ES2309643T3 - Modulos de entrada/salida seguros para un controlador. - Google Patents

Modulos de entrada/salida seguros para un controlador. Download PDF

Info

Publication number
ES2309643T3
ES2309643T3 ES05026804T ES05026804T ES2309643T3 ES 2309643 T3 ES2309643 T3 ES 2309643T3 ES 05026804 T ES05026804 T ES 05026804T ES 05026804 T ES05026804 T ES 05026804T ES 2309643 T3 ES2309643 T3 ES 2309643T3
Authority
ES
Spain
Prior art keywords
controller
input
safe
standard
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES05026804T
Other languages
English (en)
Inventor
Michael Muhlbauer
Thomas Staab
Joachim Engel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bosch Rexroth AG
Original Assignee
Bosch Rexroth AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bosch Rexroth AG filed Critical Bosch Rexroth AG
Application granted granted Critical
Publication of ES2309643T3 publication Critical patent/ES2309643T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14125Redundant I-O racks, interfaces to points
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/15Plc structure of the system
    • G05B2219/15037Fail safe communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24181Fail silent nodes, replicated nodes grouped into fault tolerant units
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24184Redundant I-O, software comparison of both channels
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Abstract

Módulo de entrada/salida seguro con módulos de conexión de aparatos de campo (11) y con interfaces de controlador (12, 13, 14, 15) para un controlador, en el que está comprendido un medio para la supervisión (10) de módulos de conexión de aparatos de campo (11) e interfaces de controlador (12, 13, 14, 15), en el que los módulos de conexión de aparatos de campo están conectados por medio de una de las interfaces de controlador (12, 13, 14) en el medio de supervisión (10) y el medio de supervisión (10) se comunica con el controlador (22) por medio de otra interfaz de controlador (15), caracterizado porque los módulos de conexión de aparatos de campo (11) están realizados de forma redundante, porque para la realización de un único canal seguro de detección de datos se utilizan dos canales estándar, en el que los módulos de conexión de aparatos de campo (11) son módulos de E/S estándar y para la realización de una entrada y salida seguras, respectivamente, éstas están realizadas por medio de al menos dos entradas estándar y dos salidas estándar de un módulo de E/S estándar (11).

