DE19940874A1 - Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen - Google Patents
Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchenInfo
- Publication number
- DE19940874A1 DE19940874A1 DE19940874A DE19940874A DE19940874A1 DE 19940874 A1 DE19940874 A1 DE 19940874A1 DE 19940874 A DE19940874 A DE 19940874A DE 19940874 A DE19940874 A DE 19940874A DE 19940874 A1 DE19940874 A1 DE 19940874A1
- Authority
- DE
- Germany
- Prior art keywords
- telegram
- bus
- address
- subscriber
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
Abstract
Die vorliegende Erfindung beschreibt ein Verfahren zum Konfigurieren eines sicheren Busteilnehmers (12, 18) beim Anschließen an einen Feldbus in einem sicheren Steuerungssystem, wobei dem sicheren Busteilnehmer (12, 18) eine definierte Teilnehmeradresse zugeordnet wird. Das erfindungsgemäße Verfahren ist durch folgende Schritte gekennzeichnet: DOLLAR A - Versenden eines ersten Anmeldetelegramms (114) von dem sicheren Busteilnehmer (18) zu einer an den Feldbus angeschlossenen Verwaltungseinheit (70), wobei das erste Anmeldetelegramm (114) eine festgelegte Universaladresse beinhaltet, DOLLAR A - Versenden eines Adreßvergabetelegramms (118) von der Verwaltungseinheit (70) an den sicheren Busteilnehmer (18), wobei das Adreßvergabetelegramm (118) die definierte Teilnehmeradresse beinhaltet und DOLLAR A - Abspeichern der definierten Teilnehmeradresse in einem Speicher (120) des sicheren Busteilnehmers (18) (Fig. 2).
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Konfigu
rieren eines sicheren Busteilnehmers beim Anschließen an einen
Feldbus in einem sicheren Steuerungssystem, wobei dem sicheren
Busteilnehmer eine definierte Teilnehmeradresse zugeordnet
wird.
Die Erfindung betrifft darüber hinaus auch ein Steuerungssystem
zum sicheren Steuern von sicherheitskritischen Prozessen, mit
zumindest einem sicheren Busteilnehmer, der an einen Feldbus
angeschlossen ist, wobei der sichere Busteilnehmer erste Mittel
zum Aufnehmen und Auswerten eines Bustelegramms sowie einen
Speicher zum Speichern einer dem Busteilnehmer zugeordneten
Teilnehmeradresse aufweist.
Ein derartiges Verfahren bzw. ein derartiges Steuerungssystem
sind aufgrund ihrer Verwendung beim Steuern von sicherheitskri
tischen Prozessen bekannt.
Bei einem Feldbus handelt es sich um ein System zur Datenkommu
nikation, bei dem die angeschlossenen Busteilnehmer über eine
Sammelleitung miteinander verbunden sind. Daher können zwei an
den Feldbus angeschlossene Busteilnehmer miteinander kommuni
zieren, ohne individuell direkt miteinander verkabelt zu sein.
Beispiele für bekannte Feldbusse sind der sogenannte CAN-Bus,
der sogenannte Profibus und der sogenannte Interbus.
Im Bereich der Steuer- und Automatisierungstechnik ist die Ver
wendung von Feldbussen bereits seit längerem hinreichend be
kannt. Dies gilt jedoch nicht für die Steuerung von sicher
heitskritischen Prozessen, bei denen in der Praxis bis in die
jüngste Vergangenheit hinein die an der Steuerung beteiligten
Einheiten individuell miteinander verkabelt wurden. Grund hier
für ist, daß die bekannten Feldbusse die zur Steuerung von si
cherheitskritischen Prozessen erforderliche Fehlersicherheit
(Fehlerwahrscheinlichkeit kleiner als 10-11) nicht gewährleisten
konnten. Zwar besitzen alle bekannten Feldbusse Maßnahmen zur
Fehlersicherung bei der Datenübertragung, diese Maßnahmen sind
jedoch nicht ausreichend, um die geforderte Fehlersicherheit zu
gewährleisten. Hinzu kommt, daß Feldbusse offene Systeme sind,
an die grundsätzlich beliebige Einheiten angeschlossen werden
können. Dabei besteht die Gefahr, daß eine Einheit, die mit ei
nem zu steuernden sicherheitskritischen Prozeß gar nichts zu
tun hat, diesen ungewollt beeinflußt.
Unter einem sicherheitskritischen Prozeß wird hier ein Prozeß
verstanden, von dem bei Auftreten eines Fehlers eine nicht ak
zeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei
einem sicherheitskritischen Prozeß muß daher mit im Idealfall
100%iger Sicherheit gewährleistet sein, daß der Prozeß bei Auf
treten eines Fehlers in einen sicheren Zustand überführt wird.
Dies kann bei einer Maschinenanlage beinhalten, daß die Anlage
abgeschaltet wird. Bei einem chemischen Produktionsprozeß könn
te ein Abschalten jedoch unter Umständen eine unkontrollierte
Reaktion hervorrufen, so daß in einem solchen Fall der Prozeß
besser in einen unkritischen Parameterbereich gefahren wird.
Sicherheitskritische Prozesse können auch Teilprozesse von grö
ßeren, übergeordneten Gesamtprozessen sein. Bei einer hydrauli
schen Presse kann bspw. die Materialzuführung ein nicht-
sicherheitskritischer Teilprozeß, das Inbetriebnehmen des Preß
werkzeugs dagegen ein sicherheitskritischer Teilprozeß sein.
Weitere Beispiele für sicherheitskritische (Teil-)Prozesse sind
die Überwachung von Schutzgittern, Schutztüren oder Licht
schranken, die Steuerung von Zwei-Hand-Schaltern oder die Über
wachung und Auswertung eines Not-Aus-Schalters.
Die an der Steuerung eines sicherheitskritischen Prozesses be
teiligten Einheiten müssen über ihre eigentliche Funktion hin
ausgehende, sicherheitsbezogene Einrichtungen aufweisen, um von
den zuständigen Aufsichtsbehörden für sicherheitskritische Auf
gaben zugelassen zu werden. Diese Einrichtungen dienen vor al
lem der Fehler- und Funktionsüberwachung. In der Regel sind die
beteiligten Einheiten redundant aufgebaut, um eine sichere
Funktion auch bei Auftreten eines Fehlers zu gewährleisten.
Einheiten mit derartigen sicherheitsbezogenen Einrichtungen
werden nachfolgend im Unterschied zu "normalen" Einheiten als
sicher bezeichnet.
Die an den Feldbus angeschlossenen Einheiten werden nachfolgend
allgemein als Busteilnehmer bezeichnet. Bei einem Steuerungssy
stem zum sicheren Steuern von sicherheitskritischen Prozessen
handelt es sich bei den Busteilnehmern üblicherweise entweder
um Steuerungseinheiten oder um Signaleinheiten. Als Steuerungs
einheit wird dabei ein Busteilnehmer bezeichnet, der eine ge
wisse Intelligenz zur Steuerung eines Prozesses besitzt. In der
Fachterminologie werden derartige Busteilnehmer üblicherweise
als Clients bezeichnet. Sie erhalten Daten und/oder Signale,
die Zustandsgrößen der gesteuerten Prozesse repräsentieren, und
aktivieren in Abhängigkeit von diesen Informationen Aktoren,
die den zu steuernden Prozeß beeinflussen. Üblicherweise ist
die Intelligenz in Form eines veränderbaren Anwenderprogramms
in einem Speicher der Steuerungseinheiten abgelegt. In der Re
gel werden als Steuerungseinheiten sogenannte SPS (Speicher
Programmierbare Steuerungen) verwendet.
Eine Signaleinheit ist demgegenüber ein Busteilnehmer, der im
wesentlichen Ein- und Ausgangskanäle (E/A-Kanäle) bereitstellt,
an die einerseits Sensoren zur Aufnahme von Prozeßgrößen und
andererseits Aktoren angeschlossen werden können. Die Si
gnaleinheiten besitzen in der Regel keine Intelligenz in Form
eines veränderbaren Anwenderprogramms. Sie werden in der Fach
terminologie üblicherweise als Server bezeichnet.
Bei vielen Feldbussen, wie etwa dem CAN-Bus, ist es bekannt,
den einzelnen Busteilnehmern eine individuelle Teilnehmeradres
se zuzuordnen. Die Teilnehmeradresse dient dazu, Bustelegramme
mit zu übertragenden Nachrichten gezielt von dem sendenden Bus
teilnehmer zu dem empfangenden Busteilnehmer zu übermitteln.
Beim Aufbau eines Steuerungssystems zum Steuern von sicher
heitskritischen Prozessen stellt die Vergabe der Teilnehmer
adressen an die Busteilnehmer eine sicherheitskritische Maßnah
me dar. Wenn nämlich bspw. zwei verschiedene Signaleinheiten
die Zustandsdaten von zwei verschiedenen Schutzgittern aufneh
men und an die Steuerungseinheit weitergeben, kann eine falsche
Adreßzuordnung der beiden Signaleinheiten dazu führen, daß die
Steuerungseinheit die Bewegung einer abzusichernden Maschine
nicht abschaltet, obwohl das entsprechende Schutzgitter geöff
net wurde.
Bei den bisher bekannten, gattungsgemäßen Steuerungssystemen
bzw. den entsprechenden Verfahren zum Konfigurieren der siche
ren Busteilnehmer werden die Teilnehmeradressen direkt am Bus
teilnehmer eingestellt. Hierzu weist jeder Busteilnehmer entwe
der einen mechanischen Codierschalter, insbesondere einen Dreh
schalter, oder eine serielle Programmierschnittstelle auf. Ein
Nachteil dieser Lösung ist, daß das Einstellen der Teilnehmer
adressen hier direkt am Ort des einzelnen Busteilnehmers erfol
gen muß. Bei komplexen Prozeßsteuerungen im industriellen Be
reich können die einzelnen an den Feldbus angeschlossenen
Busteilnehmer jedoch bis zu mehreren hundert Metern auseinan
derliegen. Beim Aufbau eines sicheren Steuerungssystems sind in
diesem Fall daher große Laufwege erforderlich, die das Einrich
ten und Konfigurieren umständlich machen.
Hinzu kommt, daß es aufgrund der großen Laufwege in diesem Fall
leicht möglich ist, den Überblick zu verlieren, was zu fehler
haften Adreßzuordnungen führen kann. Ein weiterer wesentlicher
Nachteil der bekannten Lösungen ist, daß beim Austausch eines
defekten Busteilnehmers dessen Teilnehmeradresse bekannt sein
muß, damit diese anschließend dem Austausch-Busteilnehmer zuge
ordnet werden kann. Bei industriellen Anlagen, die häufig rund
um die Uhr betrieben werden, bedeutet dies, daß immer entspre
chend fachkundiges Personal verfügbar sein muß, um den Aus
tausch eines defekten Busteilnehmers vorzunehmen. In dem Fall,
daß dem Busteilnehmer die Teilnehmeradresse mit Hilfe eines
Programmiergerätes über die serielle Schnittstelle zugeordnet
wird, ist auch stets das entsprechende Programmiergerät erfor
derlich.
Bei der Zuordnung einer Teilnehmeradresse über eine Program
mierschnittstelle besteht darüber hinaus der Nachteil, daß die
dem Busteilnehmer zugeordnete Teilnehmeradresse von außen nicht
zu erkennen ist. Hierdurch besteht die Gefahr, daß ein Busteil
nehmer, der früher einmal mit einer anderen Teilnehmeradresse
verwendet wurde, bei seiner Verwendung in einer neuen Umgebung
versehentlich mit seiner alten Teilnehmeradresse betrieben
wird. Dieses Risiko ist besonders groß, wenn ein schon einmal
verwendeter Busteilnehmer im Rahmen einer Wartung in ein ande
res Steuerungssystem integriert werden soll.
Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren
der eingangs genannten Art anzugeben, mit dem einem sicheren
Busteilnehmer von einer zentralen Stelle aus auf einfache und
gleichzeitig fehlersichere Art und Weise eine Teilnehmeradresse
zugeordnet werden kann. Es ist darüber hinaus Aufgabe der Er
findung, ein entsprechendes Steuerungssystem anzugeben.
Diese Aufgabe wird durch ein Verfahren der eingangs genannten
Art gelöst, das folgende Schritte aufweist:
- - Versenden eines ersten Anmeldetelegramms von dem sicheren Busteilnehmer zu einer an den Feldbus angeschlossenen Ver waltungseinheit, wobei das erste Anmeldetelegramm eine festgelegte Universaladresse beinhaltet,
- - Versenden eines Adreßvergabetelegramms von der Verwal tungseinheit an den sicheren Busteilnehmer, wobei das Adreßvergabetelegramm die definierte Teilnehmeradresse be inhaltet und
- - Abspeichern der definierten Teilnehmeradresse in einem Speicher des sicheren Busteilnehmers.
Die Aufgabe wird des weiteren durch ein Steuerungssystem der
eingangs genannten Art gelöst, bei dem der Busteilnehmer zweite
Mittel aufweist, um sich unter einer festgelegten Universal
adresse bei einer an den Feldbus angeschlossenen Verwaltungs
einheit anzumelden, sowie dritte Mittel, um ein Adreßvergabete
legramm mit der Teilnehmeradresse aufzunehmen und auszuwerten.
Mit dem genannten Verfahren ist es möglich, den zu konfigurie
renden Busteilnehmer zunächst ohne Zuordnung der individuellen
Teilnehmeradresse an den Feldbus anzuschließen. Aufgrund der
festgelegten Universaladresse kann sich dieser Busteilnehmer
anschließend bei der genannten Verwaltungseinheit anmelden. Die
Verwaltungseinheit ist bevorzugt eine zentrale Verwaltungsein
heit für das gesamte Steuerungssystem. Im nächsten Schritt wird
dem zu konfigurierenden Busteilnehmer von der Verwaltungsein
heit die individuelle Teilnehmeradresse übermittelt. Dies ge
schieht mit Hilfe eines speziellen Adreßvergabetelegramms, das
die Verwaltungseinheit an den zu konfigurierenden Busteilnehmer
versendet. Der angesprochene Busteilnehmer wertet das empfange
ne Adreßvergabetelegramm aus, indem er die übermittelte Teil
nehmeradresse extrahiert und anschließend in einem Speicher ab
speichert. Bevorzugt speichert er die Teilnehmeradresse dabei
in einem nicht-flüchtigen Speicher, wie bspw. einem EEPROM.
Mit Hilfe dieses Verfahrens ist es möglich, dem sicheren Bus
teilnehmer von einer zentralen Stelle aus, nämlich der Verwal
tungseinheit, die definierte Teilnehmeradresse zuzuordnen. Bei
einem räumlich ausgedehnten Steuerungssystem entfallen daher
die bisher erforderlichen, langen Laufwege. Darüber hinaus wird
durch die Möglichkeit, sämtliche Busteilnehmer von einer zen
tralen Stelle aus zu konfigurieren, der Überblick erleichtert
und so das Fehlerrisiko einer versehentlich falschen Adreßver
gabe verringert. Da zudem sowohl der sichere Busteilnehmer als
auch die Verwaltungseinheit sicherheitsbezogene Einrichtungen
aufweisen, kann die Übertragung der definierten Teilnehmer
adresse trotz der an sich bestehenden Fehlermöglichkeiten des
Bussystems auf fehlersichere Weise erfolgen.
Die genannte Aufgabe ist daher vollständig gelöst.
In einer Ausgestaltung des Verfahrens versendet der sichere
Busteilnehmer nach Empfang des Adreßvergabetelegramms ein zwei
tes Anmeldetelegramm an die Verwaltungseinheit, wobei das zwei
te Anmeldetelegramm die definierte Teilnehmeradresse beinhal
tet.
Diese Maßnahme besitzt den Vorteil, daß die Verwaltungseinheit
überprüfen kann, ob der sichere Busteilnehmer die zugeordnete
Teilnehmeradresse nicht nur fehlerfrei empfangen, sondern auch
fehlerfrei verarbeitet hat. Hierdurch wird die Sicherheit der
Adreßzuordnung nochmals erhöht. Anschaulich gesprochen bedeutet
die genannte Maßnahme, daß sich der sichere Busteilnehmer nach
Erhalt der ihm zugeordneten Teilnehmeradresse ein zweites Mal
bei der Verwaltungseinheit anmeldet. Die Maßnahme besitzt dar
über hinaus den weiteren Vorteil, daß aus Sicht der Verwal
tungseinheit die Universaladresse eindeutig wieder freigegeben
ist. Somit steht sie einem anderen Busteilnehmer zur Benutzung
zur Verfügung, ohne daß es zu Mehrdeutigkeiten hinsichtlich des
betroffenen Busteilnehmers kommen kann.
In einer weiteren Ausgestaltung der Erfindung versendet der si
chere Busteilnehmer das erste Anmeldetelegramm erst nach Emp
fang eines definierten Wartungstelegramms an die Verwaltungs
einheit.
Diese Maßnahme besitzt den Vorteil, daß die Verwaltungseinheit
stets die Kontrolle über das Geschehen am Feldbus behält. Es
ist hiernach ausgeschlossen, daß sich ein neuer, zu konfigurie
render Busteilnehmer von sich aus in das Geschehen am Feldbus
einmischt, ohne hierzu von der Verwaltungseinheit eine Freigabe
erhalten zu haben. Auch hierdurch wird die Sicherheit des
Steuerungssystems verbessert, da eine zentrale Kontrolle ge
währleistet ist.
In einer bevorzugten Ausgestaltung dieser Maßnahme versendet
der sichere Busteilnehmer das erste Anmeldetelegramm nur nach
dem erstmaligen Empfang des definierten Wartungstelegramms an
die Verwaltungseinheit, während er bei einem wiederholten Emp
fang des definierten Wartungstelegramms das zweite Anmeldetele
gramm versendet.
Diese Maßnahme besitzt den Vorteil, daß das Wartungstelegramm
als sogenanntes Broadcast-Telegramm jeweils gleichzeitig an al
le an den Feldbus angeschlossenen Busteilnehmer gemeinsam ver
sendet werden kann. Hierdurch vereinfacht sich das erfindungs
gemäße Verfahren, da die Anmeldung des neuen, zu konfigurieren
den Busteilnehmers nicht von bereits angemeldeten und konfigu
rierten Busteilnehmern gestört oder verzögert wird. Es ist
hierdurch auch möglich, das erfindungsgemäße Verfahren mit we
sentlich weniger Verfahrensschritten durchzuführen. Der erstma
lige Empfang kann sich je nach der konkreten Realisierung des
erfindungsgemäßen Verfahrens auf den erstmaligen Empfang nach
jedem Einschalten des Steuerungssystems beziehen. Bevorzugt be
zieht er sich jedoch auf den erstmaligen Empfang nach dem An
schluß des Busteilnehmers an den Feldbus.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen
wird das definierte Wartungstelegramm nur nach Aktivieren eines
besonderen Wartungsmodus der Verwaltungseinheit versendet.
Die Aktivierung des besonderen Wartungsmodus erfolgt bevorzugt
durch die Betätigung eines Schlüsselschalters oder eines Code
schlosses, das mit der Verwaltungseinheit verbunden ist. Der
besondere Wartungsmodus der Verwaltungseinheit unterscheidet
sich von allen anderen Betriebsmodi der Verwaltungseinheit dar
in, daß nur in diesem Wartungsmodus das definierte Wartungste
legramm versendet wird. Die Maßnahme besitzt den Vorteil, daß
die Zuordnung von Teilnehmeradressen nur nach einem bewußten
Eingriff in das sichere Steuerungssystem möglich ist. Hierdurch
wird eine versehentliche Vergabe von Teilnehmeradressen verhin
dert. Infolge dessen ist das Risiko einer falschen Zuordnung
von Teilnehmeradressen beträchtlich reduziert.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme
beendet die Verwaltungseinheit den besonderen Wartungsmodus au
tomatisch nach Empfang des zweiten Anmeldetelegramms.
Auch diese Maßnahme trägt erheblich dazu bei, das Risiko einer
fehlerhaften Adreßzuordnung zu minimieren, da der besondere
Wartungsmodus in diesem Fall nur für jeweils eine einzige
Adreßzuordnung aktiviert werden kann. Es ist hiernach also für
jede Zuordnung einer Teilnehmeradresse der erneute, bewußte
Eingriff in das sichere Steuerungssystem notwendig. Die Sicher
heit des Systems wird hierdurch nochmals beträchtlich verbes
sert.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahmen
wird der Verwaltungseinheit zu Beginn des besonderen Wartungs
modus die definierte Teilnehmeradresse übermittelt.
Alternativ zu dieser Maßnahme ist es möglich, daß die Verwal
tungseinheit die definierte Teilnehmeradresse selbständig aus
einem Speicher ausliest und somit den einzelnen Busteilnehmern
der Reihe nach Teilnehmeradressen aus einer Liste von Teilneh
meradressen zuordnet. Die zuvor genannte Maßnahme besitzt dem
gegenüber den Vorteil, daß für die Zuordnung jeder individuel
len Teilnehmeradresse erneut eine bewußte Handlung desjenigen
erforderlich ist, der die Konfiguration der Busteilnehmer
durchführen möchte. Auch hierdurch wird die Sicherheit der
Adreßzuordnung beträchtlich erhöht.
In einer weiteren Ausgestaltung der zuvor genannten Maßnahme
erzeugt die Verwaltungseinheit ein Fehlersignal, wenn die über
mittelte Teilnehmeradresse bereits an einen an den Feldbus an
geschlossenen Busteilnehmer vergeben ist.
Auch diese Maßnahme trägt zur Vermeidung einer fehlerhaften
Adreßzuordnung bei, da hierdurch die mehrfache Zuordnung einer
Teilnehmeradresse an verschiedene Busteilnehmer zuverlässig
verhindert ist.
In einer weiteren Ausgestaltung der Erfindung versendet die
Verwaltungseinheit Wartungstelegramme in definierten Zeitab
ständen an alle an den Feldbus angeschlossenen Busteilnehmer.
Diese Maßnahme steht im Gegensatz dazu, daß ein Wartungstele
gramm jeweils nur nach einer individuellen Aktivierung eines
besonderen Wartungsmodus versendet werden kann. Die genannte
Maßnahme besitzt demgegenüber den Vorteil, daß der Anschluß ei
nes neuen Busteilnehmers im laufenden Betrieb des Steuerungssy
stems auf sehr einfache und komfortable Weise möglich ist. Die
Teilnehmeradresse kann hierbei entweder von der Verwaltungsein
heit automatisch aus einer Liste von möglichen Teilnehmeradres
sen ausgewählt werden oder sie kann der Verwaltungseinheit vor
dem Anschließen des neuen Busteilnehmers übermittelt werden.
Eine weitere Ausgestaltung des erfindungsgemäßen Verfahrens ist
durch die folgenden Schritte gekennzeichnet:
- - Überprüfen der Anwesenheit aller aktiv an den Feldbus an geschlossenen Busteilnehmer anhand einer Sollkonfiguration von Busteilnehmern sowie anhand von Antworttelegrammen der Busteilnehmer und
- - Versenden der Teilnehmeradresse eines als nicht mehr aktiv erkannten Busteilnehmers als definierte Teilnehmeradresse.
Diese Ausgestaltung der Erfindung ist besonders vorteilhaft im
Hinblick auf Wartungsarbeiten an einem bereits eingerichteten,
sicheren Steuerungssystem. Mit der bekannten Maßnahme ist es
nämlich auf einfache Weise möglich, einen defekten Busteilneh
mer durch einen neuen Busteilnehmer auszutauschen, ohne daß dem
neuen Busteilnehmer hierbei bewußt eine Teilnehmeradresse zuge
ordnet werden muß. Die Verwaltungseinheit prüft in dieser Aus
gestaltung des Verfahrens nämlich laufend, ob alle bei ihr an
gemeldeten Busteilnehmer aktiv am Feldbus angeschlossen sind.
Fehlt ein einzelner Busteilnehmer, so deutet dies auf einen De
fekt oder darauf hin, daß dieser Busteilnehmer bereits vom
Feldbus abgetrennt wurde. Aufgrund der bekannten Sollkonfigura
tion kann die Verwaltungseinheit die Teilnehmeradresse dieses
fehlenden Busteilnehmers identifizieren. Sobald sich bei der
Verwaltungseinheit dann ein neuer Busteilnehmer unter der fest
gelegten Universaladresse anmeldet, wird diesem die Teilnehme
radresse des fehlenden Busteilnehmers zugeordnet. Auf diese
Weise ist der Austausch eines defekten Busteilnehmers möglich,
ohne daß dem neuen Busteilnehmer die alte Teilnehmeradresse von
Hand zugeordnet werden muß. Besonders bevorzugt wird diese Aus
gestaltung der Erfindung damit kombiniert, daß das definierte
Wartungstelegramm nur nach Aktivieren eines besonderen War
tungsmodus der Verwaltungseinheit versendet wird. In dieser
Kombination ist nämlich einerseits eine sehr große Sicherheit
bezüglich der Zuordnung einer Teilnehmeradresse gegeben, wäh
rend andererseits ein defekter Busteilnehmer sehr einfach und
ohne Fachkenntnisse ausgetauscht werden kann. Dies ist beson
ders vorteilhaft im Hinblick auf Produktionsanlagen, die rund
um die Uhr betrieben werden.
