ES2593831T3 - Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo - Google Patents

Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo Download PDF

Info

Publication number
ES2593831T3
ES2593831T3 ES14154711.7T ES14154711T ES2593831T3 ES 2593831 T3 ES2593831 T3 ES 2593831T3 ES 14154711 T ES14154711 T ES 14154711T ES 2593831 T3 ES2593831 T3 ES 2593831T3
Authority
ES
Spain
Prior art keywords
data
control
equipment
signal
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14154711.7T
Other languages
English (en)
Inventor
Karsten Meyer-Gräfe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Application granted granted Critical
Publication of ES2593831T3 publication Critical patent/ES2593831T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/4026Bus for use in automation systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Sistema de control y transmisión de datos (310) para transmitir datos relativos a la seguridad a través de un medio de comunicación (330), que presenta: - varias unidades de señales seguras (340, 360, 380), cada una de las cuales está conectada mediante al menos una salida (341, 346; 361, 366; 381, 386) y/o al menos una entrada (345; 365; 385) con un proceso crítico para la seguridad (432, 434; 436), - un medio de comunicación (330), al que están conectadas las unidades de señales seguras (340, 360, 380) y - un equipo central (320; 420), que está conectado al medio de comunicación (330), presentando las unidades de señales seguras (340, 360, 380) respectivos equipos de seguridad (343; 363; 383) y estando configurada cada una para proporcionar datos relativos a la seguridad y transmitir estos datos en un primer subcampo (442; 4531) del correspondiente telegrama o trama sumatoria a través del medio de comunicación (330), caracterizado porque cada unidad de señales segura (340, 360, 380) está configurada para proporcionar una señal definida, que indica que el sistema de control y transmisión de datos (310) no tiene fallos o indica que no se ha activado ninguna función de seguridad y para escribir la señal definida en un segundo subcampo (443; 4532) del correspondiente telegrama o trama sumatoria y para transmitir tanto la señal definida como también los datos relativos a la seguridad al equipo central (320; 420), porque el equipo central (320; 420) está configurado para leer y evaluar sólo el segundo subcampo del correspondiente telegrama o trama sumatoria y en función de la señal definida evaluada, generar una orden de control central y transmitir la orden de control central junto con los datos relativos a la seguridad a al menos una unidad de señales segura predeterminada de las varias unidades de señales seguras (340, 360, 380) y porque la unidad de señales segura (340, 360, 380), de las que al menos hay una, está configurada para evaluar los datos relativos a la seguridad y la orden de control central, para controlar al menos una parte del proceso crítico para la seguridad (432, 434, 436).

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
SISTEMA DE CONTROL Y TRANSMISION DE DATOS PARA TRANSMITIR DATOS RELATIVOS A LA
SEGURIDAD A TRAVES DE UN BUS DE CAMPO
DESCRIPCION
La presente invencion se refiere a un sistema de control y transmision de datos para transmitir datos relativos a la seguridad a traves de un medio de comunicacion.
En la tecnica de la automatizacion es necesario a menudo implementar funciones de seguridad o procesos cnticos para la seguridad para proteger a la persona, la maquina o el entorno, con los cuales por ejemplo puede desconectarse una maquina tras abrir una puerta de proteccion o accionar un interruptor de desconexion en emergencia, o puede llevarse a un estado seguro.
Para ello se sustituyen cada vez mas conceptos de seguridad convencionales por funciones de seguridad alojadas en sistemas de automatizacion a prueba de fallos. Estos sistemas incluyen abonados conectados a prueba de fallos de forma descentralizada a la red de un sistema de bus de automatizacion, es decir, a un sistema de bus de campo, pudiendo estar realizadas en los abonados por lo general tanto las funciones de seguridad propiamente dichas como tambien las medidas que detectan las faltas y que dominan las faltas.
En instalaciones automatizadas actuales se utilizan en funcion del grado de automatizacion y de la extension de las instalaciones sistemas de comunicacion que conectan los aparatos de entrada/salida (aparatos E/S) descentralizados y sistemas de control. Los aparatos de E/S y los sistemas de control pueden ser tanto abonados estandar como tambien abonados con funciones de seguridad. Para el transporte de datos relativos a la seguridad a traves de sistemas de comunicacion comunes se conoce el apoyo de la red mediante protocolos de red seguros. El control de funciones estandar y de funciones de seguridad puede realizarse a traves de una red comun tanto mediante una estructura central con un sistema de control estandar y de seguridad como tambien mediante sistemas logicos de control y seguridad descentralizados, que se encuentran distribuidos en la red de un sistema de comunicacion o bien de bus de campo y que controlan procesos cnticos para la seguridad con independencia entre sn
Por el documento EP 1 887 444 A1 se conoce un sistema para el control de procesos en el que al menos un equipo de proceso a controlar se controla mediante al menos un modulo de proceso y al menos un modulo de seguridad, combinando logicamente entre sf senales de proceso no relevantes para la seguridad del modulo de procesos y senales de seguridad relativas a la seguridad del proceso del modulo de seguridad. Para poder realizar una funcion de desconexion rapida, se conduce una senal de seguridad local de un sensor de seguridad local, puenteando esta combinacion logica, a traves de un circuito de conexion rapida a una salida de control de una unidad de control local asociada al equipo de proceso.
Por el documento DE 198 01 137 A1 se conoce un sistema de automatizacion que presenta una unidad de entrada a prueba de fallos y una unidad de salida a prueba de fallos. La unidad de entrada a prueba de fallos transmite en instantes predeterminados un telegrama a la unidad de salida a prueba de fallos, evaluando la unidad de salida a prueba de fallos la recepcion continua del telegrama como indicio de una relacion de comunicacion intacta y trasladando caso contrario una periferia que este conectada a un estado seguro.
Por el documento EP 2 202 599 A2 se conoce un sistema de control industrial para una instalacion industrial automatizada, en el que el sistema de control industrial puede asumir un primer y un segundo modo de servicio, alimentandose con energfa en el primer modo de servicio y en el segundo modo de servicio distintos grupos de componentes del sistema de control industrial.
Un sistema de control para controlar procesos cnticos para la seguridad con al menos un equipo de control seguro descentralizado, desplazado de un sistema de control estandar, se conoce por ejemplo por el documento EP 1 188 096 B1. En el sistema de control conocido es competente el equipo de control seguro dispuesto descentralizado exclusivamente para el control del proceso cntico para la seguridad que tiene asignado. Esto significa que el mismo controla el proceso cntico para la seguridad independientemente de otros sistemas de control, en particular independientemente de un equipo de control estandar.
Este sistema de control conocido tiene el inconveniente de que islas de seguridad descentralizadas, que son procesos cnticos para la seguridad descentralizados, no pueden controlarse de manera sencilla y rapida, tal como demandan algunas aplicaciones.
Ademas ha llegado al mercado en los ultimos anos un sistema de control bajo la denominacion “Safety- Bridge” (puente de seguridad), que hace posible descentralizar el tratamiento de procesos relevantes para la seguridad, sin que para ello sea necesario un sistema de control de seguridad explfcito. Un modulo de entrada de seguridad genera entonces una senal relevante para la seguridad, en la que se transmite a un sistema de control central un dato de seguridad, por ejemplo una informacion del estado de sensores seguros. El sistema de control central copia solamente los datos recibidos relativos a la seguridad en un modulo de salida seguro predeterminado. El modulo de salida desempaqueta los datos relativos a la seguridad y realiza la evaluacion relevante para la seguridad de los datos. Ademas puede enviar el modulo de salida seguro por su parte datos a traves del sistema de
5
10
15
20
25
30
35
40
45
50
55
60
65
control central a otros abonados descentralizados, con lo que es posible una realizacion en cascada de procesos de seguridad. Ademas de los puros datos de proceso, puede transmitir el sistema de control conocido tambien datos redundantes, que sirven para asegurar la transmision de los datos relativos a la seguridad.
La invencion tiene como objetivo basico lograr un sistema de control y transmision de datos que sea capaz de controlar procesos o subprocesos cnticos para la seguridad con mas sencillez y rapidez. Otro objetivo adicional de la invencion ha de considerarse que es poder desconectar con rapidez procesos cnticos para la seguridad individualmente o varios procesos cnticos para la seguridad en forma de grupos en un unico ciclo de comunicacion y mediante una unica orden.
Una idea central de la invencion puede considerarse que es la activacion de un modo de desconexion rapida con ayuda de un equipo central, como por ejemplo un equipo central de control, para poder desconectar una o varias islas de seguridad, es decir, procesos o subprocesos descentralizados cnticos para la seguridad.
El objetivo tecnico antes citado puede lograrse mediante las caractensticas de la reivindicacion 1.
La invencion se describira a continuacion mas en detalle en base a varios ejemplos de ejecucion en relacion con los dibujos adjuntos. Se muestra en:
figura 1 un sistema de automatizacion a modo de ejemplo,
figura 2 una trama sumatoria a modo de ejemplo,
figura 3 un sistema de automatizacion a modo de ejemplo, en el que se ha llevado a cabo la invencion y
figura 4a un telegrama de datos segun la invencion y
figura 4b una trama sumatoria segun la invencion, a modo de ejemplo.
La figura 1 muestra un sistema de automatizacion a modo de ejemplo en forma de un sistema de control y transmision de datos 10, configurado entre otros para controlar procesos cnticos para la seguridad y para controlar procesos no cnticos para la seguridad. Al respecto se trata de una forma de ejecucion que sirve de ayuda para comprender la invencion. El sistema de automatizacion 10 se describira a modo de ejemplo en base al sistema Interbus, pudiendo utilizarse tambien otros sistemas de bus de campo. El Interbus se conoce desde hace desde hace mucho tiempo y se describe extensamente por ejemplo en el libro especializado A. Baginski y colab. Fundamentos y practica del INTERBUS, 2a edicion revisada, Editorial Huthig Heidelberg, 1998.
Tal como se muestra en la figura 1, esta conectado un equipo de control de orden superior 20 por ejemplo juntamente con un primer equipo de control seguro 40, una unidad de senales segura 50, un segundo equipo de control seguro 80, otra unidad de senales segura 90 y un abonado de bus no seguro 120 a un bus de campo basado en Interbus 30. El equipo de control seguro 40 puede estar configurado para vigilar y controlar mediante la unidad de senales 50 un proceso cntico para la seguridad 70. El equipo de control seguro 80 puede estar configurado para vigilar y controlar mediante la unidad de senales 90 un proceso cntico para la seguridad 110. Tambien puede pensarse en conectar al bus de campo 30 mas de dos equipos de control seguros, cada uno de los cuales puede estar conectado con varias unidades de senales, para controlar de manera descentralizada procesos cnticos para la seguridad.
El equipo de control de orden superior 20 puede presentar un master de bus 22 estandarizado tradicional, que en el presente ejemplo de ejecucion esta configurado como master de bus Interbus y que controla de manera conocida la comunicacion sobre el bus de campo 30. El equipo de control de orden superior 20 esta configurado ademas para controlar un proceso no seguro 140 de manera centralizada a traves del abonado de bus no seguro 120. El abonado del bus no seguro 120 es con preferencia un aparato E/S, que pueden comunicar mediante canales de E/S 130 y 132 con el proceso no cntico para la seguridad 140. En la practica puede estar conectado el aparato de E/S a traves del canal 132 con un actuador (no representado) y a traves del canal 130 con un sensor (no representado). El sensor aporta datos sobre el estado del proceso no cntico para la seguridad 140 a traves del aparato de E/S 120 al equipo de control de orden superior 20, mientras que el aparato de E/S 120 conduce al actuador los datos de control provenientes del equipo de control de orden superior 20.
Ademas presenta el equipo de control de orden superior 20 un equipo relativo a la seguridad 24, que puede recibir, evaluar y caso necesario modificar selectivamente datos especiales relativos a la seguridad, con preferencia informaciones de desconexion rapida, de los equipos de control seguros 40 y 80 y/o de las unidades de senal 50 y 90. La forma de funcionamiento exacta del equipo orientado a la seguridad 24 se describira extensamente mas tarde.
El primer equipo de control seguro 40 esta conectado mediante una interfaz de bus 42 al bus de campo 30. La interfaz de bus 42 puede ser una interfaz de bus tradicional basada en Interbus. Ademas presenta el primer equipo de control 40 un equipo relativo a la seguridad 44, configurado para garantizar con un equipo relativo a la seguridad 54 de la unidad de senales 50, de manera de por sf conocida, una comunicacion a prueba de fallos. La unidad de senales 50 presenta a su vez una interfaz de bus 52, a traves de la cual puede comunicar la unidad de senales 50 con el primer equipo de control 40, el equipo de control de orden superior 20 y los demas abonados de bus.
5
10
15
20
25
30
35
40
45
50
55
60
65
El primer equipo de control 40 puede estar configurado para proporcionar a traves del bus de campo 30 primeros datos relativos a la seguridad para la unidad de senales 50, para controlar el proceso crftico para la seguridad 70. El equipo de control seguro 40 es con preferencia capaz ademas de proporcionar segundos datos relativos a la seguridad, que son datos especiales relativos a la seguridad y transmitirlos al equipo de control de orden superior 20, para posibilitar un control centralizado, en particular una desconexion rapida del proceso crftico para la seguridad 70.
El proceso crftico para la seguridad 70 esta conectado mediante canales de E/S 60 y 62 con una entrada segura y una salida segura a la unidad de senal 50. En la practica puede estar conectada la unidad de senales 50 a traves del canal 62 con un actuador (no representado) y a traves del canal 60 con un sensor (no representado). El sensor aporta datos sobre el estado del proceso crftico para la seguridad 70 a traves de la unidad de senales 50 al equipo de control de orden superior 20 y/o al primer equipo de control seguro 40, mientras que la unidad de senales 50 puede aportar al actuador los datos especiales relativos a la seguridad procedentes del equipo de control de orden superior 20 y/o los datos relativos a la seguridad proporcionados por el primer equipo de control 40.
La unidad de senales 50 puede presentar tambien varias entradas y salidas seguras, que estan conectadas mediante canales de E/S con el proceso crftico para la seguridad 70.
Senalemos aqrn que el primer equipo de control 40, la unidad de senales 50 y el proceso crftico para la seguridad 70 pueden denominarse tambien isla de seguridad.
El segundo equipo de control seguro 80 esta conectado a traves de una interfaz de bus 82 al bus de campo 30. La interfaz de bus 82 puede ser una interfaz de bus tradicional basada en Interbus. Ademas presenta el segundo equipo de control 80 un equipo relativo a la seguridad 84, configurado para garantizar con un equipo relativo a la seguridad 94 de la unidad de senales 90, de manera de por sf conocida, una comunicacion a prueba de fallos. La unidad de senales 90 presenta a su vez una interfaz de bus 92, a traves de la cual puede comunicar la unidad de senales 90 con el segundo equipo de control 80, el equipo de control de orden superior 20 y los demas abonados de bus.
El segundo equipo de control 80 puede estar configurado para proporcionar a traves del bus de campo 30 primeros datos relativos a la seguridad para la unidad de senales 90, para controlar el proceso crftico para la seguridad 110. El equipo de control seguro 80 es ademas con preferencia capaz de proporcionar segundos datos relativos a la seguridad, que son datos especiales relativos a la seguridad y transmitirlos al equipo de control de orden superior 20, para hacer posible un control centralizado, en particular una desconexion rapida del proceso crftico para la seguridad 110.
El proceso crftico para la seguridad 110 esta conectado mediante canales de E/S 100 y 102 con una entrada segura y una salida segura de la unidad de senales 90. En la practica puede estar conectada la unidad de senales 90 a traves del canal 102 con un actuador (no representado) y a traves del canal 100 con un sensor (no representado). El sensor aporta datos de estado del proceso crftico para la seguridad 110 a traves de la unidad de senales 90 al equipo de control de orden superior 20 y/o al primer equipo de control seguro 80, mientras que la unidad de senales 90 puede aportar al actuador los datos especiales relativos a la seguridad procedentes del equipo de control de orden superior 20 y/o los datos relativos a la seguridad proporcionados por el segundo equipo de control 80.
La unidad de senales 90 puede presentar tambien varias entradas y salidas seguras, que estan conectadas mediante canales de E/S con el proceso crftico para la seguridad 110.
Senalemos aqrn que el segundo equipo de control 80, la unidad de senales 90 y el proceso crftico para la seguridad 110 pueden denominarse tambien isla de seguridad.
Para asegurar que los segundos datos relativos a la seguridad tambien llegan realmente del equipo de control de orden superior 20 y se han retransmitido correctamente, puede estar configurado el equipo de control de orden superior 20, es decir, con preferencia el equipo relativo a la seguridad 24, para generar datos dinamicos y transmitir los mismos a los equipos de control seguros 40 y 80 y/o directamente a las unidades de senal 50 y 90. Los equipos de control seguros 40 y 80 y/o las unidades de senales 50 y 90 estan configurados/as entonces correspondientemente para detectar si los datos dinamicos se han generado segun definicion. Caso negativo, provocan las unidades de senales 50 y 90 que el proceso crftico para la seguridad 70 y/o el proceso crftico para la seguridad 110 se traslade/n a un estado seguro. Tambien puede pensarse en que las unidades de senal 50 y 90 o los equipos de control seguros 40 y 80 generen datos dinamicos, transmitan los mismos al equipo de control de orden superior 20 y a continuacion evaluen los datos dinamicos modificados por el equipo de control de orden superior 20 y reaccionando a los datos dinamicos modificados, activen etapas definidas.
A continuacion se describira mas en detalle el funcionamiento del sistema de control 10 mostrado en la figura 1 en relacion con la figura 2.
Al ser el bus de campo 30 puesto como ejemplo, tal como se ha mencionado al principio, el Interbus con forma anular, estan configurados el master de bus 22 y las interfaces de bus 42, 52, 82, 92 y 122 para hacer posible
5
10
15
20
25
30
35
40
45
50
55
60
65
una transmision bidireccional de datos de entrada y salida de todos los abonados mediante las llamadas tramas sumatorias. Una trama sumatoria 150 a modo de ejemplo con una ampliacion correspondiente a la invencion se representa en la figura 2.
Segun el protocolo de comunicacion de Interbus, comienza cada trama sumatoria colocada por el master de bus 22 en el bus de campo 30 con un campo de datos 210, en el que esta inscrita una loopbackword (palabra de retorno al bucle) LBW. A la loopbackword le siguen otros campos de datos 200 a 160, que estan asociados inequvocamente a los abonados del bus conectados al bus de campo 30, en funcion de su correspondiente posicion ffsica en el bus de campo 30. En el sistema de automatizacion 10 mostrado esta asociado el campo de datos 200 al abonado de bus 120, el campo de datos 190 a la unidad de senales 90, el campo de datos 180 al equipo de control seguro 80, el campo de datos 170 a la unidad de senales 50 y el campo de datos 160 al equipo de control seguro 40.
En una forma de ejecucion preferente estan divididos los campos de datos 170 y 190 respectivamente asociados a las unidades de senales 50 y 90, cada uno en tres subcampos. Solamente se representa detalladamente en la figura 2 el campo de datos 170, dividido en tres subcampos 171, 172 y 173. El equipo orientado a la seguridad 44 del equipo de control seguro 40 puede escribir en el subcampo 171 primeros datos relativos a la seguridad y en el subcampo 172 segundos datos relativos a la seguridad, que estan destinados al equipo de control de orden superior 20. En el subcampo 173 puede escribir el equipo orientado a la seguridad 44 del equipo de control 40 o el equipo orientado a la seguridad 54 de la unidad de senales 50 datos dinamicos, que pueden transmitirse para su evaluacion y procesamiento igualmente al equipo de control de orden superior 20.
De manera similar puede escribir el equipo orientado a la seguridad 84 del segundo equipo de control 80 en un primer subcampo del campo de datos 190 primeros datos relativos a la seguridad y en un segundo subcampo del campo de datos 190 segundos datos relativos a la seguridad, destinados al equipo de control de orden superior 20. En un tercer subcampo del campo de datos 190 puede escribir el equipo orientado a la seguridad 84 del equipo de control 80 o el equipo orientado a la seguridad 94 de la unidad de senales 90 datos dinamicos, que pueden transmitirse para su evaluacion y procesamiento igualmente al equipo de control de orden superior 20.
Los datos especiales relativos a la seguridad que pueden transmitirse en los segundos subcampos de los campos de datos 170 y 190 contienen con preferencia un unico bit de informacion, que segun una implementacion ventajosa puede ser colocado en cero por el equipo de control seguro 40 u 80 respectivamente o la unidad de senales 50 o 90 respectivamente.
Supongamos ahora que el sistema de automatizacion 20 funciona correctamente y que no se ha presentado ningun fallo.
En consecuencia no tienen que activar los equipos de control seguros 40 y 80 ninguna funcion de seguridad mediante las unidades de senales 50 y 90 respectivamente. El equipo relativo a la seguridad 44 del primer equipo de control 40 escribe en este caso un cero en el subcampo 172 destinado a la unidad de senales 50 y como dato dinamico por ejemplo un numero predeterminado en el subcampo 173, mientras que el equipo relativo a la seguridad 84 del equipo de control seguro 80 escribe un cero en el segundo subcampo del campo de datos 190 destinado a la unidad de senales 90 e igualmente un numero predeterminado en el tercer subcampo del campo de datos 190.
De manera de por sf conocida pueden ademas recibir todos los abonados conectados al bus de campo 30 datos de salida de otros abonados y escribir datos de entrada en los campos de datos a ellos asociados y transmitirlos al equipo de control de orden superior 20 o a otros abonados conectados al bus de campo 30. El equipo de control de orden superior 20 o bien su equipo relativo a la seguridad 24 esta configurado para evaluar los segundos y terceros campos de datos de los campos de datos 170 y 190 selectivamente, es decir, en particular modificarlos de forma definida y transmitirlos con la siguiente trama sumatoria a las unidades de senales 50 y 90. En funcion de la implementacion sustituye el equipo relativo a la seguridad 24 del equipo de control de orden superior 20 por ejemplo el cero trasmitido en los segundos subcampos de los campos de datos 170 y 190 por un uno, mientras que el numero predeterminado trasmitido en los terceros subcampos de los campos de datos 170 y 190 se incrementa por ejemplo en el valor 1.
Los equipos relativos a la seguridad 54 y 94 de las correspondientes unidades de senales leen los segundos y terceros subcampos de los campos de datos 170 y 190 respectivamente, a ellos asociados, y detectan en base al numero modificado contenido en el tercer subcampo que los segundos datos relativos a la seguridad contenidos en el segundo subcampo proceden del equipo de control de orden superior 20 y han sido transmitidos correctamente. Como reaccion al uno contenido en el correspondiente segundo subcampo, detecta la unidad de senales 50 y 90 respectivamente que deben seguir corriendo los procesos cnticos para la seguridad 70 y 110.
Supongamos ahora que el sistema de automatizacion 10 o bien una persona de servicio ha comunicado al equipo de control de orden superior 20 que los procesos cnticos para la seguridad 70 y 110 deben desconectarse inmediatamente. En este caso se ocupa el equipo relativo a la seguridad 24 de que en los segundos subcampos de los campos de datos 170 y 190 de la siguiente trama sumatoria se escriban respectivos ceros y los datos dinamicos contenidos en el tercer subcampo se modifiquen de una forma predeterminada.
5
10
15
20
25
30
35
40
45
50
55
60
65
Los equipos relativos a la seguridad 54 y 94 de las unidades de senales 50 y 90 respectivamente, leen los segundos y terceros subcampos a ellos asignados de los campos de datos 170 y 190 respectivamente y detectan en base al numero modificado contenido en el tercer subcampo que los datos especiales relativos a la seguridad contenidos en el respectivo segundo subcampo proceden del equipo de control de orden superior 20 y se han transmitido correctamente. Como reaccion al cero contenido en el correspondiente segundo subcampo, detecta la unidad de senales 50 y 90 respectivamente que los procesos cnticos para la seguridad 70 y 110 deben desconectarse inmediatamente. Por ello se colocan a continuacion inmediatamente en cero las correspondientes salidas seguras de las unidades de senales 50 y 90 y se desconectan los procesos cnticos para la seguridad 70 y 110. De esta manera se vigilan centralmente los procesos descentralizados cnticos para la seguridad 70 y 110. Esto significa que el equipo de control de orden superior 20 siempre vigila los equipos de control seguros 40 y 80. Los equipos de control seguros 40 y 80 no pueden por lo tanto ya intervenir independientemente del equipo de control de orden superior 20 en los procesos cnticos para la seguridad.
Tambien puede pensarse en que el equipo relativo a la seguridad 24 del equipo de control de orden superior 20 genere datos dinamicos y los escriba en los correspondientes terceros subcampos de los campos de datos 170 y 190, destinados al primer equipo de control 40 y al segundo equipo de control 80.
Senalemos aqrn que el equipo de control de orden superior 20 puede estar constituido para modificar selectivamente en cada ciclo de comunicacion los segundos datos relativos a la seguridad transmitidos en los segundos subcampos de los campos de datos 170 y 190, para evitar que los procesos cnticos para la seguridad 70 y 110 tengan una desconexion rapida no deseada.
Tambien puede pensarse en que fuentes de informacion, que son por ejemplo los equipos de control seguros 40 y 80 y/o las unidades de senales 50 y 90, se trasladen a un estado de casi-seguridad, en el que los mismos dejan correr el proceso cntico para la seguridad 70 y el proceso cntico para la seguridad 110 respectivamente. Los procesos cnticos para la seguridad 70 y 110 envfan entonces por su parte al equipo de control seguro 40 y 80 respectivamente la informacion de que se ha solicitado una desconexion rapida. Los equipos de control seguros 40 y 80 o las correspondientes unidades de senales 50 y 90 deben entonces anular las informaciones asociadas a los mismos que contienen la informacion de desconexion rapida en el segundo subcampo del campo de datos 170 y 180 respectivamente. El estado de casi-seguridad puede mantenerse hasta que ha transcurrido un tiempo maximo de reaccion ajustado en los equipos de control 40 y 80 o en las unidades de senales 50 y 90. En este caso cambia el equipo de control 40 y 80 respectivamente del estado de casi-seguridad al estado de seguridad.
De esta manera es posible una desconexion rapida de componentes seguros individuales o grupos de componentes seguros sin que tenga que preverse una costosa programacion en los equipos de control descentralizados 40 y 80.
En lugar de informaciones de desconexion rapida, que se escriben en los segundos subcampos de los campos de datos 170 y 190 de cada trama sumatoria, podna colocar el equipo de control de orden superior 20 tambien dclicamente una informacion de broadcast (radiodifusion) que contiene la informacion de desconexion rapida. Los equipos de control seguros 40 y 80 y/o las unidades de senales 50 y 90 evaluan a continuacion estas informaciones.
Los equipos de control seguros 40 y 80 y/o las unidades de senales 50 y 90 pueden ademas estar configurados/as para confirmar una desconexion rapida activada en la siguiente trama sumatoria, lo cual puede originar un aumento adicional de la seguridad.
Un aspecto de la invencion puede considerarse que es que una fuente de informacion, por ejemplo una unidad de senales segura anada, junto a primeros datos relativos a la seguridad, tambien segundos datos relativos a la seguridad para la desconexion rapida de islas individuales relevantes para la seguridad. Los segundos datos relativos a la seguridad llegan a un control de orden superior, que evalua estos datos y los modifica selectivamente. Con preferencia incluyen los segundos datos relativos a la seguridad un bit de informacion, que de manera estandar es colocado por la unidad de senales en cero. En el equipo de control de orden superior se coloca el bit de informacion recibido en uno y a continuacion se transmite a una determinada salida segura, que tambien puede denominarse sumidero de informacion. El sumidero de informacion evalua de manera de por sf conocida los primeros datos relativos a la seguridad.
Adicionalmente comprueba el mismo las segundas informaciones relativas a la seguridad asociadas y coloca dado el caso todas o algunas de las distintas salidas seguras en cero, con lo que el correspondiente proceso cntico para la seguridad puede ser conducido mediante un sistema de control central a un estado seguro.
La figura 3 muestra como sistema de control y transmision de datos 310 un sistema de automatizacion a modo de ejemplo, configurado entre otros para controlar procesos cnticos para la seguridad 432, 434 y 436, dado el caso de al menos un proceso no cntico para la seguridad 438 y para transmitir datos relativos a la seguridad a traves de un medio de comunicacion 330. El sistema de control y transmision de datos 310 presenta varias unidades de senales seguras, habiendose representado en la figura 3 a modo de ejemplo tres unidades de senales seguras 340, 360, 380. Cada una de las unidades de senales seguras 340, 360, 380 esta conectada mediante al menos una
5
10
15
20
25
30
35
40
45
50
55
60
65
salida y/o al menos una entrada con un proceso cntico para la seguridad. El proceso cntico para la seguridad pueden ser tambien subprocesos cnticos para la seguridad o islas de seguridad, asociadas a respectivas unidades de senales seguras 340, 360, 380. Cada unidad de senales segura puede presentar por ejemplo una entrada y dos salidas, a traves de las cuales esta conectada la misma por ejemplo con un subproceso cntico para la seguridad.
Las unidades de senales seguras 340, 360 y 380 estan conectadas al medio de comunicacion 330. Ademas esta conectado al menos un equipo central 320 y/o 420 al medio de comunicacion 330. Las unidades de senales seguras 340, 360, 380 presentan respectivos equipos de seguridad 343, 363 y 383 y estan configuradas cada una para proporcionar datos relativos a la seguridad y transmitir esos datos a traves del medio de comunicacion 330. Cada unidad de senales segura 340, 360, 380 esta configurada para proporcionar una senal definida, previamente ajustada, con preferencia una palabra de un solo bit. La senal definida puede ser un cero logico. Para ello puede estar implementado en cada unidad de senales segura un equipo de control y evaluacion 342, 362 y 382. Tanto la senal definida como tambien los datos relativos a la seguridad se transmiten al equipo central 320 y/o 420. El equipo central 320 y/o 420 esta configurado para evaluar solo la senal definida y en funcion de la senal definida evaluada, generar una orden de control central y transmitir la orden de control central junto con los datos relativos a la seguridad a al menos una unidad de senales segura predeterminada de las varias unidades de senales seguras 340, 360, 380. La orden de control central es con preferencia igualmente una palabra de un solo bit. Al menos la unidad de senales segura predeterminada esta configurada para evaluar los datos relativos a la seguridad y la orden de control central, para controlar al menos una parte del proceso cntico para la seguridad.
La evaluacion de la orden de control central puede realizarse en el correspondiente equipo de control y evaluacion 342, 362 y/o 382, mientras que pueden evaluarse datos relativos a la seguridad en el correspondiente equipo de seguridad 343, 363 y/o 383, de manera de por sf conocida.
Gracias a la utilizacion de una senal definida, que con preferencia se transmite en cada ciclo de comunicacion al equipo central y allf se evalua y se modifica de una forma predeterminada, puede realizarse un control central y seguro, con lo que procesos descentralizados, cnticos para la seguridad, que segun el documento EP 1 188 096 B1 solo pueden controlarse independientemente y descentralizadamente uno de otro, pueden controlarse ahora tambien centralmente.
Las unidades de senales seguras pueden ser aparatos de entrada y/o salida, tambien conocidos como abonados de bus de E/S o I/O. Una tal unidad de senales segura es capaz por ejemplo de recibir datos de entrada de sensores de un proceso cntico para la seguridad, transformarlos en un equipo de seguridad, de una manera de por sf conocida, en datos relativos a la seguridad y retransmitir los datos relativos a la seguridad al equipo central, asf como transmitir senales de salida a actuadores que controlan el proceso cntico para la seguridad. No obstante, las unidades de senales seguras no tienen que estar constituidas iguales o similares. Asf pueden tener las mismas por ejemplo un numero diferente de entradas y salidas.
Senalemos que los datos relativos a la seguridad de una unidad de senales segura pueden utilizarse para controlar el proceso cntico para la seguridad independientemente del equipo central. El equipo central puede ser un equipo de control de orden superior en forma de un master de bus o de un modulo de conexion. El equipo central puede estar implementado tambien como equipo de vigilancia.
A continuacion se entenderan bajo datos relativos a la seguridad con preferencia datos que contienen tanto los datos de entrada por ejemplo de un sensor como tambien datos relevantes para la seguridad, como por ejemplo una suma de comprobacion, que permiten una transmision a prueba de fallos de los datos de entrada.
Como medio de comunicacion puede utilizarse un bus de campo, como por ejemplo el Interbus, bus CAN o Profibus o un sistema basado en Ethernet.
El Interbus es conocido desde hace mucho tiempo y se describe extensamente en el libro especializado A. Baginski y colab. Fundamentos y practica del INTERBUS, 2a edicion revisada, Editorial Huthig Heidelberg, 1998.
Tal como se muestra en la figura 3 a modo de ejemplo, estan conectados el equipo central 320 mediante una interfaz de comunicacion 322 y adicional o alternativamente un equipo central 420 a traves de una interfaz de comunicacion 422 al medio de comunicacion 330. El equipo central 320 puede ser un equipo de control de orden superior, mientras que el equipo central 420 puede ser un equipo de vigilancia.
Al medio de comunicacion 330 estan conectadas las unidades de senales seguras 340, 360 y 380, asf como por ejemplo una unidad de senales no segura 400. Las unidades de senales pueden denominarse abonados de bus. Solamente para simplificar la representacion se representan solo tres unidades de senales seguras y una unidad de senales no segura 400.
Las unidades de senales seguras 340, 360 y 380 estan asociadas por ejemplo a respectivos subprocesos cnticos para la seguridad 432, 434 y 436, mientras que la unidad de senales no segura 400 puede estar asociada a un subproceso no cntico para la seguridad 438. En el ejemplo de ejecucion mostrado en la figura 3 forman los subprocesos 432, 434, 436 y 438 un proceso completo 430. Tambien puede pensarse en que esten unidas cada unidad de senales segura y cada unidad de senales no segura con un proceso cntico para la seguridad y un proceso no cntico para la seguridad respectivamente, que no dependen uno de otro.
5
10
15
20
25
30
35
40
45
50
55
60
65
El equipo de control de orden superior 320 puede presentar un master de bus 324 estandarizado tradicional, que puede estar configurado como master de bus Interbus y que puede controlar la comunicacion sobre el medio de comunicacion 330 de manera de por sf conocida. El equipo de control de orden superior 320 esta configurado ademas para controlar centralmente el proceso no cntico para la seguridad 438 mediante la unidad de senales no segura 400.
La unidad de senales segura 340 presenta por ejemplo una salida o modulo de salida 344, que mediante un canal de salida 350 esta conectada/o con el proceso cntico para la seguridad 432. Por ejemplo esta conectado a la salida 344 un contactor (no mostrado), mediante el cual puede conectarse el proceso cntico para la seguridad 432, por ejemplo una maquina para un proceso de doblado, a una alimentacion de energfa (no mostrada). La salida 344 esta conectada con un equipo de control y evaluacion 342, que a su vez esta conectado con una interfaz de comunicacion 341. El equipo de control y evaluacion 342 puede estar configurado para generar una senal definida, previamente ajustada, con preferencia un cero logico y trasmitir esta senal al equipo central 320 o 420. El sentido y la finalidad de la senal definida se describiran mas abajo. Mediante la interfaz de comunicacion 341 esta conectada la unidad de senales segura 340 al medio de comunicacion 330, para poder comunicar con el equipo central 320, el equipo central 420 y/o las demas unidades de senales. La unidad de senales 340 presenta ademas un equipo de seguridad 343, que esta conectado con una entrada 345 y una salida 346. La entrada 345 y la salida 346 pueden tambien denominarse modulo de entrada de seguridad y modulo de salida de seguridad respectivamente. La entrada 345 puede estar conectada mediante un canal de entrada 351 con un sensor, por ejemplo un interruptor de desconexion en emergencia (no representado) dentro del proceso cntico para la seguridad 432. La salida 346 puede estar conectada mediante un canal de salida 352 con un actuador (no representado), con cuya ayuda puede llevarse el subproceso cntico para la seguridad a un estado seguro. Por ejemplo se lleva una maquina a funcionar solo en vado. Ademas esta conectado el equipo de seguridad 343 con la interfaz de comunicacion 341 y el equipo de control y evaluacion 342. En funcion de la implementacion de la unidad de senales 340 puede estar conectado el equipo de seguridad 343 tambien con la salida 344. La forma de funcionamiento del equipo de seguridad 343 es conocida de por sf. El mismo puede generar a partir de los datos de entrada recibidos en la entrada 345 datos relativos a la seguridad, anadiendo por ejemplo una suma de comprobacion a los datos de entrada. El equipo de seguridad 343 garantiza asf de manera de por sf conocida una comunicacion a prueba de fallos a traves del medio de comunicacion 300. Senalemos que los datos relativos a la seguridad se transmiten sin manipulacion mediante el equipo central 320 o 340 a traves del medio de comunicacion.
Ademas puede evaluar el equipo de seguridad 343 los datos relativos a la seguridad recibidos a traves del medio de comunicacion 330 y generar las correspondientes senales de salida y conducir las mismas selectivamente a una salida, por ejemplo la salida 346, para iniciar una funcion de seguridad. Tambien puede pensarse en que el equipo de seguridad 343 este implementado al menos parcialmente en la entrada 345 y/o la salida 346.
La unidad de senales segura 360 presenta por ejemplo una salida o modulo de salida 364, que a traves de un canal de salida 370 esta conectada/o con el proceso cntico para la seguridad 434. Por ejemplo puede estar conectado a la salida 364 un contactor (no mostrado), mediante el cual el proceso cntico para la seguridad 434, por ejemplo una maquina para un proceso de taladrado, puede conectarse a una fuente de energfa (no representada). La salida 364 esta conectada con un equipo de control y evaluacion 362, que a su vez esta conectado con una interfaz de comunicacion 361. El equipo de control y evaluacion 362 puede estar configurado al respecto para generar una senal definida previamente ajustada, con preferencia un cero logico y trasmitir esta senal al equipo central 320 o 420. El sentido y la finalidad de la senal definida se describiran con posterioridad. Mediante la interfaz de comunicacion 361 esta conectada la unidad de senales 340 con el medio de comunicacion 330, para poder comunicar con el equipo central 320, el equipo central 420 y/o las demas unidades de senales. La unidad de senales 360 presenta ademas un equipo de seguridad 363, que esta conectado con una entrada 365 y una salida 366. La entrada 345 puede estar conectada mediante un canal de entrada 371 con un sensor, por ejemplo una rejilla de proteccion (no representada) dentro del proceso cntico para la seguridad 434. La salida 366 puede estar conectada mediante un canal de salida 372 con un actuador (no representado), con cuya ayuda puede llevarse el subproceso cntico para la seguridad 434 a un estado seguro. Por ejemplo se lleva una maquina a funcionar solo en vado. Ademas esta conectado el equipo de seguridad 363 con la interfaz de comunicacion 361 y el equipo de control y evaluacion 362. En funcion de la implementacion de la unidad de senales 360, puede estar conectado el equipo de seguridad 363 tambien con la entrada 364. La forma de funcionamiento del equipo de seguridad 363 es de por sf conocida. El mismo puede generar a partir de los datos de entrada recibidos en la entrada 365 datos relativos a la seguridad, anadiendo por ejemplo una suma de comprobacion a los datos de entrada. El equipo de seguridad 363 garantiza asf de manera de por sf conocida una comunicacion a prueba de fallos a traves del medio de comunicacion 330. Senalemos que los datos relativos a la seguridad se transmiten sin manipulacion mediante el equipo central 320 o 340 a traves del medio de comunicacion. Ademas puede evaluar el equipo de seguridad 364 los datos relativos a la seguridad recibidos a traves del medio de comunicacion 330 y generar las correspondientes senales de salida y conducir las mismas selectivamente a una salida, por ejemplo la salida 366, para iniciar una funcion de seguridad. Puede pensarse en que el equipo de seguridad 363 este implementado al menos parcialmente en la entrada 365 y/o la salida 366.
La unidad de senales segura 380 presenta por ejemplo una salida o modulo de salida 384, que esta conectada/o a traves de un canal de salida 390 con el proceso cntico para la seguridad 436. Por ejemplo puede estar conectado a la salida 384 un contactor (no mostrado), mediante el cual el proceso cntico para la seguridad
5
10
15
20
25
30
35
40
45
50
55
60
65
436, por ejemplo una maquina para un proceso de doblado, puede conectarse a una fuente de ene^a (no representada). Tambien puede pensarse en que por ejemplo la salida 384 este conectada con un interruptor central (no representado), con cuya ayuda se desconecta el proceso completo 430, es decir, puede separarse de la fuente de energfa. La salida 384 esta conectada con un equipo de control y evaluacion 382, que a su vez esta conectado con una interfaz de comunicacion 381. El equipo de control y evaluacion 382 puede estar configurado al respecto para generar una senal definida previamente ajustada, con preferencia un cero logico y trasmitir esta senal al equipo central 320 o 420. El sentido y la finalidad de la senal definida se explicaran con posterioridad. Mediante la interfaz de comunicacion 381 esta conectada la unidad de senales 380 segura con el medio de comunicacion 330, para poder comunicar con el equipo central 320, el equipo central 420 y/o las demas unidades de senales. La unidad de senales 380 presenta ademas un equipo de seguridad 383, que esta conectado con una entrada 385 y una salida 386. La entrada 385 puede estar conectada mediante un canal de entrada 391 con un sensor, por ejemplo una rejilla de proteccion, sensor de temperatura o medidor de la velocidad de giro (no representados) dentro del proceso cntico para la seguridad 436. La salida 386 puede estar conectada mediante un canal de salida 352 con un actuador (no representado), con cuya ayuda puede llevarse el subproceso cntico para la seguridad 436 a un estado seguro. Por ejemplo se opera una maquina solo en vado. Ademas esta conectado el equipo de seguridad 383 con la interfaz de comunicacion 381 y el equipo de control y evaluacion 382. En funcion de la implementacion de la unidad de senales 380, puede estar conectado el equipo de seguridad 383 tambien con la entrada 384. La forma de funcionamiento del equipo de seguridad 383 es de por sf conocida. El mismo puede generar a partir de los datos de entrada recibidos en la entrada 385 datos relativos a la seguridad, anadiendo por ejemplo una suma de comprobacion a los datos de entrada. El equipo de seguridad 383 garantiza asf de manera de por sf conocida una comunicacion a prueba de fallos a traves del medio de comunicacion 330. Senalemos que los datos relativos a la seguridad se transmiten sin manipulacion mediante el equipo central 320 o 340 a traves del medio de comunicacion. Ademas puede evaluar el equipo de seguridad 383 los datos relativos a la seguridad recibidos a traves del medio de comunicacion 330 y generar las correspondientes senales de salida y conducir las mismas selectivamente a una salida, por ejemplo la salida 386, para iniciar una funcion de seguridad. Tambien puede pensarse en que el equipo de seguridad 383 este implementado al menos parcialmente en la entrada 385 y/o la salida 386.
Senalemos aqrn que cada uno de los equipos de seguridad 343, 363 y 383 esta configurado con preferencia para no evaluar y no procesar los datos relativos a la seguridad transmitidos a la correspondiente unidad de senales segura 340, 360 y 380 respectivamente cuando la correspondiente unidad de senales segura ha recibido una orden de desconexion del equipo central 320 o 420. En este caso se desconecta el correspondiente proceso cntico para la seguridad solo como reaccion a la orden de desconexion.
La unidad de senales no segura 400 presenta por ejemplo una entrada 402, a la que puede estar conectado mediante un canal de entrada 410 un sensor (no representado) del proceso no cntico para la seguridad 438. A una entrada 403 puede estar conectado mediante un canal de salida 411 un actuador (no representado) del proceso no cntico para la seguridad. Mediante una interfaz de comunicacion 401 esta conectada la unidad de senales no segura 400 al medio de comunicacion 330.
Senalemos aqrn que la unidad de senales segura 340 y el proceso cntico para la seguridad 432 tambien pueden denominarse isla de seguridad. De manera similar puede formar tambien la unidad de senales 360 y el proceso cntico para la seguridad 434, asf como la unidad de senales 380 y el proceso cntico para la seguridad 436, otras respectivas islas de seguridad.
Senalemos ademas que las interfaces de comunicacion 322, 422, 341, 361, 381 y 401 pueden ejecutaren funcion del medio de comunicacion utilizado, por ejemplo la funcion de interfaces de bus tradicionales basadas en Interbus o de interfaces de comunicacion basadas en Ethernet.
Para que las unidades de senales seguras 340, 360 y 380 puedan comprobar si la orden de control central procedente del equipo central 320 o 420 tambien procede en realidad del correspondiente equipo central y se ha transmitido correctamente, puede estar configurado el equipo central 320 o 340 para generar datos dinamicos de manera definida y trasmitirlos a las unidades de senales seguras 340, 360 y 380. Las unidades de senales seguras estan configuradas para detectar si los datos dinamicos se han generado segun definicion. En caso negativo, se ocupan las unidades de senales seguras de que el correspondiente proceso cntico para la seguridad 432, 434 y/o 436 se conduzca a un estado seguro. Tambien puede pensarse en que las unidades de senales seguras 340, 360, 380 generen datos dinamicos de manera definida, los transmitan al equipo central 320 o 420 y a continuacion evaluen los datos dinamicos modificados de manera definida por el equipo central 320 o 420 y activen etapas definidas como reaccion a los datos dinamicos modificados.
A continuacion se describira mas en detalle el funcionamiento del sistema de control 10 mostrado en la figura 3, basicamente en relacion con la figura 4b.
Supongamos por lo tanto que el medio de comunicacion 330 es por ejemplo un Interbus con forma anular, estando configurados el master de bus 324 y las interfaces de comunicacion 341, 361, 381 y 401 para hacer posible una transmision de datos bidireccional de datos de entrada y/o de salida de todas las unidades de senales a traves de la llamada trama sumatoria. Una trama sumatoria 450 a modo de ejemplo con una modificacion segun la invencion se representa en la figura 4b.
5
10
15
20
25
30
35
40
45
50
55
60
65
Segun el protocolo de comunicacion de Interbus comienza cada trama sumatoria colocada por el master de bus 324 en el bus de campo 330 con un campo de datos 455, en el que esta escrita una palabra de loopback LBW. A la palabra de loopback le siguen otros campos de datos 454 a 451, que estan inequvocamente asociados a las unidades de senales 340, 360, 380 y 400 conectadas al bus de campo 330, en funcion de las correspondientes posiciones ffsicas en el bus de campo 330. En el presente ejemplo de ejecucion esta asociado el campo de datos 454 a la unidad de senales no segura 400, el campo de datos 453 a la unidad de senales segura 380, el campo de datos 452 a la unidad de senales segura 360 y el campo de datos 451 a la unidad de senales segura 451.
En una forma de ejecucion preferente estan divididos los campos de datos 451, 452 y 453 asociados a cada una de las unidades de senales seguras 340, 360 y 380 en tres subcampos. Solamente se representan detalladamente en la figura 4b los subcampos del campo de datos 453. Los datos relativos a la seguridad sD se encuentran en el subcampo 4531, la orden de control central en el subcampo 4532 y dado el caso datos dinamicos en el subcampo 4533. Se utilizan datos dinamicos para dar a la correspondiente unidad de senales segura la posibilidad de comprobar si los datos relativos a la seguridad recibidos han sido transmitidos correctamente por el equipo de control de orden superior 320. Cuando se transmite la trama sumatoria al equipo de control de orden superior 320, se encuentra en el subcampo 4532 la senal definida generada por la unidad de senales segura 380, con preferencia una palabra de un solo bit en forma de un cero logico. Los datos relativos a la seguridad del subcampo 4531 pueden contener de manera de por sf conocida, junto a datos de entrada, tambien una suma de comprobacion.
Ahora se considerara un primer escenario, en el que se supone de todas las unidades de senales conectadas al bus de datos y el equipo central 320 funcionan sin fallos y en el proceso completo 430 no se ha presentado ninguna perturbacion.
Mientras en el sistema de control y transmision de datos 320 no se haya presentado ningun fallo, o bien no se haya activado ninguna funcion de seguridad, como por ejemplo el accionamiento de un interruptor de desconexion en emergencia o la apertura de una puerta de proteccion, no debe realizarse tampoco ninguna desconexion o desconexion rapida de los procesos orientados a la seguridad. Para asegurar esto puede estar previsto que las unidades de senales seguras 340, 360 y 380 transmitan como senal definida un cero logico al equipo de control de orden superior 320, que entonces sustituye activamente el cero logico por un uno logico, cuando no se ha presentado ningun fallo o bien no ha disparado un proceso cntico para la seguridad. En este caso interviene el equipo de control de orden superior 320 en coincidencia con el principio de corriente de reposo forzosamente en el control de los procesos cnticos para la seguridad 432, 434 y 436.
En el escenario que sirve de base escribe por lo tanto cada unidad de senales seguras en el primer subcampo del campo de datos asociado a los mismos datos relativos a la seguridad, que no obstante no activan ninguna funcion de seguridad. Ademas escribe cada unidad de senales segura en el segundo subcampo la senal previamente ajustada, por ejemplo un cero logico.
Este proceso se describira a continuacion mas en detalle solamente en cuanto a la unidad de senales segura 380.
Los datos de estado recibidos en la entrada 385 de un sensor asociado al proceso cntico para la seguridad 436, por ejemplo de una rejilla de proteccion, se conducen al equipo de seguridad 383 y pueden transformarse de una manera de por sf conocida en datos relativos a la seguridad. Los datos del sensor senalizan en el ejemplo de que se trata una rejilla de proteccion cerrada. Puesto que el equipo de senales 380 funciona sin fallos, genera la unidad de control y evaluacion 382 un cero logico. En funcion de la implementacion pueden escribirse los datos relativos a la seguridad y el cero logico como senal definida por ejemplo del equipo de control y evaluacion 382 o de la interfaz de comunicacion 381 en los subcampos 4531 y 4532. Senalemos que tambien la unidad de senales no segura 400 escribe en el campo de datos 454 los datos del sensor recibidos a traves de la entrada 402 procedentes del proceso no cntico para la seguridad. Una vez que la trama sumatoria ha recorrido todas las unidades de senal, se transmite la misma al equipo central 320. El equipo central 320 y con preferencia el master de bus 324 estan configurados solamente para leer y evaluar el segundo subcampo de los campos de datos 451, 452 y 453, que contiene la correspondiente senal definida. Puesto que se ha supuesto que el equipo central 320 funciona sin fallos, se sobreescribe el cero logico, que segun una implementacion ventajosa se interpreta como senal de conexion por las unidades de senales seguras, por un uno logico en cada segundo subcampo. Esta tarea puede ejecutarla el master de bus 320. En lugar del master de bus 324, podna estar previsto un equipo separado que evalua y sobreescribe los segundos subcampos. Un 1 logico impide que las unidades de senales seguras 340, 360 y 380 desconecten el proceso completo o subprocesos asociados. Adicionalmente puede escribir el equipo central 320 en el tercer subcampo de los campos de datos 451 a 453 datos dinamicos, que por ejemplo en cada ciclo de comunicacion se incrementan en el valor 1.
El equipo de control de orden superior 320 transmite ahora la trama sumatoria mostrada en la figura 4b a traves del bus de campo 330 a las unidades de senales. La evaluacion de un campo de datos se describira de nuevo en cuanto a la unidad de senales segura 380. Segun una implementacion ventajosa de la unidad de senales segura 380, transfiere la interfaz de comunicacion 381 el campo de datos 453 al equipo de control y evaluacion 382. El equipo de control y evaluacion 382 detecta en el subcampo 4532 un uno logico. Como reaccion al uno logico, no aporta el equipo de control y evaluacion 382 ninguna senal de desconexion a la salida 384 y transfiere los datos
5
10
15
20
25
30
35
40
45
50
55
60
65
relativos a la seguridad al equipo de seguridad 383. El equipo de seguridad detecta que no existe ningun fallo o peligro y no aporta correspondientemente ninguna senal de salida en la salida 386. Tambien detectan todas las demas unidades de senales un funcionamiento sin fallos y el proceso completo sigue corriendo.
Segun un segundo escenario, supongamos que el equipo de control y evaluacion 382 de la unidad de senales segura 380 tiene un fallo y por lo tanto escribe en el subcampo 4532 un uno logico, en lugar de la senal definida previamente ajustada, que en el presente ejemplo es un cero logico. Todas las demas unidades de senales y el proceso completo 430 corren sin fallos. En el siguiente ciclo de comunicacion recibe el equipo central 320 ahora la correspondiente trama sumatoria. El equipo central 320, que a su vez evalua solo los segundos subcampos, detecta en el subcampo 4532 un uno logico. En funcion de la configuracion del sistema puede ocuparse el equipo central 320 de que al menos a una unidad de senales segura predeterminada se transmita una orden central de desconexion. En el presente caso escribe el equipo central 320 en el segundo subcampo de los campos de datos 451 a 453, que estan asociados a las unidades de senales seguras 340, 360 y 380, en cada caso un uno logico. Ademas escribe el mismo en el campo de datos 454 datos de salida, que contienen igualmente una orden de desconexion. A continuacion envfa el equipo central 320 la trama sumatoria a las unidades de senales. Los equipos de control y evaluacion 342, 362 y 382 de las unidades de senales 340, 360 y 380 respectivamente generan en cada caso, en reaccion al cero logico recibido, una senal de desconexion, que se emite a traves de la salida 344, 364 y 384 respectivamente. Las senales de desconexion controlan con preferencia contactores, que desconectan inmediatamente el correspondiente proceso cntico para la seguridad, es decir, los procesos 432, 434 y 436 y lo hacen independientemente de la informacion que contienen los datos relativos a la seguridad de los primeros subcampos. Por lo tanto puede denominarse el cero logico transmitido en el segundo subcampo tambien orden central de desconexion rapida.
Con preferencia estan constituidos los equipos de control y evaluacion 342, 362 y 382 para dar lugar cuando reciben un cero logico a que el correspondiente equipo de seguridad 343, 363 y 383 respectivamente no evaluen ni procese los datos relativos a la seguridad recibidos en el primer subcampo.
La unidad de senales no segura 400 retransmite los datos de salida recibidos en el campo de datos 454 a traves de la salida 411 por ejemplo a un contactor, que al reaccionar a los datos de salida desconecta el subproceso no cntico para la seguridad 438. De esta manera se desconecta tambien el subproceso 438 y con ello el proceso completo 430.
Senalemos aqrn que la senal definida que puede aportar cada unidad de senales segura tambien puede ser una senal relativa a la seguridad que puede generarse y evaluarse en el correspondiente equipo de seguridad 343, 363 y 383. Las lmeas discontinuas entre los equipos de seguridad 343, 363 y 383 y las salidas 344, 364 y 384 respectivamente indican que una senal definida relativa la seguridad, que puede transmitirse como la senal definida no relativa a la seguridad en el segundo subcampo, puede ser evaluada por el correspondiente equipo de seguridad y a continuacion emitida como orden de desconexion rapida a traves de la correspondiente salida.
Segun un tercer escenario, supongamos que solamente el equipo central 320 esta afectado por un fallo y no sobreescribe los segundos subcampos con un uno logico. Todas las unidades de senales y el proceso completo 430 corren sin fallo.
En un ciclo de comunicacion recibe ahora el equipo central 320 la correspondiente trama sumatoria y evalua a su vez solo los segundos subcampos. Desde luego el mismo no sobreescribe, al estar defectuoso, los segundos subcampos, con lo que para cada unidad de senales segura se transmite en el segundo subcampo un cero logico. El equipo de control y evaluacion 342, 362 y 382 de las unidades de senales 340, 360 y 380 respectivamente generan en consecuencia, como reaccion a los respectivos ceros logicos recibidos, una senal de desconexion, que se emite a traves de la salida 344, 364 y 384 respectivamente. Las senales de desconexion controlan preferentemente contactores, que desconectan inmediatamente el correspondiente proceso cntico para la seguridad, es decir, los procesos 432, 434 y 436.
En base a este comportamiento del sistema se detecta que un cero logico transmitido en el segundo subcampo, que representa una orden de desconexion rapida, se ejecutara con preferencia por las unidades de senales seguras frente a los datos relativos a la seguridad que se transmiten en los respectivos subcampos de los campos de datos 451,452 y 253.
Supongamos ahora ventajosamente que el equipo central 320 o 420 esta configurado para, como reaccion a un evento predeterminado, no modificar las senales definidas recibidas de las unidades de senales seguras 340, 360, 380, cuando no hay fallo con preferencia un cero logico. Un tal evento predeterminado puede ser activado por ejemplo por un operario o por el sistema de control y transmision de datos 310. Supongamos que el equipo central 320 ha recibido de un operario la comunicacion de que el proceso completo 430 debe desconectarse inmediatamente.
En consecuencia se ocupa el equipo central 320 de que cada segundo subcampo contenga un cero logico. Ademas escribe el mismo en el campo de datos 454 una orden de desconexion para la unidad de senales no segura 400 y transmite la trama sumatoria a las unidades de senales.
5
10
15
20
25
30
35
40
45
50
55
60
65
Tal como ya se ha descrito, generan los equipos de control y evaluacion 342, 362 y 382, como reaccion a un cero logico recibido, en cada caso una senal de desconexion, que a traves de la salida 344, 364 y 384 respectivamente desconecta el correspondiente subproceso cntico para la seguridad 432, 434 y 436 respectivamente. Tambien la unidad de senales no segura 400 emite a traves de su salida 403 una orden de desconexion para desconectar el subproceso no cntico para la seguridad 438. De esta manera puede desconectarse inmediatamente el proceso completo 430 centralmente mediante el equipo central 320 sin utilizar los datos relativos a la seguridad.
Esto puede lograrse, tal como se ha explicado antes, estando configurados los equipos de control y evaluacion 342, 362 y 382 con preferencia para provocar, al recibir un cero logico el correspondiente equipo de seguridad 343, 363 y 383 respectivamente, que no se evaluen ni se procesen los datos relativos a la seguridad recibidos.
Tal como ya se ha mencionado, puede estar previsto que el equipo central 320 este configurado para generar datos dinamicos, como por ejemplo numeros consecutivos, que cuentan los ciclos de comunicacion y transmitir los mismos en cada caso en los terceros subcampos de los campos de datos 451, 452 y 453 a las unidades de senales seguras 340, 360 y 380. Las unidades de senales seguras 340, 360 y 380 pueden entonces detectar en base a los datos dinamicos recibidos en el tercer subcampo si los segundos datos relativos a la seguridad recibidos en el segundo subcampo proceden del equipo de control de orden superior 320 y se han retransmitido correctamente.
Supongamos ahora que en lugar de una trama sumatoria basada en Interbus, se transmiten telegramas individuales entre el equipo central 320 y las unidades de senales a traves del medio de comunicacion 330, que por ejemplo es un sistema de comunicacion basado en Ethernet. Las interfaces de comunicacion 322, 341, 361, 381 y 401 estan configuradas correspondientemente y pueden enviar y recibir un telegrama representado solo esquematicamente en la figura 4a.
El telegrama mostrado en la figura 4a contiene un campo de direcciones 441, en el que pueden encontrarse direcciones de destino y/o de origen y/o direcciones de radiodifusion y/o de grupo. En un campo de datos 442 pueden transmitirse datos relativos a la seguridad desde y hada los correspondientes equipos de seguridad 343,
363 y 383. Un campo de datos 443 sirve para transmitir las senales definidas generadas por una unidad de senales segura. Ademas puede estar previsto un campo de datos 444, en el que, tal como antes se ha descrito, pueden transmitirse datos dinamicos.
Supongamos ahora que la unidad de senales segura 380 desea transmitir datos recibidos a traves de la entrada 385, que contienen por ejemplo la velocidad de giro de una maquina del subproceso cntico para la seguridad 436, a traves del equipo central 320 a la unidad de senales segura 340. El equipo de seguridad 383 genera a partir de los datos recibidos a traves de la entrada 385, de manera de por sf conocida, datos relativos a la seguridad y transfiere estos datos a la interfaz de comunicacion 381. Supongamos en el presente ejemplo que el equipo de control y evaluacion 382 funciona incorrectamente y por lo tanto transmite un uno logico en lugar del cero previamente ajustado al equipo de comunicacion 381. En funcion de la implementacion puede escribir el equipo de comunicacion 381 la direccion del equipo central 320, la direccion de la unidad de senales segura 380 y la direccion de destino del equipo de senales seguro 360 en el campo de direcciones 441. Ademas escribe el mismo los datos relativos a la seguridad en el campo de datos 442 y un uno logico en el campo de datos 443 y transmite el telegrama de datos al equipo central 320. El equipo central 320 esta configurado a su vez para evaluar el campo de datos 443, pero no el campo de datos 442. El mismo detecta que en lugar de un cero logico se ha transmitido un uno logico desde la unidad de senales segura 380. En funcion de la configuracion del sistema sabe el equipo central 320 por ejemplo que al recibir un uno logico de la unidad de senales segura 380 tienen que desconectarse todos los procesos cnticos para la seguridad 432, 434 y 436. En consecuencia puede estar configurado el equipo central 320 para generar un unico telegrama de datos, en el que se describe una direccion de radiodifusion o de grupo en el campo de datos 441, que direcciona las unidades de senales seguras 340, 360 y 380. En el campo de datos 442 se tienen sin modificar los datos relativos a la seguridad, mientras que en el campo de datos 443 se escribe un cero logico como orden de desconexion central. En el campo de datos 444 puede escribirse un numero progresivo. El telegrama de datos se transmite ahora a traves del medio de comunicacion 330 a las unidades de senales seguras 340, 360 y 380. Los equipos de control y evaluacion 342, 362 y 382 evaluan el campo de datos 443 del telegrama de datos recibido y generan en cada caso como reaccion al cero logico una senal de desconexion para las salidas 344,
364 y 384. Las senales de desconexion provocan que los procesos cnticos para la seguridad 432, 434 y 436 se desconecten inmediatamente. Los datos relativos a la seguridad recibidos no se evaluan ni se procesan en las correspondientes unidades de senales seguras 340, 360 y 380. En consecuencia puede interpretarse el cero logico tambien como orden de desconexion rapida.
Senalemos que en un funcionamiento libre de fallos de las unidades de senales seguras y del equipo central 320, el equipo central 320 sustituye cualquier cero logico en el campo de datos 443 de un telegrama de datos recibido por un uno logico y lo transmite a las unidades de senales seguras 340, 360 y 380. Esto significa que los equipos de control y evaluacion 342, 362 y 382 no generan ninguna senal de desconexion y retransmiten los datos relativos a la seguridad a los correspondientes equipos de seguridad 343, 363 y 383 respectivamente. Los equipos de seguridad evaluan a continuacion los datos relativos a la seguridad retransmitidos sin variacion desde el equipo
5
10
15
20
25
30
35
40
45
50
55
60
65
central de manera de por s^ conocida y proporcionan funciones en la salida 346, 366 y 386 respectivamente las correspondientes senales de control para ejecutar funciones de seguridad.
Tambien puede pensarse en que por ejemplo la salida 344 de la unidad de senales segura 340 este conectada con un contactor, con cuya ayuda puede desconectarse el proceso completo 430. En este caso puede estar configurado el equipo central 320 para transmitir un telegrama de datos en cuyo campo de datos 443 se escribe un cero logico, selectivamente solo a la unidad de senales segura 340. La unidad de control y evaluacion 342 aporta entonces una senal de desconexion en la salida 344, que provoca una desconexion rapida del proceso completo 430.
Generalizando, ilustra la figura 3 un sistema de control y transmision de datos 310 para transmitir datos relativos a la seguridad a traves de un medio de comunicacion 330. El mismo presenta varias unidades de senales seguras 340, 360 y 380, que estan conectadas mediante respectivas salidas 34l, 346, 361, 366 o bien 381, 386 y/o al menos respectivas entradas 345, 365 y 385 con un proceso cntico para la seguridad o un respectivo subproceso 432, 434 y 436. A un medio de comunicacion 330 estan conectadas las unidades de senales seguras 340, 360, 380 y un equipo central 320, 420. Las unidades de senales seguras 340, 360 y 380 presentan respectivos equipos de seguridad 343, 363 y 383 y estan configuradas para proporcionar datos relativos a la seguridad y transmitir esos datos a traves del medio de comunicacion 330. Con preferencia esta configurada cada unidad de senales segura 340, 360, 380 para proporcionar una senal definida y transmitir tanto la senal definida como tambien los datos relativos a la seguridad al equipo central 320, 420. El equipo central 320, 420 esta configurado para evaluar solo la senal definida y en funcion de la senal definida evaluada, generar una orden de control central y transmitir la orden de control central junto con los datos relativos a la seguridad a al menos una unidad de senales segura predeterminada de las varias unidades de senales seguras 340, 360, 380. La unidad de senales segura 340, 360, 380, de las que al menos hay una, esta configurada para evaluar los datos relativos a la seguridad y la orden de control central, para controlar al menos una parte del proceso cntico para la seguridad 430, con preferencia en cada caso un subproceso 432, 434, 436.
El equipo central 320 puede ser un equipo de control de orden superior, configurado para controlar la comunicacion sobre el medio de comunicacion 330 y la unidad de senales no segura 400.
La senal definida puede ser una orden de desconexion en forma de un cero logico.
Los equipos de seguridad 343, 363 y 383 estan configurados con preferencia para no evaluar y/o no procesar datos relativos a la seguridad cuando la orden de control central recibida sea una orden de desconexion. Esto puede lograrse estando configurados los equipos de control y evaluacion 342, 362 y 382 con preferencia para provocar al recibirse un cero logico que el correspondiente equipo de seguridad 343, 363 y 383 respectivamente no evalue y/o no procese los datos relativos a la seguridad recibidos.
El equipo central 320, 420 puede estar configurado para al recibir una senal definida no falsificada, generar una orden de control central que no active ninguna desconexion del proceso cntico para la seguridad 432, 434, 436 o de una parte del proceso cntico para la seguridad, pudiendo estar configurado el equipo central 320, 420 ademas para al recibir una senal definida falsificada, generar una orden de control central que active una desconexion del proceso cntico para la seguridad o de una parte del proceso cntico para la seguridad.
El equipo central 320, 420 puede ademas estar configurado para, como reaccion a un evento predeterminado, no modificar la senal definida recibida.
El equipo central 320, 420 puede ademas estar configurado para transmitir la orden de control central utilizando una direccion de grupo a un determinado grupo de las unidades de senales seguras o a todas las unidades de senales seguras 340, 360, 380 y/o dado el caso a una o varias unidades de senales no seguras 400.
Cada una de las unidades de senales seguras 340, 360, 380 puede estar configurada para generar a partir de la senal definida una senal definida relativa a la seguridad.
Para que las unidades de senales seguras 340, 360 y 380 puedan detectar que los segundos datos relativos a la seguridad proceden del equipo central 320, 420 y se han transmitido correctamente, puede estar configurado el equipo central 320, 420 para proporcionar datos dinamicos de una manera definida y transmitirlos a la unidad de senales segura, de las que al menos hay una. La unidad de senales segura, de las que al menos hay una, esta configurada al respecto correspondientemente para evaluar los datos dinamicos. Los datos dinamicos pueden ser informaciones alternantes o bien un numero correlativo.
Alternativamente puede estar configurada la unidad senales segura, de las que al menos hay una, para generar datos dinamicos y transmitirlos al equipo central 320, 420. El equipo central 320, 420 puede estar configurado al respecto correspondientemente para modificar los datos dinamicos recibidos selectivamente, es decir, de forma definida y transmitirlos a la unidad de senales segura, de las que al menos hay una.
La unidad de senales segura, de las que al menos hay una, puede estar configurada para, como reaccion a datos dinamicos modificados de manera indefinida, desconectar inmediatamente el correspondiente proceso cntico para la seguridad o bien llevar el mismo a un estado seguro definido.
5 El medio de comunicacion 330 puede ser un bus de campo, en particular un bus de campo basado en
Interbus y/o un sistema Ethernet.
La senal definida, previamente ajustada, puede ser una palabra de un solo bit, en particular un cero logico y la orden de control central igualmente una palabra de un solo bit.
10

Claims (11)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Sistema de control y transmision de datos (310) para transmitir datos relativos a la seguridad a traves de un medio de comunicacion (330), que presenta:
    - varias unidades de senales seguras (340, 360, 380), cada una de las cuales esta conectada mediante al menos una salida (341, 346; 361, 366; 381, 386) y/o al menos una entrada (345; 365; 385) con un proceso cntico para la seguridad (432, 434; 436),
    - un medio de comunicacion (330), al que estan conectadas las unidades de senales seguras (340, 360, 380) y
    - un equipo central (320; 420), que esta conectado al medio de comunicacion (330), presentando las unidades de senales seguras (340, 360, 380) respectivos equipos de seguridad (343; 363; 383) y estando configurada cada una para proporcionar datos relativos a la seguridad y transmitir estos datos en un primer subcampo (442; 4531) del correspondiente telegrama o trama sumatoria a traves del medio de comunicacion (330),
    caracterizado porque cada unidad de senales segura (340, 360, 380) esta configurada para proporcionar una senal definida, que indica que el sistema de control y transmision de datos (310) no tiene fallos o indica que no se ha activado ninguna funcion de seguridad y para escribir la senal definida en un segundo subcampo (443; 4532) del correspondiente telegrama o trama sumatoria y para transmitir tanto la senal definida como tambien los datos relativos a la seguridad al equipo central (320; 420),
    porque el equipo central (320; 420) esta configurado para leer y evaluar solo el segundo subcampo del correspondiente telegrama o trama sumatoria y en funcion de la senal definida evaluada, generar una orden de control central y transmitir la orden de control central junto con los datos relativos a la seguridad a al menos una unidad de senales segura predeterminada de las varias unidades de senales seguras (340, 360, 380) y porque la unidad de senales segura (340, 360, 380), de las que al menos hay una, esta configurada para evaluar los datos relativos a la seguridad y la orden de control central, para controlar al menos una parte del proceso cntico para la seguridad (432, 434, 436).
  2. 2. Sistema de control y transmision de datos segun la reivindicacion 1,
    caracterizado porque el equipo central (320) es un equipo de control de orden superior, que esta configurado para controlar la comunicacion sobre el medio de comunicacion (330).
  3. 3. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 2,
    caracterizado porque el equipo central (320; 420) esta configurado para al recibir una senal definida no falsificada, generar una orden de control central que no activa ninguna desconexion del proceso cntico para la seguridad (432, 434, 436) o de una parte del proceso cntico para la seguridad y en el que el equipo central (320; 420) esta configurado ademas para, al recibir una senal definida falsificada, generar una orden de control central que activa una desconexion del proceso cntico para la seguridad (432, 434, 436) o de una parte del proceso cntico para la seguridad.
  4. 4. Sistema de control y transmision de datos segun la reivindicacion 3,
    caracterizado porque el equipo central (320; 420) esta configurado para como reaccion a un evento previamente determinado, no modificar la senal definida recibida.
  5. 5. Sistema de control y transmision de datos segun una de las reivindicaciones 3 o 4,
    caracterizado porque los equipos de seguridad (343, 363, 383) estan configurados para no evaluar y/o no procesar datos relativos a la seguridad cuando la orden de control central recibida es una orden de desconexion.
  6. 6. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 5,
    caracterizado porque el equipo central (320; 420) esta configurado para transmitir la orden de control central utilizando una direccion de grupo a un grupo predeterminado de las unidades de senales seguras o a todas las unidades de senales seguras (340, 360, 380).
  7. 7. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 6,
    caracterizado por una unidad de senales no segura (400), que esta conectada al medio de comunicacion (330) y que esta conectada con un proceso no cntico para la seguridad (438) o subproceso no cntico para la seguridad, en el que
    el equipo central (320; 420) esta configurado para transmitir la orden de control central utilizando una direccion de grupo a todas las unidades de senales seguras (340, 360, 380) y a la unidad de senales no segura (400).
  8. 8. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 7,
    caracterizado porque cada una de las unidades de senales seguras (340, 360, 380) esta configurada para generar a partir de la senal definida una senal definida relativa a la seguridad.
  9. 9. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 8,
    caracterizado porque el equipo central (320, 420) esta configurado para proporcionar datos dinamicos y transmitirlos a al menos una unidad de senales segura (340, 360, 380) y porque la unidad de senales segura (340, 360, 380), de las que al menos hay una, esta configurada para evaluar los datos dinamicos.
  10. 10. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 9,
    caracterizado porque el medio de comunicacion (330) es un bus de campo, en particular un bus de campo basado en Interbus y/o un sistema de Ethernet.
  11. 11. Sistema de control y transmision de datos segun una de las reivindicaciones 1 a 10,
    5 caracterizado porque la senal definida es una palabra de un solo bit, en particular un cero logico y porque el
    equipo central (320; 420) esta configurado para al recibir una senal definida no falsificada, generar una orden de control central, que es una palabra de un solo bit, en particular un uno logico.
ES14154711.7T 2013-02-13 2014-02-11 Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo Active ES2593831T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013101413 2013-02-13
DE102013101413 2013-02-13

Publications (1)

Publication Number Publication Date
ES2593831T3 true ES2593831T3 (es) 2016-12-13

Family

ID=50112729

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14154711.7T Active ES2593831T3 (es) 2013-02-13 2014-02-11 Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo

Country Status (2)

Country Link
EP (2) EP2767877B1 (es)
ES (1) ES2593831T3 (es)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017109886A1 (de) * 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
CN111834025B (zh) * 2020-07-07 2022-08-23 广东核电合营有限公司 核电厂安全相关仪表校验类监督项目周期延长的评价方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19801137A1 (de) * 1998-01-14 1999-07-22 Siemens Ag Fehlersichere Prozesseingabe und Prozessausgabe
DE29814268U1 (de) * 1998-08-08 1999-12-16 Phoenix Contact Gmbh & Co System zur Verkabelung einer Steuer- und Datenübertragungsanlage
DE19928517C2 (de) 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE502006002266D1 (de) * 2006-08-10 2009-01-15 Sick Ag Prozesssteuerung
DE102008029948B4 (de) * 2008-06-26 2018-08-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
DE102008062934A1 (de) * 2008-12-23 2010-06-24 Kuka Roboter Gmbh Vernetzte Industriesteuerung und Verfahren zum Wechsel des Betriebsmodus einer solchen Industriesteuerung
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102011005239B4 (de) * 2011-03-08 2019-10-24 Siemens Aktiengesellschaft Sicherheitssystem sowie Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem

Also Published As

Publication number Publication date
EP2767877A1 (de) 2014-08-20
EP2767877B1 (de) 2016-07-06
EP2942686B1 (de) 2018-10-17
EP2942686A1 (de) 2015-11-11

Similar Documents

Publication Publication Date Title
RU2656684C2 (ru) Система шин и способ эксплуатации такой системы шин
ES2359650T3 (es) Unidad de interfaz y sistema de comunicaciones con una estructura maestro-esclavo.
ES2377186T3 (es) Procedimiento y dispositivo para una comunicación orientada a la seguridad en la red de comunicaciones de una instalación de automatización
ES2308480T3 (es) Control de seguridad.
JP5911439B2 (ja) 監視制御システム
JP5068436B2 (ja) 安全性関連処理のバス結合のための方法と装置
ES2288745T3 (es) Red de automatizacion con componentes de red que generan mensajes de estado.
US11016463B2 (en) Control and data-transfer system, gateway module, I/O module, and method for process control
ES2532579T3 (es) Aparato de comunicación para una red de comunicación industrial que puede hacerse funcionar de forma redundante y procedimiento para hacer funcionar una red de comunicación
JP4691490B2 (ja) 安全重視プロセスを制御する方法と装置
ES2593831T3 (es) Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo
JP6576936B2 (ja) 電気負荷を安全にオフにする方法および装置
EP4294081A1 (en) Bidirectional redundant mesh networks
ES2450469T3 (es) Dispositivo de protección de acceso para una red de automatización
ES2309643T3 (es) Modulos de entrada/salida seguros para un controlador.
US9778638B2 (en) Programmable logic controller communication system
JP7019199B2 (ja) パケット通信システム、これを用いたインフラストラクチャーシステム、ビルディングオートメーションシステム、及び、ファクトリーオートメーションシステム
ES2363650T3 (es) Control de seguridad.
JP4941748B2 (ja) 安全制御システム
JP6868824B2 (ja) 中継装置、受信機、防災システム、及びプログラム
WO2021044652A1 (ja) マスタ装置、演算処理装置、プログラマブルロジックコントローラ、ネットワーク、および方法
JP2016129346A (ja) 監視制御システム