Description

Módulos de entrada/salida seguros para un controlador.
\global\parskip0.900000\baselineskip
La invención se refiere al campo de la técnica de automatización, especialmente de los controladores programables y describe un procedimiento así como un dispositivo para la elevación de la seguridad en procesos de aplicación.
Los procesos de aplicación se realizan, en general, por medio de un controlador programable o de un sistema de guía de procesos y por medio de una pluralidad de aparatos de campo. El cometido de los aparatos de campo es detectar o supervisar los estados de los procesos y transmitir estas informaciones relevantes para los procesos al controlador de orden superior o recibir informaciones relevantes de los procesos desde el controlador. Los aparatos de campo pueden ser, por ejemplo, sensores, pulsadores, alarmas de movimiento, pero también accionamientos eléctricos. La comunicación entre el aparato de campo y el controlador se realiza, por ejemplo, a través de los llamados medios de entrada/salida, que deben designarse, por lo demás, de forma abreviada como componentes E/S. Los componentes E/S se pueden comunicar con el controlador, por ejemplo, por medio de un bus de campo. Los módulos E/S pueden estar ordenados jerárquicamente y se conectan, en general, por medio de una llamada cabecera de bus de campo en el bus de campo. La publicación US 6.016.523 muestra un módulo E/S constituido de forma modular.
Actualmente se puede adquirir en el mercado a partir de la Firma Solicitante bajo la designación SERCOS Interface® (Serial Real Time Communication System) un sistema de comunicaciones distribuido con estructura en forma de anillo, que sería adecuado como bus de campo, pero no está prescrito forzosamente. Los usuarios están conectados aquí habitualmente por medio de guías de ondas ópticas con un usuario central (por ejemplo, el controlador). El sistema SERCOS Interface® especifica una comunicación estrictamente jerárquica. Los datos son intercambiados en forma de bloques de datos, los llamados telegramas o "cuadros" en ciclos constantes de tiempo entre el controlador (Maestro) y las subestaciones (Subordinadas). No tiene lugar una comunicación inmediata entre los otros usuarios y las subestaciones, respectivamente. Adicionalmente, se establecen contenidos de datos, es decir, que el significado, la representación y la funcionalidad de los datos transmitidos están en gran medida predefinidos. En el sistema SERCOS Interface®, corresponde al Maestro la conexión del controlador en el anillo y corresponde a la subordinada la conexión de una o varias subestaciones (accionamientos o módulos E/S). Son posibles varios anillos en un controlador, correspondiendo al controlador la coordinación de los anillos individuales entre sí y no se especifica por el Sistema SERCOS Interface®. Normas de bus campo alternativas serían Profibus o CAN-Bus.
Los llamados módulos E/S seguros son empleados sobre todo en combinación con controladores de seguridad. Estos controladores de seguridad se emplean en aplicaciones de seguridad, es decir, en aplicaciones en las que una interferencia o un fallo del sistema de controlador puede conducir a un peligro o daño apreciable. La condición previa para componentes de una aplicación de seguridad es que ésta debe adoptar un estado seguro en el caso de una interferencia en el funcionamiento. Por un estado seguro se entiende aquel estado, que impide con seguridad una amenaza potencial y que debe adoptarse en el caso de fallo. Para el campo de la técnica de automatización, en general, el estado libre de energía es un estado seguro. Para la comunicación se utilizan en estas aplicaciones los llamados buses de campo seguros, que se pueden basar, entre otros, en SERCOS. Los componentes relevantes para la seguridad deben cumplir, además, las normas competentes, como la Norma IEC 61508 y son certificados por Centros de Certificación, como por ejemplo TÜV. Además, existen diferentes niveles de seguridad SIL1-4, a los que se asocian estos componentes.
Se conoce a partir del documento US 5.313.386 una unidad de controlador programable con una posibilidad de copia de seguridad. Esta unidad de controlador presenta dos instalaciones de controlador, que pueden ser accionadas de una manera independiente entre sí. En este caso, una primera de estas instalaciones de controlador trabaja en un modo activo y la otra instalación de controlador asume la actividad de controlador, cuando falla la primera instalación de controlador.
Se conoce a partir de la publicación "Sicherheitsgerichtete SPS in Anlagen mit Gefährdungspotential Safety Related PLC in Plants with Hazard Potential" de P. Zender, en: Automatisierungstechnische Praxis-ATP, Oldenburg Industrieverlag, Munich, DE. Vol. 36, Nº 12, 1 de Diciembre de 1994 (1994-12-01) un módulo de E/S, en el que está implementado un procedimiento de comparación teórico-real.
Componentes seguros, como módulos de E/S de seguridad para controladores de seguridad se pueden adquirir en el mercado, pero son en torno al factor 4 más caros que los módulos de E/S estándar. Por lo tanto, la invención se basa en el problema de encontrar una solución para poder realizar un módulo de E/S de seguridad lo más económico posible.
La invención soluciona este problema por medio de un dispositivo mencionado al principio porque un módulo de E/S seguro de acuerdo con la invención comprende medios para la supervisión de módulos de conexión de aparatos de campo realizados de forma redundante e interfaces de controlador, en los que los módulos de conexión de aparatos de campo están conectados por medio de una de las interfaces de controlador en el medio de supervisión y el medio de supervisión se comunica con el controlador a través de otras interfaces de controlador.
Por módulos de conexión de aparatos de campo se entienden, por ejemplo, módulos estándar para la detección de datos de procesos, que se pueden obtener en el mercado a precios esencialmente más bajos que los módulos seguros configurados de forma especial. Estos módulos estándar se realizan de forma redundante, es decir, que son necesarios dos canales estándar para la realización de un único canal de detección de datos seguro. El medio de supervisión, en general una unidad controladora por ordenador, recibe desde el controlador de procesos de orden superior instrucciones a través de una interfaz de controlador y actúa, desde la perspectiva del controlador de procesos como un módulo autárquico y seguro. Habitualmente, la comunicación con el controlador de procesos se realiza por medio de un bus de campo a través de una cabecera de bus de campo, en la que se pueden conectar en una cabecera de bus de campo, adicionalmente el módulo de acuerdo con la invención, una pluralidad de módulos estándar. El medio de supervisión se asienta en este caso especial físicamente detrás de todos los módulos de la cabecera de bus de campo que no están dirigidos a la seguridad. El medio de supervisión divide, por decirlo así, el bus utilizado por la cabecera de bus de campo en un lado primario y un lado secundario. De la misma manera se pueden realizar otras posibilidades de disposición del medio de supervisión. Desde la perspectiva de la cabecera del bus de campo, el medio de supervisión representa aquí el último usuario en el bus, que está conectado en el lado primario en este bus. En el lado secundario, en el medio de supervisión están dispuestos los módulos de conexión de aparatos de campo redundantes. El medio de supervisión recibe instrucciones por medio de un protocolo seguro y las convierte ahora con seguridad de tal manera que a partir de la utilización de los módulos estándar resulta la función de un módulo seguro.
De una manera preferida, al menos otro módulo de conexión de aparatos de campo sirve para fines de diagnóstico. Por medio de este módulo de conexión de aparatos de campo existe la posibilidad de inscribir los estados de un módulo de salida conectado y de procesarlos, por ejemplo, a través de un medio de supervisión y de incorporarlos al mismo tiempo en el proceso de supervisión. El estado real de un aparato de campo se puede comparar de esta manera fácilmente con el estado teórico con la ayuda del medio de supervisión.
