EP4229485A1 - Vorrichtung zum steuern eines sicherheitskritischen prozesses - Google Patents

Vorrichtung zum steuern eines sicherheitskritischen prozesses

Info

Publication number
EP4229485A1
EP4229485A1 EP21791383.9A EP21791383A EP4229485A1 EP 4229485 A1 EP4229485 A1 EP 4229485A1 EP 21791383 A EP21791383 A EP 21791383A EP 4229485 A1 EP4229485 A1 EP 4229485A1
Authority
EP
European Patent Office
Prior art keywords
signal unit
secure
safety
communication
secure signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21791383.9A
Other languages
English (en)
French (fr)
Inventor
Michael Schlecht
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Publication of EP4229485A1 publication Critical patent/EP4229485A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24028Explosion free control, intrinsically safe
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25462Galvanic separation, galvanic isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50193Safety in general

Definitions

  • the present invention relates to a device for controlling a safety-critical process in a technical system with a first safe signal unit and a second safe signal unit, which are connected via I / O channels with the safety-critical process, the first safe signal unit and the second secure signal unit are set up to communicate securely with each other via a physical connection on a logical level in order to control the safety-critical process.
  • a safety-critical process is understood here as a process from which an unacceptable risk to people or material goods emanates when an error occurs. In a safety-critical process, it must therefore be guaranteed, ideally with 100% certainty, that the process will be transferred to a safe state if an error occurs. In the case of a machine system, this can include shutting down the system. In a chemical production process, a However, switching off can cause an uncontrolled reaction, so that in such a case the process is better run in an uncritical parameter range.
  • Safety-critical processes can also be sub-processes of larger, higher-level overall processes.
  • the material feed can be a non-safety-critical sub-process
  • the commissioning of the pressing tool can be a safety-critical sub-process.
  • Other examples of safety-critical (partial) processes are the monitoring of protective grids, protective doors or light barriers, the control of two-hand switches or the monitoring and evaluation of an emergency stop switch.
  • the control of a safety-critical process includes querying safe sensors or receiving safe peripheral signals and triggering a safety-related reaction depending on this.
  • the units involved in controlling a safety-critical process must have safety-related devices that go beyond their actual function. These are primarily used for error and function monitoring. As a rule, such units have a redundant structure in order to ensure reliable functioning even if an error occurs. Units with such safety-related measures are referred to below as safe, in contrast to "normal" units. Safe units are, in particular, safety components within the meaning of the Machinery Directive 2006/42/EG or the DIN EN ISO 13849-1 standard.
  • the inherently secure means of communication have the advantage that they enable very flexible implementation of security functions, since security is inherent in communication.
  • secure means of communication are more expensive and often have to be retrofitted to existing systems.
  • the use of existing means of communication, such as a fieldbus system used for controlling a technical installation is more favorable in comparison, but limits the mapping of a safety function to the existing means of communication.
  • existing means of communication are not always available at the locations where safety technology facilities are required. For example, an emergency stop switch does not have to be located directly on a drive, but rather on the driven part that poses a risk to a user. It is not uncommon for some safety functions to continue to be mapped via dedicated cabling, since the means of communication for the normal control of the technical system can be enabled for the transmission of safe data, but are not always available where inputs and/or outputs for the safety technology are are needed.
  • this object is achieved by a device of the type mentioned, wherein the physical connection is a power grid.
  • a method for controlling a safety-critical process in a technical system comprising: providing a first safe first signal unit and a second signal unit, which are connected to the safety-critical process via I/O channels; connecting the first secure signal unit to the second secure signal unit via a physical connection; Implementing a security protocol to secure data exchange at a logical level; Exchanging data between the first secure signal unit and the second secure signal unit in order to control the safety-critical process, the physical connection being implemented via a power grid.
  • a power grid within the meaning of the present disclosure is a network that is set up to transmit and distribute electrical energy. It includes electrical lines that are set up for the transmission of electrical energy in order to drive an electrical consumer.
  • a communication network is a network whose primary task is the transmission of data.
  • a communication infrastructure for the control of a technical installation primarily takes into account technical control aspects of the technical installation
  • a power grid is regularly set up more universally and is therefore also available at locations where the technical installation is not controlled, but which can be relevant for the safety technology .
  • some safe signal units are not located in the immediate vicinity of a machine's drives, but rather in areas where a user operates the machine.
  • wiring of the power grid may be accessible, e.g. from lighting, located at this section.
  • the communication can be secured at the logical level according to the so-called “Black Channel” principle.
  • the safety function is based on its own safety level (safety layer) on the actual transmission medium. This principle is Developed jointly with certifiers, such as the German TÜV, scientifically soundly examined and well secured.
  • the "Black Channel” principle has already been used to secure standard fieldbuses or industrial Ethernet solutions.
  • the proposed device thus represents a simple, flexible and inexpensive way to implement a safety function in a technical system.
  • the task mentioned at the outset is thus completely solved.
  • the power grid can provide a supply voltage for the technical system.
  • the power grid via which the secure units communicate with one another is the same grid that provides the electrical energy for the power supply of the technical system. Existing cabling can thus provide the additional secure communication between secure signal units, which can save cabling and installation costs.
  • the power grid can provide a supply voltage for the first secure signal unit and/or the second secure signal unit.
  • the first secure signal unit and/or the second secure signal unit are supplied with electrical energy via the power grid.
  • a user can, on the one hand, tap off a supply voltage from an existing wiring and, on the other hand, transmit signals to the lines of the supply voltage.
  • the power grid can also provide the power supply independent of the voltage or frequency. This can be done, for example, using wide-range power supplies or a universal power supply with a wide range of input voltage and frequency. Overall, this refinement further contributes to simplified wiring, since only one connection is required for the voltage supply and for data transmission.
  • the power supply system between the first secure signal unit and the second secure signal unit can have at least one section which is realized by a sliding contact, in particular a contact strip or a slip ring.
  • the communication can also be implemented in a simple manner via components that move relative to one another.
  • This also allows devices to be retrofitted for which separate communication cabling is disadvantageous or cannot be implemented.
  • communication can be implemented across the individual joints without having to lay additional cables that restrict the robot's movement.
  • this embodiment can also be used advantageously.
  • the first secure signal unit can be arranged on a movable device of the technical installation and can be movable relative to the second secure signal unit.
  • the signal units can be coupled to devices that move towards each other.
  • a signal unit can be arranged on the moving crane element in an indoor crane system or on the respective means of transport in the case of a guided transport system. If the respective element is supplied with power, the secure communication between this secure signal unit and another secure signal unit which is connected to the same power supply system can also take place via the same line. This refinement thus contributes to a further simplification of the wiring.
  • the first secure signal unit and the second secure signal unit can each have communication means which implement a security communication protocol for communication at the logical level and a standard communication protocol for communication via the physical connection.
  • the secure signal units each implement a secure communication protocol and a standard communication protocol.
  • the standard communication protocol can be a fieldbus or an Ethernet-based communication protocol.
  • the communication protocol should at least cover the OSI reference model layers 1 and 2 (network access).
  • the standard communication protocol can include layers 1 to 7 of the OSI reference model.
  • the security communication protocol is based on the layers of the standard communication protocol and establishes a secure communication connection at a logical level between the first secure signal unit and the second secure signal unit.
  • a generic solution can be used when implementing the standard communication protocol. Available solutions are implemented on the basis of FPGAs, ASICs, stacks and modules on which all hardware and software for standard communication is integrated.
  • the power supply system can be a DC voltage network, in particular a 24/48 VDC network.
  • the communication takes place via a DC voltage network, as is regularly found in the industrial environment.
  • the device can thus fall back on cabling that is often found in the industrial environment.
  • the safe signal units can simply feed themselves from the DC voltage network without having to be rectified.
  • the power supply can be an AC voltage supply, in particular a 230/400 VAC supply.
  • An AC voltage network is part of almost every property and is regularly distributed over a large area.
  • a large number of carrier frequency systems with sufficient transmission capacity and quality are available for common AC voltage networks.
  • the device can also have a control unit which is set up to coordinate the communication between the first secure signal unit and the second secure signal unit.
  • a further secure unit is provided as a control unit.
  • the control unit has the same communication facilities as the first secure signal unit and the second secure signal unit.
  • the control unit can communicate with the two signal units and coordinate their communication.
  • the control unit can act as a communication master, while the safe signal units work as slaves. Communication between the safe signal units can then be carried out indirectly via the control unit.
  • the control unit can also address the first and second signal units as well as other communication participants in order to be able to map complex communication structures.
  • the control unit can be connected to the power grid as an independent communication unit or can be designed as a subcomponent of one of the first or second signal unit. It is also conceivable that the function of the control unit can be flexibly and dynamically assigned to a safe unit. Complex scenarios or communication structures can be mapped via the control unit, as a result of which the device can be used more flexibly overall.
  • the device can also have a switching unit that is set up to set up secure communication between the first secure signal unit and/or the second secure signal unit and a system that is not connected to the power grid via a data interface .
  • the device thus comprises a switching unit which can switch secure communication between two (secure) systems.
  • the switching unit can form a bridge between two networks, the first network being the electricity network and the second network being a data communication network, such as a field bus or an industrial Ethernet network.
  • An existing network can be expanded by the units communicating in the power grid via the switching unit. The configuration thus increases the possible uses of the device and contributes to the ability to be integrated.
