Steuereinrichtung 20 erzeugt hat. Ein weiteres Feld ist der Prüfsumme gewidmet. In den Feldern 130, 140 und 150 sind die Nutzdaten des Busteilnehmers 30, 40 bzw. 50 enthalten. Der Summenrahmen 125 wird in einem Buszyklus zur Master-Steuereinrichtung 20 übertragen. Erfindungsgemäß hat die Bus-Anschalteinrichtung 70 nunmehr die Aufgabe, die sicherheitsbezogenen Informationen des Busteilnehmers 30 in das ihm zugeordnete Feld 130 einzuschreiben. In unserem Beispiel werden die sicherheitsbezogenen Daten der Sensoren 100 und 102 in das Feld 132, die negierten sicherheitsbezogenen Daten in das Feld 134 und die berechnete Prüfinformation in das Feld 136 eingeschrieben. Es sei angemerkt, dass die in den Feldern 132, 134 und 136 stehenden sicherheitsbezogenen Daten entweder das gesamte Nutzdatenfeld 130 des Busteilnehmers 30 besetzen und in einem separaten Buszyklus übertragen werden oder aber nur einen Teil des Nutzdatenfeldes 150 belegen und somit zusammen mit den Nutzdaten des Busteilnehmers 30 in demselben Buszyklus zur Master-Steuereinrichtung 20 übertragen werden können. Dadurch kann eine effektivere Datenübertragung erzielt werden. Die Busteilnehmer 30, 40 und 50 können nicht nur sicherheitsbezogene Informationen zur Master-Steuereinrichtung 20 übertragen, sondern im Gegenzug auch sicherheitsbezogene Daten oder Informationen von der Master-Steuereinrichtung 20 empfangen. Dazu liest die Bus-Anschalteinrichtung 70 aus einem Nutzdatenfeld eines Summenrahmens die für den Busteilnehmer 30 bestimmten sicherheitsbezogenen Informationen aus, die wiederum aus den eigentlichen sicherheitsbezogenen Daten, den negierten sicherheitsbezogenen Daten und einer Prüfinformation, die allesamt, wie weiter unten noch beschrieben wird, in der Master-Steuereinrichtung 20 erzeugt werden. Die Bus-Anschalteinrichtung 70 weist beispielsweise zwei Ausgänge 72, 73 auf. An dem Ausgang 72 ist über einen Schalter 170 die Drehmaschine 110 und an den Ausgang 73 über einen Schalter 180 der Schweißroboter 120 angeschaltet. Über die Schalter 170 und 180 können die Drehmaschine 110 und der Schweißroboter 120 im Bedarfsfall von dem Interbus-System getrennt werden. Über die Schalter 170 und 180 werden insbesondere Steuerdaten, Prozess- und Parameterdaten zu der Drehmaschine 110 bzw. dem Schweißroboter 120 oder Parameter- und Prozessdaten von diesen zur Bus-Anschalteinrichtung übertragen. Die Ausgänge der Schalter 170 und 180 sind mit dem Sicherheitsbaustein 90 verbunden. Die Bus-Anschalteinrichtung 70 ist ebenfalls mit dem Sicherheitsbaustein 90 verbunden, um die von der Master-Steuereinrichtung 20 empfangenen sicherheitsbezogenen Informationen diesem zuzuführen. Die von der Master-Steuereinrichtung 20 empfangenen sicherheitsbezogenen Daten entsprechen vorbestimmten Sicherheitsfunktionen, die von dem Sicherheitsbaustein 90 ausgeführt werden. Dazu ist der Sicherheitsbaustein 90 ebenfalls mit den Schaltern 170 und 180 verbunden. Der Sicherheitsbaustein 90 erhält von der Bus-Anschalteinrichtung 70 die von der Master-Steuereinrichtung 20 kommenden sicherheitsbezogenen Daten, negierten sicherheitsbezogenen Daten und die Prüfinformation, die er zur Ermittlung der entsprechenden Sicherheitsfunktion benötigt. Beispielsweise interpretiert der Sicherheitsbaustein 90 die von der Master-Steuereinrichtung 20 kommenden sicherheitsbezogenen Daten dahin, dass die Drehzahl der Drehmaschine 110 einen kritischen Wert überschritten hat, und dass beispielsweise eine Person in den Sicherheitsbereich des Schweißroboters eingedrungen ist. Daraufhin wird eine vorbestimmte Sicherheitsfunktion ausgelöst, die bewirkt, dass die Schalter 170 und 180 geöffnet werden, so dass die Drehmaschine 110 und der