De una manera más ventajosa, las interfaces de controlador comprenden también una salida de diagnosis y/o salida de pulsos de reloj y/o una alimentación de energía, de manera que se pueden activar y controlar aparatos de campo como sensores o actuadores. Esto es necesario, dado el caso, para realizar un estado seguro. La salida de pulsos de reloj o bien la salida de diagnosis sirve para la alimentación de los módulos de entrada y la alimentación de energía conmutable, en general, sirve para la alimentación de módulos de salida.
El medio de supervisión comprende de una manera preferida medios para el procesamiento de datos, para la generación de pulsos de reloj, pare el análisis de las señales, para el análisis lógico, para el controlador, para la supervisión de la salida, para garantizar una desconexión segura, para auto prueba, para la comunicación y para la memorización de datos y está constituido de una manera preferida redundante. De esta manera, está disponible un sistema procesador completo con funciones de software amplias, para garantizar el proceso de supervisión y la producción de un estado seguro.
De acuerdo con la invención, como módulos de conexión de aparatos de campo se utilizan módulos de E/S estándar. Estos pueden estar dispuestos de forma centralizada y/o descentralizada y son esencialmente más económicos que los módulos de E/S seguros concebidos, en general, para controladores de seguridad. Para cada módulo de E/S estándar es necesario un segundo módulo de E/S idéntico, para garantizar la redundancia requerida.
De una manera especialmente preferida, para la realización de módulos de E/S seguros por medio de un módulo de E/S estándar se realizan al menos dos entradas estándar y dos salidas estándar y de una manera preferida, la entrada de un módulo estándar está prevista para fines de diagnosis. Con la ayuda de dos canales de E/S estándar se puede realizar de una manera económica la función de un canal de E/S seguro.
Para la aplicación técnica de la invención se ofrece configurar el medio de supervisión con relación al módulo de conexión de aparatos de campo como maestros y con relación al controlador como subordinado. Como subordinado, el medio de supervisión es dominado o bien sincronizado por el controlador de orden superior y como maestro domina o bien sincroniza los módulos de conexión de aparatos de campo.
Para la solución de múltiples tareas también en la técnica de automatización, en los módulos de conexión de aparatos de campo no sólo están conectados aparatos de campo pasivos, sino también aparatos de campo activos como actuadores (relés, contactores, válvulas) y/o sensores.
De una manera preferida, la comunicación entre el medio de supervisión y el controlador se realiza a través de un bus de campo por medio de una comunicación de datos segura, por ejemplo por medio de Safety SERCOS® como protocolo de transmisión de datos.
La invención soluciona este problema de la misma manera por medio de un procedimiento mencionado al principio porque el módulo de E/S seguro de acuerdo con la invención comprende usuarios principales y usuarios secundarios, en el que se procesan estados teóricos y estados reales, se realiza una comparación teórico/real y en el caso de diferentes estados teóricos y reales, realizan un estado seguro.
Un usuario secundario adicional detecta de una manera preferida el estado real de otro usuario secundario, de manera que se controladora el estado de al menos un usuario secundario.
De una manera más ventajosa, la comunicación entre el usuario principal y el controlador se realiza por medio de un telegrama de datos seguro, en el que se trata de una manera preferida de un telegrama según la Norma SERCOS®. Cada bus de campo adecuado, en principio, para la aplicación se puede considerar aquí como equivalente.
\global\parskip1.000000\baselineskip
Cuando el usuario principal detecta el estado real de un usuario secundario, por ejemplo por medio de una señal de controlador, se puede verificar de esta manera igualmente la realización correcta de una instrucción en el usuario secundario a través del usuario principal.
De una manera más ventajosa, se utilizan señales de controlador, que utilizan un nivel constante o un nivel alterno. Adicionalmente, la señal de controlador puede estar realizado con dos canales, donde los niveles, dado el caso alternos, son antivalentes entre sí. De esta manera, se eleva la probabilidad de la cobertura de errores, puesto que se pueden reconocer más estados y combinaciones de errores. Esto se realiza a través de la evaluación de los estados de transición de las señales de controlador y de los estados lógicos de las señales de controlador. De una manera más ventajosa, un controlador comprende un dispositivo de acuerdo con la invención según una de las reivindicaciones del dispositivo, en el que el dispositivo puede estar dispuesto de forma centralizada y/o descentralizada para el controlador y de esta manera se puede ampliar de forma flexible. Este controlador utiliza, por lo tanto, de una manera preferida, adicionalmente al módulo de E/S seguro de acuerdo con la invención, también módulos de E/S estándar centralizados y/o descentralizados para tareas no relevantes para la seguridad. Si el controlador comprende adicionalmente accionamientos eléctricos, se incrementa el espectro de aplicación. En particular, un controlador de seguridad comprende una solución de acuerdo con la invención. De esta manera se puede realizar una tarea de seguridad en comparación con el estado de la técnica.
Lista de signos de referencia
10
Medio de supervisión
11
Módulos de conexión de aparatos de campo
12
Bus de campo secundario
13
Señales de diagnosis
14
Alimentación de la tensión de salida
15
Bus de campo primario
16
Cabecera de bus de campo
17
E/S estándar
18
Interfaz de bus de campo (Maestro)
18a
Bus de controlador central en el maestro
19
Desviación
20
Canal de controlador 1
21
Canal de controlador 2
22
Controlador de seguridad
23
E/S de seguridad
24
Microprocesador
25
Medio de diagnosis
26
Controlador de la tensión de alimentación
27
Salida de pulsos de reloj como señal de diagnosis 13
28
Subordinado de bus de campo (lado primario)
29
Maestro de bus de campo (lado secundario)
30
Generación de pulsos de reloj
31
Análisis de señales
32
Análisis lógico
33
Mecanismo de controlador
34
Unidad de auto prueba
35
Supervisión de salida
36
Desconexión segura
37
Unidad de comunicación
38
Memoria de parámetros
39
Carga
40
Desvío
120
Estado de la función de seguridad seleccionada (no se requiere)
120a
Ciclo 1
120b
Ciclo 2
130
Análisis de errores cuando se selecciona la función de seguridad
140
Estado de tratamiento de errores (estado seguro en el caso de error)
150
Estado de la función de seguridad requerida
160
Análisis de errores cuando se selecciona la función de seguridad
101
Estado de entrada, cuando ambos conmutadores están cerrados: E1 = T1, E2 = T2
102
Error reconocido en el estado 120 (por ejemplo, error interno del medio de supervisión)
103
Modificación del estado de entrada en el estado 120 frente a la previsión
104
Error reconocido en el análisis de errores del estado de entrada
105
Reconocimiento del estado de entrada E1 = E2 = 0 (ambos conmutadores abiertos)
106
Error reconocido en el estado 150 (por ejemplo, error interno del medio de supervisión)
107
Reconocimiento del error (por el controlador de orden superior)
108
Solicitud de la función de seguridad, mientras no se modifique el estado de entrada E1 = E2 = 0
109
Reconocimiento del estado de entrada E1 o E2 \neq 0
110
Reconocimiento de error cuando se selecciona la función de seguridad
111
Selección libre de error de la función de seguridad
\vskip1.000000\baselineskip
A continuación se explica en detalle la invención con la ayuda de la descripción de ejemplos de realización preferidos o bien de formas de realización con referencia a los dibujos adjuntos. En los dibujos, los mismos signos de referencia designan las mismas características correspondientes. En este caso, todas las características descritas y/o gráficas forman por sí mismas o en combinación conveniente discrecional el objeto de la presente invención y, en concreto, de una manera independiente de su redacción en las reivindicaciones de patente o su interrelación. En los dibujos, los mismos signos de referencia o los mismos símbolos designan módulos del mismo tipo.
La figura 1 muestra la representación esquemática de un módulo de E/S seguro de acuerdo con la invención con periferia con su conexión en el controlador.
La figura 1a muestra de forma esquemática la estructura interna del medio de supervisión.
La figura 1b muestra de forma esquemática el alcance de la función del medio de supervisión.
La figura 2 muestra de forma esquemática la consulta y supervisión de un abridor seguro (de dos canales, monovalente) por medio de la invención.
La figura 3 muestra un diagrama de estado general para la realización de la supervisión mostrada en la figura 2 del abridor.
La figura 4 muestra de forma esquemática la consulta y supervisión de un cerrador seguro (de dos canales, monovalente) por medio de la invención.
La figura 5 muestra de forma esquemática la consulta y supervisión de una combinación segura de cerrador/abridor (de dos canales, antivalente) por medio de la invención.
La figura 6 muestra un circuito de salida con reconocimiento de un canal.
La figura 7 muestra ejemplos de una configuración posible del sistema.
A continuación se explican las figuras 1 a 7. La figura 1 muestra el módulo de E/S seguro 23 de acuerdo con la invención con medios de supervisión 10, módulos de conexión de aparatos de campo 11, interfaces de controlador 12, 13,14, cabecera de bus de campo 16 y módulos de E/S estándar 17 así como cargas externas 39. El módulo de E/S seguro es especialmente adecuado para la conexión por medio de un bus de campo 15, 18a en un controlador de seguridad 22 con dos canales 20, 21 independientes entre sí, con una desviación 19 para la confluencia de partes del protocolo y con una interfaz maestra de bus de campo 18. Se puede prescindir también de una desviación 19 en función del sistema de bus utilizado, de manera que se lleva a cabo una comunicación directa de los canales 20, 21 con la interfaz maestra 18 (líneas de trazos en el diagrama de bloques del controlador de seguridad 22).
El medio de supervisión 10 hace confluir en cada caso dos canales de entrada (K1 E y K2 E) así como dos canales de salida (K1 A y K2 A) para la realización de un módulo de E/S seguro 23 por medio de un bus 12. La comunicación entre el medio de supervisión 10 y los módulos de conexión de aparatos de campo 11 se asegura en cuanto a la técnica de protocolos en función del medio de transmisión (por ejemplo, bus de campo con su protocolo específico de bus de campo).
La cabecera de bus de campo 16 es un acoplador de bus entre el bus de controlador central 18a y el bus de controlador descentralizado 15. El medio de supervisión 10 divide el bus de controlador descentralizado 15 de nuevo en un lado primario 15 y un lado secundario 12. De acuerdo con el principio de la canalización se aseguran datos útiles y se transmiten desde el controlador 22 por medio del bus de campo 18a y 15 al medio de supervisión 10 y se transfieren desde el medio de supervisión 10 hacia el bus de campo secundario 12 después del procesamiento (división en un protocolo para los grupos de entrada o de salida) y a la inversa. El medio de supervisión 10 se asienta, desde la perspectiva de la cabecera del bus de campo 16. físicamente detrás de todos los módulos 17 no dirigidos a la seguridad del bus 15 del lado primario. Desde la perspectiva del acoplador de bus 16, el controlador de supervisión 10 es el último usuario en la sección descentralizada 15. En el lado secundario, es decir, cuando se considera el lado derecho de la figura 1 desde el medio de supervisión 10, están conectados los módulos de E/S estándar 11.
La realización de dos canales de entrada redundantes (K1 E, K2 E) se lleva a cabo a través de la utilización de dos módulos de entrada estándar E. Ambos canales de entrada son supervisados por el medio de supervisión 10. La supervisión se realiza a través de análisis (software) de las señales de bus 12 para los dos canales, que son influenciados de una manera selectiva en el lado del hardware a través de las señales de pulsos de reloj 27, de manera que, en virtud de la posición de espera implicada con ello, en función del estado de la máquina de estado de la unidad de supervisión, se posibilita una emisión de errores. Los módulos de salida estándar A están constituidos de la misma manera de forma redundante por medio de dos canales (K1 A, K2 A). Ambos canales de salida pueden ser supervisados a través del empleo de un módulo de diagnosis o de entrada Diag adicional. El medio de supervisión 10 puede controladora cargas externas 39 por medio de su alimentación de tensión de carga 14. De este modo se puede controlar la alimentación de la carga tanto en el lado del software por medio de un protocolo de datos, como también en el lado del hardware.
En resumen, se puede constatar que el medio de supervisión 10 activa módulos de conexión de aparatos de campo 11 realizados de forma redundante por medio de interfaces de controlador, de manera que los módulos de conexión de aparatos de campo 11 comprenden entradas E constituidas de dos canales así como salidas A constituidas de dos canales. Las interfaces de controlador comprenden una interfaz de campo 15 y 12, señales de diagnosis 13 para el aparato de campo colocado en las entradas K1 y K2 y una alimentación de la tensión de salida 14, que se puede desconectar, para la salida A constituida de dos canales. Además, se muestra todavía el módulo de entrada Diag, cuyo cometido es consultar el estado de la carga 39 activada en la salida A y enviar el estado por medio del bus de campo 12 del lado secundario al medio de supervisión 10. Cuando se reconoce un error, se puede desconectar el medio de supervisión 10 a través de la comunicación y también se puede desconectar la tensión de alimentación de las salidas A por medio de la alimentación de salida 14 desconectable, para realizar el estado seguro en caso de error.
En la figura 1a se representa la estructura interna del medio de supervisión 10. Se muestran un microprocesador 24, un medio de diagnosis 25, las conexiones para las señales/señales de pulsos de reloj 13, las conexiones 26 para el controlador de los conmutadores para la alimentación de la tensión de salida 14 de las cargas 39 (ver la figura 1), una interfaz 28 para la conexión del medio de supervisión 10 en el bus de campo 15 del lado primario (figura 1) y una interfaz 29 para la conexión del medio de transmisión 10 en el bus de campo 12 del lado secundario (figura 1). Las líneas de trazos deben indicar la posibilidad de la realización redundante de un medio de transmisión 10 seguro en sí. Así, por ejemplo, el sistema de procesos 24 se puede realizar redundante y se puede acoplar por medio de desviaciones 40.
En la figura 1b se representa de forma esquemática la estructura del software,. En la figura se muestran la interfaz de bus de campo del lado primario (subordinado) 28 y la interfaz de bus de campo del lado secundario (maestro) 29, un módulo para la generación de pulsos de reloj 30, un módulo para análisis lógico 32, un mecanismo de controlador 33, una unidad de auto prueba 34, una supervisión de salida 35, un módulo para la desconexión segura 36, una unidad de comunicación 37 y una memoria de parámetros 36. Las interfaces de bus de campo 28, 29 sirven para la conexión del medio de transmisión 10 a la periferia 11 y al controlador 22 (ver la figura 1). La generación de pulsos de reloj 30 suministra señales de pulsos de reloj 27 que se pueden definir con parámetros, que pertenecen a las señales de diagnosis 13, para la alimentación de la periferia externa. El módulo para análisis de señales 31 verifica las señales inscritas a través del bus secundario, cuyo valor depende, cuando los conmutadores están cerrados, de las señales de pulsos de reloj predeterminadas a través de la generación de pulsos de reloj 30, con respecto a los tiempos de discrepancia y se comunica con el módulo de análisis lógico 32, que realiza el análisis de errores con respecto a la posición de espera. La desconexión segura 36 posibilita controlar la alimentación de los grupos de emisión, de manera que éstos o bien las cargas 39 conectadas (figura 1) se pueden desconectar en caso de error. La supervisión de la salida 35 supervisa los estados de salida, por ejemplo a través del reacoplamiento de los estados de salida por medio de un módulo de diagnosis Diag 11 (figura 1) hacia el medio de supervisión 10. La unidad de auto prueba 34 asegura que el medio de supervisión 10 funcione siempre de forma perfecta, verificando los componentes internos del sistema. La unidad de comunicación 37 representa una capa de comunicación segura, que realiza la comunicación por medio de un protocolo de transmisión seguro, por ejemplo Safey-SERCOS® para el controlador. El mecanismo de controlador 33 coordina todos los módulos conectados 28, 29, 30, 31, 32, 34, 35 36, 37. La memoria de parámetros 38 contiene todos los parámetros para la supervisión de entrada y de salida así como para la comunicación segura con el controlador 22 (figura 1).
En el ejemplo mostrado aquí, por medio de las entradas E1/2 (ver también la descripción de la figura 3) se inscribe el estado de entrada, que depende de la posición del conmutador S y de las señales de pulsos de reloj T. Este estado debe someterse en primer lugar a un controlador del tiempo de discrepancia 31, a continuación se realiza la verificación lógica 32 y la transmisión del resultado al mecanismo de controlador 33. Este suministra el resultado a través de la unidad de comunicación 37 al controlador. Ahora se puede decidir si, en virtud de una información de error presente, se realiza una desconexión a través del módulo 36.
La información de salida, predeterminada por el controlador 22 a través de la unidad de comunicación 37, es transmitida a través de la unidad de comunicación 29 y el bus secundario hacia las salidas y al mismo tiempo es sometida a través de la supervisión de salida a un análisis de errores. En el caso de determinación de un error, se pueden transferir las salida a través de la unidad de comunicación 29 y el bus secundario así como de una manera redundante a ello a través del circuito de salida 26 al estado seguro en el caso de error.
Como introducción a la descripción de la figura 2 se indica que en el sistema de E/S seguro 23 de acuerdo con la invención o bien en el sistema general que se muestra en la figura 1, por razones de costes, deben emplearse solamente módulos de E/S estándar 11. esta previsión solamente se puede tener en cuenta a través de redundancia. Por lo tanto, para la reproducción de una corriente binaria de entrada segura deseada debe utilizarse un número duplicado de módulos de entrada. Cada bit de entrada del lado primario y transmitido con seguridad por medio del bus 15 es reproducido de acuerdo con ello en el lado secundario (es decir, en el lado del bus de campo 12) por medio de 2 bits de entrada, que proceden de dos canales de entrada K1 E/2 E independientes entre sí.
Los sensores o bien los conmutadores, que están asociados de nuevo a los dos canales de entrada K1 E y K2 E, son controlados por el medio de supervisión 10 en forma de señales de pulsos de reloj: las señales de pulsos de reloj pueden estar configuradas antivalentes entre sí. También es posible prescindir de un pulso de reloj (posibilidades reducidas de análisis de errores) y trabajar con niveles fijos. A través de la evaluación de la información de entrada E1/2 obtenida por medio de las señales de pulsos de reloj se puede supervisar todo el trayecto de transmisión de entrada desde el sensor, pasando por el módulo de conexión de aparatos de campo y el bus secundario hasta la supervisión de entrada en función de las señales de pulsos de reloj y del estado de la máquina de estado de la supervisión de entrada, especialmente también la conexión física correcta de un sensor, incluido el reconocimiento de cortocircuitos, conexiones cruzadas, tomas de tierra y la función real de un sensor o bien de un conmutador. El medio de supervisión 10 puede reconocer y distinguir, entre otros, los siguientes estados: solicitud y selección de la función de seguridad (dentro o después de un tiempo de discrepancia definido con parámetros) y errores (errores de entrada, errores de transmisión, etc.).
La figura 2 muestra el principio para la supervisión de un abridor seguro de dos canales por medio de la invención. En la aplicación práctica, éste podría ser un conmutador de emergencia. La función de seguridad (por ejemplo, parada de emergencia) es solicitada por medio de la apertura de al menos uno de los dos conmutadores S1/S2. En particular, E1 y E2 significan señales de entrada lógicas del análisis de señales o bien del análisis lógico 31/32 así como I1 e I2 significan señales de salida lógicas del análisis de señales y del análisis lógico 31/32. Para la selección de la función de seguridad o bien para la transmisión del estado seguro en el caso de error se aplica aquí I1 = I2 = 0. F representa la señal de error para la identificación del resultado de un análisis de señales. Una señal de error F activa F (F = 0) significa que durante la verificación de la entrada (E1, E2) se ha constatado un error. S1/2 pueden ser conmutadores o sensores para la activación de conmutadores, que se activan al mismo tiempo. Las salidas T1, T2 pueden suministrar señales de pulsos de reloj, pero también niveles constantes.
Conforme al dominio de un fallo de la tensión, se define: "estado seguro = estado", que se puede adoptar en caso de fallo y que corresponde al estado sin tensión o libre de energía. Este estado se adopta durante la solicitud de la función de seguridad. Si no se solicita la función de seguridad, ambos conmutadores S1/2 están cerrados. En este estado, se pueden supervisar los canales K1 y K2. Por lo tanto, una señal que procede de T1 se puede conducir sobre S1 hacia E1 y una señal que procede de T2 se puede conducir sobre S2 hacia E2.
La selección de la función de seguridad se realiza a través del cierre de ambos conmutadores S1/2 al mismo tiempo (eventualmente se requiere de forma adicional la activación de una tecla de RESET. Se presupone que el medio de supervisión 10 propiamente dicho garantiza su seguridad, por ejemplo a través de una realización redundante (ver la figura 1a).
En función de la selección de las señales de pulsos de reloj T1/2 y de la posición de espera implicada con ello se puede investigar el estado de las señales de entrada E1/2 con respecto a errores. En estos errores se puede trata, entre otros, de interrupciones con la adopción de un nivel discrecional en E1/2, un cortocircuito a masa con la adopción de un nivel discrecional en E1/2 o un cortocircuito entre E1 y E2 con la adopción de un nivel discrecional.
Por medio del análisis de errores definido anteriormente (ver la descripción de la figura 1b) en el estado estático de las señales de pulsos de reloj se pueden reconocer, en principio, errores altos (una entrada E1/2 suministra falsamente nivel alto) y errores bajos (una entada E1/2 suministra falsamente nivel bajo). El grado de cobertura de errores se puede elevar a través de la dinamización de las señales de pulsos de reloj. La dinamización de las señales de pulsos de reloj significa que dentro de dos ciclos del bus se conmutan las señales de pulsos de reloj de forma antivalente. Por lo tanto, en caso de error se tarda como máximo dos ciclos del bus + dado el caso el tiempo de discrepancia hasta que se ha cubierto el error, es decir, que un error bajo y/o un error alto pueden ser asociados de una manera unívoca a una entrada E1/2.
La figura 3 muestra el diagrama de estado de principio de la supervisión del abridor reproducida en la figura 2. En función del estado interno (120, 130, 140, 150, 160) de la máquina de estado y del estado de entrada (nivel en E1/2), la máquina de estado conmuta las salidas I1/2 y F, permanece en su estado o lleva a cabo un cambio de estado. Existen tres estados estables (120, 140, 150), los estados 130 y 160 son estados de transición, que son abandonados de nuevo de forma controladorada en el tiempo o bien controladorada por ciclo. Los estados 120a y 120b deben representar los ciclos del pulso de reloj del bus. El diagrama de estado representado no contiene detalles de realización y solamente debe explicarse el comportamiento de principio. Los eventos posibles, que pueden provocar un cambio de estado, se pueden deducir a partir de la lista de signos de referencia.
En el supuesto de que la máquina de estado sirva para la supervisión de un conmutador de emergencia de dos canales para la solicitud de la función de parada de emergencia y en el supuesto de que el proceso de aplicación se encuentre en su funcionamiento habitual, es decir, que el conmutador de emergencia no está activado, ambos conmutadores (figura 2) están, por lo tanto, cerrados (S1 = S2 = 1). En las entradas, la máquina de estado ver las señales de pulsos de reloj E1 = T1 y E2 = T2, es decir, por ejemplo, en el ciclo de pulsos de reloj 120aa se aplica E1 = 1 / E2 = 0 t en el ciclo de pulsos de reloj 120b se aplica E1 = 0 / E2 = 1, cuando se parte de señales de pulsos de reloj alternas. La máquina de estado se encuentra entonces en el estado 120 y anuncia al controlador 11/12 = 1 y F = 1 (ningún error, función de seguridad no solicitada). Sin modificación (101), la máquina de estado permanece en el estado 120. Si la unidad de supervisión reconoce (por ejemplo, a través de la unidad de auto prueba 34) un error interno, se desvía a través del cambio de estado 102 al estado de error 140.
Si la máquina de estado reconoce una modificación en E1 o E2 frente a la previsión en función del ciclo, se desvía a través del cambio de estado 103 al estado 130. Independientemente de su este estado se ha realizado en virtud de un conmutador regular de S1 y/o S2 o en virtud de un error, la máquina de estado puede señalizar directamente al controlador la solicitud de la función de seguridad: I1 = I2 = 0. En el estado 130 se lleva a cabo ahora el análisis de errores, eventualmente sobre varios ciclos de pulsos de reloj. Lo más tarde con la expiración del tiempo de discrepancia definido con parámetros debe haberse ajustado el estado de entrada E1 = E2 = 0, de lo contrario la máquina de estado cambia a través de la trayectoria 104 al estado de error 140.
Si se ha ajustado correctamente el estado de entrada E1 = E2 = 0, la máquina de estado cambia a través de la trayectoria 105 al estado 150 (función de seguridad solicitada). Si la unidad de supervisión reconoce (por ejemplo, a través de la unidad de auto prueba 34) entre tanto un error interno, entonces se desvía a través del cambio de estado 106 al estado de error 140.
Si no se modifican en el estado 150 las informaciones de entrada (108), la máquina de estado permanece en el estado 150. Si se modifica en el estado 150 el estado de entrada, la máquina de estado cambia al estado de análisis de errores 160 por medio del cambio de estado 109, en el que después de la expiración del tiempo de discrepancia sobre al menos dos ciclos de pulsos de reloj, debe establecerse la ausencia de errores del circuito de entrada, es decir, que las señales de entrada E1/E2 siguen de nuevo a las señales de pulsos de reloj T1/T2. Si éste no es el caso, entonces la máquina de estado se desvía a través de la trayectoria 110 al estado de error 140. Si se establece la ausencia de errores, entonces la máquina de estado puede cambiar a través de la trayectoria 111 al estado 120, en el que se señaliza al controlador 22 a través de I1 = I2 = 0 la selección de la función de seguridad.
En el estado de error 140 se señaliza al controlador a través de I1 = 0 / I2 = 0 la solicitud de la función de seguridad y adicionalmente a través de F = 0 se anuncia un error. El estado de error solamente se puede abandonar cuando el mensaje de error es reconocido por el controlador, entonces el dispositivo automático se desvía por medio de un cambio de estado 107 siempre al estado 150, para realizar el análisis amplio de errores antes de una eventual selección de la función de seguridad.
De la misma manera o de una manera similar se pueden dominar los otros dos tipos de circuitos posibles "cerrador monovalente" (figura 4) y combinación de cerrador-abridor (antivalente). (figura 5). Los ejemplos de aplicación a este respecto son los pulsadores de sincronización y la supervisión de puertas de protección. En todos los casos, el estado seguro en caso de error de conformidad con la dominación del fallo de la tensión es el mismo. En el cerrador monovalente, corresponde al estado abierto de al menos uno de los dos conmutadores y en el caso de antivalencia corresponde al estado abierto al menos del conmutador S1.
En la figura 6, el foco debe estar sobre el circuito de salida de un módulo de conexión de aparatos de campo 11. En el módulo de E/S de seguridad 23 de acuerdo con la invención se emplean, como se conoce, solamente módulos de E/S estándar. Esta previsión solamente se puede asegurar -como ya se conoce- a través de redundancia, de manera que no sólo deben reproducirse los bits de entrada seguros, sino también los bits de salida seguros (guiados hacia la periferia) a través de un número duplicado de bits de salida.
Cada bit de salida seguro del lado primario, predeterminado por el controlador, es reproducido en el lado secundario a través de 2 salidas estándar 11, que son suministradas por dos módulos de salida A por medio de dos canales K1/2 separados. La pareja de canales de salida K1/2 A controladora las cargas 39, por ejemplo relés de seguridad guiados de manera forzada o enclavamientos de puertas de protección, etc. El criterio de seguridad es la desconexión segura de las salidas o bien de las cargas 39.
Aquí están previstas, en general, dos trayectorias de desconexión. Por una parte, la desconexión a través del protocolo del bus seguro a través del bus 15 o bien 12 y la desconexión a través del controlador de la alimentación de la salida a través de los medios de controlador 14. La supervisión de los estados de la periferia P conectada en las salidas se realiza a través de la consulta de los estados del conmutador S3/4 (externos) activados adicionalmente por la periferia P, por medio del módulo de entrada estándar 11 Diag. Éste está conectado en el mismo bus 12 que los otros módulos de E/S 11. Las salidas se pueden supervisar en uno o dos canales, según el tipo de conmutador externos dirigido a la seguridad. En este ejemplo se lleva a cabo una supervisión de un canal.
La figura 7 muestra dos ejemplos para las configuraciones del sistema de un módulo de E/S seguro de acuerdo con la invención utilizando una unidad de supervisión 10, módulos de entrada E K1/2 de varios canales, módulos de salida A K1/2 de varios canales, módulos de diagnosis D1/2, módulos de alimentación P, y módulos de desacoplamiento S para la alimentación de las señales de pulsos de reloj y de las señales de diagnosis para los grupos de conmutación de entrada. K1/2 son los canales, que están comprendidos por las trayectorias de entrada y salida. En principio, un módulo de E/S 23 de acuerdo con la invención puede comprender un número determinado de módulos de E/S estándar.
La rotulación debe interpretarse de la siguiente manera: UL representa la tensión de alimentación para la lógica interna (ver la figura 1aa, b) del medio de supervisión 10. US es la tensión de alimentación para la lógica del lado secundario del bus 12 así como las señales de diagnosis T1/T2, UM, UM1, UM2 son las tensiones de alimentación para la alimentación de las cargas 39 conectadas en las salidas. T1, T2 son las señales de pulsos de reloj para el controlador de la alimentación de los sensores. UF, UF1, UF2 son la alimentación de la carga desconectable de las salidas. Diag 1 y Diag 2 identifican módulos de entrada E para la supervisión de salidas A. En la imagen inferior se muestra la realización de una segunda trayectoria de desconexión (UF1, UF2) en el caso de solicitud de la función de seguridad, en la imagen superior, en cambio, se muestra solamente una única trayectoria de desconexión UF. Las salidas A dispuestas detrás de un módulo de conmutación de la alimentación se pueden desconectar en común. Es posible formar grupos de desconexión, de manera que en último término se puede realizar una desconexión propia para cada salida A.

Claims (19)

1. Módulo de entrada/salida seguro con módulos de conexión de aparatos de campo (11) y con interfaces de controlador (12, 13, 14, 15) para un controlador, en el que está comprendido un medio para la supervisión (10) de módulos de conexión de aparatos de campo (11) e interfaces de controlador (12, 13, 14, 15), en el que los módulos de conexión de aparatos de campo están conectados por medio de una de las interfaces de controlador (12, 13, 14) en el medio de supervisión (10) y el medio de supervisión (10) se comunica con el controlador (22) por medio de otra interfaz de controlador (15), caracterizado porque los módulos de conexión de aparatos de campo (11) están realizados de forma redundante, porque para la realización de un único canal seguro de detección de datos se utilizan dos canales estándar, en el que los módulos de conexión de aparatos de campo (11) son módulos de E/S estándar y para la realización de una entrada y salida seguras, respectivamente, éstas están realizadas por medio de al menos dos entradas estándar y dos salidas estándar de un módulo de E/S estándar (11).
2. Módulo de entrada/salida seguro de acuerdo con la reivindicación 1, caracterizado porque al menos otro módulo de conexión de aparatos de campo (11) sirve para fines de diagnóstico.
3. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones 1 a 2, caracterizado porque las interfaces de controlador (12, 13, 14, 15) comprenden una salida de diagnosis y/o un suministro de energía.
4. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones 1 a 3, caracterizado porque el medio de supervisión (10) comprende medios para la generación de pulsos de reloj (30), para el análisis de las señales (31), para el análisis lógico (32), para el controlador (33), para la supervisión de la salida (35), para garantizar una desconexión segura (35), para auto pruebas (34), para la comunicación (37) y para la memorización de datos (38) y está constituido de una manera preferida redundante.
5. Módulo de entrada/salida seguro de acuerdo con la reivindicación 1, caracterizado porque para cada módulo de E/S estándar (11) está presente un segundo módulo de E/S estándar (11).
6. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones 1 a 5, para la realización de una entrada y salida seguras, respectivamente, caracterizado porque está prevista otra entrada estándar (11) para fines de diagnóstico.
7. Módulo de entrada/salida seguro de acuerdo con la reivindicación 1, caracterizado porque están previstas varias entradas y/o salidas seguras.
8. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones anteriores, caracterizado porque el medio de supervisión (10) tiene, con relación al módulo de conexión de aparatos de campo (11), la función de un maestro y con relación al controlador (22) tiene la función de un subordinado.
9. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones anteriores, caracterizado porque los aparatos de campo son actuadores y/o sensores.
10. Módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones anteriores, caracterizado porque se utiliza un bus de campo (12, 15) para la comunicación de datos.
11. Procedimiento para la detección segura de estados de procesos de aplicación generados por medio de un controlador a través de un módulo de entrada/salida seguro de acuerdo con al menos una de las reivindicaciones anteriores, caracterizado porque el módulo de entrada/salida seguro comprende usuarios principales (10) y usuarios secundarios (11), en el que estos usuarios procesan estados teóricos y estados reales y detectan estados reales y en el caso de diferentes estados teóricos y reales, realizan un estado seguro.
12. Procedimiento de acuerdo con la reivindicación 11, caracterizado porque un usuario secundario (11) detecta el estado real de otro usuario secundario (11).
13. Procedimiento de acuerdo con una de las reivindicaciones 11 a 12, caracterizado porque la comunicación entre el usuario principal (10) y el controlador (22) se realiza por medio de un telegrama de datos seguro, en el que se trata de un telegrama de acuerdo con la Norma SERCOS®
14. Procedimiento de acuerdo con una de las reivindicaciones 11 a 13, caracterizado porque el usuario principal (10) detecta el estado real de un usuario secundario (11) por medio de una señal de controlador (13).
15. Procedimiento de acuerdo con la reivindicación 14, caracterizado porque la señal de controlador (13) comprende un nivel constante o un nivel alterno.
16. Controlador, caracterizado porque éste comprende un módulo de entrada/salida seguro de acuerdo con una de las reivindicaciones 1 a 11, en el que el dispositivo está dispuesto de forma centralizada y/o descentralizada con respecto al controlador (22).
17. Controlador de acuerdo con la reivindicación 16, caracterizado porque éste comprende adicionalmente también módulos de entrada/salida estándar centrales y/o descentralizados no seguros.
18. Controlador de acuerdo con las reivindicaciones 16 a 17, caracterizado porque éste comprende adicionalmente accionamientos eléctricos.
19. Controlador de acuerdo con una de las reivindicaciones 16 a 18, caracterizado porque se trata de un controlador de seguridad.
ES05026804T 2004-12-18 2005-12-08 Modulos de entrada/salida seguros para un controlador. Active ES2309643T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004061013A DE102004061013A1 (de) 2004-12-18 2004-12-18 Sichere Eingabe-/Ausgabe-Baugruppe für eine Steuerung
DE102004061013 2004-12-18

Publications (1)

Publication Number Publication Date
ES2309643T3 true ES2309643T3 (es) 2008-12-16

Family

ID=35788650

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05026804T Active ES2309643T3 (es) 2004-12-18 2005-12-08 Modulos de entrada/salida seguros para un controlador.

Country Status (4)

Country Link
EP (1) EP1672446B1 (es)
AT (1) ATE400012T1 (es)
DE (2) DE102004061013A1 (es)
ES (1) ES2309643T3 (es)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006023823A1 (de) * 2006-05-20 2007-11-22 Robert Bosch Gmbh Vorrichtung und Verfahren zur Vermeidung von Achskollisionen
DE102007063291A1 (de) * 2007-12-27 2009-07-02 Robert Bosch Gmbh Sicherheitssteuerung
DE102008029948B4 (de) 2008-06-26 2018-08-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
ATE538422T1 (de) 2008-09-08 2012-01-15 Siemens Ag Automatisierungssystem, gerät zur verwendung in einem automatisierungssystem und verfahren zum betreiben eines automatisierungssystems
DE102009054155A1 (de) 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
CN113075919B (zh) * 2021-03-30 2022-09-27 上海地铁电子科技有限公司 地铁列车牵引控制器模拟/二进制接口板检测系统及方法
DE102021132828A1 (de) 2021-12-13 2023-06-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5313386A (en) * 1992-06-11 1994-05-17 Allen-Bradley Company, Inc. Programmable controller with backup capability
US5777874A (en) * 1996-02-12 1998-07-07 Allen-Bradley Company, Inc. Programmable controller backup system

Also Published As

Publication number Publication date
ATE400012T1 (de) 2008-07-15
EP1672446B1 (de) 2008-07-02
EP1672446A3 (de) 2006-07-12
EP1672446A2 (de) 2006-06-21
DE502005004568D1 (de) 2008-08-14
DE102004061013A1 (de) 2006-07-06

Similar Documents

Publication Publication Date Title
ES2309643T3 (es) Modulos de entrada/salida seguros para un controlador.
JP4317341B2 (ja) 安全関連オートメーション・バス・システム
RU2665890C2 (ru) Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами
JP4480311B2 (ja) プロセス制御システム
US8509927B2 (en) Control system for controlling safety-critical processes
JP4504165B2 (ja) 制御システム
EP2634129B1 (en) Elevator system
CN105103061B (zh) 控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法
ES2321634T3 (es) Sistema de automatizacion redundante que comprende un aparato de automatizacion maestro y otro de reserva.
US9830244B2 (en) Safety system with test signal path through bus line and termination element
US7844865B2 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
US8306680B2 (en) Arrangement and method for controlling an automated system, in particular a railway system
JP2007312573A (ja) ビルディングブロック型のセーフティ・コントローラにおけるioユニット
US9519283B2 (en) Method and apparatus for transmitting data in an automated control system
US11487265B2 (en) Systems and methods for simultaneous control of safety-critical and non-safety-critical processes in automation systems using master-minion functionality
JP4691490B2 (ja) 安全重視プロセスを制御する方法と装置
CN105759781A (zh) 机器人的布线方法
US10126727B2 (en) Method and system for safely switching off an electrical load
US6871240B2 (en) Method of configuring a safe station and safe control system using the same
ES2259823T3 (es) Entrada y salida de procesos a prueba de errores.
US8090474B2 (en) Apparatus for controlling at least one machine
ES2363650T3 (es) Control de seguridad.
US10749335B2 (en) Method of operation a differential protection scheme
US9241043B2 (en) Method of connecting a hardware module to a fieldbus
ES2593831T3 (es) Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo