JP4480313B2 - プロセス制御装置 - Google Patents

プロセス制御装置 Download PDF

Info

Publication number
JP4480313B2
JP4480313B2 JP2001519239A JP2001519239A JP4480313B2 JP 4480313 B2 JP4480313 B2 JP 4480313B2 JP 2001519239 A JP2001519239 A JP 2001519239A JP 2001519239 A JP2001519239 A JP 2001519239A JP 4480313 B2 JP4480313 B2 JP 4480313B2
Authority
JP
Japan
Prior art keywords
safety
unit
units
fieldbus
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001519239A
Other languages
English (en)
Other versions
JP2003507810A (ja
Inventor
ルップ,ローランド
ヴォーンハース,クラオス
シュヴェンケル,ハンス
Original Assignee
ピルツ ゲーエムベーハー アンド コー.カーゲー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ピルツ ゲーエムベーハー アンド コー.カーゲー filed Critical ピルツ ゲーエムベーハー アンド コー.カーゲー
Publication of JP2003507810A publication Critical patent/JP2003507810A/ja
Application granted granted Critical
Publication of JP4480313B2 publication Critical patent/JP4480313B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Air Bags (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
  • Programmable Controllers (AREA)

Description

【0001】
【発明の属する技術分野】
この発明は、セーフティ−クリティカルプロセスを制御する装置に関する。
【0002】
【従来の技術】
上記装置は、セーフティ−クリティカルプロセスを制御する安全制御ユニットを有し、かつI/Oチャンネルを介してセーフティ−クリティカルプロセスに接続される少なくとも二つの安全信号ユニットを有し、安全制御ユニット及び安全信号ユニットは、共通のフィールドバスに接続され、かつ装置が制御モードにあるとき、安全信号ユニットは、安全制御ユニットと通信するが、互いに通信しない。
【0003】
そのような装置は、DE−A−197 42 716から公知である。
フィールドバスは、データ通信のためのシステムであり、接続されたユニットは、バスラインを介して互いに接続される。このように、フィールドバスに接続される二つのユニットは、それぞれ個別に互いに直接配線される必要なく互いに通信することができる。公知のフィールドバスの例は、いわゆるCANバス、いわゆるプロフィバス、及びいわゆるインターバスを含む。
【0004】
フィールドバスの使用は、制御及びオートメーションの分野において、長い間すでに十分周知であった。しかしながら、これは、セーフティ−クリティカルプロセスの制御には当てはまらず、実際には、制御システムに含まれるユニットは、ごく最近まで個別に互いに配線されていた。これは、公知のフィールドバスが、セーフティ−クリティカルプロセスを制御するのに必要な故障保護(10-11未満の故障の可能性)を保証するのは可能ではなかったからである。全ての公知のフィールドバスは、データ送信中の故障保護のための手段を確かにもっているが、これらの手段は、必要とされる故障保護を保証するのに十分ではない。さらに、フィールドバスは、オープンシステムであり、原理的に、それに任意の所望のユニットを接続することができる。制御されるべきであるセーフティ−クリティカルプロセスと全然関係がないユニットの場合には、不所望の態様で上記プロセスに影響を及ぼすおそれがある。
【0005】
この内容においては、「セーフティ−クリティカルプロセス」という表現は、故障が生じれば、結果として人々または材料商品に容認できない危険が生じるプロセスを意味する。このように、理想的には、セーフティ−クリティカルプロセスは、故障が生じれば、そのプロセスが安全状態に変化することになるという100%の保障を与えなければならない。機械システムの場合には、これは、システムをオフに切り換えることを含んでもよい。しかしながら、化学生成プロセスの場合には、オフに切り換えると、制御されていない反応をもたらすことがあり、このような場合には、プロセスをノンクリティカルパラメータ範囲に変化させる方がよい。
【0006】
セーフティ−クリティカルプロセスはまた、より大きなより高レベルの全プロセスのプロセスエレメントであってもよい。一例として、油圧プレスの場合には、材料の供給は、ノンセーフティ−クリティカルプロセスエレメントであってもよく、一方プレス工具の始動は、セーフティ−クリティカルプロセスエレメントである。セーフティ−クリティカルプロセス(またはプロセスエレメント)のさらなる例は、セーフティガード、保護ドアまたは光バリヤーのモニタ、両手操作式スイッチの制御、または緊急オフスイッチのモニタおよび評価である。
【0007】
セーフティ−クリティカルプロセスの制御に含まれるユニットには、それらの実際の機能の範囲を超える安全関連装置が設けられていなければならない。これらは、主として故障および機能モニタのために用いられる。これらのようなユニットは、故障が生じる場合にもそれらが安全に動作することを保証するために、一般に冗長な設計をもつ。これらのような安全関連手段をもつユニットを、「通常」ユニットに対比して、以下では、安全ユニットと呼ぶ。
【0008】
この発明の目的のために、プロセスを制御するある量の知能をもつユニットを、制御ユニットと呼ぶ。これらのような制御ユニットを、専門用語では、しばしばクライアントと呼ぶ。
これらは、制御されたプロセス、および制御されるべきプロセスに影響を与えるアクティブアクチュエータの状態変数を表わすデータおよび/または信号を、この情報の関数として受け取る。その知能(intelligence)は、可変ユーザプログラムの形で、制御ユニットのメモリに通常記憶される。プログラマブル論理制御装置(PLC)は、制御ユニットとして一般に用いられる。
【0009】
対照的に、信号ユニットは、本来入力および出力チャンネル(I/Oチャンネル)を提供するモジュールであり、それに、第一にはプロセス変数を記録するセンサ、および第二にはアクチュエータを接続することができる。信号ユニットには、可変ユーザプログラムの形の知能がなく、したがって、機械およびプロセスのいずれをも自律的に制御する能力がない。しかも、緊急オフ切り換えは、故障が生じるときに自律的に行われてもよい。信号ユニットは、それ自体、物理的遠隔制御ユニットから受け取ったコマンドを局部的に実行するためにのみ設けられる。このために、信号ユニットが、オペレーティングシステムの形のプログラムを有していてもよい。しかしながら、ユーザは、信号ユニットのハードウエアを修正しないでこのプログラムを変更することはできない。信号ユニットは、通常、専門技術においてサーバと呼ばれる。
【0010】
最初に引用したDE−A−197 42 716は、セーフティガードのモニタ等、セーフティ−クリティカルプロセスを制御する装置を説明している。公知の装置は、制御ユニットを有し、例えばフィールドバスを介して互いに接続される3つの信号ユニットを有する。制御ユニットも信号ユニットもどちらも、所定の安全機能を実行するための安全関連装置を有する。このように、全く一般的な形では、これらは、この発明の目的のための安全ユニットである。
【0011】
公知の装置では、制御されるべきプロセスは、故障が生じると、安全状態に変化する。この動作を始めるために用いられるスイッチング信号は、第一にはより高レベルの制御ユニットによって、または第二には故障が生じたその信号ユニットの領域においてトリガーすることができる。
しかしながら、公知の装置では、その領域で故障が生じた第一信号ユニットが、そのフィールドバスに同様に接続される他の信号ユニットに、そこで関連プロセスをオフに切り換えさせたり、またはこれらのプロセスを安全状態に変化させることは不可能である。異なる信号ユニットを介して起動される多くのプロセスを安全状態に変化させる必要がなければ、適当な個々の制御コマンドを、影響を及ぼされる信号ユニットの各々に送信する必要がある。これは、公知の信号ユニットが、他の信号ユニットの制御を可能にする知能を有しないからである。
【0012】
したがって、公知の装置には、信号ユニットの領域で故障が生じると、他の信号ユニットと関連するセーフティ−クリティカルプロセスが安全状態に変化することができるより前に、貴重な時間が失われるかもしれないという欠点がある。詳細には、データ交換は、この場合には、まず第一に第一信号ユニットとより高レベルの制御ユニットとの間で必要とされ、それに続いて、より高レベルの制御ユニットと影響を及ぼされるさらなる信号ユニットとの間でさらにデータ交換が必要とされる。このように、公知の装置については、故障によって間接的にのみ影響を及ぼされるプロセスが十分すばやくオフに切り換えられないおそれがある。
