DE19904893B4 - Method for error suppression in control devices by an intelligent monitoring unit - Google Patents

Method for error suppression in control devices by an intelligent monitoring unit Download PDF

Info

Publication number
DE19904893B4
DE19904893B4 DE1999104893 DE19904893A DE19904893B4 DE 19904893 B4 DE19904893 B4 DE 19904893B4 DE 1999104893 DE1999104893 DE 1999104893 DE 19904893 A DE19904893 A DE 19904893A DE 19904893 B4 DE19904893 B4 DE 19904893B4
Authority
DE
Germany
Prior art keywords
memory
safety
monitoring unit
microprocessor
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1999104893
Other languages
German (de)
Other versions
DE19904893A1 (en
Inventor
Peter Wratil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE29923430U priority Critical patent/DE29923430U1/en
Priority to DE1999104893 priority patent/DE19904893B4/en
Publication of DE19904893A1 publication Critical patent/DE19904893A1/en
Application granted granted Critical
Publication of DE19904893B4 publication Critical patent/DE19904893B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen, bei denen speicherprogrammierbare Steuerungen oder Mikrorechner über ein Bus-System dezentrale Einheiten ansprechen, die einen Prozeß sowohl im sicherheitsrelevanten als auch im nicht sicherheitsrelevanten Bereich regeln, steuern oder überwachen, wobei eine Überwachungseinheit (102, 1) mit einem ersten (204) und zweiten Mikroprozessor (205), einem ersten (208) und einem zweiten Speicher (209) und einer Logik-Kontrolle (206) zur Überwachung gefahrbringender Abläufe oder Bewegungen (113) bereitgestellt und über ein Bus-Interface (203) (2) als Hörer an das Bus-System (103) angeschlossen wird,
sicherheitsbehaftete Größen über eine graphische oder sonstige Eingabe eingegeben und über den zweiten Mikroprozessor (205) in den zweiten Speicher (209) geladen werden,
über den ersten Mikroprozesor (204) der Datenverkehr am Bus-System (103) kontrolliert wird und die Zustände der Ein und Ausgänge des Automatisierungsverbunds in den ersten Speicher (208) geladen werden,
der erste Speicher (208) über den zweiten Mikroprozessor (205) mit dem zweiten Speicher (209) verglichen wird,...Method for monitoring the safety of control devices, in which programmable logic controllers or microcomputers address, via a bus system, decentralized units which regulate, control or monitor a process in both the safety-related and the non-safety-relevant areas, wherein a monitoring unit (102, 1 ) with a first (204) and second microprocessor (205), a first (208) and a second memory (209) and a logic control (206) for monitoring dangerous processes or movements (113) and via a bus interface (203) ( 2 ) is connected as a handset to the bus system (103),
safety-related variables are input via a graphical or other input and are loaded into the second memory (209) via the second microprocessor (205),
the data traffic on the bus system (103) is controlled via the first microprocessor (204) and the states of the inputs and outputs of the automation network are loaded into the first memory (208),
the first memory (208) is compared with the second memory (209) via the second microprocessor (205), ...

Figure 00000001
Figure 00000001

Description

Beschreibung des Verfahrens und Darstellung des Stands der TechnikDescription of the procedure and illustration of the prior art

Die Erfindung bezieht sich auf ein Verfahren zur Fehlerunterdrückung bei Automatisierungseinrichtungen die über ein Bus-System dezentraler Komponenten bedienen. Durch Hinzufügen einer Überwachungseinheit und spezieller dezentraler Komponenten kann der Sicherheitsgrad deutlich erhöht werden.The The invention relates to a method for error suppression Automation equipment via a bus system of distributed components serve. By adding a monitoring unit and more specific distributed components may be the level of security clearly increased become.

Automatisierungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind. Im engeren Sinne verwendet man hierzu oftmals Speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.automation equipment are used in the current state of the art wherever Processes, processes or control other electromechanical devices, regulate, monitor or to visualize. In the narrower sense one uses for this purpose often programmable logic controllers or microcomputers. Typical applications are automation islands, production lines, machining centers or chemical facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhaften Zuständen der Steuerung gehen dann extreme Gefahren aus, die von Personen oder sonstigen Einrichtungen unbedingt fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen.Not rarely do these previously mentioned processes contain security-related ones processes, the one hazard for persons or parts of the machine. Of the faulty states of the Control then emanates extreme dangers from people or other facilities must be kept away. Examples therefor are uncontrolled movements of robots, moving prematurely of turning or milling equipment, unwanted accelerations or incorrect rotational speeds of rotation devices or delayed Switching off heating or dosing processes in chemical plants.

Die Ursachen dieser fatalen Fehler sind vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.The Causes of these fatal mistakes are manifold. But most of the time it is Programming errors, uncontrolled behavior due to electromagnetic influences or another fault before that the process in brings an undefined situation.

Diese Fehlerarten sind in der Literatur (insb.: in Normungswerken, vergl.: DIN 19251) hinreichend beschrieben. Gleichfalls stellt die Norm bereits Konzepte vor, wie man derartige Fehler erkennt und eliminiert (z.B.: DIN V 0801). Ferner bieten verschiedene Hersteller von Steuerungseinrichtungen bereits vollständige Lösungen an, die für sicherheitsrelevante Einrichtungen (wie vorgestellt) zu verwenden sind (siehe Produktangebote Siemens (115/155F) oder Produkte der Hersteller Pilz und Hima).These Error types are in the literature (esp. In standard works, comp .: DIN 19251) sufficiently described. Likewise, the norm already concepts on how to recognize and eliminate such errors (For example: DIN V 0801). Furthermore, various manufacturers offer control equipment already complete solutions on, for safety-related facilities (as presented) to use are (see product offers Siemens (115 / 155F) or products of the Manufacturer mushroom and Hima).

Aus der DE 198 15 147 A1 , welche den nächst liegenden Stand der Technik zur vorliegenden Erfindung darstellt, ist eine Sensoranordnung zur Überwachung eines Arbeitsgerätes bekannt, bei dem an ein Bussystem eine redundante Auswerteeinheit angeschlossen ist, welche die über das Bussystem übertragenen Signale abhört und aus den Signalen der Sensoren Schaltzustände ermittelt werden, über die nur bei fehlerfreier Identifizierung das Arbeitsgerät über die Auswerteeinheit in Gang gesetzt wird. Der Schrift ist keine Überwachungseinheit zu entnehmen, die, ohne zusätzliche Sensoren zu verwenden, als Hörer an ein Bus-System angeschlossen ist, den Datenverkehr überwacht und im Fehlerfall ein Abschaltsignal generiert.From the DE 198 15 147 A1 , which represents the closest prior art to the present invention, a sensor arrangement for monitoring a working device is known, in which a redundant evaluation unit is connected to a bus system, which listens to the signals transmitted via the bus system and switching states are determined from the signals of the sensors , via which the implement is started via the evaluation unit only if the identification is error-free. The document does not refer to a monitoring unit which, without the use of additional sensors, is connected as a receiver to a bus system, monitors the data traffic and generates a shutdown signal in the event of an error.

Die DE 43 12 305 A1 eine sicherheitsgerichtete speicherprogrammierbare Steuerung, bei der eine Zentraleinheit und Eingabe/Ausgabe-Geräte an einen Bus angeschlossen sind. Über die Zentraleinheit kann im Fehlerfall in einen sicheren Zustand geschaltet werden. Die Eingabe/Ausgabe-Geräte sind intern zweikanalig aufgebaut und können Vergleichstest zwischen ihren Kanälen sowie Eigentests ausführen. Der Schrift ist keine Überwachungseinheit zu entnehmen, die es allein ermöglicht, den Datenverkehr an einem Bus zu überwachen und im Fehlerfall in einen sicheren Zustand zu schalten.The DE 43 12 305 A1 a safety-related programmable logic controller in which a central processing unit and input / output devices are connected to a bus. In the event of a fault, the central unit can be switched to a safe state. The input / output devices are internally dual-channel and can perform comparison tests between their channels and self-tests. The document does not refer to a monitoring unit, which alone makes it possible to monitor the data traffic on a bus and switch it to a safe state in the event of a fault.

Die DE 44 08 603 A1 zeigt ein Verfahren zur Erhöhung der Sicherheit in hierarchisch strukturierten Automatisierungssystemen. Der Schrift ist nicht zu entnehmen, dass eine Überwachungseinheit als Hörer an ein Bus-System geschaltet wird.The DE 44 08 603 A1 shows a method for increasing the security in hierarchically structured automation systems. The document does not indicate that a monitoring unit is connected as a listener to a bus system.

Die DE 34 28 215 C2 beschreibt eine Anordnung zum Überwachen einer Anlage. Die Schrift offenbart eine „übergeordnete, sich selbst überwachende Sicherheitseinrichtung". Zwar nimmt die dort offenbarte Steuereinrichtung keine Adressierung der Sicherheitseinrichtung vor. Die Sicherheitseinrichtung gemäß der DE 34 28 215 C2 ist nicht an ein Bus-System angeschaltet, sondern weist einzelne Signalleitungen auf. Eine Adressierung dezentraler Einheiten ist daher nicht erforderlich.The DE 34 28 215 C2 describes an arrangement for monitoring a plant. The document discloses a "higher-level, self-monitoring safety device." Although the control device disclosed therein does not undertake any addressing of the safety device DE 34 28 215 C2 is not connected to a bus system, but has individual signal lines. An addressing of decentralized units is therefore not required.

Die DE 37 04 318 C2 zeigt eine Anordnung zur Überwachung eines Mikroprozessors. Dabei werden über eine Vergleichsschaltung vom Prozessor gelieferte Daten mit Solldaten verglichen. Eine Sicherheitsüberwachung von Steuereinheiten ist der Schrift nicht zu entnehmen.The DE 37 04 318 C2 shows an arrangement for monitoring a microprocessor. In this case, data supplied by the processor is compared with desired data via a comparison circuit. A safety monitoring of control units is not apparent from the font.

Der Artikel „Einsatz und Wirksamkeit von Programmlaufüberwachungen", Heinz Gall, Klaus Kemp, atp 1/98, Seite 40 bis 48 zeigt insbesondere bekannte Verfahren zur zeitlichen und logischen Programmlaufüberwachung. Eine als Hörer an einen Bus angeschaltete Sicherheitseinrichtung ist der Schrift nicht zu entnehmen.Of the Article "Use and effectiveness of program monitoring ", Heinz Gall, Klaus Kemp, atp 1/98, pages 40 to 48 shows in particular known methods for temporal and logical program run monitoring. One as a listener to a bus connected safety device is not apparent from the document.

Das vorgestellte Verfahren basiert darauf, daß man in typischen Automatisierungseinrichtungen einige Komponenten zusätzlich einbringt, die eine Fehlerkontrolle und eine Fehlerunterdrückung garantieren. Diese zusätzlichen Komponenten gewährleisten, daß ein Einfach-Fehler sowohl erkannt als auch unterdrückt wird. Erst das Aufeinandertreffen von zwei Fehlern im gleichen Zustand wird nicht als Fehler detektiert. Damit erhöht das Verfahren die Sicherheit des Prozesses ganz beträchtlich, da Fehler durch Einflüsse von Störungen oder durch falschen Programmablauf sicher unterbunden werden.The presented method is based on introducing a few additional components in typical automation devices, which guarantee error control and error suppression animals. These additional components ensure that a single error is both detected and suppressed. Only the meeting of two errors in the same state is not detected as an error. Thus, the process considerably increases the security of the process, since errors are reliably prevented by influences of disturbances or by incorrect program execution.

Das Verfahren enthält auch noch den wesentlichen Vorteil, daß Steuerungseinrichtung und Sicherheitseinrichtung entweder vollständig oder fast vollständig getrennt sind. Damit sind Spezifikations- oder Implementierungsfehler (wie man sie bei parallelen Einheiten kennt) im Prinzip ausgeschlossen.The Procedure contains also still the significant advantage that control device and Safety device either completely or almost completely separated are. This causes specification or implementation errors (such as you know them in parallel units) excluded in principle.

Dieser Vorteil zeigt sich auch dadurch, daß die sicherheitsreleventen Komponenten auch nachträglich zu installieren sind. Darüber hinaus können im Steuerungssystem Änderungen durchgeführt werden, die vollkommen unabhängig zur Überwachungsfunktion arbeiten. Der heute durchaus übliche Fall der "vor-OrtAnpassung" an den Prozeß wird auch im Sicherheitsbereich realisierbar.This Another advantage is shown by the fact that the safety-relevant Components also later to install. About that In addition, in the Control system changes carried out become completely independent to the monitoring function work. The usual case today The "on-site adaptation" to the process will also feasible in the security area.

Das Verfahren ist weiterhin derart ausgelegt, daß man den normalen Ablauf innerhalb einer Steuerung oder eines Automatisierungsverbunds nicht verändern muß. Dieses gilt insbesondere sowohl für den SPS-Zyklus in der Steuerung als auch für den Übertragungszyklus am Lokalen Netz. Lediglich im Sicherheitsbereich werden spezielle Komponenten hinzugefügt, die ihrerseits am Datentransport teilnehmen, diesen aber nicht verändern.The Method is further designed so that the normal flow within a control or an automation network does not have to change. This especially applies to the PLC cycle in the control as well as for the transmission cycle at the local Network. Only in the security area are special components added that participate in the data transport, but do not change it.

1 zeigt einen typischen Aufbau eines Automatisierungssystems. Sicherheitskomponenten sind grau unterlegt. Die Steuerung (101) steuert oder regelt den Prozeß (111, 112). Zum Datentransport von der Steuerung zu den Sensoren und Aktoren im Prozeß wird ein Lokales Netz (3) (Bus-System) und dezentrale Einheiten (104 bis 110) verwendet. Dabei stellt die Einheit (104) eine typische Eingabeeinrichtung und die Einheit (108) eine typische Ausgabeeinrichtung dar. Zur Verarbeitung der gewünschten Prozeßfunktion holt die Steuerung (101) am Anfang des SPS-Zyklus den Zustand der Eingänge über die Eingabeeinheit (104) in einen Speicher innerhalb ihrer Einheit. Anhand dieses Zustands erfolgt die logische Bearbeitung durch das SPS-Programm, und am Schluß des SPS-Zyklus sendet die Steuerung die berechneten Daten über das Bus-System zur Ausgabeeinheit (108). Danach beginnt dieser Vorgang erneut und wiederholt sich fortwährend. 1 shows a typical structure of an automation system. Safety components are highlighted in gray. The control ( 101 ) controls or regulates the process ( 111 . 112 ). For data transport from the controller to the sensors and actuators in the process, a local network (3) (bus system) and decentralized units ( 104 to 110 ) used. The unit represents ( 104 ) a typical input device and the unit ( 108 ) is a typical output device. To process the desired process function, the controller fetches ( 101 ) at the beginning of the PLC cycle, the state of the inputs via the input unit ( 104 ) into a memory within their unit. Based on this state, the logic is processed by the PLC program, and at the end of the PLC cycle, the controller sends the calculated data via the bus system to the output unit ( 108 ). Thereafter, this process begins again and repeats itself continuously.

Bei modernen Steuerungen verwendet man auch vielfach Peripherieeinheiten, die den Datentransport über das Lokale Netz unabhängig vom SPS-Zyklus durchführen. Je nach Anwendung läßt sich damit die Aktualisierung der Aktoren synchronisieren oder als paralleler Prozeß abbilden.at modern controllers also often use peripherals, the data transport over the local network independent from the PLC cycle. Depending on the application can be to synchronize the updating of the actuators or as parallel Map process.

Ein Fehler, der entweder durch falsche Programmierung in der Steuerung (101), durch eine Störung in der Steuerung (101) oder am Bus-System (103) hervorgerufen wird, führt in der Regel zu einem Fehler, der zur fehlerhaften Ansteuerung über die dezentrale Einheit (108) im Prozeß (111, 112) Schaden anrichten kann. Bei nicht-sicherheitsrelevanten Abläufen (111) im Prozeß führen derartige Fehler zu ungewollten Zuständen oder Abläufen; eine Gefahr besteht jedoch nicht. Anders verhält sich ein Fehlerfall bei sicherheitsrelevanten Abläufen (113 im Prozeß 112). Hier kann das ungewollten Setzen eines Ausgangs beispielsweise zum Anlauf eines Motors oder zum Erhitzen einer explosiven Flüssigkeit führen und damit das Leben oder die Gesundheit von Personen gefährden.An error either due to incorrect programming in the controller ( 101 ), due to a fault in the control ( 101 ) or on the bus system ( 103 ), usually leads to an error that leads to faulty control via the decentralized unit ( 108 ) in process ( 111 . 112 ) Can cause damage. For non-safety-relevant processes ( 111 ) in the process, such errors lead to unwanted states or processes; however, there is no danger. The situation is different for an error case with safety-relevant processes ( 113 in process 112 ). This can lead to the unwanted setting of an output, for example, to start a motor or to heat an explosive liquid and thus endanger the life or health of people.

Um derartige fatale Fehler zu vermeiden wird entsprechend dem Patentanspruch eine Überwachungseinheit (102) dem System hinzugefügt. Zusätzlich tauscht man diejenigen dezentralen Ausgabeeinheiten aus, die im Prozeß Sicherheitsfunktionen bedienen. Damit wird beispielsweise die Ausgabeeinheit (108) durch die komplexere Ausgabeeinheit (107) ersetzt.In order to avoid such fatal errors, according to the claim a monitoring unit ( 102 ) added to the system. In addition, one exchanges those decentralized output units which serve safety functions in the process. Thus, for example, the output unit ( 108 ) by the more complex output unit ( 107 ) replaced.

Ferner sind auch diejenigen dezentralen Eingabeeinheiten (104, 105, 106) durch spezielle sicherheitstaugliche Einheiten (109) zu ersetzen. Diese sind aber nur dann notwendig, wenn es sich um sicherheitsrelevante Prozeßgrößen handelt.Furthermore, those remote input units ( 104 . 105 . 106 ) by special safety-compatible units ( 109 ) to replace. However, these are only necessary if they are safety-relevant process variables.

Zusammen mit der Überwachungseinheit (102), den sicherheitstauglichen dezentralen Eingabeeinheiten (109) und den dezentralen Ausgabeeinheiten (107) entsteht ein sicheres Automatisierungssystem.Together with the monitoring unit ( 102 ), the security-capable decentralized input units ( 109 ) and the decentralized output units ( 107 ) creates a secure automation system.

Die dezentralen Einheiten und das Verfahren sind bereits durch die beide Patentanmeldungen (Aktenzeichen: DE 198 57 683 A1 und DE 198 60 358 A1 ) abgedeckt und daher nicht Bestandteil dieser Anmeldung.The decentralized units and the method are already covered by the two patent applications (file reference: DE 198 57 683 A1 and DE 198 60 358 A1 ) and therefore not part of this application.

Die hier zur Anmeldung anstehende Überwachungseinheit (102, in 1) übernimmt 2 unterschiedliche Aufgaben in dem beschriebenen Verfahren. Einerseits dient sie dem Benutzer zur Eingabe und Darstellung der sicherheitsrelevanten Funktionen. Damit erfüllt diese Einheit die Funktion eines MMIs (Man Machine Interface). Andererseits übt die Überwachungseinheit (102) eine Kontrolle des Busverkehrs aus und versetzt sich dadurch in die Lage, die Zustände der Ein- und Ausgänge im Automatisierungsverbund zu kontrollieren.The monitoring unit to be registered here ( 102 , in 1 ) assumes 2 different tasks in the described method. On the one hand, it serves the user to input and display the safety-relevant functions. This unit fulfills the function of an MMI (Man Machine Interface). On the other hand, the monitoring unit ( 102 ) controls the bus traffic and thus enables it to control the states of the inputs and outputs in the automation network.

2 stellt den internen Aufbau der Überwachungseinheit (102) dar. Über ein Bus-Interface (203) ist die Überwachungseinheit (102) an das Bus-System (203) angeschlossen. Sie beinhaltet innerhalb des Bus-Verkehrs die Stellung eines Slaves. Damit ist sie nicht in der Lage, direkt Daten zu einem der Teilnehmer zu senden. Das Bus-Interface (203) versetzt sie lediglich in die Lage, alle Daten, die durch die Steuerung übertragen werden zu protokollieren. Hierzu verwendet die Überwachungseinheit (102) einen Mikroprozessor (MP1, 204) (oder ein ähnlich geartetes Bauteil, z.B.: ASIC), das die Daten vom Bus-System (103) über das Bus-Interface (203) aufnimmt und im Speicher 1 (208) ablegt. Hierdurch entsteht im Speicher 1 (208) ein Abbild der Zustände innerhalb der Eingänge und Ausgänge im gesamten Automatisierungsverbund. 2 represents the internal structure of the monitoring unit ( 102 ) via a bus interface ( 203 ) is the monitoring unit ( 102 ) to the bus system ( 203 ) connected. It contains the position of a slave within the bus traffic. Thus, she is unable to directly send data to one of the participants. The bus interface ( 203 ) only enables them to log all data transmitted by the controller. For this purpose the monitoring unit ( 102 ) a microprocessor (MP1, 204 ) (or a similar type of component, eg: ASIC), which stores the data from the bus system ( 103 ) via the bus interface ( 203 ) and in memory 1 ( 208 ). This results in the memory 1 ( 208 ) an image of the states within the inputs and outputs in the entire automation network.

Ein weiterer Mikroprozessor (MP2, 205) ist an den ersten Prozessor angekoppelt. Die wesentliche Aufgabe dieses zweiten Prozessors (205) besteht jedoch darin, über die graphische Ein- und Ausgabe (210) die Sicherheitsfunktionen im Speicher 2 (209) abzulegen. Diese Sicherheitsfunktionen stellen in der Regel nur ein geringer Teil der gesamten Steuerungsfunktionen dar. Diese werden vom Benutzer in Form einer Tabelle hinterlegt, die genaue Auskunft gibt, welche Eingänge mit der entsprechenden logischen Funktion zu erlaubten oder verbotenen Ausgängen gehören. Der Prozessor 2 (205) beinhaltet damit ein Betriebssystem (Software), die diese Eingabe über Tasten und Anzeige oder über ein Speicherelement (z.B.: EPROM, EEPROM, Chip-Karte, usw.) im Speicher 2 (209) ablegt. Unabhängig von der Art der Eingabe entsteht somit im Speicher 2 (209) eine Untermenge der Speicherinhalte aus dem Speicher 1 (208). In der Regel (d.h. im Fall, daß sich das System fehlerfrei verhält) stimmen die Inhalte aus dem Speicher 2 (209) mit einem Teil des Speichers 1 (208) überein.Another microprocessor (MP2, 205 ) is coupled to the first processor. The essential task of this second processor ( 205 ) consists of the graphical input and output ( 210 ) the safety functions in memory 2 ( 209 ). These safety functions are usually only a small part of the overall control functions. These are stored by the user in the form of a table that gives precise information about which inputs with the corresponding logical function belong to permitted or prohibited outputs. The processor 2 ( 205 ) thus includes an operating system (software), this input via buttons and display or via a memory element (eg: EPROM, EEPROM, chip card, etc.) in the memory 2 ( 209 ). Regardless of the type of input thus arises in memory 2 ( 209 ) a subset of the memory contents from the memory 1 ( 208 ). As a rule (ie in the event that the system behaves error-free), the contents of the memory 2 ( 209 ) with a part of the memory 1 ( 208 ) match.

Noch während des Bus-Zyklus am Bus-System (103) unterhalten sich die beiden Prozessoren und tauschen die Inhalte der Speicher aus, so daß ein Vergleich möglich wird. Sofern das Automatisierungssystem fehlerfrei arbeitet, ist ein Gleichstand der entsprechenden Speicherbereiche gewährleistet. Im Fehlerfall (z.B. wenn ein Ausgang gesetzt werden soll, der im Speicher 2 (209) durch die momentane Konstellation der Eingänge nicht erlaubt ist) entsteht eine Abweichung, die von beiden Prozessoren erkannt wird. Hierdurch erfolgt eine Meldung an die Logik-Kontrolle (206), die über das Abschalt-Signal (207) den Prozeß in einen sicheren Zustand versetzt. Die Logik-Kontrolle (206) hat noch zusätzlich die Aufgabe, die beiden Prozessoren gegenseitig zu überwachen, so daß die Überwachungseinheit (102) bereits intern über eine fehlererkennende Einrichtug verfügt. Der Mikroprozessor 1 (204) übernimmt beim Bus-Zyklus aber noch eine weitere Aufgabe. Er wird in der Regel am Ende des Zyklus als normaler Slave (Hörer) von der Steuerung angesprochen. Da er aber keine Prozeßdaten enthält, überträgt er nur Status-Informationen für die Steuerung und redundante Daten für die Ausgabeeinheiten. Die spezielle Logik dieser Ausgabeeinheiten wartet bei jeder Ausgabe auf dieses redundante Quittungssignal von der Überwachungseinheit (102). Damit ist gewährleistet, daß auch ohne eine Logik-Kontrolle keine Freigabe der Ausgänge erfolgt, wenn ein Fehler vorliegt. Diese Funktion garantiert, daß ein möglicher Fehler noch unterdrückt wird, bevor er überhaupt an der Ausgabe erscheint.Still during the bus cycle on the bus system ( 103 ), the two processors talk and exchange the contents of the memories so that a comparison becomes possible. If the automation system works without errors, a tie of the corresponding memory areas is guaranteed. In the event of an error (for example, when an output is to be set that is stored in memory 2 ( 209 ) is not allowed by the instantaneous constellation of the inputs) a deviation arises, which is recognized by both processors. This causes a message to the logic control ( 206 ), via the switch-off signal ( 207 ) puts the process in a safe state. The logic control ( 206 ) additionally has the task of mutually monitoring the two processors, so that the monitoring unit ( 102 ) already has an internal error-detection device. The microprocessor 1 ( 204 ) takes on another task during the bus cycle. It is usually addressed by the controller as a normal slave (listener) at the end of the cycle. However, since it does not contain any process data, it only transmits status information for the controller and redundant data for the output units. The special logic of these output units waits for this redundant acknowledgment signal from the monitoring unit at each output ( 102 ). This ensures that even without a logic control no release of the outputs takes place when there is an error. This function guarantees that a possible error is still suppressed before it even appears at the output.

Claims (10)

Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen, bei denen speicherprogrammierbare Steuerungen oder Mikrorechner über ein Bus-System dezentrale Einheiten ansprechen, die einen Prozeß sowohl im sicherheitsrelevanten als auch im nicht sicherheitsrelevanten Bereich regeln, steuern oder überwachen, wobei eine Überwachungseinheit (102, 1) mit einem ersten (204) und zweiten Mikroprozessor (205), einem ersten (208) und einem zweiten Speicher (209) und einer Logik-Kontrolle (206) zur Überwachung gefahrbringender Abläufe oder Bewegungen (113) bereitgestellt und über ein Bus-Interface (203) (2) als Hörer an das Bus-System (103) angeschlossen wird, sicherheitsbehaftete Größen über eine graphische oder sonstige Eingabe eingegeben und über den zweiten Mikroprozessor (205) in den zweiten Speicher (209) geladen werden, über den ersten Mikroprozesor (204) der Datenverkehr am Bus-System (103) kontrolliert wird und die Zustände der Ein und Ausgänge des Automatisierungsverbunds in den ersten Speicher (208) geladen werden, der erste Speicher (208) über den zweiten Mikroprozessor (205) mit dem zweiten Speicher (209) verglichen wird, der zweite Mikroprozessor eine Abweichung des ersten Speichers (208) vom zweiten Speicher (209) der Logik-Kontrolle (206) meldet und die Logik-Kontrolle ein Abschalt-Signal (207) generiert.Method for monitoring the safety of control devices, in which programmable logic controllers or microcomputers address, via a bus system, decentralized units that regulate, control or monitor a process in both the safety-related and non-safety-relevant areas, wherein a monitoring unit ( 102 . 1 ) with a first ( 204 ) and second microprocessor ( 205 ), a first ( 208 ) and a second memory ( 209 ) and a logic control ( 206 ) for monitoring dangerous processes or movements ( 113 ) and via a bus interface ( 203 ) ( 2 ) as a handset to the bus system ( 103 ), safety-related quantities are input via a graphical or other input and transmitted via the second microprocessor ( 205 ) in the second memory ( 209 ), via the first microprocessor ( 204 ) the traffic on the bus system ( 103 ) and the states of the inputs and outputs of the automation network in the first memory ( 208 ), the first memory ( 208 ) via the second microprocessor ( 205 ) with the second memory ( 209 ), the second microprocessor detects a deviation of the first memory ( 208 ) from the second memory ( 209 ) of the logic control ( 206 ) and the logic control signals a switch-off signal ( 207 ) generated. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß dezentrale Eingabeeinheiten (104, 105, 106) durch sicherheitstaugliche Ein- und Ausgabe-Module (107, 109) ersetzt werden.Method according to Claim 1, characterized in that decentralized input units ( 104 . 105 . 106 ) by safety-compatible input and output modules ( 107 . 109 ) be replaced. Verfahren nach den Ansprüchen 1 bis 2, dadurch gekennzeichnet, daß die Überwachungseinheit in ihrer Funktion als Hörer an die Steuerung (101, 1) ein Quittungssignal abgibt, das den Ausgabeeinheiten (107) zur Durchführung ihrer Funktion dient und damit noch bevor ein Fehler in den Prozeß gelangen kann, ein sicherer Zustand erreicht wird.Method according to claims 1 to 2, characterized in that the monitoring unit in its function as a handset to the controller ( 101 . 1 ) emits an acknowledgment signal to the output units ( 107 ) serves to perform its function and thus before a fault can enter the process, a secure state is achieved. Verfahren nach den Ansprüchen 1 bis 3, dadurch gekennzeichnet, daß die Überwachungseinheit (102, 1) an ein Standardbussystem ohne Sicherheitsprotokollerweiterung eingebunden wird.Process according to claims 1 to 3, characterized in that the monitoring Ness ( 102 . 1 ) to a standard bus system without security protocol expansion. Verfahren nach den Ansprüchen 1 bis 4, dadurch gekennzeichnet, daß die Überwachungseinheit (102) zusammen mit den dezentralen Einheiten (104 bis 110), die sicherheitsrelevante Funktionen erfassen und ansteuern, selbst ihre Funktion überwacht, insbesondere Sensoren oder Aktoren redundant überwacht und bei Ausfall einer Funktion, insbesondere bei Ausfall der Bus-Funktion, in den sicheren Zustand schaltet.Process according to claims 1 to 4, characterized in that the monitoring unit ( 102 ) together with the decentralized units ( 104 to 110 ), which detect and control safety-related functions, even monitors their function, in particular redundantly monitored sensors or actuators and switches to the safe state in case of failure of a function, especially in case of failure of the bus function. Verfahren nach den Ansprüchen 1 bis 5, dadurch gekennzeichnet, daß die Überwachungseinheit (102, 2) über eine graphische Ein- und Ausgabe (210) verfügt, die mit einer Parametriersprache in ihrer Funktion für alle sicherheitsrelevanten Funktionen programmierbar ist und diese Größen im zweiten Speicher (209) hinterlegt.Method according to claims 1 to 5, characterized in that the monitoring unit ( 102 . 2 ) via a graphic input and output ( 210 ), which is programmable with a parameterization language in its function for all safety-relevant functions and these variables in the second memory ( 209 ) deposited. Verfahren nach den Ansprüchen 1 bis 6, dadurch gekennzeichnet, daß die Eingabe der Sicherheitsfunktionen über ein Speichermedium, insbesondere EPROM, EEPROM, Chip-Karte, erfolgt.Process according to claims 1 to 6, characterized that the Entering the security functions via a storage medium, in particular EPROM, EEPROM, chip card, he follows. Verfahren nach den Ansprüchen 1 bis 7, dadurch gekennzeichnet, daß die Überwachungseinheit (102, 2) über eine interne redundante Kontrolle aus dem Kommunikationskanal der beiden Mikroprozessoren (204, 205) und der Logik-Kontrolle (206) einen internen Fehler erkennt.Process according to claims 1 to 7, characterized in that the monitoring unit ( 102 . 2 ) via an internal redundant control from the communication channel of the two microprocessors ( 204 . 205 ) and the logic control ( 206 ) detects an internal error. Verfahren nach den Ansprüchen 1 bis 8, dadurch gekennzeichnet, daß die Logik-Kontrolle (206) neben dem Abschalt-Signal (207) ein Quittungssignal erzeugt und das Quittungssignal der Überwachungseinheit (102) den Ausgängen im Fehlerfall ein Durchschalten der falschen Größe verbietet.Method according to claims 1 to 8, characterized in that the logic control ( 206 ) next to the switch-off signal ( 207 ) generates an acknowledgment signal and the acknowledgment signal of the monitoring unit ( 102 ) prohibits the outputs in the event of a fault switching through the wrong size. Verfahren nach den Ansprüchen 1 bis 9, dadurch gekennzeichnet, daß eine graphische Ausgabe (210, 2) als NMI (Man Machine Interface) den Fehlerzustand im Automatisierungsverbund anzeigt.Process according to claims 1 to 9, characterized in that a graphic output ( 210 . 2 ) as NMI (Man Machine Interface) indicates the error state in the automation network.
DE1999104893 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit Expired - Fee Related DE19904893B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE29923430U DE29923430U1 (en) 1999-02-06 1999-02-06 Monitoring unit for safety monitoring of control devices
DE1999104893 DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999104893 DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Publications (2)

Publication Number Publication Date
DE19904893A1 DE19904893A1 (en) 2000-08-10
DE19904893B4 true DE19904893B4 (en) 2007-10-18

Family

ID=7896662

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999104893 Expired - Fee Related DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Country Status (1)

Country Link
DE (1) DE19904893B4 (en)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
DE19928517C2 (en) 1999-06-22 2001-09-06 Pilz Gmbh & Co Control system for controlling safety-critical processes
DE10108962A1 (en) 2001-02-20 2002-09-12 Pilz Gmbh & Co Method and device for programming a safety controller
DE10119791B4 (en) * 2001-04-23 2006-11-02 Siemens Ag Microprocessor-controlled field device for connection to a fieldbus system
DE10137671A1 (en) * 2001-08-01 2003-02-20 S W A C Schmitt Walter Automat Method and device for monitoring, in particular, a programmable logic controller
DE10163569A1 (en) * 2001-12-21 2003-11-06 Endress & Hauser Gmbh & Co Kg Method for determining and / or monitoring a physical or chemical process variable
DE10233873B4 (en) * 2002-07-25 2006-05-24 Siemens Ag Control for a crane system, in particular a container crane
US7149655B2 (en) * 2004-06-18 2006-12-12 General Electric Company Methods and apparatus for safety controls in industrial processes
DE102005063053A1 (en) * 2005-12-29 2007-07-05 Endress + Hauser Process Solutions Ag Process e.g. forwarding electronic mail to person, monitoring method, involves requesting diagnosis information from field device by monitoring unit, when communication frame with information is determined with diagnosis result indication
DE102007043328A1 (en) 2007-09-12 2009-03-19 Endress + Hauser Process Solutions Ag Method for monitoring a process plant with a fieldbus of process automation technology
DE102009041781A1 (en) * 2009-09-15 2011-03-17 Siemens Aktiengesellschaft Provision of plant-related operating data using a diagnostic data server as another fieldbus master
DE102009042368B4 (en) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Control system for controlling safety-critical processes
DE102009042354C5 (en) 2009-09-23 2017-07-13 Phoenix Contact Gmbh & Co. Kg Method and device for safety-related communication in the communication network of an automation system
DE102010022931B4 (en) * 2010-06-07 2023-04-20 Kuka Roboter Gmbh robot controller

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD223845A1 (en) * 1984-04-04 1985-06-19 Schiffselektronik Veb ARRANGEMENT FOR ERROR IDENTIFICATION IN THE FUNCTIONING OF DIGITAL CALCULATORS
DE3428215A1 (en) * 1984-07-31 1986-02-13 Siemens AG, 1000 Berlin und 8000 München Arrangement for monitoring a stored-program control device
DE3502387C2 (en) * 1985-01-25 1988-03-31 Kloeckner-Moeller Elektrizitaets Gmbh, 5300 Bonn, De
DE4408603A1 (en) * 1994-03-08 1995-09-14 Mannesmann Ag Increase of security of hierarchically structured automation systems
DE3704318C2 (en) * 1987-02-12 1996-04-11 Vdo Schindling Arrangements for monitoring the function of a microprocessor
DE4312305C2 (en) * 1993-04-15 1996-04-18 Abb Patent Gmbh Safety-related programmable logic controller
DE4235872C2 (en) * 1992-10-23 1996-12-19 Siemens Ag Monitoring method for an electrical device
DE4404131C2 (en) * 1994-02-09 1998-07-23 Siemens Ag Battery-free data buffering
DE19815147A1 (en) * 1997-04-21 1998-10-22 Leuze Electronic Gmbh & Co Sensor system for machinery safety
DE19857683A1 (en) * 1998-12-14 2000-06-21 Peter Wratil Safety critical function monitoring of control systems for process control applications has separate unit
DE19860358A1 (en) * 1998-12-24 2000-07-06 Peter Wratil Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD223845A1 (en) * 1984-04-04 1985-06-19 Schiffselektronik Veb ARRANGEMENT FOR ERROR IDENTIFICATION IN THE FUNCTIONING OF DIGITAL CALCULATORS
DE3428215A1 (en) * 1984-07-31 1986-02-13 Siemens AG, 1000 Berlin und 8000 München Arrangement for monitoring a stored-program control device
DE3502387C2 (en) * 1985-01-25 1988-03-31 Kloeckner-Moeller Elektrizitaets Gmbh, 5300 Bonn, De
DE3704318C2 (en) * 1987-02-12 1996-04-11 Vdo Schindling Arrangements for monitoring the function of a microprocessor
DE4235872C2 (en) * 1992-10-23 1996-12-19 Siemens Ag Monitoring method for an electrical device
DE4312305C2 (en) * 1993-04-15 1996-04-18 Abb Patent Gmbh Safety-related programmable logic controller
DE4404131C2 (en) * 1994-02-09 1998-07-23 Siemens Ag Battery-free data buffering
DE4408603A1 (en) * 1994-03-08 1995-09-14 Mannesmann Ag Increase of security of hierarchically structured automation systems
DE19815147A1 (en) * 1997-04-21 1998-10-22 Leuze Electronic Gmbh & Co Sensor system for machinery safety
DE19857683A1 (en) * 1998-12-14 2000-06-21 Peter Wratil Safety critical function monitoring of control systems for process control applications has separate unit
DE19860358A1 (en) * 1998-12-24 2000-07-06 Peter Wratil Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DE DIN 19251 1993-12-00 *
DE DIN V VDE 0801 1990-01-00 *
Gall,H. et al in: Einsatz und Wirklichkeit von Programmlaufüberwachungen, atp, 40, 1998, S.40-48 *

Also Published As

Publication number Publication date
DE19904893A1 (en) 2000-08-10

Similar Documents

Publication Publication Date Title
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
DE19939567B4 (en) Device for controlling safety-critical processes
EP2302472B1 (en) Control system for safety critical processes
EP1927914B1 (en) Safety module and automation system
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
DE102007050708B4 (en) System for operating at least one non-safety-critical and at least one safety-critical process
EP0742499A2 (en) Reliable processing of safety-oriented process signals
EP3622357B1 (en) Control system for controlling safety-critical and non-safety-critical processes with master-slave functionality
EP2981868A1 (en) Control and data transmission system, process device, and method for redundant process control with decentralized redundancy
DE102005009707A1 (en) Modular numerical control unit
DE19857683B4 (en) Method for monitoring the safety of control devices
EP0782722B1 (en) Process and device for controlling and activating sensors and/or actuators that are linked by a bus system
EP2099164B1 (en) Safety device for safe control of attached actuators
EP1672446B1 (en) Secure Input/Ouput assembly for a controller
DE19860358B4 (en) Method for error suppression in output units in control devices
DE19913279B4 (en) Control device with monitoring unit for error detection and error suppression
EP3557598A1 (en) Safety switch
EP3470937B1 (en) Method and devices for monitoring the response time of a security function provided by a security system
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
DE19904892B4 (en) Method for error suppression for input units in control devices
DE102009033229B4 (en) Method for detecting double addressing in AS interface networks
EP1251416A1 (en) Diagnostic device for a field-bus with control independent information transfer
DE29923430U1 (en) Monitoring unit for safety monitoring of control devices
EP2667304B1 (en) Input/Output Modul
DE102012001624B4 (en) Failure tolerant safety-at-work system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE, DE

R081 Change of applicant/patentee

Owner name: PHOENIX CONTACT GMBH & CO. KG, DE

Free format text: FORMER OWNER: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

Effective date: 20121123

R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE, DE

Effective date: 20121123

Representative=s name: BLUMBACH ZINNGREBE, DE

Effective date: 20121123

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee