JP4504165B2 - 制御システム - Google Patents
制御システム Download PDFInfo
- Publication number
- JP4504165B2 JP4504165B2 JP2004333927A JP2004333927A JP4504165B2 JP 4504165 B2 JP4504165 B2 JP 4504165B2 JP 2004333927 A JP2004333927 A JP 2004333927A JP 2004333927 A JP2004333927 A JP 2004333927A JP 4504165 B2 JP4504165 B2 JP 4504165B2
- Authority
- JP
- Japan
- Prior art keywords
- safety
- control unit
- control system
- bus master
- fieldbus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 45
- 230000008569 process Effects 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 38
- 230000006870 function Effects 0.000 claims description 20
- 238000012360 testing method Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000007257 malfunction Effects 0.000 claims description 6
- 238000011144 upstream manufacturing Methods 0.000 claims description 3
- 125000004122 cyclic group Chemical group 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000008672 reprogramming Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101100313653 Caenorhabditis elegans kat-1 gene Proteins 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 208000001034 Frostbite Diseases 0.000 description 1
- 241000282414 Homo sapiens Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40013—Details regarding a bus controller
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40006—Architecture of a communication node
- H04L12/40019—Details regarding a bus master
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/22—Pc multi processor system
- G05B2219/2225—Communication, CPU accesses own I-O and next CPU over dual port memory
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25014—Fieldbus general name of bus connected to machines, detectors, actuators
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25174—Ethernet
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25431—Dual Port memory
Description
本発明は、一般に、セーフティクリティカル(safety−critical、安全性が決定的に重要)なプロセスを制御する制御システムに関し、詳細には、フィールドバスを介した通信を用いる制御システムに関する。
ここ数年間、自動化の分野で、入出力機器、および上位制御装置に接続されたフィールドバス・システム(fieldbus system)がますます頻繁に使用されるようになっている。この1例が、EN50254規格に基づくインターバス(interbus)である。
そのようなフィールドバス・システムは、通常、制御されるプロセスに接続された複数の信号ユニットまたはバス・ユーザ、およびフィールドバスを介した「フィールドバス・メッセージ」を用いてフレームベースの通信を制御するバス・マスタを含む。
そのようなフィールドバス・システムは、銅線を節約することができるため、ケーブル配線の複雑さを大幅に低減させることができる。しかしながら、1つの問題は、安全関連要求を満たすようにシリアル・フィールドバス・システムを設計するというものである。そのような安全関連諸機能には、例として、フィールドバス・システムを安全な状態にすることができる停止機能や緊急オフ機能がある。
初期のフィールドバス・システムでは、このために必要とされる制御信号が、それぞれ、フィールドバス自体を介してではなく、別々の線を介して制御装置とバス・ユーザの間で送信される。
他の知られている手法には、適当なレベルの冗長性を用いて設計された安全機能を実行するためのあらゆる装置が関与する。これに関しては、例えば、少なくとも一部が冗長な設計のものである(技術的設備のための)電気自動化システムを開示している、独国特許出願公開第40 32 033号に言及することができる。このシステムでは、安全関連信号が重複してトリガされ、少なくとも2つの互いに独立な信号経路を通って、その安全関連信号を評価する少なくとも一部は冗長なユーザに送信される。
独国特許第37 06 325号には、安全関連装置が、相互にやりとりできるように別の緊急停止制御線に接続されている制御およびデータ・ネットワークが記載されている。
これらの知られている技法は、多数の冗長構成部品が必要とされ、または付加制御信号を送信するために並列信号線が必要とされるという付随した欠点を持つ。
独国特許第197 427 16号には、安全関連装置がフィールドバスを介して互いにやりとりすることができ、各出力が、スイッチを介してバス・インターフェイス装置に接続され、それぞれのバス・ユーザ、および/またはマスタ制御装置の安全関連装置に直接接続されている制御およびデータ伝送設備が開示されている。
この設備は、すでに、安全制御がフィールドバスを用いて実施されるという利点を有しているが、以下に述べる本発明は、それをさらに改善するためのものである。
独国特許第199 28 517号には、安全制御ユニットがフィールドバスに接続されている、セーフティクリティカル・プロセスのための別の制御システムが提案されている。ただし、このシステムには様々な点で欠点がある。
まず、信号ユニットにアドレス指定されたメッセージ・データが作成され、次いでそれが、安全制御ユニットによって、さらに、フェイルセーフ・メッセージ・データで置き換えられる必要がある。この手順は非効率的であるように思われる。
また、データは、制御ユニットが処理を実行できるように、バス・マスタと安全制御ユニットの間で、活動状態にあるフィールドバスだけを介して送信され得る。これは、不利であると考えられる。というのは、この通信が可能なのは、フィールドバスが活動状態にあるときにだけだからである。
さらに、フィールドバスを介した伝送は比較的低速であり、不都合なことに、診断オプションが、仮にあったとしても、非常に大きな制限の下でしか使用することができない。
独国特許出願公開第40 32 033号
独国特許第37 06 325号
独国特許第197 42 716号
独国特許第199 28 517号
本発明は、安全制御ユニットとバス・マスタの間で効率のよい通信が行われるように、セーフティクリティカル・プロセスのための制御システムを改善するという目的に基づくものである。
本発明の別の目的は、特にエラーが発生した場合に改善された診断および反応オプションを開くこの種の制御システムを提供することである。
本発明の別の目的は、高水準の安全性を保証するこの種の制御システムを提供することである。
本発明の別の目的は、前述の欠点を回避し、安全関連装置をシステムに容易に安価に組み込めることによりシステムの柔軟性が高められ得るこの種の制御システムを提供することである。
本発明の目的は、単に、各独立請求項の主題だけによって、驚くほど簡単に達成される。本発明の有利な展開形態は従属請求項で定義される。
本発明によれば、セーフティクリティカル・プロセスを制御するために制御およびデータ伝送システムがセットアップされ、このシステムは、フィールドバス、具体的にはシリアル・フィールドバスと、フィールドバスを介した通信を制御するためにフィールドバスに接続されたバス・マスタとを含む。
また、このシステムは、動作時に、入出力チャネルを介してセーフティクリティカル・プロセスの少なくとも1つにリンクされ、または接続される、少なくとも1つの安全信号ユニットまたは安全バス・ユーザも含む。
好ましくは、このシステムは、複数の信号ユニット、具体的には安全信号ユニットと非安全信号ユニットを含み、安全信号ユニットはセーフティクリティカル・プロセスにリンクされ、非安全信号ユニットは非安全プロセスにリンクされる。
また、バス・マスタと信号ユニットは、相互に、具体的にはフィールドバスを介して直列に接続され、フィールドバスは、バス・マスタと信号ユニットの間で循環通信またはメッセージ・トラフィックを実行するために使用される。
また、セーフティクリティカル・プロセスを制御するのに使用される、具体的には統合された安全制御装置を備える第1の安全制御ユニットも含まれる。このために、安全信号ユニットおよび安全制御ユニットは、それぞれ、安全関連装置を備える。
これは、セーフティクリティカル・プロセスを制御するためのフェイルセーフ通信に備えるものである。当分野の技術者には自明のことであるが、絶対的なフェイルセーフを達成することは不可能であり、したがって、フェイルセーフ通信とは、非安全通信と比べてより高いフェイルセーフが保証されている通信を意味するものであると理解される。
本発明によれば、安全制御ユニットまたは安全制御装置、具体的には安全制御ユニット中の安全関連装置は、フィールドバスから独立して、あるいはフィールドバスを介さずにバス・マスタに接続され、フィールドバスから独立して、具体的には双方向で前記バス・マスタとやりとりする。
第1の制御ユニットは、フィールドバスに直接接続されず、好ましくは第1のインターフェイスにより直接バス・マスタに接続されるため、フェイルセーフ・データは、好ましくは、いずれにしても存在する「マルチポート・メモリ・インターフェイス」である第1のインターフェイスを介して、第1の制御ユニットからバス・マスタに送信され得る。このインターフェイスは、1つまたは複数のイーサネット(登録商標、以下同)インターフェイス、特に高速イーサネット・インターフェイスも含み得る。
次に、バス・マスタは、フェイルセーフ・データを信号ユニットに送信するために、そのデータをフィールドバス・メッセージまたはフィールドバス通信の要約フレームに挿入する。したがって、安全関連データがデータ・レベルで適当な信号ユニットに送信され、そのため、元は非安全のバス・プロトコルがデータ・レベルで「安全」とされる。
パラレルまたは非シリアルのマルチポート・メモリ・インターフェイスを介した安全制御ユニットとバス・マスタの間の通信は、フィールドバスを介した通信より著しく効率がよく、例えば、より多くの診断オプションを提供することができる。
換言すると、安全制御ユニットは、安全指向のプロトコルを生成し、それをバス・マスタに送信する。次いで、フィールドバス上の通信が、具体的には、安全指向のプロトコルがバス・マスタによって直接に、かつ/または専用の安全関連機能なしでユーザ・データとしてフィールドバス・メッセージに挿入され、安全信号ユニットに送信されるように処理される。
そのため、独国特許第199 28 517号の文献で提案されている解決法と比べると、安全制御ユニットを、フィールドバスを介さずに直接バス・マスタに接続するという全く逆の方針が取られる。そのため、本発明は、このシステムが受入れていた欠点を回避する。
本発明は、明らかに、独国特許第199 28 517号に即して安全制御ユニットをフィールドバスに接続することにより達成される方法ほど容易に、既存の制御システムの改良を可能にするものではない。すなわち、一見したところ、それと比べると後退であるかのような印象が得られる可能性がある。
しかしながら、当分野の技術者には意外なことと思われるであろうが、おそらく既存の欠点をはるかに補って余りある、この解決法に優る他の十分な利点が得られる。
具体的には、安全制御ユニットとバス・マスタの間でのはるかに緊密で高速の通信が可能となる。
したがって、本発明の一実施形態によれば、安全制御ユニットとバス・マスタの間の接続が、イーサネット接続によって、特に一致したインターフェイスを用いた高速イーサネット接続によっても確立される。
また、制御ユニットとバス・マスタの間の実際の通信は安全である。
さらに、すべてのエラーが結果として直ちにシステムのスイッチを切ることを必要とするとは限らず、所定のエラーが発生した場合には、システムが緊急プログラムを用いて動作し続けることのできる程度まで、エラーに対する柔軟な反応が可能である。
この方法はフィールドバスまたはネットワークから独立であり、そのため、安全工学システムを、以前に知られている制御システムでのものより効率よく、はるかに安全にする。
フィールドバスを介したフレームベースの伝送の場合には、バス・マスタは、例えば、安全制御ユニットからのフェイルセーフ・データを信号ユニットに送信するために、そのデータをフィールドバス・フレームに挿入する。
安全制御ユニットとバス・マスタの間のこのフィールドバスから独立の通信には、同時にいくつかの利点がある。
まず、安全制御ユニットとバス・マスタの間のデータ交換が、フィールドバスを介した通信が活動状態にないときでも行われ得ることが有利である。これは、例えば、安全制御ユニットがバス・マスタを、安全制御ユニットの所定の機能(安全動作状態など)が確実であるときにだけ(その場合に限り)バス・マスタが作動されるように制御するという趣旨で使用され得る。
例をあげると、バス・マスタは、安全制御ユニットが自己テストを正常に完了するまで作動されない。自己テストは、安全制御ユニットがオンに(「電源投入」)されると必ず、特に自動で実行される。好ましくは、バス・マスタは、自己テスト時には安全制御ユニットによって非活動化され、または動作不能な状態、例えば、リセット状態に切り換えられる。
代替として、またはそれに加えて、バス・マスタも、電源投入後、すなわち具体的には制御ユニットでの自己テスト後に、同様に自己テストを実行することができる。これは、システムの安全性がさらに増すことを意味する。
換言すると、バス・マスタは、第1の制御ユニットで、かつ/またはバス・マスタで正常な自己テストが終了するまで動作状態に切り換わらない。それによって、バス・マスタまたは安全制御ユニットに誤動作がある場合には、フィールドバスを介した通信が決して実際には始動されないという効果が得られる。別の利点は、第1の制御ユニットが活動状態である間だけバス・マスタも活動状態であることである。
好ましくは、バス・マスタと第1の制御ユニットは、第1のフィールドバス独立インターフェイスを介して相互に接続された別々の構成部品である。有利な実施形態によれば、バス・マスタと第1の制御ユニットは、イーサネット・プロトコルを介してやりとりする。特に、イーサネットまたは高速イーサネット接続は、第1の制御ユニットおよび/またはバス・マスタを別の既存の、またはこれから設定されるネットワークに統合することを可能にする。また、イーサネット・プロトコルを介した、特に高速イーサネットによる通信は、一般のフィールドバスと比べて著しく高速となり得る。
シリアル・フィールドバスは、好ましくは、インターバスであり、バス・マスタは、好ましくは、標準G4バス・マスタ、すなわち、EN50254規格に基づく非安全バス・マスタである。
すでに述べたように、この種のG4バス・マスタは、安全制御ユニットをバス・マスタに接続するのに使用される「マルチポート・メモリ・インターフェイス」を有する。したがって、バス・マスタと安全制御ユニットの間のデータ伝送は、フィールドバスを介してではなく、イーサネット・インターフェイスも含み得る、マルチポート・メモリ・インターフェイスを介して行われる。
この場合には、具体的には第1の制御ユニットが安全制御データおよび安全通信のための安全プロトコルを提供し、その安全制御データおよび安全プロトコルをバス・マスタに送信する。次に、バス・マスタが、その安全制御データおよび安全プロトコルを、特にその情報を変更せずに、ユーザ・データとして正しいフィールドバス・メッセージに入れる。フィールドバスへの接続のために、バス・マスタは、フィールドバスを介したデータの送信に使用される第2のインターフェイスを有し、第1と第2のインターフェイスは、好ましくは、互いに隔離される。
前述したシステムの特徴は、有利には、標準の、一般に非安全のバス・マスタを、様々な安全関連制御装置に使用することを可能にする。
本発明の別の有利な実施形態によれば、フィールドバスは、イーサネット・バスとして、特に有利には、高速イーサネット・バスとしても設計される。そのようなバスを用いると、極めて高速のデータ伝送速度(高速イーサネット伝送では約毎秒100Mビットが可能である)が達成され得る。別の利点は、特に、既存のネットワークへの容易な統合である。
別の好ましい実施形態は、安全制御ユニットが、フィールドバス接続のバス・マスタのアップストリームに接続されたものであり、これは安全関連データが事前に所有されることを意味する。
特に好ましくは、バス・マスタおよび安全制御ユニットは、共通のインターフェイス・モジュールに統合される。換言すると、安全制御ユニットにより提供される安全工学システムが、バス・マスタ・インターフェイスに統合される。これは、特に、安全制御ユニットが、バス・マスタを含むインターフェイス・モジュール中のソフトウェアをテストし、テスト結果が肯定的であった場合に限り、安全制御ユニットまたはセーフティクリティカル・プロセスの制御を開始することを可能にする。このために、バス・マスタは安全制御ユニットにより制御され得る。
インターバスは、フィールドバスを介した通信を循環的に実行する。好ましくは、これには、各サイクルが、安全制御ユニットでの処理サイクルと、データがフィールドバスを介して信号ユニットに送信されるバス・サイクルに分かれていることを伴う。さらに好ましくは、処理サイクルとバス・サイクルは、連続的に、同期して実行される。
多くの用途は、複数のプロセスを制御することを伴い、またそれらのプロセスには非セーフティクリティカル・プロセスも含まれるため、システムは、好ましくは、安全制御ユニットだけでなく、非セーフティクリティカル・プロセスの非安全制御のための少なくとも1つの第2の非安全制御ユニットも含む。この非安全制御も、好ましくは、同期して行われる。
この場合、バス・マスタは、例えば、第3のインターフェイスを用いて第2の制御ユニットとやりとりし、第1、第2および/または第3のインターフェイスは、それぞれ、相互に隔離されている。この状況では、具体的には、適切な場合、バス・マスタが不活動化されているときでさえも、第1と第2の制御ユニットが相互にデータを交換するための備えがなされ得る。第3のインターフェイスもイーサネット・インターフェイスを含むことができ、これは、バス・マスタのイーサネット・プロトコルによる第2の制御ユニットとの通信のための高速イーサネット・インターフェイスとすることもできる。さらに、第2の制御ユニットと第1の制御ユニットは、第1の制御ユニットもイーサネット・インターフェイスを備えている場合には、イーサネット接続によって相互にやりとりすることができる。
本発明の1つの具体的利点の理由は、システムが、一定の前提条件の下では、誤動作が発生したときでさえも動作を続行し得ることである。例をあげると、好ましくは、少なくとも2つの動作状態、すなわち、第1の安全動作状態と、第1の動作状態より安全水準が低い第2の動作状態が定義される。この第2の動作状態は、例えば、緊急動作プログラムである。これは、所定の安全情報が提供されたときに、システムが安全制御ユニットによって第2の動作状態に移行されることを伴う。
一方では、所定の安全情報は、フィールドバスを介して安全信号ユニットにより送信され、安全制御ユニットにより評価され得る。安全制御ユニットは、誤動作が発生していることを確証した場合には、システムを第2の動作状態に移行させる。
他方では、所定の安全情報は、代替として、安全制御ユニット自体でも生成され得る。
例をあげると、安全制御ユニットは、通例は、安全性の水準を高めるために相互に調整された少なくとも2つのプロセッサ(CPU)を有する。2つのプロセッサのうちの1つに障害が発生した場合でも、システムは、より低い安全水準、すなわち第2の動作状態で動作を続行することができる。これは、システムを制御下で停止し、あるいは故障した構成部品を、例えば、最初にシフト変更があったときに交換することができるようにシステムが緊急動作モード、特に時間制限が設けられた動作モードを使用することを可能にする。
第2の動作状態での永続的動作を防ぐために、制御システムは、好ましくは、所定の時間が経過した後で、自動的に不活動化され、あるいは第1の制御ユニットにより動作不能状態に切り換えられる。
本発明は、本発明の制御システムで使用するためにセットアップされた、安全制御ユニット、およびバス・マスタと安全制御ユニットとのインターフェイス・モジュールにも関連するものである。
以下で本発明を、例示的実施形態を使用し、図面を参照してより詳細に説明する。
図1に、バス・ユーザとも呼ばれる複数の信号ユニットとのフィールドバス4を介した通信を制御するバス・マスタ2を有する制御システム1を示す。
信号ユニットには、安全信号ユニット5と非安全信号ユニット7の両方が含まれ、安全信号ユニット5は安全機能ありの制御ユニット8(略して安全制御ユニット8)によって制御され、非安全信号ユニット7は安全機能なしの制御ユニット10(略して非安全制御ユニット10)によって制御される。
安全および非安全制御ユニットは、フィールドバス4には直接接続されず、フィールドバスから隔てられたインターフェイス12、14によりバス・マスタ2に直接接続される。
図2に、3つの例示的信号ユニットを有する制御システム1のより詳細な図を示す。
バス・マスタ2は、標準G4バス・マスタであり、安全制御ユニット8と共に、プッシュイン・モジュールの形のインターフェイス・モジュール16に統合されている。この例では、インターフェイス・モジュール16は、インターバス・インターフェイス・モジュールIBSS7400ETHSDSC/I−Tである。そのため、シリアル・フィールドバスは、EN50254規格またはDIN19258に基づくインターバスの形をとる。そのため、この安全工学システムは、インターバス・インターフェイスの不可欠の構成要素として編成される。図2に示す制御システムの別の実施形態によれば、フィールドバス4はイーサネット・バスとして設計される。このイーサネット・バスは、特に高速イーサネット・バスとすることもできる。
G4バス・マスタ2は、安全機能ありの制御ユニット8のためのインターフェイス12と安全機能なしの制御ユニット10のためのインターフェイス14に機能的に分けられたマルチポート・メモリ・インターフェイスを備える。これらのインターフェイス12、14は、それぞれ、一方は、安全制御ユニット8とバス・マスタ2の間での、他方は非安全安全制御ユニット10とバス・マスタ2の間での双方向通信18、20を可能にする。この実施形態の展開形態によれば、通信は、イーサネット・プロトコルを介して実行することができ、したがって、この例でのインターフェイス12、14はイーサネット・インターフェイスになる。
本発明によれば、制御ユニット8、10による処理は、最初は、予めフィールドバスから独立である。というのは、制御ユニット8、10は、フィールドバス接続22のフィールドバス・マスタ2アップストリームに接続されているからである。
図2をさらに参照すると、バス・マスタ2は、インターバス・プロトコル・マスタ・チップ(IPMS)24を備える。このIPMSプロトコル・チップ24は、例えばオプトカプラ26など、直流絶縁(DC isolation)によって接続されたフィールドバス信号のためのRS422ドライバ28を含む。
また、インターフェイス・モジュール16も、この場合はDSUBプラグ・コネクタの形のリモート・インターバス・インターフェイス22として、循環シリアル・フィールドバス4のための2つの接続点を有する。
また、安全制御ユニット8と非安全制御ユニット10の間には、パラメータ化可能なバイパスまたは接続もある(図示しない)。
このバイパスは、非安全制御ユニット10と安全制御ユニット8が、たとえIPMSプロトコル・チップ24の機能がなくともデータを交換できるようにする。
そのため、緊急時または誤動作が発生した場合には、安全制御ユニットは、バイパスを使って非安全制御ユニットのタスクまたは非安全プロセスの制御を請け負うことができる。このシステムを用いて安全切断戦略(停止KAT1または2)あるいは緊急動作機能を実装することもできる。
フィールドバス・マスタ2、安全制御ユニット8および非安全制御ユニット10を含む構成部品のこのより緊密な同期により、有利には、より効率のよい実行およびより高水準の診断が可能になる。
安全信号ユニット6、別の安全信号ユニット32および非安全信号ユニット34は、フィールドバス4に直列に接続される。信号ユニット6、32、34は、プロセス40、42、44にもリンクされ、それらは、フィールドバス4と対応する信号ユニット6、32、34とを介して制御ユニット8、10により制御され、監視される。
この状況では、プロセス40、42はセーフティクリティカル・プロセスであり、プロセス44は、非セーフティクリティカル・プロセスである。安全信号ユニット6、32は、例えば、それぞれが、セーフティクリティカル・プロセス40、42の安全制御を処理するための安全関連装置46、48を備える安全スレーブ・モジュールSDIO4/4である。
セーフティクリティカル・プロセスは、例えば、緊急オフ機能や安全ケージの監視とすることができる。フィールドバスにさらに多くの信号ユニットおよびプロセスを接続することもできることはいうまでもない。
インターフェイス・モジュール16に戻ると、バス・マスタは以下の機構を備えている。
フィールドバス4および安全制御装置8の始動には、以下の順序に従って実施される相互チェックが伴う。
安全制御ユニット8が電源投入後に自己テストを実施し、その間、リセット線などを使用し、インターフェイス12によって行われる通信18を用いてバス・マスタ2をリセット状態に保持する。
安全制御ユニット8が電源投入後に自己テストを実施し、その間、リセット線などを使用し、インターフェイス12によって行われる通信18を用いてバス・マスタ2をリセット状態に保持する。
安全制御ユニット8が正常にテストされたときにだけバス・マスタ2が作動される。そのため、安全制御ユニット8が取り外された場合、あるいはこれに障害が生じた場合には、バス・マスタ2は始動されない。安全制御ユニット8が正常にテストされると、バス・マスタ2自体が自己テストを受ける。
バス・マスタ2での正常な自己テストに続いて、バス・マスタが安全制御ユニットにそのバージョン識別子を送信する。次いで、インターフェイス・モジュール16中のファームウェアの出力段が、安全制御ユニット8中の適当なテスト手段によりテストされる。
また、安全制御ユニット8は、安全機能を有する諸機能を含み得るバス・マスタの活動だけを引き受けるようにセットアップされる。
さらに、フィールドバス4は、安全制御ユニット8が活動状態にある間だけ活動化される。
これだけでも相当な安全性増大が達成される。というのは、安全機能の複数のチェックが保証されるからである。
図3および4を参照すると、本発明によって達成される、安全性および反応速度のさらなる増大が説明されている。
この理由は、システムの実行時に、フィールドバス・サイクルと安全制御サイクルが同期して実行されるからである。これは、フィールドバス4が、安全制御ユニット8との永続的または連続的同期なしでは動作できないことを意味する。
図3にこの場合での複数のフィールドバス・サイクル50を示す。各フィールドバス・サイクルは、安全制御ユニットのための処理サイクル52とインターバス入出力サイクル54に分けられる。インターバス入出力サイクル54では、データが信号ユニット6、32、34に転送される。
図4に、フィールドバス・サイクル50、より正確にはインターバス・サイクルを詳細に示す。この状況では、処理サイクル52はフィールド106、132、134を含み、各フィールドは、それぞれ、信号ユニット6、32、34のうちの1つに関連付けられており、それぞれの信号ユニットでの制御またはユーザ・データを含む。各フィールドまたはユーザ・データ・フィールドは、順に、複数のバス・メッセージ、例えば、各1バイトずつの3つの別個のバス・メッセージから構築される。
したがって、安全制御ユニット8は、データ・レベルでユーザ・データおよび安全プロトコル関連データを提供し、安全プロトコル関連データは、バス・マスタ2の観点から見てフィールドバスを介したユーザ・データとして送信される。そのため、具体的には、バス・マスタ2自体による安全関連の解釈はない。これには、「非安全」標準G4バス・マスタが使用され得るという利点がある。
フィールドの順序および設計の点で、その全範囲が参照によりこの開示の内容となる、同一出願人による独国特許第197 42 716号明細書を参照する。
本発明によれば、安全制御装置8でのものと類似の同期が、非安全制御装置10にも実施され得る。この機能は、非安全制御装置から安全制御装置への「デッドマン」信号(トグル・ビットなど)を用いて実施され得る。この種の連結は、システム1での転送速度および決定性を増大させる。
また、実行時の安全制御装置8の個別の再プログラミングのための備えも可能である。非安全制御装置10または重複ネットワーク構造への直接統合および接続を用いれば、すべての動作段階で、特にフィールドバス4が動作できないときに、安全制御装置8に到達し、そこで措置を講じることが可能である。そのため、実行時、またはネットワークが停止されている間に、診断データから再プログラミングまでへの簡略化されたアクセスが可能である。独国特許第19928517号の文献で提案されているシステムによれば、これが可能なのは、フィールドバスが動作し、あるいはおそらく安全制御装置側で追加のネットワーク接続を用いることができるときだけである。
また、本発明は、ネットワークまたはバス・マスタ2と安全制御装置8の連結によって、インターフェイス・モジュール16から切り離されている安全工学システムを用いて限られた範囲でのみ可能なさらなる安全技術機能の編成を可能にする。
図2に戻ると、安全制御装置は2つのプロセッサまたはCPU62、64を備え、各プロセッサは個々のセーフティクリティカル・プロセスに関連付けられている。この場合、プロセッサ62はプロセス40、42を制御し、プロセッサ64も同様にプロセッサ40、42を制御する。安全制御装置8上の2つのプロセッサのうちの1つ、62または64に障害が発生し、あるいは安全工学システムが妨害された場合には、安全制御装置8は、おそらくバス・マスタと対話して、安全水準のより低い動作状態である「緊急動作プログラム」で、セーフティクリティカル・プロセス40、42の制御を処理し続けることができるようにセットアップされる。
具体的には、プロセッサ62、64とおそらく他のプロセッサの間で相互調整が行われ、プロセッサのうちの1つ、62または64に障害が発生した場合は、システム1は緊急動作プログラムで動作し続ける。
このために、例えば、パラメータ化を用いて安全制御ユニット8をシステムでのエラーに反応させることができる。以下のテキストに、これに関する例として、3つの可能なエラー、およびシステムの反応または機能を示す。
エラーA:非安全制御装置10に障害または誤動作が生じる。
システム1はエラーAに反応して、安全制御装置8に非安全制御装置10の制御機能の少なくとも一部を引き受けさせる。
このために、エラーまたは障害に関する情報が非安全制御装置10から安全制御装置8に送信される。次いで、反応プログラムが所望の活動を引き受ける。
システム1はエラーAに反応して、安全制御装置8に非安全制御装置10の制御機能の少なくとも一部を引き受けさせる。
このために、エラーまたは障害に関する情報が非安全制御装置10から安全制御装置8に送信される。次いで、反応プログラムが所望の活動を引き受ける。
エラーB:安全制御ユニット8中のCPU62に障害が生じる。
安全制御ユニット8は、第1の動作状態から第2の動作状態に切り換わり、より低い安全水準で動作し続ける。
また、動作可能のCPU64により制御されるセーフティクリティカル・プロセス42に、エラーが発生していることを示す情報が送信される。次いで、反応プログラムが所望の活動を、例えば所定の時間だけ引き受ける。
安全制御ユニット8は、第1の動作状態から第2の動作状態に切り換わり、より低い安全水準で動作し続ける。
また、動作可能のCPU64により制御されるセーフティクリティカル・プロセス42に、エラーが発生していることを示す情報が送信される。次いで、反応プログラムが所望の活動を、例えば所定の時間だけ引き受ける。
エラーC:安全制御ユニット8中のCPU64に障害が生じる。
安全制御ユニット8は第1の動作状態から第2の動作状態に切り換わり、より低い安全水準で動作し続ける。
制御装置システム1の動作は、エラーBでの動作と等価である。
安全制御ユニット8は第1の動作状態から第2の動作状態に切り換わり、より低い安全水準で動作し続ける。
制御装置システム1の動作は、エラーBでの動作と等価である。
したがって、安全工学システムの一部に障害が発生した場合には、バス・マスタ2およびその安全工学システムの残りの部分の動作がシステム1を動かし続けることができる。そのため、システム1は、安全工学システムがより低い安全水準でしか動作できないときでさえも動作し続けることができる。
以下の記載では、実際的な例を用いて、そのような緊急プログラム、または安全水準が異なる2つの動作状態を有する動作を使用する安全制御の利点を説明する。
システム1は架空索道(aerial cableway)を制御するのに使用される。
今日までは、安全工学システムに障害が発生すると、ケーブルカー用ゴンドラまたは輸送が停止した。その場合、輸送中の人々は、地上または空中でゴンドラから救助される必要があった。救助により生じる危険、例えば、悪天候で長時間待機したときの凍傷や、ヘリコプターで救助しようとする際に生じる危険などは、この場合には不相応に高い。
本発明の解決法は、全体的な障害の可能性を低減する。それは、前述のインターフェイス・モジュール16または2つの動作状態を有するネットワーク・カードを備える本発明のシステムが、第2の動作状態のより低い安全水準での継続動作を可能にし、それが、少なくともケーブルカーから乗客を降ろすことができることを意味するからである。この場合、より低い安全水準での動作に時間制限が設けられるように措置を講ずることもできる。
前述の実施形態を例として理解すべきであること、および本発明がそれらに限定されるものではなく、本発明の精神を逸脱することなく多様な方法で変形され得ることは、当分野の技術者には自明である。
Claims (33)
- フィールドバス(4)を介してセーフティクリティカル・プロセス(40、42)を制御する制御システム(1)であって、
前記フィールドバス(4)と、
前記フィールドバス(4)を介して通信(50)を制御するバス・マスタ(2)と、
前記セーフティクリティカル・プロセス(40、42)の少なくとも1つにリンクする少なくとも1つの信号ユニット(6、32)とを含み、前記バス・マスタ(2)と前記信号ユニット(6、32)が前記フィールドバス(4)を介して相互に接続され、そして前記フィールドバス(4)を用いて前記信号ユニット(6、32)と前記バス・マスタ(4)の間の通信(50)を提供するものであり、さらに、
前記セーフティクリティカル・プロセス(40、42)を制御する第1の制御ユニット(8)を含み、
前記信号ユニット(6、32)および前記第1の制御ユニット(8)が安全関連装置(46、48)を有し、前記セーフティクリティカル・プロセス(40、42)を制御するためにフェイルセーフ通信が提供されており、そして、
前記第1の制御ユニット(8)が、前記フィールドバスから独立して前記バス・マスタ(2)に接続され、そして、
前記第1の制御ユニット(8)は、前記インターフェイス・モジュール(16)中のソフトウェアをテストし、その結果が肯定的であったときに限り、前記セーフティクリティカル・プロセス(40、42)の安全制御を開始することを特徴とする制御システム。 - 前記バス・マスタ(2)と前記第1の制御ユニット(8)が、第1のインターフェイス(12)を介して相互に接続された別々の構成部品であることを特徴とする請求項1に記載の制御システム。
- 前記バス・マスタ(2)が非安全バス・マスタであり、マルチポート・メモリ・インターフェイス(12、14)を介して前記第1の制御ユニット(8)に接続されていることを特徴とする請求項1乃至2のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)が、イーサネット接続(登録商標、以下同)により前記第1の制御ユニット(8)と接続されていることを特徴とする請求項1乃至3のいずれか1項に記載の制御システム。
- 前記第1の制御ユニット(8)が、安全な通信のための安全プロトコルを提供し、それを前記バス・マスタ(2)に送信することを特徴とする請求項1乃至4のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)と前記第1の制御ユニット(8)の間のデータ伝送が前記フィールドバス(4)を介しては行われないことを特徴とする請求項1乃至5のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)が、前記フィールドバス(4)を介してデータを入力/出力する第2のインターフェイス(22)を有し、前記第1と第2のインターフェイス(12、22)が相互に隔離されていることを特徴とする請求項1乃至6のいずれか1項に記載の制御システム。
- 前記第1の制御ユニット(8)がフィールドバス接続(21)の前記バス・マスタ(2)のアップストリームに接続され、これは、安全関連データが事前に処理されていることを意味することを特徴とする請求項1乃至7のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)および前記第1の安全制御ユニット(8)を含むインターフェイス・モジュール(16)が含まれることを特徴とする請求項1乃至8のいずれか1項に記載の制御システム。
- 前記第1の制御ユニット(8)は前記バス・マスタ(2)を制御する請求項1乃至9のいずれか1項に記載の制御システム。
- 前記第1の制御ユニット(8)は、電源投入後に自動的に自己テストを実行し、前記自己テスト時に前記バス・マスタ(2)を不活動化することを特徴とする請求項1乃至10のいずれか1項に記載の制御システム。
- 電源投入後、特に前記第1の制御ユニット(8)での前記自己テスト後に、前記バス・マスタ(2)が自己テストを実行することを特徴とする請求項1乃至11のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)が、前記第1の制御ユニット(8)および/または前記バス・マスタ(2)での正常な自己テストの終了まで動作状態に切り換わらないことを特徴とする請求項1乃至12のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)は前記第1の制御ユニット(8)が活動状態にある間だけ活動状態であることを特徴とする請求項1乃至13のいずれか1項に記載の制御システム(1)。
- 前記フィールドバス(4)を介した通信が循環的に進行し、サイクル(50)が前記第1の制御ユニットでの処理サイクル(52)と、データが前記フィールドバス(4)を介して前記信号ユニット(40、42)に送信されるバス・サイクル(54)とに分けられることを特徴とする請求項1乃至14のいずれか1項に記載の制御システム。
- 前記処理サイクル(52)と前記バス・サイクル(54)が同期して実行されることを特徴とする請求項15に記載の制御システム。
- 少なくとも1つの非セーフティクリティカル・プロセス(44)のために非安全制御を提供する少なくとも1つの第2の制御ユニット(10)が含まれることを特徴とする請求項1乃至16のいずれか1項に記載の制御システム。
- 前記バス・マスタ(2)が第3のインターフェイス(14)を用いて前記第2の制御ユニット(10)とやりとりし、前記第2と第3のインターフェイス(22、14)が相互に隔離されていることを特徴とする請求項17に記載の制御システム。
- 前記第3のインターフェイス(14)がイーサネット・インターフェイスを含むことを特徴とする請求項18に記載の制御システム。
- 前記第1と第2の制御ユニット(8、10)は、前記バス・マスタ(2)が不活動化されているときに相互にデータを交換することを特徴とする請求項17乃至19のいずれか1項に記載の制御システム。
- 前記非安全制御が同期して行われることを特徴とする請求項17乃至20のいずれか1項に記載の制御システム。
- 少なくとも1つの第1の安全動作状態と、前記第1の動作状態よりも安全水準が低い第2の動作状態とが提供され、前記第1の制御ユニット(8)は、所定の安全情報が存在する状態で、前記制御システム(1)を前記第1の動作状態から前記第2の動作状態に移行させることを特徴とする請求項1乃至21のいずれか1項に記載の制御システム。
- 前記第1の制御ユニット(8)は、通常は相互に調整される少なくとも2つのプロセッサ(62、64)を有し、前記2つのプロセッサ(62、64)の1つが誤動作した場合には前記システムが前記第2の動作状態に移行されることを特徴とする請求項22に記載の制御システム。
- 前記所定の安全情報が、前記フィールドバス(4)を介して信号ユニット(40、42)の1つにより送信され、それが前記第1の制御ユニット(8)により評価されたときに、前記第1の制御ユニット(8)は、前記制御システム(1)を前記第1の動作状態から前記第2の動作状態に移行させることを特徴とする請求項22または23に記載の制御システム。
- 前記第2の動作状態に時間制限が設けられていることを特徴とする請求項22、23または24に記載の制御システム。
- 前記フィールドバスがEN50254規格に基づくインターバスであることを特徴とする請求項1乃至25のいずれか1項に記載の制御システム。
- 前記フィールドバスがイーサネット・バスである請求項1乃至25のいずれか1項に記載の制御システム。
- フィールドバス(4)を介してセーフティクリティカル・プロセス(40、42)を制御する、特に請求項1乃至27のうちのいずれか1項に記載の制御システム(1)であって、
フィールドバス(4)と、
前記フィールドバス(4)を介して通信(50)を制御するバス・マスタ(2)と、
複数の信号ユニット(6、32、24)とを含み、前記信号ユニットの少なくとも1つはセーフティクリティカル・プロセス(40、42)の1つにリンクする安全信号ユニット(6、32)であり、
前記バス・マスタ(2)と前記信号ユニット(6、32、34)とが前記フィールドバス(4)を介して相互に接続され、前記フィールドバス(4)を用いて前記信号ユニット(6、32、34)と前記バス・マスタ(2)の間の通信を提供し、さらに、
第1の制御ユニット(8)を含み、
前記セーフティクリティカル・プロセス(40、42)を制御するために前記第1の制御ユニット(8)と前記安全信号ユニット(6、32)の間でフェイルセーフ通信(50)が提供され、そして、
前記第1の制御ユニット(8)が、安全指向プロトコルを生成し、それを前記バス・マスタ(2)に送信する制御システム。 - 前記フィールドバス(4)上の前記通信(50)がフィールドバス・メッセージ(106、132、134)を用いて処理され、前記安全指向プロトコルが、前記フィールドバス・メッセージ(106、132、134)を用いて前記バス・マスタ(4)から前記安全信号ユニット(6、32)に送信されることを特徴とする請求項28に記載の制御システム。
- 前記バス・マスタ(2)が、前記安全指向プロトコルをユーザ・データとして前記フィールドバス・メッセージ(106、132、134)に直接かつ/または安全関連機能なしで挿入することを特徴とする請求項28または29に記載の制御システム。
- フィールドバス(4)を介してセーフティクリティカル・プロセス(40、42)を制御する、特に請求項1乃至30のうちのいずれか1項に記載の制御システム(1)であって、
入出力チャネルを介してセーフティクリティカル・プロセス(40、42)にリンクされた信号ユニット(6、32)を有する、前記セーフティクリティカル・プロセス(40、42)を制御する第1の制御ユニット(8)と、
フィールドバス(4)と、
前記フィールドバス(4)を介して通信(50)を制御するバス・マスタ(2)と
を含み、
前記バス・マスタ(2)と前記信号ユニット(6、32)が前記フィールドバス(4)を介して相互に接続され、
前記第1の制御ユニット(8)と前記信号ユニット(6、32)とは相互にフェイルセーフ通信を保証する安全関連装置(46、48)を有し、
前記フィールドバス(4)は、前記フィールドバス(4)に接続された個々のユニット(2、6、32、34)間で循環メッセージ・トラフィック(106、132、134)を提供し、
前記第1の制御ユニット(8)が前記フィールドバス(4)に直接接続されず、マルチポート・メモリ・インターフェイス(12、14)を介して前記第1の制御ユニット(8)から前記バス・マスタにフェイルセーフ・データ(106、132、134)が送信され、
フィールドバス(4)を介した前記通信がフレームベースのものであり、前記バス・マスタ(2)は、前記フェイルセーフ・データを信号ユニット(6、32、34)に送信するために、前記データをフィールドバス・フレーム(50)に挿入することを特徴とする制御システム。 - 請求項1乃至31のいずれか1項に記載の制御システム(1)において、前記第1の制御ユニット(8)として使用するためにセットアップされた制御ユニット。
- 前記バス・マスタ(2)と前記第1の制御ユニット(8)を含む、請求項1乃至32のいずれか1項に記載の制御システム(1)で使用するためにセットアップされたモジュール(16)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10353950A DE10353950C5 (de) | 2003-11-18 | 2003-11-18 | Steuerungssystem |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005151581A JP2005151581A (ja) | 2005-06-09 |
| JP4504165B2 true JP4504165B2 (ja) | 2010-07-14 |
Family
ID=34428793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004333927A Expired - Fee Related JP4504165B2 (ja) | 2003-11-18 | 2004-11-18 | 制御システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7269465B2 (ja) |
| EP (1) | EP1533673A3 (ja) |
| JP (1) | JP4504165B2 (ja) |
| CN (1) | CN1661503B (ja) |
| DE (1) | DE10353950C5 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3997988B2 (ja) * | 2001-05-31 | 2007-10-24 | オムロン株式会社 | 安全ユニット及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法 |
| DE102004018642A1 (de) * | 2004-04-16 | 2005-12-01 | Sick Ag | Prozesssteuerung |
| DE102004034862A1 (de) * | 2004-07-19 | 2006-03-16 | Siemens Ag | Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe |
| JP3978617B2 (ja) * | 2005-04-19 | 2007-09-19 | オムロン株式会社 | 安全ユニットの入力装置 |
| JP4277030B2 (ja) * | 2006-06-30 | 2009-06-10 | 株式会社日立製作所 | 通信制御システム |
| DE502006002266D1 (de) * | 2006-08-10 | 2009-01-15 | Sick Ag | Prozesssteuerung |
| US7480536B2 (en) * | 2006-09-21 | 2009-01-20 | General Electric Company | Method for assessing reliability requirements of a safety instrumented control function |
| US8761196B2 (en) * | 2006-09-29 | 2014-06-24 | Fisher-Rosemount Systems, Inc. | Flexible input/output devices for use in process control systems |
| DE102006056420B4 (de) | 2006-11-28 | 2012-11-29 | Wago Verwaltungsgesellschaft Mbh | Sicherheitsmodul und Automatisierungssystem |
| US7869889B2 (en) * | 2008-07-02 | 2011-01-11 | Saudi Arabian Oil Company | Distributed and adaptive smart logic with multi-communication apparatus for reliable safety system shutdown |
| US7793774B2 (en) * | 2008-07-29 | 2010-09-14 | Hubbell Incorporated | Lockout and monitoring system with SIL3 safety rating and method for lockout and monitoring |
| JP5693454B2 (ja) * | 2008-08-29 | 2015-04-01 | フェニックス コンタクト ゲーエムベーハー ウント コムパニー カーゲー | 本質的に安全なモジュール式制御システム |
| DE102009042368B4 (de) | 2009-09-23 | 2023-08-17 | Phoenix Contact Gmbh & Co. Kg | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| DE102009042354C5 (de) * | 2009-09-23 | 2017-07-13 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage |
| DE102009045901A1 (de) * | 2009-10-21 | 2011-04-28 | Endress + Hauser Process Solutions Ag | Prozesskontrollanordnung für eine Anlage der Prozess- und/oder Automatisierungstechnik |
| DE102009054157C5 (de) * | 2009-11-23 | 2014-10-23 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen |
| DE102010038484A1 (de) | 2010-07-27 | 2012-02-02 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Verfahren und Vorrichtung zum Steuern einer Anlage |
| US9459619B2 (en) * | 2011-06-29 | 2016-10-04 | Mega Fluid Systems, Inc. | Continuous equipment operation in an automated control environment |
| DE102011051629B3 (de) * | 2011-07-07 | 2012-08-30 | Leuze Electronic Gmbh & Co. Kg | Sicherheitsbussystem |
| CN102799104B (zh) * | 2012-07-02 | 2014-12-24 | 浙江正泰中自控制工程有限公司 | 一种用于全智能主控系统的安全控制冗余系统及冗余方法 |
| CN102915033A (zh) * | 2012-11-09 | 2013-02-06 | 三一重工股份有限公司 | 车辆故障诊断系统和工程机械 |
| DE102014110017A1 (de) * | 2014-07-16 | 2016-01-21 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung |
| DE102014112704B3 (de) | 2014-09-03 | 2015-12-03 | Phoenix Contact Gmbh & Co. Kg | Netzwerksystem und Netzwerkteilnehmer zur Datenübertragung über eine Cloud-Infrastruktur und Verfahren zur Einrichtung |
| JP6742689B2 (ja) * | 2015-01-09 | 2020-08-19 | 株式会社ジェイテクト | 動作プログラム編集装置及びプログラム |
| FI125862B (fi) * | 2015-01-28 | 2016-03-15 | Kone Corp | Sähköinen turvallisuuslaite sekä kuljetinjärjestelmä |
| BR112018069968A2 (pt) | 2016-05-02 | 2019-01-29 | Sew Eurodrive Gmbh & Co | método para o desligamento de emergência de um sistema de barramento e sistema de barramento |
| DE102017109886A1 (de) | 2017-05-09 | 2018-11-15 | Abb Ag | Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität |
| EP3644145A1 (en) * | 2018-10-25 | 2020-04-29 | ABB Schweiz AG | Control system for controlling safety-critical and non-safety-critical processes |
| DE102019118452A1 (de) * | 2019-07-08 | 2021-01-14 | E-Service GmbH | One-Wire Bus mit einem oder mehreren One-wire-Devices |
| CN112058047B (zh) * | 2020-08-12 | 2022-06-03 | 太仓北新建材有限公司 | 一种石膏板脱硫脱硝装置及其连锁自动控制系统 |
| US11774127B2 (en) | 2021-06-15 | 2023-10-03 | Honeywell International Inc. | Building system controller with multiple equipment failsafe modes |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3706325A1 (de) | 1987-02-27 | 1988-09-08 | Phoenix Elekt | Steuer- und datennetzwerk |
| DE4032033A1 (de) * | 1990-10-09 | 1992-04-16 | Siemens Ag | Steuerungs- und ueberwachungsverfahren und elektrisches automatisierungssystem fuer eine technische anlage, insbesondere eine schachtanlage |
| US7203728B2 (en) * | 1993-01-26 | 2007-04-10 | Logic Controls, Inc. | Point-of-sale system and distributed computer network for same |
| WO1997031454A1 (en) * | 1996-02-22 | 1997-08-28 | Kvaser Consultant Ab | Device in a system operating with can-protocol and in a control and/or supervision system |
| US6587474B1 (en) * | 1996-09-07 | 2003-07-01 | Bayerische Motoren Werke Aktiengesellschaft | Data bus for multiple components |
| DE19643092C2 (de) * | 1996-10-18 | 1998-07-30 | Elan Schaltelemente Gmbh | Feld-Datenbussystem |
| US6999824B2 (en) * | 1997-08-21 | 2006-02-14 | Fieldbus Foundation | System and method for implementing safety instrumented systems in a fieldbus architecture |
| DE19742716C5 (de) * | 1997-09-26 | 2005-12-01 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| DE19928517C2 (de) * | 1999-06-22 | 2001-09-06 | Pilz Gmbh & Co | Steuerungssystem zum Steuern von sicherheitskritischen Prozessen |
| AU6702500A (en) * | 1999-08-23 | 2001-03-19 | Pilz Gmbh And Co. | Method of configuring a safe station and a safe control system using the same |
| US6697684B2 (en) * | 2000-02-15 | 2004-02-24 | Thomas Gillen | Programmable field measuring instrument |
| US6999996B2 (en) * | 2000-03-14 | 2006-02-14 | Hussmann Corporation | Communication network and method of communicating data on the same |
| US6629166B1 (en) * | 2000-06-29 | 2003-09-30 | Intel Corporation | Methods and systems for efficient connection of I/O devices to a channel-based switched fabric |
| US6267219B1 (en) * | 2000-08-11 | 2001-07-31 | Otis Elevator Company | Electronic safety system for escalators |
| CN1222138C (zh) * | 2001-05-31 | 2005-10-05 | 欧姆龙株式会社 | 安全网络系统、安全从动设备、安全控制器、通信方法、安全网络系统中的信息收集方法及监视方法 |
| JP3997988B2 (ja) * | 2001-05-31 | 2007-10-24 | オムロン株式会社 | 安全ユニット及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法 |
| US7054922B2 (en) * | 2001-11-14 | 2006-05-30 | Invensys Systems, Inc. | Remote fieldbus messaging via Internet applet/servlet pairs |
-
2003
- 2003-11-18 DE DE10353950A patent/DE10353950C5/de not_active Expired - Lifetime
-
2004
- 2004-11-16 EP EP04027196A patent/EP1533673A3/de not_active Ceased
- 2004-11-18 JP JP2004333927A patent/JP4504165B2/ja not_active Expired - Fee Related
- 2004-11-18 CN CN2004101033901A patent/CN1661503B/zh active Active
- 2004-11-18 US US10/991,982 patent/US7269465B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20050149207A1 (en) | 2005-07-07 |
| DE10353950A1 (de) | 2005-06-23 |
| CN1661503B (zh) | 2010-09-29 |
| EP1533673A2 (de) | 2005-05-25 |
| EP1533673A3 (de) | 2009-04-01 |
| CN1661503A (zh) | 2005-08-31 |
| US7269465B2 (en) | 2007-09-11 |
| DE10353950B4 (de) | 2008-05-08 |
| DE10353950C5 (de) | 2013-10-24 |
| JP2005151581A (ja) | 2005-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4504165B2 (ja) | 制御システム | |
| JP4319547B2 (ja) | マルチコア型冗長制御コンピュータシステム、自動車における安全上重要な用途のためのコンピュータネットワーク並びにその使用 | |
| JP4480311B2 (ja) | プロセス制御システム | |
| US7783814B2 (en) | Safety module and automation system | |
| US8335573B2 (en) | Safety-oriented control system | |
| JP4317341B2 (ja) | 安全関連オートメーション・バス・システム | |
| US6466539B1 (en) | Bus system | |
| US9244454B2 (en) | Control system for controlling safety-critical and non-safety-critical processes | |
| US9786157B2 (en) | Bus system and method for operating such a bus system | |
| US9934111B2 (en) | Control and data transmission system, process device, and method for redundant process control with decentralized redundancy | |
| US11487265B2 (en) | Systems and methods for simultaneous control of safety-critical and non-safety-critical processes in automation systems using master-minion functionality | |
| KR101966235B1 (ko) | 통신 네트워크를 동작시키기 위한 방법 및 네트워크 어레인지먼트 | |
| US7120820B2 (en) | Redundant control system and control computer and peripheral unit for a control system of this type | |
| RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
| JP5019599B2 (ja) | プロセス制御の方法及びシステム | |
| JP2006059356A (ja) | 安全性関連処理のバス結合のための方法と装置 | |
| JPWO2003001307A1 (ja) | 安全ネットワークシステム及び安全スレーブ並びに通信方法 | |
| JP2012510192A (ja) | 自動化制御システムにおけるデータ伝送方法 | |
| JP2002358106A (ja) | 安全コントローラ | |
| US20180373213A1 (en) | Fieldbus coupler and system method for configuring a failsafe module | |
| US20160334775A1 (en) | Method and system for safely switching off an electrical load | |
| CN107153351B (zh) | 作动器的冗余控制系统以及用于其冗余控制的方法 | |
| JP2013201664A (ja) | 冗長通信装置 | |
| JPH09114507A (ja) | プログラマブルロジックコントローラの二重化装置 | |
| KR102187083B1 (ko) | 필드버스 이중화 제어기 및 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060412 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060904 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20061204 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20061207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070302 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070905 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20071204 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100305 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100422 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4504165 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |