DE19939567A1 - Vorrichtung zum Steuern von sicherheitskritischen Prozessen - Google Patents

Vorrichtung zum Steuern von sicherheitskritischen Prozessen

Info

Publication number
DE19939567A1
DE19939567A1 DE19939567A DE19939567A DE19939567A1 DE 19939567 A1 DE19939567 A1 DE 19939567A1 DE 19939567 A DE19939567 A DE 19939567A DE 19939567 A DE19939567 A DE 19939567A DE 19939567 A1 DE19939567 A1 DE 19939567A1
Authority
DE
Germany
Prior art keywords
units
signal
unit
telegram
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19939567A
Other languages
English (en)
Other versions
DE19939567B4 (de
Inventor
Roland Rupp
Klaus Wohnhaas
Hans Schwenkel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to DE19939567A priority Critical patent/DE19939567B4/de
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Priority to DE50003944T priority patent/DE50003944D1/de
Priority to AT00954449T priority patent/ATE251317T1/de
Priority to PCT/EP2000/006483 priority patent/WO2001014940A1/de
Priority to JP2001519239A priority patent/JP4480313B2/ja
Priority to EP00954449A priority patent/EP1221075B1/de
Priority to AU66902/00A priority patent/AU6690200A/en
Publication of DE19939567A1 publication Critical patent/DE19939567A1/de
Priority to US10/072,558 priority patent/US6832343B2/en
Application granted granted Critical
Publication of DE19939567B4 publication Critical patent/DE19939567B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Programmable Controllers (AREA)
  • Air Bags (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)

Abstract

Die vorliegende Erfindung beschreibt eine Vorrichtung (10) zum Steuern von sicherheitskritischen Prozessen (28, 30, 32), mit zumindest einer sicheren Steuerungseinheit (12, 14) zum Steuern des sicherheitskritischen Prozesses (28, 30, 32) und mit zumindest zwei sicheren Signaleinheiten (18, 20, 22, 24), die über E/A-Kanäle (26) mit den sicherheitskritischen Prozessen (28, 30, 32) verbunden sind. Dabei sind die sichere Steuerungseinheit (12, 14) und die sicheren Signaleinheiten (18, 20, 22, 24) an einen gemeinsamen Feldbus (16) angeschlossen. Die sicheren Signaleinheiten (18, 20, 22, 24) kommunizieren im Steuerungsbetrieb der Vorrichtung (10) mit der sicheren Steuerungseinheit (12, 14), nicht jedoch miteinander. Die Erfindung ist dadurch gekennzeichnet, daß die sicheren Signaleinheiten (18, 20, 22, 24) Auswertemittel (52a, 52b) zum Auswerten eines allgemein über den Feldbus (16) übertragenen Fehlertelegramms (92) sowie Schaltmittel (54a, 54b) aufweisen, die den sicherheitskritischen Prozeß (28, 30, 32) bei einem als relevant ausgewerteten Fehlertelegramm (92) eigenständig in einen sicheren Zustand überführen (Fig. 2).

Description

Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern von sicherheitskritischen Prozessen, mit einer sicheren Steue­ rungseinheit zum Steuern der sicherheitskritischen Prozesse und mit zumindest zwei sicheren Signaleinheiten, die über E/A- Kanäle mit den sicherheitskritischen Prozessen verbunden sind, wobei die sichere Steuerungseinheit und die sicheren Signalein­ heiten an einen gemeinsamen Feldbus angeschlossen sind und wo­ bei die sicheren Signaleinheiten im Steuerungsbetrieb der Vor­ richtung mit der sicheren Steuerungseinheit, nicht jedoch mit­ einander kommunizieren.
Eine derartige Vorrichtung ist aus der DE-A-197 42 716 bekannt.
Bei einem Feldbus handelt es sich um ein System zur Daten­ kommunikation, bei dem die angeschlossenen Einheiten über eine Sammelleitung miteinander verbunden sind. Daher können zwei an den Feldbus angeschlossene Einheiten miteinander kommunizieren, ohne individuell direkt miteinander verkabelt zu sein. Beispie­ le für bekannte Feldbusse sind der sogenannte CAN-Bus, der so­ genannte Profibus und der sogenannte Interbus.
Im Bereich der Steuer- und Automatisierungstechnik ist die Ver­ wendung von Feldbussen bereits seit längerem hinreichend be­ kannt. Dies gilt jedoch nicht für die Steuerung von sicher­ heitskritischen Prozessen, bei denen in der Praxis bis in die jüngste Vergangenheit hinein die an der Steuerung beteiligten Einheiten individuell miteinander verkabelt wurden. Grund hier­ für ist, daß die bekannten Feldbusse die zur Steuerung von si­ cherheitskritischen Prozessen erforderliche Fehlersicherheit (Fehlerwahrscheinlichkeit kleiner als 10-11) nicht gewährleisten konnten. Zwar besitzen alle bekannten Feldbusse Maßnahmen zur Fehlersicherung bei der Datenübertragung, diese Maßnahmen sind jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu gewährleisten. Hinzu kommt, daß Feldbusse offene System sind, an die grundsätzlich beliebige Einheiten angeschlossen werden können. Dabei besteht die Gefahr, daß eine Einheit, die mit ei­ nem zu steuernden sicherheitskritischen Prozeß gar nichts zu tun hat, diesen ungewollt beeinflußt.
Unter einem sicherheitskritischen Prozeß wird hier ein Prozeß verstanden, von dem bei Auftreten eines Fehlers eine nicht ak­ zeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei einem sicherheitskritischen Prozeß muß daher mit im Idealfall 100%iger Sicherheit gewährleistet sein, daß der Prozeß bei Auf­ treten eines Fehlers in einen sicheren Zustand überführt wird. Dies kann bei einer Maschinenanlage beinhalten, daß die Anlage abgeschaltet wird. Bei einem chemischen Produktionsprozeß könn­ te ein Abschalten jedoch eine unkontrollierte Reaktion hervor­ rufen, so daß in einem solchen Fall der Prozeß besser in einen unkritischen Parameterbereich gefahren wird.
Sicherheitskritische Prozesse können auch Teilprozesse von grö­ ßeren, übergeordneten Gesamtprozessen sein. Bei einer hydrauli­ schen Presse kann beispielsweise die Materialzuführung ein nicht-sicherheitskritischer Teilprozeß, das Inbetriebnehmen des Preßwerkzeugs dagegen ein sicherheitskritischer Teilprozeß sein. Weitere Beispiele für sicherheitskritische (Teil-)Pro­ zesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zwei-Hand-Schaltern oder die Überwachung und Auswertung eines Not-Aus-Schalters.
Die an der Steuerung eines sicherheitskritischen Prozesses be­ teiligten Einheiten müssen über ihre eigentliche Funktion hin­ ausgehende, sicherheitsbezogene Einrichtungen aufweisen. Diese dienen vor allem der Fehler- und Funktionsüberwachung. In der Regel sind derartige Einheiten redundant aufgebaut, um eine si­ chere Funktion auch bei Auftreten eines Fehlers zu gewährlei­ sten. Einheiten mit derartigen sicherheitsbezogenen Maßnahmen werden nachfolgend im Unterschied zu "normalen" Einheiten als sicher bezeichnet.
Als Steuerungseinheit im Sinne der vorliegenden Erfindung wer­ den Einheiten bezeichnet, die eine gewisse Intelligenz zur Steuerung eines Prozesses besitzen. In der Fachterminologie werden solche Steuerungseinheiten häufig als Client bezeichnet.
Sie erhalten Daten und/oder Signale, die Zustandsgrößen der ge­ steuerten Prozesse repräsentieren und aktivieren in Abhängig­ keit von diesen Informationen Aktoren, die den zu steuernden Prozeß beeinflussen. Üblicherweise ist die Intelligenz in Form eines veränderbaren Anwenderprogramms in einem Speicher der Steuerungseinheiten niedergelegt. In der Regel werden als Steuerungseinheiten sogenannte SPS (Speicher Programmierbare Steuerungen) verwendet.
Eine Signaleinheit ist demgegenüber ein Baustein, der im we­ sentlichen Ein- und Ausgangskanäle (E/A-Kanäle) bereitstellt, an die einerseits Sensoren zur Aufnahme von Prozeßgrößen und andererseits Aktoren angeschlossen werden können. Eine Si­ gnaleinheit besitzt keine Intelligenz in Form eines veränderba­ ren Anwenderprogramms und sie besitzt daher auch nicht die Fä­ higkeit, eine Maschine oder einen Prozeß eigenständig zu steu­ ern. Allenfalls kann beim Auftreten eines Fehlers eine Notab­ schaltung eigenständig ausgeführt werden. Eine Signaleinheit ist an sich nur dazu vorgesehen, einen von einer räumlich ent­ fernten Steuerungseinheit empfangenen Befehl vor Ort auszufüh­ ren. Hierzu kann die Signaleinheit ein Programm in Form eines Betriebssystems besitzen. Dieses ist jedoch vom Anwender nicht ohne Eingriff in die Hardware der Signaleinheit veränderbar. Signaleinheiten werden in der Fachterminologie üblicherweise als Server bezeichnet.
In der eingangs genannten DE-A-197 42 716 ist eine Vorrichtung zum Steuern von sicherheitskritischen Prozessen, wie beispiels­ weise die Überwachung eines Schutzgitters, beschrieben. Die be­ kannte Vorrichtung besitzt eine Steuerungseinheit sowie bei­ spielhaft drei Signaleinheiten, die über einen Feldbus mitein­ ander verbunden sind. Sowohl die Steuerungseinheit als auch die Signaleinheiten weisen sicherheitsbezogene Einrichtungen zum Ausführen von vorbestimmten Sicherheitsfunktionen auf. Es han­ delt sich daher ganz allgemein um sichere Einheiten im Sinne der vorliegenden Erfindung.
Bei der bekannten Vorrichtung wird beim Auftreten eines Fehlers der zu steuernde Prozeß in einen sicheren Zustand überführt. Das Schaltsignal, mit dem diese Aktion eingeleitet wird, kann einerseits von der übergeordneten Steuerungseinheit und ande­ rerseits im Bereich derjenigen Signaleinheit ausgelöst werden, bei der der Fehler auftritt.
Bei der bekannten Vorrichtung ist es jedoch nicht möglich, daß eine erste Signaleinheit, in deren Bereich ein Fehler auftritt, andere an den Feldbus angeschlossene Signaleinheiten dazu ver­ anlaßt, die dort verbundenen Prozesse ebenfalls abzuschalten bzw. in einen sicheren Zustand zu überführen. Wenn mehrere Pro­ zesse, die über verschiedene Signaleinheiten angesteuert wer­ den, in einen sicheren Zustand überführt werden müssen, ist es erforderlich, daß die Steuerungseinheit jeder der betroffenen Signaleinheiten einen entsprechenden individuellen Steuerungs­ befehl übermittelt. Der Grund hierfür liegt darin, daß die be­ kannten Signaleinheiten keine Intelligenz besitzen, aufgrund der sie in der Lage wären, andere Signaleinheiten zu steuern.
Die bekannten Vorrichtungen besitzen daher den Nachteil, daß beim Auftreten eines Fehlers im Bereich einer Signaleinheit wertvolle Zeit vergehen kann, bevor sicherheitskritische Pro­ zesse, die mit anderen Signaleinheiten verbunden sind, in einen sicheren Zustand überführt werden können. Im einzelnen ist hier zunächst ein Datenaustausch zwischen der ersten Signaleinheit und der übergeordneten Steuerungseinheit und anschließend ein weiterer Datenaustausch zwischen der übergeordneten Steuerungs­ einheit und den weiteren betroffenen Signaleinheiten erforder­ lich. Bei den bekannten Vorrichtungen besteht daher die Gefahr, daß die Abschaltung eines Prozesses, der von einem Fehler nur mittelbar betroffenen ist, nicht schnell genug erfolgt.
Aus der DE-A-197 42 716 ist bekannt, daß eine Gesamtanlage mit zahlreichen Teilprozessen mit einer einzigen Signaleinheit vollständig abgeschaltet werden kann. Dabei bedient die ent­ sprechende Signaleinheit einen Zentralschalter, insbesondere unterbricht sie die Haupt-Stromzuführung. In diesem Fall kann zwar bei Auftreten eines Fehlers die gesamte Anlage schnell ab­ geschaltet werden, es ist dann jedoch nicht möglich, einzelne Teilprozesse davon situationsabhängig auszunehmen.
Bislang weisen die gattungsgemäßen Vorrichtungen jeweils nur eine Steuerungseinheit auf. Dies hat zur Folge, daß die Vor­ richtung insgesamt nicht mehr zur Verfügung steht, wenn die Steuerungseinheit ausfällt. Es ist jedoch wünschenswert, eine gattungsgemäße Vorrichtung auch in einem solchen Fall flexibel weiter betreiben zu können.
Darüber hinaus besteht bei Feldbus-Systemen das Problem, daß zu einem Zeitpunkt jeweils immer nur eine an den Feldbus ange­ schlossene Einheit senden kann. Es können somit Kollisionen auftreten, wenn zwei oder mehr Einheiten gleichzeitig senden wollen. Derartige Kollisionen werden bei den bekannten Feldbus- Systemen durch die Vergabe von Prioritäten gelöst. Im Einzel­ fall kann es aufgrund von Kollisionen jedoch vorkommen, daß ei­ ne Einheit mit niedriger Priorität sehr lange blockiert ist, d. h. keine Sendemöglichkeit erhält.
Bei nicht-sicheren Feldbus-Systemen wird dieses Problem dadurch gelöst, daß eine zulässige maximale Buslast von beispielsweise 50% festgelegt wird. Die Buslast ist dabei der Quotient zwi­ schen der Zeit, in der der Feldbus belegt ist, zu der Zeit, in der der Feldbus zur freien Verfügung steht. Wenn beispielsweise die Buslast unterhalb der festgelegten Grenze liegt, kann man annehmen, daß die angeschlossenen Einheiten im statistischen Mittel ausreichenden Zugriff auf den Feldbus erhalten.
Bei der Steuerung eines sicherheitskritischen Prozesses ist ei­ ne solche Lösung jedoch nicht ausreichend, da es im Einzelfall abweichend vom statistischen Mittel vorkommen kann, daß die entsprechende Einheit unzulässig lange blockiert ist.
Es ist Aufgabe der vorliegenden Erfindung, eine Vorrichtung der eingangs genannten Art anzugeben, mit der beim Auftreten eines Fehlers im Bereich einer Signaleinheit beliebige Kombinationen von Teilprozessen innerhalb einer Gesamtanlage möglichst schnell in einen sicheren Zustand überführt werden können.
Diese Aufgabe wird bei der eingangs genannten Vorrichtung da­ durch gelöst, daß die sicheren Signaleinheiten Auswertemittel aufweisen, die ein über den Feldbus allgemein übertragenes Feh­ lertelegramm auswerten, sowie Schaltmittel, die den sicher­ heitskritischen Prozeß bei einem als relevant ausgewerteten Fehlertelegramm eigenständig in einen sicheren Zustand über­ führen.
Im Unterschied zu den bisher bekannten Vorrichtungen besitzen die Signaleinheiten der vorliegenden Erfindung die Fähigkeit, eigenständig auf ein Fehlertelegramm zu reagieren, das allge­ mein über den Feldbus übertragen wird, das also nicht individu­ ell an sie gerichtet ist.
Eine eigenständige Reaktion der Signaleinheiten bedeutet, daß diese auch ohne einen individuell an sie gerichteten Steuer­ befehl von der übergeordneten Steuerungseinheit reagieren kön­ nen. Anschaulich gesprochen besitzen die Signaleinheiten der vorliegenden Erfindung daher eine gewisse Intelligenz, die in­ nerhalb ihres Betriebssystems und/oder ihrer Hardware abgelegt ist.
Die erfindungsgemäße Vorrichtung besitzt den Vorteil, daß die einzelnen Signaleinheiten aufgrund ihrer gewonnenen Intelligenz in der Lage sind, ein allgemein übertragenes Fehlertelegramm eigenständig auszuwerten. Dadurch können sie unabhängig von der übergeordneten Steuerungseinheit auf einen Fehler reagieren, der in einem anderen Bereich der Gesamtvorrichtung aufgetreten ist. Es ist demnach nicht mehr erforderlich, daß jede einzelne Signaleinheit einen individuellen Steuerbefehl zum Abschalten der mit ihr verbundenen sicherheitskritischen Prozesse erhält. Aufgrund dieser Maßnahme ist es möglich, beim Auftreten eines Fehlers mit einem einzigen Fehlertelegramm beliebige Kombina­ tionen von Teilprozessen gleichzeitig abzuschalten. Dies ist wesentlich schneller, als wenn jede der betroffenen Signalein­ heiten individuell von der übergeordneten Steuerungseinheit an­ gesprochen werden muß.
Die genannte Aufgabe ist daher vollständig gelöst.
In einer Ausgestaltung der Erfindung weist jede der Signal­ einheiten Sendemittel zum Versenden eines Fehlertelegramms an eine Vielzahl von Signaleinheiten auf.
Diese Maßnahme besitzt den Vorteil, daß jede der Signal­ einheiten in der Lage ist, beim Auftreten eines Fehlers in ih­ rem Bereich die übrigen am Feldbus angeschlossenen Signalein­ heiten direkt zu informieren. Da jede der Signaleinheiten dar­ über hinaus in der Lage ist, auf den Empfang eines Fehler­ telegramms hin eigenständig zu reagieren, können auf diese Wei­ se sicherheitskritischen Teilprozesse, die von dem Fehler be­ troffen sind, besonders schnell in einen sicheren Zustand über­ führt werden. Der besondere Vorteil dieser Maßnahme besteht darin, daß die übergeordnete Steuerungseinheit hier gar nicht mehr an der Kommunikation der Signaleinheiten beteiligt ist, d. h. die Signaleinheiten kommunizieren direkt miteinander ohne den Umweg über die Steuerungseinheit. Hierdurch wird ein be­ trächtlicher Zeitgewinn erreicht.
In einer weiteren Ausgestaltung der Erfindung sind die an den Feldbus angeschlossenen Signaleinheiten jeweils zumindest einer definierten Gruppe von Signaleinheiten zugeordnet, wobei die Auswertemittel jeder Signaleinheit das Fehlertelegramm auf sei­ ne Relevanz für die jeweils zugeordnete Gruppe hin auswerten.
Diese Maßnahme besitzt den Vorteil, daß die einzelnen Si­ gnaleinheiten sehr schnell feststellen können, ob ein Fehler, der im Bereich einer anderen Signaleinheit aufgetreten ist, ei­ ne Relevanz im Hinblick auf die eigenen sicherheitskritischen Prozesse besitzt. Infolgedessen kann jede der betroffenen Si­ gnaleinheiten besonders schnell auf ein allgemein versendetes Fehlertelegramm reagieren.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme sind in jedem Fehlertelegramm die vom Fehler betroffenen Grup­ pen codiert.
Diese Maßnahme besitzt den Vorteil, daß jede der Signal­ einheiten die Relevanz des Fehlertelegramms unmittelbar aus dem Fehlertelegramm selbst erkennen kann. Hierdurch ist eine noch­ mals beschleunigte Reaktion auf das Auftreten eines relevanten Fehlers möglich.
In einer weiteren Ausgestaltung der Erfindung besitzen Fehler­ telegramme innerhalb des Busprotokolls unabhängig von der Prio­ rität ihres Absenders die höchste Übertragungspriorität.
In dieser Ausgestaltung der Erfindung ist es einer Signal­ einheit unabhängig von der Buslast möglich, ein Fehlertelegramm unmittelbar nach dem Erkennen des Fehlers zu versenden. Dies gilt auch, wenn die Signaleinheit innerhalb der Struktur des Feldbusses nur eine untergeordnete Sendepriorität besitzt. An­ schaulich gesprochen, erhält hier jeder am Feldbus angeschlos­ sene Teilnehmer die Möglichkeit, ein Telegramm allerhöchster Priorität zu versenden. Hierdurch ist es möglich, andere an den Feldbus angeschlossene Einheiten besonders schnell über das Auftreten eines Fehlers auch in einem untergeordneten Bereich der Anlage zu informieren. Infolgedessen ist es möglich, auch auf scheinbar "kleine" Fehler sehr schnell zu reagieren. Dar­ über hinaus erhält jede Einheit hierdurch die Möglichkeit, ei­ nen Buszugriff auch bei höchster Buslast und unabhängig von ih­ rer Priorität zu erzwingen.
In einer weiteren Ausgestaltung der Erfindung werten die Aus­ wertemittel jeder Signaleinheit ein Fehlertelegramm ohne Ver­ senden eines Quittungstelegramms aus.
Diese Maßnahme stellt im Hinblick auf bekannte Vorrichtungen eine Besonderheit dar, da bei der Steuerung von sicherheitskri­ tischen Prozessen üblicherweise jedes versendete Telegramm zu­ nächst über ein Quittungstelegramm, das von der Empfangseinheit zur Sendeeinheit zurückgeschickt wird, bestätigt wird. Die Sen­ deeinheit reagiert auf das Ausbleiben eines Quittungstelegramms üblicherweise, indem sie die Datenverarbeitung der Empfangsein­ heit durch geeignete Maßnahmen unterbricht. Die genannte Maß­ nahme besitzt demgegenüber den Vorteil, daß eine Signaleinheit ein erhaltenes Fehlertelegramm ohne Zeitverzögerung direkt ver­ arbeiten kann, da in diesem Fall ausnahmsweise kein Quit­ tungstelegramm erforderlich ist. Aufgrund dieser Maßnahme kann die Reaktion auf das Auftreten eines Fehlers nochmals beschleu­ nigt werden.
In einer weiteren Ausgestaltung der Erfindung weist jede Si­ gnaleinheit eine Zeitüberwachung auf, die beim Ausbleiben eines erwarteten Ereignisses die Versendung eines Fehlertelegramms auslöst.
Die Maßnahme besitzt den Vorteil, daß hierdurch eine große Red­ undanz innerhalb der gesamten Vorrichtung erreicht wird, da je­ de an den Feldbus angeschlossene Signaleinheit die Einhaltung vorgegebener Zeitabläufe überwacht. Die genannte Maßnahme trägt daher zur Erhöhung der Sicherheit innerhalb der gesamten Vor­ richtung bei, da die gegenseitige Kontrolle "auf zahlreiche Schultern" verteilt wird.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme ist das erwartete Ereignis der Empfang eines Quittungstele­ gramms.
Diese Maßnahme besitzt den Vorteil, daß jede der an den Feldbus angeschlossenen Einheiten beim Versenden eines Telegramms auto­ matisch eine Fehlerüberprüfung der angesprochenen Einheiten durchführt. Hierdurch wird eine stetige und praktisch lückenlo­ se gegenseitige Kontrolle erreicht.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen ist das erwartete Ereignis der Empfang eines zyklisch versende­ ten Prüftelegramms.
Bei dem Prüftelegramm handelt es sich um eine Nachricht, die von einer Einheit, beispielsweise einer übergeordneten Steuer­ einheit, an andere an den Feldbus angeschlossene Einheiten ver­ sendet wird. Da ein solches Telegramm, wie bereits erläutert, durch ein Quittungstelegramm bestätigt werden muß, erhält die übergeordnete Einheit die Möglichkeit, die Verbindung zu der angesprochenen Einheiten auf ihre Fehlerfreiheit hin zu über­ prüfen. Dadurch, daß jede Signaleinheit den regelmäßigen, zy­ klischen Eingang der Prüftelegramme überwacht, wird umgekehrt auch eine Kontrolle der übergeordneten Einheit erreicht.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen, die jedoch für sich genommen ebenfalls als Erfindung anzusehen ist, ist das erwartete Ereignis eine Sendemöglichkeit.
Wie bereits erwähnt, wird die Kommunikation der einzelnen ange­ schlossenen Einheiten in vielen Feldbus-Systemen durch die in­ dividuelle Vergabe einer Sendeberechtigung bzw. durch die Ein­ räumung von individuellen Sendemöglichkeiten koordiniert (z. B. beim Profibus). In anderen Feldbus-Systemen erhalten die ein­ zelnen Einheiten ihre Sendeberechtigung aufgrund einer ihnen fest zugeordneten Priorität. In beiden Fällen kann es vor­ kommen, daß eine Einheit aufgrund einer hohen Buslast unzuläs­ sig lange auf die Sendemöglichkeit warten muß. Dies kann bei der Steuerung von sicherheitskritischen Prozessen gefährlich sein, da diese Einheit für eine entsprechend lange Zeit von der Kommunikation abgeschnitten ist. Aufgrund der genannten Maß­ nahme ist es jedoch möglich, daß die betroffene Einheit sich auch gegenüber Busteilnehmern durchsetzt, die eine höhere Prio­ rität besitzen, indem sie nämlich ein Fehlertelegramm mit ent­ sprechend hoher bzw. höchster Priorität generiert. Die Maßnahme besitzt den Vorteil, daß der Feldbus auch bei der Steuerung von sicherheitskritischen Prozessen mit einer sehr hohen Buslast betrieben werden kann, da es hier jeder Einheit stets möglich ist, eine unzulässig lange Blockierung zu überwinden. Hierdurch ist auch bei einer sehr hohen Buslast gewährleistet, daß Nach­ richten stets innerhalb einer fest definierten, maximalen Zeit­ spanne über den Feldbus übertragen werden. Die Maßnahme ist aufgrund dieser Tatsache auch für sich genommen von besonderem Vorteil.
In einer weiteren Ausgestaltung der Erfindung ist der Feldbus ein CAN-Bus.
Diese Maßnahme ist besonders vorteilhaft, da ein CAN-Bus von seiner Grundstruktur her das Versenden und Empfangen von Nach­ richten zwischen beliebigen an den Bus angeschlossenen Ein­ heiten ermöglicht. Hierdurch ist ein CAN-Bus besonders gut ge­ eignet, um beim Auftreten eines Fehlers in einem bestimmten Be­ reich sehr schnell ein Fehlertelegramm an eine Vielzahl von an­ geschlossenen Einheiten zu versenden. Gleichzeitig erfordert ein CAN-Bus aufgrund dieser Eigenschaft jedoch bei der Steue­ rung von sicherheitskritischen Prozessen die Einhaltung sehr streng definierter Regeln zur Koordination der Kommunikation. Die erfindungsgemäßen Maßnahmen sind in Verbindung mit einem CAN-Bus besonders vorteilhaft, da sie einerseits klare Regeln zur Koordination der Kommunikation beinhalten und andererseits die Besonderheit des CAN-Busses optimal ausnutzen. Insgesamt ist ein CAN-Bus daher in Kombination mit den erfindungsgemäßen Maßnahmen besonders gut zur Steuerung von sicherheitskritischen Prozessen geeignet.
In einer weiteren Ausgestaltung, die jedoch auch für sich ge­ nommen vorteilhaft ist, weist die Vorrichtung zumindest zwei sichere Steuerungseinheiten zum Steuern von sicherheitskriti­ schen Prozessen auf, die über einen gemeinsamen Feldbus mit zu­ mindest einer Signaleinheit verbunden sind.
Diese Maßnahme besitzt den Vorteil, daß die Vorrichtung auch dann noch zum Steuern von Prozessen verwendet werden kann, wenn eine der Steuerungseinheiten ausfällt. Beispielsweise ist es hierdurch möglich, zwei gleiche Maschinenanlagen getrennt von­ einander über einen gemeinsamen Feldbus zu steuern. Wenn eine der Maschinenanlagen ausfällt, kann die andere weiter arbeiten und unter Umständen sogar die Produktion erhöhen, um den Ver­ lust aus der ersten Maschinenanlage auszugleichen.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme weist die Vorrichtung ferner eine Verwaltungseinheit zum Koor­ dinieren der zumindest zwei sicheren Steuerungseinheiten auf.
Diese Maßnahme besitzt den Vorteil, daß die Koordination der mehrfachen Steuerungseinheiten von diesen getrennt erfolgen kann, so daß die Steuerungseinheiten selbst vollständig zum Steuern der Prozesse, d. h. zum Ausführen der Anwendungsprogram­ me zur Verfügung stehen. Darüber hinaus ist die Koordination der Steuerungseinheiten, die wiederum Sicherheitsaspekte der Vorrichtung berücksichtigen muß, dem Zugriff des Anwenders ent­ zogen.
In einer weiteren Ausgestaltung ist den zumindest zwei sicheren Steuerungseinheiten zumindest eine Signaleinheit gemeinsam zu­ geordnet, wobei eine erste der sicheren Steuerungseinheiten di­ rekt mit der genannten Signaleinheit kommuniziert, während eine zweite der sicheren Steuerungseinheiten über die erste Steue­ rungseinheit mit der genannten Signaleinheit kommuniziert.
Diese Maßnahme besitzt den Vorteil, daß einzelne Ressourcen in­ nerhalb der Vorrichtung, beispielsweise ein Not-Aus-Schalter, von den mehreren Steuerungseinheiten gemeinsam genutzt werden können. Hierdurch lassen sich Kosten einsparen und es wird ins­ gesamt die Flexibilität erhöht. Dabei ist aufgrund der genann­ ten Maßnahme die Vermeidung von Kollisionen beim Zugriff auf die gemeinsam genutzte Signaleinheit möglich.
Es versteht sich, daß die vorstehend genannten und die nach­ stehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Fig. 1 ein Ausführungsbeispiel der Erfindung, bei dem zwei sichere Steuerungseinheiten über einen Feldbus mit insgesamt vier sicheren Signaleinheiten verbunden sind,
Fig. 2 unterschiedlichen Datenverkehr über den Feldbus und
Fig. 3 eine schematische Darstellung verschiedener Kommuni­ kationsabläufe zwischen einer sicheren Steuerungs­ einheit und zwei sicheren Signaleinheiten.
In Fig. 1 ist eine erfindungsgemäße Vorrichtung in ihrer Ge­ samtheit mit der Bezugsziffer 10 bezeichnet.
Die Vorrichtung 10 besitzt zwei sichere Steuerungseinheiten 12 und 14, die über einen Feldbus 16 mit insgesamt vier sicheren Signaleinheiten 18, 20, 22 und 24 verbunden sind. Jede der si­ cheren Signaleinheiten 18 bis 24 weist mehrere E/A-Kanäle auf, über die sie mit jeweils einem sicherheitskritischen Prozeß 28, 30, 32 verbunden ist. Dabei sind die sicheren Signaleinheiten 18 und 20 mit dem Prozeß 28 verbunden, während die Signalein­ heit 22 mit dem Prozeß 30 und die Signaleinheit 24 mit dem Pro­ zeß 32 verbunden ist. Bei dem sicherheitskritischen Prozeß 28 handelt es sich beispielsweise um die Zwei-Hand-Steuerung einer Maschinenanlage, bei der außerdem auch die Drehzahl einer Ma­ schinenwelle (hier nicht dargestellt) überwacht wird. Der si­ cherheitskritische Prozeß 30 ist beispielsweise die Überwachung eines Not-Aus-Schalters und der sicherheitskritische Prozeß 32 die Überwachung eines Schutzgitters (ebenfalls nicht darge­ stellt).
Die Signaleinheiten 18 bis 24 lesen über ihre E/A-Kanäle 26 ei­ nerseits Signale und/oder Datenwerte der sicherheitskritischen Prozesse 28 bis 32 ein. Derartige Signale bzw. Datenwerte sind beispielsweise die aktuelle Drehzahl der Maschinenwelle oder die Schalterstellung des Not-Aus-Schalters. Andererseits können die Signaleinheiten 18 bis 24 über die E/A-Kanäle 26 auf Akto­ ren einwirken, mit denen die sicherheitskritischen Prozesse 28 bis 32 beeinflußt werden. So gehört beispielsweise zu dem si­ cherheitskritischen Prozeß 30, in dem die Schalterstellung des Not-Aus-Schalters überwacht wird, ein Aktor (nicht darge­ stellt), mit dem die Hauptstromversorgung der gesteuerten und überwachten Maschinenanlage abgeschaltet werden kann.
Die sicheren Steuerungseinheiten 12 und 14 sind ebenso wie die sicheren Signaleinheiten 18 bis 24 vom Grundsatz her jeweils gleich aufgebaut. Aus diesem Grund sind die nachfolgenden Be­ zugszeichen zur Erläuterung der Steuerungseinheiten 12, 14 bzw. der Signaleinheiten 18 bis 24 in Fig. 1 jeweils nur einmal auf­ geführt.
Die Steuerungseinheiten 12, 14 beinhalten jeweils einen siche­ ren Verarbeitungsteil 34, der in Fig. 1 oberhalb der strich­ punktierten Linie 36 angeordnet ist. Unterhalb der Linie 36 be­ findet sich in dieser schematischen Darstellung ein nicht- sicherer Teil 38, der im wesentlichen einen als Buscontroller bezeichneten Baustein 40 enthält. Der Buscontroller 40 ist ein Standard-Baustein, in dem das Standard-Protokoll des Feldbusses 16 implementiert ist. Der Buscontroller 40 ist in der Lage, das eigentliche Versenden und Empfangen von Nachrichten in Form von Telegrammen eigenständig abzuwickeln. Die zu versendenden Nach­ richten erhält er von dem sicheren Verarbeitungsteil 34. Umge­ kehrt stellt er empfangene Nachrichten dem sicheren Verarbei­ tungsteil 34 zur Verfügung.
Gemäß einer bevorzugten Ausführung der Erfindung handelt es sich bei dem Feldbus 16 um einen CAN-Bus. Bei diesem Bus werden zu versendende Nachrichten innerhalb eines Nutzdatenfeldes übertragen, das für seinen Weg über den Feldbus 16 mit zusätz­ lichen Steuerungsinformationen ergänzt wird. Das gesamte Paket aus Steuerungsinformationen und Nutzdatenfeld ist das Tele­ gramm. Der Buscontroller 40 ist in der Lage, Nachrichten, die er von dem sicheren Verarbeitungsteil 34 erhält, selbständig in der vorgeschriebenen Form in die zu versendenden Telegramme einzubetten. Umgekehrt kann er bei einem empfangenen Telegramm die im Nutzdatenfeld enthaltenen Nachrichten extrahieren.
Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12, 14 ist zweikanalig aufgebaut. Jeder der beiden Kanäle enthält im wesentlichen einen Prozessor 42a, 42b mit jeweils zugehöriger Peripherie, mit dem ein Anwendungsprogramm 44a, 44b ausgeführt wird. In dem Anwendungsprogramm 44a, 44b ist die Steuerung der Maschinenanlage und damit die Intelligenz der Steuerungseinhei­ ten 12, 14 niedergelegt.
Die beiden Prozessoren 42a, 42b führen sicherheitsrelevante Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt ist. Die sicherheitsrelevanten Aufgaben beinhalten beispiels­ weise Maßnahmen zur Fehlersicherung von übertragenen bzw. ver­ sendeten Nachrichten. Diese Maßnahmen erfolgen zusätzlich und in Ergänzung zu den Fehlersicherungsmaßnahmen, die bereits standardmäßig von dem Buscontroller 40 durchgeführt werden. Hierdurch ist es möglich, die Fehlerwahrscheinlichkeit gegen­ über dem nicht-sicheren Feldbus 16 beträchtlich zu erhöhen.
Die Signaleinheiten 18 bis 24 sind über den gleichen Bus­ controller 40 an den Feldbus 16 angeschlossen wie die Steue­ rungseinheiten 12, 14. Dementsprechend ist der Teil 48 oberhalb der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne der vor­ liegenden Erfindung. In dem sicheren Verarbeitungsteil unter­ halb der Linie 50 ist jede Signaleinheit 18 bis 24 wiederum zweikanalig-redundant aufgebaut. Die beiden redundanten Verar­ beitungskanäle sind wiederum in der Lage, eine gegenseitige Fehlerüberwachung durchzuführen.
Jeder der Verarbeitungskanäle der Signaleinheiten 18 bis 24 weist eine Verarbeitungseinheit 52a, 52b sowie ein Schaltmittel 54a, 54b auf. Die Verarbeitungseinheiten 52a, 52b enthalten so­ wohl Auswertemittel, mit denen die Signaleinheiten 18 bis 24 empfangene Nachrichten auswerten können, als auch Sendemittel, mit denen sie in Kombination mit dem Buscontroller 40 Nachrich­ ten über den Feldbus 16 versenden können. Die Verarbeitungs­ einheiten 52 beinhalten jeweils einen Prozessor zum Ausführen der vorgesehenen Aufgaben, sie besitzen jedoch kein Anwendungs­ programm 44, das der Anwender der Maschinenanlage ändern kann. Der Funktionsumfang der Signaleinheiten 18 bis 24 ist daher nur vom jeweiligen Hersteller bestimmt und als Betriebssystem in einer sogenannten Firmware niedergelegt.
Die Schaltmittel 54 versetzen die Signaleinheiten 18 bis 24 in die Lage, die hier nicht dargestellten Aktoren zur Beein­ flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti­ vieren. Damit sind die Schaltmittel 54a, 54b in der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen sicheren Zu­ stand zu überführen. In dem angenommenen Fall, daß die Vorrich­ tung 10 zum Steuern einer komplexen Maschinenanlage dient, wer­ den die sicherheitskritischen Prozesse 28 bis 32 beispielsweise dadurch in ihren sicheren Zustand überführt, daß Teile der Ma­ schinenanlage bzw. die gesamte Maschinenanlage abgeschaltet werden.
Mit den Bezugsziffern 56a, 56b sind jeweils Zeitüberwachungen bezeichnet, die innerhalb der Signaleinheiten 18 bis 24 über­ prüfen, ob vorgegebene Zeitabläufe eingehalten werden. Wird ei­ ne erwartete Nachricht beispielsweise nicht innerhalb eines de­ finierten Zeitrasters empfangen, generieren die Zeitüber­ wachungen 56a, 56b eine Fehlermeldung, die letztendlich dazu führen kann, daß die Maschinenanlage abgeschaltet wird.
Gemäß einer bevorzugten Ausführung der Erfindung sind die Si­ gnaleinheiten 18 bis 24 definierten Gruppen von Signaleinheiten zugeordnet. Diese Gruppen sind wiederum den beiden Steuerungs­ einheiten 12 bzw. 14 zugeordnet. Beispielhaft ist in Fig. 1 ei­ ne erste Gruppe 58 durch eine gestrichelte Linie angedeutet, der die Signaleinheiten 18, 20 und 22 zugeordnet sind. Mit der Bezugsziffer 60 ist eine zweite Gruppe bezeichnet, der die Si­ gnaleinheiten 22 und 24 zugeordnet sind. Hieraus ergibt sich, daß einzelne Signaleinheiten auch mehreren Gruppen 58, 60 gleichzeitig zugeordnet sein können, wie dies anhand der Si­ gnaleinheit 22 dargestellt ist.
Die Zuordnung einzelner Signaleinheiten 18 bis 24 zu Gruppen 58, 60 ermöglicht es, beim Auftreten eines Fehlers innerhalb der Vorrichtung 10 die sicherheitskritischen Prozesse 28 bis 32 gruppenweise abzuschalten. Ein Beispiel für die Zuordnung von Signaleinheiten 18 bis 24 zu Gruppen 58, 60 ist, daß mit der Vorrichtung 10, insbesondere den beiden Steuerungseinheiten 12, 14, zwei voneinander getrennte Maschinenanlagen gleichzeitig gesteuert werden. In dem Fall, daß ein auftretender Fehler nur eine der beiden Maschinenanlagen betrifft, genügt es, auch nur diese Maschinenanlage abzuschalten. Durch die gemeinsame Steue­ rung der beiden Maschinenanlagen mit der Vorrichtung 10 ist es in einem solchen Fall möglich, die Produktionsmenge der zweiten Maschinenanlage zu erhöhen, um den Stillstand der ersten Ma­ schinenanlage auszugleichen. Durch die Zuordnung der Signalein­ heiten 18 bis 24 zu den Gruppen 58, 60 können beliebige Kombi­ nationen von sicherheitskritischen Prozessen 28 bis 32 gezielt und mit einem einzigen Steuerbefehl in ihren sicheren Zustand überführt werden.
Mit der Bezugsziffer 70 ist in Fig. 1 eine sogenannte Ver­ waltungseinheit bezeichnet, die auch als "Management Device" bezeichnet wird. Die Verwaltungseinheit 70 ist ebenfalls über einen Buscontroller 40 an den Feldbus 16 angeschlossen. Sie kann daher mit den übrigen an den Feldbus 16 angeschlossenen Einheiten kommunizieren. An der Kommunikation zwischen den Steuerungseinheiten 12, 14 und den Signaleinheiten 18 bis 24, ist die Verwaltungseinheit jedoch nicht unmittelbar beteiligt.
In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein­ heit 70 im wesentlichen zwei zueinander redundante Speicher 72a, 72b, in denen die gesamte Konfiguration der Vorrichtung 10, insbesondere die Struktur der an den Feldbus 16 angeschlos­ senen Einheiten abgelegt ist. Die Verwaltungseinheit 70 über­ nimmt eine zentrale Verwaltungs- und Überwachungsfunktion, um vor allem die verschiedenen Steuerungseinheiten 12, 16 mitein­ ander zu koordinieren. Hierdurch ist es möglich, daß verschie­ dene Steuerungseinheiten 12, 14 an einem Feldbus 16 betrieben werden können.
Darüber hinaus ist es in dem vorliegenden Ausführungsbeispiel Aufgabe der Verwaltungseinheit 70, in regelmäßigen Zeit­ intervallen eine Verbindungsprüfung zu initiieren. Hierbei überprüft die Verwaltungseinheit 70 durch Versenden eines Prüf­ telegramms an die Steuerungseinheiten 12, 14, ob die Verbindung zu diesen Steuerungseinheiten noch fehlerfrei funktioniert. Als Reaktion auf dieses Prüftelegramm versenden die Steuerungsein­ heiten 12, 14 ihrerseits Prüftelegramme an die ihnen zugeordne­ ten Signaleinheiten 18 bis 24, um auch diese Kommunikationsver­ bindungen zu überprüfen. Die Verwaltungseinheit 70 überwacht den gesamten diesbezüglichen Datenverkehr und erhält somit in regelmäßigen Zeitintervallen eine Information darüber, ob nach wie vor alle ihr bekannten Einheiten aktiv am Feldbus 16 ange­ schlossen sind. Beim Ausbleiben eines erwarteten Prüftelegramms oder auch beim Ausbleiben eines erwarteten Antworttelegramms auf ein versendetes Prüftelegramm generiert die Verwaltungsein­ heit und/oder die betroffene Steuer- oder Signaleinheit ein Fehlertelegramm, aufgrund dessen die sicherheitskritischen Pro­ zesse 28 bis 32 in ihren sicheren Zustand überführt werden.
Alternativ zu dem hier dargestellten Ausführungsbeispiel kann die Verwaltungseinheit 70 auch in einer der Steuerungseinheiten 12, 14 integriert sein. In diesem Fall stellt die Verwaltungs­ einheit 70 einen Funktionsblock innerhalb der Steuerungseinheit 12, 14 dar, der die betroffene Steuerungseinheit dann von den weiteren am Feldbus 16 angeschlossenen Steuerungseinheiten un­ terscheidet.
Die Verwendung der Verwaltungseinheit 70 ist besonders vorteil­ haft, wenn es sich, wie im vorliegenden Fall, bei dem Feldbus 16 um einen CAN-Bus handelt. Grund hierfür ist, daß in diesem Fall üblicherweise keine zentrale Einheit die Koordination der Kommunikation auf dem Feldbus übernimmt. Im Gegenteil, die an den Feldbus 16 angeschlossenen Einheiten sind zumindest vom Grundsatz her gleichberechtigt. Bei einem Standard-CAN-Bus gibt es daher keine Einheit, die einen Überblick über Veränderungen in der Struktur der am Feldbus 16 angeschlossenen Einheiten be­ sitzt. Der Ausfall einer Einheit, der bei der Steuerung von si­ cherheitskritischen Prozessen 28 bis 32 unter Umständen einen gefährlichen Zustand hervorrufen kann, wird daher nicht mit hinreichender Sicherheit festgestellt. Durch die Verwendung der Verwaltungseinheit 70 kann diese Sicherheitslücke auch bei ei­ nem CAN-Bus geschlossen werden.
In dem hier dargestellten Ausführungsbeispiel wird der Zugriff verschiedener Steuerungseinheiten 12, 14 auf eine gemeinsam ge­ nutzte Signaleinheit, hier also beispielhaft die Signaleinheit 22, dadurch koordiniert, daß eine Steuerungseinheit, hier bei­ spielsweise die Steuerungseinheit 12, eine "Master"-Funktion erhält. Diese Funktion gestattet der Steuerungseinheit 12, di­ rekt mit der gemeinsam genutzten Signaleinheit 22 zu kommuni­ zieren. Die anderen "Slave"-Steuerungseinheiten, in diesem Fall also die Steuerungseinheit 14, erhält einen Zugriff auf die ge­ meinsam genutzte Signaleinheit 22 nur unter Kontrolle der Ma­ ster-Steuerungseinheit 12. Im vorliegenden Fall versendet die Steuerungseinheit 14 ein Telegramm, das für die gemeinsam ge­ nutzte Signaleinheit 22 vorgesehen ist, zunächst an die Master- Steuerungseinheit 12. Diese leitet das Telegramm anschließend an die gemeinsam genutzte Signaleinheit 22 weiter. Die Si­ gnaleinheit 24, die im vorliegenden Ausführungsbeispiel allein der Steuerungseinheit 14 zugeordnet ist, wird demgegenüber un­ mittelbar von der Steuerungseinheit 14 angesprochen. Im Hin­ blick auf die gemeinsam genutzte Signaleinheit 22 erscheint die Steuerungseinheit 14 innerhalb der Struktur des Feldbusses 16 der Steuerungseinheit 12 untergeordnet. Sie wird von der Steue­ rungseinheit 12 in gleicher Weise angesprochen, wie die Si­ gnaleinheiten 18 bis 24. Im Hinblick auf die allein von ihr verwendete Signaleinheit 24 besitzt die Steuerungseinheit 14 jedoch selbst die Master-Funktion.
Die Kommunikation zwischen den beiden Steuerungseinheiten 12 und 14 kann ebenso erfolgen, wie die Kommunikation jeder dieser beiden Steuerungseinheiten mit den Signaleinheiten 18 bis 24.
Die Zuordnung der einzelnen Signaleinheiten 18 bis 24 zu den verschiedenen Steuerungseinheiten 12, 14 ist ebenso wie die Zu­ ordnung der Signaleinheiten zu den Gruppen 58, 60 in der Ver­ waltungseinheit 70 abgelegt.
In Fig. 2 ist anhand der Steuerungseinheit 14 und der Si­ gnaleinheit 24 zunächst einmal der übliche Datenverkehr über den Feldbus 16 im normalen Steuerungsbetrieb der Vorrichtung 10 dargestellt. Derselbe Datenverkehr findet im normalen Steue­ rungsbetrieb auch zwischen der Steuerungseinheit 12 und den ihr zugeordneten Signaleinheiten 18 bis 22 statt.
Die Steuerungseinheit 14 versendet einen Steuerbefehl an die Signaleinheit 24 in Form eines Telegramms in Richtung des Pfeils 82. Die Signaleinheit 24 empfängt das Nach­ richtentelegramm 82 und antwortet mit einem Quittungstelegramm, das in Richtung des Pfeils 84 zur Steuerungseinheit 14 zurück­ gesendet wird. Anschließend wertet die Verarbeitungseinheit 52 der Signaleinheit 24 den erhaltenen Steuerbefehl aus und führt die vorgesehene Aktion aus. Die Aktion kann beispielsweise dar­ in bestehen, daß die Signaleinheit 24 einen Signal- oder Daten­ wert des sicherheitskritischen Prozesses 32 einliest und an die Steuerungseinheit 14 überträgt. Dies erfolgt mit einem Nach­ richtentelegramm in Richtung des Pfeils 84, auf das die Steue­ rungseinheit 14 mit einem Quittungstelegramm in Richtung des Pfeils 82 antwortet.
Die Signaleinheit 24 ist im normalen Steuerungsbetrieb der Vor­ richtung 10 ebenso wie die Signaleinheiten 18 bis 22 nur eine ausführende Einheit, von der selbst keine eigenständigen Aktio­ nen ausgehen. Insbesondere kommuniziert keine der Signaleinhei­ ten 18 bis 24 im normalen Steuerungsbetrieb der Vorrichtung 10 mit einer anderen der Signaleinheiten 18 bis 24, da eine solche Kommunikation zwangsläufig eine eigenständige Aktivität voraus­ setzt.
Abweichend von diesem normalen Steuerungsbetrieb ist jede der Signaleinheiten 18 bis 24 hier jedoch aufgrund der Erfindung in der Lage, ein Fehlertelegramm allgemein über den Feldbus 16 an die anderen Signaleinheiten zu übertragen. Ebenso ist jede der Signaleinheiten 18 bis 24 in der Lage, ein allgemein übertrage­ nes Fehlertelegramm auszuwerten und eigenständig darauf zu rea­ gieren. Dies ist in Fig. 2 am Beispiel der Signaleinheit 18 dargestellt.
In diesem Beispiel ist in der Verarbeitungseinheit 52a der Si­ gnaleinheit 18 ein Fehler aufgetreten, der durch einen Blitz 90 angedeutet ist. Die Verarbeitungseinheit 52b stellt diesen Feh­ ler aufgrund der gegenseitigen Kontrolle der Verarbeitungs­ einheiten 52a, 52b fest. Da dieser Fehler im Hinblick auf den zu steuernden, sicherheitskritischen Prozeß 28 gefährlich sein könnte, generiert die Signaleinheit 18 ein Fehlertelegramm 92 und versendet es allgemein über den Feldbus 16. Das Fehlertele­ gramm 92 besitzt einen allgemeinen ersten Teil 94, der es als allgemeines Fehlertelegramm kennzeichnet. Ein Telegramm, das diesen allgemeinen Teil aufweist, besitzt automatisch innerhalb der Struktur der Vorrichtung 10 die allerhöchste Priorität und unterbricht gegebenenfalls jeglichen Datenverkehr über den Feldbus 16 zwischen angeschlossenen Einheiten.
Im zweiten Teil 96 des Fehlertelegramms 92 sind die von dem Fehler 90 betroffenen Gruppen 58, 60 von Signaleinheiten 18 bis 24 codiert.
Das Fehlertelegramm 92 wird von allen am Feldbus 16 ange­ schlossenen Einheiten empfangen und ausgewertet, was durch die Pfeile 98 dargestellt ist. Insbesondere wird das Fehler­ telegramm 92 hier von den Signaleinheiten 20, 22 und 24 (letzteres hier nicht dargestellt) empfangen und ausgewertet. Im Gegensatz zum normalen Steuerungsbetrieb der Vorrichtung 10 findet hier daher eine Kommunikation unmittelbar zwischen den Signaleinheiten 18 und 20 bis 24 statt.
Die Verarbeitungseinheiten 52 der einzelnen Signaleinheiten 20 bis 24 sind in der Lage, das Fehlertelegramm 92 als solches zu erkennen und anhand der codierten Gruppen im zweiten Teil 96 auszuwerten. In dem Fall, daß im zweiten Teil 96 des Fehler­ telegramms 92 eine Gruppe 58, 60 codiert ist, der eine empfan­ gende Signaleinheit 20 bis 24 angehört, schaltet die entspre­ chende Verarbeitungseinheit 52 die mit ihr verbundenen sicher­ heitskritischen Prozesse 28, 30 ab. Dies ist in Fig. 2 anhand der Schlüssel 100 dargestellt. In der in Fig. 2 dargestellten Situation reagieren beispielsweise sämtliche Signaleinheiten, die der ersten Gruppe 58 angehören.
In der schematischen Darstellung in Fig. 3 ist beispielhaft der zeitliche Ablauf der Kommunikation zwischen der Steuerungs­ einheit 12 und den Signaleinheiten 18 und 20 dargestellt. Dabei verläuft die Zeitachse in Richtung des Pfeils 110.
Die einzelnen Telegramme, die zwischen den verschiedenen Ein­ heiten versendet werden, sind anhand von Pfeilen symbolisiert, deren Ausgangspunkt beim Sender mit einem Punkt gekennzeichnet ist und deren Endpunkt auf den Empfänger verweist.
In dem ersten Zeitabschnitt oberhalb der Linie 112 ist die Kom­ munikation der betroffenen Einheiten im normalen Steuerungs­ betrieb der Vorrichtung 10 dargestellt. Beispielsweise ver­ sendet die Steuerungseinheit 12 ein Telegramm 114 mit einem Steuerbefehl an die Signaleinheit 18. Diese antwortet mit einem Quittungstelegramm 116. Im nächsten Schritt versendet die Steuerungseinheit 12 ein Telegramm 118 mit einem weiteren Steu­ erbefehl an die Signaleinheit 20. Auch diese antwortet mit ei­ nem Quittungstelegramm 120. Wenn der erste Steuerbefehl, der mit dem Telegramm 114 an die Signaleinheit 18 übertragen wurde, die Aufforderung zum Einlesen eines Datenwertes enthalten hat, antwortet die Signaleinheit 18 des weiteren mit einem Telegramm 122, mit dem sie der Steuerungseinheit 12 den geforderten Da­ tenwert überträgt. Auch das Telegramm 122 wird mit einem Quit­ tungstelegramm 124 von Seiten der Steuerungseinheit 12 beant­ wortet. In gleicher Weise kann auch die Signaleinheit 20 Daten­ werte an die Steuerungseinheit 12 versenden. Wie anhand dieser Darstellung zu erkennen ist, findet im normalen Steuerungsbe­ trieb der Vorrichtung 10 keine Kommunikation zwischen den Si­ gnaleinheiten 18 und 20 statt.
In dem nächsten Zeitabschnitt zwischen den Linien 112 und 126 ist das Verhalten der Vorrichtung 10 beim Auftreten eines Feh­ lers innerhalb der Signaleinheit 18 dargestellt. In diesem Fall versendet die Signaleinheit 18 ein Fehlertelegramm 128 allge­ mein über den Feldbus 16, d. h. jede an den Feldbus 16 ange­ schlossene Einheit kann dieses Fehlertelegramm 128 empfangen. Insbesondere versendet die Signaleinheit 18 dabei das Fehlerte­ legramm 128 direkt an die Signaleinheit 20. Anschließend rea­ gieren die betroffenen Signaleinheiten 18, 20 auf den aufgetre­ tenen Fehler, indem sie die Prozesse 130, 132 in ihren sicheren Zustand überführen. Wie anhand dieser Darstellung erkennbar ist, reagieren die betroffenen Signaleinheiten 18, 20 auf das erhaltene Fehlertelegramm 128, ohne den Empfang eines Quit­ tungstelegramms abzuwarten oder den Versand eines Quittungste­ legramms zu generieren.
In dem nächsten Zeitabschnitt oberhalb der Linie 134 ist der Ablauf einer Verbindungsprüfung zwischen den Einheiten an dem Feldbus 16 dargestellt. Dabei ist hier angenommen, daß die Ver­ bindungsprüfung von der Steuerungseinheit 12 initiiert wird. Abweichend hiervon wird die Verbindungsprüfung in anderen Aus­ führungsbeispielen von der Verwaltungseinheit 70 initiiert.
Zu Beginn der Verbindungsprüfung versendet die Steuerungs­ einheit 12 an die Signaleinheiten 18, 20 ein Prüftelegramm 136, das anschließend von jeder der angesprochenen Signaleinheiten mit einem Quittungstelegramm 138, 140 beantwortet wird. Diese Verbindungsprüfung wird in regelmäßigen, zyklischen Zeit­ intervallen durchgeführt. Die Zeitintervalle werden mit Hilfe der Zeitüberwachungen 56 von jeder der am Feldbus 16 ange­ schlossenen Einheiten überwacht. Bleibt ein erwartetes Prü­ fungstelegramm aus, wie dies anhand des gestrichelten Pfeils 142 dargestellt ist, erzeugt die betroffene Einheit, im vor­ liegenden Fall die Signaleinheit 20, ein Fehlertelegramm 144, das wiederum allgemein an alle am Feldbus 16 angeschlossenen Einheiten versendet wird. Die am Feldbus 16 angeschlossenen Einheiten reagieren dann in der bereits beschriebenen Art und Weise.
Eine weitere Fehlerquelle ist in dem nächsten Zeitabschnitt un­ terhalb der Linie 134 dargestellt. In diesem Zeitabschnitt ver­ sucht die Signaleinheit 20 ein Telegramm über den Feldbus 16 zu versenden. Dabei kollidiert sie jedoch mit dem gleichzeitig stattfindenden Telegrammverkehr 146, 148 zwischen der Steue­ rungseinheit 12 und der Signaleinheit 18. Derartige Kollisionen werden beim CAN-Bus ebenso wie bei vielen anderen Bussystemen über die Vergabe von Prioritäten gelöst. Wenn die Signaleinheit 20 für das Versenden ihrer Nachricht eine niedrige Priorität besitzt, ist es jedoch möglich, daß es ihr über einen längeren Zeitraum nicht gelingt, ihre Nachricht über den Feldbus 16 zu versenden.
Wie leicht nachzuvollziehen ist, hängt die Zeitdauer, in der die Signaleinheit 20 in diesem Fall blockiert ist, von der Aus­ lastung des Feldbusses 16 ab. Dabei ist die sogenannte Buslast als Quotient definiert zwischen derjenigen Zeit, in der der Feldbus 16 belegt ist, zu derjenigen Zeit, in der der Feldbus 16 zur freien Verfügung steht. Bei nicht-sicheren Feldbussen wird die Zeit, innerhalb der eine Einheit, wie im vorliegenden Fall die Signaleinheit 20, blockiert sein kann, durch die An­ gabe einer maximal zulässigen Buslast festgelegt. Wenn bei­ spielsweise die Buslast unterhalb von 50% liegt, kann man an­ nehmen, daß die angeschlossenen Einheiten im statistischen Mit­ tel ausreichenden Zugriff auf den Feldbus 16 erhalten. Bei der Steuerung eines sicherheitskritischen Prozesses ist eine der­ artige Definition jedoch nicht ausreichend, da es im Einzelfall abweichend vom statistischen Mittel vorkommen kann, daß die Si­ gnaleinheit 20 unzulässig lange blockiert ist.
Gemäß der Erfindung erzeugt die Signaleinheit 20 daher in einem solchen Fall ein Fehlertelegramm 150, das die höchste Priorität besitzt. Hierdurch ist gewährleistet, daß eine unzulässig lange Blockade der Signaleinheit 20 stets nach Ablauf einer definier­ ten Zeitspanne, die von der Zeitüberwachung 56 der Signalein­ heit 20 überwacht wird, beendet wird.
Ganz allgemein erhält aufgrund dieser Maßnahme eine Einheit, die an sich mit einer niedrigen Priorität an den Feldbus 16 an­ geschlossen ist, die Möglichkeit, einen Buszugriff zu erzwin­ gen. Es ist damit möglich, den Feldbus 16 selbst bei der Steue­ rung von sicherheitskritischen Prozessen mit einer Buslast zu betreiben, die deutlich höher als 50% liegt.

Claims (14)

1. Vorrichtung zum Steuern von sicherheitskritischen Prozes­ sen (28, 30, 32), mit einer sicheren Steuerungseinheit (12, 14) zum Steuern der sicherheitskritischen Prozesse (28, 30, 32) und mit zumindest zwei sicheren Signaleinhei­ ten (18, 20, 22, 24), die über E/A-Kanäle (26) mit den si­ cherheitskritischen Prozessen (28, 30, 32) verbunden sind, wobei die sichere Steuerungseinheit (12, 14) und die si­ cheren Signaleinheiten (18, 20, 22, 24) an einen gemeinsa­ men Feldbus (16) angeschlossen sind und wobei die sicheren Signaleinheiten (18, 20, 22, 24) im Steuerungsbetrieb der Vorrichtung (10) mit der sicheren Steuerungseinheit (12, 14), nicht jedoch miteinander kommunizieren, dadurch ge­ kennzeichnet, daß die sicheren Signaleinheiten (18, 20, 22, 24) Auswertemittel (52a, 52b) zum Auswerten eines all­ gemein über den Feldbus (16) übertragenen Fehlertelegramms (92; 128; 144; 150) aufweisen, sowie Schaltmittel (54a, 54b), die den sicherheitskritischen Prozeß (28, 30, 32) bei einem als relevant ausgewerteten Fehlertelegramm (92; 128; 144; 150) eigenständig in einen sicheren Zustand überführen.
2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß jede der Signaleinheiten (18, 20, 22, 24) Sendemittel (40, 52a, 52b) zum Versenden eines Fehlertelegramms (92; 128; 144; 150) an eine Vielzahl von Signaleinheiten (18, 20, 22, 24) aufweist.
3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekenn­ zeichnet, daß die an den Feldbus (16) angeschlossenen Si­ gnaleinheiten (18, 20, 22, 24) jeweils zumindest einer de­ finierten Gruppe (58, 60) von Signaleinheiten (18, 20, 22, 24) zugeordnet sind, wobei die Auswertemittel (52a, 52b) jeder Signaleinheit (18, 20, 22, 24) das Fehlertelegramm (92; 128; 144; 150) auf seine Relevanz für die jeweils zu­ geordnete Gruppe (58, 60) hin auswerten.
4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, daß in jedem Fehlertelegramm (92; 128; 144; 150) die vom Feh­ ler betroffenen Gruppen (58, 60) codiert sind.
5. Vorrichtung nach einem der Ansprüche 1 bis 4, dadurch ge­ kennzeichnet, daß Fehlertelegramme (92; 128; 144; 150) in­ nerhalb des Busprotokolls unabhängig von einer Priorität ihres Absenders die höchste Übertragungspriorität be­ sitzen.
6. Vorrichtung nach einem der Ansprüche 1 bis 5, dadurch ge­ kennzeichnet, daß die Auswertemittel (52a, 52b) jeder Si­ gnaleinheit (18, 20, 22, 24) ein Fehlertelegramm (92; 128; 144; 150) ohne Versenden eines Quittungstelegramms (116, 120) auswerten.
7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch ge­ kennzeichnet, daß jede Signaleinheit (18, 20, 22, 24) eine Zeitüberwachung (56) aufweist, die beim Ausbleiben eines erwarteten Ereignisses die Versendung eines Fehler­ telegramms (92; 128; 144; 150) auslöst.
6. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß das erwartete Ereignis der Empfang eines Quittungs­ telegramms (116; 120; 124) ist.
9. Vorrichtung nach Anspruch 7 oder 8, dadurch gekennzeich­ net, daß das erwartete Ereignis der Empfang eines zyklisch versendeten Prüftelegramms (136, 142) ist.
10. Vorrichtung nach einem der Ansprüche 7 bis 9, dadurch ge­ kennzeichnet, daß das erwartete Ereignis eine Sendemög­ lichkeit (152) ist.
11. Vorrichtung nach einem der Ansprüche 1 bis 10, dadurch ge­ kennzeichnet, daß der Feldbus (16) ein CAN-Bus ist.
12. Vorrichtung, insbesondere nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß sie zumindest zwei sichere Steuerungseinheiten (12, 14) zum Steuern von sicherheits­ kritischen Prozessen (28, 30, 32) aufweist, die über einen gemeinsamen Feldbus (16) mit zumindest einer Signaleinheit (18, 20, 22, 24) verbunden sind.
13. Vorrichtung nach Anspruch 12, dadurch gekennzeichnet, daß sie ferner eine Verwaltungseinheit (70) zum Koordinieren der zumindest zwei sicheren Steuerungseinheiten (12, 14) aufweist.
14. Vorrichtung nach Anspruch 12 oder 13, dadurch gekennzeich­ net, daß den zumindest zwei sicheren Steuerungseinheiten (12, 14) zumindest eine Signaleinheit (22) gemeinsam zuge­ ordnet ist, wobei eine erste der sicheren Steuerungsein­ heiten (12) direkt mit der genannten Signaleinheit (22) kommuniziert, während eine zweite der sicheren Steuerungs­ einheiten (14) über die erste Steuerungseinheit (12) mit der genannten Signaleinheit (22) kommuniziert.
DE19939567A 1999-08-20 1999-08-20 Vorrichtung zum Steuern von sicherheitskritischen Prozessen Expired - Fee Related DE19939567B4 (de)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE19939567A DE19939567B4 (de) 1999-08-20 1999-08-20 Vorrichtung zum Steuern von sicherheitskritischen Prozessen
AT00954449T ATE251317T1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen
PCT/EP2000/006483 WO2001014940A1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen
JP2001519239A JP4480313B2 (ja) 1999-08-20 2000-07-07 プロセス制御装置
DE50003944T DE50003944D1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen
EP00954449A EP1221075B1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen
AU66902/00A AU6690200A (en) 1999-08-20 2000-07-07 Method for controlling safety-critical processes
US10/072,558 US6832343B2 (en) 1999-08-20 2002-02-08 Apparatus for controlling safety-critical processes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19939567A DE19939567B4 (de) 1999-08-20 1999-08-20 Vorrichtung zum Steuern von sicherheitskritischen Prozessen

Publications (2)

Publication Number Publication Date
DE19939567A1 true DE19939567A1 (de) 2001-03-08
DE19939567B4 DE19939567B4 (de) 2007-07-19

Family

ID=7919068

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19939567A Expired - Fee Related DE19939567B4 (de) 1999-08-20 1999-08-20 Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE50003944T Expired - Lifetime DE50003944D1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE50003944T Expired - Lifetime DE50003944D1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen

Country Status (7)

Country Link
US (1) US6832343B2 (de)
EP (1) EP1221075B1 (de)
JP (1) JP4480313B2 (de)
AT (1) ATE251317T1 (de)
AU (1) AU6690200A (de)
DE (2) DE19939567B4 (de)
WO (1) WO2001014940A1 (de)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001052003A1 (de) * 2000-01-14 2001-07-19 Infineon Technologies Ag Codierverfahren zur codierung von aktoren-steuerbefehlen und aktorensteuereinheit zur steuerung von aktoren
DE10119791A1 (de) * 2001-04-23 2002-11-14 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
DE10248100A1 (de) * 2002-10-15 2004-04-29 Abb Patent Gmbh Sicherheitsgerichtete Vorrichtung zum Anschluss von Feldgeräten an einen Feldbus
EP1701270A1 (de) 2005-03-07 2006-09-13 Phoenix Contact GmbH & Co. KG Kopplung von sicheren Feldbussystemen
DE102005009795A1 (de) * 2005-03-03 2006-09-14 Wago Verwaltungsgesellschaft Mbh Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
US7412293B2 (en) 2004-04-16 2008-08-12 Sick Ag Process control
DE102009033529A1 (de) * 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
WO2011048145A1 (de) * 2009-10-23 2011-04-28 Siemens Aktiengesellschaft Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
US8576707B2 (en) 2004-08-17 2013-11-05 Phoenix Contact Gmbh & Co. Kg Method and apparatus for bus coupling of safety-relevant processes
DE102004015617B4 (de) * 2003-04-01 2014-11-20 Fisher-Rosemount Systems, Inc. Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
EP2942686A1 (de) * 2013-02-13 2015-11-11 PHOENIX CONTACT GmbH & Co. KG Steuerungs- und datenübertragungssystem zum übertragen von sicherheitsbezogenen daten über ein kommunikationsmedium
WO2016008948A1 (de) * 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co.Kg Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
CN107861376A (zh) * 2016-09-21 2018-03-30 皮尔茨有限及两合公司 用于防故障地切断带来危险的技术设备的安全电路
EP3150898B1 (de) 2015-10-01 2021-09-01 B&R Industrial Automation GmbH Verfahren zur automatisierten steuerung einer maschinenkomponente
DE102004015616B4 (de) 2003-04-01 2022-03-17 Fisher-Rosemount Systems, Inc. Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
DE102021132828A1 (de) 2021-12-13 2023-06-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10291112D2 (de) 2001-03-15 2004-04-15 Bosch Gmbh Robert Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
WO2002075464A1 (de) * 2001-03-15 2002-09-26 Robert Bosch Gmbh Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
JP3997988B2 (ja) * 2001-05-31 2007-10-24 オムロン株式会社 安全ユニット及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法
CN1259601C (zh) * 2001-05-31 2006-06-14 欧姆龙株式会社 从动设备、网络系统、从动设备的处理方法及设备信息收集方法
JP3748078B2 (ja) * 2001-06-22 2006-02-22 オムロン株式会社 安全ネットワークシステム及び安全スレーブ
US7051143B2 (en) * 2001-06-25 2006-05-23 Schneider Automation Inc. Method, system and program for the transmission of modbus messages between networks
US7289861B2 (en) 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
US7330768B2 (en) * 2003-01-28 2008-02-12 Fisher-Rosemount Systems, Inc. Integrated configuration in a process plant having a process control system and a safety system
GB2423835B (en) * 2003-01-28 2008-01-09 Fisher Rosemount Systems Inc Process control system with an embedded safety system 1
DE10325263B4 (de) * 2003-06-03 2013-09-19 Phoenix Contact Gmbh & Co. Kg Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
US7089066B2 (en) * 2003-04-24 2006-08-08 Colorado Vnet, Llc Distributed control systems and methods
US20040218591A1 (en) * 2003-04-29 2004-11-04 Craig Ogawa Bridge apparatus and methods of operation
DE10320522A1 (de) * 2003-05-02 2004-11-25 Pilz Gmbh & Co. Verfahren und Vorrichtug zum Steuern eines sicherheitskritischen Prozesses
DE10331872A1 (de) * 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
DE10355862A1 (de) * 2003-11-25 2005-07-14 Siemens Ag Prozessanschaltung für das sichere Betreiben von sicherungstechnischen Einrichtungen
JP4379793B2 (ja) * 2004-03-12 2009-12-09 株式会社デンソー 車両用電子制御装置
DE102004034862A1 (de) * 2004-07-19 2006-03-16 Siemens Ag Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe
US7453677B2 (en) * 2004-10-06 2008-11-18 Teknic, Inc. Power and safety control hub
US20060200278A1 (en) * 2005-03-02 2006-09-07 Honeywell International Inc. Generic software fault mitigation
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
EE05043B1 (et) * 2005-06-21 2008-06-16 Mirovar O� Meetod elektriliste ja elektrooniliste seadmete, süsteemi sisaldava objekti ning selle osade haldamiseks
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7454252B2 (en) * 2006-03-08 2008-11-18 Moore Industries International, Inc. Redundant fieldbus system
DE102007050708B4 (de) * 2007-10-22 2009-08-06 Phoenix Contact Gmbh & Co. Kg System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102009054155A1 (de) * 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
DE102010038484A1 (de) * 2010-07-27 2012-02-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Verfahren und Vorrichtung zum Steuern einer Anlage
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
US8538558B1 (en) * 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
EP2720098B1 (de) 2012-10-10 2020-04-15 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
EP2720094B1 (de) * 2012-10-10 2015-05-20 Sick Ag Sicherheitssystem
KR101506301B1 (ko) 2013-06-26 2015-03-26 도로교통공단 캔 통신을 이용한 교통신호 제어시스템
JP5790723B2 (ja) * 2013-09-12 2015-10-07 日本電気株式会社 クラスタシステム、情報処理装置、クラスタシステムの制御方法及びプログラム
EP2937745B1 (de) * 2014-04-25 2016-10-05 Sick Ag Sicherheitssteuerung zum sicheren Betreiben einer technischen Anlage und Verfahren zum Betreiben der Sicherheitssteuerung
DE202014104531U1 (de) * 2014-09-23 2014-10-02 Leuze Electronic Gmbh + Co. Kg Sensor zur Erfassung von Objekten in einem Überwachungsbereich
DE102016220197A1 (de) * 2016-10-17 2018-04-19 Robert Bosch Gmbh Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
EP3401742B1 (de) 2017-05-09 2020-09-02 Siemens Aktiengesellschaft Automatisierungssystem und verfahren zum betrieb
DE102017109886A1 (de) * 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes
CN114237092A (zh) * 2021-11-18 2022-03-25 北京卫星制造厂有限公司 电平信号型开关机控制电路

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4225834A1 (de) * 1992-08-05 1994-02-10 Inter Control Koehler Hermann Speicherprogrammierbare digitale Steuerungseinrichtung
DE4423013A1 (de) * 1993-06-30 1995-01-12 El Sayed Thrwat Ahmed Hosny Identifikationskarte für Kraftfahrzeuge
DE19528437A1 (de) * 1995-08-02 1997-02-06 Siemens Ag Verfahren zum Betreiben eines Datenübertragungssystems
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE698837C (de) 1937-09-20 1940-11-18 Ferdinand Stoeckeler
DE59500195D1 (de) * 1994-08-12 1997-05-28 Siemens Ag Verfahren und Einrichtung zur periodischen Datenübertragung mit Broadcast-Funktion zum unabhängigen Datenaustausch zwischen externen Einheiten
DE4433013A1 (de) * 1994-09-15 1996-03-28 Jochen Bihl Verfahren und Vorrichtung zur Steuerung und Aktivierung von miteinander mittels eines Bussystems vernetzten Sensoren und/oder Aktuatoren
DE19508841C2 (de) * 1994-11-18 2002-03-28 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19529430C2 (de) * 1995-07-06 2000-07-13 Baumueller Nuernberg Gmbh Elektrisches Antriebssystem zur Verstellung von mehreren dreh- und/oder verschwenkbaren Funktionsteilen
US5796721A (en) * 1996-06-21 1998-08-18 National Instruments Corporation Method and system for monitoring fieldbus network with dynamically alterable packet filter
US6298454B1 (en) * 1999-02-22 2001-10-02 Fisher-Rosemount Systems, Inc. Diagnostics in a process control system
US20010013826A1 (en) * 1999-09-24 2001-08-16 Kavlico Corporation Versatile smart networkable sensor
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4225834A1 (de) * 1992-08-05 1994-02-10 Inter Control Koehler Hermann Speicherprogrammierbare digitale Steuerungseinrichtung
DE4423013A1 (de) * 1993-06-30 1995-01-12 El Sayed Thrwat Ahmed Hosny Identifikationskarte für Kraftfahrzeuge
DE19528437A1 (de) * 1995-08-02 1997-02-06 Siemens Ag Verfahren zum Betreiben eines Datenübertragungssystems
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Von der sicheren Steuerung zum sicheren Bus." In:mpa 4-1999, S.6-10 *
Zeltwanger,H.: Ins-Systeme vorgestellt. Heute: Der"CAN-Bus." In: Industrie-Elektronik/Electronique industrielle, 2/1995, S.10-12 *

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510638B2 (en) 2000-01-14 2013-08-13 Infineon Technologies Ag Coding method for coding control commands for actuators
WO2001052003A1 (de) * 2000-01-14 2001-07-19 Infineon Technologies Ag Codierverfahren zur codierung von aktoren-steuerbefehlen und aktorensteuereinheit zur steuerung von aktoren
DE10119791A1 (de) * 2001-04-23 2002-11-14 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
DE10119791B4 (de) * 2001-04-23 2006-11-02 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
DE10248100A1 (de) * 2002-10-15 2004-04-29 Abb Patent Gmbh Sicherheitsgerichtete Vorrichtung zum Anschluss von Feldgeräten an einen Feldbus
DE102004015616B4 (de) 2003-04-01 2022-03-17 Fisher-Rosemount Systems, Inc. Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
DE102004015617B4 (de) * 2003-04-01 2014-11-20 Fisher-Rosemount Systems, Inc. Online-Geräteprüfblock, der in ein Prozeßsteuerungs-/Sicherheitssystem integriert ist
US7412293B2 (en) 2004-04-16 2008-08-12 Sick Ag Process control
US8576707B2 (en) 2004-08-17 2013-11-05 Phoenix Contact Gmbh & Co. Kg Method and apparatus for bus coupling of safety-relevant processes
DE102005009795A1 (de) * 2005-03-03 2006-09-14 Wago Verwaltungsgesellschaft Mbh Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
EP1701270A1 (de) 2005-03-07 2006-09-13 Phoenix Contact GmbH & Co. KG Kopplung von sicheren Feldbussystemen
DE102005010820B4 (de) * 2005-03-07 2012-08-30 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
DE102005010820C5 (de) * 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
US8306680B2 (en) 2009-07-10 2012-11-06 Pilz Gmbh & Co. Kg Arrangement and method for controlling an automated system, in particular a railway system
DE102009033529A1 (de) * 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
CN102687122A (zh) * 2009-10-23 2012-09-19 西门子公司 自动化系统和自动化系统的操作方法
WO2011048145A1 (de) * 2009-10-23 2011-04-28 Siemens Aktiengesellschaft Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
US8572305B2 (en) 2010-03-29 2013-10-29 Sick Ag Apparatus and method for configuring a bus system
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
EP2942686A1 (de) * 2013-02-13 2015-11-11 PHOENIX CONTACT GmbH & Co. KG Steuerungs- und datenübertragungssystem zum übertragen von sicherheitsbezogenen daten über ein kommunikationsmedium
WO2016008948A1 (de) * 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co.Kg Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
US11016463B2 (en) 2014-07-16 2021-05-25 Phoenix Contact Gmbh & Co.Kg Control and data-transfer system, gateway module, I/O module, and method for process control
EP3150898B1 (de) 2015-10-01 2021-09-01 B&R Industrial Automation GmbH Verfahren zur automatisierten steuerung einer maschinenkomponente
EP3150898B2 (de) 2015-10-01 2024-05-15 B&R Industrial Automation GmbH Verfahren zur automatisierten steuerung einer maschinenkomponente
CN107861376A (zh) * 2016-09-21 2018-03-30 皮尔茨有限及两合公司 用于防故障地切断带来危险的技术设备的安全电路
DE102021132828A1 (de) 2021-12-13 2023-06-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung

Also Published As

Publication number Publication date
DE50003944D1 (de) 2003-11-06
US6832343B2 (en) 2004-12-14
EP1221075B1 (de) 2003-10-01
DE19939567B4 (de) 2007-07-19
ATE251317T1 (de) 2003-10-15
JP2003507810A (ja) 2003-02-25
WO2001014940A1 (de) 2001-03-01
JP4480313B2 (ja) 2010-06-16
AU6690200A (en) 2001-03-19
US20020093951A1 (en) 2002-07-18
EP1221075A1 (de) 2002-07-10

Similar Documents

Publication Publication Date Title
DE19939567A1 (de) Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE19939568C1 (de) Verfahren zur Einstellung einer Datenübertragungsrate in einem Feldbussystem
EP2317410B1 (de) Sicherheitssteuerung
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
DE19928517C2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2315088B1 (de) Sicherheitssteuerung
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE10353950C5 (de) Steuerungssystem
EP1297394B1 (de) Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem
EP1589386B1 (de) Prozesssteuerung
DE69021186T2 (de) "Master-Slave" industrielles Netzwerk mit Tokenübergabe.
EP2825921B1 (de) Steuerungsvorrichtung zum steuern von sicherheitskritischen prozessen in einer automatisierten anlage und verfahren zur parameterierung der steuerungsvorrichtung
EP1054309B2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
DE102007050708A1 (de) System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP1206868B1 (de) Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
EP3098673A1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP3557598A1 (de) Sicherheitsschalter
DE19940874B4 (de) Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen
EP0904644B1 (de) Verteilte regel- bzw. steuervorrichtung für die objektleittechnik mit netzbus und lokalbus
EP1353246B1 (de) Sicherheitsschalteranordnung
EP1519272B1 (de) Safetymodul zur Verarbeitung sicherheitsrelevanter Bedienung insbesondere von Stop- und Zustimmungstastern eines mobilen Bedien- und Beobachtungsgeräts in einem HMI System
DE102022119309B3 (de) Automatisierungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee