DE19940874A1 - Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen - Google Patents

Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen

Info

Publication number
DE19940874A1
DE19940874A1 DE19940874A DE19940874A DE19940874A1 DE 19940874 A1 DE19940874 A1 DE 19940874A1 DE 19940874 A DE19940874 A DE 19940874A DE 19940874 A DE19940874 A DE 19940874A DE 19940874 A1 DE19940874 A1 DE 19940874A1
Authority
DE
Germany
Prior art keywords
telegram
bus
address
subscriber
safe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19940874A
Other languages
English (en)
Other versions
DE19940874B4 (de
Inventor
Roland Rupp
Klaus Wohnhaas
Hans Schwenkel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=7919308&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE19940874(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Priority to DE19940874A priority Critical patent/DE19940874B4/de
Priority to EP00954639A priority patent/EP1206868B1/de
Priority to PCT/EP2000/008062 priority patent/WO2001015385A2/de
Priority to JP2001518987A priority patent/JP4599013B2/ja
Priority to DE50009809T priority patent/DE50009809D1/de
Priority to AT00954639T priority patent/ATE291322T1/de
Priority to AU67025/00A priority patent/AU6702500A/en
Publication of DE19940874A1 publication Critical patent/DE19940874A1/de
Priority to US10/080,111 priority patent/US6871240B2/en
Publication of DE19940874B4 publication Critical patent/DE19940874B4/de
Application granted granted Critical
Anticipated expiration legal-status Critical
Revoked legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks

Abstract

Die vorliegende Erfindung beschreibt ein Verfahren zum Konfigurieren eines sicheren Busteilnehmers (12, 18) beim Anschließen an einen Feldbus in einem sicheren Steuerungssystem, wobei dem sicheren Busteilnehmer (12, 18) eine definierte Teilnehmeradresse zugeordnet wird. Das erfindungsgemäße Verfahren ist durch folgende Schritte gekennzeichnet: DOLLAR A - Versenden eines ersten Anmeldetelegramms (114) von dem sicheren Busteilnehmer (18) zu einer an den Feldbus angeschlossenen Verwaltungseinheit (70), wobei das erste Anmeldetelegramm (114) eine festgelegte Universaladresse beinhaltet, DOLLAR A - Versenden eines Adreßvergabetelegramms (118) von der Verwaltungseinheit (70) an den sicheren Busteilnehmer (18), wobei das Adreßvergabetelegramm (118) die definierte Teilnehmeradresse beinhaltet und DOLLAR A - Abspeichern der definierten Teilnehmeradresse in einem Speicher (120) des sicheren Busteilnehmers (18) (Fig. 2).

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Konfigu­ rieren eines sicheren Busteilnehmers beim Anschließen an einen Feldbus in einem sicheren Steuerungssystem, wobei dem sicheren Busteilnehmer eine definierte Teilnehmeradresse zugeordnet wird.
Die Erfindung betrifft darüber hinaus auch ein Steuerungssystem zum sicheren Steuern von sicherheitskritischen Prozessen, mit zumindest einem sicheren Busteilnehmer, der an einen Feldbus angeschlossen ist, wobei der sichere Busteilnehmer erste Mittel zum Aufnehmen und Auswerten eines Bustelegramms sowie einen Speicher zum Speichern einer dem Busteilnehmer zugeordneten Teilnehmeradresse aufweist.
Ein derartiges Verfahren bzw. ein derartiges Steuerungssystem sind aufgrund ihrer Verwendung beim Steuern von sicherheitskri­ tischen Prozessen bekannt.
Bei einem Feldbus handelt es sich um ein System zur Datenkommu­ nikation, bei dem die angeschlossenen Busteilnehmer über eine Sammelleitung miteinander verbunden sind. Daher können zwei an den Feldbus angeschlossene Busteilnehmer miteinander kommuni­ zieren, ohne individuell direkt miteinander verkabelt zu sein. Beispiele für bekannte Feldbusse sind der sogenannte CAN-Bus, der sogenannte Profibus und der sogenannte Interbus.
Im Bereich der Steuer- und Automatisierungstechnik ist die Ver­ wendung von Feldbussen bereits seit längerem hinreichend be­ kannt. Dies gilt jedoch nicht für die Steuerung von sicher­ heitskritischen Prozessen, bei denen in der Praxis bis in die jüngste Vergangenheit hinein die an der Steuerung beteiligten Einheiten individuell miteinander verkabelt wurden. Grund hier­ für ist, daß die bekannten Feldbusse die zur Steuerung von si­ cherheitskritischen Prozessen erforderliche Fehlersicherheit (Fehlerwahrscheinlichkeit kleiner als 10-11) nicht gewährleisten konnten. Zwar besitzen alle bekannten Feldbusse Maßnahmen zur Fehlersicherung bei der Datenübertragung, diese Maßnahmen sind jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu gewährleisten. Hinzu kommt, daß Feldbusse offene Systeme sind, an die grundsätzlich beliebige Einheiten angeschlossen werden können. Dabei besteht die Gefahr, daß eine Einheit, die mit ei­ nem zu steuernden sicherheitskritischen Prozeß gar nichts zu tun hat, diesen ungewollt beeinflußt.
Unter einem sicherheitskritischen Prozeß wird hier ein Prozeß verstanden, von dem bei Auftreten eines Fehlers eine nicht ak­ zeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei einem sicherheitskritischen Prozeß muß daher mit im Idealfall 100%iger Sicherheit gewährleistet sein, daß der Prozeß bei Auf­ treten eines Fehlers in einen sicheren Zustand überführt wird. Dies kann bei einer Maschinenanlage beinhalten, daß die Anlage abgeschaltet wird. Bei einem chemischen Produktionsprozeß könn­ te ein Abschalten jedoch unter Umständen eine unkontrollierte Reaktion hervorrufen, so daß in einem solchen Fall der Prozeß besser in einen unkritischen Parameterbereich gefahren wird.
Sicherheitskritische Prozesse können auch Teilprozesse von grö­ ßeren, übergeordneten Gesamtprozessen sein. Bei einer hydrauli­ schen Presse kann bspw. die Materialzuführung ein nicht- sicherheitskritischer Teilprozeß, das Inbetriebnehmen des Preß­ werkzeugs dagegen ein sicherheitskritischer Teilprozeß sein. Weitere Beispiele für sicherheitskritische (Teil-)Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Licht­ schranken, die Steuerung von Zwei-Hand-Schaltern oder die Über­ wachung und Auswertung eines Not-Aus-Schalters.
Die an der Steuerung eines sicherheitskritischen Prozesses be­ teiligten Einheiten müssen über ihre eigentliche Funktion hin­ ausgehende, sicherheitsbezogene Einrichtungen aufweisen, um von den zuständigen Aufsichtsbehörden für sicherheitskritische Auf­ gaben zugelassen zu werden. Diese Einrichtungen dienen vor al­ lem der Fehler- und Funktionsüberwachung. In der Regel sind die beteiligten Einheiten redundant aufgebaut, um eine sichere Funktion auch bei Auftreten eines Fehlers zu gewährleisten. Einheiten mit derartigen sicherheitsbezogenen Einrichtungen werden nachfolgend im Unterschied zu "normalen" Einheiten als sicher bezeichnet.
Die an den Feldbus angeschlossenen Einheiten werden nachfolgend allgemein als Busteilnehmer bezeichnet. Bei einem Steuerungssy­ stem zum sicheren Steuern von sicherheitskritischen Prozessen handelt es sich bei den Busteilnehmern üblicherweise entweder um Steuerungseinheiten oder um Signaleinheiten. Als Steuerungs­ einheit wird dabei ein Busteilnehmer bezeichnet, der eine ge­ wisse Intelligenz zur Steuerung eines Prozesses besitzt. In der Fachterminologie werden derartige Busteilnehmer üblicherweise als Clients bezeichnet. Sie erhalten Daten und/oder Signale, die Zustandsgrößen der gesteuerten Prozesse repräsentieren, und aktivieren in Abhängigkeit von diesen Informationen Aktoren, die den zu steuernden Prozeß beeinflussen. Üblicherweise ist die Intelligenz in Form eines veränderbaren Anwenderprogramms in einem Speicher der Steuerungseinheiten abgelegt. In der Re­ gel werden als Steuerungseinheiten sogenannte SPS (Speicher Programmierbare Steuerungen) verwendet.
Eine Signaleinheit ist demgegenüber ein Busteilnehmer, der im wesentlichen Ein- und Ausgangskanäle (E/A-Kanäle) bereitstellt, an die einerseits Sensoren zur Aufnahme von Prozeßgrößen und andererseits Aktoren angeschlossen werden können. Die Si­ gnaleinheiten besitzen in der Regel keine Intelligenz in Form eines veränderbaren Anwenderprogramms. Sie werden in der Fach­ terminologie üblicherweise als Server bezeichnet.
Bei vielen Feldbussen, wie etwa dem CAN-Bus, ist es bekannt, den einzelnen Busteilnehmern eine individuelle Teilnehmeradres­ se zuzuordnen. Die Teilnehmeradresse dient dazu, Bustelegramme mit zu übertragenden Nachrichten gezielt von dem sendenden Bus­ teilnehmer zu dem empfangenden Busteilnehmer zu übermitteln. Beim Aufbau eines Steuerungssystems zum Steuern von sicher­ heitskritischen Prozessen stellt die Vergabe der Teilnehmer­ adressen an die Busteilnehmer eine sicherheitskritische Maßnah­ me dar. Wenn nämlich bspw. zwei verschiedene Signaleinheiten die Zustandsdaten von zwei verschiedenen Schutzgittern aufneh­ men und an die Steuerungseinheit weitergeben, kann eine falsche Adreßzuordnung der beiden Signaleinheiten dazu führen, daß die Steuerungseinheit die Bewegung einer abzusichernden Maschine nicht abschaltet, obwohl das entsprechende Schutzgitter geöff­ net wurde.
Bei den bisher bekannten, gattungsgemäßen Steuerungssystemen bzw. den entsprechenden Verfahren zum Konfigurieren der siche­ ren Busteilnehmer werden die Teilnehmeradressen direkt am Bus­ teilnehmer eingestellt. Hierzu weist jeder Busteilnehmer entwe­ der einen mechanischen Codierschalter, insbesondere einen Dreh­ schalter, oder eine serielle Programmierschnittstelle auf. Ein Nachteil dieser Lösung ist, daß das Einstellen der Teilnehmer­ adressen hier direkt am Ort des einzelnen Busteilnehmers erfol­ gen muß. Bei komplexen Prozeßsteuerungen im industriellen Be­ reich können die einzelnen an den Feldbus angeschlossenen Busteilnehmer jedoch bis zu mehreren hundert Metern auseinan­ derliegen. Beim Aufbau eines sicheren Steuerungssystems sind in diesem Fall daher große Laufwege erforderlich, die das Einrich­ ten und Konfigurieren umständlich machen.
Hinzu kommt, daß es aufgrund der großen Laufwege in diesem Fall leicht möglich ist, den Überblick zu verlieren, was zu fehler­ haften Adreßzuordnungen führen kann. Ein weiterer wesentlicher Nachteil der bekannten Lösungen ist, daß beim Austausch eines defekten Busteilnehmers dessen Teilnehmeradresse bekannt sein muß, damit diese anschließend dem Austausch-Busteilnehmer zuge­ ordnet werden kann. Bei industriellen Anlagen, die häufig rund um die Uhr betrieben werden, bedeutet dies, daß immer entspre­ chend fachkundiges Personal verfügbar sein muß, um den Aus­ tausch eines defekten Busteilnehmers vorzunehmen. In dem Fall, daß dem Busteilnehmer die Teilnehmeradresse mit Hilfe eines Programmiergerätes über die serielle Schnittstelle zugeordnet wird, ist auch stets das entsprechende Programmiergerät erfor­ derlich.
Bei der Zuordnung einer Teilnehmeradresse über eine Program­ mierschnittstelle besteht darüber hinaus der Nachteil, daß die dem Busteilnehmer zugeordnete Teilnehmeradresse von außen nicht zu erkennen ist. Hierdurch besteht die Gefahr, daß ein Busteil­ nehmer, der früher einmal mit einer anderen Teilnehmeradresse verwendet wurde, bei seiner Verwendung in einer neuen Umgebung versehentlich mit seiner alten Teilnehmeradresse betrieben wird. Dieses Risiko ist besonders groß, wenn ein schon einmal verwendeter Busteilnehmer im Rahmen einer Wartung in ein ande­ res Steuerungssystem integriert werden soll.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren der eingangs genannten Art anzugeben, mit dem einem sicheren Busteilnehmer von einer zentralen Stelle aus auf einfache und gleichzeitig fehlersichere Art und Weise eine Teilnehmeradresse zugeordnet werden kann. Es ist darüber hinaus Aufgabe der Er­ findung, ein entsprechendes Steuerungssystem anzugeben.
Diese Aufgabe wird durch ein Verfahren der eingangs genannten Art gelöst, das folgende Schritte aufweist:
  • - Versenden eines ersten Anmeldetelegramms von dem sicheren Busteilnehmer zu einer an den Feldbus angeschlossenen Ver­ waltungseinheit, wobei das erste Anmeldetelegramm eine festgelegte Universaladresse beinhaltet,
  • - Versenden eines Adreßvergabetelegramms von der Verwal­ tungseinheit an den sicheren Busteilnehmer, wobei das Adreßvergabetelegramm die definierte Teilnehmeradresse be­ inhaltet und
  • - Abspeichern der definierten Teilnehmeradresse in einem Speicher des sicheren Busteilnehmers.
Die Aufgabe wird des weiteren durch ein Steuerungssystem der eingangs genannten Art gelöst, bei dem der Busteilnehmer zweite Mittel aufweist, um sich unter einer festgelegten Universal­ adresse bei einer an den Feldbus angeschlossenen Verwaltungs­ einheit anzumelden, sowie dritte Mittel, um ein Adreßvergabete­ legramm mit der Teilnehmeradresse aufzunehmen und auszuwerten.
Mit dem genannten Verfahren ist es möglich, den zu konfigurie­ renden Busteilnehmer zunächst ohne Zuordnung der individuellen Teilnehmeradresse an den Feldbus anzuschließen. Aufgrund der festgelegten Universaladresse kann sich dieser Busteilnehmer anschließend bei der genannten Verwaltungseinheit anmelden. Die Verwaltungseinheit ist bevorzugt eine zentrale Verwaltungsein­ heit für das gesamte Steuerungssystem. Im nächsten Schritt wird dem zu konfigurierenden Busteilnehmer von der Verwaltungsein­ heit die individuelle Teilnehmeradresse übermittelt. Dies ge­ schieht mit Hilfe eines speziellen Adreßvergabetelegramms, das die Verwaltungseinheit an den zu konfigurierenden Busteilnehmer versendet. Der angesprochene Busteilnehmer wertet das empfange­ ne Adreßvergabetelegramm aus, indem er die übermittelte Teil­ nehmeradresse extrahiert und anschließend in einem Speicher ab­ speichert. Bevorzugt speichert er die Teilnehmeradresse dabei in einem nicht-flüchtigen Speicher, wie bspw. einem EEPROM.
Mit Hilfe dieses Verfahrens ist es möglich, dem sicheren Bus­ teilnehmer von einer zentralen Stelle aus, nämlich der Verwal­ tungseinheit, die definierte Teilnehmeradresse zuzuordnen. Bei einem räumlich ausgedehnten Steuerungssystem entfallen daher die bisher erforderlichen, langen Laufwege. Darüber hinaus wird durch die Möglichkeit, sämtliche Busteilnehmer von einer zen­ tralen Stelle aus zu konfigurieren, der Überblick erleichtert und so das Fehlerrisiko einer versehentlich falschen Adreßver­ gabe verringert. Da zudem sowohl der sichere Busteilnehmer als auch die Verwaltungseinheit sicherheitsbezogene Einrichtungen aufweisen, kann die Übertragung der definierten Teilnehmer­ adresse trotz der an sich bestehenden Fehlermöglichkeiten des Bussystems auf fehlersichere Weise erfolgen.
Die genannte Aufgabe ist daher vollständig gelöst.
In einer Ausgestaltung des Verfahrens versendet der sichere Busteilnehmer nach Empfang des Adreßvergabetelegramms ein zwei­ tes Anmeldetelegramm an die Verwaltungseinheit, wobei das zwei­ te Anmeldetelegramm die definierte Teilnehmeradresse beinhal­ tet.
Diese Maßnahme besitzt den Vorteil, daß die Verwaltungseinheit überprüfen kann, ob der sichere Busteilnehmer die zugeordnete Teilnehmeradresse nicht nur fehlerfrei empfangen, sondern auch fehlerfrei verarbeitet hat. Hierdurch wird die Sicherheit der Adreßzuordnung nochmals erhöht. Anschaulich gesprochen bedeutet die genannte Maßnahme, daß sich der sichere Busteilnehmer nach Erhalt der ihm zugeordneten Teilnehmeradresse ein zweites Mal bei der Verwaltungseinheit anmeldet. Die Maßnahme besitzt dar­ über hinaus den weiteren Vorteil, daß aus Sicht der Verwal­ tungseinheit die Universaladresse eindeutig wieder freigegeben ist. Somit steht sie einem anderen Busteilnehmer zur Benutzung zur Verfügung, ohne daß es zu Mehrdeutigkeiten hinsichtlich des betroffenen Busteilnehmers kommen kann.
In einer weiteren Ausgestaltung der Erfindung versendet der si­ chere Busteilnehmer das erste Anmeldetelegramm erst nach Emp­ fang eines definierten Wartungstelegramms an die Verwaltungs­ einheit.
Diese Maßnahme besitzt den Vorteil, daß die Verwaltungseinheit stets die Kontrolle über das Geschehen am Feldbus behält. Es ist hiernach ausgeschlossen, daß sich ein neuer, zu konfigurie­ render Busteilnehmer von sich aus in das Geschehen am Feldbus einmischt, ohne hierzu von der Verwaltungseinheit eine Freigabe erhalten zu haben. Auch hierdurch wird die Sicherheit des Steuerungssystems verbessert, da eine zentrale Kontrolle ge­ währleistet ist.
In einer bevorzugten Ausgestaltung dieser Maßnahme versendet der sichere Busteilnehmer das erste Anmeldetelegramm nur nach dem erstmaligen Empfang des definierten Wartungstelegramms an die Verwaltungseinheit, während er bei einem wiederholten Emp­ fang des definierten Wartungstelegramms das zweite Anmeldetele­ gramm versendet.
Diese Maßnahme besitzt den Vorteil, daß das Wartungstelegramm als sogenanntes Broadcast-Telegramm jeweils gleichzeitig an al­ le an den Feldbus angeschlossenen Busteilnehmer gemeinsam ver­ sendet werden kann. Hierdurch vereinfacht sich das erfindungs­ gemäße Verfahren, da die Anmeldung des neuen, zu konfigurieren­ den Busteilnehmers nicht von bereits angemeldeten und konfigu­ rierten Busteilnehmern gestört oder verzögert wird. Es ist hierdurch auch möglich, das erfindungsgemäße Verfahren mit we­ sentlich weniger Verfahrensschritten durchzuführen. Der erstma­ lige Empfang kann sich je nach der konkreten Realisierung des erfindungsgemäßen Verfahrens auf den erstmaligen Empfang nach jedem Einschalten des Steuerungssystems beziehen. Bevorzugt be­ zieht er sich jedoch auf den erstmaligen Empfang nach dem An­ schluß des Busteilnehmers an den Feldbus.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen wird das definierte Wartungstelegramm nur nach Aktivieren eines besonderen Wartungsmodus der Verwaltungseinheit versendet.
Die Aktivierung des besonderen Wartungsmodus erfolgt bevorzugt durch die Betätigung eines Schlüsselschalters oder eines Code­ schlosses, das mit der Verwaltungseinheit verbunden ist. Der besondere Wartungsmodus der Verwaltungseinheit unterscheidet sich von allen anderen Betriebsmodi der Verwaltungseinheit dar­ in, daß nur in diesem Wartungsmodus das definierte Wartungste­ legramm versendet wird. Die Maßnahme besitzt den Vorteil, daß die Zuordnung von Teilnehmeradressen nur nach einem bewußten Eingriff in das sichere Steuerungssystem möglich ist. Hierdurch wird eine versehentliche Vergabe von Teilnehmeradressen verhin­ dert. Infolge dessen ist das Risiko einer falschen Zuordnung von Teilnehmeradressen beträchtlich reduziert.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme beendet die Verwaltungseinheit den besonderen Wartungsmodus au­ tomatisch nach Empfang des zweiten Anmeldetelegramms.
Auch diese Maßnahme trägt erheblich dazu bei, das Risiko einer fehlerhaften Adreßzuordnung zu minimieren, da der besondere Wartungsmodus in diesem Fall nur für jeweils eine einzige Adreßzuordnung aktiviert werden kann. Es ist hiernach also für jede Zuordnung einer Teilnehmeradresse der erneute, bewußte Eingriff in das sichere Steuerungssystem notwendig. Die Sicher­ heit des Systems wird hierdurch nochmals beträchtlich verbes­ sert.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen wird der Verwaltungseinheit zu Beginn des besonderen Wartungs­ modus die definierte Teilnehmeradresse übermittelt.
Alternativ zu dieser Maßnahme ist es möglich, daß die Verwal­ tungseinheit die definierte Teilnehmeradresse selbständig aus einem Speicher ausliest und somit den einzelnen Busteilnehmern der Reihe nach Teilnehmeradressen aus einer Liste von Teilneh­ meradressen zuordnet. Die zuvor genannte Maßnahme besitzt dem­ gegenüber den Vorteil, daß für die Zuordnung jeder individuel­ len Teilnehmeradresse erneut eine bewußte Handlung desjenigen erforderlich ist, der die Konfiguration der Busteilnehmer durchführen möchte. Auch hierdurch wird die Sicherheit der Adreßzuordnung beträchtlich erhöht.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme erzeugt die Verwaltungseinheit ein Fehlersignal, wenn die über­ mittelte Teilnehmeradresse bereits an einen an den Feldbus an­ geschlossenen Busteilnehmer vergeben ist.
Auch diese Maßnahme trägt zur Vermeidung einer fehlerhaften Adreßzuordnung bei, da hierdurch die mehrfache Zuordnung einer Teilnehmeradresse an verschiedene Busteilnehmer zuverlässig verhindert ist.
In einer weiteren Ausgestaltung der Erfindung versendet die Verwaltungseinheit Wartungstelegramme in definierten Zeitab­ ständen an alle an den Feldbus angeschlossenen Busteilnehmer.
Diese Maßnahme steht im Gegensatz dazu, daß ein Wartungstele­ gramm jeweils nur nach einer individuellen Aktivierung eines besonderen Wartungsmodus versendet werden kann. Die genannte Maßnahme besitzt demgegenüber den Vorteil, daß der Anschluß ei­ nes neuen Busteilnehmers im laufenden Betrieb des Steuerungssy­ stems auf sehr einfache und komfortable Weise möglich ist. Die Teilnehmeradresse kann hierbei entweder von der Verwaltungsein­ heit automatisch aus einer Liste von möglichen Teilnehmeradres­ sen ausgewählt werden oder sie kann der Verwaltungseinheit vor dem Anschließen des neuen Busteilnehmers übermittelt werden.
Eine weitere Ausgestaltung des erfindungsgemäßen Verfahrens ist durch die folgenden Schritte gekennzeichnet:
  • - Überprüfen der Anwesenheit aller aktiv an den Feldbus an­ geschlossenen Busteilnehmer anhand einer Sollkonfiguration von Busteilnehmern sowie anhand von Antworttelegrammen der Busteilnehmer und
  • - Versenden der Teilnehmeradresse eines als nicht mehr aktiv erkannten Busteilnehmers als definierte Teilnehmeradresse.
Diese Ausgestaltung der Erfindung ist besonders vorteilhaft im Hinblick auf Wartungsarbeiten an einem bereits eingerichteten, sicheren Steuerungssystem. Mit der bekannten Maßnahme ist es nämlich auf einfache Weise möglich, einen defekten Busteilneh­ mer durch einen neuen Busteilnehmer auszutauschen, ohne daß dem neuen Busteilnehmer hierbei bewußt eine Teilnehmeradresse zuge­ ordnet werden muß. Die Verwaltungseinheit prüft in dieser Aus­ gestaltung des Verfahrens nämlich laufend, ob alle bei ihr an­ gemeldeten Busteilnehmer aktiv am Feldbus angeschlossen sind. Fehlt ein einzelner Busteilnehmer, so deutet dies auf einen De­ fekt oder darauf hin, daß dieser Busteilnehmer bereits vom Feldbus abgetrennt wurde. Aufgrund der bekannten Sollkonfigura­ tion kann die Verwaltungseinheit die Teilnehmeradresse dieses fehlenden Busteilnehmers identifizieren. Sobald sich bei der Verwaltungseinheit dann ein neuer Busteilnehmer unter der fest­ gelegten Universaladresse anmeldet, wird diesem die Teilnehme­ radresse des fehlenden Busteilnehmers zugeordnet. Auf diese Weise ist der Austausch eines defekten Busteilnehmers möglich, ohne daß dem neuen Busteilnehmer die alte Teilnehmeradresse von Hand zugeordnet werden muß. Besonders bevorzugt wird diese Aus­ gestaltung der Erfindung damit kombiniert, daß das definierte Wartungstelegramm nur nach Aktivieren eines besonderen War­ tungsmodus der Verwaltungseinheit versendet wird. In dieser Kombination ist nämlich einerseits eine sehr große Sicherheit bezüglich der Zuordnung einer Teilnehmeradresse gegeben, wäh­ rend andererseits ein defekter Busteilnehmer sehr einfach und ohne Fachkenntnisse ausgetauscht werden kann. Dies ist beson­ ders vorteilhaft im Hinblick auf Produktionsanlagen, die rund um die Uhr betrieben werden.
In einer weiteren Ausgestaltung der Erfindung erzeugt die Ver­ waltungseinheit ein Fehlersignal, wenn mehr als ein Busteilneh­ mer das erste Anmeldetelegramm versendet.
Auch diese Maßnahme besitzt den Vorteil, daß die Sicherheit er­ höht wird, da in diesem Fall die gleichzeitige Zuordnung einer Teilnehmeradresse an mehrere Busteilnehmer verhindert ist.
In einer weiteren Ausgestaltung der Erfindung werden zumindest das erste Anmeldetelegramm sowie das Adreßvergabetelegramm mit jeweils einem Quittungstelegramm beantwortet.
Diese Maßnahme zielt darauf ab, daß der Empfänger der genannten Telegramme unabhängig von deren eigentlicher Verarbeitung ein Quittungstelegramm an den Absender zurückschickt. Hierdurch wird ebenfalls die Sicherheit der Adreßzuordnung beträchtlich erhöht, da der Absender auf diese Weise überprüfen kann, ob der Empfänger das jeweilige Telegramm fehlerfrei erhalten hat.
Es versteht sich, daß die vorstehend genannten und die nach­ stehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Fig. 1 eine schematische Darstellung eines Steuerungssy­ stems zum sicheren Steuern von sicherheitskritischen Prozessen,
Fig. 2 den Kommunikationsablauf zwischen einer Verwaltungs­ einheit und zwei Busteilnehmern bei einem ersten Ausführungsbeispiel der Erfindung und
Fig. 3 den Kommunikationsablauf zwischen der Verwaltungs­ einheit und den beiden Busteilnehmern bei weiteren Ausführungsbeispielen der Erfindung.
In Fig. 1 ist ein Steuerungssystem zum sicheren Steuern von si­ cherheitskritischen Prozessen in seiner Gesamtheit mit der Be­ zugsziffer 10 bezeichnet.
Das Steuerungssystem 10 besitzt zwei sichere Steuerungseinhei­ ten 12 und 14, die über einen Feldbus 16 mit insgesamt vier si­ cheren Signaleinheiten 18, 20, 22 und 24 verbunden sind. Die Steuerungseinheiten 12, 14 und die Signaleinheiten 18 bis 24 sind Busteilnehmer im Sinne der vorliegenden Erfindung.
Jede der sicheren Signaleinheiten 18 bis 24 weist mehrere E/A- Kanäle auf, über die sie mit jeweils einem sicherheitskriti­ schen Prozeß 28, 30, 32 verbunden ist. Im vorliegenden Fall sind die sicheren Signaleinheiten 18 und 20 mit dem Prozeß 28 verbunden, während die Signaleinheit 22 mit dem Prozeß 30 und die Signaleinheit 24 mit dem Prozeß 32 verbunden ist. Bei dem sicherheitskritischen Prozeß 28 handelt es sich bspw. um die Zwei-Hand-Steuerung einer Maschinenanlage, bei der außerdem auch die Drehzahl einer hier nicht dargestellten Maschinenwelle überwacht wird. Der sicherheitskritische Prozeß 30 ist bspw. die Überwachung eines Not-Aus-Schalters und der sicherheitskri­ tische Prozeß 32 die Überwachung eines Schutzgitters (hier ebenfalls nicht dargestellt).
Die Signaleinheiten 18 bis 24 lesen über ihre E/A-Kanäle 26 Si­ gnale und/oder Datenwerte der sicherheitskritischen Prozesse 28 bis 32 ein. Derartige Signale bzw. Datenwerte sind bspw. die aktuelle Drehzahl der Maschinenwelle und die Schalterstellung des Not-Aus-Schalters. Andererseits können die Signaleinheiten 18 bis 24 über die E/A-Kanäle 26 auf hier nicht dargestellte Aktoren einwirken, mit denen die sicherheitskritischen Prozesse 28 bis 32 beeinflußt werden. So gehört bspw. zu dem sicher­ heitskritischen Prozeß 30, bei dem die Schalterstellung des Not-Aus-Schalters überwacht wird, ein Aktor, mit dem die Strom­ versorgung der gesteuerten und überwachten Maschinenanlage ab­ geschaltet werden kann.
Die sicheren Steuerungseinheiten 12 und 14 sind SPS- Steuerungen. Sie sind hier vom Grundsatz her gleich zueinander aufgebaut und unterscheiden sich im wesentlichen durch ver­ schiedenen Anwendungsprogramme, die auf ihnen ausgeführt wer­ den.
Bei der nachfolgenden Erläuterung der Steuerungseinheiten 12, 14 bzw. der Signaleinheiten 18 bis 24 sind die jeweils genann­ ten Bezugszeichen in Fig. 1 aus Gründen der Übersichtlichkeit nur einfach aufgeführt.
Die Steuerungseinheiten 12, 14 beinhalten jeweils einen siche­ ren Verarbeitungsteil 34, der in Fig. 1 oberhalb der strich­ punktierten Linie 36 dargestellt ist. Unterhalb der Linie 36 befindet sich ein nicht-sicherer Teil 38, der im wesentlichen einen als Buscontroller bezeichneten Baustein 40 enthält. Der Buscontroller 40 ist ein Standard-Baustein, in dem das Stan­ dard-Protokoll des verwendeten Feldbusses 16 implementiert ist. Der Buscontroller 40 ist in der Lage, das Versenden und Empfan­ gen von Nachrichten in Form von Telegrammen eigenständig abzu­ wickeln. Die zu versendenden Nachrichten erhält der Buscontrol­ ler 40 von dem sicheren Verarbeitungsteil 34. Umgekehrt stellt der Buscontroller 40 empfangene Nachrichten dem sicheren Verar­ beitungsteil 34 zur Verfügung.
Entsprechend einer bevorzugten Ausführung der Erfindung handelt es sich bei dem Feldbus 16 hier um einen CAN-Bus. Bei diesem Bus werden die zu versendenden Nachrichten innerhalb eines Nutzdatenfeldes übertragen, das für seinen Weg über den Feldbus 16 mit zusätzlichen Steuerungsinformationen ergänzt wird. Das gesamte Paket aus Steuerungsinformationen und Nutzdatenfeld bildet das Bustelegramm. Der Buscontroller 40 ist in der Lage, Nachrichten, die er von dem sicheren Verarbeitungsteil 34 er­ hält, selbständig in der dem Protokoll entsprechenden Form in die zu versendenden Bustelegramme einzubetten. Umgekehrt kann er bei einem empfangenen Bustelegramme die im Nutzdatenfeld enthaltenen Nachrichten extrahieren.
Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12, 14 ist zweikanalig-redundant aufgebaut. Jeder der beiden Kanäle enthält im wesentlichen einen Prozessor 42a, 42b mit jeweils zugehöriger Peripherie, mit dem ein Anwendungsprogramm 44a, 44b ausgeführt wird. In dem Anwendungsprogramm 44a, 44b ist die Steuerung der Maschinenanlage und damit die Intelligenz der Steuerungseinheiten 12, 14 niedergelegt.
Die beiden Prozessoren 42a, 42b führen sicherheitsrelevante Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt ist. Die sicherheitsrelevanten Aufgaben beinhalten bspw. Maß­ nahmen zur Fehlersicherung von übertragenen bzw. versendeten Nachrichten. Diese Maßnahmen erfolgen zusätzlich und in Ergän­ zung zu Fehlersicherungsmaßnahmen, die bereits standardmäßig von dem Buscontroller 40 durchgeführt werden. Hierdurch ist es möglich, die Fehlerwahrscheinlichkeit gegenüber dem an sich nicht-sicheren Feldbus 16 beträchtlich zu erhöhen.
Die Signaleinheiten 18 bis 24 sind über den gleichen Buscon­ troller 40 an den Feldbus 16 angeschlossen wie die sicheren Steuerungseinheiten 12, 14. Dementsprechend ist der Teil 48 oberhalb der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne der vorliegenden Erfindung. In dem sicheren Verarbeitungsteil unterhalb der Linie 50 ist jede Signaleinheit 18 bis 24 wieder­ um zweikanalig-redundant aufgebaut. Die beiden redundanten Ver­ arbeitungskanäle sind wiederum in der Lage, eine gegenseitige Fehlerüberwachung durchzuführen.
Jeder der Verarbeitungskanäle der Signaleinheiten 18 bis 24 be­ sitzt einen Prozessor 54a, 54b sowie ein Schaltmittel 56a, 56b.
Mit den Bezugsziffern 58a, 58b ist jeweils ein Speicher be­ zeichnet, in dem einerseits eine festgelegte Universaladresse abgelegt ist und in dem die Prozessoren 54a, 54b andererseits eine zugeordnete Teilnehmeradresse abspeichern können. In Ver­ bindung mit dem Buscontroller 40 ist jede Signaleinheit 18 bis 24 daher in der Lage, sich unter der festgelegten Universal­ adresse bei einer an dem Feldbus angeschlossenen Verwaltungs­ einheit anzumelden bzw. umgekehrt ein Adreßvergabetelegramm mit einer zugeordneten Teilnehmeradresse aufzunehmen und auszuwer­ ten. Dieselbe Fähigkeit besitzen auch die sicheren Steuerungs­ einheiten 12, 14, wenngleich dies in Fig. 1 nicht explizit dar­ gestellt ist.
Die Schaltmittel 56a, 56b versetzen die Signaleinheiten 18 bis 24 in die Lage, die hier nicht dargestellten Aktoren zur Beein­ flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti­ vieren. Damit sind die sicheren Signaleinheiten 18 bis 24 in der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen sicheren Zustand zu überführen, wie bspw. bei einer Betätigung des Not-Aus-Schalters die Maschinenanlage abzuschalten.
Mit der Bezugsziffer 70 ist in Fig. 1 die bereits erwähnte Ver­ waltungseinheit bezeichnet, die in der Fachterminologie auch als "Management Device" bezeichnet wird. Die Verwaltungseinheit 70 ist ebenfalls über einen Buscontroller 40 an den Feldbus 16 angeschlossen. Sie kann daher mit den übrigen an den Feldbus 16 angeschlossenen Einheiten kommunizieren. An der Steuerung der sicherheitskritischen Prozesse 28 bis 32 ist sie jedoch nicht unmittelbar beteiligt.
In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein­ heit 70 im wesentlichen zwei zueinander redundante Speicher 72a, 72b, in denen unter anderem die gesamte Konfiguration des Steuerungssystems 10, insbesondere die Zuordnung der definier­ ten Teilnehmeradressen an die Busteilnehmer 12, 14 bzw. 18 bis 24 abgelegt ist. Die Verwaltungseinheit 70 besitzt eine zentra­ le Verwaltungs- und Überwachungsfunktion, die unabhängig von der Steuerung der Prozesse 28 bis 32 abläuft. Beispielsweise initiiert die Verwaltungseinheit 70 in regelmäßigen Zeitinter­ vallen eine Verbindungsprüfung zwischen den Steuerungseinheiten 12, 14 und den Signaleinheiten 18 bis 24. Dabei überprüft die Verwaltungseinheit 70 durch Versenden eines Verbindungsprüfte­ legramms an die Steuerungseinheiten 12, 14, ob die Verbindung zu diesen Steuerungseinheiten fehlerfrei funktioniert. Als Re­ aktion auf dieses Prüftelegramm versenden die Steuerungseinhei­ ten 12, 14 ihrerseits Prüftelegramme an die ihnen zugeordneten Signaleinheiten 18 bis 24. Die Verwaltungseinheit 70 überwacht dabei den gesamten Datenverkehr und erhält hierdurch in regel­ mäßigen Zeitintervallen eine Information darüber, ob immer noch alle ihr bekannten Busteilnehmer aktiv am Feldbus 16 ange­ schlossen sind. Bei Ausbleiben eines erwarteten Prüftelegramms oder auch beim Ausbleiben eines erwarteten Antworttelegramms erzeugt die Verwaltungseinheit ein Fehlertelegramm, aufgrund dessen die sicherheitskritischen Prozesse 28 bis 32 in ihren sicheren Zustand überführt werden.
Alternativ zu dem hier dargestellten Ausführungsbeispiel kann die Verwaltungseinheit 70 auch in einer der Steuerungseinheiten 12, 14 integriert sein. In diesem Fall stellt die Verwaltungs­ einheit 70 einen Funktionsblock innerhalb der Steuerungseinheit 12, 14 dar. In einem weiteren, hier ebenfalls nicht dargestell­ ten Ausführungsbeispiel besitzt das Steuerungssystem 10 nur ei­ ne Steuerungseinheit 12.
Mit der Bezugsziffer 80 ist beispielhaft ein Bustelegramm be­ zeichnet, das zwischen zwei Busteilnehmern über den Feldbus 16 übertragen wird. Das Bustelegramm 80 weist dem verwendeten, standardisierten Protokoll entsprechend ein Adreßfeld 82 sowie ein Nutzdatenfeld 84 auf. Zudem können weitere, hier nicht dar­ gestellte Steuerungsinformationen in dem Bustelegramm 80 ent­ halten sein.
In der Darstellung in Fig. 1 ist jeder der an den Feldbus 16 angeschlossenen Einheiten eine individuelle, definierte Teil­ nehmeradresse 90 zugeordnet, die bei der Steuerungseinheit 14 beispielhaft mit "2" angenommen ist. Die Verwaltungseinheit 70 besitzt hiernach die definierte Teilnehmeradresse "0" und die Signaleinheit 18 beispielhaft die Teilnehmeradresse "3". Dar­ über hinaus ist in jeder Einheit eine festgelegte Universal­ adresse 92 abgelegt, die in Fig. 1 symbolisch als "xy" darge­ stellt ist. Es versteht sich, daß sowohl die Teilnehmeradresse 90 als die Universaladresse 92 jeweils als Datenwert in einem Speicher der einzelnen Einheiten abgelegt ist.
In Fig. 2 ist am Beispiel der Verwaltungseinheit 70, der siche­ ren Steuerungseinheit 12 sowie der sicheren Signaleinheit 18 der zeitliche Ablauf der Kommunikation beim Konfigurieren der Signaleinheit 18 dargestellt. Dabei verläuft eine Zeitachse in Richtung des Pfeils 100. Die einzelnen Telegramme, die zwischen den verschiedenen Einheiten versendet werden, sind anhand von Pfeilen symbolisiert, deren Ausgangspunkt beim Absender mit ei­ nem Punkt versehen ist und deren Endpunkt jeweils auf den Emp­ fänger verweist.
In dem ersten Zeitabschnitt in Fig. 2 ist die sichere Si­ gnaleinheit 18 noch nicht am Feldbus 16 angeschlossen. Sie ist daher in diesem Zeitabschnitt nur gestrichelt dargestellt. Die Verwaltungseinheit 70 versendet in regelmäßigen Zeitabständen ein Verbindungsprüfungstelegramm 102 an die Steuerungseinheit 12. Diese antwortet daraufhin mit einem Antworttelegramm 104. Der Eingang des Antworttelegramms 104 innerhalb einer vorgege­ benen Zeitspanne wird von der Verwaltungseinheit 70 überwacht. Infolge dessen ist die Verwaltungseinheit 70 in der Lage, die tatsächliche Anzahl der aktiv an den Feldbus 16 angeschlossenen Einheiten mit der Sollanzahl gemäß einer Sollkonfiguration zu vergleichen. Nach Ablauf der festgelegten Zeitspanne wiederholt sich der Vorgang, d. h. die Verwaltungseinheit 70 versendet er­ neut das Verbindungsprüfungstelegramm 102 und empfängt das Ant­ worttelegramm 104.
Nun sei angenommen, daß die Signaleinheit 18 neu an den Feldbus 16 angeschlossen werden soll. Dementsprechend muß die Sig­ naleinheit 18 konfiguriert werden, wobei ihr eine definierte Teilnehmeradresse 90 zugeordnet wird. Gemäß dem hier darge­ stellten Ausführungsbeispiel der Erfindung wird die Verwal­ tungseinheit 70 zunächst in einen besonderen Wartungsmodus ver­ setzt. Dies geschieht bei dem bevorzugten Ausführungsbeispiel mit Hilfe eines Schlüsselschalters, der an der Verwaltungsein­ heit 70 angeordnet ist. Die Aktivierung des besonderen War­ tungsmodus ist in Fig. 2 anhand der Linie 106 symbolisiert.
Nach der Aktivierung des besonderen Wartungsmodus wird der Ver­ waltungseinheit 70 mit Hilfe eines Eingabegerätes 108 die defi­ nierte Teilnehmeradresse 90 übermittelt, die der Signaleinheit 18 zugeordnet werden soll. Anschließend versendet die Verwal­ tungseinheit 70 ein definiertes Wartungstelegramm 110, das sich von dem Verbindungsprüfungstelegramm 102 im normalen Betriebs­ modus der Verwaltungseinheit 70 unterscheidet. Die bereits an den Feldbus 16 angeschlossene Steuerungseinheit 12 antwortet auf den Empfang des Wartungstelegramms 110 mit einem Anmeldete­ legramm 112, das die definierte Teilnehmeradresse der Steue­ rungseinheit 12, hier also beispielhaft die Teilnehmeradresse "1", beinhaltet. Das Anmeldetelegramm 112 ist somit das zweite Anmeldetelegramm im Sinne der vorliegenden Erfindung. Gemäß ei­ ner bevorzugten Ausführung der Erfindung ist das Anmeldetele­ gramm 112 der Steuerungseinheit 12 mit dem zuvor erwähnten Ant­ worttelegramm 104 identisch. Dies ist jedoch zur Durchführung des Verfahrens nicht unbedingt notwendig.
Der Versand des Wartungstelegramms 110 bzw. der Empfang des zweiten Anmeldetelegramms 112 wiederholt sich zyklisch. Während dieser Zeit ist es möglich, die sichere Signaleinheit 18 an den Feldbus 16 anzuschließen. Nachdem dies geschehen ist, empfängt die Signaleinheit 18 ebenso wie die Steuerungseinheit 12 das Wartungstelegramm 110. Während die Steuerungseinheit 12 auf dieses Wartungstelegramm 110, wie zuvor beschrieben, mit dem zweiten Anmeldetelegramm 112 antwortet, versendet die Si­ gnaleinheit 18 als Antwort auf den erstmaligen Empfang des War­ tungstelegramms 110 ein erstes Anmeldetelegramm 114, das die festgelegte Universaladresse "xy" beinhaltet. Die Verwaltungs­ einheit 70 empfängt das erste Anmeldetelegramm 114 und versen­ det ein Quittungstelegramm 116 an die Signaleinheit 18. An­ schließend versendet die Verwaltungseinheit 70 ein Adreßverga­ betelegramm 118, in dessen Nutzdatenfeld die definierte Teil­ nehmeradresse "3" enthalten ist. Die Signaleinheit 18 quittiert den Empfang des Adreßvergabetelegramms 118 mit einem Quit­ tungstelegramm 116. Anschließend legt die Signaleinheit 18 die definierte Teilnehmeradresse "3" in einem Speicher 120 ab.
Nachdem die Verwaltungseinheit 70 das Quittungstelegramm 116 von der Signaleinheit 18 empfangen hat, versendet sie erneut das Wartungstelegramm 110. Daraufhin meldet sich die Steue­ rungseinheit 12, wie üblich, mit dem zweiten Anmeldetelegramm 112 bei der Verwaltungseinheit 70 an. Darüber hinaus meldet sich nun jedoch auch die Signaleinheit 18 mit ihrem zweiten An­ meldetelegramm 112 bei der Verwaltungseinheit 70 an. In diesem Fall enthält das zweite Anmeldetelegramm 112 die Teilnehme­ radresse "3", die der Signaleinheit 18 zugeordnet wurde. Die Verwaltungseinheit 70 quittiert den Empfang des zweiten Anmel­ detelegramms 112 mit einem Quittungstelegramm 116.
Nach dem Ablauf des beschriebenen Telegrammverkehrs ist die Si­ gnaleinheit 18 im Sinne der vorliegenden Erfindung konfigu­ riert. Gemäß dem bevorzugten Ausführungsbeispiel der Erfindung beendet die Verwaltungseinheit 70 daher automatisch den beson­ deren Wartungsmodus, was anhand der Linie 122 angedeutet ist. Sodann findet wiederum der bereits beschriebene, normale Daten­ verkehr zwischen der Verwaltungseinheit 70 und den an den Feld­ bus 16 angeschlossenen Einheiten 12, 18 statt. Hierbei versen­ det die Verwaltungseinheit 70 in zyklischen Zeitabständen das Verbindungsprüfungstelegramm 102 und empfängt die Antworttele­ gramme 104.
Abweichend von dem hier dargestellten Ablauf beendet die Ver­ waltungseinheit 70 in einem anderen Ausführungsbeispiel der Er­ findung den besonderen Wartungsmodus bereits nach dem Abspei­ chern der zugeordneten Adresse in der Signaleinheit 18. In die­ sem Fall meldet sich die Signaleinheit 18 mit dem zweiten An­ meldetelegramm 112 erst wieder im normalen Betriebsmodus der Verwaltungseinheit 70 bei dieser an.
Aus Gründen der Übersichtlichkeit wurde der Versand des Quit­ tungstelegramms 116 hier nur in Bezug auf die zu konfigurieren­ de Signaleinheit 18 erwähnt. Abweichend hiervon wird bei dem bevorzugten Ausführungsbeispiel des Steuerungssystems 10 jedoch jedes versendete Telegramm mit einem Quittungstelegramm 116 be­ antwortet. Das Ausbleiben des Quittungstelegramms 116 führt au­ tomatisch zur Erzeugung einer Fehlermeldung.
Fig. 3 zeigt den Ablauf des erfindungsgemäßen Verfahrens bei einem Austausch der Signaleinheit 18. Auch hierbei befindet sich die Verwaltungseinheit 70 zunächst in ihrem normalen Be­ triebsmodus, in dem sie in zyklischen Zeitabständen Verbin­ dungsprüfungstelegramme 102 an sämtliche an den Feldbus 16 an­ geschlossenen Einheiten versendet. Die angeschlossenen Einhei­ ten, in diesem Fall die Steuerungseinheit 12 und die Signalein­ heit 18, antworten mit entsprechenden Antworttelegrammen 104. Aufgrund dieser Antworttelegramme ist die Verwaltungseinheit 70 über die Anzahl der aktiv an den Feldbus 16 angeschlossenen Einheiten 12, 18 informiert.
Zum Austausch der Signaleinheit 18 wird zunächst die Verwal­ tungseinheit 70 in den besonderen Wartungsmodus versetzt. Dies ist anhand der Linie 106 dargestellt. Zuvor wurde die auszutau­ schende Signaleinheit 18 vom Feldbus 16 abgetrennt.
In dem besonderen Wartungsmodus versendet die Verwaltungsein­ heit 70, wie erläutert, ein definiertes Wartungstelegramm 110, das jedoch die Signaleinheit 18 nicht mehr erreicht. Dies ist in Fig. 3 anhand des gestrichelten Pfeils 123 dargestellt. Die Steuerungseinheit 12 antwortet wie üblich mit dem zweiten An­ meldetelegramm 112 auf den Empfang des Wartungstelegramms 110. Das zweite Anmeldetelegramm der Signaleinheit 18 bleibt hinge­ gen aus, was durch den gestrichelten Pfeil 124 dargestellt ist. Die Verwaltungseinheit 70 kann daher erkennen, daß die Si­ gnaleinheit 18 nicht mehr aktiv an den Feldbus 16 angeschlossen ist. Sie speichert daher die definierte Teilnehmeradresse "3", die der Signaleinheit 18 zugeordnet war, in einem Speicher 126. Anschließend versendet sie das Wartungstelegramm 110 erneut in zyklischen Zeitabständen. Die Steuerungseinheit 12 antwortet hierauf, wie erläutert, mit dem zweiten Anmeldetelegramm 112.
Nun kann die Signaleinheit 18 oder ein entsprechendes Aus­ tauschgerät an den Feldbus 16 angeschlossen werden.
Sobald die neu angeschlossene Signaleinheit 18 das Wartungste­ legramm 110 empfängt, versendet sie das erste Anmeldetelegramm 114, in dem die festgelegte Universaladresse "xy" enthalten ist. Die neue Signaleinheit 18 meldet sich hierdurch bei der Verwaltungseinheit 70 unter der festgelegten Universaladresse "xy" an. Die Verwaltungseinheit 70 quittiert den Empfang des ersten Anmeldetelegramms 114, wie bereits erläutert, mit einem Quittungstelegramm 116 und versendet anschließend das Adreßver­ gabetelegramm 118. Dieses enthält nun die definierte Teil­ nehmeradresse "3", die die Verwaltungseinheit 70 zuvor in den Speicher 126 abgelegt hat. Die Signaleinheit 18 quittiert den Empfang des Adreßvergabetelegramms 118 mit einem Quittungstele­ gramm 116 und speichert die zugeordnete Teilnehmeradresse "3" in ihrem Speicher 120 ab. Anschließend versendet die Verwal­ tungseinheit 70 erneut das Wartungstelegramm 110 und empfängt sowohl von der Steuerungseinheit 12 als auch von der Signalein­ heit 18 das zweite Anmeldetelegramm 112. Sie quittiert den Emp­ fang dieser Anmeldungstelegramme mit dem Quittungstelegramm 116 und beendet den besonderen Wartungsmodus, was wiederum anhand der Linie 122 dargestellt ist.
Mit diesem beschriebenen Verfahren ist es somit möglich, einen an den Feldbus 16 angeschlossenen Busteilnehmer auszutauschen, ohne daß man dessen definierte Teilnehmeradresse kennen muß.
In dem nächsten Zeitabschnitt in Fig. 3 ist der Verfahrensab­ lauf dargestellt, der sich ergibt, wenn sich mehrere Bus­ teilnehmer unter der festgelegten Universaladresse "xy" bei der Verwaltungseinheit 70 anmelden. Wie zuvor beschrieben, wurde die Verwaltungseinheit 70 zunächst in den besonderen Wartungs­ modus versetzt. Sie versendet daraufhin das Wartungstelegramm 110. Wenn nun sowohl die Steuerungseinheit 12 als auch die Si­ gnaleinheit 18 mit dem ersten Anmeldetelegramm 114 antworten, aktiviert die Verwaltungseinheit 70 eine Fehleranzeige 128 und bricht den besonderen Wartungsmodus ab.
In dem nächsten Zeitabschnitt ist eine weitere Fehlerquelle dargestellt. Hierbei ist angenommen, daß der Verwaltungseinheit 70 nach dem Aktivieren des besonderen Wartungsmodus über das Eingabegerät 108 eine Teilnehmeradresse übermittelt wird, die bereits einem an den Feldbus 16 angeschlossenen Busteilnehmer zugeordnet ist. Die Verwaltungseinheit 70 erkennt aufgrund der ihr bekannten Sollkonfiguration der aktiven Busteilnehmer die doppelte Adreßvergabe und aktiviert die Fehleranzeige 128. Au­ ßerdem beendet sie wiederum den besonderen Wartungsmodus.

Claims (13)

1. Verfahren zum Konfigurieren eines sicheren Busteilnehmers (12, 14, 18-24) beim Anschließen an einen Feldbus (16) in einem sicheren Steuerungssystem (10), wobei dem siche­ ren Busteilnehmer (12, 14, 18-24) eine definierte Teil­ nehmeradresse (90) zugeordnet wird, gekennzeichnet durch die Schritte:
  • - Versenden eines ersten Anmeldetelegramms (114) von dem sicheren Busteilnehmer (12, 14, 18-24) zu ei­ ner an den Feldbus (16) angeschlossenen Verwaltungs­ einheit (70), wobei das erste Anmeldetelegramm (114) eine festgelegte Universaladresse (92) beinhaltet,
  • - Versenden eines Adreßvergabetelegramms (118) von der Verwaltungseinheit (70) an den sicheren Busteilneh­ mer (12, 14, 18-24), wobei das Adreßvergabetele­ gramm (118) die definierte Teilnehmeradresse (90) beinhaltet und
  • - Abspeichern der definierten Teilnehmeradresse (90) in einem Speicher (58; 120) des sicheren Busteilneh­ mers.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der sichere Busteilnehmer (12, 14, 18-24) nach Empfang des Adreßvergabetelegramms (118) ein zweites Anmeldetelegramm (112) an die Verwaltungseinheit (70) versendet, wobei das zweite Anmeldetelegramm (112) die definierte Teilnehme­ radresse (90) beinhaltet.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der sichere Busteilnehmer (12, 14, 18-24) das erste Anmeldetelegramm (114) nach dem Empfang eines definierten Wartungstelegramms (110) an die Verwaltungseinheit (70) versendet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß der sichere Busteilnehmer (12, 14, 18-24) das erste Anmelde­ telegramm (114) nur nach dem erstmaligen Empfang des defi­ nierten Wartungstelegramms (110) an die Verwaltungseinheit (70) versendet, während er bei einem wiederholten Empfang des definierten Wartungstelegramms (110) das zweite Anmel­ detelegramm (112) an die Verwaltungseinheit (70) versen­ det.
5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, das definierte Wartungstelegramm (110) nur nach Aktivieren (106) eines besonderen Wartungsmodus (106) der Verwal­ tungseinheit (70) versendet wird.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß die Verwaltungseinheit (70) den besonderen Wartungsmodus nach Empfang des zweiten Anmeldetelegramms (112) automatisch beendet (122).
7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß der Verwaltungseinheit (70) zu Beginn des besonderen Wartungsmodus die definierte Teilnehmeradresse (90) über­ mittelt wird (108).
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die Verwaltungseinheit (70) ein Fehlersignal (128) erzeugt, wenn die übermittelte Teilnehmeradresse (90) bereits an einen an den Feldbus (16) angeschlossenen Busteilnehmer (12, 14, 18-24) vergeben ist.
9. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß die Verwaltungseinheit (70) Wartungstelegramme (110) in defi­ nierten Zeitabständen an alle an den Feldbus (16) ange­ schlossenen Busteilnehmer (12, 14, 18-24) versendet.
10. Verfahren nach einem der Ansprüche 1 bis 9, gekennzeichnet ferner durch die Schritte:
  • - Überprüfen der Anwesenheit aller aktiv an den Feld­ bus (16) angeschlossenen Busteilnehmer (12, 14, 18- 24) anhand einer Sollkonfiguration von Busteilneh­ mern (12, 14, 18-24) sowie anhand von Antworttele­ grammen (104) der Busteilnehmer (12, 14, 18-24) und
  • - Versenden der Teilnehmeradresse (90) eines als nicht mehr aktiv erkannten Busteilnehmers (12, 14, 18- 24) als definierte Teilnehmeradresse (90).
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch ge­ kennzeichnet, daß die Verwaltungseinheit (70) ein Fehler­ signal (128) erzeugt, wenn mehr als ein Busteilnehmer (12, 14, 18-24) das erste Anmeldetelegramm (114) versendet.
12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch ge­ kennzeichnet, daß zumindest das erste Anmeldetelegramm (114) sowie das Adreßvergabetelegramm (118) mit jeweils einem Quittungstelegramm (116) beantwortet werden.
13. Steuerungssystem zum sicheren Steuern von sicherheitskri­ tischen Prozessen (28-32), mit zumindest einem sicheren Busteilnehmer (12, 14, 18-24), der an einen Feldbus (16) angeschlossen ist, wobei der sichere Busteilnehmer (12, 14, 18-24) erste Mittel (40) zum Aufnehmen und Auswerten eines Bustelegramms (80) sowie einen Speicher (58; 120) zum Speichern einer dem Busteilnehmer (12, 14, 18-24) zugeordneten Teilnehmeradresse (90) aufweist, dadurch ge­ kennzeichnet, daß der Busteilnehmer (12, 14, 18-24) zweite Mittel (40, 120; 40, 58) aufweist, um sich unter einer festgelegten Universaladresse (92) bei einer an den Feldbus (16) angeschlossenen Verwaltungseinheit (70) anzu­ melden, sowie dritte Mittel (42, 54), um ein Adreßvergabe­ telegramm (118) mit der Teilnehmeradresse (90) aufzunehmen und auszuwerten.
DE19940874A 1999-08-23 1999-08-27 Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen Revoked DE19940874B4 (de)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DE19940874A DE19940874B4 (de) 1999-08-23 1999-08-27 Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen
DE50009809T DE50009809D1 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
PCT/EP2000/008062 WO2001015385A2 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
JP2001518987A JP4599013B2 (ja) 1999-08-23 2000-08-18 安全ステーションを設定する方法およびそれを利用した安全制御システム
EP00954639A EP1206868B1 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
AT00954639T ATE291322T1 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
AU67025/00A AU6702500A (en) 1999-08-23 2000-08-18 Method of configuring a safe station and a safe control system using the same
US10/080,111 US6871240B2 (en) 1999-08-23 2002-02-21 Method of configuring a safe station and safe control system using the same

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19939919.0 1999-08-23
DE19939919 1999-08-23
DE19940874A DE19940874B4 (de) 1999-08-23 1999-08-27 Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen

Publications (2)

Publication Number Publication Date
DE19940874A1 true DE19940874A1 (de) 2001-03-08
DE19940874B4 DE19940874B4 (de) 2007-05-03

Family

ID=7919308

Family Applications (2)

Application Number Title Priority Date Filing Date
DE19940874A Revoked DE19940874B4 (de) 1999-08-23 1999-08-27 Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen
DE50009809T Expired - Lifetime DE50009809D1 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE50009809T Expired - Lifetime DE50009809D1 (de) 1999-08-23 2000-08-18 Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen

Country Status (1)

Country Link
DE (2) DE19940874B4 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10121061A1 (de) * 2001-04-28 2002-10-31 Bayerische Motoren Werke Ag Überwachungsvorrichtung und Überwachungsverfahren
DE10318451A1 (de) * 2003-04-23 2004-11-11 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co.KG Verfahren zum Adressieren von Modulen eines Bussystems
WO2005107173A1 (de) * 2004-04-29 2005-11-10 Bosch Rexroth Ag Einrichtung zur adressvergabe in einem normierten feldbus-system
US8010714B2 (en) 2005-11-24 2011-08-30 Sew-Eurodrive Gmbh & Co. Kg Method for assigning addresses to nodes of a bus system, and installation
DE102010035771A1 (de) 2010-08-19 2012-02-23 Pilz Gmbh & Co. Kg Verfahren zur Vergabe von Teilnehmeradressen an Busteilnehmer eines busbasierten Steuerungssystems
DE102011075416A1 (de) * 2011-05-06 2012-11-08 Zf Friedrichshafen Ag Steuerungseinrichtung eines Kraftfahrzeugs

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007026457B4 (de) * 2007-06-05 2009-10-15 Hanning Elektro-Werke Gmbh & Co. Kg Vorrichtung zur Inbetriebnahme eines Feldbusteilnehmersystems sowie Inbetriebnahmeverfahren

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5689675A (en) * 1993-11-29 1997-11-18 U.S. Philips Corporation Ranking-based address assignment in a modular system
DE19713240C2 (de) * 1997-03-29 1999-01-28 Endress Hauser Gmbh Co Verfahren zur automatischen Adressenvergabe in einem CAN-Netz
DE19733906A1 (de) * 1997-08-05 1999-02-11 Siemens Ag Verfahren zur automatischen Adreßvergabe, Bussystem zur automatischen Adreßvergabe und Kommunikationsteilnehmer, die im Bussystem bzw. im Rahmen des Verfahrens einsetzbar sind
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5689675A (en) * 1993-11-29 1997-11-18 U.S. Philips Corporation Ranking-based address assignment in a modular system
DE19713240C2 (de) * 1997-03-29 1999-01-28 Endress Hauser Gmbh Co Verfahren zur automatischen Adressenvergabe in einem CAN-Netz
DE19733906A1 (de) * 1997-08-05 1999-02-11 Siemens Ag Verfahren zur automatischen Adreßvergabe, Bussystem zur automatischen Adreßvergabe und Kommunikationsteilnehmer, die im Bussystem bzw. im Rahmen des Verfahrens einsetzbar sind
DE19742716A1 (de) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10121061A1 (de) * 2001-04-28 2002-10-31 Bayerische Motoren Werke Ag Überwachungsvorrichtung und Überwachungsverfahren
DE10121061B4 (de) * 2001-04-28 2014-08-07 Bayerische Motoren Werke Aktiengesellschaft Überwachungsvorrichtung und Überwachungsverfahren
DE10318451A1 (de) * 2003-04-23 2004-11-11 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co.KG Verfahren zum Adressieren von Modulen eines Bussystems
WO2005107173A1 (de) * 2004-04-29 2005-11-10 Bosch Rexroth Ag Einrichtung zur adressvergabe in einem normierten feldbus-system
DE102004021089A1 (de) * 2004-04-29 2005-11-24 Bosch Rexroth Ag Einrichtung zur Adressvergabe in einem normierten Feldbus-System
US8010714B2 (en) 2005-11-24 2011-08-30 Sew-Eurodrive Gmbh & Co. Kg Method for assigning addresses to nodes of a bus system, and installation
DE102005056294B4 (de) * 2005-11-24 2016-04-28 Sew-Eurodrive Gmbh & Co Kg Verfahren zum Zuordnen von Adressen an Busteilnehmer eines Bussystems und Anlage
US9965427B2 (en) 2005-11-24 2018-05-08 Sew-Eurodrive Gmbh & Co. Kg Method for assigning addresses to nodes of a bus system, and installation
DE102010035771A1 (de) 2010-08-19 2012-02-23 Pilz Gmbh & Co. Kg Verfahren zur Vergabe von Teilnehmeradressen an Busteilnehmer eines busbasierten Steuerungssystems
WO2012022619A1 (de) 2010-08-19 2012-02-23 Pilz Gmbh & Co. Kg Verfahren zur vergabe von teilnehmeradressen an busteilnehmer eines busbasierten steuerungssystems
US9276762B2 (en) 2010-08-19 2016-03-01 Pilz Gmbh & Co. Kg Method for allocating subscriber addresses to bus subscribers of a bus-based control system
DE102011075416A1 (de) * 2011-05-06 2012-11-08 Zf Friedrichshafen Ag Steuerungseinrichtung eines Kraftfahrzeugs

Also Published As

Publication number Publication date
DE50009809D1 (de) 2005-04-21
DE19940874B4 (de) 2007-05-03

Similar Documents

Publication Publication Date Title
EP1221075B1 (de) Vorrichtung zum steuern von sicherheitskritischen prozessen
EP1206868B1 (de) Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
EP2302841B2 (de) Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
EP1352326B1 (de) Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung
DE19934514C1 (de) Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP3177973B1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
WO2007107271A1 (de) Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers
EP3098673B1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP1100230A2 (de) Datenübertragungssystem für Luftfahrzeuge
DE102009033529A1 (de) Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
EP1054309B1 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
DE102007050708A1 (de) System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
WO2021008721A1 (de) Verfahren zum betreiben eines mobilen systems und eines alarm-gateways als teilnehmer in einem drahtlosen netzwerk
DE60219246T2 (de) Mit einem TCP/IP Netzwerk verbundene Automatisierungsvorrichtung
DE19940874A1 (de) Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen
EP2656581B1 (de) Netzkoppelvorrichtung und übertragungsverfahren für paketbasierte datennetzwerke in prozessleitsystemen oder betriebsleitsystemen
WO2019038333A1 (de) Verfahren zur übertragung von daten zwischen einer zentralen steuereinrichtung und einer mehrzahl dezentraler geräte und entsprechende vorrichtungen
EP1224510B1 (de) System und verfahren zum verhindern von unberechtigtem zugriff auf module, insbesondere bei automatisierungssystemen
EP2557464B1 (de) Verfahren zum Betrieb eines Automatisierungssystems
EP1064590B1 (de) Verkürztes datentelegramm eines automatisierungssystems
EP3570499A1 (de) Verfahren zur funktional sicheren verbindungsidentifizierung
AT408819B (de) Regel- und/oder steuervorrichtung für die objektleittechnik
WO2016034676A1 (de) Datenübertragung zwischen wenigstens einem sicheren produzenten und wenigstens einem sicheren konsumenten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8363 Opposition against the patent
R037 Decision of examining division or of federal patent court revoking patent now final
R107 Publication of grant of european patent rescinded

Effective date: 20140515