Schweißroboter 120 von dem INTERBUS 10 abgetrennt werden können. Mit der Zurückführung der Ausgänge der Schalter 170 und 180 auf den Sicherheitsbaustein 90 wird die Sicherheit des Systems weiter verbessert. So ist es denkbar, dass die von der Master-Steuereinrichtung 20 kommenden sicherheitsbezogenen Informationen derart verfälscht worden sind, dass sie einen fehlerfreien Zustand widerspiegeln. Tatsächlich aber sind in der Drehmaschine 110 und dem Schweißroboter 120 Fehler aufgetreten. Durch die rückgeführten Ausgänge der Schalter 170 und 180 ist der Sicherheitsbaustein 90 in der Lage, die tatsächlichen Zustandswerte mit den von der Master-Sicherheitseinrichtung 20 empfangenen sicherheitsbezogenen Informationen zu vergleichen und die Schalter 170 und 180 zu öffnen oder offen zu halten, wenn die Daten nicht übereinstimmen.
  • Der Sicherheitsbaustein 90 kann weitere Maßnahmen in Übereinstimmung mit der EN 954-1 enthalten, wie z. B. den erwähnten regelmäßig durchgeführten Selbsttest sowie einen Timer, der beispielsweise nach 40 ms die Schalter 170 und 180 öffnet, um die Drehmaschine 110 und den Schweißroboter 120 in einen sicheren Zustand zu schalten, wenn keine gültigen sicherheitsbezogenen Daten erkannt worden sind.
  • 3 zeigt ein Blockschaltbild der in 1 dargestellten Master-Steuereinrichtung 20. Allerdings sind nur die erfindungswesentlichen Merkmale dargestellt. Die Master-Steuereinrichtung 20 enthält eine übergeordnete Steuereinheit 200, deren Funktion später noch ausführlich beschrieben wird. Darüber hinaus ist in der Master-Steuereinrichtung 20 eine sicherheitsbezogene Schaltungsanordnung 210 implementiert. Ferner weist die Master-Steuereinrichtung 20 eine nicht dargestellte Empfangseinrichtung auf, die aus den Nutzdatenfeldern eines empfangenen Summenrahmen, beispielsweise aus dem in 4 gezeigten Summenrahmen 125, die sicherheitsbezogenen Informationen der Busteilnehmer 30, 40 und 50 auslesen kann. Beispielhaft werden die in dem Nutzdatenfeld 130 übertragenen sicherheitsbezogenen Daten des Busteilnehmers 30 betrachtet. Die Empfangseinrichtung führt die eigentlichen sicherheitsbezogenen Daten, die in dem Unterfeld 132 enthalten sind, einer ersten Prüfschaltung 220 zu. Die negierten im Unterfeld 134 enthaltenen sicherheitsbezogenen Daten werden einer zweiten Prüfschaltung 225 zugeführt. Die im Unterfeld 136 übertragene Prüfinformation wird sowohl der Prüfschaltung 220 als auch der Prüfschaltung 225 zugeführt. Die Prüfschaltungen 220 und 225 werten die empfangenen Daten aus. Die Prüfschaltung 220, die die eigentlichen sicherheitsbezogenen Daten verarbeitet, ist mit einer Logikschaltung 230 verbunden und führt ihre Ausgangsdaten der übergeordneten Steuereinheit 200 zu, während die Prüfschaltung 225 ausgangsseitig mit einer Logikschaltung 235 verbunden ist. Die übergeordnete Steuereinheit 200 erzeugt unter Ansprechen auf das Ausgangssignal der Prüfschaltung 220 ein von den sicherheitsbezogenen Daten des Busteilnehmers 30 abhängiges Steuersignal, das der Logikschaltung 230 und der Logikschaltung 235 zugeführt wird. Die Logikschaltung 235 erzeugt aus dem Ausgangssignal der Prüfschaltung 225 und dem Steuersignal der übergeordneten Steuereinrichtung 200 die eigentlichen sicherheitsbezogenen Daten, die für den Busteilnehmer 30 bestimmt sind. Die Logikschaltung 230 ermittelt aus dem Steuersignal der übergeordneten Steuereinheit 200 und den Ausgangsdaten der Prüfschaltung 220 ein Ausgangssignal, das einer Schaltung 240 zugeführt wird, die ein Ausgangssignal liefert, das den negierten sicherheitsbezogenen Daten der Logikschaltung 235 entspricht. Die Schaltung 240 erzeugt ferner entweder eine Prüfinformation aus den negierten sicherheitsbezogenen Daten und/oder aus den eigentlichen sicherheitsbezogenen Daten. Die eigentlichen sicherheitsbezogenen Daten, die negierten sicherheitsbezogenen Daten und die Prüfinformation, die zusammenfassend als sicherheitsbezogene Information bezeichnet werden, werden von der sicherheitsbezogenen Schaltungsanordnung 210 wieder in das Nutzdatenfeld eines Summenrahmens eingeschrieben, das für den Busteilnehmer 30 bestimmt ist. Die Master-Steuereinrichtung 20 ist auch in der Lage, die sicherheitsbezogenen Informationen aller angeschalteter Busteilnehmer 30, 40 und 50 auf diese Art und Weise zu verarbeiten und in die entsprechenden Nutzdatenfelder eines Summenrahmens einzuschreiben.
  • Unter der Steuerung der übergeordneten Steuereinheit 200 kann die sicherheitsbezogene Schaltungsanordnung 210 der Master-Steuereinrichtung 20 während jedes Buszyklus oder in vorbestimmten Buszyklen vorbestimmte, d. h. eindeutig definierte sicherheitsbezogene Informationen in den, den Busteilnehmern 30, 40 und 50 zugeordneten Nutzdatenfeldern eines Summenrahmens zu den Busteilnehmern 30, 40, 50 übertragen. Die sicherheitsbezogenen Einrichtungen 80 der Busteilnehmer 30, 40 und 50 sind derart ausgebildet, dass sie unter Ansprechen auf den tatsächlichen Zustand des jeweiligen Busteilnehmers bzw. auf den Zustand der an den Busteilnehmer angeschalteten Eingabe-/Ausgabeeinrichtungen die empfangenen vorbestimmten sicherheitsbezogenen Daten verändert oder unverändert zur Master-Steuereinrichtung 20 zurücksenden können. Die Master-Steuereinrichtung 20 vergleicht die in den Nutzdatenfeldern des Summenrahmens empfangenen Busteilnehmer-spezifischen, sicherheitsbezogenen Informationen mit den vorbestimmten sicherheitsbezogenen Informationen. Stimmen die sicherheitsbezogenen Informationen überein, werden keine Sicherheitsfunktionen ausgelöst. Wenn allerdings die empfangenen sicherheitsbezogenen Informationen nicht mit den vorbestimmten sicherheitsbezogenen Informationen übereinstimmen, kann unter der Steuerung der übergeordneten Steuereinheit 200 die sicherheitsbezogene Schaltungsanordnung 210 sofort entsprechende sicherheitsbezogene Informationen erzeugen, die entsprechenden Sicherheitsfunktionen entsprechen. Diese sicherheitsbezogenen Informationen werden entweder von der sicherheitsbezogenen Schaltungsanordnung 210 der Master-Steuereinrichtung 20 verwendet, um beispielsweise eine Not-Aus-Funktion auszulösen, die das gesamte System in einen sicheren Zustand fährt. Andererseits ist es möglich, dass diese sicherheitsbezogenen Informationen zu den angeschalteten Busteilnehmern 30, 40 und 50 übertragen werden, deren sicherheitsbezogene Schaltungsanordnungen 80 unter Ansprechen auf die empfangenen sicherheitsbezogenen Informationen die jeweiligen Sicherheitsfunktionen auslösen. Um die Sicherheit des Gesamtsystems zu verbessern, können die vorbestimmten sicherheitsbezogenen Informationen ein zweites Mal zu den Busteilnehmern 30, 40 und 50 übertragen werden, die dann wiederum in Abhängigkeit ihres Zustandes diese vorbestimmten sicherheitsbezogenen Informationen verändert oder unverändert zur Master-Steuereinrichtung 20 zurücksenden.
  • Dank der Erfindung, mit der die sicherheitstechnischen Maßnahmen zum einen in der Master-Steuereinrichtung 20 und zum anderen in jedem Busteilnehmer 30, 40 bzw. 50 implementiert werden, wobei die sicherheitsbezogenen Daten oder Informationen in den Nutzdatenfeldern des Interbus-Summenrahmens übertragen werden, ist es möglich, das System jederzeit mit herstellerunabhängigen Baugruppen zu erweitern, und die in der übergeordneten Steuereinheit 200 ablaufende Applikation zu verändern, ohne dass dadurch die sicherheitstechnischen Funktionen beeinträchtigt werden.