In einer weiteren Ausgestaltung der Erfindung erzeugt die Ver
waltungseinheit ein Fehlersignal, wenn mehr als ein Busteilneh
mer das erste Anmeldetelegramm versendet.
Auch diese Maßnahme besitzt den Vorteil, daß die Sicherheit er
höht wird, da in diesem Fall die gleichzeitige Zuordnung einer
Teilnehmeradresse an mehrere Busteilnehmer verhindert ist.
In einer weiteren Ausgestaltung der Erfindung werden zumindest
das erste Anmeldetelegramm sowie das Adreßvergabetelegramm mit
jeweils einem Quittungstelegramm beantwortet.
Diese Maßnahme zielt darauf ab, daß der Empfänger der genannten
Telegramme unabhängig von deren eigentlicher Verarbeitung ein
Quittungstelegramm an den Absender zurückschickt. Hierdurch
wird ebenfalls die Sicherheit der Adreßzuordnung beträchtlich
erhöht, da der Absender auf diese Weise überprüfen kann, ob der
Empfänger das jeweilige Telegramm fehlerfrei erhalten hat.
Es versteht sich, daß die vorstehend genannten und die nach
stehend noch zu erläuternden Merkmale nicht nur in der jeweils
angegebenen Kombination, sondern auch in anderen Kombinationen
oder in Alleinstellung verwendbar sind, ohne den Rahmen der
vorliegenden Erfindung zu verlassen.
Ausführungsbeispiele der Erfindung sind in der Zeichnung
dargestellt und werden in der nachfolgenden Beschreibung näher
erläutert. Es zeigen:
Fig. 1 eine schematische Darstellung eines Steuerungssy
stems zum sicheren Steuern von sicherheitskritischen
Prozessen,
Fig. 2 den Kommunikationsablauf zwischen einer Verwaltungs
einheit und zwei Busteilnehmern bei einem ersten
Ausführungsbeispiel der Erfindung und
Fig. 3 den Kommunikationsablauf zwischen der Verwaltungs
einheit und den beiden Busteilnehmern bei weiteren
Ausführungsbeispielen der Erfindung.
In Fig. 1 ist ein Steuerungssystem zum sicheren Steuern von si
cherheitskritischen Prozessen in seiner Gesamtheit mit der Be
zugsziffer 10 bezeichnet.
Das Steuerungssystem 10 besitzt zwei sichere Steuerungseinhei
ten 12 und 14, die über einen Feldbus 16 mit insgesamt vier si
cheren Signaleinheiten 18, 20, 22 und 24 verbunden sind. Die
Steuerungseinheiten 12, 14 und die Signaleinheiten 18 bis 24
sind Busteilnehmer im Sinne der vorliegenden Erfindung.
Jede der sicheren Signaleinheiten 18 bis 24 weist mehrere E/A-
Kanäle auf, über die sie mit jeweils einem sicherheitskriti
schen Prozeß 28, 30, 32 verbunden ist. Im vorliegenden Fall
sind die sicheren Signaleinheiten 18 und 20 mit dem Prozeß 28
verbunden, während die Signaleinheit 22 mit dem Prozeß 30 und
die Signaleinheit 24 mit dem Prozeß 32 verbunden ist. Bei dem
sicherheitskritischen Prozeß 28 handelt es sich bspw. um die
Zwei-Hand-Steuerung einer Maschinenanlage, bei der außerdem
auch die Drehzahl einer hier nicht dargestellten Maschinenwelle
überwacht wird. Der sicherheitskritische Prozeß 30 ist bspw.
die Überwachung eines Not-Aus-Schalters und der sicherheitskri
tische Prozeß 32 die Überwachung eines Schutzgitters (hier
ebenfalls nicht dargestellt).
Die Signaleinheiten 18 bis 24 lesen über ihre E/A-Kanäle 26 Si
gnale und/oder Datenwerte der sicherheitskritischen Prozesse 28
bis 32 ein. Derartige Signale bzw. Datenwerte sind bspw. die
aktuelle Drehzahl der Maschinenwelle und die Schalterstellung
des Not-Aus-Schalters. Andererseits können die Signaleinheiten
18 bis 24 über die E/A-Kanäle 26 auf hier nicht dargestellte
Aktoren einwirken, mit denen die sicherheitskritischen Prozesse
28 bis 32 beeinflußt werden. So gehört bspw. zu dem sicher
heitskritischen Prozeß 30, bei dem die Schalterstellung des
Not-Aus-Schalters überwacht wird, ein Aktor, mit dem die Strom
versorgung der gesteuerten und überwachten Maschinenanlage ab
geschaltet werden kann.
Die sicheren Steuerungseinheiten 12 und 14 sind SPS-
Steuerungen. Sie sind hier vom Grundsatz her gleich zueinander
aufgebaut und unterscheiden sich im wesentlichen durch ver
schiedenen Anwendungsprogramme, die auf ihnen ausgeführt wer
den.
Bei der nachfolgenden Erläuterung der Steuerungseinheiten 12,
14 bzw. der Signaleinheiten 18 bis 24 sind die jeweils genann
ten Bezugszeichen in Fig. 1 aus Gründen der Übersichtlichkeit
nur einfach aufgeführt.
Die Steuerungseinheiten 12, 14 beinhalten jeweils einen siche
ren Verarbeitungsteil 34, der in Fig. 1 oberhalb der strich
punktierten Linie 36 dargestellt ist. Unterhalb der Linie 36
befindet sich ein nicht-sicherer Teil 38, der im wesentlichen
einen als Buscontroller bezeichneten Baustein 40 enthält. Der
Buscontroller 40 ist ein Standard-Baustein, in dem das Stan
dard-Protokoll des verwendeten Feldbusses 16 implementiert ist.
Der Buscontroller 40 ist in der Lage, das Versenden und Empfan
gen von Nachrichten in Form von Telegrammen eigenständig abzu
wickeln. Die zu versendenden Nachrichten erhält der Buscontrol
ler 40 von dem sicheren Verarbeitungsteil 34. Umgekehrt stellt
der Buscontroller 40 empfangene Nachrichten dem sicheren Verar
beitungsteil 34 zur Verfügung.
Entsprechend einer bevorzugten Ausführung der Erfindung handelt
es sich bei dem Feldbus 16 hier um einen CAN-Bus. Bei diesem
Bus werden die zu versendenden Nachrichten innerhalb eines
Nutzdatenfeldes übertragen, das für seinen Weg über den Feldbus
16 mit zusätzlichen Steuerungsinformationen ergänzt wird. Das
gesamte Paket aus Steuerungsinformationen und Nutzdatenfeld
bildet das Bustelegramm. Der Buscontroller 40 ist in der Lage,
Nachrichten, die er von dem sicheren Verarbeitungsteil 34 er
hält, selbständig in der dem Protokoll entsprechenden Form in
die zu versendenden Bustelegramme einzubetten. Umgekehrt kann
er bei einem empfangenen Bustelegramme die im Nutzdatenfeld
enthaltenen Nachrichten extrahieren.
Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12, 14
ist zweikanalig-redundant aufgebaut. Jeder der beiden Kanäle
enthält im wesentlichen einen Prozessor 42a, 42b mit jeweils
zugehöriger Peripherie, mit dem ein Anwendungsprogramm 44a, 44b
ausgeführt wird. In dem Anwendungsprogramm 44a, 44b ist die
Steuerung der Maschinenanlage und damit die Intelligenz der
Steuerungseinheiten 12, 14 niedergelegt.
Die beiden Prozessoren 42a, 42b führen sicherheitsrelevante
Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich
gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt
ist. Die sicherheitsrelevanten Aufgaben beinhalten bspw. Maß
nahmen zur Fehlersicherung von übertragenen bzw. versendeten
Nachrichten. Diese Maßnahmen erfolgen zusätzlich und in Ergän
zung zu Fehlersicherungsmaßnahmen, die bereits standardmäßig
von dem Buscontroller 40 durchgeführt werden. Hierdurch ist es
möglich, die Fehlerwahrscheinlichkeit gegenüber dem an sich
nicht-sicheren Feldbus 16 beträchtlich zu erhöhen.
Die Signaleinheiten 18 bis 24 sind über den gleichen Buscon
troller 40 an den Feldbus 16 angeschlossen wie die sicheren
Steuerungseinheiten 12, 14. Dementsprechend ist der Teil 48
oberhalb der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne
der vorliegenden Erfindung. In dem sicheren Verarbeitungsteil
unterhalb der Linie 50 ist jede Signaleinheit 18 bis 24 wieder
um zweikanalig-redundant aufgebaut. Die beiden redundanten Ver
arbeitungskanäle sind wiederum in der Lage, eine gegenseitige
Fehlerüberwachung durchzuführen.
Jeder der Verarbeitungskanäle der Signaleinheiten 18 bis 24 be
sitzt einen Prozessor 54a, 54b sowie ein Schaltmittel 56a, 56b.
Mit den Bezugsziffern 58a, 58b ist jeweils ein Speicher be
zeichnet, in dem einerseits eine festgelegte Universaladresse
abgelegt ist und in dem die Prozessoren 54a, 54b andererseits
eine zugeordnete Teilnehmeradresse abspeichern können. In Ver
bindung mit dem Buscontroller 40 ist jede Signaleinheit 18 bis
24 daher in der Lage, sich unter der festgelegten Universal
adresse bei einer an dem Feldbus angeschlossenen Verwaltungs
einheit anzumelden bzw. umgekehrt ein Adreßvergabetelegramm mit
einer zugeordneten Teilnehmeradresse aufzunehmen und auszuwer
ten. Dieselbe Fähigkeit besitzen auch die sicheren Steuerungs
einheiten 12, 14, wenngleich dies in Fig. 1 nicht explizit dar
gestellt ist.
Die Schaltmittel 56a, 56b versetzen die Signaleinheiten 18 bis
24 in die Lage, die hier nicht dargestellten Aktoren zur Beein
flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti
vieren. Damit sind die sicheren Signaleinheiten 18 bis 24 in
der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen
sicheren Zustand zu überführen, wie bspw. bei einer Betätigung
des Not-Aus-Schalters die Maschinenanlage abzuschalten.
Mit der Bezugsziffer 70 ist in Fig. 1 die bereits erwähnte Ver
waltungseinheit bezeichnet, die in der Fachterminologie auch
als "Management Device" bezeichnet wird. Die Verwaltungseinheit
70 ist ebenfalls über einen Buscontroller 40 an den Feldbus 16
angeschlossen. Sie kann daher mit den übrigen an den Feldbus 16
angeschlossenen Einheiten kommunizieren. An der Steuerung der
sicherheitskritischen Prozesse 28 bis 32 ist sie jedoch nicht
unmittelbar beteiligt.
In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein
heit 70 im wesentlichen zwei zueinander redundante Speicher
72a, 72b, in denen unter anderem die gesamte Konfiguration des
Steuerungssystems 10, insbesondere die Zuordnung der definier
ten Teilnehmeradressen an die Busteilnehmer 12, 14 bzw. 18 bis
24 abgelegt ist. Die Verwaltungseinheit 70 besitzt eine zentra
le Verwaltungs- und Überwachungsfunktion, die unabhängig von
der Steuerung der Prozesse 28 bis 32 abläuft. Beispielsweise
initiiert die Verwaltungseinheit 70 in regelmäßigen Zeitinter
vallen eine Verbindungsprüfung zwischen den Steuerungseinheiten
12, 14 und den Signaleinheiten 18 bis 24. Dabei überprüft die
Verwaltungseinheit 70 durch Versenden eines Verbindungsprüfte
legramms an die Steuerungseinheiten 12, 14, ob die Verbindung
zu diesen Steuerungseinheiten fehlerfrei funktioniert. Als Re
aktion auf dieses Prüftelegramm versenden die Steuerungseinhei
ten 12, 14 ihrerseits Prüftelegramme an die ihnen zugeordneten
Signaleinheiten 18 bis 24. Die Verwaltungseinheit 70 überwacht
dabei den gesamten Datenverkehr und erhält hierdurch in regel
mäßigen Zeitintervallen eine Information darüber, ob immer noch
alle ihr bekannten Busteilnehmer aktiv am Feldbus 16 ange
schlossen sind. Bei Ausbleiben eines erwarteten Prüftelegramms
oder auch beim Ausbleiben eines erwarteten Antworttelegramms
erzeugt die Verwaltungseinheit ein Fehlertelegramm, aufgrund
dessen die sicherheitskritischen Prozesse 28 bis 32 in ihren
sicheren Zustand überführt werden.
Alternativ zu dem hier dargestellten Ausführungsbeispiel kann
die Verwaltungseinheit 70 auch in einer der Steuerungseinheiten
12, 14 integriert sein. In diesem Fall stellt die Verwaltungs
einheit 70 einen Funktionsblock innerhalb der Steuerungseinheit
12, 14 dar. In einem weiteren, hier ebenfalls nicht dargestell
ten Ausführungsbeispiel besitzt das Steuerungssystem 10 nur ei
ne Steuerungseinheit 12.
Mit der Bezugsziffer 80 ist beispielhaft ein Bustelegramm be
zeichnet, das zwischen zwei Busteilnehmern über den Feldbus 16
übertragen wird. Das Bustelegramm 80 weist dem verwendeten,
standardisierten Protokoll entsprechend ein Adreßfeld 82 sowie
ein Nutzdatenfeld 84 auf. Zudem können weitere, hier nicht dar
gestellte Steuerungsinformationen in dem Bustelegramm 80 ent
halten sein.
In der Darstellung in Fig. 1 ist jeder der an den Feldbus 16
angeschlossenen Einheiten eine individuelle, definierte Teil
nehmeradresse 90 zugeordnet, die bei der Steuerungseinheit 14
beispielhaft mit "2" angenommen ist. Die Verwaltungseinheit 70
besitzt hiernach die definierte Teilnehmeradresse "0" und die
Signaleinheit 18 beispielhaft die Teilnehmeradresse "3". Dar
über hinaus ist in jeder Einheit eine festgelegte Universal
adresse 92 abgelegt, die in Fig. 1 symbolisch als "xy" darge
stellt ist. Es versteht sich, daß sowohl die Teilnehmeradresse
90 als die Universaladresse 92 jeweils als Datenwert in einem
Speicher der einzelnen Einheiten abgelegt ist.
In Fig. 2 ist am Beispiel der Verwaltungseinheit 70, der siche
ren Steuerungseinheit 12 sowie der sicheren Signaleinheit 18
der zeitliche Ablauf der Kommunikation beim Konfigurieren der
Signaleinheit 18 dargestellt. Dabei verläuft eine Zeitachse in
Richtung des Pfeils 100. Die einzelnen Telegramme, die zwischen
den verschiedenen Einheiten versendet werden, sind anhand von
Pfeilen symbolisiert, deren Ausgangspunkt beim Absender mit ei
nem Punkt versehen ist und deren Endpunkt jeweils auf den Emp
fänger verweist.
In dem ersten Zeitabschnitt in Fig. 2 ist die sichere Si
gnaleinheit 18 noch nicht am Feldbus 16 angeschlossen. Sie ist
daher in diesem Zeitabschnitt nur gestrichelt dargestellt. Die
Verwaltungseinheit 70 versendet in regelmäßigen Zeitabständen
ein Verbindungsprüfungstelegramm 102 an die Steuerungseinheit
12. Diese antwortet daraufhin mit einem Antworttelegramm 104.
Der Eingang des Antworttelegramms 104 innerhalb einer vorgege
benen Zeitspanne wird von der Verwaltungseinheit 70 überwacht.
Infolge dessen ist die Verwaltungseinheit 70 in der Lage, die
tatsächliche Anzahl der aktiv an den Feldbus 16 angeschlossenen
Einheiten mit der Sollanzahl gemäß einer Sollkonfiguration zu
vergleichen. Nach Ablauf der festgelegten Zeitspanne wiederholt
sich der Vorgang, d. h. die Verwaltungseinheit 70 versendet er
neut das Verbindungsprüfungstelegramm 102 und empfängt das Ant
worttelegramm 104.
Nun sei angenommen, daß die Signaleinheit 18 neu an den Feldbus
16 angeschlossen werden soll. Dementsprechend muß die Sig
naleinheit 18 konfiguriert werden, wobei ihr eine definierte
Teilnehmeradresse 90 zugeordnet wird. Gemäß dem hier darge
stellten Ausführungsbeispiel der Erfindung wird die Verwal
tungseinheit 70 zunächst in einen besonderen Wartungsmodus ver
setzt. Dies geschieht bei dem bevorzugten Ausführungsbeispiel
mit Hilfe eines Schlüsselschalters, der an der Verwaltungsein
heit 70 angeordnet ist. Die Aktivierung des besonderen War
tungsmodus ist in Fig. 2 anhand der Linie 106 symbolisiert.
Nach der Aktivierung des besonderen Wartungsmodus wird der Ver
waltungseinheit 70 mit Hilfe eines Eingabegerätes 108 die defi
nierte Teilnehmeradresse 90 übermittelt, die der Signaleinheit
18 zugeordnet werden soll. Anschließend versendet die Verwal
tungseinheit 70 ein definiertes Wartungstelegramm 110, das sich
von dem Verbindungsprüfungstelegramm 102 im normalen Betriebs
modus der Verwaltungseinheit 70 unterscheidet. Die bereits an
den Feldbus 16 angeschlossene Steuerungseinheit 12 antwortet
auf den Empfang des Wartungstelegramms 110 mit einem Anmeldete
legramm 112, das die definierte Teilnehmeradresse der Steue
rungseinheit 12, hier also beispielhaft die Teilnehmeradresse
"1", beinhaltet. Das Anmeldetelegramm 112 ist somit das zweite
Anmeldetelegramm im Sinne der vorliegenden Erfindung. Gemäß ei
ner bevorzugten Ausführung der Erfindung ist das Anmeldetele
gramm 112 der Steuerungseinheit 12 mit dem zuvor erwähnten Ant
worttelegramm 104 identisch. Dies ist jedoch zur Durchführung
des Verfahrens nicht unbedingt notwendig.
Der Versand des Wartungstelegramms 110 bzw. der Empfang des
zweiten Anmeldetelegramms 112 wiederholt sich zyklisch. Während
dieser Zeit ist es möglich, die sichere Signaleinheit 18 an den
Feldbus 16 anzuschließen. Nachdem dies geschehen ist, empfängt
die Signaleinheit 18 ebenso wie die Steuerungseinheit 12 das
Wartungstelegramm 110. Während die Steuerungseinheit 12 auf
dieses Wartungstelegramm 110, wie zuvor beschrieben, mit dem
zweiten Anmeldetelegramm 112 antwortet, versendet die Si
gnaleinheit 18 als Antwort auf den erstmaligen Empfang des War
tungstelegramms 110 ein erstes Anmeldetelegramm 114, das die
festgelegte Universaladresse "xy" beinhaltet. Die Verwaltungs
einheit 70 empfängt das erste Anmeldetelegramm 114 und versen
det ein Quittungstelegramm 116 an die Signaleinheit 18. An
schließend versendet die Verwaltungseinheit 70 ein Adreßverga
betelegramm 118, in dessen Nutzdatenfeld die definierte Teil
nehmeradresse "3" enthalten ist. Die Signaleinheit 18 quittiert
den Empfang des Adreßvergabetelegramms 118 mit einem Quit
tungstelegramm 116. Anschließend legt die Signaleinheit 18 die
definierte Teilnehmeradresse "3" in einem Speicher 120 ab.
Nachdem die Verwaltungseinheit 70 das Quittungstelegramm 116
von der Signaleinheit 18 empfangen hat, versendet sie erneut
das Wartungstelegramm 110. Daraufhin meldet sich die Steue
rungseinheit 12, wie üblich, mit dem zweiten Anmeldetelegramm
112 bei der Verwaltungseinheit 70 an. Darüber hinaus meldet
sich nun jedoch auch die Signaleinheit 18 mit ihrem zweiten An
meldetelegramm 112 bei der Verwaltungseinheit 70 an. In diesem
Fall enthält das zweite Anmeldetelegramm 112 die Teilnehme
radresse "3", die der Signaleinheit 18 zugeordnet wurde. Die
Verwaltungseinheit 70 quittiert den Empfang des zweiten Anmel
detelegramms 112 mit einem Quittungstelegramm 116.
Nach dem Ablauf des beschriebenen Telegrammverkehrs ist die Si
gnaleinheit 18 im Sinne der vorliegenden Erfindung konfigu
riert. Gemäß dem bevorzugten Ausführungsbeispiel der Erfindung
beendet die Verwaltungseinheit 70 daher automatisch den beson
deren Wartungsmodus, was anhand der Linie 122 angedeutet ist.
Sodann findet wiederum der bereits beschriebene, normale Daten
verkehr zwischen der Verwaltungseinheit 70 und den an den Feld
bus 16 angeschlossenen Einheiten 12, 18 statt. Hierbei versen
det die Verwaltungseinheit 70 in zyklischen Zeitabständen das
Verbindungsprüfungstelegramm 102 und empfängt die Antworttele
gramme 104.
Abweichend von dem hier dargestellten Ablauf beendet die Ver
waltungseinheit 70 in einem anderen Ausführungsbeispiel der Er
findung den besonderen Wartungsmodus bereits nach dem Abspei
chern der zugeordneten Adresse in der Signaleinheit 18. In die
sem Fall meldet sich die Signaleinheit 18 mit dem zweiten An
meldetelegramm 112 erst wieder im normalen Betriebsmodus der
Verwaltungseinheit 70 bei dieser an.
Aus Gründen der Übersichtlichkeit wurde der Versand des Quit
tungstelegramms 116 hier nur in Bezug auf die zu konfigurieren
de Signaleinheit 18 erwähnt. Abweichend hiervon wird bei dem
bevorzugten Ausführungsbeispiel des Steuerungssystems 10 jedoch
jedes versendete Telegramm mit einem Quittungstelegramm 116 be
antwortet. Das Ausbleiben des Quittungstelegramms 116 führt au
tomatisch zur Erzeugung einer Fehlermeldung.
Fig. 3 zeigt den Ablauf des erfindungsgemäßen Verfahrens bei
einem Austausch der Signaleinheit 18. Auch hierbei befindet
sich die Verwaltungseinheit 70 zunächst in ihrem normalen Be
triebsmodus, in dem sie in zyklischen Zeitabständen Verbin
dungsprüfungstelegramme 102 an sämtliche an den Feldbus 16 an
geschlossenen Einheiten versendet. Die angeschlossenen Einhei
ten, in diesem Fall die Steuerungseinheit 12 und die Signalein
heit 18, antworten mit entsprechenden Antworttelegrammen 104.
Aufgrund dieser Antworttelegramme ist die Verwaltungseinheit 70
über die Anzahl der aktiv an den Feldbus 16 angeschlossenen
Einheiten 12, 18 informiert.
Zum Austausch der Signaleinheit 18 wird zunächst die Verwal
tungseinheit 70 in den besonderen Wartungsmodus versetzt. Dies
ist anhand der Linie 106 dargestellt. Zuvor wurde die auszutau
schende Signaleinheit 18 vom Feldbus 16 abgetrennt.
In dem besonderen Wartungsmodus versendet die Verwaltungsein
heit 70, wie erläutert, ein definiertes Wartungstelegramm 110,
das jedoch die Signaleinheit 18 nicht mehr erreicht. Dies ist
in Fig. 3 anhand des gestrichelten Pfeils 123 dargestellt. Die
Steuerungseinheit 12 antwortet wie üblich mit dem zweiten An
meldetelegramm 112 auf den Empfang des Wartungstelegramms 110.
Das zweite Anmeldetelegramm der Signaleinheit 18 bleibt hinge
gen aus, was durch den gestrichelten Pfeil 124 dargestellt ist.
Die Verwaltungseinheit 70 kann daher erkennen, daß die Si
gnaleinheit 18 nicht mehr aktiv an den Feldbus 16 angeschlossen
ist. Sie speichert daher die definierte Teilnehmeradresse "3",
die der Signaleinheit 18 zugeordnet war, in einem Speicher 126.
Anschließend versendet sie das Wartungstelegramm 110 erneut in
zyklischen Zeitabständen. Die Steuerungseinheit 12 antwortet
hierauf, wie erläutert, mit dem zweiten Anmeldetelegramm 112.
Nun kann die Signaleinheit 18 oder ein entsprechendes Aus
tauschgerät an den Feldbus 16 angeschlossen werden.
Sobald die neu angeschlossene Signaleinheit 18 das Wartungste
legramm 110 empfängt, versendet sie das erste Anmeldetelegramm
114, in dem die festgelegte Universaladresse "xy" enthalten
ist. Die neue Signaleinheit 18 meldet sich hierdurch bei der
Verwaltungseinheit 70 unter der festgelegten Universaladresse
"xy" an. Die Verwaltungseinheit 70 quittiert den Empfang des
ersten Anmeldetelegramms 114, wie bereits erläutert, mit einem
Quittungstelegramm 116 und versendet anschließend das Adreßver
gabetelegramm 118. Dieses enthält nun die definierte Teil
nehmeradresse "3", die die Verwaltungseinheit 70 zuvor in den
Speicher 126 abgelegt hat. Die Signaleinheit 18 quittiert den
Empfang des Adreßvergabetelegramms 118 mit einem Quittungstele
gramm 116 und speichert die zugeordnete Teilnehmeradresse "3"
in ihrem Speicher 120 ab. Anschließend versendet die Verwal
tungseinheit 70 erneut das Wartungstelegramm 110 und empfängt
sowohl von der Steuerungseinheit 12 als auch von der Signalein
heit 18 das zweite Anmeldetelegramm 112. Sie quittiert den Emp
fang dieser Anmeldungstelegramme mit dem Quittungstelegramm 116
und beendet den besonderen Wartungsmodus, was wiederum anhand
der Linie 122 dargestellt ist.
Mit diesem beschriebenen Verfahren ist es somit möglich, einen
an den Feldbus 16 angeschlossenen Busteilnehmer auszutauschen,
ohne daß man dessen definierte Teilnehmeradresse kennen muß.
In dem nächsten Zeitabschnitt in Fig. 3 ist der Verfahrensab
lauf dargestellt, der sich ergibt, wenn sich mehrere Bus
teilnehmer unter der festgelegten Universaladresse "xy" bei der
Verwaltungseinheit 70 anmelden. Wie zuvor beschrieben, wurde
die Verwaltungseinheit 70 zunächst in den besonderen Wartungs
modus versetzt. Sie versendet daraufhin das Wartungstelegramm
110. Wenn nun sowohl die Steuerungseinheit 12 als auch die Si
gnaleinheit 18 mit dem ersten Anmeldetelegramm 114 antworten,
aktiviert die Verwaltungseinheit 70 eine Fehleranzeige 128 und
bricht den besonderen Wartungsmodus ab.
In dem nächsten Zeitabschnitt ist eine weitere Fehlerquelle
dargestellt. Hierbei ist angenommen, daß der Verwaltungseinheit
70 nach dem Aktivieren des besonderen Wartungsmodus über das
Eingabegerät 108 eine Teilnehmeradresse übermittelt wird, die
bereits einem an den Feldbus 16 angeschlossenen Busteilnehmer
zugeordnet ist. Die Verwaltungseinheit 70 erkennt aufgrund der
ihr bekannten Sollkonfiguration der aktiven Busteilnehmer die
doppelte Adreßvergabe und aktiviert die Fehleranzeige 128. Au
ßerdem beendet sie wiederum den besonderen Wartungsmodus.
Claims (13)
1. Verfahren zum Konfigurieren eines sicheren Busteilnehmers
(12, 14, 18-24) beim Anschließen an einen Feldbus (16)
in einem sicheren Steuerungssystem (10), wobei dem siche
ren Busteilnehmer (12, 14, 18-24) eine definierte Teil
nehmeradresse (90) zugeordnet wird, gekennzeichnet durch
die Schritte:
- - Versenden eines ersten Anmeldetelegramms (114) von dem sicheren Busteilnehmer (12, 14, 18-24) zu ei ner an den Feldbus (16) angeschlossenen Verwaltungs einheit (70), wobei das erste Anmeldetelegramm (114) eine festgelegte Universaladresse (92) beinhaltet,
- - Versenden eines Adreßvergabetelegramms (118) von der Verwaltungseinheit (70) an den sicheren Busteilneh mer (12, 14, 18-24), wobei das Adreßvergabetele gramm (118) die definierte Teilnehmeradresse (90) beinhaltet und
- - Abspeichern der definierten Teilnehmeradresse (90) in einem Speicher (58; 120) des sicheren Busteilneh mers.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der
sichere Busteilnehmer (12, 14, 18-24) nach Empfang des
Adreßvergabetelegramms (118) ein zweites Anmeldetelegramm
(112) an die Verwaltungseinheit (70) versendet, wobei das
zweite Anmeldetelegramm (112) die definierte Teilnehme
radresse (90) beinhaltet.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet,
daß der sichere Busteilnehmer (12, 14, 18-24) das erste
Anmeldetelegramm (114) nach dem Empfang eines definierten
Wartungstelegramms (110) an die Verwaltungseinheit (70)
versendet.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß der
sichere Busteilnehmer (12, 14, 18-24) das erste Anmelde
telegramm (114) nur nach dem erstmaligen Empfang des defi
nierten Wartungstelegramms (110) an die Verwaltungseinheit
(70) versendet, während er bei einem wiederholten Empfang
des definierten Wartungstelegramms (110) das zweite Anmel
detelegramm (112) an die Verwaltungseinheit (70) versen
det.
5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet,
das definierte Wartungstelegramm (110) nur nach Aktivieren
(106) eines besonderen Wartungsmodus (106) der Verwal
tungseinheit (70) versendet wird.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß die
Verwaltungseinheit (70) den besonderen Wartungsmodus nach
Empfang des zweiten Anmeldetelegramms (112) automatisch
beendet (122).
7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet,
daß der Verwaltungseinheit (70) zu Beginn des besonderen
Wartungsmodus die definierte Teilnehmeradresse (90) über
mittelt wird (108).
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die
Verwaltungseinheit (70) ein Fehlersignal (128) erzeugt,
wenn die übermittelte Teilnehmeradresse (90) bereits an
einen an den Feldbus (16) angeschlossenen Busteilnehmer
(12, 14, 18-24) vergeben ist.
9. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß die
Verwaltungseinheit (70) Wartungstelegramme (110) in defi
nierten Zeitabständen an alle an den Feldbus (16) ange
schlossenen Busteilnehmer (12, 14, 18-24) versendet.
10. Verfahren nach einem der Ansprüche 1 bis 9, gekennzeichnet
ferner durch die Schritte:
- - Überprüfen der Anwesenheit aller aktiv an den Feld bus (16) angeschlossenen Busteilnehmer (12, 14, 18- 24) anhand einer Sollkonfiguration von Busteilneh mern (12, 14, 18-24) sowie anhand von Antworttele grammen (104) der Busteilnehmer (12, 14, 18-24) und
- - Versenden der Teilnehmeradresse (90) eines als nicht mehr aktiv erkannten Busteilnehmers (12, 14, 18- 24) als definierte Teilnehmeradresse (90).
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch ge
kennzeichnet, daß die Verwaltungseinheit (70) ein Fehler
signal (128) erzeugt, wenn mehr als ein Busteilnehmer (12,
14, 18-24) das erste Anmeldetelegramm (114) versendet.
12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch ge
kennzeichnet, daß zumindest das erste Anmeldetelegramm
(114) sowie das Adreßvergabetelegramm (118) mit jeweils
einem Quittungstelegramm (116) beantwortet werden.
13. Steuerungssystem zum sicheren Steuern von sicherheitskri
tischen Prozessen (28-32), mit zumindest einem sicheren
Busteilnehmer (12, 14, 18-24), der an einen Feldbus (16)
angeschlossen ist, wobei der sichere Busteilnehmer (12,
14, 18-24) erste Mittel (40) zum Aufnehmen und Auswerten
eines Bustelegramms (80) sowie einen Speicher (58; 120)
zum Speichern einer dem Busteilnehmer (12, 14, 18-24)
zugeordneten Teilnehmeradresse (90) aufweist, dadurch ge
kennzeichnet, daß der Busteilnehmer (12, 14, 18-24)
zweite Mittel (40, 120; 40, 58) aufweist, um sich unter
einer festgelegten Universaladresse (92) bei einer an den
Feldbus (16) angeschlossenen Verwaltungseinheit (70) anzu
melden, sowie dritte Mittel (42, 54), um ein Adreßvergabe
telegramm (118) mit der Teilnehmeradresse (90) aufzunehmen
und auszuwerten.
Priority Applications (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19940874A DE19940874B4 (de) | 1999-08-23 | 1999-08-27 | Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen |
DE50009809T DE50009809D1 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
PCT/EP2000/008062 WO2001015385A2 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
JP2001518987A JP4599013B2 (ja) | 1999-08-23 | 2000-08-18 | 安全ステーションを設定する方法およびそれを利用した安全制御システム |
EP00954639A EP1206868B1 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
AT00954639T ATE291322T1 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
AU67025/00A AU6702500A (en) | 1999-08-23 | 2000-08-18 | Method of configuring a safe station and a safe control system using the same |
US10/080,111 US6871240B2 (en) | 1999-08-23 | 2002-02-21 | Method of configuring a safe station and safe control system using the same |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19939919.0 | 1999-08-23 | ||
DE19939919 | 1999-08-23 | ||
DE19940874A DE19940874B4 (de) | 1999-08-23 | 1999-08-27 | Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19940874A1 true DE19940874A1 (de) | 2001-03-08 |
DE19940874B4 DE19940874B4 (de) | 2007-05-03 |
Family
ID=7919308
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE19940874A Revoked DE19940874B4 (de) | 1999-08-23 | 1999-08-27 | Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen |
DE50009809T Expired - Lifetime DE50009809D1 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE50009809T Expired - Lifetime DE50009809D1 (de) | 1999-08-23 | 2000-08-18 | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen |
Country Status (1)
Country | Link |
---|---|
DE (2) | DE19940874B4 (de) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10121061A1 (de) * | 2001-04-28 | 2002-10-31 | Bayerische Motoren Werke Ag | Überwachungsvorrichtung und Überwachungsverfahren |
DE10318451A1 (de) * | 2003-04-23 | 2004-11-11 | Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co.KG | Verfahren zum Adressieren von Modulen eines Bussystems |
WO2005107173A1 (de) * | 2004-04-29 | 2005-11-10 | Bosch Rexroth Ag | Einrichtung zur adressvergabe in einem normierten feldbus-system |
US8010714B2 (en) | 2005-11-24 | 2011-08-30 | Sew-Eurodrive Gmbh & Co. Kg | Method for assigning addresses to nodes of a bus system, and installation |
DE102010035771A1 (de) | 2010-08-19 | 2012-02-23 | Pilz Gmbh & Co. Kg | Verfahren zur Vergabe von Teilnehmeradressen an Busteilnehmer eines busbasierten Steuerungssystems |
DE102011075416A1 (de) * | 2011-05-06 | 2012-11-08 | Zf Friedrichshafen Ag | Steuerungseinrichtung eines Kraftfahrzeugs |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007026457B4 (de) * | 2007-06-05 | 2009-10-15 | Hanning Elektro-Werke Gmbh & Co. Kg | Vorrichtung zur Inbetriebnahme eines Feldbusteilnehmersystems sowie Inbetriebnahmeverfahren |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689675A (en) * | 1993-11-29 | 1997-11-18 | U.S. Philips Corporation | Ranking-based address assignment in a modular system |
DE19713240C2 (de) * | 1997-03-29 | 1999-01-28 | Endress Hauser Gmbh Co | Verfahren zur automatischen Adressenvergabe in einem CAN-Netz |
DE19733906A1 (de) * | 1997-08-05 | 1999-02-11 | Siemens Ag | Verfahren zur automatischen Adreßvergabe, Bussystem zur automatischen Adreßvergabe und Kommunikationsteilnehmer, die im Bussystem bzw. im Rahmen des Verfahrens einsetzbar sind |
DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
-
1999
- 1999-08-27 DE DE19940874A patent/DE19940874B4/de not_active Revoked
-
2000
- 2000-08-18 DE DE50009809T patent/DE50009809D1/de not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689675A (en) * | 1993-11-29 | 1997-11-18 | U.S. Philips Corporation | Ranking-based address assignment in a modular system |
DE19713240C2 (de) * | 1997-03-29 | 1999-01-28 | Endress Hauser Gmbh Co | Verfahren zur automatischen Adressenvergabe in einem CAN-Netz |
DE19733906A1 (de) * | 1997-08-05 | 1999-02-11 | Siemens Ag | Verfahren zur automatischen Adreßvergabe, Bussystem zur automatischen Adreßvergabe und Kommunikationsteilnehmer, die im Bussystem bzw. im Rahmen des Verfahrens einsetzbar sind |
DE19742716A1 (de) * | 1997-09-26 | 1999-04-22 | Phoenix Contact Gmbh & Co | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10121061A1 (de) * | 2001-04-28 | 2002-10-31 | Bayerische Motoren Werke Ag | Überwachungsvorrichtung und Überwachungsverfahren |
DE10121061B4 (de) * | 2001-04-28 | 2014-08-07 | Bayerische Motoren Werke Aktiengesellschaft | Überwachungsvorrichtung und Überwachungsverfahren |
DE10318451A1 (de) * | 2003-04-23 | 2004-11-11 | Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co.KG | Verfahren zum Adressieren von Modulen eines Bussystems |
WO2005107173A1 (de) * | 2004-04-29 | 2005-11-10 | Bosch Rexroth Ag | Einrichtung zur adressvergabe in einem normierten feldbus-system |
DE102004021089A1 (de) * | 2004-04-29 | 2005-11-24 | Bosch Rexroth Ag | Einrichtung zur Adressvergabe in einem normierten Feldbus-System |
US8010714B2 (en) | 2005-11-24 | 2011-08-30 | Sew-Eurodrive Gmbh & Co. Kg | Method for assigning addresses to nodes of a bus system, and installation |
DE102005056294B4 (de) * | 2005-11-24 | 2016-04-28 | Sew-Eurodrive Gmbh & Co Kg | Verfahren zum Zuordnen von Adressen an Busteilnehmer eines Bussystems und Anlage |
US9965427B2 (en) | 2005-11-24 | 2018-05-08 | Sew-Eurodrive Gmbh & Co. Kg | Method for assigning addresses to nodes of a bus system, and installation |
DE102010035771A1 (de) | 2010-08-19 | 2012-02-23 | Pilz Gmbh & Co. Kg | Verfahren zur Vergabe von Teilnehmeradressen an Busteilnehmer eines busbasierten Steuerungssystems |
WO2012022619A1 (de) | 2010-08-19 | 2012-02-23 | Pilz Gmbh & Co. Kg | Verfahren zur vergabe von teilnehmeradressen an busteilnehmer eines busbasierten steuerungssystems |
US9276762B2 (en) | 2010-08-19 | 2016-03-01 | Pilz Gmbh & Co. Kg | Method for allocating subscriber addresses to bus subscribers of a bus-based control system |
DE102011075416A1 (de) * | 2011-05-06 | 2012-11-08 | Zf Friedrichshafen Ag | Steuerungseinrichtung eines Kraftfahrzeugs |
Also Published As
Publication number | Publication date |
---|---|
DE50009809D1 (de) | 2005-04-21 |
DE19940874B4 (de) | 2007-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1221075B1 (de) | Vorrichtung zum steuern von sicherheitskritischen prozessen | |
EP1206868B1 (de) | Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen | |
EP2302841B2 (de) | Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage | |
EP1352326B1 (de) | Verfahren und vorrichtung zur überwachung einer datenverarbeitung und -übertragung | |
DE19934514C1 (de) | Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers | |
DE102009042368B4 (de) | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen | |
EP3177973B1 (de) | Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung | |
WO2007107271A1 (de) | Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers | |
EP3098673B1 (de) | Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem | |
EP1100230A2 (de) | Datenübertragungssystem für Luftfahrzeuge | |
DE102009033529A1 (de) | Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage | |
EP1054309B1 (de) | Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem | |
DE102007050708A1 (de) | System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses | |
EP3414632B1 (de) | Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems | |
WO2021008721A1 (de) | Verfahren zum betreiben eines mobilen systems und eines alarm-gateways als teilnehmer in einem drahtlosen netzwerk | |
DE60219246T2 (de) | Mit einem TCP/IP Netzwerk verbundene Automatisierungsvorrichtung | |
DE19940874A1 (de) | Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen | |
EP2656581B1 (de) | Netzkoppelvorrichtung und übertragungsverfahren für paketbasierte datennetzwerke in prozessleitsystemen oder betriebsleitsystemen | |
WO2019038333A1 (de) | Verfahren zur übertragung von daten zwischen einer zentralen steuereinrichtung und einer mehrzahl dezentraler geräte und entsprechende vorrichtungen | |
EP1224510B1 (de) | System und verfahren zum verhindern von unberechtigtem zugriff auf module, insbesondere bei automatisierungssystemen | |
EP2557464B1 (de) | Verfahren zum Betrieb eines Automatisierungssystems | |
EP1064590B1 (de) | Verkürztes datentelegramm eines automatisierungssystems | |
EP3570499A1 (de) | Verfahren zur funktional sicheren verbindungsidentifizierung | |
AT408819B (de) | Regel- und/oder steuervorrichtung für die objektleittechnik | |
WO2016034676A1 (de) | Datenübertragung zwischen wenigstens einem sicheren produzenten und wenigstens einem sicheren konsumenten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8363 | Opposition against the patent | ||
R037 | Decision of examining division or of federal patent court revoking patent now final | ||
R107 | Publication of grant of european patent rescinded |
Effective date: 20140515 |