【0013】
多くのプロセスエレメントを有するシステム全体を、一つの信号ユニットによって完全にオフに切り換えることができることは、DE−A−197 42 716から公知である。この場合には、対応する信号ユニットが中央スイッチとして用いられ、特定的に主電源を遮断する。この場合には、故障が生じれば、システム全体をすばやくオフに切り換えることができるが、これから個々のプロセスエレメントを状況の関数として排除するのは不可能である。
【0014】
今まで、この一般的なタイプの装置は、各々の場合において、制御ユニットを一つしか有していなかった。このことは、制御ユニットが故障すると、その装置をもはや全く使用できないということを意味している。しかしながら、このような場合にも、柔軟な方法でこの一般的なタイプの装置を動作し続けることができるのが望ましい。
さらに、フィールドバスシステムは、フィールドバスに接続される一つのユニットしか1度に送信することができないという問題にさらされる。したがって、2つ以上のユニットが同時に送信したいとき、衝突が生じることがある。公知のフィールドシステムでは、優先順位を割り当てることによって、これらのような衝突が避けられる。しかしながら、詳細には、衝突が生じる場合には、低い優先順位をもつユニットが、非常に長い間ブロック化される、すなわち、いかなる送信ウィンドウも与えられないということはありうる。
【0015】
ノンセーフフィールドバスシステムでは、この問題は、例えば50%の最大許容バスロードを規定することによって解決される。バスロードは、この場合、フィールドバスが使用されている時間とフィールドバスが自由に使用可能である時間との商である。例えば、バスロードが規定された限界以下であれば、統計的に平均して、接続されたユニットはフィールドバスに十分アクセスすると仮定することができる。
【0016】
しかしながら、セーフティ−クリティカルプロセスを制御するとき、個々の状況では、かつ統計的な平均に対比して、対応するユニットが、許容できないほど長い間ブロック化されることがありうるので、このような解決では不充分である。
【0017】
【発明が解決しようとする課題】
この発明の一つの目的は、最初に述べたタイプの装置を特定し、それによって、故障が信号ユニットの領域で生じたときに、システム全体内のプロセスエレメントの任意の所望の組み合わせを、できるだけすばやく安全状態に変化させることである。
【0018】
【課題を解決するための手段】
最初に述べた装置については、安全信号ユニットは、フィールドバスを介して一般的な形態で送信される故障メッセージを評価する評価手段、ならびに関連するとして評価される故障メッセージが生じるとき、セーフティ−クリティカルプロセスを安全状態に自律的に変化させる切換手段を有するという点で、この目的が達成される。
【0019】
すでに公知の装置に対比して、この発明の信号ユニットは、フィールドバスを介して一般的な形態で送信される故障メッセージ、すなわち、それらには特定的に向かわない故障メッセージに自律的に反応する能力を有する。
信号ユニットによる自律反応は、それらが、より高レベルの制御ユニットからそれらに特定的に向けられる制御コマンドがなくても反応することができることを意味している。わかりやすく言えば、この発明の信号ユニットは、このようにある量の知能を有し、その知能は、それらのオペレーティングシステムおよび/またはそれらのハードウエア内に記憶される。
【0020】
この発明による装置には、個々の信号ユニットが、それらに与えられた知能のおかげで、一般に送信される故障メッセージを自律的に評価することができるという利点がある。このように、それらは、より高レベルの制御ユニットとは無関係に、装置全体の異なる領域に生じた故障に反応することができる。よって、各個別信号ユニットは、それに関連するセーフティ−クリティカルプロセスをオフに切り換える特定制御コマンドをもはや受け取る必要がない。この手段は、故障が生じると、一つの故障メッセージを用いてプロセスエレメントの任意の所望の組み合わせも同時にオフに切り換えることが可能であることを意味している。これは、関連信号ユニットの各々が、より高レベルの制御ユニットによって特定的にアドレス指定されなければならない場合よりかなり早い。
【0021】
このようにして、上記目的は完全に達成される。
この発明の一つの改良では、信号ユニットの各々は、多くの信号ユニットに故障メッセージを送る送信手段を有する。
この手段には、信号ユニットの各々が、それらの領域に故障が生じると、そのフィールドバスに接続される他の信号ユニットに直接知らせることができるという利点がある。信号ユニットの各々は、さらに、故障メッセージの受信に自律的に反応することができるので、このように、故障によって影響を及ぼされるセーフティ−クリティカルプロセスエレメントを、このような方法で特にすばやく安全状態に変化させることが可能である。この手段の特定的な利点は、より高レベルの制御ユニットが、この場合には信号ユニットとの通信にもはや全然かかわらない、すなわち、信号ユニットが、制御ユニットを介して間接ルートなしに直接互いに通信するということである。この結果、かなりの時間が節約される。
【0022】
この発明のなお一層の改良では、フィールドバスに接続される信号ユニットは各々、信号ユニットの少なくとも一つの規定されたグループに割り当てられ、各信号ユニットの評価手段は、そのそれぞれ関連するグループとの関連性について故障メッセージを評価する。
この手段には、個々の信号ユニットは、他の信号ユニットの領域で生じた故障が、それ自体のセーフティ−クリティカルプロセスとなんらかの関連性があるかどうかを非常にすばやく見つけ出すことができるという利点がある。結果として、影響を及ぼされる信号ユニットの各々は、一般的な形で送られる故障メッセージに特にすばやく反応することができる。
【0023】
上で述べた手段のなお一層の改良では、故障によって影響を及ぼされるグループは、各故障メッセージでコード化される。
この手段には、信号ユニットの各々が、それ自体、故障メッセージ自体から直接故障メッセージの関連性を識別することができるという利点がある。これにより、関連する故障の発生によりすばやく反応することさえも可能である。
この発明のなお一層の改良では、バスプロトコル内の故障メッセージは、それらの送リ手の優先順位にかかわらず、最も高い送信優先順位を有する。
【0024】
この発明のこの改良では、バスロードと無関係に、信号ユニットは、その故障の識別直後、故障メッセージを送ることが可能である。これは、たとえその信号ユニットが、フィールドバスの構造内で比較的低い送信優先順位しか有しない場合でも当てはまる。わりやすく言えば、フィ−ルドバスに接続される各加入者には、この場合、考えられる最も高い優先順位を有するメッセージを送る能力が与えられる。したがって、このシステムのより低レベルの領域においても、フィールドバスに接続される他のユニットに特にすばやく故障の発生を知らせることが可能である。結果として、明らかに「マイナーな」故障に非常にすばやく反応することが可能である。さらに、各ユニットには、バスロードが非常に高いときでさえ、かつその優先順位に関わらず、このようにしてバスアクセスを要求する能力が与えられる。
【0025】
この発明のなお一層の改良において、各信号ユニットの評価手段は、肯定応答メッセージを送ることなく故障メッセージを評価する。
この手段は、セーフティ−クリティカルプロセスを制御するとき、送られる各メッセージは、まず第一に、受信ユニットから送信ユニットへ送り戻される肯定応答メッセージを介して通常応答されるので、公知の装置と比較して特有の特徴を示している。送信ユニットは、受信ユニットにおいてデータ処理を中断する適当な手段を用いることによって、肯定応答メッセージがないことに通常反応する。対比して、この場合、例外的にいかなる肯定応答メッセージも必要とされないので、上記手段には、信号ユニットが受信した故障メッセージを直接いかなる時間遅延もなく処理することができるという利点がある。この手段により、故障の発生に対する反応の速度をさらに上げることが可能である。
【0026】
この発明のなお一層の改良では、各信号ユニットは、時間モニタを有し、それは期待事象がないときには、故障メッセージの送信を開始する。
この手段には、フィールドバスに接続される各信号ユニットが、特定の時間シーケンスに従うのをモニタするので、装置全体内で、高レベルの冗長度を与えるという利点がある。このように、上記手段は、相互モニタが「多数の人の間で」共用されるので、装置全体内の安全性を改善することに貢献する。
【0027】
上で述べた手段のなお一層の改良では、期待事象は、肯定応答メッセージの受信である。
この手段には、フィールドバスに接続されるユニットの各々は、メッセージが送られるとき、アドレス指定されるユニットの故障検査を自動的に実行するという利点がある。この結果、事実上いかなる切れ目もなく連続的な相互モニタが行われる。
【0028】
上で述べた手段のなお一層の改良では、期待事象は、周期的に送られるテストメッセージの受信である。
テストメッセージは、一つのユニット、例えば、より高レベルの制御ユニットから、フィールドバスに接続される他のユニットへ送られるメッセージである。すでに説明したように、このようなメッセージには、肯定応答メッセージによって応答しなければならないので、これは、より高レベルのユニットに、アドレス指定されたユニットとの接続に故障がないことを確かめる能力を与える。逆に、各信号ユニットは、テストメッセージの規則的で周期的な受信をモニタするので、より高レベルのユニットがモニタされる。
【0029】
上で述べた手段のなお一層の改良では、それ自体同様に発明とみなされるが、期待事象は、送信ウィンドウである。
すでに上で述べたように、多くのフィールドバスシステムにおける個々の接続されたユニットの通信は、送信許可の特定的な割り当てによって、または特定的な送信ウィンドウを与えることによって(例えば、フロフィバスの場合)調整される。他のフィールドバスシステムでは、個々のユニットには、それらに割り当てられる一定の優先順位に基づき、それらの送信許可が与えられる。どちらの場合にも、高負荷のため、ユニットが、許容できないほど長い間送信ウィンドウを待たなければならないということがありうる。各ユニットが、相応して長い間通信することを禁止されるので、これは、セーフティ−クリティカルプロセスを制御するとき危険であるかもしれない。しかしながら、上記手段により、影響を及ぼされるユニットは、相応して高いかまたは最も高い優先順位を有する故障メッセージを特定的に発することによって、より高い優先順位を有するバス加入者とさえ通信することが可能になる。この手段には、いずれかのユニットが許容できないほど長いブロック化を回避することがこの場合常に可能であるので、フィールドバスは、セーフティ−クリティカルプロセスを制御するときでさえ、非常に高いバスロードで動作することができるという利点がある。たとえバスロードが非常に高くても、このことは、メッセージが、一定の規定された最大時間間隔内にフィールドバスを介して常に送信されることを保証する。この手段はまた、この事実によって、それ自体特に有利である。
【0030】
この発明のなお一層の改良では、フィールドバスは、CANバスである。
この手段は、その基本的な構造によって、CANバスにより、バスに接続されるいずれかのユニット間でメッセージを送信しかつ受信することができるので、特に有利である。結果として、CANバスは特に、特定的な領域で故障が生じたとき、故障メッセージを多くの接続されたユニットに非常にすばやく送るのに非常に適する。しかしながら、同時に、この特徴のために、CANバスは、セーフティ−クリティカルプロセスを制御するとき、従うべき通信調整に関する非常に厳密に規定されたルールを必要とする。この発明による手段は、第一に通信調整に関する明白なルールを含み、かつ第二にCANバスの特有の特徴を最適に使用するので、CANバスと関連して特に有利である。全体的に見れば、この発明による手段と組み合わせたCANバスは、このようにセーフティ−クリティカルプロセスを制御するのに特に非常に適する。
【0031】
なお一層の改良では、それ自体有利であるが、その装置は、セーフティ−クリティカルプロセスを制御する少なくとも二つの安全制御ユニットを有し、かつこれらは、共通のフィールドバスを介して少なくとも一つの信号ユニットに接続される。
この手段には、装置を、制御ユニットの一つが故障したときでさえ、制御プロセスになお用いることができるという利点がある。例えば、これにより、一つの共通フィールドバスを介して互いに別々に二つの同一の機械システムを制御することが可能である。機械システムの一方が故障しても、他方は動作し続けることができ、かつある状況では、第一の機械システムの損失を補償するために、生産を増大さえすることができる。
【0032】
上で述べた手段のなお一層の改良では、その装置はまた、少なくとも二つの安全制御ユニットを調整する管理ユニットを有する。
この手段には、多くの制御ユニットの調整が、それらによって別々に行うことができるという利点があり、そのため制御ユニットは、それら自体、プロセスを制御するために、すなわち、応用プログラムを実行するために完全に使用可能である。さらに、制御ユニットの調整は、今度は装置に関する安全要因を考慮に入れなければならず、ユーザのアクセスから取り除かれる。
【0033】
一つのなお一層の改良では、その少なくとも二つの安全制御ユニットは、それらに共同で関連する少なくとも一つの信号ユニットを有し、第1安全制御ユニットは、上記信号ユニットと直接通信し、一方第2安全制御ユニットは、第一制御ユニットを介して上記信号ユニットと通信する。
この手段には、装置内の個々の資源、例えば緊急オフスイッチを、その多くの制御ユニットによって共同で用いることができるという利点がある。これにより、費用を節約することができ、かつ全体の柔軟性が向上する。この場合、上記手段により、共同で用いられる信号ユニットにアクセスするとき衝突を避けることが可能である。
【0034】
上で述べた特徴および以下で説明する特徴は、それぞれ述べた組み合わせでのみならず、この発明の請求の範囲を逸脱することなく、他の組み合わせででも、それら単独でも用いることができるのは自明である。
【0035】
【発明の実施の形態】
この発明の典型的な実施形態を、以下の説明においてより詳細に説明し、かつ図面に示す。
図1において、この発明による装置を、全体にわたって、参照番号10によって示す。
装置10は、二つの安全制御ユニット12、14を有し、それらは、フィールドバス16を介して合計4つの安全信号ユニット18、20、22、24に接続される。安全信号ユニット18〜24の各々は、多くのI/Oチャンネルを有し、それはそのI/Oチャンネルを介して、それぞれセーフティ−クリティカルプロセス28、30、32に接続される。この場合には、安全信号ユニット18、20は、プロセス28に接続され、一方信号ユニット22は、プロセス30に接続され、かつ信号ユニット24は、プロセス32に接続される。セーフティ−クリティカルプロセス28は、例えば、機械システムのための両手操作式制御であり、機械軸(ここでは図示せず)の回転速度もまたモニタされる。セーフティ−クリティカルプロセス30は、例えば、緊急オフスイッチのモニタであり、かつセーフティ−クリティカルプロセス32は、安全保護(同様に図示せず)のモニタである。
【0036】
信号ユニット18〜24は、第一に、それらのI/Oチャンネル26を用いて、セーフティ−クリティカルプロセス28〜32に関する信号および/またはデータ値を読み出す。これらのような信号およびデータ値は、例えば、機械軸の現在の回転速度、または緊急オフスイッチの切換位置である。第二に、信号ユニット18〜24は、それらのI/Oチャンネル26を用いてアクチュエータを作動することができ、それによってセーフティ−クリティカルプロセス28〜32が影響を及ぼされる。このように、例えば、緊急オフスイッチの切換位置がモニタされるセーフティ−クリティカルプロセスは、アクチュエータ(図示せず)を有し、それによって、制御されかつモニタされた機械システムの主電源をオフに切り換えることができる。
【0037】
安全制御ユニット12、14は各々、安全信号ユニット18〜24と基本的に同じ方法で設計される。このために、図1の制御ユニット12、14および信号ユニット18〜24を説明する次の参照符号を各々、一度だけ述べる。
制御ユニット12、14は各々、安全処理部34を含み、それは、図1では一点鎖線36より上方に配置される。この概略図では、ノンセーフ部38は、本来バス制御装置と呼ばれるモジュール40を含み、ライン36の下に位置決めされる。バス制御装置40は、標準モジュールであり、そこではフィールドバス16の標準プロトコルが実現される。バス制御装置40は、メッセージの実際の送信および受信を自律的に扱うことができる。それは、安全処理部34から送られるべきメッセージを受信する。逆に、それにより、受信したメッセージを、安全処理部34が使用できるようになる。
【0038】
この発明の一つの好ましい実施形態によれば、フィールドバス16は、CANバスである。このバスでは、送られるべきメッセージは、ペイロードフィールド内で送信され、そのペイロードフィールドには、フィールドバス16を介して、そのルートのためにさらなる制御情報が加えられる。制御情報およびペイロードフィールドのパッケット全体は、メッセージを形成する。バス制御装置40は、それが安全処理部34から受信するメッセージを、送られるべきメッセージに特定の形態で自律的にはめ込むことができる。逆に、それは、ペイロードフィールドに含まれるメッセージを、受信したメッセージから抽出することができる。
【0039】
各制御ユニット12,14の安全処理部34は、二つのチャンネルを有するように設計される。二つのチャンネルの各々は、それぞれ関連する周辺装置とともに処理装置42a,42bを本来含み、それによって応用プログラム44a,44bが実行される。機械システムのための制御、したがって制御ユニット12,14の知能は、応用プログラム44a,44bに存在する。
二つの処理装置42a,42bは、互いに関して重複して安全関連タスクを実行する。そのプロセスにおいて、それらは、図1の矢印46によって図示されるように、互いにモニタする。安全関連タスクは、例えば、送信されすなわち送られるメッセージのエラーから保護する手段を含む。バス制御装置40によって標準としてすでに実行されているエラー保護手段に加えて、これらの手段が実行される。したがって、ノンセーフフィールドバス16と比較して、エラーの可能性をかなり減じることが可能である。
【0040】
信号ユニット18〜24は、制御ユニット12、14と同じ方法で、同じバス制御装置40を介してフィールドバス16に接続される。よって、図1のライン50より上方の部分48は、この発明の目的のために、再びノンセーフである。ライン50より下方の安全処理部では、各信号ユニット18〜24は、再び2チャンネル冗長度をもって設計される。その2冗長処理チャンネルは、再び、相互故障モニタを実行することができる。
【0041】
信号ユニット18〜24の処理チャンネルの各々は、処理ユニット52a、52bならびに切換手段54a、54bを有する。処理ユニット52a、52bは共に評価手段を含み、それを用いて信号ユニット18〜24は、受信したメッセージを評価することができ、かつ処理ユニット52a、52bは共に送信手段を含み、それを用いて、かつバス制御装置40と組み合わせて、それらはフィールドバス16を介してメッセージを送ることができる。処理ユニット52は各々、意図したタスクを実行する処理装置を含むが、機械システムのユーザによって編集することができる応用プログラム44を有していない。このように、信号ユニット18〜24の機能範囲は、それぞれの製造業者によってのみ支配され、かついわゆるファームウェアにオペレーティングシステムとして記憶される。
【0042】
切換手段54により、信号ユニット18〜24は、セーフティ−クリティカルプロセス28〜32に影響を及ぼすために、ここで図示されていないアクチュエータを起動することが可能である。このように、切換手段54a、54bは、セーフティ−クリティカルプロセス28〜32を、安全状態に変化させることができる。想定した状況では、装置10が複雑な機械システムを制御するために用いられているが、セーフティ−クリティカルプロセス28〜32は、例えば、機械システムの部分、または機械システム全体の切換によって、それらの安全状態に変化する。
【0043】
参照番号56a、56bは各々、時間モニタを示し、信号ユニット18〜24内で、特定の時間シーケンスに従っているかどうか検査する。例えば、期待されるメッセージが規定された時間期間内に受信されていなければ、時間モニタ56a、56bは、故障報告を発し、結果として、機械システムをオフに切り換えることができる。
この発明の一つの好ましい実施形態によれば、信号ユニット18〜24は、信号ユニットの規定されたグループに割り当てられる。これらのグループは、今度は二つの制御ユニット12、14に割り当てられる。一例として、第一グループ58は、図1では鎖線を用いて示され、それに信号ユニット18、20、22が関連づけられる。参照番号60は、第二グループを示し、それに信号ユニット22、24が関連づけられる。これは、個々の信号ユニットもまた、信号ユニット22に関して示されるように、同時に多くのグループ58、60に割り当てることができるということを意味している。
【0044】
個々の信号ユニット18〜24のグループ58、60への割り当てにより、故障が装置10内で生じると、セーフティ−クリティカルプロセス28〜32を、グループ単位でオフに切り換えることが可能である。信号ユニット18〜24のグループ58、60への割り当ての一例では、互いに分離される二つの機械システムが、装置10によって、特に二つの制御ユニット12、14によって同時に制御される。生じた故障が二つの機械システムの一方のみに影響を及ぼす状況では、それはまた、この機械システムのみをオフに切り換えるのに十分である。このような場合の装置10を用いる二つの機械システムの接合制御により、第一機械システムの遮断を補償するために、第二機械システムの製造速度を速くすることが可能である。信号ユニット18〜24のグループ58、60への割り当てにより、セーフティ−クリティカルプロセス28〜32の任意の所望の組み合わせを、特定的にかつ信号制御コマンドを用いて安全状態に変化させることができる。
【0045】
図1の参照番号70は、いわば管理ユニットを示し、それはまた「マネージメント装置」と呼ばれる。同様に、管理ユニット70は、バス制御装置40を介してフィールドバス16に接続される。それは、このように、フィールドバス16に接続される他のユニットと通信することができる。しかしながら、管理ユニットは、制御ユニット12、14と信号ユニット18〜24との間の通信には直接かかわっていない。
【0046】
その安全処理部では、管理ユニット70は、特に二つの相互冗長メモリ72a、72bを有し、装置10の構成全体、特にフィールドバス16に接続されるユニットの構造が記憶される。管理ユニット70は、主として種々の制御ユニット12、16を互いに関して調整するために、中央管理およびモニタ機能を実行する。これは、一つのフィールドバス16上で異なる制御ユニット12、14を動作するのが可能であることを意味している。
【0047】
さらに、この典型的な実施形態では、管理ユニット70の一つのタスクは、規則的な時間間隔で接続テストを開始する。この場合には、管理ユニット70は、制御ユニット12、14に、これらの制御ユニットとの接続がまだうまく働いているかどうかを検査するために、テストメッセージを送る。制御ユニット12、14自体は、これらの通信接続もまた検査するために、それらに関連する信号ユニット18〜24にテストメッセージを送ることによって、このテストメッセージに反応する。管理ユニット70は、これに関するデータトラフィックの全てをモニタし、したがって、規則的な時間間隔で、公知のユニットの全てが、以前のようになおアクティブにフィールドバス16に接続されているかどうかについての情報を受信する。期待したテストメッセージがないときには、あるいは送られたテストメッセージへの期待した応答メッセージがないときには、管理ユニットおよび/または関連制御又は信号ユニットは、故障メッセージを作成し、それに基づいてセーフティ−クリティカルプロセス28〜32は、それらの安全状態に変化する。
【0048】
ここで説明した典型的な実施形態に代わるものとして、管理ユニット70はまた、制御ユニット12、14のひとつに一体化されてもよい。この状況では、管理ユニット70は、制御ユニット12、14内での機能ブロックを表し、それは次に、関連制御ユニットとフィールドバス16に接続される他の制御ユニットとを区別する。
管理ユニット70の使用は、この状況におけるようにフィールドバス16がCANバスであるとき、特に有利である。これは、この状況では、フィールドバス上で通信調整を実行すべきいかなる中央ユニットも通常ないからである。これに反して、フィールドバス16に接続されるユニットは、少なくとも原則的には、等しい優先順序を有する。標準CANバスの場合には、このように、フィールドバス16に接続されるユニットの構造変化の概要をもつユニットはない。ひとつのユニットの故障は、セーフティ−クリティカルプロセス28〜32を制御するときには、ある状況下で危険な状態を生じうるが、このように十分な信頼性で検出されない。CANバスの場合のこのセーフティループホールを、管理ユニット70を用いることによって閉じることができる。
【0049】
ここで説明する典型的な実施形態では、種々の制御ユニット12、14による、共同で用いられる一つのユニット、すなわち、一例としてのこの場合には信号ユニット22へのアクセスは、一つの制御ユニット、例えばこの場合には制御ユニット12に、「マスタ」機能が与えられるという点で調整される。この機能により、制御ユニット12は、共同で用いられる信号ユニット22と直接通信することができる。他の「スレーブ」制御ユニット、すなわち、この場合には制御ユニット14は、マスタ制御ユニット12の制御下でのみ、共同で用いられる信号ユニット22へのアクセスが認められる。この状況では、制御ユニット14は、まず第一に、共同で用いられる信号ユニット22に向けようとするメッセージを、マスタ制御ユニット12に送る。次に、この後者は、このメッセージを、共同で用いられる信号ユニット22に伝える。一方、信号ユニット24は、この典型的な実施形態では制御ユニット14にのみ関連するが、制御ユニット14によって直接アドレス指定される。共同で用いられる信号ユニット22の観点から、制御ユニット14は、フィールドバス16の構造内で、制御ユニット12に従属しているように見える。それは、信号ユニット18〜24と同じ方法で、制御ユニット12によってアドレス指定される。しかしながら、それによって単独で用いられる信号ユニット24の観点から、制御ユニット14自体は、マスタ機能を有する。
【0050】
二つの制御ユニット12、14の間の通信は、これらの二つの制御ユニットの各々と信号ユニット18〜24との間の通信と同じ方法で起こりうる。
個々の信号ユニット18〜24の、種々の制御ユニット12,14への割り当ては、信号ユニットのグループ58、60への割り当てと同じ方法で、管理ユニット70に記憶される。
図2は、まず第一に、制御ユニット14および信号ユニット24に基づき、装置10の通常の制御モードにおける、フィールドバス16を介する通常のデータトラフィックを示している。通常の制御モードでは、同じデータトラフィックもまた、制御ユニット12とそれに関連する信号ユニット18〜22との間で起こる。
【0051】
制御ユニット14は、制御コマンドを、矢印82の方向のメッセージの形で、信号ユニット24に送る。信号ユニット24は、メッセージ82を受け取り、かつ肯定応答メッセージで応答し、その肯定応答メッセージは、制御ユニット14まで、矢印84の方向に送り戻される。次に、信号ユニット24内の処理ユニット52は、受信した制御コマンドを評価し、かつ意図した動作を実行する。
一例として、その動作は、セーフティ−クリティカルプロセス32に関する信号またはデータ値を読出し、かつそれを制御ユニット14に送信する信号ユニット24を備えていてもよい。これは、矢印82の方向のメッセージを用いてなされ、それに対して制御ユニット14は、矢印82の方向の肯定応答メッセージで応答する。
【0052】
装置10が、通常の制御モードにあるとき、信号ユニット24は、信号ユニット18〜22のように、実行ユニットのみであり、その実行ユニットはそれ自体、いかなる自律的な動作も起こさない。特に、装置が通常の制御モードにあるとき、信号ユニット18〜24のどれも、そのような通信が自律的な動作にかならず依存するので、いかなる他の信号ユニット18〜24とも通信しない。
しかしながら、この通常の制御モードに対比して、信号ユニット18〜24の各々は、この発明によって、故障メッセージを、一般にフィールドバス16を介して他の信号ユニットへ送信することができる。同じように、信号ユニット18〜24の各々は、一般に送信される故障メッセージを評価し、かつそれに自律的に反応することができる。これを、図2の信号ユニット18の例に基づいて図示する。
【0053】
この例では、故障は、電光フラッシュ90によって示され、信号ユニット18の処理ユニット52aで生じている。処理ユニット52bは、処理ユニット52a、52bの相互検査に基づいて、この故障を確認する。この故障は、制御されるべきセーフティ−クリティカルプロセス28に関しては危険でありうるので、信号ユニット18は、故障メッセ−ジ92を発し、かつこれを一般的にはフィールドバス16を介して送る。故障メッセージ92は、一般的な第一部分94を有し、それを一般的な故障メッセージとして識別する。この一般的な部分を有するメッセージは、装置10の構造内での考えられる最も高い優先順位を自律的に有し、もし必要であれば、接続されたユニット間のフィールドバス16を介していかなるデータトラフィックをも中断する。
【0054】
故障90によって影響を及ぼされる信号ユニット18〜24のグループ58、60は、故障メッセージ92の第二部分96でコード化される。故障メッセージ92は、矢印98によって表されるように、フィールドバス16に接続される全てのユニットによって受信されかつ評価される。特に、故障メッセージ92は、この場合には、信号ユニット20、22、24によって受信されかつ評価される(その後者は、ここでは図示せず)。装置10の通常の制御モードに対比して、通信は、この場合このように、信号ユニット18と信号ユニット20〜24との間で直接起こる。
【0055】
処理ユニット52および個々の信号ユニット20〜24は、故障メッセージ92をそのようにして識別し、かつそれを第二部分96でコード化されたグループを用いて評価することができる。グループ58、60が故障メッセージ92の第二部分96でコード化される状況では、そのグループには受信信号ユニット20〜24が属するが、対応する処理ユニット52は、それと関連するセーフティ−クリティカルプロセス28、30をオフに切り換える。これは、図2のキー100によって表される。図2に示される状況では、例えば、第一グループ58に属する信号ユニットの全てが反応する。
【0056】
一例として、図3の概略図は、制御ユニット12と信号ユニット18〜20との間の通信のための時間シーケンスを示す。この場合、時間軸は、矢印110の方向に延びている。
種々のユニット間で送られる個々のメッセージは、矢印によって表され、送信機におけるその原点は、点によって識別され、かつその終点は受信機を指す。
ライン112より上方の第一時間期間は、装置10が通常制御モードにあるときは、関連ユニットの通信を表す。一例として、制御ユニット12は、制御コマンドを有するメッセージ114を信号ユニット18に送る。これは、肯定応答メッセージ116で応答する。次のステップでは、制御ユニット12は、さらなる制御コマンドを有するメッセージ118を、信号ユニット20に送る。これはまた、肯定応答メッセージ120で応答する。メッセージ114で信号ユニット18に送信された第一制御コマンドが、データ値を読むという要求を含んでいれば、信号ユニット18は、さらにメッセージ122で応答し、それを用いて必要とされるデータ値を制御ユニット12に送信する。制御ユニット12はまた、肯定応答メッセージ124を用いてメッセージ122に対して応答する。同じ方法で、信号ユニット20はまた、制御ユニット12にデータ値を送ることができる。この図からわかるように、装置10が通常制御モードにあるときには、信号ユニット18、20の間に通信はない。
【0057】
ライン112、126の間の次の時間期間は、故障が信号ユニット18内で生じた場合の装置10の動作を示す。この状況では、信号ユニット18は、フィールドバス16を介して一般的な故障メッセージ128を送り、すなわち、フィールドバス16に接続される各ユニットは、この故障128を受信することができる。特に、この場合の信号ユニット18は、故障メッセージ128を信号ユニット20に直接送る。次に、関連信号ユニット18〜20は、プロセス130、132をそれらの安全状態へ変化させることによって生じた故障に反応する。この図示から分るように、関連信号ユニット18〜20は、肯定応答メッセージを受信しまたは肯定応答メッセージの発信を生じるのを待つ必要なく受信された故障メッセージ128と反応する。
【0058】
ライン134より上方の次の時間期間は、フィールドバス16に接続されるユニット間の接続テストのシーケンスを示す。この場合、接続テストは、制御ユニット12によって開始されると仮定する。これに対比して、他の典型的な実施例における接続テストは、管理ユニット70によって開始される。
接続テストの最初に、制御ユニット12は、テストメッセージ136を信号ユニット18,20に送り、かつアドレス指定された信号ユニットの各々は、肯定応答メッセージ138、140でこのテストメッセージ136に応答する。この接続テストは、規則的で周期的な時間間隔で実行される。時間間隔は、フィールドバス16に接続されるユニットの各々により、テストモニタ56を使ってモニタされる。鎖線の矢印142によって表されるように、期待したテストメッセージがないときは、関連ユニット、この場合には信号ユニット20は、フィールドバス16に接続される全てのユニットに一般的な形でもう一度送られる故障メッセージ144を作成する。次に、フィールドバス16に接続されるユニットは、すでに述べた態様で反応する。
【0059】
ライン134より下方の次の時間期間に、さらなる故障源を示す。この時間期間では、信号ユニット20は、フィ−ルドバス16を介してメッセージを送ろうとする。しかしながら、そのプロセスでは、それは、制御ユニット12と信号ユニット18との間で同時に起こるメッセージトラフィック146、148と衝突する。多くのほかのバスシステムにおけるように、CANバスでは、これらのような衝突は、優先順位を割り当てることによって避けられる。しかしながら、信号ユニットが、そのメッセージを送るための低い優先順序を有するなら、このメッセージを、比較的長い時間期間、フィールドバス16を介して送らないということがありうる。
【0060】
分りやすいように、信号ユニット20がこの場合にブロック化される時間期間は、フィールドバス16上での負荷レベルに依存している。この場合、いわゆるバスロードは、フィールドバス16が用いられているその時間とフィールドバス16が自由に使用可能である時間との商として規定される。ノンセーフフィールドバスの場合には、ユニット、例えばこの場合には信号ユニット20がブロック化されうる時間が、最大許容バスロードを特定することによって規定される。例えば、バスロードが50%未満であれば、接続されたユニット全部は、統計的に平均して、フィールドバス16へ十分アクセスできると仮定することができる。しかしながら、個々の状況においてかつ統計的な平均に対比して、信号ユニット20は、許容できないほど長い間ブロック化されることがありうるので、そのような規定は、セーフティ−クリティカルプロセスを制御するには不十分である。
【0061】
この発明によれば、このような場合には、信号ユニット20は、このように、最大優先順位を有する故障メッセージ150を作成する。このことは、信号ユニット20の許容できないほど長いブロック化が、規定された時間間隔がいったん経過すると常に終ることを保証し、そのことは信号ユニット20のために時間モニタ56によってモニタされる。
全く一般的な形では、この手段は、フィールドバス16に接続されるが本来低優先順位をもつユニットに、バスアクセスを要求する能力を与える。このように、セーフティ−クリティカルプロセスを制御するとき、50%よりかなり大きいバスロードをもってフィールドバス16を動作することが可能である。
【図面の簡単な説明】
【図1】 二つの安全制御ユニットが、フィールドバスを介して合計4つの安全信号ユニットに接続されたこの発明の典型的な実施形態を示す。
【図2】 フィールドバスを介する種々のデータトラフィックを示す。
【図3】 安全制御ユニットと二つの安全信号ユニットとの間の種々の通信シーケンスの概略図を示す。

Claims (12)

  1. 安全性が不可欠なプロセス(28、30、32)を制御する装置(10)であって、
    前記プロセス(28,30,32)を制御する安全制御ユニット(12、14)それぞれ少なくともひとつのグループ(58,60)に属し、I/Oチャンネル(26)を持ち、そのI/Oチャンネル(26)を介して前記プロセス(28、30、32)に接続される複数の安全信号ユニット(18、20、22、24)前記安全制御ユニット(12、14)および前記安全信号ユニット(18、20、22、24)接続され、前記安全信号ユニット(18、20、22、24)安全制御ユニット(12、14)との通信を伝送するフィールドバス(16)とを有し
    前記安全信号ユニット(18、20、22、24)同士は、当該装置(10)が通常制御モードにあるときには、互いの通信を行わず、
    安全信号ユニット(22)は、当該安全信号ユニット(22)により故障が検出されたときには、前記フィールドバス(16)を介して故障メッセージ(92)を送信する送信手段(52a、52b)と、他の安全信号ユニット(18)からフィールドバス(16)を介して送信され故障メッセージ(92)が、当該安全信号ユニット(22)が属するグループ(58)のプロセス(28、30)と関連するか否かを評価する評価手段(52a、52b)と、関連するとして評価された故障メッセージ(92)が生じると、当該プロセス(28,30)を、前記I/Oチャンネル(26)を介して安全状態に自律的に変化させる切換手段(54a、54b)とを有する、装置。
  2. 各故障メッセージ(92,128,144,150)は、故障によって影響を及ぼされるそれらのグループ(58、60)ごとにコード化される請求項に記載の装置。
  3. 前記フィールドバス(16)は、通信のためのバスプロトコルを用意し、バスプロトコルは、各信号ユニット(18、20、22、24)に優先度を割り当て、
    バスプロトコル内の故障メッセージ(92,128,144,150)は、それらの送り手の優先順位に関わらず、最も高い送信優先順位が割り当てられている請求項1又は請求項2に記載の装置。
  4. 安全信号ユニット(18、20、22,24)の評価手段(52a、52b)は、肯定応答メッセージ(116、120)を送信することなく、故障メッセージ(92,128,144,150)を評価する請求項1ないし請求項のいずれかに記載の装置。
  5. 安全信号ユニット(18、20、22、24)は、イベントの発生を時間的にモニタする時間モニタ(56)を有し、モニタした所定時間内に期待事象がないときは、故障メッセージ(92,128,144,150)の送信を開始する請求項1ないし請求項4のいずれかに記載の装置。
  6. 前記期待事象は、肯定応答メッセージ(116,120,124)の受信である請求項に記載の装置。
  7. 前記期待事象は、周期的に送信されるテストメッセージ(136,142)の受信である請求項に記載の装置。
  8. 前記期待事象は、送信ウィンドウ(152)の割り当てである請求項に記載の装置。
  9. 前記フィールドバス(16)はCANバスである請求項1ないし請求項8のいずれかに記載の装置。
  10. 前記装置(10)は、前記プロセス(28、30、32)を制御する少なくとも二つの安全制御ユニット(12、14)を有し、それらは、共通のフィールドバス(16)を介して、前記安全信号ユニット(18、20、22,24)に接続される請求項1ないし請求項9のいずれかに記載の装置。
  11. 前記装置(10)はさらに、前記少なくとも二つの安全制御ユニット(12、14)の通信を調整する管理ユニット(70)を有する請求項10に記載の装置。
  12. 前記少なくとも二つの安全制御ユニット(12、14)は第1安全制御ユニット(12)と第2安全制御ユニット(14)とを含み、それらに共同で関連する少なくとも一つの安全信号ユニット(22)を有し、前記第1安全制御ユニット(12)は、前記安全信号ユニット(22)と直接通信し、前記第2安全制御ユニット(14)は、前記第一安全制御ユニット(12)を介して前記安全信号ユニット(22)と通信する請求項10または請求項11に記載の装置。
JP2001519239A 1999-08-20 2000-07-07 プロセス制御装置 Expired - Lifetime JP4480313B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE19939567A DE19939567B4 (de) 1999-08-20 1999-08-20 Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE19939567.5 1999-08-20
PCT/EP2000/006483 WO2001014940A1 (de) 1999-08-20 2000-07-07 Vorrichtung zum steuern von sicherheitskritischen prozessen

Publications (2)

Publication Number Publication Date
JP2003507810A JP2003507810A (ja) 2003-02-25
JP4480313B2 true JP4480313B2 (ja) 2010-06-16

Family

ID=7919068

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001519239A Expired - Lifetime JP4480313B2 (ja) 1999-08-20 2000-07-07 プロセス制御装置

Country Status (7)

Country Link
US (1) US6832343B2 (ja)
EP (1) EP1221075B1 (ja)
JP (1) JP4480313B2 (ja)
AT (1) ATE251317T1 (ja)
AU (1) AU6690200A (ja)
DE (2) DE19939567B4 (ja)
WO (1) WO2001014940A1 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10001395A1 (de) * 2000-01-14 2001-08-02 Infineon Technologies Ag Codierverfahren zur Codierung von Aktoren-Steuerbefehlen und Aktorensteuereinheit zur Steuerung von Aktoren
WO2002075464A1 (de) * 2001-03-15 2002-09-26 Robert Bosch Gmbh Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
WO2002075463A1 (de) 2001-03-15 2002-09-26 Robert Bosch Gmbh Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE10119791B4 (de) * 2001-04-23 2006-11-02 Siemens Ag Mikroprozessorgesteuertes Feldgerät zum Anschluss an ein Feldbussystem
DE60225443T2 (de) * 2001-05-31 2009-03-26 Omron Corp. Sicherheitseinheit, steuerungsverkettungsverfahren, steuerungssystemsteuerverfahren und steuerungssystemüberwachungsverfahren
CN1259601C (zh) * 2001-05-31 2006-06-14 欧姆龙株式会社 从动设备、网络系统、从动设备的处理方法及设备信息收集方法
US7472106B2 (en) * 2001-06-22 2008-12-30 Omron Corporation Safety network system and safety slave
US7051143B2 (en) * 2001-06-25 2006-05-23 Schneider Automation Inc. Method, system and program for the transmission of modbus messages between networks
US7289861B2 (en) 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
DE10248100A1 (de) * 2002-10-15 2004-04-29 Abb Patent Gmbh Sicherheitsgerichtete Vorrichtung zum Anschluss von Feldgeräten an einen Feldbus
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
US7330768B2 (en) * 2003-01-28 2008-02-12 Fisher-Rosemount Systems, Inc. Integrated configuration in a process plant having a process control system and a safety system
GB2423835B (en) * 2003-01-28 2008-01-09 Fisher Rosemount Systems Inc Process control system with an embedded safety system 1
DE10325263B4 (de) * 2003-06-03 2013-09-19 Phoenix Contact Gmbh & Co. Kg Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
JP4511861B2 (ja) 2003-04-01 2010-07-28 フィッシャー−ローズマウント システムズ, インコーポレイテッド オーバライドおよびバイパスを利用したプロセス制御・安全システム内におけるフィールドデバイスの動作調整
US6898542B2 (en) * 2003-04-01 2005-05-24 Fisher-Rosemount Systems, Inc. On-line device testing block integrated into a process control/safety system
US7089066B2 (en) * 2003-04-24 2006-08-08 Colorado Vnet, Llc Distributed control systems and methods
US20040218591A1 (en) * 2003-04-29 2004-11-04 Craig Ogawa Bridge apparatus and methods of operation
DE10320522A1 (de) * 2003-05-02 2004-11-25 Pilz Gmbh & Co. Verfahren und Vorrichtug zum Steuern eines sicherheitskritischen Prozesses
DE10331872A1 (de) * 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
DE10355862A1 (de) * 2003-11-25 2005-07-14 Siemens Ag Prozessanschaltung für das sichere Betreiben von sicherungstechnischen Einrichtungen
JP4379793B2 (ja) * 2004-03-12 2009-12-09 株式会社デンソー 車両用電子制御装置
DE102004018642A1 (de) * 2004-04-16 2005-12-01 Sick Ag Prozesssteuerung
DE102004034862A1 (de) * 2004-07-19 2006-03-16 Siemens Ag Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe
DE102004039932A1 (de) 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
US7453677B2 (en) * 2004-10-06 2008-11-18 Teknic, Inc. Power and safety control hub
US20060200278A1 (en) * 2005-03-02 2006-09-07 Honeywell International Inc. Generic software fault mitigation
DE102005009795A1 (de) * 2005-03-03 2006-09-14 Wago Verwaltungsgesellschaft Mbh Mikroprozessorsystem für eine Maschinensteuerung in sicherheitszertifizierbaren Anwendungen
DE102005010820C5 (de) * 2005-03-07 2014-06-26 Phoenix Contact Gmbh & Co. Kg Kopplung von sicheren Feldbussystemen
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
EE05043B1 (et) * 2005-06-21 2008-06-16 Mirovar O� Meetod elektriliste ja elektrooniliste seadmete, süsteemi sisaldava objekti ning selle osade haldamiseks
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7454252B2 (en) * 2006-03-08 2008-11-18 Moore Industries International, Inc. Redundant fieldbus system
DE102007050708B4 (de) * 2007-10-22 2009-08-06 Phoenix Contact Gmbh & Co. Kg System zum Betreiben wenigstens eines nicht-sicherheitskritischen und wenigstens eines sicherheitskritischen Prozesses
DE102009033529A1 (de) 2009-07-10 2011-01-13 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE102009050449C5 (de) * 2009-10-23 2012-11-15 Siemens Aktiengesellschaft Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems
DE102009054155A1 (de) * 2009-11-23 2011-05-26 Abb Ag Ein- und/oder Ausgabe-Sicherheitsmodul für ein Automatisierungsgerät
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
DE102010038484A1 (de) * 2010-07-27 2012-02-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Verfahren und Vorrichtung zum Steuern einer Anlage
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
US8538558B1 (en) * 2012-03-01 2013-09-17 Texas Instruments Incorporated Systems and methods for control with a multi-chip module with multiple dies
EP2720098B1 (de) 2012-10-10 2020-04-15 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
EP2720094B1 (de) * 2012-10-10 2015-05-20 Sick Ag Sicherheitssystem
EP2767877B1 (de) * 2013-02-13 2016-07-06 Phoenix Contact GmbH & Co. KG Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
KR101506301B1 (ko) 2013-06-26 2015-03-26 도로교통공단 캔 통신을 이용한 교통신호 제어시스템
JP5790723B2 (ja) * 2013-09-12 2015-10-07 日本電気株式会社 クラスタシステム、情報処理装置、クラスタシステムの制御方法及びプログラム
EP2937745B1 (de) * 2014-04-25 2016-10-05 Sick Ag Sicherheitssteuerung zum sicheren Betreiben einer technischen Anlage und Verfahren zum Betreiben der Sicherheitssteuerung
DE102014110017A1 (de) * 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE202014104531U1 (de) * 2014-09-23 2014-10-02 Leuze Electronic Gmbh + Co. Kg Sensor zur Erfassung von Objekten in einem Überwachungsbereich
AT517784B1 (de) 2015-10-01 2021-01-15 B & R Ind Automation Gmbh Verfahren zur automatisierten Steuerung einer Maschinenkomponente
DE102016117821A1 (de) * 2016-09-21 2018-03-22 Pilz Gmbh & Co. Kg Sicherheitsschaltung zum fehlersicheren Abschalten einer gefahrbringenden technischen Anlage
DE102016220197A1 (de) * 2016-10-17 2018-04-19 Robert Bosch Gmbh Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
EP3401742B1 (de) * 2017-05-09 2020-09-02 Siemens Aktiengesellschaft Automatisierungssystem und verfahren zum betrieb
DE102017109886A1 (de) * 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes
CN114237092A (zh) * 2021-11-18 2022-03-25 北京卫星制造厂有限公司 电平信号型开关机控制电路
DE102021132828A1 (de) 2021-12-13 2023-06-15 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Fehlermeldungs-quittierung

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE698837C (ja) 1937-09-20 1940-11-18 Ferdinand Stoeckeler
DE4225834A1 (de) * 1992-08-05 1994-02-10 Inter Control Koehler Hermann Speicherprogrammierbare digitale Steuerungseinrichtung
DE4423013A1 (de) * 1993-06-30 1995-01-12 El Sayed Thrwat Ahmed Hosny Identifikationskarte für Kraftfahrzeuge
EP0698837B1 (de) * 1994-08-12 1997-04-23 Siemens Aktiengesellschaft Verfahren und Einrichtung zur periodischen Datenübertragung mit Broadcast-Funktion zum unabhängigen Datenaustausch zwischen externen Einheiten
DE4433013A1 (de) * 1994-09-15 1996-03-28 Jochen Bihl Verfahren und Vorrichtung zur Steuerung und Aktivierung von miteinander mittels eines Bussystems vernetzten Sensoren und/oder Aktuatoren
DE19508841C2 (de) * 1994-11-18 2002-03-28 Leuze Electronic Gmbh & Co Sicherheitsschalteranordnung
DE19529430C2 (de) * 1995-07-06 2000-07-13 Baumueller Nuernberg Gmbh Elektrisches Antriebssystem zur Verstellung von mehreren dreh- und/oder verschwenkbaren Funktionsteilen
DE19528437A1 (de) * 1995-08-02 1997-02-06 Siemens Ag Verfahren zum Betreiben eines Datenübertragungssystems
US5796721A (en) * 1996-06-21 1998-08-18 National Instruments Corporation Method and system for monitoring fieldbus network with dynamically alterable packet filter
DE19742716C5 (de) * 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
US6298454B1 (en) * 1999-02-22 2001-10-02 Fisher-Rosemount Systems, Inc. Diagnostics in a process control system
US20010013826A1 (en) * 1999-09-24 2001-08-16 Kavlico Corporation Versatile smart networkable sensor
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media

Also Published As

Publication number Publication date
ATE251317T1 (de) 2003-10-15
DE50003944D1 (de) 2003-11-06
AU6690200A (en) 2001-03-19
DE19939567A1 (de) 2001-03-08
WO2001014940A1 (de) 2001-03-01
EP1221075A1 (de) 2002-07-10
JP2003507810A (ja) 2003-02-25
US20020093951A1 (en) 2002-07-18
US6832343B2 (en) 2004-12-14
EP1221075B1 (de) 2003-10-01
DE19939567B4 (de) 2007-07-19

Similar Documents

Publication Publication Date Title
JP4480313B2 (ja) プロセス制御装置
JP4776374B2 (ja) 二重化監視制御システム、及び同システムの冗長化切替え方法
US8335573B2 (en) Safety-oriented control system
US7120505B2 (en) Safety network system, safety slave, and safety controller
US7050860B2 (en) Safety network system, safety slave, and communication method
US6061600A (en) Backup control mechanism in a distributed control network
US8134448B2 (en) Method and control and data-transmission system for checking the installation location of a safety communications component
US7269465B2 (en) Control system for controlling safety-critical processes
JP4599013B2 (ja) 安全ステーションを設定する方法およびそれを利用した安全制御システム
US7697538B2 (en) Data transfer method and automation system used in said data transfer method
US7844865B2 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
US7246270B2 (en) Programmable controller with CPU and communication units and method of controlling same
US5329528A (en) Duplex communication control device
EP3696967B1 (en) Motor control system
US7609714B2 (en) Programmable controller and duplexed network system
EP2080323B1 (en) Method for protection switching
US20120089749A1 (en) Network and Method for Operating the Network
US20220407828A1 (en) Activation system, control module, and method for operating
US6934882B2 (en) Method and device to transmit data
JPH10232704A (ja) 二重化プログラマブルコントローラ
CN110389567B (zh) 工业设备
WO2020255787A1 (ja) 制御装置及び制御方法
CN107577163B (zh) 防故障的自动化系统、输入系统和设备
JPH0447406A (ja) プログラマブルコントローラの通信装置
JP2002009785A (ja) 通信システムの監視方式

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070320

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100218

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100316

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130326

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140326

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250