Claims (7)

  1. Busteilnehmer (30, 40, 50) einer Steuer- und Datenübertragungsanlage, umfassend eine sicherheitsbezogene Einrichtung (80) zum Ausführen von vorbestimmten Sicherheitsfunktionen, eine Bus-Anschalteinrichtung (70) zum Anschließen des Busteilnehmers (30, 40, 50) an einen seriellen Feldbus (10), so dass die sicherheitsbezogene Einrichtung (80) des Busteilnehmers (30, 40, 50) über den Feldbus (10) mit einer weiteren sicherheitsbezogenen Einrichtung (210) einer Master-Steuereinrichtung (20), kommuniziert, sowie wenigstens einen Ausgang, der mit einer zu sichernden Einrichtung (110,120) verbunden ist, wobei die sicherheitsbezogene Einrichtung (80) die Busanschalteinrichtung (70) zum Empfangen von sicherheitsbezogenen Daten der weiteren sicherheitsbezogenen Einrichtung (210) der Master-Steuereinrichtung (20) und zum Senden von sicherheitsbezogenen Zustandsdaten der wenigstens einen verbundenen, zu sichernden Einrichtung (110, 120) an die weitere sicherheitsbezogene Einrichtung (210) der Master-Steuereinrichtung (20) aufweist und wobei die sicherheitsbezogene Einrichtung (80) ferner einen Sicherheitsbaustein (90) zum Interpretieren der empfangenen sicherheitsbezogenen Daten und unter Ansprechen auf die interpretierten Daten zum Auslösen einer vorbestimmten Sicherheitsfunktion (170, 180) aufweist; und die zwischen den sicherheitsbezogenen Einrichtungen (80; 210) auszutauschenden sicherheitsbezogenen Daten (132, 134, 136) in Nutzdatenfeldern (130, 140, 150) vorbestimmter Datenrahmen (125) über den Feldbus (10) übertragen werden, wobei die vorbestimmten Sicherheitsfunktionen eine Not-Aus-Funktion und/oder eine Wiederanlaufverhinderung gegen unbeabsichtigten Wiederanlauf im Fehlerfall und/oder eine Sicherheitsfunktion gemäß Europa-Norm EN 954-1 umfassen, wobei die Sicherheitsfunktionen zum Erreichen eines sicheren Zustands der gesamten Anlage, vorbestimmter Baugruppen oder Abschnitten der Anlage vorbestimmt sind.
  2. Busteilnehmer nach Anspruch 1, dadurch gekennzeichnet, dass die sicherheitsbezogenen Daten den Sicherheitszustand des Busteilnehmers (30, 40, 50) darstellen.
  3. Busteilnehmer (30, 40, 50) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sicherheitsbezogene Einrichtung (80; 210) des Busteilnehmers (30, 40, 50) wenigsten einen Eingang (92, 93) aufweist, der mit einer Überwachungseinrichtung (100, 102) verbunden ist, wobei die sicherheitsbezogene Einrichtung (80, 210) das Ausgangssignal der Überwachungseinrichtung (100, 102) negiert und aus dem Ausgangssignal und/oder dessen negiertem Ausgangssignal eine Prüfinformation erzeugt, die die zu übertragenden sicherheitsbezogenen Daten darstellen.
  4. Busteilnehmer (30, 40, 50) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die sicherheitsbezogene Einrichtung (80; 210) unter Ansprechen auf das Ausgangssignal der entsprechenden Überwachungseinrichtung (100, 102) einen Schalter (170, 180) öffnet oder schließt.
  5. Busteilnehmer (30, 40, 50) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Busanschalteinrichtung (70) zum Empfangen der sicherheitsbezogenen Daten, deren negierten Daten und daraus gebildeter Prüfinformation ausgebildet ist.
  6. Busteilnehmer (30, 40, 50) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Feldbus (10) ein INTERBUS nach DIN 19258 und der Datenrahmen ein Summenrahmen (125) ist, der die Eingangs- oder Ausgangsdaten des Busteilnehmers (30, 40, 50) enthält.
  7. Busteilnehmer (30, 40, 50) nach einem der vorhergehenden Ansprüche, bei welcher die sicherheitsbezogene Einrichtung (80) des Busteilnehmers (30, 40, 50) derart ausgebildet ist, in Abhängigkeit von den sicherheitsbezogenen Daten eine oder mehrere vorbestimmte Sicherheitsfunktionen (170, 180) auszulösen.
DE19758994.4A 1997-09-26 1997-09-26 Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten Expired - Lifetime DE19758994B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19758994.4A DE19758994B3 (de) 1997-09-26 1997-09-26 Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19758994.4A DE19758994B3 (de) 1997-09-26 1997-09-26 Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Publications (1)

Publication Number Publication Date
DE19758994B3 true DE19758994B3 (de) 2016-12-29

Family

ID=57537185

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19758994.4A Expired - Lifetime DE19758994B3 (de) 1997-09-26 1997-09-26 Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Country Status (1)

Country Link
DE (1) DE19758994B3 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994026558A1 (en) * 1993-05-07 1994-11-24 Oztech Industries Pty. Limited Vehicle communication/control system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994026558A1 (en) * 1993-05-07 1994-11-24 Oztech Industries Pty. Limited Vehicle communication/control system

Similar Documents

Publication Publication Date Title
DE19742716C5 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19928517C2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE10353950C5 (de) Steuerungssystem
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
EP1631014B1 (de) Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
EP2720098B1 (de) Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
DE19707241C2 (de) Modulares Sicherheitsschaltgerät
EP0742499A2 (de) Sicheres Verarbeiten von sicherheitsgerichteten Prozesssignalen
EP1811722B1 (de) Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
EP2202592A2 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE2316433A1 (de) Programmierbarer universal-logikmodul
EP1985070B1 (de) Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse
EP3557598A1 (de) Sicherheitsschalter
EP3133447B1 (de) Sicherheitsschalter
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP0059789B1 (de) Einrichtung zur Funktionsprüfung eines Mehrrechnersystems
DE19758994B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP0582848A2 (de) Verfahren zur Fehlererkennung in digitalen Kommunikationssystemen
DE102004035442B4 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
DE19758993B3 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE19758848B4 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP0984344B1 (de) System zur Verkabelung einer Steuer- und Datenübertragungsanlage
DE102004061013A1 (de) Sichere Eingabe-/Ausgabe-Baugruppe für eine Steuerung
EP2767877A1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R131 Declaration of division deemed not made
R409 Internal rectification of the legal status completed
R409 Internal rectification of the legal status completed
R129 Divisional application from

Ref document number: 19758993

Country of ref document: DE

Effective date: 20131126

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R071 Expiry of right