  • the first safe signal unit can be an input module, in particular an emergency stop module.
  • the first safe signal unit is an input module which receives signals from one or more signal generators (sensors).
  • the signals can be transmitted safely via the physical connection with or without further signal processing, for example as an emergency stop signal.
  • the signal generators can be, for example, light barriers, door switches, emergency stop buttons or other safe sensors from safety technology.
  • the use of input modules in combination with data transmission via a power grid allows flexible positioning of the safe sensors for the implementation of a safety function.
  • the input module can additionally have a logic unit.
  • the input module can not only receive data from signal generators, but also process them with a processing logic.
  • processing logic can link signals from several signal heads and generate an emergency stop signal based on this link. In this way, even complex safety functions can be easily implemented.
  • the second safe signal unit can be an output module, in particular an output module with outputs based on relays or semiconductors.
  • the second safe signal unit is an output module that controls the process via actuators.
  • the actuators can, for example, be contactors in a power supply of a drive of a technical system, which only allow operation when a corresponding output signal is provided by the output module.
  • the output signal can be fed, for example, from the power supply that is made available by the power grid.
  • the signal for example the emergency stop signal, which is the cause of the output signal from the output module, can also be received via the mains.
  • the configuration therefore allows very simple cabling on the output side.
  • FIG. 1 shows an exemplary embodiment according to the present disclosure, in which two secure signal units are connected to one another via a power grid,
  • FIG. 2 shows a further exemplary embodiment with additional components that can be involved in secure communication via the power grid
  • FIG. 3 shows a schematic representation of an embodiment of a method according to the present disclosure.
  • Figure 1 shows an embodiment in accordance with the present disclosure in which two secure signal units are interconnected via a power grid.
  • the device is denoted here in its entirety by the reference numeral 10 and comprises at least a first secure signal unit 12 and a second secure signal unit 14.
  • the first secure signal unit 12 and the second secure signal unit 14 are coupled to one another via a power supply system 16, as explained in more detail in the following description.
  • the first safe signal unit 12 and the second safe signal unit 14 each have one or more I/O channels 18 via which they are connected to a safety-critical process 20.
  • the signal units 12 , 14 read in signals and/or data of the safety-critical process 20 via the I/O channels 18 .
  • Such signals or data are, for example, the current speed of a machine shaft or the switch position of an emergency stop switch.
  • the signal units 12, 14 can act on actuators via the I/O channels 18, with which the safety-critical process 20 can be influenced.
  • the safety-critical process 20 can be an emergency stop function.
  • the second signal unit 14 can emit an output signal to the safety-critical process 20 via the I/O channels 18 as an output module.
  • the output signal can be an enabling signal, which only allows the technical installation to be operated if this signal is present.
  • the release signal can act on an actuator with which the main power supply of the technical system can be switched off.
  • the first secure signal unit 12 and the second secure signal unit 14 are connected to one another via a power supply system 16 .
  • the first and the second secure signal unit 12, 14 can obtain a supply voltage via the mains 16.
  • first and the second secure signal unit 12, 14 can be set up as so-called carrier frequency systems or can be coupled with such systems in order to transmit data to the power grid 16 via the designated contact.
  • Carrier frequency systems use carrier frequency technology to exchange data via existing transmission paths that are often set up for a different purpose.
  • the signals to be transmitted are modulated onto a conductor 22 of the power supply system 16 via one or more carrier frequencies.
  • the carrier frequency technology is also referred to as PowerLAN or Powerline Communications in power grids and is described in various standards.
  • secure communication 24 also referred to as failsafe FS communication.
  • secure communication means that data can be transmitted in terms of machine safety. Since such communication usually does not differ from the previously described data communication via the electricity Network 16 can be mapped, the secure communication 24 between the signal units 12, 14 takes place on a logical level above the actual communication layer using a "Black Channel" principle.
  • black channel refers to a communication channel with unsecured properties or properties that do not match the application.
  • the "Black Channel” principle makes it possible to meet the requirements of an application with regard to communication without the communication channel ensuring this.
  • a safety protocol is integrated between a safety application and the non-safe communication channel, which corresponds to the desired safety level of a safety-related system and recognizes and controls transmission errors of the underlying communication layers.
  • the first safe signal unit 12 and the second safe signal unit 14 can each have safety-related devices 26, by means of which the protocol is implemented.
  • the safety-related devices 26 are indicated by two processing units 28a, 28b.
  • the two processing units 28a, 28b carry out safety-related tasks redundantly with respect to one another. In doing so, they can check each other, which is indicated in FIG. 1 by the double arrow between the processing units 28a, 28b.
  • the safety-related devices 26 can perform other safety-related tasks, such as, for example, securely linking signals or executing a safety-related user program.
  • the hardware and software for implementing the security protocol can be encapsulated into a module.
  • This module can be implemented separately from a communication module 30, which implements the “unsafe” communication via the power grid 16.
  • the communication module 30 can be a standard component that implements the carrier frequency technology described above.
  • Fig. 2 shows an embodiment in which additional components supplement and extend the system described above.
  • the device according to the embodiment of FIG. 36, 38 are coupled to one another via the power grid 16 in the manner described above and are set up to securely exchange data via this.
  • the units thus each have a communication module 30 for the “insecure” communication via the power grid 16 and safety-related devices 26 for the implementation of a safety protocol, which secures the transmission over the insecure communication channel.
  • the same applies to the other components that have already been described in relation to FIG. are also provided with the same reference symbols in FIG.
  • the secure signal unit 32 essentially corresponds to the signal units 12, 14 described above. It differs in that it has both inputs and outputs to a process 40.
  • the signal unit 32 thus combines the functions of the signal units 12, 14 and integrates them into a single unit.
  • the safe signal unit 32 can have a logic unit which implements a safe combination of the input and output signals.
  • the other safe signal unit 36 also essentially corresponds to the signal units 12, 14 described above. It differs only in its connection to the power supply 16. This is designed as a separate connection unit 42 here.
  • the connection unit 42 can be a commercially available PowerLAN adapter which, for example, converts Ethernet-based communication for transmission via the power supply network 16 .
  • the safe signal unit 36 can accordingly be connected to a communication module 44 that implements a common network interface.
  • the communication module 44 can be an Ethernet interface.
  • the switching unit 34 represents a further communication participant which is set up to switch between two networks.
  • a field bus 46 is indicated here as a second network in addition to the power network 16 .
  • the switching unit 34 switches between the two networks 16, 46 like a bridge.
  • it has the previously described communication module 30 for communication via the power grid 16 and, in addition, a communication module 48 for communication via the fieldbus 46.
  • the switching unit 34 expands the security protocol to the effect that data telegrams or signals received via the communication module 30 via the communication module 48 to units connected to the fieldbus 46, or vice versa.
  • a switching unit 34 can also be set up in another exemplary embodiment to couple two different types of power supply networks for data communication.
  • signaling units that are coupled via a 24VDC network for example, can communicate with units that are coupled together in a 230/400 VAC network.
  • the device can also include further coupling elements that provide further transmission paths.
  • a phase coupler can be provided, which connects two outer conductors to one another for the transmission of the carrier signals.
  • External conductors are generally the conductors in a power grid that are live during normal operation and contribute to the transmission or distribution of electrical energy.
  • the phase coupler connects the line conductors in such a way that the voltages remain separate, but the high-frequency carrier signal that enables data communication is transferred from one line conductor to the other. In this way, for example, in a three-phase alternating current network, each conductor can be used for the transmission of data.
  • FIG. 2 also shows a control unit 38 which is set up to coordinate communication within the power grid 16 .
  • control unit 38 can be set up as a master station and the other units as slaves. In this way, different communication modes can be mapped.
  • the control unit 38 can also perform other coordination tasks known from communication technology. For example, the control unit 38 can coordinate central address allocation and address allocation.
  • control unit 38 has a communication module 30 and safety-related devices 26 for implementing the safety protocol.
  • the safety-related devices 26 of the control unit 38 can also be used to run a (safe) user program in order to implement a desired safety function.
  • the other signal units can be set up as simple input and output modules which are remote from the control unit 38 and connect it to the process.
  • the processing of the data securely transmitted via the power supply system 16 can then be carried out centrally by the control unit 38 .
  • control unit 38 and the switching unit 34 are shown here as stand-alone units, their function can be integrated into any of the signaling units previously described.
  • control unit 38 it is even conceivable that its task is dynamically delegated to a signaling unit when the network is set up. It is also conceivable that a dynamic reconfiguration takes place as soon as the participants in the network change.
  • the network shown in FIG. 2 is to be understood as an example.
  • the person skilled in the art is aware that possible modules are shown here in principle, which can also be combined in a different way and in a different number in order to map a safety function.
  • the person skilled in the art recognizes that the network is not only set up for safety-related tasks, but also for standard automatic planning tasks can be processed in parallel by integrating the relevant components into the network.
  • FIG 3 shows a schematic representation of a method according to an embodiment of the present disclosure.
  • the method 100 controls a safety-critical process 20 and initially comprises providing a first secure signal unit 12 and a second secure signal unit 14 which are connected to the safety-critical process 20 via I/O channels 18 (S102).
  • the secure signal units 12, 14 are coupled to one another via a physical connection.
  • the physical connection is implemented via a power grid 16 (S104).
  • the coupling to the power grid 16 can be effected, for example, by plugging the signal units 12, 14 into an outlet of the power grid 16 (socket).
  • only connections for the periphery can be provided for the safe signal unit 12, 14.
  • first secure signal unit 12 and the second secure signal unit 14 each implement a security protocol for securing a data exchange on a logical level between the two signal units (S106).
  • the first safe signaling unit 12 and the second safe signaling unit 14 exchange data with each other to control the safety-critical process 20 (S108).

