DE19913279B4 - Control device with monitoring unit for error detection and error suppression - Google Patents

Control device with monitoring unit for error detection and error suppression Download PDF

Info

Publication number
DE19913279B4
DE19913279B4 DE1999113279 DE19913279A DE19913279B4 DE 19913279 B4 DE19913279 B4 DE 19913279B4 DE 1999113279 DE1999113279 DE 1999113279 DE 19913279 A DE19913279 A DE 19913279A DE 19913279 B4 DE19913279 B4 DE 19913279B4
Authority
DE
Germany
Prior art keywords
monitoring unit
control device
function
error
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE1999113279
Other languages
German (de)
Other versions
DE19913279A1 (en
Inventor
Peter Wratil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Wratil, Peter, Dr.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wratil, Peter, Dr. filed Critical Wratil, Peter, Dr.
Priority to DE1999113279 priority Critical patent/DE19913279B4/en
Publication of DE19913279A1 publication Critical patent/DE19913279A1/en
Application granted granted Critical
Publication of DE19913279B4 publication Critical patent/DE19913279B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

Steuerungseinrichtung für Anlagen, Maschinen oder sonstige Prozesse mit einem Steuerungsteil (1) und einer Überwachungseinheit (2) zur Fehlererkennung und Fehlerunterdrückung, wobei der zumindest eine Steuerungsteil (1) von der Überwachungseinheit (2) getrennt ist, die zumindest eine Überwachungseinheit als Hörer an einem Bus-System (3) angeschlossen ist und Mittel zur Erkennung von eventuellen Übertragungs-, Programmierfehlern oder sonstigen Störungen aufweist, die Überwachungseinheit innerhalb ihrer logischen Funktionen nur übergeordnete Verknüpfungen enthält und Mittel zur Gesamt- oder Gruppenabschaltung des Systems aufweist, dadurch gekennzeichnet, dass in der Steuerungseinrichtung spezielle rücklesbare Ausgabeeinheiten (7) vorgesehen sind, die als Eingabeeinheiten betreibbar sind und somit ihre eigene Ausgabefunktion oder eine bewirkte Funktion zurückspiegeln.control device for plants, machines or other processes with a control part (1) and a monitoring unit (2) for error detection and error suppression, the at least a control part (1) of the monitoring unit (2) is separated, the at least one monitoring unit as a listener on a Bus system (3) is connected and means for detecting any transmission, Programming errors or other disorders, the monitoring unit within their logical functions only higher-level links contains and means for total or group shutdown of the system thereby characterized in that in the control device special read back Output units (7) are provided, which can be operated as input units are and thus their own output function or an accomplished function reflect back.

Figure 00000001
Figure 00000001

Description

Die Erfindung bezieht sich auf eine Steuerungseinrichtung nach dem Oberbegriff des Anspruchs 1 ( DE 199 04 893 A1 ).The invention relates to a control device according to the preamble of claim 1 (US Pat. DE 199 04 893 A1 ).

Steuerungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind.control devices are used in the current state of the art wherever Processes, processes or other electromechanical devices to control, regulate, monitor or to be visualized.

Im engeren Sinne verwendet man hierzu oftmals speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.in the In the narrower sense, this often uses programmable logic Controllers or microcomputers. Typical application areas are automation islands, Production lines, Machining centers or chemical facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhaften Zuständen der Steuerung gehen dann extreme Gefahren aus, die unbedingt von Personen oder sonstigen Einrichtungen fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen.Not rarely do these previously mentioned processes contain security-related ones processes, the one hazard for persons or parts of the machine. Of the faulty states of the Control then go out of extreme danger, necessarily from people or other facilities. Examples are uncontrolled Movements of robots, premature movement of turning or milling equipment, unwanted accelerations or incorrect rotational speeds of rotation devices or delayed Switching off heating or dosing processes in chemical plants.

Die Ursachen dieser fatalen Fehler sind vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.The Causes of these fatal mistakes are manifold. But most of the time it is Programming errors, uncontrolled behavior due to electromagnetic influences or another fault before that the process in brings an undefined situation.

Alle bekannten Lösungen basieren darauf, daß man entweder die gesamte Steuerungseinrichtung oder Teile der Steuerungseinrichtung redundant auslegt. So entsteht ein Gesamtsystem, das man bei allen sicherheitsrelevanten Komponenten entweder doppelt oder dreifach projektiert werden muß.All known solutions based on that one either the entire controller or parts of the controller redundant interprets. This creates an overall system that can be found at all safety-related components either double or triple must be configured.

Insbesondere stellt die Sicherheitseinrichtung bei einer derartigen Steuerung einen festen Bestandteil des Gesamtsystems dar. Jede Änderung oder Anpassung an den Prozeß muß sorgsam (im Hinblick auf die Sicherheitsfunktion) durchgeführt werden, da auch nichtsicherheitsrelevante Hard- oder Softwarekomponenten einen Einfluß auf die Sicherheitseinrichtung haben können. Im schlimmsten Fall könnte sogar die Änderung eines Parameters zum Absturz der Sicherheitseinrichtung führen.Especially provides the safety device in such a controller an integral part of the overall system. Any change or Adaptation to the process must be done carefully (with regard to the safety function), as well as non-safety-relevant hardware or software components Influence on have the safety device. In the worst case could even the change of a parameter lead to the crash of the safety device.

Bereits in der Vergangenheit war man daher stets bemüht, reine Steuerungsabläufe von sicherheitsrelevanten Vorgängen zu trennen (siehe auch Patent DE 35 02 387 A1 ).In the past, therefore, efforts were always made to separate pure control processes from safety-relevant processes (see also Patent DE 35 02 387 A1 ).

Nach wie vor stellen auch diese Konzepte Verfahren dar, die zwar ohne Verdopplung der Hardware auskommen, aber die sicherheitsrelevante Funktion in der Gesamtprojektierung der Steuerung benötigen.To As before, these concepts represent methods that, although without Doubling the hardware, but the safety-related feature in the overall configuration of the controller.

Aus der DE 198 57 683 A1 ist ein Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen bekannt, bei welchem übliche Steuerungseinrichtungen mit dezentralen Peripheriegeräten in Bezug auf sicherheitsrelevante Vorgänge und Abläufe redundant überwacht. Dabei wird eine Überwachungseinheit in der Funktion eines Hörers („Listeners") an den Bus angeschlossen und in der Lage, sicherheitsrelevante Zustände zu überprüfen. Zur Bewältigung dieser Aufgabe enthält die Überwachungseinheit ein einfaches Programm, welches nur die Sicherheitsfunktionen als Logik überwacht. Um eine Sicherheitsabschaltung zu bewirken, kann die Überwachungseinheit dabei das Bussystem kurzschließen oder unterbrechen, um die Datenübertragung zu unterbinden, so daß dezentrale Einheiten in einen sicheren Zustand fallen.From the DE 198 57 683 A1 a method for monitoring the safety of control devices is known in which conventional control devices with decentralized peripheral devices with respect to safety-related processes and processes redundantly monitored. In this case, a monitoring unit in the function of a listener is connected to the bus and is able to check safety-relevant states To cope with this task, the monitoring unit contains a simple program which monitors only the safety functions as logic To cause the monitoring unit while the short-circuit or interrupt the bus system to prevent data transmission, so that decentralized units fall into a safe state.

Die DE 199 04 893 A1 offenbart ein Verfahren zur Fehlerunterdrückung bei Steuerungseinrichtungen durch eine intelligente Überwachungseinheit. Die Überwachungseinheit enthält eine zweifache Abschaltfunktion, wobei eine Logik-Kontrolle der Überwachungseinheit ein Abschaltsignal erzeugt und außerdem ein Quittungssignal der Überwachungseinheit im Fehlerfall ein Durchschalten einer falschen Größe verbietet.The DE 199 04 893 A1 discloses a method of error suppression at control devices by an intelligent monitoring unit. The monitoring unit contains a dual shutdown function, wherein a logic control of the monitoring unit generates a shutdown signal and also prohibits an acknowledgment signal of the monitoring unit in the event of an error switching through a wrong size.

Aus der DE 198 60 358 A1 ist ein Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen bekannt, wobei eine Überwachungseinheit vorgesehen ist, welche den Datentransport über den Bus mithört und alle Zustände, die für die Sicherheit wichtig sind, in ihrem internen Speicher ab. Anhand eines Programms überprüft die Überwachungseinheit; welche Zustände für die Sicherheitsfunktion erlaubt oder verboten sind. Die Überwachungseinheit wird von der Steuerung als Slave angesprochen und meldet sich daraufhin mit allen Ausgabedaten, die sie aufgrund der Sicherheitsüberprüfung für richtig hält. Außerdem ist eine dezentrale Sicherheits-Ausgabeeinheit vorgesehen, welche die für die Ausgabe vorgesehenen Daten in einem Zwischenspeicher hält. Die Sicherheits-Ausgabeeinheit hört dann bei der Übertragung der Daten von der Überwachungseinheit mit und vergleicht diese Daten mit den im Zwischenspeicher abgelegten Daten. Sofern dabei von der Sicherheits-Ausgabeeinheit ein Fehler erkannt wird, werden alle Ausgänge in einen sicheren Zustand geschaltet.From the DE 198 60 358 A1 A method for error suppression in output units in control devices is known, wherein a monitoring unit is provided, which overhears the data transport via the bus and all states that are important for safety, in their internal memory from. Based on a program, the monitoring unit checks; which states are allowed or forbidden for the safety function. The monitoring unit is addressed by the controller as a slave and then logs in with all the output data that it considers to be correct due to the security check. In addition, a decentralized safety output unit is provided which holds the data intended for the output in a buffer. The security output unit then listens to the transmission of the data from the monitoring unit and compares this data with the data stored in the buffer. If an error is detected by the safety output unit, all outputs are switched to a safe state.

Die DE 190 48 92 A1 beschreibt ein Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten in Steuerungseinrichtungen bei welchem ebenfalls eine Überwachungseinheit vorgesehen ist. Diese unterbricht im Fehlerfall über ihre eigenen Ausgänge die Stromversorgung, so daß damit eine eventuell gefahrbringende Aktorik abgeschaltet wird.The DE 190 48 92 A1 describes a procedure ren for error suppression in input units in control devices in which also a monitoring unit is provided. In the event of a fault, this interrupts the power supply via its own outputs, so that any potentially dangerous actuators are switched off.

Die DE 198 15 150 A1 offenbart eine Sensoranordnung zur Überwachung eines Arbeitsgerätes, welches in Abhängigkeit der Schaltzustände der Sensoren in Betrieb gesetzt wird. Die Sensoren bilden Slaves eines nach dem Master-Slave-Prinzip arbeitenden Bussystems, welches von einer den Master bildenden Steuereinheit gesteuert ist. Die Sensoren sind von Lichtschranken mit jeweils einem Sender und einem Empfänger gebildet, wobei jeder Sender Sendelichtstrahlen mit einer individuellen Kodierung an den zugeordneten Empfänger aussendet. An das Bussystem ist außerdem eine redundante Auswerteeinheit angeschlossen, welche fortlaufend die über das Bussystem übertragenen Signale abhört. Nur bei fehlerfreier Identifizierung der von den Empfängern über das Bussystem übertragenen Kodierungen wird das Arbeitsgerät über die Auswerteeinheit in Betrieb gesetzt. Mit den Sensoren kann überwacht werden, ob sich Personen unbefugt dem Arbeitsgerät nähern. Erfolgt ein derartiger Personeneingriff, wird das Arbeitsgerät aus Sicherheitsgründen abgeschaltet.The DE 198 15 150 A1 discloses a sensor arrangement for monitoring a working device, which is set in operation depending on the switching states of the sensors. The sensors form slaves of a bus system operating according to the master-slave principle, which is controlled by a control unit forming the master. The sensors are formed by light barriers, each with a transmitter and a receiver, each transmitter emits transmit light beams with an individual coding to the associated receiver. To the bus system, a redundant evaluation unit is also connected, which continuously monitors the signals transmitted via the bus system. Only when the identifications of the codes transmitted by the receivers via the bus system are correctly identified, the implement is put into operation via the evaluation unit. The sensors can be used to monitor whether people are approaching the implement without authorization. If such a personal intervention, the implement is shut down for security reasons.

Der Erfindung liegt die Aufgabe zu Grunde, die Steuerungseinrichtung und die Sicherheitsfunktion vollkommen zu trennen.Of the The invention is based on the object, the control device and completely separate the security function.

Mit der Erfindung wird es möglich, den Steuerungsteil vollständig vorher aufzubauen, zu testen und in Betrieb zu nehmen. Die Überwachungseinheit läßt sich dann nachträglich hinzufügen, ohne die Steuerungsfunktion zu ändern. Auch nach der Installation beider Systeme (Steuerungseinrichtung und Überwachungseinheit) lassen sich Steuerungsfunktionen ändern, hinzufügen oder heraustrennen, ohne daß die Sicherheitsfunktion davon betroffen ist. Insbesondere besteht die Möglichkeit, alle Sicherheitsverknüpfungen im einzelnen unabhängig zu prüfen.With the invention makes it possible the control part completely build, test, and commission. The monitoring unit can be then later Add, without changing the control function. Even after the installation of both systems (control device and monitoring unit) Control functions can be changed, added or added cut out without the Security function is affected. In particular, there is the Possibility, all security links individually independent to consider.

Die Erfindung wird nachfolgend anhand der Figuren nähe r erläutert. Es zeigen:The Invention will be explained with reference to the figures near r. Show it:

1 eine schematische Darstellung einer erfindungsgemäßen Steuerungseinrichtung und 1 a schematic representation of a control device according to the invention and

2 eine schematische Darstellung des internen Aufbaus einer Überwachungseinheit der in 1 dargestellten Steuerungseinrichtung. 2 a schematic representation of the internal structure of a monitoring unit of in 1 shown control device.

1 stellt eine typische Steuerungseinrichtung für Anlagen, Maschinen oder Prozesse dar. Das Steuerungsteil (1) enthält das Verarbeitungsprogramm und steuert oder regelt den Prozeß (11, 12) bzw. den sicherheitsrelevanten Prozeß (13) über dezentrale Ein- und Ausgabeeinheiten (4, 5, 6, 7, 8, 9, 10). Der Datentransport von oder zum Steuerungsteil (1) zu oder von den dezentralen Einheiten wird durch ein Bus-System (3) bewerkstelligt. Alle. Informationen, die entweder analoge oder digitale Werte für den Prozeß oder vom Prozeß darstellen werden über dieses Bus-System transportiert. 1 represents a typical control device for plants, machines or processes. The control part ( 1 ) contains the processing program and controls or regulates the process ( 11 . 12 ) or the security-relevant process ( 13 ) via decentralized input and output units ( 4 . 5 . 6 . 7 . 8th . 9 . 10 ). The data transport from or to the control part ( 1 ) to or from the remote units is controlled by a bus system ( 3 ) accomplished. All. Information representing either analog or digital values for the process or process is transported via this bus system.

Ein beliebiger Teilnehmer, der lediglich eine Hörer-Funktion am Bus übernimmt, kann sich durch das Speichern der Informationen dieser Ein- und Ausgangsdaten ein Bild vom Zustand der Ein- und Ausgänge und vom Prozeß machen. Fügt man daher ein Überwachungseinheit (2) in das System ein, und hinterlegt in ihr logische Funktionen, welche die Sicherheit überprüfen, so erkennt diese Überwachungseinheit (2) eventuelle Fehler, die am Bus erscheinen. Die Überwachungseinheit (2) enthält innerhalb ihrer logischen Funktionen nur übergeordnete Verknüpfungen, die den sicheren Ablauf (im Sinne von Personenschutz oder Maschinensicherheit) garantieren. In der Regel sind diese Sicherheitsfunktionen nur von geringer Anzahl und lassen sich durch einfachste Verknüpfungen als eine Art "Zustimm-Logik" hinterlegen.Any participant who only takes on a handset function on the bus, by storing the information of these input and output data can get an idea of the state of the inputs and outputs and the process. Is one therefore adding a monitoring unit ( 2 ) into the system and stores in it logical functions which check the security, this monitoring unit recognizes ( 2 ) any errors that appear on the bus. The monitoring unit ( 2 ) contains only superordinate links within their logical functions, which guarantee safe execution (in terms of personal protection or machine safety). As a rule, these safety functions are only of small number and can be stored by simple links as a kind of "approval logic".

Freilich erkennt die Überwachungseinheit (2) in der einfachsten Ausprägung nur Fehler, die am Bus erscheinen.Of course, the monitoring unit ( 2 ) in the simplest form only errors that appear on the bus.

Typische Fehler dieser Form sind Programmierfehler, Störungen durch EMV oder Datentransportfehler am Bus-System. Eventuelle Fehler der Eingangseinheiten oder der Ausgangseinheiten werden nicht registriert.typical Errors of this form are programming errors, interference due to EMC or data transport errors on the bus system. any Errors of the input units or the output units do not become registered.

Man kann jedoch durch zwei unterschiedliche Strategien eine hohe Fehlersicherheit erreichen, die den gesamten Prozeß einschließt:

  • – Es besteht (meist im Rahmen der Projektierung) die Möglichkeit, die Respons einer Ausgabeeinheit durch Rücklesen einer Eingabeeinheit zu überprüfen. Dieses kann direkt geschehen als auch durch eine Plausibilitätskontrolle innerhalb des Prozesses erfolgen. So kann die Ausgabeeinheit (5) durch einen internen Fehler in der Einheit im Prozeß (11) eine ungewollte Funktion ausführen. Dann besteht sofort die Möglichkeit, die Ausgangsgröße entweder direkt über die Eingabeeinheit (6) wieder rückzulesen. Der Rückkopplungszweig (14) muß in jedem Fall projektiert werden. Natürlich besteht auch die Möglichkeit, eine abgeleitete Größe aus dem Prozeß in die Eingabeeinheit einzugeben. So kann beispielsweise die Ausgabeeinheit (5) einen Motor ansteuern. Dessen Drehzahl wird über einen Tachogenerator von der Eingabeeinheit (6) abgefragt und so von dem Automatisierungssystem und der Überwachungseinheit (2) überwacht. In jedem Fall erscheint ein möglicher Fehler zuerst im Prozeß und wird dann erkannt. Bis zu einer eventuellen Abschaltung oder einem anders gearteten Eingriff existiert somit eine (zwar kurze) Fehleroffenbarungszeit. Bei den heute üblichen Geschwindigkeiten von Steuerungseinrichtungen liegen diese Offenbarungszeiten nur bei wenigen Millisekunden, so daß kein Schaden entstehen kann.
  • – Man kann aber auch spezielle Ausgabeeinheiten vorsehen (7, schraffiert hinterlegt), die bereits intern eine Sicherheitslogik beinhalten (vergl.: Patentanmeldung Peter Wratil, Akt.: 198 60 358.4). Derartige Ausgabeeinheiten (7) lassen sich auch als Eingabeeinheit betreiben und spiegeln dann ihre eigene Ausgabefunktion oder die bewirkte Funktion aus dem Prozeß (13) zurück. Mit einer derartigen Anordnung entfällt eine Projektierung, die eine Rückkopplung über einen Eingabe-Kanal vorsieht.
However, it is possible to achieve a high degree of fail-safety through two different strategies, which includes the entire process:
  • - There is (usually within the project planning) the possibility to check the response of an output unit by reading back an input unit. This can be done directly or through a plausibility check within the process. So the output unit ( 5 ) by an internal error in the unit in the process ( 11 ) perform an unwanted function. Then there is the immediate possibility, the output size either directly via the input unit ( 6 ) read back. The feedback branch ( 14 ) must always be configured. Of course, it is also possible to enter a derived variable from the process in the input unit. For example, the output unit ( 5 ) drive a motor. Its speed is determined by a tachogenerator from the input unit ( 6 ) and so from the Au automation system and the monitoring unit ( 2 ) supervised. In any case, a possible error first appears in the process and is then recognized. Up to a possible shutdown or a different type of intervention thus exists a (short) error disclosure time. At today's conventional speeds of control devices, these revelation times are only a few milliseconds, so that no damage can occur.
  • - But you can also provide special output units ( 7 , shaded), which already contain a security logic internally (see patent application Peter Wratil, act: 198 60 358.4). Such output units ( 7 ) can also be operated as an input unit and then reflect their own output function or the function brought about by the process ( 13 ) back. With such an arrangement eliminates a project planning, which provides feedback via an input channel.

Gleichgültig welche Ausprägung des Systems vorliegt, so erscheint ein möglicher Fehler kurzzeitig am Prozeß (12, 13). Sobald die Überwachungseinheit den Fehler erkennt, muß sie den begonnenen Prozeß stoppen und in einen sicheren Zustand versetzen. In der Regel tritt ein sicherer Zustand ein, sobald die Spannungsversorgung abgeschaltet wird.Regardless of the nature of the system, a possible error appears briefly in the process ( 12 . 13 ). As soon as the monitoring unit detects the error, it must stop the process started and put it in a safe state. As a rule, a safe state occurs as soon as the power supply is switched off.

Zu Erhöhung der Sicherheit ist es zusätzlich notwendig, daß die Überwachungseinheit (2, schraffiert hinterlegt) auch den zyklischen Verkehr am Bus-System prüft. Damit wird ausgeschlossen, daß ein Fehler am Ausgang im Prozeß (14, 12) erscheint und auf Grund eines Busausfalls nicht mehr eingelesen wird. Bei einer derartigen Bus-Unterbrechung hat die Überwachungseinheit (2) ebenfalls die Versorgung abzuschalten oder eine geeignete Vorkehrung zu treffen.To increase safety, it is additionally necessary that the monitoring unit ( 2 , hatched) also checks the cyclic traffic on the bus system. This excludes that an error in the output in the process ( 14 . 12 ) appears and is no longer read due to a bus failure. In such a bus interruption, the monitoring unit ( 2 ) also switch off the supply or take appropriate precautions.

Der interne Aufbau der Überwachungseinheit (2) ist in 2 im Detail dargestellt (vergl.: Patentanmeldung, Peter Wratil, Akt.: 199 04 893.2).The internal structure of the monitoring unit ( 2 ) is in 2 presented in detail (see: Patent Application, Peter Wratil, Act: 199 04 893.2).

2 stellt den internen Aufbau der Überwachungseinheit (2) dar. Über ein Bus-Interface (3) ist die Überwachungseinheit (2) an das Bus-System (3) angeschlossen. Sie beinhaltet innerhalb des Bus-Verkehrs die Stellung eines Slaves. Damit ist sie nicht in der Lage, direkt Daten zu einem der Teilnehmer zu senden. Das Bus-Interface (30) versetzt sie lediglich in die Lage, alle Daten, die durch die Steuerung übertragen werden zu protokollieren. Hierzu verwendet die Überwachungseinheit (2) einen Mikroprozessor 40 (MP1) (oder ein ähnlich geartetes Bauteil, z. B.: ASIC); das die Daten vom Bus-System (3) über das Bus-Interface (30) aufnimmt und im Speicher 1 (80) ablegt. Hierdurch entsteht im Speicher 1 (8) ein Abbild der Zustände innerhalb der Eingänge und Ausgänge im gesamten Automatisierungsverbund. Ein weiterer Mikroprozessor (50), MP2, ist an den ersten Mikroprozessor (40) angekoppelt. Die wesentliche Aufgabe dieses zweiten Prozessors (50) besteht jedoch darin, über die graphische Ein- und Ausgabe (100) die Sicherheitsfunktionen im Speicher 2 (90) abzulegen. Diese Sicherheitsfunktionen stellen in der Regel nur einen geringen Teil der gesamten Steuerungsfunktionen dar. Diese werden vom Benutzer in Form einer Tabelle hinterlegt, die genaue Auskunft gibt, welche Eingänge mit der entsprechenden logischen Funktion zu erlaubten oder verbotenen Ausgängen gehören. Der Prozessor 2 (50) beinhaltet damit ein Betriebssystem (Software), die diese Eingabe über Tasten und Anzeige oder über ein Speicherelement (z. B.: EPROM, EEPROM, Chip-Karte, usw.) im Speicher 2 (90) ablegt. Unabhängig von der Art der Eingabe entsteht somit im Speicher 2 (90) eine Untermenge der Speicherinhalte aus dem Speicher 1 (80). In der Regel (d. h. im Fall, daß sich das System fehlerfrei verhält) stimmen die Inhalte aus dem Speicher 2 (90) mit einem Teil des Speichers 1 (80) überein. 2 represents the internal structure of the monitoring unit ( 2 ) via a bus interface ( 3 ) is the monitoring unit ( 2 ) to the bus system ( 3 ) connected. It contains the position of a slave within the bus traffic. Thus, she is unable to directly send data to one of the participants. The bus interface ( 30 ) only enables them to log all data transmitted by the controller. For this purpose the monitoring unit ( 2 ) a microprocessor 40 (MP1) (or a similar component, eg: ASIC); that the data from the bus system ( 3 ) via the bus interface ( 30 ) and in memory 1 ( 80 ). This results in the memory 1 ( 8th ) an image of the states within the inputs and outputs in the entire automation network. Another microprocessor ( 50 ), MP2, is connected to the first microprocessor ( 40 ). The essential task of this second processor ( 50 ) consists of the graphical input and output ( 100 ) the safety functions in memory 2 ( 90 ). These safety functions are usually only a small part of the overall control functions. These are stored by the user in the form of a table which gives precise information about which inputs with the corresponding logical function belong to permitted or prohibited outputs. The processor 2 ( 50 ) thus includes an operating system (software), this input via buttons and display or via a memory element (eg: EPROM, EEPROM, chip card, etc.) in the memory 2 ( 90 ). Regardless of the type of input thus arises in memory 2 ( 90 ) a subset of the memory contents from the memory 1 ( 80 ). As a rule (ie in the event that the system behaves error-free), the contents of the memory 2 ( 90 ) with a part of the memory 1 ( 80 ) match.

Noch während des Bus-Zyklus am Bus-System (3) unterhalten sich die beiden Prozessoren (40, 50) und tauschen die Inhalte der Speicher aus, so daß ein Vergleich möglich wird. Sofern das Automatisierungssystem fehlerfrei arbeitet, ist ein Gleichstand der entsprechenden Speicherbereiche gewährleistet. Im Fehlerfall (z. B. wenn ein Ausgang gesetzt werden soll, der im Speicher 2 (90) durch die momentane Konstellation der Eingänge nicht erlaubt ist) entsteht eine Abweichung, die von beiden Prozessoren erkannt wird. Hierdurch erfolgt eine Meldung an die Logik-Kontrolle (60), die über das Abschalt-Signal (70) den Prozeß in einen sicheren Zustand versetzt. Die Logik-Kontrolle (60) hat noch zusätzlich die Aufgabe, die beiden Prozessoren gegenseitig zu überwachen; so daß die Überwachungseinheit (2) bereits intern über eine fehlererkennende Einrichtung verfügt.Still during the bus cycle on the bus system ( 3 ) talk about the two processors ( 40 . 50 ) and exchange the contents of the memories so that a comparison becomes possible. If the automation system works without errors, a tie of the corresponding memory areas is guaranteed. In the event of an error (for example, when an output is to be set which is in memory 2 ( 90 ) is not allowed by the instantaneous constellation of the inputs) a deviation arises, which is recognized by both processors. This causes a message to the logic control ( 60 ), via the switch-off signal ( 70 ) puts the process in a safe state. The logic control ( 60 ) has the additional task of monitoring the two processors; so that the monitoring unit ( 2 ) already has internally an error-detecting device.

Die Überwachungseinheit (2) übernimmt damit zwei unterschiedliche Aufgaben in dem beschriebenen Verfahren. Einerseits dient sie dem Benutzer zur Eingabe und Darstellung der sicherheitsrelevanten Funktionen. Damit erfüllt diese Einheit die Funktion eines MMIs (Man Machine Interface). Andererseits übt die Überwachungseinheit (2) eine Kontrolle des Busverkehrs aus und versetzt sich dadurch in die Lage, die Zustände der Ein- und Ausgänge im Automatisierungsverbund zu kontrollieren.The monitoring unit ( 2 ) thus assumes two different tasks in the method described. On the one hand, it serves the user to input and display the safety-relevant functions. This unit fulfills the function of an MMI (Man Machine Interface). On the other hand, the monitoring unit ( 2 ) controls the bus traffic and thus enables it to control the states of the inputs and outputs in the automation network.

In der Regel kann man die Überwachungseinheit mit einer Schnittstelle ausrüsten (z. B.: serielles Interface), so daß bei speziellen Prozeßanforderungen nicht ein genereller Stop der Gesamtanlage, sondern auch eine Gruppenabschaltung einzelner Bereiche möglich ist. Hierdurch kann ein verketteter Herstellungsprozeß entweder noch in einen sicheren Zustand gefahren oder sogar in den noch verbleibenden sicheren Funktionen aufrecht erhalten werden.In general, one can equip the monitoring unit with an interface (eg: serial interface), so that for special process requirements not a general stop of the entire system, but also a group shutdown individual Areas is possible. As a result, a concatenated manufacturing process can either still be driven to a safe state or even maintained in the remaining safe functions.

Durch Hinzufügen einer derartigen Überwachungseinheit (2) ist damit ein erhöhtes Maß an Sicherheit entstanden. Im Zusammenspiel mit der Projektierung der Gesamtanlage kann eine "Ein-Fehler-Sicherheit" entstehen, die jeden möglichen Fehler erkennt und im Fehlerfall den gerade gestarteten Prozeß unterbricht. Die Installation der beschriebenen Überwachungseinheit kann auch nach der Inbetriebnahme des Automatisierungssystems erfolgen, da Steuerungs- und Sicherheitsfunktionen fast vollständig getrennt sind. Man erhält damit den entscheidenden Vorteil, daß man ein bestehendes System, eine Anlage, eine Maschine oder einen Prozeß bei erhöhter Anforderung an die Sicherheit in einfachster Form nachrüsten kann.By adding such a monitoring unit ( 2 ) has created an increased level of security. In conjunction with the configuration of the entire system, a "one-fault-safety" can arise, which recognizes every possible error and interrupts the process just started in the event of a fault. The installation of the described monitoring unit can also take place after the commissioning of the automation system, since control and safety functions are almost completely separated. This gives you the decisive advantage that you can retrofit an existing system, a system, a machine or a process with increased safety requirements in the simplest form.

Claims (10)

Steuerungseinrichtung für Anlagen, Maschinen oder sonstige Prozesse mit einem Steuerungsteil (1) und einer Überwachungseinheit (2) zur Fehlererkennung und Fehlerunterdrückung, wobei der zumindest eine Steuerungsteil (1) von der Überwachungseinheit (2) getrennt ist, die zumindest eine Überwachungseinheit als Hörer an einem Bus-System (3) angeschlossen ist und Mittel zur Erkennung von eventuellen Übertragungs-, Programmierfehlern oder sonstigen Störungen aufweist, die Überwachungseinheit innerhalb ihrer logischen Funktionen nur übergeordnete Verknüpfungen enthält und Mittel zur Gesamt- oder Gruppenabschaltung des Systems aufweist, dadurch gekennzeichnet, dass in der Steuerungseinrichtung spezielle rücklesbare Ausgabeeinheiten (7) vorgesehen sind, die als Eingabeeinheiten betreibbar sind und somit ihre eigene Ausgabefunktion oder eine bewirkte Funktion zurückspiegeln.Control device for installations, machines or other processes with a control part ( 1 ) and a monitoring unit ( 2 ) for error detection and error suppression, wherein the at least one control part ( 1 ) from the monitoring unit ( 2 ) is separated, the at least one monitoring unit as a listener on a bus system ( 3 ) and having means for detecting possible transmission, programming errors or other disturbances, the monitoring unit contains only higher-level links within its logical functions and means for total or group shutdown of the system, characterized in that in the control device special read-back output units ( 7 ) are provided, which are operable as input units and thus reflect their own output function or a function caused. Steuerungseinrichtung gemäß Anspruch 1, dadurch gekennzeichnet, dass die Steuerungseinrichtung Mittel zum Rücklesen über Eingabeeinheiten (14) aufweist.Control device according to Claim 1, characterized in that the control device has means for reading back via input units ( 14 ) having. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 2, dadurch gekennzeichnet, dass die Überwachungseinheit (2) nachträglich an bestehende Anlagen, Maschinen oder sonstige Prozesse adaptierbar ist.Control device according to claims 1 to 2, characterized in that the monitoring unit ( 2 ) can be subsequently adapted to existing plants, machines or other processes. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 3, dadurch gekennzeichnet, dass je nach Grad der Sicherheitsanforderung oder den Randbedingungen der Steuerungseinrichtung die Rücklesung mit einer dezentralen Eingabeeinheit und/oder mit einer speziellen rücklesbaren Ausgabeeinheit (7) erfolgt.Control device according to Claims 1 to 3, characterized in that, depending on the degree of the safety requirement or the boundary conditions of the control device, the readback with a decentralized input unit and / or with a special read-back output unit ( 7 ) he follows. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 4, dadurch gekennzeichnet, dass die Überwachungseinheit (2) je nach Sicherheitsanforderung ein oder mehrkanalig aufgebaut ist und mittels einer Logik-Kontrolle (18) zwei interne Mikroprozessoren (16, 17) oder ähnliche Bausteine überwacht, so interne Fehler selbst eliminiert oder im Zusammenspiel mit zusätzlichen Einheiten, insbesondere dem Steuerungsteil (1), diese Fehler eliminiert.,Control device according to claims 1 to 4, characterized in that the monitoring unit ( 2 ) has one or more channels, depending on the security requirement, and by means of a logic control ( 18 ) two internal microprocessors ( 16 . 17 ) or similar blocks, so internal errors itself eliminated or in conjunction with additional units, in particular the control part ( 1 ), eliminates these errors., Steuerungseinrichtung gemäß den Ansprüchen 1 bis 5, dadurch gekennzeichnet, dass die Überwachungseinheit (2) 2 Speicher (20, 21) beinhaltet, die einerseits die Zustände der Ein- und Ausgabeeinheiten (4, 5, 6, 7, 8, 9, 10) und andererseits die erlaubten Verknüpfungen der Sicherheitsfunktionen beinhalten, sowie Mittel für eine Abschaltfunktion bei Abweichung in den Speicherinhalten enthält.Control device according to claims 1 to 5, characterized in that the monitoring unit ( 2 ) 2 memory ( 20 . 21 ), on the one hand the states of the input and output units ( 4 . 5 . 6 . 7 . 8th . 9 . 10 ) and on the other hand contain the permitted links of the safety functions, as well as means for a shutdown function in case of deviation in the memory contents. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 6, dadurch gekennzeichnet, dass die Überwachungseinheit (2) eine Benutzerschnittstelle enthält, mittels derer die Sicherheitsfunktionen über eine integrierte grafische Ein-/Ausgabeeinheit (22) hinterlegt werden können.Control device according to claims 1 to 6, characterized in that the monitoring unit ( 2 ) contains a user interface by means of which the security functions are integrated via an integrated graphic input / output unit ( 22 ) can be deposited. Steuerungseinrichtung gemäß den Ansprüchen 1. bis 7, dadurch gekennzeichnet, dass die Überwachungseinheit (2) durch eine Zwangsfunktion, insbesondere einen Schlüsselschalter oder Passwort, entweder aktiv oder inaktiv geschaltet werden kann, so dass deren Funktion im Detail getestet und in Betrieb genommen werden kann, ohne die Steuerungseinrichtung zu beeinflussen.Control device according to claims 1 to 7, characterized in that the monitoring unit ( 2 ) can be switched either active or inactive by a forced function, in particular a key switch or password, so that their function can be tested in detail and put into operation without affecting the control device. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 8, dadurch gekennzeichnet, dass die Überwachungseinheit (2) über eine Schnittstelle, insbesondere ein serielles Interface verfügt, derer im Fehlerfall sowohl eine Gesamtabschaltung als auch eine Gruppenabschaltung erfolgen kann.Control device according to claims 1 to 8, characterized in that the monitoring unit ( 2 ) has an interface, in particular a serial interface, which can be done in case of failure, both an overall shutdown and a group shutdown. Steuerungseinrichtung gemäß den Ansprüchen 1 bis 9, dadurch gekennzeichnet, dass die Überwachungseinheit (2) Mittel für eine funktionsorientierte Diagnose aufweist, die eine Information ausgibt, welcher Fehler aufgetreten ist.Control device according to claims 1 to 9, characterized in that the monitoring unit ( 2 ) Has means for a function-oriented diagnosis that outputs information about which error has occurred.
DE1999113279 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression Expired - Lifetime DE19913279B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1999113279 DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999113279 DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Publications (2)

Publication Number Publication Date
DE19913279A1 DE19913279A1 (en) 2000-09-28
DE19913279B4 true DE19913279B4 (en) 2006-07-27

Family

ID=7902207

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999113279 Expired - Lifetime DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Country Status (1)

Country Link
DE (1) DE19913279B4 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008029948A1 (en) 2008-06-26 2010-01-21 Phoenix Contact Gmbh & Co. Kg monitoring system
DE102008038912B4 (en) * 2008-08-13 2021-05-06 Phoenix Contact Gmbh & Co. Kg Control device for the small control of a safety-relevant function block

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US6545758B1 (en) 2000-08-17 2003-04-08 Perry Sandstrom Microarray detector and synthesizer
US6567163B1 (en) 2000-08-17 2003-05-20 Able Signal Company Llc Microarray detector and synthesizer
DE10233873B4 (en) 2002-07-25 2006-05-24 Siemens Ag Control for a crane system, in particular a container crane
DE102004018642A1 (en) 2004-04-16 2005-12-01 Sick Ag process control
DE102005063053A1 (en) * 2005-12-29 2007-07-05 Endress + Hauser Process Solutions Ag Process e.g. forwarding electronic mail to person, monitoring method, involves requesting diagnosis information from field device by monitoring unit, when communication frame with information is determined with diagnosis result indication
EP2015154A1 (en) * 2007-07-09 2009-01-14 Siemens Aktiengesellschaft Method for operating an automation device comprising configurable shut-down modes

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5097470A (en) * 1990-02-13 1992-03-17 Total Control Products, Inc. Diagnostic system for programmable controller with serial data link
DE4107007A1 (en) * 1991-03-05 1992-09-10 Siemens Ag Watchdog system for data and address buses of data processing system - has module with memories and registers for test data and reference values for comparison
DE4312305A1 (en) * 1993-04-15 1994-10-27 Abb Patent Gmbh Safety-oriented programmable controller
DE19815150A1 (en) * 1997-04-21 1998-10-22 Leuze Electronic Gmbh & Co Sensor system for safety of humans around machines
DE19814102A1 (en) * 1998-03-30 1998-12-10 Siemens Ag Data transmission method
DE19857683A1 (en) * 1998-12-14 2000-06-21 Peter Wratil Safety critical function monitoring of control systems for process control applications has separate unit
DE19860358A1 (en) * 1998-12-24 2000-07-06 Peter Wratil Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information
DE19904893A1 (en) * 1999-02-06 2000-08-10 Peter Wratil Method for suppressing controller errors with an intelligent monitoring unit includes a controller to control a process, a local network and local units allowing data to be transported from the controller to sensors and actuators
DE19904892A1 (en) * 1999-02-06 2000-08-10 Peter Wratil Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function
DE29923431U1 (en) * 1999-02-06 2001-06-13 Wratil Peter Unit in control devices

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5097470A (en) * 1990-02-13 1992-03-17 Total Control Products, Inc. Diagnostic system for programmable controller with serial data link
DE4107007A1 (en) * 1991-03-05 1992-09-10 Siemens Ag Watchdog system for data and address buses of data processing system - has module with memories and registers for test data and reference values for comparison
DE4312305A1 (en) * 1993-04-15 1994-10-27 Abb Patent Gmbh Safety-oriented programmable controller
DE19815150A1 (en) * 1997-04-21 1998-10-22 Leuze Electronic Gmbh & Co Sensor system for safety of humans around machines
DE19814102A1 (en) * 1998-03-30 1998-12-10 Siemens Ag Data transmission method
DE19857683A1 (en) * 1998-12-14 2000-06-21 Peter Wratil Safety critical function monitoring of control systems for process control applications has separate unit
DE19860358A1 (en) * 1998-12-24 2000-07-06 Peter Wratil Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information
DE19904893A1 (en) * 1999-02-06 2000-08-10 Peter Wratil Method for suppressing controller errors with an intelligent monitoring unit includes a controller to control a process, a local network and local units allowing data to be transported from the controller to sensors and actuators
DE19904892A1 (en) * 1999-02-06 2000-08-10 Peter Wratil Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function
DE29923431U1 (en) * 1999-02-06 2001-06-13 Wratil Peter Unit in control devices

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
Elektronik 7/4.4 1986, S.128-137 *
JP 07271411 A (Internet)= JP 63257802 A *
JP 07-271411 AA (Internet)=JP 63-257802 AA
JP 08292894 A (Internet) *
JP 08-292894 AA (Internet)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008029948A1 (en) 2008-06-26 2010-01-21 Phoenix Contact Gmbh & Co. Kg monitoring system
DE102008029948B4 (en) 2008-06-26 2018-08-30 Phoenix Contact Gmbh & Co. Kg monitoring system
DE102008038912B4 (en) * 2008-08-13 2021-05-06 Phoenix Contact Gmbh & Co. Kg Control device for the small control of a safety-relevant function block

Also Published As

Publication number Publication date
DE19913279A1 (en) 2000-09-28

Similar Documents

Publication Publication Date Title
EP1221075B1 (en) Method for controlling safety-critical processes
DE102009042368B4 (en) Control system for controlling safety-critical processes
EP1738233B1 (en) Safety-oriented control system
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
EP0742500A2 (en) Fail-safe touch-switch functions and switch functions with error avoidance
EP1699203B1 (en) Modular numerical control device
DE102006046286A1 (en) motion monitoring
EP1620768B1 (en) Method and device for controlling a safety-critical process
DE19913279B4 (en) Control device with monitoring unit for error detection and error suppression
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
DE19857683B4 (en) Method for monitoring the safety of control devices
EP1055159B1 (en) Troubleproof process input and output
EP4235323A2 (en) Method and device for automatically validating security functions on a modular security system
EP3100121B1 (en) Method and apparatus for safely disconnecting an electrical load
EP1672446B1 (en) Secure Input/Ouput assembly for a controller
EP2099164B1 (en) Safety device for safe control of attached actuators
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
DE19904892B4 (en) Method for error suppression for input units in control devices
EP2667304B1 (en) Input/Output Modul
WO2004036324A1 (en) Method and automation device provided with redundant control units for controlling peripheral equipment via a bus system
AT521134B1 (en) industrial plant
EP3940467A1 (en) Control system for controlling a device or system
EP1921525A1 (en) Method for operating a security related system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8181 Inventor (new situation)

Free format text: ERFINDER IST ANMELDER

8125 Change of the main classification

Ipc: G05B 19048

8327 Change in the person/name/address of the patent owner

Owner name: PHOENIX CONTACT GMBH & CO. KG, 32825 BLOMBERG, DE

8381 Inventor (new situation)

Inventor name: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

8364 No opposition during term of opposition
R071 Expiry of right