DE19928517A1 - Steuerungssystem zum Steuern von sicherheitskritischen Prozessen - Google Patents
Steuerungssystem zum Steuern von sicherheitskritischen ProzessenInfo
- Publication number
- DE19928517A1 DE19928517A1 DE19928517A DE19928517A DE19928517A1 DE 19928517 A1 DE19928517 A1 DE 19928517A1 DE 19928517 A DE19928517 A DE 19928517A DE 19928517 A DE19928517 A DE 19928517A DE 19928517 A1 DE19928517 A1 DE 19928517A1
- Authority
- DE
- Germany
- Prior art keywords
- control unit
- safety
- control
- control system
- bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 74
- 230000008569 process Effects 0.000 title claims abstract description 62
- 238000004891 communication Methods 0.000 claims abstract description 38
- 230000006854 communication Effects 0.000 claims abstract description 38
- 230000011664 signaling Effects 0.000 abstract 4
- 230000008901 benefit Effects 0.000 description 12
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000004575 stone Substances 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001311 chemical methods and process Methods 0.000 description 1
- 238000012824 chemical production Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000009420 retrofitting Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/403—Bus networks with centralised control, e.g. polling
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24024—Safety, surveillance
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25139—Use of separate buscouple interface
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25324—Modules connected to serial bus
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31245—Redundant bus, interbus, with two masters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Safety Devices In Control Systems (AREA)
- Regulation And Control Of Combustion (AREA)
- Programmable Controllers (AREA)
- Control By Computers (AREA)
- Selective Calling Equipment (AREA)
- Control Of Steam Boilers And Waste-Gas Boilers (AREA)
Abstract
Die vorliegende Erfindung beschreibt ein Steuerungssystem (10) zum Steuern von sicherheitskritischen Prozessen (28, 30). Das Steuerungssystem (10) besitzt eine erste Steuereinheit (14; 14, 54) zum Steuern eines sicherheitskritischen Prozesses (28, 30) und zumindest eine Signaleinheit (18, 20, 22; 18, 20, 22, 56), die über E/A-Kanäle mit dem sicherheitskritischen Prozeß (28, 30) verknüpft ist. Es besitzt ferner einen Feldbus (12), über den die erste Steuereinheit (14; 14, 56) und die Signaleinheit (18, 20, 22; 18, 20, 22, 56) verbunden sind, sowie einen Busmaster (36) zum Steuern der Kommunikation auf dem Feldbus (12). Dabei weisen die erste Steuereinheit (14; 14, 54) und die Signaleinheit (18, 20, 22; 18, 20, 22, 56) sicherheitsbezogene Einrichtungen (42, 52) auf, um eine fehlersichere Kommunikation miteinander zu gewährleisten. Das erfindungsgemäße Steuerungssystem (10) ist dadurch gekennzeichnet, daß der Busmaster (36) getrennt von der ersten Steuereinheit (14; 14, 54) und der Signaleinheit (18, 20, 22; 18, 20, 22, 56) an den Feldbus (12) angeschlossen ist (Fig. 1).
Description
Die vorliegende Erfindung betrifft ein Steuerungssystem zum
Steuern von sicherheitskritischen Prozessen, mit einer ersten
Steuereinheit zum Steuern eines sicherheitskritischen Prozesses
und mit einer Signaleinheit, die über E/A-Kanäle mit dem si
cherheitskritischen Prozeß verknüpft ist, ferner mit einem
Feldbus, über den die erste Steuereinheit und die Signaleinheit
verbunden sind, und mit einem Busmaster zum Steuern der Kommu
nikation auf dem Feldbus, wobei die erste Steuereinheit und die
Signaleinheit sicherheitsbezogene Einrichtungen aufweisen, um
eine fehlersichere Kommunikation miteinander zu gewährleisten.
Ein derartiges Steuerungssystem ist aus der DE-A-197 42 716 be
kannt.
In der Steuer- und Automatisierungstechnik ist die Verwendung
von Feldbussen zur Datenkommunikation zwischen einzelnen, an
der Steuerung eines Prozesses beteiligten Einheiten bereits
hinreichend bekannt. Unter einem Feldbus versteht man dabei ein
System zur Datenkommunikation, an das im Idealfall beliebige
Einheiten angeschlossen werden können, die über den gemeinsamen
Feldbus miteinander kommunizieren. Die Kommunikation der Ein
heiten erfolgt auf dem Feldbus anhand von spezifizierten Proto
kollen. Ein derartiges Kommunikationssystem steht im Gegensatz
zu einer individuellen Punkt-zu-Punkt-Kommunikationsverbindung
zwischen jeweils zwei Einheiten, von deren Kommunikation mit
einander andere Einheiten vollständig abgetrennt sind. Beispie
le für bekannte Feldbusse sind der sogenannte CAN-Bus, der so
genannte Profibus oder der sogenannte Interbus.
Bei vielen Feldbussen wird die Kommunikation von zumindest ei
nem Busmaster gesteuert, der den übrigen an den Feldbus ange
schlossenen Einheiten, den sogenannten Busteilnehmern, überge
ordnet ist. Dies hat zur Folge, daß ein Busteilnehmer ohne
"Erlaubnis" des Busmasters keine Daten an andere Busteilnehmer
senden kann. In der Regel ist der Busmaster ein Standardbau
stein, der die für den Feldbus spezifizierten Protokolle ge
währleisten muß und der häufig recht komplex und damit ver
gleichsweise teuer ist.
Obwohl die Verwendung von Feldbussen zahlreiche Vorteile vor
allem in Hinblick auf den ansonsten erforderlichen, hohen Ver
kabelungsaufwand besitzt, war ihre Verwendung im praktischen
Einsatz zur Steuerung von sicherheitskritischen Prozessen bis
her nicht möglich. Grund hierfür ist, daß die Feldbusse ange
sichts ihrer für beliebige Einheiten frei zugänglichen Struktur
die zur Steuerung sicherheitskritischer Prozesse erforderliche
Fehlersicherheit nicht gewährleisten konnten.
Unter einem sicherheitskritischen Prozeß wird vorliegend ein
Prozeß verstanden, von dem bei Auftreten eines Fehlers eine
nicht zu vernachlässigende Gefahr für Menschen oder auch mate
rielle Güter ausgeht. Bei einem sicherheitskritischen Prozeß
muß daher mit im Idealfall 100%iger Sicherheit gewährleistet
sein, daß der Prozeß bei Vorliegen eines Fehlers in einen si
cheren Zustand überführt wird. Derartige sicherheitskritische
Prozesse können auch Teilprozesse von größeren, übergeordneten
Gesamtprozessen sein. Beispiele für sicherheitskritische Pro
zesse sind chemische Verfahren, bei denen kritische Parameter
unbedingt in einem vorgegebenen Bereich gehalten werden müssen
oder auch komplexe Maschinensteuerungen, wie etwa die einer hy
draulischen Presse oder einer gesamten Fertigungsstraße. Bei
einer hydraulischen Presse kann beispielsweise die Materialzu
führung ein sicherheitsunkritischer Teilprozeß, das Inbetrieb
nehmen des Preßwerkzeugs demgegenüber ein sicherheitskritischer
Teilprozeß im Rahmen des Gesamtprozesses sein. Weitere Beispie
le für sicherheitskritische (Teil-)Prozesse sind die Überwa
chung von Schutzgittern, Schutztüren oder Lichtschranken, die
Steuerung von 2-Hand-Schaltern oder auch die Reaktion auf Not-
Aus-Schalter.
In der eingangs genannten DE-A-197 42 716 ist eine Steuer- und
Datenübertragungsanlage beschrieben, die auf einem Feldbus,
insbesondere dem Interbus, basiert und der die Aufgabe zugrunde
lag, auch sicherheitsbezogene Baugruppen integrieren zu können.
Zur Lösung dieser Aufgabe wurde vorgeschlagen, sowohl in dem
Busmaster, in der genannten Schrift als Master-Steuereinrich
tung bezeichnet, als auch in den Busteilnehmern jeweils sicher
heitsbezogene Einrichtungen anzuordnen. Die sicherheitsbezoge
nen Einrichtungen führen dann zusätzlich zur eigentlichen Da
tenkommunikation Sicherheitsfunktionen aus, die die erforderli
che Fehlersicherheit im Hinblick auf die Steuerung von sicher
heitskritischen Prozessen gewährleisten. Anschaulich gesprochen
wird die erforderliche Sicherheit hierbei also vor allem da
durch erreicht, daß der Busmaster durch die sicherheitsbezoge
nen Einrichtungen "sicher" gemacht wird.
Eine derartige Maßnahme ist bei der Entwicklung und beim Aufbau
eines fehlersicheren Steuerungssystems jedoch sehr aufwendig
und kostenintensiv, da hierbei der komplexe Busmaster selbst
modifiziert werden muß und nicht auf Standardbausteine zurück
gegriffen werden kann.
Darüber hinaus ist eine derartige Maßnahme auch im Betrieb
eines darauf basierten Steuerungssystems nachteilig, da die si
cherheitsrelevante Kommunikation bei der Steuerung von komple
xen Prozessen in der Regel nur etwa bis zu 10% der gesamten
Kommunikation ausmacht. Die genannte Maßnahme besitzt somit den
Nachteil, daß mit hohem Aufwand der Busmaster "sicher" gemacht
wird, obwohl dies für 90% und mehr der von ihm gesteuerten
Kommunikation gar nicht erforderlich ist.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Steue
rungssystem der eingangs genannten Art anzugeben, das eine feh
lersichere Kommunikation der an einem sicherheitskritischen
Prozeß beteiligten Einheiten gewährleistet, wobei gleichzeitig
die Verwendung von Standardbausteinen als Busmaster möglich
ist.
Diese Aufgabe wird bei dem eingangs genannten Steuerungssystem
dadurch gelöst, daß der Busmaster getrennt von der ersten Steu
ereinheit und der Signaleinheit an den Feldbus angeschlossen
ist.
Die erste Steuereinheit ist aufgrund der sicherheitsbezogenen
Einrichtungen eine "sichere" Steuereinheit, d. h. sie ist in der
Lage, interne und auch externe Fehler, ggf. im Zusammenspiel
mit anderen sicheren Einheiten, festzustellen und zu korrigie
ren. Anschaulich gesprochen bedeutet die genannte Maßnahme, daß
die erste Steuereinheit zum Steuern sicherheitskritischer Pro
zesse einerseits und der Busmaster andererseits in voneinander
getrennten Bausteinen untergebracht und an den verwendeten
Feldbus angeschlossen sind. Dabei ist es möglich, die erste
Steuereinheit als einfachen Busteilnehmer, d. h. ohne eine Bus
masterfunktionalität an den Feldbus anzuschließen, wie nachfol
gend am Beispiel des Interbusses erläutert wird. Die Steuerung
des sicherheitskritischen Prozesses kann dann weitgehend unab
hängig von der Steuerung sicherheitsunkritischer Prozesse und
auch unabhängig von der Steuerung der Datenkommunikation auf
einem gemeinsamen Feldbus stattfinden.
Die erste Steuereinheit benötigt somit zumindest grundsätzlich
keine Busmaster-Funktionalität und umgekehrt kann der Busmaster
frei von sicherheitsbezogenen Einrichtungen an den Feldbus an
geschlossen werden. Hierdurch ist die Verwendung von herkömmli
chen Standard-Busmastern möglich. Die genannte Aufgabe ist so
mit vollständig gelöst.
Die erfindungsgemäße Maßnahme besitzt zudem den Vorteil, daß
die erste Steuereinheit und mit ihr die sicherheitsbezogenen
Einrichtungen hinsichtlich ihrer Komplexität und Geschwindig
keit an den nur vergleichsweise geringen sicherheitsrelevanten
Datenverkehr angepaßt sein müssen. Der bei einem komplexen Ge
samtprozeß bis zu mehr als 90% betragende, nicht-sicherheits
relevante Datenverkehr muß nicht über die erste Steuereinheit
und auch nicht über die sicherheitsbezogenen Einrichtungen ab
gewickelt werden. Die erste Steuereinheit und die sicherheits
bezogenen Einrichtungen können daher vergleichsweise einfach
aufgebaut sein.
In einer Ausgestaltung der zuvor genannten Maßnahme weist die
erste Steuereinheit ein eigenständiges Steuerprogramm zum Steu
ern des sicherheitskritischen Prozesses auf.
Unter einem eigenständigen Steuerprogramm wird dabei ein Steu
erprogramm verstanden, das die erste Steuereinheit in die Lage
versetzt, den sicherheitskritischen Prozeß unabhängig von ande
ren Steuereinheiten zu steuern. Die erste Steuereinheit ist so
mit nicht nur ein redundantes Element in Ergänzung zu einer
weiteren Steuereinheit, sondern sie ist in der Lage, den si
cherheitskritischen Prozeß eigenständig fehlersicher zu steu
ern. Die Maßnahme ist besonders vorteilhaft, da hierdurch eine
vollständige Trennung der sicherheitsrelevanten Teile des
Steuerungssystems von den nicht-sicherheitsrelevanten Teilen
erreicht ist. Dies ist insbesondere im Hinblick auf die Zulas
sung eines Steuerungssystems durch verantwortliche Aufsichtsbe
hörden von Bedeutung, da hierdurch eine Beeinflussung des si
cherheitsrelevanten Teils durch einen Eingriff im nicht
sicherheitsrelevanten Teil vermieden ist.
In einer weiteren Ausgestaltung ist die erste Steuereinheit ge
eignet, ein fehlersicheres Bustelegramm zu erzeugen, bei dessen
Empfang die Signaleinheit den sicherheitskritischen Prozeß in
einen sicheren Zustand überführt.
Wenn es sich bei dem sicherheitskritischen Prozeß beispielswei
se um die Überwachung eines Not-Aus-Schalters handelt, kann ein
sicherer Zustand darin bestehen, den Gesamtprozeß umgehend
stromlos zu schalten. Bei einer chemischen Produktionsanlage
kann ein vollständiges Abschalten jedoch unter Umständen unkon
trollierte Reaktionen ermöglichen, so daß in diesem Fall ein
sicherer Zustand durch das Ansteuern vorgegebener Parameterbe
reiche definiert ist. Die genannte Maßnahme steht im Gegensatz
dazu, das Überführen des Prozesses in einen sicheren Zustand
durch zusätzliche, von dem Feldbus getrennte Steuerleitungen zu
realisieren. Dies wurde bisher bevorzugt, da ein fehlersicheres
Bustelegramm nur in Verbindung mit sicherheitsbezogenen Ein
richtungen möglich ist. Die genannte Maßnahme besitzt demgegen
über den Vorteil, daß auf die entsprechenden zusätzlichen Steu
erleitungen verzichtet werden kann, wodurch der Verkabelungs
aufwand nochmals reduziert wird.
In einer weiteren Ausgestaltung weisen die sicherheitsbezogenen
Einrichtungen eine mehrkanalige Struktur auf.
Mehrkanalige Struktur bedeutet hier, daß die sicherheits
bezogenen Einrichtungen zumindest zwei parallele Verarbeitungs
kanäle aufweisen, die zueinander redundant sind. Die Maßnahme
besitzt den Vorteil, daß ein Fehler in einem der Verarbeitungs
kanäle bspw. anhand eines Ergebnisses, das von demjenigen des
oder der anderen Verarbeitungskanäle abweicht, erkannt und ggf.
korrigiert werden kann. Die Maßnahme trägt somit in sehr zuver
lässiger Weise zur Verbesserung der Fehlersicherheit bei.
Bevorzugt ist die mehrkanalige Struktur diversitär.
Dies bedeutet, daß die einzelnen Kanäle der mehrkanaligen
Struktur unterschiedlich aufgebaut sind. Beispielsweise kann
ein Kanal auf einem Mikrocontroller eines ersten Herstellers
und ein anderer Kanal auf einem Mikrocontroller eines zweiten
Herstellers basieren. Dementsprechend sind in einem solchen
Fall auch die Steuerprogramme der Mikrocontroller voneinander
verschieden. Alternativ kann einer der Kanäle anstelle eines
Mikrocontrollers eine festverdrahtete Logik aufweisen. Die ge
nannte Maßnahme besitzt den Vorteil, daß die Fehlersicherheit
nochmals beträchtlich erhöht ist, da die Wahrscheinlichkeit für
das gleichzeitige Auftreten von gleichen Fehlern in diversitä
ren Strukturen gegenüber homogenen Strukturen nochmals wesent
lich reduziert ist.
In einer weiteren Ausgestaltung der Erfindung weist das Steue
rungssystem eine zweite Steuereinheit zum Steuern von sicher
heitsunkritischen Prozessen auf.
Die zweite Steuereinheit ist bevorzugt eine Standard-Steuer
einheit, d. h. eine als Standardbaustein erhältliche Steuerein
heit. Diese Maßnahme ist besonders vorteilhaft, wenn das Steue
rungssystem zum Steuern komplexer Gesamtprozesse eingesetzt
werden soll, da in diesem Fall sämtliche sicherheitsunkriti
schen Teilprozesse getrennt von den sicherheitskritischen Teil
prozessen gesteuert werden können. Zudem kann die erste Steuer
einheit auf diese Weise von nicht-sicherheitsrelevanten Aufga
ben entlastet werden. Hierdurch ist es möglich, die erste Steu
ereinheit und darüber hinaus das gesamte Steuerungssystem be
sonders kostengünstig und leistungseffizient auszulegen.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme
ist die zweite Steuereinheit getrennt von der ersten Steuer
einheit an den Feldbus angeschlossen.
Diese Maßnahme besitzt den Vorteil, daß die Trennung der si
cherheitsrelevanten und nicht-sicherheitsrelevanten Prozesse
noch konsequenter vollzogen ist, was eine unbeabsichtigte Be
einflussung der sicherheitsrelevanten Steuerungen nochmals ver
ringert. Zudem ist es hierdurch möglich, eine erste Steuerein
heit zum Steuern sicherheitskritischer Prozesse in einer be
reits existierenden Gesamtanlage nachzurüsten, ohne die bereits
zuvor in diesem Steuerungssystem verwendete Standard-Steuer
einheit auszutauschen. Dies erlaubt eine einfache und kosten
günstige Nachrüstung bereits existierender Steuerungssysteme
mit sicherheitsrelevanten Komponenten.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen
ist die zweite Steuereinheit frei von sicherheitsbezogenen Ein
richtungen.
Dies bedeutet, daß die zweite Steuereinheit keine sicherheits
bezogenen Einrichtungen aufweist. Die Maßnahme besitzt den Vor
teil, daß auch die zweite Steuereinheit von unnötigem Ballast
freigehalten ist. Hierdurch ist es möglich, für die zweite
Steuereinheit kostengünstige Standardbauelemente einzusetzen.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen
beinhaltet die zweite Steuereinheit den Busmaster.
Diese Maßnahme besitzt den Vorteil, daß hierdurch die Anzahl
der an den verwendeten Feldbus angeschlossenen Einheiten redu
ziert ist. Zudem sind Steuereinheiten mit integriertem Bus
master von verschiedenen Herstellern als Standardbauelemente
erhältlich. Die genannte Maßnahme ist somit kostengünstig und
effizient realisierbar.
In einer weiteren Ausgestaltung der Erfindung stellt der Feld
bus einen umlaufenden Telegrammverkehr zwischen einzelnen an
den Feldbus angeschlossenen Einheiten bereit. Vorzugsweise ist
der Feldbus dabei ein Interbus.
Feldbusse mit einem umlaufenden Telegrammverkehr sind im Stand
der Technik an sich bekannt. Ein Beispiel hierfür ist der be
vorzugt verwendete Lnterbus. Derartige Feldbusse sind im Prin
zip wie ein Schieberegister aufgebaut, dessen sequentiell nach
einander angeordnete Speicherplätze die an den Feldbus ange
schlossenen Einheiten sind. Unter Steuerung des Busmasters wird
ein Datenwort sequentiell von einer Einheit zur nächsten wei
tergeschoben. Aufgrund geeigneter Maßnahmen, die bei verschie
denen Feldbussen unterschiedlich sein können, erkennt eine an
geschlossene Einheit, daß ein weitergeschobenes Bustelegramm
für sie bestimmte Anteile enthält.
Die genannte Maßnahme besitzt den Vorteil, daß sich hierdurch
auf einfache Weise sehr effiziente Steuerungssysteme mit einem
sehr geringen Verkabelungsaufwand implementieren lassen. Die
Verwendung eines Interbusses als Feldbus besitzt zudem den Vor
teil, daß eine Einheit die für sie bestimmten Bustelegramme auf
besonders einfache Weise identifizieren kann. Dies ist zudem
wenig fehleranfällig.
In einer weiteren Ausgestaltung der Erfindung ist die erste
Steuereinheit bezogen auf eine Umlaufrichtung des Telegramm
verkehrs vor der Signaleinheit angeordnet.
Diese Maßnahme ist besonders vorteilhaft, da hierdurch auf ein
fache Weise gewährleistet ist, daß die Signaleinheit nur Daten
erhält, die durch die erste Steuereinheit erzeugt worden sind.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme
weist die erste Steuereinheit Mittel auf, um Telegrammdaten,
die an die Signaleinheit adressiert sind, durch fehlersichere
Telegrammdaten zu ersetzen.
Die genannte Maßnahme ist eine sehr einfache und damit vorteil
hafte Möglichkeit, um zu gewährleisten, daß die mit
einem sicherheitskritischen Prozeß verbundene Signaleinheit
ausschließlich fehlersichere Telegrammdaten erhält. Anschaulich
gesprochen macht man sich hierbei den sequentiell umlaufenden
Telegrammverkehr dahingehend zunutze, daß ein Telegramm die
genannte Signaleinheit nur dann erreichen kann, wenn es von der
ersten Steuereinheit erzeugt worden ist.
In einer weiteren Ausgestaltung der Erfindung weist das Steue
rungssystem zumindest zwei erste Steuereinheiten zum Steuern
von zumindest zwei sicherheitskritischen Prozessen auf.
Diese Maßnahme bietet die Möglichkeit, auf sehr einfache und
kostengünstige Weise sehr komplexe Gesamtprozesse mit verschie
denen sicherheitskritischen Teilprozessen individuell und unab
hängig voneinander zu steuern. Dabei macht sich als besonderer
Vorteil bemerkbar, daß keine der ersten Steuereinheiten eine
Busmasterfunktionalität aufweisen muß, was die Kosten des Ge
samtsystems niedrig hält.
Es versteht sich, daß die vorstehend genannten und die nach
stehend noch zu erläuternden Merkmale nicht nur in der jeweils
angegebenen Kombination, sondern auch in anderen Kombinationen
oder in Alleinstellung verwendbar sind, ohne den Rahmen der
vorliegenden Erfindung zu verlassen.
Ausführungsbeispiele der Erfindung sind in der Zeichnung
dargestellt und werden in der nachfolgenden Beschreibung näher
erläutert. Es zeigen:
Fig. 1 eine schematische Darstellung eines Ausführungs
beispiels der Erfindung, wobei als Feldbus ein In
terbus zum Einsatz kommt,
Fig. 2 eine schematische Darstellung eines Kommunikations
bausteins, mit dem die erste Steuereinheit in dem in
Fig. 1 gezeigten Ausführungsbeispiel an den Interbus
angeschlossen ist,
Fig. 3 eine schematische Darstellung eines Empfangsbau
steins, den die erste Steuereinheit in dem gezeigten
Ausführungsbeispiel zusätzlich besitzt,
Fig. 4 eine schematische Darstellung eines Bustelegramms
beim Interbus und
Fig. 5 eine schematische Darstellung, wie sicherheitsrele
vante Datenrahmen bei dem Bustelegramm gemäß Fig. 4
durch fehlersichere Telegrammdaten ersetzt werden.
In Fig. 1 ist ein erfindungsgemäßes Steuerungssystem in seiner
Gesamtheit mit der Bezugsziffer 10 bezeichnet.
Das Steuerungssystem 10 basiert auf einem Feldbus 12, der im
vorliegenden Fall ein Interbus ist. An den Feldbus 12 sind eine
erste Steuereinheit 14, eine zweite Steuereinheit 16 sowie ins
gesamt vier beispielhaft dargestellte Signaleinheiten 18, 20,
22 und 24 angeschlossen. Die erste Steuereinheit 14 ist eine
sichere Steuereinheit, während die zweite Steuereinheit 16 eine
Standar-Steuereinheit ist.
Mit der Bezugsziffer 26 ist ein automatisierter Gesamtprozeß
bezeichnet, der zwei beispielhaft dargestellte sicherheitskri
tische Teilprozesse 28 beinhaltet. Die außerhalb der sicher
heitskritischen Teilprozesse 28 liegenden Anteile des Ge
samtprozesses 26 sind nicht sicherheitskritisch, d. h. sie er
fordern keine sicherheitsbezogenen Zusatzmaßnahmen. Beispiel
haft handelt es sich bei dem Gesamtprozeß 26 um die automati
sierte Steuerung einer Presse, bei der sicherheitsunkritische
Teilprozesse u. a. die Materialzuführung der zu verarbeitenden
Teile (nicht dargestellt) sind. Die sicherheitskritischen Teil
prozesse 28 betreffen hier beispielsweise die Steuerung und
Überwachung eines Zweihand-Schalters und eines Schutzgitters.
Mit der Bezugsziffer 30 ist ein Prozeß bezeichnet, der insge
samt sicherheitskritisch ist, wie etwa die Überwachung eines
Not-Aus-Schalters.
Die Steuereinheiten 18 bis 24 sind über E/A-Kanäle (Eingabe-/Aus
gabe-Kanäle) 32 mit den zu steuernden Prozessen 26 bis 30
verbunden. Die E/A-Kanäle 32 stellen Eingänge und Ausgänge be
reit, über die Zustandssignale, die für die zu steuernden Pro
zesse charakteristisch sind, eingelesen werden können und über
die Steuersignale zum Steuern der Prozesse ausgegeben werden
können. In der Praxis sind an die E/A-Kanäle 32 hier nicht dar
gestellte Sensoren bzw. Aktoren angeschlossen.
Die zweite Steuereinheit 16 weist neben anderen, an sich be
kannten Komponenten einen Mikrocontroller 34 sowie einen Ma
ster-Protokollchip 36 auf. Der Master-Protokollchip 36 besitzt
im vorliegenden Fall eine Busmasterfunktionalität für einen In
terbus und wird im folgenden auch als Busmaster bezeichnet.
Derartige Master-Protokollchips sind als Standardbauelemente
von verschiedenen Herstellern erhältlich.
Die erste Steuereinheit 14 ist über einen Kommunikations
baustein 38, dessen Aufbau anhand Fig. 2 nachfolgend näher be
schrieben wird, als Busteilnehmer an den Feldbus 12 angeschlos
sen. Darüber hinaus besitzt die erste Steuereinheit 14 im vor
liegenden Fall noch einen Empfangsbaustein 40, der am zurück
laufenden Signalpfad des Feldbusses 12 angeschlossen ist.
Die erste Steuereinheit 14 besitzt des weiteren eine sicher
heitsbezogene Einrichtung 42, die im vorliegenden Fall ein
mehrkanaliges, diversitäres Mikrocontrollersystem beinhaltet.
Das mehrkanalige Mikrocontrollersystem ist hier anhand von zwei
redundanten Mikrocontrollern 44 angedeutet, die von verschiede
nen Herstellern stammen und daher eine unterschiedliche Pro
grammierung erfordern. Die sicherheitsbezogene Einrichtung 42
implementiert Fehlerbeherrschungsmaßnahmen, die in Verbindung
mit den nachfolgend beschriebenen sicherheitsbezogenen Einrich
tungen in den Signaleinheiten 18 bis 22 eine fehlersichere Da
tenkommunikation ermöglichen. Mögliche Fehlerbeherrschungsmaß
nahmen sind beispielsweise in einem Artikel mit dem Titel "Bus-
Software mit Feuermelder", erschienen in der Zeitschrift "iee",
43. Jahrgang, 1998, Nr. 8, Seiten 46-48 beschrieben.
Ferner besitzt die erste Steuereinheit 14 einen Speicher 46, in
dem ein Steuerprogramm 48 abgelegt ist. Das Steuerprogramm 48
ist insofern eigenständig, als daß die erste Steuereinheit 14
damit in der Lage ist, den sicherheitskritischen Prozeß 30 so
wie die sicherheitskritischen Teilprozesse 28 unabhängig von
der zweiten Steuereinheit 16 (mit Ausnahme der durch den Bus
master 36 gesteuerten Kommunikation auf dem Feldbus 12) zu
steuern.
Die Signaleinheiten 18 bis 24 sind jeweils über einen Slave-
Protollchip 50 als Busteilnehmer an den Feldbus 12 angeschlos
sen. Der Slave-Protokollchip 50 ist ebenfalls ein Standardbau
element, das von verschiedenen Herstellern erhältlich ist. Zu
dem weisen die Signaleinheiten 18, 20 und 22 jeweils sicher
heitsbezogene Einrichtungen 52 auf, die wiederum ein zweikana
liges Mikrocontrollersystem 44 beinhalten. Die Signaleinheiten
18 und 20 sind dabei beispielhaft so dargestellt, daß sämtliche
über sie laufenden Signale unter Zuhilfenahme der sicherheits
bezogenen Einrichtungen 52 abgewickelt werden. Die Signal
einheiten 18 und 20 sind somit insgesamt "sichere" Signal
einheiten. Die Signaleinheit 22 ist nur zum Teil eine "sichere"
Signaleinheit, d. h. nur ein Teil der hierüber abgewickelten Si
gnale unterliegt einer Steuerung und Kontrolle durch die si
cherheitsbezogenen Einrichtungen 52. Die Signaleinheit 24 be
sitzt demgegenüber keine sicherheitsbezogenen Einrichtungen und
ist von daher eine "nicht-sichere" Standard-Signaleinheit.
Die Signaleinheit 18 ist mit dem sicherheitskritischen Prozeß
30 und die Signaleinheit 20 mit einem der sicherheitskritischen
Teilprozesse 28 verbunden. Diese genannten Prozesse werden aus
schließlich und eigenständig von der ersten Steuereinheit 14
gesteuert. Die Signaleinheit 22 ist mit ihrem sicheren Anteil
mit dem zweiten sicherheitskritischen Teilprozeß 28 verbunden,
während sie mit ihrem nicht-sicheren Anteil ein Steuersignal
für den im übrigen sicherheitsunkritischen Gesamtprozeß 26 er
zeugt. Die Signaleinheit 22 wird dementsprechend in ihrem si
cheren Teil durch die erste Steuereinheit 14 und in ihrem
nicht-sicheren Teil durch die zweite Steuereinheit 16 gesteu
ert. Hierdurch ist es somit möglich, eine sichere und eine
nicht-sichere Signaleinheit unter ein und derselben Busadresse
anzusprechen.
Die Signaleinheit 24 ist ausschließlich mit sicherheitsunkriti
schen Anteilen des Gesamtprozesses 26 verbunden und wird aus
schließlich von der zweiten Steuereinheit 16 angesprochen.
Abweichend von dieser Ausführung ist es grundsätzlich jedoch
möglich, auch die Standard-Signaleinheit 24 über die erste
Steuereinheit 14 anzusteuern, wobei jedoch in diesem Fall keine
vollständig fehlersichere Kommunikation gewährleistet ist.
Mit der Bezugsziffer 54 ist eine weitere sichere Steuereinheit
bezeichnet, die in ihrem Aufbau und ihrer Funktion der ersten
Steuereinheit 14 entspricht. Mit der Bezugsziffer 56 ist eine
weitere sichere Signaleinheit bezeichnet. Die weitere erste
Steuereinheit 54 sowie die sichere Signaleinheit 56 können zu
sätzlich zu den zuvor beschriebenen Einheiten an dem Feldbus 12
angeschlossen sein, was durch eine unterbrochene Linie darge
stellt ist. Für die nachfolgende Erläuterung der Funktionsweise
des erfindungsgemäßen Steuerungssystems 10 wird jedoch der Ein
fachheit halber angenommen, daß die weitere sichere Steuerein
heit 54 sowie die sichere Signaleinheit 56 nicht am Feldbus 12
angeschlossen sind.
Der in der ersten Steuereinheit 14 enthaltene und in Fig. 2 nä
her dargestellte Kommunikationsbaustein 38 besitzt einen Slave-
Protokollchip 58, der über einen ersten Busanschluß 60 ein
gangsseitig und über einen zweiten Busanschluß 62 ausgangs
seitig mit dem Feldbus 12 verbunden ist. Der Protokollchip 58
entspricht den in den Signaleinheiten 18 bis 24 enthaltenen
Protokollchips 50 und wird im Fall des hier angenommenen Inter
busses häufig als "Serielles Mikroprozessor Interface" (SUPI)
bezeichnet.
Der Protokollchip 58 besitzt darüber hinaus weitere Ein- und
Ausgänge, von denen hier beispielhaft ein Eingang FromExR (From
External Receiver), zwei Eingänge ToExR1 bzw. ToExR2 (To Exter
nal Receiver) sowie ein Taktausgang CLKxR angedeutet sind. Am
Ausgang ToExR1 ist eine Signalleitung 64 und am Eingang FromExR
ist eine Signalleitung 66 angeschlossen. Die Signalleitung 64
verbindet den Protokollchip 58 mit einem Empfangsspeicher 68.
Darüber hinaus besitzt der Kommunikationsbaustein 38 auch einen
Sendespeicher 70. Die Signalleitung 66 verbindet den Eingang
FromExR des Protokollchips 58 über ein als Schalter 72 darge
stelltes Mittel wahlweise mit dem Ausgang ToExR1 bzw. mit dem
Sendespeicher 70. Die Funktionsweise des Kommunikationsbau
steins 38 ist nun wie folgt:
Der Protokollbaustein 58 empfängt an seinem Busanschluß 60 ein vom Busmaster 36 auf den Feldbus 12 gelegtes Bustelegramm. Die darin enthaltenen Daten werden dann am Ausgang ToExR1 bereitge stellt und über die Signalleitung 64 dem Empfangsspeicher 68 zugeführt. Wenn sich der Schalter 72 in einer derartigen Posi tion befindet, daß die Signalleitung 66 mit dem Ausgang ToExR1 verbunden ist, werden die aufgenommenen Telegrammdaten gleich zeitig dem Eingang FromExR zugeführt und sodann vom Protokoll chip 58 über den Busanschluß 62 an einen nachfolgenden Busteil nehmer, hier die sichere Signaleinheit 18, übertragen. In die sem Fall werden die im Bustelegramm enthaltenen Daten einer seits in den Empfangsspeicher 68 geladen und andererseits un verändert durch den Protokollchip 58 hindurchgeschleust. Im Un terschied dazu werden in dem Fall, daß der Schalter 72 den Ein gang FromExR mit dem Sendespeicher 70 verbindet, vom Protokoll chip 58 Telegrammdaten an eine nachfolgende Einheit übertragen, die dem Sendespeicher 70 entnommen sind. Durch Umschalten des Schalters 72 ist es somit möglich, die in einem Bustelegramm enthaltenen Daten wahlweise und gezielt durch solche aus dem Sendespeicher 70 zu ersetzen. Dies kann gezielt bis auf die Bi tebene erfolgen.
Der Protokollbaustein 58 empfängt an seinem Busanschluß 60 ein vom Busmaster 36 auf den Feldbus 12 gelegtes Bustelegramm. Die darin enthaltenen Daten werden dann am Ausgang ToExR1 bereitge stellt und über die Signalleitung 64 dem Empfangsspeicher 68 zugeführt. Wenn sich der Schalter 72 in einer derartigen Posi tion befindet, daß die Signalleitung 66 mit dem Ausgang ToExR1 verbunden ist, werden die aufgenommenen Telegrammdaten gleich zeitig dem Eingang FromExR zugeführt und sodann vom Protokoll chip 58 über den Busanschluß 62 an einen nachfolgenden Busteil nehmer, hier die sichere Signaleinheit 18, übertragen. In die sem Fall werden die im Bustelegramm enthaltenen Daten einer seits in den Empfangsspeicher 68 geladen und andererseits un verändert durch den Protokollchip 58 hindurchgeschleust. Im Un terschied dazu werden in dem Fall, daß der Schalter 72 den Ein gang FromExR mit dem Sendespeicher 70 verbindet, vom Protokoll chip 58 Telegrammdaten an eine nachfolgende Einheit übertragen, die dem Sendespeicher 70 entnommen sind. Durch Umschalten des Schalters 72 ist es somit möglich, die in einem Bustelegramm enthaltenen Daten wahlweise und gezielt durch solche aus dem Sendespeicher 70 zu ersetzen. Dies kann gezielt bis auf die Bi tebene erfolgen.
Der in Fig. 3 dargestellte Empfangsbaustein 40 der ersten Steu
ereinheit 14 basiert auf dem gleichen Slave-Protokollchip
(SUPI) wie der Kommunikationsbaustein 38. Zur Unterscheidung
ist der Protokollchip in diesem Fall mit der Bezugsziffer 74
bezeichnet. Als Empfangsbaustein ist der Protokollchip 74 über
seinen Ausgang ToExR1 allein mit einem Empfangsspeicher 76 ver
bunden.
Über den Kommunikationsbaustein 38 ist die erste Steuereinheit
14 somit in der Lage, vom Busmaster 36 über den Feldbus 12
übertragene Bustelegramme aufzunehmen und wahlweise gezielt mo
difiziert an die nachfolgenden Signaleinheiten 18 bis 24 wei
terzugeben. Über den Empfangsbaustein 40 ist die erste Steuer
einheit 14 darüber hinaus in der Lage, die von den Signal
einheiten 18 bis 24 zurückgesendeten Bustelegramme zu empfangen
und mitzuprotokollieren.
Die erste Steuereinheit 14 ist somit in der Lage, auch ohne ei
ne Busmasterfunktionalität mit den Signaleinheiten 18 bis 24
über den Feldbus 12 zu kommunizieren. Über die sicherheitsbezo
genen Einrichtungen 42, 52 kann dadurch eine fehlersichere, von
der zweiten Steuereinheit 16 unabhängige Datenkommunikation und
Steuerung erreicht werden.
In Fig. 4 ist ein schematisch dargestelltes Bustelegramm, wie
es beim Interbus verwendet wird, in seiner Gesamtheit mit der
Bezugsziffer 78 bezeichnet. Das Bustelegramm 78 besitzt einen
exakt definierten Aufbau, der sich in einzelne Abschnitte un
terteilt. Jedes Bustelegramm beginnt mit einem Startwort, das
üblicherweise als Loop Back Word (LBW) bezeichnet wird. An die
ses Startwort schließen sich einzelne Datenrahmen 80 an, in de
nen Nutzdaten, wie Steuerbefehle oder Meßsignalwerte, transpor
tiert werden können.
Beim Interbus erzeugt der Busmaster 36, wie bereits erwähnt,
ein Bustelegramm 78 und überträgt dieses seriell an den ihm
nachgeschalteten Kommunikationsbaustein 38. Dieser empfängt das
Bustelegramm 78 und legt die für die erste Steuereinheit 14 re
levanten Daten aus den Datenrahmen 80 im Empfangsspeicher 68
ab. Gleichzeitig überträgt er das Bustelegramm 78 an den ihm
nachgeordneten Protokollchip 50 der Signaleinheit 18, wobei er
wahlweise in dem Datenrahmen enthaltene Daten durch solche aus
dem Sendespeicher 70 ersetzen kann. Vom Protokollchip 50 der
Signaleinheit 18 wird das Bustelegramm 78 sodann zur Signal
einheit 20 und von dieser zur Signaleinheit 22 und 24 weiterge
leitet. Am Ende der Signalkette schickt die zuletzt angeschlos
sene Signaleinheit 24 das Bustelegramm 78 wieder zurück zum
Busmaster 36, wobei das Bustelegramm 78 wiederum sämtliche Pro
tokollchips 50 sowie den Kommunikationsbaustein 38 durchläuft.
Sobald der Busmaster 36 das Startwort LBW empfängt, ist dies
ein Signal, daß das Bustelegramm 78 im Feldbus 12 einmal se
quentiell umgelaufen ist.
Die erste Steuereinheit 14 kann aufgrund des zuvor beschriebe
nen Datenverkehrs und aufgrund der in Fig. 2 dargestellten An
ordnung des Kommunikationsbausteins 38 mit jeder Signaleinheit
18 bis 24 kommunizieren, sofern ihr die Struktur des Netzwerks
bekannt ist. Dies bedeutet, daß die erste Steuereinheit 14 vor
allem wissen muß, an welcher Stelle des Feldbusses 12 eine von
ihr angesprochene Signaleinheit 18 bis 24 angeordnet ist. Bei
dem in Fig. 1 dargestellten Steuerungssystem 10 befinden sich
die Signaleinheiten 18, 20, 22, an den Plätzen 2, 3 und 4, wenn
man die am Feldbus 12 angeschlossenen Einheiten beginnend beim
Busmaster 36 von Null an durchzählt. Um beispielsweise Steuer
daten an die Signaleinheit 20 zu übertragen, muß die erste
Steuereinheit 14 dementsprechend die Steuerdaten in dem mit D3
bezeichneten Datenrahmen 80 ablegen. Dies ist in Fig. 5 anhand
des Datenrahmens 82 mit modifizierten Daten D3* angedeutet. Die
ursprünglich in diesem Datenrahmen enthaltenen Daten D3 werden
dabei überschrieben.
Da sowohl die erste Steuereinheit 14 als auch die Signaleinheit
20 sicherheitsbezogene Einrichtungen 42, 52 aufweisen, ist es
möglich, eine fehlersichere Datenkommunikation zwischen ihnen
aufzubauen, ohne daß eine dieser Einheiten eine Busmasterfunk
tionalität besitzen muß. Gleiches gilt für die Kommunikation
der ersten Steuereinheit 14 mit den Signaleinheiten 18 und 22,
wobei es bei der Kommunikation mit der Signaleinheit 22 in der
Regel genügt, die mit D4 bezeichneten Daten nur teilweise durch
modifizierte Daten D4** zu ersetzen. Die für den nicht-sicheren
Standardteil der Signaleinheit 22 bestimmten Daten werden durch
die erste Steuereinheit 14 nicht verändert.
Nachfolgend ist eine Tabelle dargestellt, anhand der sich die
Kommunikation über den Feldbus 12 nochmals nachvollziehen läßt:
In jeder Zeile der Tabelle sind die Daten an den Ein- und Aus
gangsschieberegistern der einzelnen an den Feldbus 12 ange
schlossenen Einheiten nach jeweils einem vollständigen Schiebe
schritt angegeben. Dabei bedeuten:
EDx: Eingangsdaten im Datenrahmen Dx
ADx: Ausgangsdaten im Datenrahmen Dx
E*Dx: Modifizerte (sichere) Eingangsdaten im Datenrahmen Dx und
A*Dx: Modifizierte (sichere) Ausgangsdaten im Datenrahmen Dx.
EDx: Eingangsdaten im Datenrahmen Dx
ADx: Ausgangsdaten im Datenrahmen Dx
E*Dx: Modifizerte (sichere) Eingangsdaten im Datenrahmen Dx und
A*Dx: Modifizierte (sichere) Ausgangsdaten im Datenrahmen Dx.
Im Datenrahmen D4 werden nur die für den sicheren Anteil der
Signaleinheit 22 bestimmten Daten von der ersten Steuereinheit
14 modifiziert. Die für den nicht-sicheren Standardteil der Si
gnaleinheit 22 bestimmten Daten bleiben unverändert, so daß
dieser Teil der Signaleinheit 22 von der zweiten Steuereinheit
16 angesprochen wird.
Unabhängig von dem hier vorliegend beschriebenen Steuerungs
system zum Steuern von sicherheitskritischen automatisierten
Prozessen kann eine derartige Modifikation von Daten in einzel
nen Datenrahmen 80, 82 bei einem Feldbus 12 mit sequentiell um
laufenden Telegrammverkehr auch generell dazu verwendet werden,
eine Slave-to-Slave-Kommunikation zwischen Busteilnehmern be
reitzustellen, von denen keiner eine Busmasterfunktionalität
besitzt. Voraussetzung ist hierzu allein, daß der Protokollchip
58 eines Busteilnehmers, der Daten an andere Busteilnehmer ver
senden will, in der in Fig. 2 dargestellten Art und Weise um
einen Sendespeicher 70 und gegebenenfalls einen Empfangsspei
cher 68 ergänzt wird. Außerdem benötigt der zum Senden berech
tigte Busteilnehmer eine Information darüber, an welcher Stelle
im Feldbus 12 sein Adressat angeordnet ist, um dementsprechend
den richtigen Datenrahmen 80 zu modifizieren.
Auf diese Weise ist es grundsätzlich auch möglich, mehrere
Standard-Steuereinheiten, die mit einem Kommunikationsbaustein
38, 40 versehen sind, in das Feldbussystem einzubringen, um da
durch die Steuerungsaufgabe für nicht-sicherheitskritische An
wendungen auf mehrere Standard-Steuereinheiten zu verteilen.
Claims (14)
1. Steuerungssystem zum Steuern von sicherheitskritischen
Prozessen (28, 30), mit einer ersten Steuereinheit (14;
14, 54) zum Steuern eines sicherheitskritischen Prozesses
(28, 30), mit einer Signaleinheit (18, 20, 22, 24; 18, 20,
22, 24, 56), die über E/A-Kanäle (32) mit dem sicherheits
kritischen Prozeß (28, 30) verknüpft ist, ferner mit einem
Feldbus (12), über den die erste Steuereinheit (14; 14,
54) und die Signaleinheit (18, 20, 22, 24; 18, 20, 22, 24,
56) verbunden sind, und mit einem Busmaster (36) zum Steu
ern der Kommunikation auf dem Feldbus (12), wobei die er
ste Steuereinheit (14; 14, 54) und die Signaleinheit (18,
20, 22, 24; 18, 20, 22, 24, 56) sicherheitsbezogene Ein
richtungen (42, 52) aufweisen, um eine fehlersichere Kom
munikation miteinander zu gewährleisten, dadurch gekenn
zeichnet, daß der Busmaster (36) getrennt von der ersten
Steuereinheit (14; 14, 54) und der Signaleinheit (18, 20,
22, 24; 18, 20, 22, 24, 56) an den Feldbus (12) ange
schlossen ist.
2. Steuerungssystem nach Anspruch 1, dadurch gekennzeichnet,
daß die erste Steuereinheit (14; 14, 54) ein eigenständi
ges Steuerprogramm (48) zum Steuern des sicherheitskriti
schen Prozesses (28, 30) aufweist.
3. Steuerungssystem nach Anspruch 1 oder 2, dadurch gekenn
zeichnet, daß die erste Steuereinheit (14; 14, 54) geeig
net ist, ein fehlersicheres Bustelegramm (78) zu erzeugen,
bei dessen Empfang die Signaleinheit (18, 20, 22; 18, 20,
22, 56) den sicherheitskritischen Prozeß (28, 30) in ei
nen sicheren Zustand überführt.
4. Steuerungssystem nach einem der Ansprüche 1 bis 3, dadurch
gekennzeichnet, daß die sicherheitsbezogenen Einrichtungen
(42, 52) eine mehrkanalige Struktur (44) aufweisen.
5. Steuerungssystem nach Anspruch 4, dadurch gekennzeichnet,
daß die mehrkanalige Struktur (44) diversitär ist.
6. Steuerungssystem nach einem der Ansprüche 1 bis 5, dadurch
gekennzeichnet, daß es ferner eine zweite Steuereinheit
(16) zum Steuern von sicherheitsunkritischen Prozessen
(26) aufweist.
7. Steuerungssystem nach Anspruch 6, dadurch gekennzeichnet,
daß die zweite Steuereinheit (16) getrennt von der ersten
Steuereinheit (14; 14, 54) an den Feldbus (12) angeschlos
sen ist.
8. Steuerungssystem nach Anspruch 6 oder 7, dadurch gekenn
zeichnet, daß die zweite Steuereinheit (16) frei von si
cherheitsbezogenen Einrichtungen (42, 52) ist.
9. Steuerungssystem nach einem der Ansprüche 6 bis 8, dadurch
gekennzeichnet, daß die zweite Steuereinheit (16) den Bus
master (36) beinhaltet.
10. Steuerungssystem nach einem der Ansprüche 1 bis 9, dadurch
gekennzeichnet, daß der Feldbus (12) einen umlaufenden Te
legrammverkehr zwischen einzelnen an den Feldbus (12) an
geschlossenen Einheiten (14-24) bereitstellt.
11. Steuerungssystem nach Anspruch 10, dadurch gekennzeichnet,
daß der Feldbus (12) ein Interbus ist.
12. Steuerungssystem nach Anspruch 10 oder 11, dadurch gekenn
zeichnet, daß die erste Steuereinheit (14; 14, 54) bezogen
auf eine Umlaufrichtung des Telegrammverkehrs vor der Si
gnaleinheit (18, 20, 22, 24; 18, 20, 22, 24, 56) angeord
net ist.
13. Steuerungssystem nach Anspruch 12, dadurch gekennzeichnet,
daß die erste Steuereinheit (14; 14, 54) Mittel (70, 72)
aufweist, um Telegrammdaten (80), die an die Signaleinheit
(18, 20, 22, 24; 18, 20, 22, 24, 56) adressiert sind,
durch fehlersichere Telegrammdaten (82) zu ersetzen.
14. Steuerungssystem nach einem der Ansprüche 1 bis 13, da
durch gekennzeichnet, daß es zumindest zwei erste Steuer
einheiten (14, 54) zum Steuern von zumindest zwei sicher
heitskritischen Prozessen (28, 30) aufweist.
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19928517A DE19928517C2 (de) | 1999-06-22 | 1999-06-22 | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| AU64283/00A AU6428300A (en) | 1999-06-22 | 2000-06-21 | Control system for controlling security-critical processes |
| AT00951288T ATE237150T1 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
| DE50001721T DE50001721D1 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
| EP00951288.0A EP1188096B2 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
| PCT/EP2000/005763 WO2000079353A1 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
| JP2001505255A JP4480311B2 (ja) | 1999-06-22 | 2000-06-21 | プロセス制御システム |
| US10/029,894 US6532508B2 (en) | 1999-06-22 | 2001-12-21 | Control system for controlling safety-critical processes |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE19928517A DE19928517C2 (de) | 1999-06-22 | 1999-06-22 | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE19928517A1 true DE19928517A1 (de) | 2001-01-11 |
| DE19928517C2 DE19928517C2 (de) | 2001-09-06 |
Family
ID=7912117
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE19928517A Expired - Lifetime DE19928517C2 (de) | 1999-06-22 | 1999-06-22 | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| DE50001721T Expired - Lifetime DE50001721D1 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE50001721T Expired - Lifetime DE50001721D1 (de) | 1999-06-22 | 2000-06-21 | Steuerungssystem zum steuern von sicherheitskritischen prozessen |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US6532508B2 (de) |
| EP (1) | EP1188096B2 (de) |
| JP (1) | JP4480311B2 (de) |
| AT (1) | ATE237150T1 (de) |
| AU (1) | AU6428300A (de) |
| DE (2) | DE19928517C2 (de) |
| WO (1) | WO2000079353A1 (de) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004013585A1 (de) * | 2002-07-26 | 2004-02-12 | Endress + Hauser Gmbh + Co. Kg | Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse |
| WO2004097539A1 (de) * | 2003-05-02 | 2004-11-11 | Pilz Gmbh & Co. | Verfahren und vorrichtung zum steuern eines sicherheitskritischen prozesses |
| WO2006008257A1 (de) * | 2004-07-19 | 2006-01-26 | Siemens Aktiengesellschaft | Automatisierungssystem und ein-/ausgabebaugruppe für dasselbe |
| DE102005028685A1 (de) * | 2005-06-21 | 2006-12-28 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
| US7269465B2 (en) | 2003-11-18 | 2007-09-11 | Phoenix Contact Gmbh & Co. Kg | Control system for controlling safety-critical processes |
| EP1927914A2 (de) | 2006-11-28 | 2008-06-04 | Wago Verwaltungsgesellschaft mbH | Sicherheitsmodul und Automatisierungssystem |
| EP2026147A1 (de) | 2007-08-13 | 2009-02-18 | Siemens Aktiengesellschaft | Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät |
| EP2053476A2 (de) | 2007-10-22 | 2009-04-29 | Phoenix Contact GmbH & Co. KG | System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| DE102008060007A1 (de) | 2008-11-25 | 2010-05-27 | Pilz Gmbh & Co. Kg | Verfahren zum Übertragen von Daten in einem automatisierten Steuerungssystem |
| DE102009026124A1 (de) * | 2009-07-07 | 2011-01-13 | Elan Schaltelemente Gmbh & Co. Kg | Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale |
| WO2011060872A3 (de) * | 2009-11-23 | 2011-07-14 | Abb Ag | Sicherheitsmodul für ein automatisierungsgerät |
| EP2302472A3 (de) * | 2009-09-23 | 2012-11-14 | Phoenix Contact GmbH & Co. KG | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| US8923286B2 (en) | 2009-09-23 | 2014-12-30 | Phoenix Contact Gmbh & Co. Kg | Method and apparatus for safety-related communication in a communication network of an automation system |
| WO2017182671A1 (de) * | 2016-04-22 | 2017-10-26 | Beckhoff Automation Gmbh | Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems |
| EP1589386B1 (de) | 2004-04-16 | 2018-01-10 | Sick Ag | Prozesssteuerung |
| EP3170082A4 (de) * | 2014-07-15 | 2018-05-30 | Honeywell International Inc. | Partielle redundanz für e/a-module oder kanäle in verteilten steuerungssystemen |
| WO2018206183A1 (de) * | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität |
| EP3270238B1 (de) | 2016-07-13 | 2020-05-20 | Siemens Aktiengesellschaft | Verfahren zur steuerung eines antriebs |
| DE102019207220A1 (de) * | 2019-05-17 | 2020-11-19 | Baumüller Nürnberg GmbH | Verfahren zum Betrieb eines Feldbusses |
| WO2021063743A1 (de) * | 2019-10-01 | 2021-04-08 | Baumüller Nürnberg GmbH | Verfahren zur sicheren kommunikation zwischen einem master und einem slave eines bussystems |
| WO2021234013A1 (de) * | 2020-05-19 | 2021-11-25 | Beckhoff Automation Gmbh | Protokollumsetzer und automatisierungssystem |
Families Citing this family (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10108962A1 (de) * | 2001-02-20 | 2002-09-12 | Pilz Gmbh & Co | Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung |
| DE10119791B4 (de) * | 2001-04-23 | 2006-11-02 | Siemens Ag | Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem |
| CN1259601C (zh) * | 2001-05-31 | 2006-06-14 | 欧姆龙株式会社 | 从动设备、网络系统、从动设备的处理方法及设备信息收集方法 |
| DE60225443T2 (de) * | 2001-05-31 | 2009-03-26 | Omron Corp. | Sicherheitseinheit, steuerungsverkettungsverfahren, steuerungssystemsteuerverfahren und steuerungssystemüberwachungsverfahren |
| JP4569838B2 (ja) * | 2001-05-31 | 2010-10-27 | オムロン株式会社 | コントローラシステムの設定方法並びにコントローラシステムのモニタ方法 |
| JP4492635B2 (ja) * | 2001-05-31 | 2010-06-30 | オムロン株式会社 | 安全コントローラ及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法 |
| US7472106B2 (en) * | 2001-06-22 | 2008-12-30 | Omron Corporation | Safety network system and safety slave |
| US7076311B2 (en) * | 2002-07-09 | 2006-07-11 | Rockwell Automation Technologies, Inc. | Configurable safety system for implementation on industrial system and method of implementing same |
| US7289861B2 (en) * | 2003-01-28 | 2007-10-30 | Fisher-Rosemount Systems, Inc. | Process control system with an embedded safety system |
| DE10240584A1 (de) * | 2002-08-28 | 2004-03-11 | Pilz Gmbh & Co. | Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche |
| DE10261452B4 (de) * | 2002-12-31 | 2011-02-03 | Danfoss Drives A/S | Motorsteuerung mit einer Steuereinrichtung und einer Sicherheitsvorrichtung zum sicheren Abschalten eines Motors |
| DE10325263B4 (de) * | 2003-06-03 | 2013-09-19 | Phoenix Contact Gmbh & Co. Kg | Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen |
| DE10330916A1 (de) * | 2003-07-04 | 2005-02-03 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zum automatisierten Steuern eines Betriebsablaufs bei einer technischen Anlage |
| US7610119B2 (en) * | 2003-07-08 | 2009-10-27 | Omron Corporation | Safety controller and system using same |
| JP2007508197A (ja) * | 2003-10-17 | 2007-04-05 | フオルクスヴアーゲン アクチエンゲゼルシヤフト | 自動車用の乗員保護システム |
| US7149655B2 (en) * | 2004-06-18 | 2006-12-12 | General Electric Company | Methods and apparatus for safety controls in industrial processes |
| DE102004039932A1 (de) | 2004-08-17 | 2006-03-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse |
| US7453677B2 (en) * | 2004-10-06 | 2008-11-18 | Teknic, Inc. | Power and safety control hub |
| DE102005009707A1 (de) * | 2005-03-03 | 2006-09-07 | Dr. Johannes Heidenhain Gmbh | Modulares numerisches Steuergerät |
| DE102005010820C5 (de) * | 2005-03-07 | 2014-06-26 | Phoenix Contact Gmbh & Co. Kg | Kopplung von sicheren Feldbussystemen |
| US8055814B2 (en) * | 2005-03-18 | 2011-11-08 | Rockwell Automation Technologies, Inc. | Universal safety I/O module |
| JP4903201B2 (ja) | 2005-06-23 | 2012-03-28 | ヒルシャー ゲゼルシャフト フュア ジステームアウトマツィオーン ミット ベシュレンクテル ハフツング | オープンなオートメーションシステムのバス加入機器のデータ通信方法 |
| DE102005029655A1 (de) * | 2005-06-23 | 2006-12-28 | Hilscher Gesellschaft für Systemautomation mbH | Verfahren und Vorrichtung zur Synchronisation von untereinander über einen seriellen Datenbus kommunizierenden Busteilnehmern eines Automatisierungssystems |
| JP4619231B2 (ja) * | 2005-07-29 | 2011-01-26 | 株式会社ジェイテクト | 安全plc |
| DE502006002266D1 (de) | 2006-08-10 | 2009-01-15 | Sick Ag | Prozesssteuerung |
| DE102006054124B4 (de) | 2006-11-15 | 2009-05-28 | Phoenix Contact Gmbh & Co. Kg | Verfahren und System zur sicheren Datenübertragung |
| US7918374B2 (en) | 2007-01-29 | 2011-04-05 | Halex/Scott Fetzer Company | Portable fastener driving device |
| DE102007032845B4 (de) | 2007-07-12 | 2009-05-20 | Systeme Helmholz Gmbh | Feldbus-Stecker mit integriertem bidirektionalen Bus-Repeater zur Kopplung von Bus-Teilnehmern und Verfahren hierzu |
| JP4941748B2 (ja) * | 2007-07-19 | 2012-05-30 | 横河電機株式会社 | 安全制御システム |
| DE102007063291A1 (de) * | 2007-12-27 | 2009-07-02 | Robert Bosch Gmbh | Sicherheitssteuerung |
| CN102460322A (zh) * | 2009-05-20 | 2012-05-16 | Skf公司 | 用于关键任务的检验过的一类数据处理部件 |
| ATE540343T1 (de) * | 2009-10-23 | 2012-01-15 | Sick Ag | Sicherheitssteuerung |
| DE102009054157C5 (de) * | 2009-11-23 | 2014-10-23 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
| AT509310B1 (de) * | 2009-12-16 | 2015-10-15 | Bachmann Gmbh | Verfahren zum betrieb einer speicherprogrammierbaren steuerung (sps) mit dezentraler, autonomer ablaufsteuerung |
| US8514054B2 (en) | 2010-01-22 | 2013-08-20 | Aramark Uniform & Career Apparell Group, Inc. | Personnel key tracking system |
| EP2660670A4 (de) * | 2010-12-28 | 2018-03-07 | Hitachi, Ltd. | Bewegungssteuerung |
| JP5777565B2 (ja) * | 2012-05-21 | 2015-09-09 | 三菱電機株式会社 | プラント監視制御装置 |
| EP2767877B1 (de) | 2013-02-13 | 2016-07-06 | Phoenix Contact GmbH & Co. KG | Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus |
| TWI642028B (zh) * | 2013-03-15 | 2018-11-21 | 辛波提克有限責任公司 | 具有整合式受保護的人員接觸區及遠端漫遊機關機之運送系統及自動化儲存和取放系統 |
| EP2835699B1 (de) * | 2013-08-09 | 2015-05-06 | Sick Ag | Vorrichtung und Verfahren zum Konfigurieren und/oder Programmieren einer Sicherheitssteuerung |
| US10073431B2 (en) | 2014-04-24 | 2018-09-11 | Mitsubishi Electric Corporation | PLC unit and programmable logic controller |
| DE102014112704B3 (de) | 2014-09-03 | 2015-12-03 | Phoenix Contact Gmbh & Co. Kg | Netzwerksystem und Netzwerkteilnehmer zur Datenübertragung über eine Cloud-Infrastruktur und Verfahren zur Einrichtung |
| DE102016220197A1 (de) * | 2016-10-17 | 2018-04-19 | Robert Bosch Gmbh | Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug |
| JP6969371B2 (ja) * | 2017-12-28 | 2021-11-24 | オムロン株式会社 | 制御システムおよび制御装置 |
| AT521134B1 (de) * | 2018-04-20 | 2019-11-15 | Engel Austria Gmbh | Industrieanlage |
| US11531381B2 (en) | 2018-09-28 | 2022-12-20 | Fisher-Rosemount Systems, Inc. | Smart functionality for discrete field devices and signals |
| EP3647889A1 (de) | 2018-10-31 | 2020-05-06 | Siemens Aktiengesellschaft | Fehlersichere sequenzkontrolle von prozessen |
| JP7087951B2 (ja) * | 2018-11-22 | 2022-06-21 | オムロン株式会社 | 制御システム、制御方法、ドライブ装置 |
| EP3876051B1 (de) * | 2020-03-05 | 2023-08-02 | United Barcode Systems, S.L. | Drucksystem und feldvorrichtungssteuereinheit für ein drucksystem |
| US11726933B2 (en) * | 2021-06-16 | 2023-08-15 | Fisher-Rosemount Systems, Inc. | I/O server services configured to facilitate control in a process control environment by containerized controller services |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4416795C2 (de) * | 1994-05-06 | 1996-03-21 | Mannesmann Ag | Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb |
| DE19619886A1 (de) * | 1996-05-17 | 1997-11-20 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage mit teilweise redundantem Bussystem |
| DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| DE19754769A1 (de) * | 1997-11-28 | 1999-06-02 | Siemens Ag | Feldbus-System für sicherheitsgerichtete Anwendungen |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3810177C2 (de) * | 1988-03-25 | 1999-06-17 | Bosch Gmbh Robert | Rundfunkempfänger, insbesondere Fahrzeugempfänger |
| EP0601216A1 (de) * | 1992-11-13 | 1994-06-15 | Siemens Aktiengesellschaft | Serielles Nachrichtenübertragungsverfahren |
| WO1994012923A2 (en) * | 1992-11-30 | 1994-06-09 | Base 10 Systems, Inc. | A safety critical processor and processing method for a data processing system |
| DE4433103A1 (de) | 1994-09-16 | 1996-03-21 | Fraunhofer Ges Forschung | Schallabsorbierendes Bauteil |
| US5553237A (en) * | 1994-12-13 | 1996-09-03 | Base Ten Systems, Inc. | Safety critical monitoring of microprocessor controlled embedded systems |
| DE19612423A1 (de) * | 1996-03-28 | 1997-10-02 | Siemens Ag | Steuer- und Sicherheitssystem für Krananlagen |
| DE29617686U1 (de) * | 1996-10-11 | 1996-11-28 | Festo Kg, 73734 Esslingen | Feldbusanordnung |
| DE19715810A1 (de) * | 1997-04-16 | 1998-10-22 | Bayerische Motoren Werke Ag | Datenbus für Fahrzeuge mit mehreren Teilnehmern |
| DE29718102U1 (de) * | 1997-10-13 | 1997-11-27 | EUCHNER GmbH + Co., 70771 Leinfelden-Echterdingen | Sicherheitsfeldbus-Modul |
| DE19857683B4 (de) | 1998-12-14 | 2007-06-28 | Wratil, Peter, Dr. | Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen |
| DE19860358B4 (de) | 1998-12-24 | 2008-05-08 | Wratil, Peter, Dr. | Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen |
| DE19904892B4 (de) | 1999-02-06 | 2008-06-12 | Wratil, Peter, Dr. | Verfahren zur Fehlerunterdrückung bei Eingabeeinheiten in Steuerungseinrichtungen |
| DE19904894B4 (de) | 1999-02-06 | 2005-09-29 | Wratil, Peter, Dr. | Verfahren zur Slave-Slave-Kommunikation in einem ringförmigen Lokalen Netz |
| DE19904893B4 (de) | 1999-02-06 | 2007-10-18 | Wratil, Peter, Dr. | Verfahren zur Fehlerunterdrückung bei Steuerungseinrichtungen durch eine intelligente Überwachungseinheit |
| DE19922561A1 (de) † | 1999-05-17 | 2000-11-23 | Sick Ag | Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem |
| DE19927635B4 (de) † | 1999-06-17 | 2009-10-15 | Phoenix Contact Gmbh & Co. Kg | Sicherheitsbezogenes Automatisierungsbussystem |
-
1999
- 1999-06-22 DE DE19928517A patent/DE19928517C2/de not_active Expired - Lifetime
-
2000
- 2000-06-21 JP JP2001505255A patent/JP4480311B2/ja not_active Expired - Lifetime
- 2000-06-21 WO PCT/EP2000/005763 patent/WO2000079353A1/de active IP Right Grant
- 2000-06-21 AU AU64283/00A patent/AU6428300A/en not_active Abandoned
- 2000-06-21 DE DE50001721T patent/DE50001721D1/de not_active Expired - Lifetime
- 2000-06-21 AT AT00951288T patent/ATE237150T1/de not_active IP Right Cessation
- 2000-06-21 EP EP00951288.0A patent/EP1188096B2/de not_active Expired - Lifetime
-
2001
- 2001-12-21 US US10/029,894 patent/US6532508B2/en not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE4416795C2 (de) * | 1994-05-06 | 1996-03-21 | Mannesmann Ag | Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb |
| DE19619886A1 (de) * | 1996-05-17 | 1997-11-20 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage mit teilweise redundantem Bussystem |
| DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| DE19754769A1 (de) * | 1997-11-28 | 1999-06-02 | Siemens Ag | Feldbus-System für sicherheitsgerichtete Anwendungen |
Cited By (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004013585A1 (de) * | 2002-07-26 | 2004-02-12 | Endress + Hauser Gmbh + Co. Kg | Vorrichtung zur bestimmung und/oder überwachung einer physikalischen oder chemischen prozessgrösse |
| WO2004097539A1 (de) * | 2003-05-02 | 2004-11-11 | Pilz Gmbh & Co. | Verfahren und vorrichtung zum steuern eines sicherheitskritischen prozesses |
| US7715932B2 (en) | 2003-05-02 | 2010-05-11 | Pilz Gmbh & Co. | Method and apparatus for controlling a safety-critical process |
| EP1533673A3 (de) * | 2003-11-18 | 2009-04-01 | Phoenix Contact GmbH & Co. KG | Steuerungssystem |
| US7269465B2 (en) | 2003-11-18 | 2007-09-11 | Phoenix Contact Gmbh & Co. Kg | Control system for controlling safety-critical processes |
| DE10353950C5 (de) * | 2003-11-18 | 2013-10-24 | Phoenix Contact Gmbh & Co. Kg | Steuerungssystem |
| EP1589386B1 (de) | 2004-04-16 | 2018-01-10 | Sick Ag | Prozesssteuerung |
| WO2006008257A1 (de) * | 2004-07-19 | 2006-01-26 | Siemens Aktiengesellschaft | Automatisierungssystem und ein-/ausgabebaugruppe für dasselbe |
| DE102005028685A1 (de) * | 2005-06-21 | 2006-12-28 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
| DE202005021479U1 (de) | 2005-06-21 | 2008-09-04 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
| DE102005028685B4 (de) * | 2005-06-21 | 2007-06-06 | Wago Verwaltungsgesellschaft Mbh | Buskopplungsvorrichtung für sicherheitszertifizierbare Anwendungen |
| EP1927914A2 (de) | 2006-11-28 | 2008-06-04 | Wago Verwaltungsgesellschaft mbH | Sicherheitsmodul und Automatisierungssystem |
| US7783814B2 (en) | 2006-11-28 | 2010-08-24 | Wago Verwaltungsgesellschaft Mbh | Safety module and automation system |
| EP2026147A1 (de) | 2007-08-13 | 2009-02-18 | Siemens Aktiengesellschaft | Verfahren zum Übermitteln von Telegrammen zwischen einer Steuereinrichtung und einem Peripherieelement über ein Zwischengerät |
| US8516169B2 (en) | 2007-08-13 | 2013-08-20 | Siemens Aktiengesellschaft | Method for transmitting telegrams between a control device and a peripheral element via an intermediate device |
| DE102007050708B4 (de) * | 2007-10-22 | 2009-08-06 | Phoenix Contact Gmbh & Co. Kg | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| EP2053476A3 (de) * | 2007-10-22 | 2010-06-09 | Phoenix Contact GmbH & Co. KG | System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| EP2897008A1 (de) | 2007-10-22 | 2015-07-22 | PHOENIX CONTACT GmbH & Co. KG | System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| DE102007050708A1 (de) | 2007-10-22 | 2009-06-04 | Phoenix Contact Gmbh & Co. Kg | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| US8549136B2 (en) | 2007-10-22 | 2013-10-01 | Phoenix Contact Gmbh & Co. Kg | System for operating at least one non-safety-critical and at least one safety-critical process |
| EP2053476A2 (de) | 2007-10-22 | 2009-04-29 | Phoenix Contact GmbH & Co. KG | System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses |
| WO2010060571A1 (de) * | 2008-11-25 | 2010-06-03 | Pilz Gmbh & Co. Kg | Verfahren zum übertragen von daten in einem automatisierten steuerungssystem |
| DE102008060007A1 (de) | 2008-11-25 | 2010-05-27 | Pilz Gmbh & Co. Kg | Verfahren zum Übertragen von Daten in einem automatisierten Steuerungssystem |
| US9519283B2 (en) | 2008-11-25 | 2016-12-13 | Pilz Gmbh & Co. Kg | Method and apparatus for transmitting data in an automated control system |
| DE102009026124A1 (de) * | 2009-07-07 | 2011-01-13 | Elan Schaltelemente Gmbh & Co. Kg | Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale |
| EP2302472A3 (de) * | 2009-09-23 | 2012-11-14 | Phoenix Contact GmbH & Co. KG | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| US8923286B2 (en) | 2009-09-23 | 2014-12-30 | Phoenix Contact Gmbh & Co. Kg | Method and apparatus for safety-related communication in a communication network of an automation system |
| US9104190B2 (en) | 2009-11-23 | 2015-08-11 | Abb Ag | Safety module for an automation device |
| WO2011060872A3 (de) * | 2009-11-23 | 2011-07-14 | Abb Ag | Sicherheitsmodul für ein automatisierungsgerät |
| EP3170082A4 (de) * | 2014-07-15 | 2018-05-30 | Honeywell International Inc. | Partielle redundanz für e/a-module oder kanäle in verteilten steuerungssystemen |
| US11012256B2 (en) | 2016-04-22 | 2021-05-18 | Beckhoff Automation Gmbh | Connection unit, monitoring system and method for operating an automation system |
| CN109074044A (zh) * | 2016-04-22 | 2018-12-21 | 倍福自动化有限公司 | 连接单元、监控系统和操作自主化系统的方法 |
| EP3353610B1 (de) | 2016-04-22 | 2019-03-20 | Beckhoff Automation GmbH | Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems |
| WO2017182671A1 (de) * | 2016-04-22 | 2017-10-26 | Beckhoff Automation Gmbh | Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems |
| EP3270238B1 (de) | 2016-07-13 | 2020-05-20 | Siemens Aktiengesellschaft | Verfahren zur steuerung eines antriebs |
| WO2018206183A1 (de) * | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität |
| CN110799912A (zh) * | 2017-05-09 | 2020-02-14 | Abb股份公司 | 具有主导-从属-功能性的安全关键和非安全关键的过程控制系统 |
| US11487265B2 (en) | 2017-05-09 | 2022-11-01 | Abb Ag | Systems and methods for simultaneous control of safety-critical and non-safety-critical processes in automation systems using master-minion functionality |
| DE102019207220A1 (de) * | 2019-05-17 | 2020-11-19 | Baumüller Nürnberg GmbH | Verfahren zum Betrieb eines Feldbusses |
| WO2021063743A1 (de) * | 2019-10-01 | 2021-04-08 | Baumüller Nürnberg GmbH | Verfahren zur sicheren kommunikation zwischen einem master und einem slave eines bussystems |
| WO2021234013A1 (de) * | 2020-05-19 | 2021-11-25 | Beckhoff Automation Gmbh | Protokollumsetzer und automatisierungssystem |
| US11778073B2 (en) | 2020-05-19 | 2023-10-03 | Beckhoff Automation Gmbh | Protocol converter and automation system |
Also Published As
| Publication number | Publication date |
|---|---|
| AU6428300A (en) | 2001-01-09 |
| EP1188096A1 (de) | 2002-03-20 |
| JP4480311B2 (ja) | 2010-06-16 |
| US6532508B2 (en) | 2003-03-11 |
| ATE237150T1 (de) | 2003-04-15 |
| EP1188096B2 (de) | 2015-04-08 |
| EP1188096B1 (de) | 2003-04-09 |
| DE19928517C2 (de) | 2001-09-06 |
| JP2003502770A (ja) | 2003-01-21 |
| US20020126620A1 (en) | 2002-09-12 |
| DE50001721D1 (de) | 2003-05-15 |
| WO2000079353A1 (de) | 2000-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE19928517C2 (de) | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen | |
| EP1631014B1 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse | |
| DE10353950C5 (de) | Steuerungssystem | |
| DE102009042368B4 (de) | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen | |
| DE19742716C5 (de) | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten | |
| EP1192511B1 (de) | Sicherheitsbezogenes automatisierungsbussystem | |
| DE102009042354C5 (de) | Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage | |
| EP1589386A1 (de) | Prozesssteuerung | |
| EP1701270A1 (de) | Kopplung von sicheren Feldbussystemen | |
| EP1054309B1 (de) | Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem | |
| DE10330916A1 (de) | Vorrichtung und Verfahren zum automatisierten Steuern eines Betriebsablaufs bei einer technischen Anlage | |
| EP1811722B1 (de) | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht | |
| DE102007050708A1 (de) | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses | |
| DE102017109886A1 (de) | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität | |
| EP1985070B1 (de) | Verfahren und vorrichtung zur busankopplung sicherheitsrelevanter prozesse | |
| WO2015113994A1 (de) | Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last | |
| DE19840562A1 (de) | Sicherheitsbezogenes Steuer- und Datenübertragungssystem | |
| EP2942686B1 (de) | Steuerungs- und datenübertragungssystem zum übertragen von sicherheitsbezogenen daten über ein kommunikationsmedium | |
| DE102005007477B4 (de) | Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung | |
| DE102006007844A1 (de) | Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse | |
| EP0984344B1 (de) | System zur Verkabelung einer Steuer- und Datenübertragungsanlage | |
| DE19758994B3 (de) | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| OP8 | Request for examination as to paragraph 44 patent law | ||
| D2 | Grant after examination | ||
| 8363 | Opposition against the patent | ||
| 8365 | Fully valid after opposition proceedings | ||
| R071 | Expiry of right |