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Small-Scale Networks (AREA)
  • Programmable Controllers (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Vorrichtung (10) und Verfahren (100) zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage. Eine erste sichere Signaleinheit (12) und eine zweite sichere Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess (20) verbunden sind, sind dazu eingerichtet, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess (20) zu steuern. Die physikalische Verbindung erfolgt über ein Stromnetz (16).

Description

Vorrichtung zum Steuern eines sicherheitskritischen Prozesses
[0001] Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage mit einer ersten sicheren Signaleinheit und einer zweiten sicheren Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind, wobei die erste sichere Signaleinheit und die zweite sichere Signaleinheit dazu eingerichtet sind, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess zu steuern.
[0002] Unter einem sicherheitskritischen Prozess wird hier ein Prozess verstanden, von dem beim Auftreten eines Fehlers eine nicht akzeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei einem sicherheitskritischen Prozess muss daher mit im Idealfall 100%iger Sicherheit gewährleistet sein, dass der Prozess bei Auftreten eines Fehlers in einen sicheren Zustand überführt wird. Dies kann bei einer Maschinenanlage beinhalten, dass die Anlage abgeschaltet wird. Bei einem chemischen Produktionsprozess könnte ein Abschalten jedoch eine unkontrollierte Reaktion hervorrufen, so dass in einem solchen Fall der Prozess besser in einen unkritischen Parameterbereich gefahren wird.
[0003] Sicherheitskritische Prozesse können auch Teilprozesse von größeren, übergeordneten Gesamtprozessen sein. Bei einer hydraulischen Presse kann bspw. die Materialzuführung ein nicht-sicherheitskritischer Teilprozess, die Inbetriebnahme des Presswerkzeugs dagegen ein sicherheitskritischer Teilprozess sein. Weitere Beispiele für sicherheitskritische (Teil-) Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zwei-Hand-Schaltern oder die Überwachung und Auswertung eines Not-Aus-Schalters. Grundsätzlich umfasst das Steuern eines sicherheitskritischen Prozesses das Abfragen sicherer Sensorik bzw. das Empfangen von sicheren Peripheriesignalen sowie das Auslösen einer sicherheitsgerichteten Reaktion in Abhängigkeit davon.
[0004] Die an der Steuerung eines sicherheitskritischen Prozesses beteiligten Einheiten müssen über ihre eigentliche Funktion hinausgehende, sicherheitsbezogene Einrichtungen aufweisen. Diese dienen vor allem der Fehler- und Funktionsüberwachung. In der Regel sind derartige Einheiten redundant aufgebaut, um eine sichere Funktion auch bei Auftreten eines Fehlers zu gewährleisten. Einheiten mit derartigen sicherheitsbezogenen Maßnahmen werden nachfolgend im Unterschied zu "normalen" Einheiten als sicher bezeichnet. Sichere Einheiten sind insbesondere Sicherheitsbauteile im Sinne der der Maschinenrichtlinie 2006/42/EG oder der Norm DIN EN ISO 13849-1.
[0005] In den Anfängen der Sicherheitstechnik beruht eine Verknüpfung der sicheren Einheiten auf einer dedizierten Verdrahtung. Diese war im Wesentlichen unabhängig von der eigentlichen Steuerung der technischen Anlage realisiert. In der Regel wurden über eine Relaislogik sichere Eingänge, wie Not-Aus-Schalter, Lichtschranken etc. mit sicheren Ausgängen über eine eigenständige, individuelle Verdrahtung verknüpft, um eine Sicherheitsfunktion abzubilden. Bei moderneren Systemen wurde diese Festverdrahtung zunehmend durch ein komplexeres Kommunikationssystem ersetzt mit dem Ziel, die aus der Steuerungs- und Automatisierungstechnik allgemein bekannten Kommunikationsmittel auch für die Sicherheitstechnik wiederzuverwenden. Hierfür wurden entweder die bekannten Kommunikationsmittel für die Übertragung von sicherheitskritischen Daten befähigt (SafetyNET P) oder eine sichere Übertragung über die vorhandenen Kommunikationsmittel durch die Implementierung von Sicherheitsprotokollen gewährleistet (bspw. FailSafe over Ethernet).
[0006] Die von sich aus sicheren Kommunikationsmittel haben den Vorteil, dass diese eine sehr flexible Implementierung von Sicherheitsfunktionen ermöglichen, da Sicherheit der Kommunikation inhärent ist. Sichere Kommunikationsmittel sind jedoch teurer und müssen bei bestehenden Systemen oftmals erst nachgerüstet werden. Die Verwendung von bereits vorhandenen Kommunikationsmitteln, wie bspw. ein für die Steuerung einer technischen Anlage verwendetes Feldbussystem, ist zwar demgegenüber günstiger, schränkt das Abbilden einer Sicherheitsfunktion aber auf die bestehenden Kommunikationsmittel ein. Bestehende Kommunikationsmittel sind jedoch nicht immer an den Orten verfügbar, wo Einrichtungen der Sicherheitstechnik benötigt werden. Beispielsweise muss ein Not-Aus- Schalter nicht unmittelbar an einem Antrieb angeordnet sein, sondern an dem angetriebenen Teil, der für einen Benutzer eine Gefahr darstellt. Nicht selten werden daher einige Sicherheitsfunktionen weiterhin über eine dedizierte Verkabelung abgebildet, da die Kommunikationsmittel für die normale Steuerung der technischen Anlage zwar für die Übertragung von sicheren Daten befähigt werden können, nicht aber immer dort vorhanden sind, wo Eingänge und/oder Ausgänge für die Sicherheitstechnik benötigt werden.
[0007] Es ist daher eine Aufgabe der vorliegenden Erfindung eine Vorrichtung und ein Verfahren zum Steuern eines sicherheitskritischen Prozesses anzugeben, die eine flexible Ausgestaltung einer Sicherheitsfunktion ermöglichen. Ferner ist es eine Aufgabe eine Vorrichtung und ein Verfahren anzugeben, welche sich kostengünstig realisieren und sich einfach in bestehende Systeme integrieren lassen.
[0008] Gemäß einem Aspekt der vorliegenden Erfindung wird diese Aufgabe durch eine Vorrichtung der eingangs genannten Art gelöst, wobei die physikalische Verbindung ein Stromnetz ist.
[0009] Ferner wird diese Aufgabe gelöst durch ein Verfahren zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage, umfassend: Bereitstellen einer ersten si- cheren Signaleinheit und einer zweiten Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind; Verbinden der ersten sicheren Signaleinheit mit der zweiten sicheren Signaleinheit über eine physikalische Verbindung; Implementieren eines Sicherheitsprotokolls zur Absicherung eines Datenaustauschs auf einer logischen Ebene; Austauschen von Daten zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit, um den sicherheitskritischen Prozess zu steuern, wobei die physikalische Verbindung über ein Stromnetz realisiert ist.
[0010] Es ist somit eine Idee der vorliegenden Erfindung eine Verknüpfung zwischen sicheren Einheiten über ein Stromnetz zu realisieren und nicht über ein Kommunikationsnetz der technischen Anlage. Ein Stromnetz im Sinne der vorliegenden Offenbarung ist ein Netzwerk, welches dazu eingerichtet ist, elektrische Energie zu übertragen und zu verteilen. Es umfasst elektrische Leitungen, die für eine Übertragung von elektrischer Energie eingerichtet sind, um einen elektrischen Verbraucher anzutreiben. In Abgrenzung hierzu ist ein Kommunikationsnetz ein Netzwerk, das als primäre Aufgabe das Übertragen von Daten hat.
[0011] Die Verwendung eines Stromnetzes zur Verknüpfung von sicheren Signaleinheiten ermöglicht es einem Anwender, die Sicherheitstechnik unabhängig von einer bestehenden Vernetzung für die Steuerung einer technischen Anlage zu realisieren. Die Kommunikation für die Sicherheitstechnik muss folglich nicht über die gleiche Kommunikationsinfrastruktur erfolgen, wie die Kommunikation für die Steuerung der technischen Anlage, an der die Sicherheitsfunktion zu realisieren ist. Gleichzeitig muss der Anwender für die Realisierung der Sicherheitsfunktion aber auch keine Neuverkabelung vornehmen, da er auf eine üblicherweise vorhandene Verkabelung eines Stromnetzes zurückgreifen kann.
[0012] Während eine Kommunikationsinfrastruktur für die Steuerung einer technischen Anlage primär steuerungstechnische Aspekte der technischen Anlage berücksichtigt, ist ein Stromnetz regelmäßig universeller eigerichtet und somit auch an Stellen verfügbar, an denen keine Steuerung der technischen Anlage stattfindet, die jedoch für die Sicherheitstechnik relevant sein können. So sind einige sichere Signaleinheiten gerade nicht unmittelbar in der Nähe von Antrieben einer Maschine angeordnet, sondern in Bereichen, in denen ein Anwender die Maschine bedient. An diesen Stellen ist oftmals keine Verkabelung für die Anlagensteuerung vorgesehen, jedoch kann eine Verkabelung des Stromnetzes zugänglich sein, bspw. von einer Beleuchtung, die an diesem Abschnitt angeordnet ist.
[0013] Die Verwendung des Stromnetzes für die Verknüpfung von sicheren Signaleinheiten erfordert zudem nur geringen Entwicklungsaufwand, der sowohl Verfahren zur Datenübertragung über Stromnetze, sog. Trägerfrequenzanlagen, als auch entsprechende Protokolle zur Absicherung der Übertragung bekannt sind. Beispielsweise kann eine Kommunikation über das Stromnetz mittels der unter dem Namen PowerLAN oder Powerline Communications (PLC) zusammengefassten Verfahren zum Beispiel nach einem der Standards IEEE-1901-FFT, IEEE-1901-wavelet oder ITU G.hn erfolgen.
[0014] Die Absicherung der Kommunikation kann auf logischer Ebene nach dem sog. "Black Channel' -Prinzip erfolgen. Beim "Black Channel"-Prinzip setzt die Sicherheitsfunktion als eigene Sicherheitsebene (safety layer) auf dem eigentlichen Übertragungsmedium auf. Dieses Prinzip ist mit Zertifizierern, wie bspw. dem deutschen TÜV, gemeinsam ausgearbeitet, wissenschaftlich fundiert untersucht und gut abgesichert. Das "Black Channel' - Prinzip wurde bereits zur Absicherung von Standard-Feldbussen oder industriellen Ethernet-Lösungen angewandt.
[0015] Insgesamt stellt die vorgeschlagene Vorrichtung somit eine einfache, flexible und kostengünstige Möglichkeit dar, eine Sicherheitsfunktion an einer technischen Anlage zu implementieren. Die eingangs genannte Aufgabe ist damit vollständig gelöst.
[0016] In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die technische Anlage bereitstellen.
[0017] Gemäß dieser Ausgestaltung ist das Stromnetz über das die sicheren Einheiten miteinander kommunizieren dasselbe Netz, welches die elektrische Energie für die Energieversorgung der technischen Anlage bereitstellt. Eine bestehende Verkabelung kann somit die zusätzliche sichere Kommunikation zwischen sicheren Signaleinheiten bereitstellen, wodurch Verkabelungs- und Installationskosten eingespart werden können. [0018] In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit bereitstellen.
[0019] Gemäß dieser Ausgestaltung versorgen sich die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit über das Stromnetz mit elektrischer Energie. Mit anderen Worten ein Anwender kann aus einer bestehenden Verdrahtung einerseits eine Versorgungsspannung abgreifen sowie andererseits Signale auf die Leitungen der Versorgungsspannung übertragen. Das Stromnetz kann die Spannungsversorgung auch unabhängig von der Spannung oder Frequenz bereitstellen. Dies kann bspw. über Weitspannungsnetzteile oder universale Spannungsversorgung mit hoher Bandbreite der Eingangsspannung und Frequenz erfolgen. Diese Ausgestaltung trägt insgesamt weiter zu einer vereinfachten Verkabelung bei, da für die Spannungsversorgung und für die Datenübertragung nur ein Anschluss notwendig ist.
[0020] In einer weiteren Ausgestaltung kann das Stromnetz zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit mindestens einen Abschnitt aufweisen, der durch einen Gleitkontakt, insbesondere eine Schleifleiste oder ein Schleifring realisiert ist.
[0021] Gemäß dieser Ausgestaltung kann die Kommunikation auch über sich zueinander bewegende Komponenten auf einfache Weise realisiert werden. Dies ermöglicht auch ein Nachrüsten bei Geräten, bei denen eine separate Kommunikationsverkabelung nachteilig oder nicht realisierbar ist. Bei einem Roboter bspw. kann eine Kommunikation über die einzelnen Gelenke hinweg realisiert werden, ohne dass zusätzlich Kabel verlegt werden müssen, die den Roboter in seine Bewegung einschränken. Bei Windkrafträder, bei denen Kuppel und Mast drehbarbar zueinander gelagert sind und eine Stromübertragung über Schleifringe erfolgt, kann diese Ausgestaltung ebenfalls vorteilhaft angewandt werden.
[0022] In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit an einer beweglichen Einrichtung der technischen Anlage angeordnet sein und relativ zu der zweiten sicheren Signaleinheit beweglich sein. [0023] Gemäß dieser Ausgestaltung können die Signaleinheiten mit Einrichtungen gekoppelt sein, die sich zueinander bewegen. Beispielsweise kann eine Signaleinheit bei einer Hallenkrananlage an dem laufenden Kranelement angeordnet sein oder bei einem führungsgebundenen Transportsystem an dem jeweiligen Transportmittel. Wenn das jeweilige Element mit Strom versorgt wird, kann über dieselbe Leitung auch die sichere Kommunikation zwischen dieser sicheren Signaleinheit und einer weiteren sicheren Signaleinheit, die an dasselbe Stromnetz angeschlossen ist, erfolgen. Diese Ausgestaltung trägt somit zu einer weiteren Vereinfachung der Verkabelung bei.
[0024] In einer weiteren Ausgestaltung können die erste sichere Signaleinheit und die zweite sichere Signaleinheit je Kommunikationsmittel aufweisen, die ein Sicherheitskommunikationsprotokoll für die Kommunikation auf der logischen Ebene und ein Standardkommunikationsprotokoll zur Kommunikation über die physikalische Verbindung implementieren.
[0025] Gemäß dieser Ausgestaltung implementieren die sicheren Signaleinheiten jeweils ein Sicherheitskommunikationsprotokoll und ein Standardkommunikationsprotokoll. Das Standardkommunikationsprotokoll kann ein Feldbus- oder ein auf Ethernet-basierendes Kommunikationsprotokoll sein. Das Kommunikationsprotokoll sollte wenigstens die OSI-Refe- renzmodellschichten 1 und 2 (Netzzugriff) abdecken. In verschiedenen Ausführungsbeispielen kann das Standardkommunikationsprotokoll die Schichten 1 bis 7 des OSI-Refe- renzmodells umfassen. Das Sicherheitskommunikationsprotokoll setzt auf den Schichten des Standardkommunikationsprotokolls auf und richtet eine sichere Kommunikationsverbindung auf logischer Ebene zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit ein. Bei der Implementierung des Standardkommunikationsprotokolls kann auf generische Lösung zurückgegriffen werden. Verfügbare Lösungen sind auf Basis von FPGAs, ASICs, Stacks und Modulen implementiert, auf denen die komplette Hard- und Software für die Standardkommunikation integriert ist. Auch für die Implementierung des Sicherheitskommunikationsprotokolls sind generische Lösungen bekannt, wenn auch nicht so zahlreich. Die Zweiteilung in Standard- und Sicherheitskommunikation hat neben der Modularisierung den Vorteil, dass gemäß dem "Black Channel' -Prinzip nur die Sicherheitskommunikation eine gesonderte Zertifizierung durchlaufen muss. Kapselt man zudem die Implementierung des Sicherheitskommunikationsprotokolls in einer Hard- und Softwarekomponente mit entsprechenden Schnittstellen, muss nur diese Komponen- te den aufwändigen Zertifizierungsprozess durchlaufen. Die Zweiteilung trägt somit zu einer kostengünstigen und flexiblen Ausgestaltung der Vorrichtung bei.
[0026] In einer weiteren Ausgestaltung kann das Stromnetz ein Gleichspannungsnetz, insbesondere ein 24/48VDC-Netz, sein.
[0027] Gemäß dieser Ausgestaltung erfolgt die Kommunikation über ein Gleichspannungsnetz, wie es im industriellen Umfeld regelmäßig vorzufinden ist. Die Vorrichtung kann somit auf eine im industriellen Umfeld häufig anzutreffende Verkabelung zurückgreifen. Zudem können sich die sicheren Signaleinheiten einfach aus dem Gleichspannungsnetz speisen, ohne dass eine Gleichrichtung stattfinden muss.
[0028] In einer weiteren Ausgestaltung kann das Stromnetz ein Wechselspannungsnetz, insbesondere ein 230/400VAC-Netz, sein.
[0029] Ein Wechselspannungsnetz ist Bestandteil nahezu jeder Liegenschaft und regelmäßig großflächig über diese verteilt. Zudem sind für gängige Wechselspannungsnetze eine Vielzahl von Trägerfrequenzanlagen mit ausreichender Übertragungskapazität und - qualität verfügbar.
[0030] In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Steuereinheit aufweisen, welche dazu eingerichtet ist, die Kommunikation zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit zu koordinieren.
[0031] Gemäß dieser Ausgestaltung ist eine weitere sichere Einheit als Steuereinheit vorgesehen. Die Steuereinheit verfügt über dieselben Kommunikationseinrichtungen wie die erste sichere Signaleinheit und die zweite sichere Signaleinheit. Die Steuereinheit kann mit den beiden Signaleinheiten kommunizieren und deren Kommunikation koordinieren. Beispielsweise kann die Steuereinheit als Kommunikationsmaster fungieren, während die sicheren Signaleinheiten als Slaves arbeiten. Eine Kommunikation zwischen den sicheren Signaleinheiten kann dann indirekt über die Steuereinheit ausgeführt werden. Die Steuereinheit kann auch eine Adressierung der ersten und zweiten Signaleinheiten sowie weiterer Kommunikationsteilnehmer einrichten, um auch komplexe Kommunikationsstrukturen abbilden zu können. Die Steuereinheit kann als eigenständige Kommunikationseinheit an das Stromnetz angeschlossen sein oder als Teilkomponente einer der ersten oder zweiten Signaleinheit ausgebildet sein. Denkbar ist auch, dass die Funktion der Steuereinheit flexibel und dynamisch einer sicheren Einheit zugeordnet werden kann. Über die Steuereinheit können komplexe Szenarien oder Kommunikationsstrukturen abgebildet werden, wodurch die Vorrichtung insgesamt flexibler eingesetzt werden kann.
[0032] In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Vermittlungseinheit aufweisen, welche dazu eingerichtet ist, eine sichere Kommunikation zwischen der ersten sicheren Signaleinheit und/oder der zweiten sicheren Signaleinheit und einem System einzurichten, das nicht über eine Datenschnittstelle mit dem Stromnetz verbunden ist.
[0033] Gemäß dieser Ausgestaltung umfasst die Vorrichtung somit eine Vermittlungseinheit, die eine sichere Kommunikation zwischen zwei (sicheren) Systemen vermitteln kann. Beispielsweise kann die Vermittlungseinheit eine Brücke zwischen zwei Netzen bilden, wobei das erste Netz das Stromnetz ist und das zweite Netz ein Datenkommunikationsnetzwerk, wie bspw. ein Feldbus oder ein industrielles Ethernet-Netzwerk. Über die Vermittlungseinheit kann ein bestehendes Netzwerk um die in dem Stromnetz kommunizierenden Einheiten erweitert werden. Die Ausgestaltung erhöht somit die Einsatzmöglichkeiten der Vorrichtung und trägt zur Integrationsfähigkeit bei.
[0034] In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit ein Eingangsmodul, insbesondere ein Not-Halt-Modul, sein.
[0035] Gemäß dieser Ausgestaltung ist die erste sichere Signaleinheit ein Eingangsmodul, welches Signale eines oder mehrerer Signalgeber (Sensoren) empfängt. Die Signale können mit oder ohne weitere Signalverarbeitung bspw. als Not-Halt-Signal sicher über die physikalische Verbindung übertragen werden. Die Signalgeber können bspw. Lichtschranken, Türschalter, Not-Aus-Taster oder andere sichere Sensoren aus der Sicherheitstechnik sein. Die Verwendung von Eingangsmodulen in Kombination mit einer Datenübertragung über ein Stromnetz erlaubt eine flexible Positionierung der sicheren Sensoren für die Implementierung einer Sicherheitsfunktion.
[0036] In einer weiteren Ausgestaltung kann das Eingangsmodul zusätzlich eine Logikeinheit aufweisen.
[0037] Gemäß dieser Ausgestaltung kann das Eingangsmodul nicht nur Daten von Signalgebern entgegennehmen, sondern diese mit einer Verarbeitungslogik verarbeiten. Beispielsweise kann eine Verarbeitungslogik Signale mehrerer Signalgeber miteinander verknüpfen und ein Not-Halt-Signal generieren, das auf dieser Verknüpfung basiert. Auf diese Weise lassen sich auch komplexe Sicherheitsfunktionen auf einfache Weise implementieren.
[0038] In einer weiteren Ausgestaltung kann die zweite sichere Signaleinheit ein Ausgangsmodul, insbesondere ein Ausgangsmodul mit Ausgängen auf Relais- oder Halbleiterbasis, sein.
[0039] Gemäß dieser Ausgestaltung ist die zweite sichere Signaleinheit ein Ausgangsmodul, welches den Prozess über Aktoren steuert. Die Aktoren können bspw. Schütze in einer Stromversorgung eines Antriebs einer technischen Anlage sein, die einen Betrieb nur dann erlauben, wenn ein entsprechendes Ausgangssignal von dem Ausgangsmodul bereitgestellt wird. Das Ausgangssignal kann sich bspw. aus der Stromversorgung speisen, welche durch das Stromnetz zur Verfügung gestellt wird. Gleichzeitig kann auch das Signal, bspw. das Not-Halt-Signal, welches ursächlich für das Ausgangssignal des Ausgangsmoduls ist, über das Stromnetz empfangen werden. Die Ausgestaltung erlaubt daher eine sehr einfache Verkabelung auf der Ausgangsseite.
[0040] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. [0041] Ausführungsbeispiele sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung noch nähert erläutert. Es zeigen:
Fig. 1 ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind,
Fig. 2 ein weiteres Ausführungsbeispiel mit zusätzlichen Komponenten, die an der sicheren Kommunikation über das Stromnetz beteiligt sein können, und
Fig. 3 eine schematische Darstellung eines Ausführungsbeispiels eines Verfahrens gemäß der vorliegenden Offenbarung.
[0042] Fig. 1 zeigt ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind. Die Vorrichtung ist hier in der Gesamtheit mit der Bezugsziffer 10 bezeichnet und umfasst mindestens eine erste sichere Signaleinheit 12 und eine zweite sichere Signaleinheit 14.
[0043] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander gekoppelt, wie in der nachfolgenden Beschreibung noch näher erläutert ist.
[0044] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 weisen jeweils einen oder mehrere E/A-Kanäle 18 auf, über die sie mit einem sicherheitskritischen Prozess 20 verbunden sind. Über die E/A-Kanäle 18 lesen die Signaleinheiten 12, 14 Signale und/oder Daten des sicherheitskritischen Prozesses 20 ein. Derartige Signale bzw. Daten sind bspw. die aktuelle Drehzahl einer Maschinenwelle oder die Schalterstellung eines Not-Aus-Schalters. Andererseits können die Signaleinheiten 12, 14 über die E/A-Kanäle 18 auf Aktoren einwirken, mit denen der sicherheitskritische Prozess 20 beeinflusst werden kann.
[0045] In einem Ausführungsbeispiel kann es sich bei dem sicherheitskritischen Prozess 20 um eine Not-Aus-Funktion handeln. In diesem Fall kann die erste Signaleinheit 12 mit einem Not-Aus-Schalter verbunden sein und als ein Eingangsmodul über die E/A-Kanäle 18 ein Signal, welches die Schalterstellung des Not-Aus-Schalters repräsentiert, empfangen. Die zweite Signaleinheit 14 kann über die E/A-Kanäle 18 als ein Ausgangsmodul ein Ausgangssignal an den sicherheitskritischen Prozess 20 abgeben. Das Ausgangssignal kann ein Freigabesignal sein, welches einen Betrieb der technischen Anlage nur dann erlaubt, wenn dieses Signal vorhanden ist. Beispielsweise kann das Freigabesignal auf einen Aktor wirken, mit dem die Hauptstromversorgung der technischen Anlage abgeschaltet werden kann.
[0046] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander verbunden. Das heißt, die erste und die zweite sichere Signaleinheit 12, 14 stehen in Kontakt mit einem oder mehreren Leitern 22 eines für die Energieübertragung eingerichteten Stromnetzes 16. Die Leiter können bspw. einzelne Außenleiter (Phasen) eines 230/400V-Wechselstromnetzes sein oder alternativ die Drähte eines Gleichstromnetzes, bspw. eines 24V-Gleichstromnetzes, wie es regelmäßig im industriellen Umfeld vorzufinden ist. Die erste und die zweite sichere Signaleinheit 12, 14 können über das Stromnetz 16 eine Versorgungsspannung beziehen.
[0047] Ferner können die erste und die zweite sichere Signaleinheit 12, 14 als sog. Trägerfrequenzanlagen eingerichtet sein oder mit einer solchen gekoppelt werden, um Daten über den bezeichneten Kontakt auf das Stromnetz 16 zu übertragen. Trägerfrequenzanlagen verwenden eine Trägerfrequenztechnik um Daten über bereits vorhandene, oftmals für einen anderen Zweck eingerichtete Übertragungswege auszutauschen. Hierzu werden die zu übertragenden Signale über eine oder mehrere Trägerfrequenzen auf einen Leiter 22 des Stromnetzes 16 moduliert. Die Trägerfrequenztechnik wird bei Stromnetzen auch als PowerLAN oder als Powerline Communications bezeichnet und ist in diversen Standards beschrieben.
[0048] Die Kommunikation zwischen der ersten Signaleinheit 12 und der zweiten Signaleinheit 14 ist als sichere Kommunikation 24 (auch als Failsafe-FS-Kommunikation bezeichnet) eingerichtet. Sichere Kommunikation bedeutet gemäß dieser Offenbarung, dass Daten im Sinne der Maschinensicherheit übertragen werden können. Da eine solche Kommunikation in der Regel nicht von der zuvor beschriebenen Datenkommunikation über das Strom- netz 16 abgebildet werden kann, findet die sichere Kommunikation 24 zwischen den Signaleinheiten 12, 14 auf einer logischen Ebene oberhalb der eigentlichen Kommunikationsschicht unter Anwendung eines "Black Channel' -Prinzips statt.
[0049] "Black Channel" bezeichnet in der Kommunikationstechnik einen Kommunikationskanal mit ungesicherten oder nicht zur Anwendung passenden Eigenschaften. Das "Black Channel' -Prinzip ermöglicht es, die Anforderung einer Anwendung bezüglich der Kommunikation zu erfüllen, ohne dass der Kommunikationskanal dieses sicherstellt. Hierfür wird bspw. zwischen einer Sicherheitsanwendung und dem nichtsicheren Kommunikationskanal ein Sicherheitsprotokoll integriert, welches dem gewünschten Sicherheitsniveau eines sicherheitsgerichteten Systems entspricht und Übertragungsfehler der darunterliegenden Kommunikationsschichten erkennt und beherrscht.
[0050] Für die Implementierung des Sicherheitsprotokolls können die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils sicherheitsgerichtete Einrichtungen 26 aufweisen, mittels derer das Protokoll implementiert wird. Im dargestellten Ausführungsbeispiel gemäß Fig. 1 sind die sicherheitsgerichteten Einrichtungen 26 durch zwei Verarbeitungseinheiten 28a, 28b angedeutet. Die beiden Verarbeitungseinheiten 28a, 28b führen sicherheitsrelevante Aufgaben redundant zueinander aus. Dabei können sie sich gegenseitig kontrollieren, was in der Fig. 1 durch den Doppelpfeil zwischen den Verarbeitungseinheiten 28a, 28b angedeutet ist. Neben der Implementierung des Sicherheitsprotokolls können die sicherheitsgerichteten Einrichtungen 26 weitere sicherheitsrelevante Aufgaben wahrnehmen, wie bspw. eine sichere Verknüpfung von Signalen oder das Ausführen eines sicherheitsbezogenen Anwenderprogramms.
[0051] Die Hard- und Software für die Implementierung des Sicherheitsprotokolls kann zu einem Modul gekapselt sein. Dieses Modul kann getrennt von einem Kommunikationsmodul 30, welches die "unsichere" Kommunikation über das Stromnetz 16 realisiert, implementiert werden. Bei dem Kommunikationsmodul 30 kann es sich um eine Standardkomponente handeln, welche die zuvor beschriebene Trägerfrequenztechnik implementiert. [0052] Fig. 2 zeigt ein Ausführungsbeispiel, bei dem zusätzliche Komponenten das zuvor beschriebene System ergänzen und erweitern.
[0053] Neben der ersten sicheren Signaleinheit 12 und der zweiten sicheren Signaleinheit 14 umfasst die Vorrichtung gemäß dem Ausführungsbeispiel nach Fig. 2 zwei weitere Signaleinheiten 32, 36, eine Vermittlungseinheit 34 sowie eine Steuereinheit 38. Alle Einheiten 12, 14, 32, 34, 36, 38 sind in der zuvor beschriebenen Weise über das Stromnetz 16 miteinander gekoppelt und dazu eingerichtet, hierüber Daten sicher auszutauschen. Die Einheiten haben somit jeweils ein Kommunikationsmodul 30 für die "unsichere" Kommunikation über das Stromnetz 16 sowie sicherheitsgerichtete Einrichtungen 26 für die Implementierung eines Sicherheitsprotokolls, welches die Übertragung über den unsicheren Kommunikationskanal absichert.
[0054] Die erste und zweite sichere Signaleinheit 12, 14, die bereits im Zusammenhang mit dem Ausführungsbeispiel gemäß Fig. 1 erläutert wurden, werden im Folgenden nicht erneut beschrieben. Gleiches gilt für die übrigen Komponenten, die in Bezug auf Fig. 1 bereits beschrieben worden sind. Diese sind auch in der Fig. 2 mit denselben Bezugszeichen versehen.
[0055] Die sichere Signaleinheit 32 entspricht im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich darin, dass sie sowohl Eingänge als auch Ausgänge zu einem Prozess 40 aufweist. Die Signaleinheit 32 kombiniert somit die Funktionen der Signaleinheiten 12, 14 und integriert diese in einer einzelnen Einheit. Ergänzend kann die sichere Signaleinheit 32 eine Logikeinheit aufweisen, welche eine sichere Verknüpfung der Ein- und Ausgangssignale realisiert.
[0056] Die weitere sichere Signaleinheit 36 entspricht ebenfalls im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich lediglich in ihrem Anschluss an das Stromnetz 16. Dieser ist hier als eine separate Anschlusseinheit 42 ausgebildet. Die Anschlusseinheit 42 kann ein handelsüblicher PowerLAN-Adapter sein, der bspw. eine auf Ethernet-basierende Kommunikation für eine Übertragung über das Stromnetz 16 umwandelt. Die sichere Signaleinheit 36 kann dementsprechend mit einem Kommunikations- modul 44 ausgestattet sein, das eine gewöhnliche Netzwerkschnittstelle implementiert. Beispielsweise kann es sich bei dem Kommunikationsmodul 44 um eine Ethernet-Schnittstelle handeln. Auf diese Weise kann eine bereits vorhandene Hardware einer sicheren Signaleinheit weiterverwendet werden, da lediglich das Sicherheitsprotokoll implementiert werden muss. Dies kann auf Basis einer Softwareänderung erfolgen.
[0057] Die Vermittlungseinheit 34 stellt einen weiteren Kommunikationsteilnehmer dar, der dazu eingerichtet ist, zwischen zwei Netzen zu vermitteln. Exemplarisch ist hier neben dem Stromnetz 16 ein Feldbus 46 als ein zweites Netz angedeutet. Die Vermittlungseinheit 34 vermittelt zwischen den beiden Netzen 16, 46 wie eine Brücke. Hierfür weist sie das zuvor beschriebene Kommunikationsmodul 30 für die Kommunikation über das Stromnetz 16 auf und zusätzlich ein Kommunikationsmodul 48 für eine Kommunikation über den Feldbus 46. Ferner erweitert die Vermittlungseinheit 34 des Sicherheitsprotokolls dahingehend, dass über das Kommunikationsmodul 30 empfangene Datentelegramme oder Signale über das Kommunikationsmodul 48 an Einheiten weitergeleitet werden, die an den Feldbus 46 angeschlossen sind, oder umgekehrt.
[0058] Neben einer Verknüpfung zweier unterschiedlicher Netzwerke kann eine Vermittlungseinheit 34 in einem anderen Ausführungsbeispiel auch dazu eingerichtet sein, zwei verschiedene Arten von Stromnetzen für die Datenkommunikation zu koppeln. Auf diese Weise können Signaleinheiten, die bspw. über ein 24VDC-Netz gekoppelt sind, mit Einheiten, die in einem 230/400 VAC- Netz miteinander gekoppelt sind, kommunizieren.
[0059] Grundsätzlich kann die Vorrichtung noch weitere Koppelelemente umfassen, die weitere Übertragungswege bereitstellen. Beispielsweise kann ein Phasenkoppler vorgesehen sein, der zwei Außenleiter für die Übertragung der Trägersignale miteinander verbindet. Als Außenleiter bezeichnet man allgemein die Leiter in einem Stromnetz, die im üblichen Betrieb unter Spannung stehen und zur Übertragung oder Verteilung elektrischer Energie beitragen. Der Phasenkoppler verbindet die Außenleiter derart, dass die Spannungen getrennt bleiben, jedoch das hochfrequente Trägersignal, welches die Datenkommunikation ermöglicht, von einem Außenleiter auf den anderen übertragen wird. Auf diese Weise lässt sich bspw. bei einem Dreiphasen-Wechselstromnetz jeder Leiter für die Übertragung von Daten nutzbar machen. [0060] Fig. 2 zeigt ferner eine Steuereinheit 38, die dazu eingerichtet ist, eine Kommunikation innerhalb des Stromnetzes 16 zu koordinieren. Beispielsweise kann die Steuereinheit 38 als eine Masterstation eingerichtet sein und die weiteren Einheiten jeweils als Slave. Auf diese Weise lassen sich verschiedene Kommunikationsmodi abbilden. Die Steuereinheit 38 kann zudem weitere aus der Kommunikationstechnik bekannte Koordinierungsaufgaben wahrnehmen. Beispielsweise kann die Steuereinheit 38 eine zentrale Adressvergabe und Adresszuordnung koordinieren.
[0061] Die Steuereinheit 38 verfügt wie die übrigen Signaleinheiten 12, 14 über ein Kommunikationsmodul 30 sowie über sicherheitsgerichtete Einrichtungen 26 zur Implementierung des Sicherheitsprotokolls.
[0062] Die sicherheitsgerichteten Einrichtungen 26 der Steuereinheit 38 können ferner dazu verwendet werden, ein (sicheres) Anwenderprogramm auszuführen, um eine gewünschte Sicherheitsfunktion zu realisieren. In diesem Fall können die anderen Signaleinheiten als einfache Ein- und Ausgangsmodule eingerichtet sein, die abgesetzt von der Steuereinheit 38 diese mit dem Prozess verbinden. Die Verarbeitung der über das Stromnetz 16 sicher übertragenen Daten kann dann zentral durch die Steuereinheit 38 erfolgen.
[0063] Während die Steuereinheit 38 und die Vermittlungseinheit 34 hier als eigenständige Einheiten dargestellt sind, können deren Funktion in jeder der zuvor beschriebenen Signaleinheit integriert werden. Im Falle der Steuereinheit 38 ist sogar denkbar, dass deren Aufgabe dynamisch beim Einrichten des Netzwerks an eine Signaleinheit delegiert wird. Denkbar ist auch, dass eine dynamische Neukonfiguration stattfindet, sobald sich die Teilnehmer im Netz verändern.
[0064] Grundsätzlich ist das in Fig. 2 gezeigte Netzwerk exemplarisch zu verstehen. Dem Fachmann ist bewusst, dass hier mögliche Bausteine dem Prinzip nach dargestellt sind, die sich auch in anderer Weise und in anderer Anzahl kombinieren lassen, um eine Sicherheitsfunktion abzubilden. Ferner erkennt der Fachmann, dass das Netzwerk nicht nur für sicherheitsgerichtete Aufgaben eingerichtet ist, sondern auch Standardautomati- sierungsaufgaben parallel hierzu abarbeiten kann, indem die entsprechenden Komponenten in das Netzwerk integriert werden.
[0065] Mit den vorgeschlagenen Vorrichtungen können bestehende Einrichtungen auf einfache Weise erweitert werden. Insbesondere können Bereiche, die bisher nur über das Stromnetz erreichbar sind, mit der neuen Vorrichtung abgedeckt werden.
[0066] Fig. 3 zeigt in einer schematischen Darstellung ein Verfahren nach einem Ausführungsbeispiel der vorliegenden Offenbarung.
[0067] Das Verfahren 100 steuert einen sicherheitskritischen Prozess 20 und umfasst zunächst das Bereitstellen einer ersten sicheren Signaleinheit 12 und einer zweiten sicheren Signaleinheit 14, die über E/A-Kanäle 18 mit dem sicherheitskritischen Prozess 20 verbunden sind (S102).
[0068] Die sicheren Signaleinheiten 12, 14 werden über eine physikalische Verbindung miteinander gekoppelt. Die physikalische Verbindung ist über ein Stromnetz 16 realisiert (S104). Die Kopplung mit dem Stromnetz 16 kann bspw. durch Einstecken der Signaleinheiten 12, 14 in einen Auslass des Stromnetzes 16 (Steckdose) erfolgen. Neben dem Anschluss an das Stromnetz 16 können für die sichere Signaleinheit 12, 14 nur noch Anschlüsse für die Peripherie vorgesehen sein.
[0069] Ferner implementieren die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils ein Sicherheitsprotokoll zur Absicherung eines Datenaustauschs auf einer logischen Ebene zwischen den beiden Signaleinheiten (S106).
[0070] Basierend auf dem Sicherheitsprotokoll tauschen die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 Daten miteinander aus, um den sicherheitskritischen Prozess 20 zu steuern (S108).
[0071] Es versteht sich, dass die hier wiedergegebenen Verfahrensschritte nur die wesentlichen Elemente des Verfahrens wiedergeben. Weitere Schritte zwischen den genannten Verfah- rensschritten sind denkbar. Darüber hinaus lässt sich auch ein komplexeres Netzwerk durch weitere Verfahrensschritte abbilden, wie es zuvor in Bezug auf der Fig. 2 beschrieben worden ist.

Claims

Patentansprüche
1. Eine Vorrichtung (10) zum Steuern eines sicherheitskritischen Prozesses (20) an einer technischen Anlage, umfassend: eine erste sichere Signaleinheit (12) und eine zweite sichere Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess (20) verbunden sind, wobei die erste sichere Signaleinheit (12) und die zweite sichere Signaleinheit (14) dazu eingerichtet sind, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess (20) zu steuern, dadurch gekennzeichnet, dass die physikalische Verbindung ein Stromnetz (16) ist.
2. Die Vorrichtung nach Anspruch 1 , wobei das Stromnetz (16) eine Versorgungsspannung für die technische Anlage bereitstellt.
3. Die Vorrichtung nach einem der Ansprüche 1 oder 2, wobei das Stromnetz (16) eine Versorgungsspannung für die erste sichere Signaleinheit (12) und/oder die zweite sichere Signaleinheit (14) bereitstellt.
4. Die Vorrichtung nach einem der Ansprüche 1 bis 3, wobei das Stromnetz (16) zwischen der ersten sicheren (12) und der zweiten sicheren Signaleinheit (14) mindestens einen Abschnitt aufweist, der durch einen Gleitkontakt, insbesondere eine Schleifleiste oder einen Schleifring realisiert ist.
5. Die Vorrichtung nach einem der Ansprüche 1 bis 4, wobei die erste sichere Signaleinheit (12) an einer beweglichen Einrichtung der technischen Anlage angeordnet ist und relativ zu der zweiten sicheren Signaleinheit (14) beweglich ist.
6. Die Vorrichtung nach einem der Ansprüche 1 bis 5, wobei die erste sichere Signaleinheit (12) und die zweite sichere Signaleinheit (14) je Kommunikationsmittel aufweisen, die ein Sicherheitskommunikationsprotokoll für die Kommunikation auf der logischen Ebene und ein Standardkommunikationsprotokoll zur Kommunikation über die physikalische Verbindung implementieren.
7. Die Vorrichtung nach einem der Ansprüche 1 bis 6, wobei das Stromnetz (16) ein Gleichspannungsnetz, insbesondere ein 24VDC-Netz, ist.
8. Die Vorrichtung nach einem der Ansprüche 1 bis 6, wobei das Stromnetz (16) ein Wechselspannungsnetz, insbesondere ein 230/400VAC-Netz, ist.
9. Die Vorrichtung nach einem der Ansprüche 1 bis 8, wobei die Vorrichtung ferner eine Steuereinheit (38) aufweist, welche dazu eingerichtet ist, die Kommunikation zwischen der ersten sicheren Signaleinheit (12) und der zweiten sicheren Signaleinheit (14) zu koordinieren.
10. Die Vorrichtung nach einem der Ansprüche 1 bis 9, wobei die Vorrichtung ferner eine Vermittlungseinheit (34) aufweist, welche dazu eingerichtet ist, eine sichere Kommunikation zwischen der ersten sicheren Signaleinheit (12) und/oder der zweiten sicheren Signaleinheit (14) und einem System einzurichten, das nicht über eine Datenschnittstelle mit dem Stromnetz (16) verbunden ist.
11. Die Vorrichtung nach einem der Ansprüche 1 bis 10, wobei die erste sichere Signaleinheit (12) ein Eingangsmodul, insbesondere ein Not-Halt-Modul, ist.
12. Die Vorrichtung nach Anspruch 11 , wobei das Eingangsmodul eine Logikeinheit aufweist.
13. Die Vorrichtung nach einem der Ansprüche 1 bis 12, wobei die zweite sichere Signaleinheit (14) ein Ausgangsmodul ist, insbesondere ein Ausgangsmodul mit Ausgängen auf Relais- oder Halbleiterbasis.
14. Ein Verfahren (100) zum Steuern eines sicherheitskritischen Prozesses (20) an einer technischen Anlage, umfassend:
Bereitstellen einer ersten sicheren Signaleinheit (12) und einer zweiten sicheren Signaleinheit (14), die über E/A-Kanäle (18) mit dem sicherheitskritischen Prozess verbunden sind;
Verbinden der ersten sicheren Signaleinheit (12) mit der zweiten sicheren Signaleinheit (14) über eine physikalische Verbindung;
Implementieren eines Sicherheitsprotokolls zur Absicherung eines Datenaus- tauschs auf einer logischen Ebene;
Austauschen von Daten zwischen der ersten sicheren Signaleinheit (12) und der zweiten sicheren Signaleinheit (14), um den sicherheitskritischen Prozess (20) zu steuern; dadurch gekennzeichnet, dass die physikalische Verbindung über ein Stromnetz (16) realisiert ist.
EP21791383.9A 2020-10-19 2021-10-14 Vorrichtung zum steuern eines sicherheitskritischen prozesses Pending EP4229485A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020127515.3A DE102020127515A1 (de) 2020-10-19 2020-10-19 Vorrichtung zum Steuern eines sicherheitskritischen Prozesses
PCT/EP2021/078524 WO2022084161A1 (de) 2020-10-19 2021-10-14 Vorrichtung zum steuern eines sicherheitskritischen prozesses

Publications (1)

Publication Number Publication Date
EP4229485A1 true EP4229485A1 (de) 2023-08-23

Family

ID=78179442

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21791383.9A Pending EP4229485A1 (de) 2020-10-19 2021-10-14 Vorrichtung zum steuern eines sicherheitskritischen prozesses

Country Status (6)

Country Link
US (1) US20230259098A1 (de)
EP (1) EP4229485A1 (de)
JP (1) JP2023547801A (de)
CN (1) CN116438489A (de)
DE (1) DE102020127515A1 (de)
WO (1) WO2022084161A1 (de)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4599013B2 (ja) * 1999-08-23 2010-12-15 ピルツ ゲーエムベーハー アンド コー.カーゲー 安全ステーションを設定する方法およびそれを利用した安全制御システム
ES2499340T3 (es) * 2007-08-07 2014-09-29 Thyssenkrupp Elevator Ag Sistema de elevador
MX371433B (es) * 2014-12-10 2020-01-30 Inventio Ag Sistema de elevador comprendiendo sistema de monitoreo de seguridad con jerarquia maestro-esclavo.
JP6539457B2 (ja) * 2015-02-20 2019-07-03 株式会社ダイヘン ロボットの関節構造
DE102015221512A1 (de) 2015-11-03 2017-05-04 Krones Ag Rotierendes Maschinenmodul in der Getränkemittelindustrie
JP2018069438A (ja) * 2016-10-31 2018-05-10 株式会社タイテック 産業用ロボットシステム
EP3441832A1 (de) 2017-08-07 2019-02-13 Wieland Electric GmbH Modulare speicherprogrammierbare steuerung

Also Published As

Publication number Publication date
JP2023547801A (ja) 2023-11-14
US20230259098A1 (en) 2023-08-17
WO2022084161A1 (de) 2022-04-28
DE102020127515A1 (de) 2022-04-21
CN116438489A (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
EP1064759B1 (de) Verfahren zum inbetriebnehmen eines bussystems sowie entsprechendes bussystem
DE102012009494B4 (de) Steuereinrichtung zum Steuern eines Sicherheitsgerätes
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP0344609B1 (de) Digitales Signalübertragungssystem für die Hausleittechnik
EP1642179B1 (de) Vorrichtung zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage
DE102012014681B4 (de) Verwendung eines lO-Links zur Anbindung eines Netzgerätes
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
DE102009013303A1 (de) Verwendung eines IO-Links
DE3236812A1 (de) Fernwirksystem
DE10353950A1 (de) Steuerungssystem
EP2053476A2 (de) System zum Betreiben wenigstens eines nichtsicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP1851597A1 (de) Automatisierungssystem
DE102017213365B4 (de) Kommunikationsvorrichtung, System und Verfahren
WO2022084161A1 (de) Vorrichtung zum steuern eines sicherheitskritischen prozesses
DE112014006106T5 (de) Sicherheitssteuersystem und Sicherheitssteuergerät
EP1690390B1 (de) Verfahren zur übertragung von daten über einen datenbus sowie system und gateway zur durchführung des verfahrens
EP2506445B1 (de) Verbindungsgerät, System und Verfahren zur Signalübertragung zwischen einer Leitstelle und mindestens einem Feldgerät in einer industriellen Anlage
EP3441832A1 (de) Modulare speicherprogrammierbare steuerung
AT505741A1 (de) Dezentrale energieversorgungseinrichtung für ein modulares, fehlersicheres steuerungssystem
EP3847760B1 (de) Verfahren und vorrichtung zur datenübermittlung an bord eines wasserfahrzeugs
DE102006049636A1 (de) Buskoppler sowie Kommunikationssystem mit Buskoppler
DE102012211867B3 (de) PROFIenergy in unterlagerten Kommunikationssystemen

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230516

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)