DE19904892A1 - Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function - Google Patents

Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function

Info

Publication number
DE19904892A1
DE19904892A1 DE19904892A DE19904892A DE19904892A1 DE 19904892 A1 DE19904892 A1 DE 19904892A1 DE 19904892 A DE19904892 A DE 19904892A DE 19904892 A DE19904892 A DE 19904892A DE 19904892 A1 DE19904892 A1 DE 19904892A1
Authority
DE
Germany
Prior art keywords
data
input unit
bus
monitoring unit
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19904892A
Other languages
German (de)
Other versions
DE19904892B4 (en
Inventor
Peter Wratil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Peter Wratil
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peter Wratil filed Critical Peter Wratil
Priority to DE19904892A priority Critical patent/DE19904892B4/en
Priority to DE29923431U priority patent/DE29923431U1/en
Publication of DE19904892A1 publication Critical patent/DE19904892A1/en
Application granted granted Critical
Publication of DE19904892B4 publication Critical patent/DE19904892B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

A controller (1) includes memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system (3) in a master function. Local units on a bus fetch data from a process (6) or send data to it. An input unit (4) is connected to sensors to pick up their measurement values for sending to the controller via the bus system. An output unit (5) receives data processed by the controller via the bus system to feed it into the process for operation.

Description

Die Erfindung bezieht sich auf ein Verfahren zur Fehlerunterdrückung von Eingabeeinheiten, die über ein Bussystem an Automatisierungseinrichtungen angeschlossen sind.The invention relates to a method for error suppression of Input units connected to automation devices via a bus system are connected.

Automatisierungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind. Im engeren Sinne verwendet man hierzu oftmals Speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.Automation devices are everywhere according to the current state of the art used where processes, procedures or other electromechanical Control, regulate, monitor or visualize facilities. In the narrower sense, programmable logic controllers are often used for this Controllers or microcomputers. Typical areas of application are Automation islands, production lines, machining centers or chemical Facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhafte Zuständen der Steuerung gehen dann extreme Gefahren aus, die von Personen oder sonstigen Einrichtungen unbedingt fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen.It is not uncommon for these previously mentioned processes to contain security-relevant ones Processes that pose a danger to people or parts of the machine. Of The faulty states of the control system then pose extreme dangers must be kept away from people or other facilities. Examples for this are uncontrolled movements of robots, premature movement of Turning or milling devices, unwanted accelerations or incorrect ones Speeds of rotation devices or delayed switching off of heating or Dosing processes in chemical plants.

Die Ursachen dieser fatalen Fehler sind, vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.The causes of these fatal errors are many. Mostly, however, lies Programming errors, an uncontrolled behavior due to electromagnetic Influences or any other disturbance that the process into an undefined Situation.

Diese Fehlerarten sind in der Literatur (insb.: in Normungswerken, vergl.: DIN 19251) hinreichend beschrieben. Gleichfalls stellt die Norm bereits Konzepte vor, wie man derartige Fehler erkennt und eliminiert (z. B.: DIN V 0801). Ferner bieten verschiedene Hersteller von Steuerungseinrichtungen bereits vollständige Lösungen an, die für sicherheitsrelevante Einrichtungen (wie vorgestellt) zu verwenden sind (siehe Produktangebote Siemens (115/155F) oder Produkte der Hersteller Pilz und Hima).These types of errors are in the literature (esp .: in standardization works, see: DIN 19251) adequately described. Likewise, the standard already presents concepts of how to recognizes and eliminates such errors (e.g. DIN V 0801). Also offer different manufacturers of control devices already complete solutions which are to be used for safety-relevant facilities (as presented) (see product offers Siemens (115 / 155F) or products from the manufacturers Pilz and Hi Mom).

Von besonderer Wichtigkeit sind bei derartigen Prozessen Eingabeeinheiten, die alle Prozeßgrößen innerhalb des automatisierten Prozesses zur Verfügung stellen. Wenn diese Eingabeeinheiten fehlerhafte Daten erhalten oder selbst fehlerhaft sind, so werden Fehlzustände initiiert, die zu den bereits vorher genannten Gefährdungen führen. Es ist daher wünschenswert und - in sicherheitsrelevanten Bereichen - absolut notwendig, derartige Fehlzustände zu erkennen und Maßnahmen zu Unterdrückung des Fehlers zu ergreifen, damit der Prozeß in seinem Ablauf keine Gefährdung darstellt.With such processes, input units, all of which are of particular importance Provide process variables within the automated process. If these input units receive incorrect data or are incorrect themselves, so malfunctions are initiated that lead to the hazards already mentioned to lead. It is therefore desirable and - in safety-relevant areas - absolutely necessary to recognize such faulty conditions and take action Suppress the error so that the process does not run Represents danger.

Das vorgestellte Verfahren basiert darauf, daß man in typischen Automatisierungseinrichtungen einige Komponenten zusätzlich einbringt, die eine Fehlerkontrolle und eine Fehlerunterdrückung garantieren. Diese zusätzlichen Komponenten gewährleisten, daß ein Einfach-Fehler sowohl erkannt als auch unterdrückt wird. Erst das Aufeinandertreffen von zwei Fehlern im gleichen Zustand wird nicht als Fehler detektiert. Damit erhöht das Verfahren die Sicherheit des Prozesses ganz beträchtlich, da Fehler durch Einflüsse von Störungen oder durch falschen Programmablauf sicher unterbunden werden.The method presented is based on the fact that in typical Automation equipment brings some additional components, the one Guaranteed error control and error suppression. These additional Components ensure that a single fault is both detected and is suppressed. Only when two errors meet in the same state is not detected as an error. The process thus increases the security of the  Process quite considerable, since errors are caused by the effects of disturbances or by wrong program sequence can be prevented safely.

Das Verfahren enthält auch noch den wesentlichen Vorteil, daß Steuerungseinrichtung und Sicherheitseinrichtung entweder vollständig oder fast vollständig getrennt sind. Damit sind Spezifikations- oder Implementierungsfehler (wie man sie bei parallelen Einheiten kennt) im Prinzip ausgeschlossen.The process also has the essential advantage that Control device and safety device either complete or almost are completely separate. So there are specification or implementation errors (as you know them with parallel units) excluded in principle.

Dieser Vorteil zeigt sich auch dadurch, daß die sicherheitsreleventen Komponenten auch nachträglich zu installieren sind. Darüber hinaus können im Steuerungssystem Änderungen durchgeführt werden, die vollkommen unabhängig zur Überwachungsfunktion arbeiten. Der heute durchaus übliche Fall der "vor-Ort- Anpassung" an den Prozeß wird auch im Sicherheitsbereich realisierbar.This advantage is also shown by the fact that the safety-relevant components must also be installed retrospectively. In addition, in the control system Changes are made that are completely independent of Monitoring function work. The case of "on-site" Adaptation "to the process can also be implemented in the security area.

Das Verfahren ist weiterhin derart ausgelegt, daß man den normalen Ablauf innerhalb einer Steuerung oder eines Automatisierungsverbunds nicht verändern muß. Dieses gilt insbesondere sowohl für den SPS-Zyklus in der Steuerung als auch für den Übertragungszyklus am lokalen Netz. Lediglich im Sicherheitsbereich werden spezielle Komponenten hinzugefügt, die ihrerseits am Datentransport teilnehmen, diesen aber nicht verändern.The process is also designed so that the normal process do not change within a controller or an automation network got to. This applies in particular to the PLC cycle in the controller as well for the transmission cycle on the local network. Only in the security area special components are added, which in turn are used for data transport participate, but do not change it.

Die im folgenden vorgestellten Eingabeeinheiten sind Bestandteil der bereits erfolgten Anmeldungen des Gesamtverfahrens und der Ausgabeeinheiten (Aktenzeichen: 198 57 683.8 und 198 60 359.4).The input units presented below are part of the already registrations of the overall procedure and the output units (File number: 198 57 683.8 and 198 60 359.4).

Fig. 1 zeigt die Funktionsweise der Eingabeeinheiten. In der Darstellung ist ein typischer Aufbau eines Automatisierungssystems wiedergegeben. Die Steuerung (1) besteht in der Regel aus einer Speicherprogrammierbaren Steuerung die in einer Master-Funktion über das angeschlossene Bus-System (3) den Busverkehr und den gesamten Datentransport regelt. Am Bus befinden sich dezentrale Einheiten, die Daten vom Prozeß (6) holen oder zum Prozeß senden. So stellt die Einheit (4) einen übliche Eingabeeinheit dar, die an Sensoren des Prozeß (6) angeschlossen ist und deren Meßgrößen (7) aufnimmt und diese über das Bus-System (3) zum Master (1) schickt. Die Einheit (5) stellt eine typische Ausgabeeinheit dar, die nach der Verarbeitung der Daten durch die Steuerung (1) die berechneten Daten über das Bus-System (3) erhält und diese im Prozeß (6) zur Wirkung bringt. Fig. 1 shows the operation of the input units. A typical structure of an automation system is shown in the illustration. The controller ( 1 ) generally consists of a programmable logic controller that controls the bus traffic and the entire data transport in a master function via the connected bus system ( 3 ). Decentralized units are located on the bus, which fetch data from process ( 6 ) or send it to the process. The unit ( 4 ) thus represents a conventional input unit which is connected to sensors of the process ( 6 ) and records their measured variables ( 7 ) and sends them via the bus system ( 3 ) to the master ( 1 ). The unit ( 5 ) represents a typical output unit, which receives the calculated data via the bus system ( 3 ) after the processing of the data by the controller ( 1 ) and brings them into effect in the process ( 6 ).

Eventuelle Fehler, die in diesem Datenverbund möglich sind (durch Störungen oder fehlerhafte Programmierung) werden nicht erkannt und können eine Gefahr für das Leben und die Gesundheit von Personen darstellen. Ferner stellen diese Fehler auch eine Gefahr für Maschinenteile oder Herstellungsprodukte dar, die auf Grund von Fehlfunktionen beschädigt oder vernichtet werden können.Possible errors that are possible in this data network (due to faults or incorrect programming) are not recognized and can pose a danger to the Represent life and health of people. Furthermore, these bugs also pose poses a danger to machine parts or manufactured products which, due to Malfunctions can be damaged or destroyed.

Durch das Einbringen einer Überwachungseinheit (2) (grau unterlegt) und der Verwendung besonderer Eingabeeinheiten (8) gelingt es, Fehler zu erkennen und den Prozeß sicher zu erhalten. Eventuelle Schäden für Personen oder Teile werden hierdurch unterbunden. Die Überwachungseinheit (2) ist nicht Bestandteil dieser Anmeldung; sie spielt jedoch eine entscheidende Rolle bei der Sicherheitsüberwachung des gesamten Systems. In der Überwachungseinheit (2) werden nur diejenigen Funktionen abgelegt, die für die Erreichung der Sicherheit notwendig sind. In ihrem Programm stehen vorwiegend logische Verknüpfungen, die erlaubte oder verbotenen Zustände repräsentieren. Sie hat am Bus lediglich eine reine Hörer-Funktion und ist über die Daten der dezentralen Einheiten informiert. By installing a monitoring unit ( 2 ) (highlighted in gray) and using special input units ( 8 ), it is possible to recognize errors and to maintain the process safely. This prevents any damage to people or parts. The monitoring unit ( 2 ) is not part of this application; however, it plays a critical role in security monitoring of the entire system. Only those functions are stored in the monitoring unit ( 2 ) that are necessary to achieve security. Their program mainly contains logical links that represent permitted or forbidden states. It only has a handset function on the bus and is informed about the data of the decentralized units.

Damit kann sie sich ein Bild über die Zustände im Prozeß (6) machen und erlaubte von unerlaubten Zuständen trennen. Beispielsweise kann ihr Programm die Kontrolle des Tipp-Betriebs (langsames Laufen eines Antriebs zum Einrichten oder Kontrollieren) enthalten. In diesem Zustand stellt die Überwachungseinheit (2) fest, daß der Tipp-Betrieb angewählt ist, ferner kann ein Sensor signalisieren, daß sich eine Person in der Nähe der Maschine oder in der Nähe des gefährlichen Anlaufs befindet. Es geht nun vom Prozeß solange keine Gefahr aus, solange der Antrieb mit extrem niedriger Geschwindigkeit betrieben wird. Versucht nun die Steuerung (1), den Antrieb in diesem Zustand auf eine höhere Drehzahl zu programmieren (durch ein fehlerhaftes Programm oder durch eine nichterkannte Störung), so erkennt die Überwachungseinheit (2) dieses Vorhaben und kann den Vorgang abbrechen, bevor der Prozeß in einen gefahrvollen Zustand gerät. Diese kann beispielsweise dadurch geschehen, daß die Überwachungseinheit (2) den Prozeß abschaltet.This enables them to get an idea of the states in the process ( 6 ) and to separate allowed and illegal states. For example, your program can include the control of the jog mode (slow running of a drive for setting up or checking). In this state, the monitoring unit ( 2 ) determines that the jog mode is selected, and a sensor can signal that a person is near the machine or near the dangerous start. The process now poses no danger as long as the drive is operated at extremely low speed. If the controller ( 1 ) now tries to program the drive to a higher speed in this state (due to a faulty program or an undetected fault), the monitoring unit ( 2 ) recognizes this project and can abort the process before the process in gets into a dangerous state. This can be done, for example, by the monitoring unit ( 2 ) switching off the process.

Freilich ist auch die Überwachungseinheit (2) darauf angewiesen, daß sie einwandfreie Daten vom Prozeß erhält. Weiterhin muß auch gewährleistet sein, daß die Daten am Bus-System (3) auch in unverfälschter Form zum Prozeß gelangen. Letzteres ist bereits durch eine Anmeldung von sicheren Ausgabeeinheiten (Aktenzeichen: 198 60 359.4) erfüllt. Das hier vorgestellte Verfahren zeigt nun, wie man auch bei der Eingabe der Meßgrößen vom Prozeß (6) mit Sicherheit einwandfreie Daten erhält und so Fehler rechtzeitig erkennt. Hierzu ersetzt man die normalen Eingabeeinheiten (4) durch spezielle Eingabeeinheiten (8). Eine derartige Eingabeeinheit (8) holt sicherheitsrelevante Daten (13) vom Prozeß (6). Dabei erhält die Steuerung (1) über den linken Pfad (11) innerhalb der Eingabeeinheit (8) die normalen Daten vom Prozeß (6). Fig. 2 zeigt ein übliches Datenprotokoll (obere Zeile), wie sie beim Datentransport von einer Eingabeeinheit zur Steuerung erfolgt.Of course, the monitoring unit ( 2 ) is dependent on the fact that it receives faultless data from the process. Furthermore, it must also be ensured that the data on the bus system ( 3 ) also get to the process in an unadulterated form. The latter has already been fulfilled by registering secure output units (file number: 198 60 359.4). The method presented here now shows how, even when entering the measured variables from process ( 6 ), correct data can be obtained with certainty and errors can be recognized in good time. To do this, the normal input units ( 4 ) are replaced by special input units ( 8 ). Such an input unit ( 8 ) fetches safety-relevant data ( 13 ) from the process ( 6 ). The controller ( 1 ) receives the normal data from the process ( 6 ) via the left path ( 11 ) within the input unit ( 8 ). Fig. 2 shows a common data protocol (upper line), as it takes place during data transport from an input unit to the controller.

Die Informationskette beginnt in der Regel mit einem Startzeichen, dem die Empfänger-Adresse folgt. Danach wird die Sender-Adresse angehängt, die in diesem Fall die Adresse der Eingabeeinheit darstellt. Danach folgen die eigentlichen Daten, die von der Steuerung zu empfangen sind. Am Schluß wird die gesamte Informationskette durch eine Datenprüfung abgeschlossen, so daß eventuelle Bit- Fehler erkannt werden.The information chain usually begins with a start character, which the The recipient's address follows. Then the sender address is appended, which in this Case represents the address of the input unit. Then the actual data follows, which can be received by the control. In the end the whole Information chain completed by a data check so that any bit Errors are recognized.

Dieses Datenprotokoll ist an Bus-Systemen recht weit verbreitet. Ein Beispiel hierfür ist der weltweit genormte Profibus (DIN/ISO 19245, vergleiche auch Bernd Schürmann: Rechnerverbindungsstrukturen, Vieweg-Verlag, Braunschweig, 1997, ISBN 3-528-05562-6). In der Regel übertragen derartige Bus-Systeme jedoch nur wenige relevante Daten. Manchmal läßt sich die notwendige Information mit nur einen einzigen Bit beschreiben (wenn man z. B. den Zustand eines Schalters oder Tasters übertragen möchte). Die Datenkette innerhalb der Protokolle ist aber mindestens 8 Bit oder sogar mehrere Bytes (1 Byte = 8 Bit) lang. Damit werden innerhalb der Informationskette zahlreiche überflüssige Daten transportiert. An dieser Stelle verwendet die vorliegende Anmeldung diese überflüssigen Daten und fügt sogenannte redundante Daten hinzu, die von der Überwachungseinheit (2) ausgewertet werden.This data protocol is quite widespread on bus systems. An example of this is the worldwide standardized Profibus (DIN / ISO 19245, also compare Bernd Schürmann: Computer Connection Structures, Vieweg-Verlag, Braunschweig, 1997, ISBN 3-528-05562-6). As a rule, however, such bus systems transmit only a few relevant data. Sometimes the necessary information can be described with just a single bit (e.g. if you want to transfer the status of a switch or button). However, the data chain within the protocols is at least 8 bits or even several bytes (1 byte = 8 bits) long. This means that a lot of superfluous data is transported within the information chain. At this point, the present application uses this superfluous data and adds so-called redundant data, which are evaluated by the monitoring unit ( 2 ).

Hierzu stellt eine sicherheitsrelevante Eingabeeinheit (8) neben dem normalen Kanal (11) auch noch einen weiteren Kanal (14) mit einem Busteilnehmer (10) zur Verfügung. Die Daten dieser Einheit bestehen aus den Originaldaten aus dem Prozeß (13), die mit Zusatzinformationen versehen sind. Diese Zusatzinformationen werden über den Mikroprozessor (16) programmiert und lassen sich sogar von der Überwachungseinheit programmieren. Damit ist in jedem Fall gewährleistet, daß ein Fehler innerhalb der Einheit sicher erkannt wird. Die Überwachungseinheit (2) und die Eingabeeinheit (8) testen sich damit gegenseitig.For this purpose, a security-relevant input unit ( 8 ) provides not only the normal channel ( 11 ) but also another channel ( 14 ) with a bus subscriber ( 10 ). The data of this unit consist of the original data from the process ( 13 ), which are provided with additional information. This additional information is programmed via the microprocessor ( 16 ) and can even be programmed by the monitoring unit. This ensures in any case that an error is reliably detected within the unit. The monitoring unit ( 2 ) and the input unit ( 8 ) thus test each other.

Es besteht sogar die Möglichkeit, daß die Eingabeeinheit (8) über einen separaten Kanal direkt aus dem Prozeß redundante Daten erhält (15). So kann man beispielsweise die Geschwindigkeit eines Motors gleichzeitig durch einen Tachogenerator und durch eine Zahnradlichtschranke erfassen. Damit wird auch der Ausfall oder die Fehlfunktion eines Sensors im Prozeß (13) erkannt.There is even the possibility that the input unit ( 8 ) receives redundant data directly from the process ( 15 ) via a separate channel. For example, the speed of a motor can be measured simultaneously by a tachometer generator and by a gear wheel light barrier. This also detects the failure or malfunction of a sensor in the process ( 13 ).

Im Datenprotokoll hinterläßt nun die redundante Buseinheit (10) (grau hinterlegt) zusätzliche Daten, die hinter den Daten eingespeist werden (Fig. 2, untere Zeile, grau hinterlegte Redundanz-Daten).The redundant bus unit ( 10 ) (grayed out) now leaves additional data in the data log, which are fed in behind the data ( FIG. 2, lower line, grayed out redundancy data).

Die sichere Datenübertragung geschieht folgendermaßen:
Secure data transmission takes place as follows:

  • - Die Steuerung (1) fragt bei der Eingabeeinheit (8) die Daten (13) vom Prozeß (6) an.- The controller ( 1 ) requests the data ( 13 ) from the process ( 6 ) at the input unit ( 8 ).
  • - Die Eingabeeinheit (8) holt diese Daten (13), verarbeitet diese in der internen Logik (12) und stellt sie der Buseinheit (9) zur Verfügung. Diese sendet die Daten zur Steuerung (1).- The input unit ( 8 ) fetches this data ( 13 ), processes it in the internal logic ( 12 ) and makes it available to the bus unit ( 9 ). This sends the data to the controller ( 1 ).
  • - Gleichzeitig empfängt die Überwachungseinheit (2) dies Daten und wird damit über der Zustand im Prozeß (6) informiert.- At the same time, the monitoring unit ( 2 ) receives this data and is thus informed of the status in the process ( 6 ).
  • - Die Zusatzeinheit (10) überträgt in derselben Informationskette noch zusätzlich Redundanz-Daten, die nur die Überwachungseinheit (2) aufnimmt. Diese Daten werden entweder direkt in der Eingabeeinheit gebildet (14) oder auch redundant vom Prozeß erfragt (15).- The additional unit ( 10 ) transmits additional redundancy data in the same information chain, which only the monitoring unit ( 2 ) receives. This data is either formed directly in the input unit ( 14 ) or requested redundantly by the process ( 15 ).
  • - Aus der vorhergegangenen Programmierung der Eingabeeinheit (8) und dem Verglich der Originaldaten und den Redundanz-Daten erkannt die Überwachungseinheit (2) einen eventuellen Fehler.- The monitoring unit ( 2 ) recognizes a possible error from the previous programming of the input unit ( 8 ) and the comparison of the original data and the redundancy data.
  • - In einem solchen Fehlerfall stoppt die Überwachungseinheit (8) den Prozeß (6) oder veranlaßt eine sichere Beendigung.- In the event of such an error, the monitoring unit ( 8 ) stops the process ( 6 ) or initiates a safe termination.

Es ist die Aufgabe der vorliegenden Anmeldung, mit wenigen sicherheitsrelevanten Einheiten ein sicheres Automatisierungssystem zu erstellen. Die Anmeldung bezieht sich jedoch nur auf die Eingabeeinheit. Das Gesamtsystem, die Ausgabeeinheit und die Überwachungseinheit sind Bestandteile anderer Anmeldungen.It is the task of the present application, with few security-relevant ones Units to create a secure automation system. The registration relates however only refer to the input unit. The overall system, the output unit and the monitoring unit are part of other applications.

Claims (8)

1. Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten (8) in Steuerungseinrichtungen, die über ein Bus-System (3) an ein einer Automatisierungseinrichtung (1) (Speicherprogrammierbare Steuerung oder Mikrorechner) angeschlossen sind und im sicherheitsrelevanten Prozeß Zustände von Sensoren oder sonstige Daten einlesen und nach der Verarbeitung durch die Steuerung (1) gefahrbringende Funktionen und Abläufe in Gang setzen, dadurch gekennzeichnet, daß eine Überwachungseinheit (2) die Bus-Daten überwacht und Sicherheits-Eingabeeinheiten (8) für sicherheitsbehaftete Funktionen und Abläufe installiert werden, die intern über eine Logik (12) und einen Mikrorechner (16) verfügen die entweder direkt vom Prozeß (6) ankommende Daten (13) redundant erzeugen (14) oder über redundant angeordnete Sensoren oder Meßwerterfassungseinrichtungen (15) Größen vom Prozeß (13) erhalten und diese einer Überwachungseinheit (2) zur Verfügung stellen, die sowohl die Originaldaten (11) als auch die Redundanz-Daten miteinander vergleicht und dadurch einen Fehler am Bus-System (3) oder in der Eingabeeinheit (8) oder im Prozeß (6) erkennt und damit in der Lage ist, den Prozeß (6) sicher zu beenden oder in einen sicheren Zustand zu bringen und damit ein erhöhtes Maß an Sicherheit bietet, damit von einem Automatisierungsprozeß keine Gefahr für Leben und Gesundheit von Personen ausgehen kann.1. A method for suppressing errors in input units ( 8 ) in control devices which are connected via a bus system ( 3 ) to an automation device ( 1 ) (programmable logic controller or microcomputer) and read in states of sensors or other data in the safety-relevant process and after the processing by the controller ( 1 ) initiate dangerous functions and processes, characterized in that a monitoring unit ( 2 ) monitors the bus data and safety input units ( 8 ) for safety-related functions and processes are installed, which are internal via a logic ( 12 ) and a microcomputer ( 16 ) either redundantly generate ( 14 ) the data ( 13 ) arriving directly from the process ( 6 ) or receive variables from the process ( 13 ) via redundantly arranged sensors or measured value recording devices ( 15 ) and transmit them to a monitoring unit ( 2 ) provide both compares the original data ( 11 ) and the redundancy data with one another and thereby detects an error in the bus system ( 3 ) or in the input unit ( 8 ) or in the process ( 6 ) and is thus able to process ( 6 ) to end safely or to bring it into a safe state and thus offers an increased level of security so that an automation process cannot pose a risk to life and health of persons. 2. Verfahren nach dem Patentanspruch 1, dadurch gekennzeichnet, daß die Sicherheits-Eingabeeinheit (8) eine normale Eingabeeinheit (4) ersetzt und so in Zusammenarbeit mit der Überwachungseinheit (2) ein erhöhtes Maß an Sicherheit mitbringt.2. The method according to claim 1, characterized in that the security input unit ( 8 ) replaces a normal input unit ( 4 ) and thus brings an increased level of security in cooperation with the monitoring unit ( 2 ). 3. Verfahren nach den Patentansprüchen 1 bis 2, dadurch gekennzeichnet, daß die Sicherheits-Eingabeeinheit (8) auch nachträglich installiert werden kann, ohne daß der Ablauf in der Steuerung (1) geändert werden muß.3. The method according to claims 1 to 2, characterized in that the security input unit ( 8 ) can also be installed retrospectively without the process in the controller ( 1 ) having to be changed. 4. Verfahren nach den Patentansprüchen 1 bis 3, dadurch gekennzeichnet, daß zusammen mit einer Überwachungseinheit und redundant ausgelegten Ausgabeeinheiten eine vollständiges Sicherheitssystem für Automatisierungsprozesse entsteht.4. The method according to claims 1 to 3, characterized in that together with a monitoring unit and designed redundantly Output units a complete security system for Automation processes arise. 5. Verfahren nach den Patentansprüchen 1 bis 4, dadurch gekennzeichnet, daß eine Installation an Standard-Bussystemen möglich ist.5. The method according to claims 1 to 4, characterized in that an installation on standard bus systems is possible. 6. Verfahren nach den Patentansprüchen 1 bis 5, dadurch gekennzeichnet, daß die Eingabeeinheit im Fehlerfall in der Überwachungseinheit zu einem Zustand führt, der jegliche Gefahr für die Funktion der Automatisierungseinrichtung und der damit verbundenen Maschine oder Anlage ausschließt.6. The method according to claims 1 to 5, characterized in that the Input unit leads to a state in the monitoring unit in the event of an error, any danger to the functioning of the automation device and associated machine or system. 7. Verfahren nach den Patentansprüchen 1 bis 6, dadurch gekennzeichnet, daß zur redundanten Überwachung der Eingabeinformation weder ein spezieller Baustein (z. B. ASIC) noch eine Zusatzadresse als Busteilnehmer vorzusehen ist.7. The method according to claims 1 to 6, characterized in that for redundant monitoring of the input information is neither a special module (e.g. ASIC) an additional address must be provided as a bus node. 8. Verfahren nach den Patentansprüchen 1 bis 7, dadurch gekennzeichnet, daß eine installierte Überwachungseinheit im Fehlerfall über ihre eigenen Ausgänge die Stromversorgung unterbricht und damit eine eventuell gefahrbringende Aktorik abschaltet.8. The method according to claims 1 to 7, characterized in that an installed monitoring unit in the event of a fault via its own outputs the power supply is interrupted and thus potentially dangerous actuators switches off.
DE19904892A 1999-02-06 1999-02-06 Method for error suppression for input units in control devices Expired - Fee Related DE19904892B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19904892A DE19904892B4 (en) 1999-02-06 1999-02-06 Method for error suppression for input units in control devices
DE29923431U DE29923431U1 (en) 1999-02-06 1999-02-06 Unit in control devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19904892A DE19904892B4 (en) 1999-02-06 1999-02-06 Method for error suppression for input units in control devices

Publications (2)

Publication Number Publication Date
DE19904892A1 true DE19904892A1 (en) 2000-08-10
DE19904892B4 DE19904892B4 (en) 2008-06-12

Family

ID=7896661

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19904892A Expired - Fee Related DE19904892B4 (en) 1999-02-06 1999-02-06 Method for error suppression for input units in control devices

Country Status (1)

Country Link
DE (1) DE19904892B4 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
US7139622B2 (en) 2001-02-20 2006-11-21 Pilz Gmbh & Co. Method and device for programming a failsafe control system
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
US8886786B2 (en) 2005-12-29 2014-11-11 Endress + Hauser Process Solutions Ag Method for plant monitoring with a field bus of process automation technology

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4225834A1 (en) * 1992-08-05 1994-02-10 Inter Control Koehler Hermann Programmable digital controller with master unit bus coupled to slave units - has built=in fault diagnostic facility that is used to activate emergency programme for safe operation.
DE4312305C5 (en) * 1993-04-15 2004-07-15 Abb Patent Gmbh Safety-related programmable logic controller
DE4412653C2 (en) * 1994-04-13 1997-01-09 Schmersal K A Gmbh & Co Monitoring device
DE4416795C2 (en) * 1994-05-06 1996-03-21 Mannesmann Ag Redundantly configurable transmission system for data exchange and method for its operation
DE19532639C2 (en) * 1995-08-23 2000-11-30 Siemens Ag Device for single-channel transmission of data originating from two data sources
DE19611944C2 (en) * 1996-03-26 2003-03-27 Daimler Chrysler Ag Integrated circuit for coupling a micro-controlled control unit to a two-wire bus
DE19612423A1 (en) * 1996-03-28 1997-10-02 Siemens Ag Redundant control and safety system for crane
DE19815147B4 (en) * 1997-04-21 2005-03-17 Leuze Electronic Gmbh & Co Kg sensor arrangement
DE19814102C2 (en) * 1998-03-30 1999-05-12 Siemens Ag Data transmission method
DE19857683B4 (en) * 1998-12-14 2007-06-28 Wratil, Peter, Dr. Method for monitoring the safety of control devices

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
US7139622B2 (en) 2001-02-20 2006-11-21 Pilz Gmbh & Co. Method and device for programming a failsafe control system
US8886786B2 (en) 2005-12-29 2014-11-11 Endress + Hauser Process Solutions Ag Method for plant monitoring with a field bus of process automation technology

Also Published As

Publication number Publication date
DE19904892B4 (en) 2008-06-12

Similar Documents

Publication Publication Date Title
EP2302472B1 (en) Control system for safety critical processes
DE19928517C2 (en) Control system for controlling safety-critical processes
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
EP1631014B1 (en) Method and device for coupling critical processes to a bus
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
DE19857683B4 (en) Method for monitoring the safety of control devices
EP1054309B2 (en) Method and apparatus for safe transmission of data on a bus system
EP1055159B1 (en) Troubleproof process input and output
EP1620768A1 (en) Method and device for controlling a safety-critical process
EP3391157A1 (en) Field bus coupler, system, and method for configuring a failsafe module
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
EP1596262B1 (en) Safety-oriented data transfer
DE19913279B4 (en) Control device with monitoring unit for error detection and error suppression
WO2015113994A1 (en) Method and apparatus for safely disconnecting an electrical load
DE19860358B4 (en) Method for error suppression in output units in control devices
DE19904892A1 (en) Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function
EP2075655B1 (en) Safety control
EP1183827A2 (en) Circuit for carrying out secured data transmission, especially in ring bus systems
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP3470937B1 (en) Method and devices for monitoring the response time of a security function provided by a security system
EP2667304B1 (en) Input/Output Modul
EP3509316A1 (en) Security network and security sensor
EP3940467A1 (en) Control system for controlling a device or system
DE29923430U1 (en) Monitoring unit for safety monitoring of control devices

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: PHOENIX CONTACT GMBH & CO. KG, 32825 BLOMBERG, DE

8381 Inventor (new situation)

Inventor name: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee