JP5271408B2 - セーフティコントロールを作動させる作動方法、および、そのようなセーフティコントロールを備えたオートメーションネットワーク - Google Patents

セーフティコントロールを作動させる作動方法、および、そのようなセーフティコントロールを備えたオートメーションネットワーク Download PDF

Info

Publication number
JP5271408B2
JP5271408B2 JP2011504395A JP2011504395A JP5271408B2 JP 5271408 B2 JP5271408 B2 JP 5271408B2 JP 2011504395 A JP2011504395 A JP 2011504395A JP 2011504395 A JP2011504395 A JP 2011504395A JP 5271408 B2 JP5271408 B2 JP 5271408B2
Authority
JP
Japan
Prior art keywords
subscriber
safety
safety control
identifier
projekt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011504395A
Other languages
English (en)
Other versions
JP2011516997A (ja
Inventor
ザックス,イェンス
ビュットナー,ホルガー
ヤンセン,ディルク
ベックマン,グイド
Original Assignee
ベックホフ オートメーション ゲーエムベーハー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ベックホフ オートメーション ゲーエムベーハー filed Critical ベックホフ オートメーション ゲーエムベーハー
Publication of JP2011516997A publication Critical patent/JP2011516997A/ja
Application granted granted Critical
Publication of JP5271408B2 publication Critical patent/JP5271408B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40019Details regarding a bus master
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14114Integrity, error detector, switch off controller, fail safe
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/22Pc multi processor system
    • G05B2219/2231Master slave
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25157Checksum CRC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Description

本発明は、セーフティコントロールを実装しているマスターサブスクライバを含むオートメーションネットワーク上においてセーフティコントロールを作動させる作動方法に関する。また、本発明はセーフティコントロールを実装しているマスターサブスクライバを含むオートメーションネットワークに関する。
産業オートメーション(例えば、技術的な処理のソフトウェア制御およびソフトウェア監視)は、分散センサ/分散センサアクチュエータ層を含む中央制御の考え方に基づいている。したがって、複数のサブスクライバは、お互いと、および、上位システムと、産業ローカルネットワーク(以下では、オートメーションネットワークとも称する)を介して通信を行う。この制御機能は、2つの基本的な考え方に基づいている。すなわち、複数の制御機能を地理的に分散させるという考え方と、複数の制御機能を階層的に分割するという考え方である。本明細書において、機能の階層化とは、基本的にオートメーションタスクを制御層とセンサ/アクチュエータ層とに分けることを指す。産業ローカルネットワークは、通常、いわゆるマスタースレーブ通信ネットワークとして構成される。マスタースレーブ通信ネットワークにおいて、マスターサブスクライバは制御装置を表すものであり、スレーブサブスクライバは、センサ/アクチュエータ層を表すものである。
安全は、産業オートメーションにおいて必須要件である。オートメーションタスクを実行する時には、マスタースレーブネットワークは、不具合またはその他のエラーが発生した場合に人間および環境をいかなる危害にも晒さないことが守られなければならない。このため、通常、オートメーションネットワークは、安全関連のサブスクライバに不具合が生じるとすぐに安全状態に移行する、いわゆるフェイルセーフの原則に従って動作する。産業オートメーションの枠組みの中で、オートメーションネットワーク中の安全関連のサブスクライバを交換したり、新しく実装したりすることにより、処理中にエラーが発生することを確実に防ぐような手段を提供するかどうかは、安全に関連する問題である。オートメーションネットワークにおいて、安全関連のサブスクライバを交換したり、新しく実装したりするときには、通常、サブスクライバの設備固有の安全設定(以下では、「セーフティコントロール」とも称する)を、交換後の、または、新しく実装した安全関連のサブスクライバにロードする必要がある。
設備固有の安全設定は、通常、産業ローカルネットワーク内の他のサブスクライバ上にバックアップとして保存されている。一般に、特別な権限を持っているサービス要員のみが、セーフティコントロールをバックアップメモリから安全関連のサブスクライバにダウンロードすることができる。オートメーションネットワークを介してダウンロードする代わりに、バックアップメモリを安全関連のサブスクライバに直接接続することにより、設備固有の安全設定を転送することも可能である。しかしながら、基本的に、セーフティコントローラのインストールには、サービス要員のメンバが、うっかりして誤った設定をダウンロードしてしまうという危険性が常に伴っている。このため、十分な安全性を保障するために、安全関連のサブスクライバを交換したり、新しく設置したりしている間、組織的に多くの時間と労力を費やす必要がある。
安全関連のサブスクライバへのセーフティコントロールのローディングを、サービス要員に依頼するのではなく、自動的に確実に行うために、設備固有の安全設定が、固定(例えば、安全関連のサブスクライバの接続プラグに配置されている)バックアップメモリに格納されているバックアップシステムが用いられる。この場合、固定バックアップメモリが無傷である(すなわち、例えば、安全関連のサブスクライバに不具合が発生している間に損傷を受けていない)限り、設備固有の安全設定を安全関連のサブスクライバに自動的にアップロードすることができる。しかしながら、そのような自動バックアップシステムには、安全関連の各サブスクライバが内蔵式の固定バックアップメモリを必要とするので、高額のハードウェアが含まれることになる。
オートメーションネットワークにおいて、安全関連のサブスクライバを交換している間、または、初めて実装している間に、設備固有の安全設定を安全関連のサブスクライバに誤ってダウンロードしてしまうという問題は、複数のオートメーションネットワークが互いに接続されている場合に特に発生しやすい。複数のオートメーションネットワークが互いに接続されている場合、個々の産業ローカルネットワークにおいてセーフティコントロールの変更が行われると、それに従って、個々の産業ローカルネットワーク内の安全関連のサブスクライバに、相異なる設備固有の安全設定をダウンロードしなければならないからである。これに関連して、上記相異なる設備固有の安全設定を個々の産業ローカルネットワークに確実に割り当てることが必要である。
本発明は、セーフティ関連のサブスクライバの確実な実装と安全な交換とを自動的に行うことを可能にするオートメーションネットワークと同じように良好に、セーフティコントロールを作動させる作動方法を提供することを目的とする。
本発明によれば、この目的は、請求項1に係る方法によって解決される。また、この目的は、請求項5に係るオートメーションネットワークによって解決される。好ましい実施形態が従属請求項に示される。
本発明では、セーフティコントロールを実装しているマスターサブスクライバを含むオートメーションネットワーク内の上記セーフティコントロールを作動させるために、上記セーフティコントロールに識別子を割り当てる。上記マスターサブスクライバは、上記セーフティコントロールに割り当てられている上記識別子が上記セーフティコントロール内で計算される上記識別子と一致するかを、上記セーフティコントロールをロードするときに確認する。上記識別子が異なると判定された場合に、上記オートメーションネットワークは、安全状態に移行する。
識別子を用いて上記セーフティコントロールを保護するとともに、上記セーフティコントロールにおいて計算される識別子が上記セーフティコントロールに割り当てられている識別子と一致するかを上記オートメーションネットワークのマスターサブスクライバにおいてチェックすることにより、安全関連のサブスクライバを含む上記オートメーションネットワーク(特に、安全マスターサブスクライバ)の実装を、完全にオートメーション化された単純な方法により実行することができる。また、上記セーフティコントロールの追加の識別子を用いることにより、さらに、自動チェックの枠組みの中で一義的な識別を行うことが可能になる。したがって、誤ったセーフティコントロールがマスターサブスクライバにロードされないことが保障されるので、実装中のエラーを確実に回避することができる。このことは、安全関連のサブスクライバが、異なるセーフティプログラムが作動する他の安全関連のサブスクライバとネットワークで結ばれている場合にとりわけ当てはまる。各セーフティコントロールに割り当てられる識別子により各オートメーションネットワークへの一義的な割り当てが可能になるためである。
好ましい実施形態によれば、設定用サブスクライバが、上記セーフティコントロールが上記マスターサブスクライバ内に格納されているかを上記オートメーションネットワークの起動中に確認し、上記セーフティコントロールが上記マスターサブスクライバ内に格納されていない場合に、上記セーフティコントロールを上記セーフティコントロールに割り当てられている上記識別子とともに上記マスターサブスクライバにロードする。
上記自動ネットワークの上記制御層の上記制御用サブスクライバは、このアプローチにより、安全且つ確実な自動実装、および/または、安全且つ確実な上記セーフティコントロールの自動アップデートを可能にする。
さらに好ましい実施形態によれば、上記マスターサブスクライバは、さらに、セーフティコントロールに割り当てられている識別子が上記セーフティコントロールの枠組みの中で監視すべき上記オートメーションネットワークのスレーブサブスクライバ内に格納されているかを上記オートメーションネットワークの起動中に確認するように構成されており、上記スレーブサブスクライバ内に識別子が格納されていない場合に、上記マスターサブスクライバ内のセーフティコントロールに割り当てられている上記識別子を上記スレーブサブスクライバにロードする一方、上記スレーブサブスクライバ内に識別子が格納されている場合に、上記マスターサブスクライバ内の上記セーフティコントロールに割り当てられている上記識別子を上記スレーブサブスクライバ内に格納されている上記識別子と比較する。上記オートメーションネットワークは、2つの上記識別子が異なると判定された場合に、安全状態に移行する。
このアプローチにより、上記オートメーションネットワークのアクチュエータ/センサ層上の安全関連のデバイスを、安全且つ確実に、自動的に実装することができる。マスターサブスクライバの形式の上記制御層は、上記セーフティコントロールに割り当てられ、上記マスターサブスクライバに格納されている上記識別子と安全関連のスレーブサブスクライバに格納されている識別子との比較を、上記スレーブサブスクライバを作動させる前に行う。このアプローチにより、オートメーションネットワークのアクチュエータ/センサ層上のデバイスを、安全且つ確実に実装することができる。
図1は、セーフティコントロールが作動する安全防護領域を含んでいるオートメーションネットワークを概略的に示した図である。 図2は、互いに接続されている2つのオートメーションネットワークであって、各々が内蔵のセーフティコントロールが作動する安全防護領域を含んでいるオートメーションネットワークを示した図である。 図3Aは、オートメーションネットワークを起動するフローチャートを示す図である。 図3Bは、オートメーションネットワークを起動するフローチャートを示す図である。 図3Cは、オートメーションネットワークを起動するフローチャートを示す図である。
添付の図面を参照しながら、本発明をより詳細に説明する。
産業オートメーションにおいては、分散配置されたアクチュエータ/センサ層のデバイス(例えば、I/Oモジュール、データロガー、デバイスおよびバルブ)が高効率リアルタイム通信システムを介して制御層のオートメーションコンピュータとの通信を行うオートメーションネットワークが使用される。オートメーションネットワーク内のサブスクライバは、ポイントツーポイント接続またはバスシステムを介して、互いに接続されていてもよい。バスシステムとしては、フィールドバスシステムが使用されることが望ましい。オートメーションネットワークは、通常階層的に構成され、マスタースレーブの原則に従って動作する。マスターサブスクライバは、制御層に割り当てられ、オートメーションネットワーク内における通信接続にアクセスする権限を有するアクティブサブスクライバに相当する。スレーブサブスクライバは、センサ/アクチュエータ層に属し、パッシブサブスクライバに相当する。スレーブサブスクライバは、通信接続にアクセスするための独立した権限を持たない。すなわち、スレーブサブスクライバは、受信したデータに応答し、マスターサブスクライバからの要求に応じて、データをマスターサブスクライバに送信するのみでよい。
図1は、オートメーションネットワークの基本構造を概略的に示した図である。オートメーションネットワークは、制御層を形成する2つのサブスクライバM、SM1と、アクチュエータ/センサ層に相当する3つのサブスクライバS1、S2、S3と、を含んでいる。上記オートメーションネットワーク内のすべてのサブスクライバはシリアルバスを介して互いに接続され、シリアルバスを介してサブスクライバ間のデータ交換が行われる。サブスクライバ間のデータ交換は、通常、マスターサブスクライバにより、制御データおよびユーザデータからなるデータパケットの形にまとめられる。データパケット内の制御データはアドレス情報を含んでいる。これにより、イーサネット(登録商標)プロトコルに基づいたデータ交換を行うことが可能である。イーサネットプロトコルでは、最大1500バイトの長さのデータパケットを毎秒100メガビットの高伝送レートで継続して伝送することが可能である。
サブスクライバの不具合、および/または、オートメーションネットワーク全体の不具合が、人間および環境を危害に晒さないことを保障することは、オートメーションネットワークにとって必須の要件である。このため、通常の制御機能とは別に、セーフティコントロールがオートメーションネットワークの制御層に実装されなければならない。セーフティコントロールは、オートメーションネットワーク内のセーフティ関連のサブスクライバに不具合が発生した場合にオートメーションネットワークがいわゆるフェイルセーフの原則に基づいて自動的に安全状態に変化することを保障するものである。そのような安全状態の一例としては、オートメーションネットワークの緊急スイッチが挙げられる。
一般に、オートメーションネットワーク内のすべてのサブスクライバが安全関連のサブスクライバであるのではなく、オートメーションネットワーク内の安全機能の数は、通常、安全と関連のない制御を行う機能の数よりも少ない。また、安全防護領域は、一般に、オートメーションネットワークの内部で決定される。図1に示すオートメーションネットワークでは、安全防護領域は、1つの安全関連のマスターサブスクライバSM1(以下では、安全マスターサブスクライバSM1とも称する)および1つの安全関連のサブスクライバS1(以下では、安全スレーブサブスクライバS1とも称する)によって形成される。
安全マスターサブスクライバSM1の内部では、例えば設備固有の安全設定等のセーフティコントロール(S-Projekt-SM1)がローカルメモリに格納されている。この設備固有の安全設定により、安全マスターサブスクライバSM1と安全スレーブサブスクライバS1との間の通信接続が確立される。この安全な接続を一義的に識別するために、安全マスターサブスクライバSM1および安全スレーブサブスクライバは、それぞれ、ユニークな安全アドレス(S-Adresse#1およびS-Adresse#2)を処理し、安全サブスクライバのアドレスを用いて互いをアドレス指定する。安全サブスクライバ間のデータ交換は、セーフティコントロールの枠組みの中で安全サブスクライバ間の正常のデータ交換を保障する特定の安全プロトコルに従って行われる。
図1に示されているオートメーションネットワーク内に別に存在する安全に関連のないスレーブサブスクライバS2、S3は、第2のマスターサブスクライバM(以下では、標準マスターサブスクライバとも称する)によって制御される。標準マスターサブスクライバMは、さらに、オートメーションネットワーク内のセーフティコントロールのための設定用サブスクライバとしての役割を担っている。設定用サブスクライバとしての機能として、標準マスターサブスクライバMは、セーフティコントロール(S-Projekt-SM1)が格納されるバックアップメモリを備えるバックアップシステムを含んでいる。標準マスターサブスクライバMのバックアップシステムは、バックアップメモリと安全マスターサブスクライバSM1との間の安全なデータ伝送を保障するセーフプログラミングツールを備えている。
図1に示す実施形態とは別の実施形態において、設定用サブスクライバは、オートメーションネットワーク内の安全に関連のない別のサブスクライバであってもよい。さらに、別のネットワークを介して接続されるサブスクライバ(例えば、オートメーションネットワークの上位にあるデータ管理層のサブスクライバ)が制御用サブスクライバとして用いられてもよい。図1に示すように独立したマスターサブスクライバを設けることにより安全機能と安全に関連のない制御機能とを区別する代わりに、すなわち、安全機能に関する安全マスターサブスクライバと安全に関連のない制御機能に関する標準マスターサブスクライバとを用いる代わりに、個々のマスターサブスクライバは、安全に関連する制御機能と安全に関連しない制御機能との両方を実行することができるようになっていてもよい。ただし、その場合には、安全に関連しない制御機能が安全に関連する制御機能に影響を及ぼさないことが保障されなければならない。
図1に示すオートメーションネットワーク内におけるサブスクライバの交換または最初の実装の枠組みの中で、安全関連のサブスクライバに対して完全にオートメーション化された統合を行うことを可能にするために、識別子(S-Projekt-ID-SM1)が、セーフティコントロール(S-Projekt-SM1)、すなわち、設備固有の安全設定に割り当てられる。この識別子(S-Projekt-ID-SM1)は、セーフティコントロールプログラムのチェックサムであってもよい。ただし、セーフティコントロール内で計算プロシージャによって決定可能な他の識別子を用いることも可能である。セーフティコントロール(S-Projekt-SM1)の識別子(S-Projekt-ID-SM1)は、すべての安全関連のサブスクライバに格納されるので、サブスクライバの交換および/または新規の実装を、安全かつ確実に実行することができる。
安全マスターサブスクライバへのセーフティコントロールの最初の実装は、例えば、安全マスターサブスクライバの交換後、または、セーフティコントロールのアップデータの枠組みの中で、セーフプログラミングツールを備えた設定用サブスクライバによって実行される。セーフプログラミングツールは、セーフティコントロールをそのセーフティコントロールに割り当てられた識別子とともに安全マスターサブスクライバにロードする。安全マスターサブスクライバは、送信された識別子がセーフティコントロール内で計算された識別子と一致するかかどうかをチェックする。これによって安全マスターサブスクライバが2つの識別子に差異があると判定した場合、オートメーションシステムは、フェイルセーフの原則に従って安全状態に移行する。2つの識別子が一致する場合、安全マスターサブスクライバは、セーフティコントロールとそのセーフティコントロールに割り当てられている識別子とを、安全マスターサブスクライバに設けられているローカルメモリに格納する。
最初の実装の枠組みの中で、安全マスターサブスクライバにおいてだけでなくオートメーションネットワーク全体においてセーフティコントロールが初期化されるべきである場合には、設定用サブスクライバは、セーフティコントロールとそのセーフティコントロールに割り当てられている識別子とをセーフプログラムツールを用いて安全マスターサブスクライバに送信することに成功した後、以下の処理を行う。すなわち、設定用サブスクライバは、さらに、セーフティコントロールに割り当てられている識別子を、セーフティコントロールの枠組みの中で監視すべき安全スレーブサブスクライバにダウンロードする。あるいは、安全マスターサブスクライバは、セーフティコントロールに割り当てられている識別子を、安全スレーブサブスクライバに格納してもよい。さらに、初期化が完了するとすぐに、制御用サブスクライバが、セーフティコントロールとそのセーフティコントロールに割り当てられている識別子とを、バックアップメモリに格納する。
通常の動作が行われている間は、安全マスターサブスクライバは、起動中、自身のローカルメモリに格納されているセーフティコントロールおよびそのセーフティコントロールに関する識別子をロードする。そして、安全マスターサブスクライバは、格納されている識別子がセーフティコントロールにおいて計算される識別子と一致するかをチェックする。これによって、2つの識別子が相違すると安全マスターサブスクライバが判定した場合、オートメーションシステムは、フェイルセーフの原則に従って、安全状態に移行する。
安全マスターサブスクライバの起動の終了後にオートメーションシステムが安全状態に移行しなかった場合、安全マスターサブスクライバは、セーフティコントロールの枠組みの中で監視すべき安全スレーブサブスクライバ内に、セーフティコントロールの識別子が格納されているかをチェックする。例えば、安全スレーブサブスクライバが交換されていたことにより、安全スレーブサブスクライバ内に識別子が格納されていない場合、安全マスターサブスクライバは、セーフティコントロールの識別子を安全スレーブサブスクライバにロードする。安全スレーブサブスクライバ内に識別子が格納されている場合、安全マスターサブスクライバは、セーフティコントロールの識別子と、各安全スレーブサブスクライバ内に格納されている識別子と、を比較する。2つの識別子に差異があると判定した場合、オートメーションネットワークは、フェイルセーフの原則に従って、安全状態に移行する。
図1に示したオートメーションネットワークに関し、次のような3つの応用例を考えることができる。図3A、図3B、および図3Cは、3つの応用例の工程を示している。
(ケース1:図3A)
セーフティコントロール(S-Projekt-SM1)は、新規にオートメーションネットワークにインポートされる。設備固有の安全設定が、標準マスターサブスクライバMに格納される。安全マスターサブスクライバSM1および安全スレーブサブスクライバS1は、設定されていない。工程A1において、標準マスターサブスクライバMは、セーフプログラミングツールを用いて、セーフティコントロール(S-Projekt-SM1)を、そのセーフティコントロールに関する識別子(S-Projekt-ID-SM1)とともに安全マスターサブスクライバSM1にダウンロードする。工程A2において、安全マスターサブスクライバSM1は、送信された識別子(S-Projekt-ID-SM1)が、セーフティコントロール(S-プロジェクト-SM1)において計算される識別子と一致するかをチェックする。これによって安全マスターサブスクライバSM1が2つの識別子に差異があると判定した場合、工程A3において、オートメーションシステムは、フェイルセーフの原則に従って、安全状態に移行する。
2つの識別子が一致する場合、工程A4において、安全マスターサブスクライバSM1は、セーフティコントロールに関する識別子(S-Projekt-ID-SM1)を、セーフティコントロールによって監視すべき安全スレーブコントローラS1に格納する。セーフティコントロールに関する識別子(S-Projekt-ID-SM1)を監視すべき安全スレーブコントローラS1に格納するのは、標準マスターサブスクライバMであってもよい。その後、オートメーションネットワーク内のセーフティコントロール(S-Projekt-SM1)は、動作の準備が整うことになる。さらに、標準マスターサブスクライバMは、セーフティコントロール(S-Projekt-SM1)と関連する識別子(S-Projekt-ID-SM1)とを、自身のバックアップメモリに格納してもよい。
(ケース2:図3B)
安全マスターサブスクライバSM1が、例えば、交換されていたり、例えば、アップデートがまだインストールされていないことにより予測されるセーフティコントロールとは異なるセーフティコントロールを含んでいたりするために、安全マスターサブスクライバSM1内に、セーフティコントロールが存在しない。工程A6において、標準マスターサブスクライバMは、オートメーションネットワークを起動するとすぐに、セーフティコントロール(S-Projekt-SM1)に割り当てられている識別子が安全マスターサブスクライバSM1に存在するかをチェックする。存在する場合、工程A12において、標準マスターサブスクライバMは、通常動作状態に移行する。
安全マスターサブスクライバSM1が有効な設定になっていないと標準マスターサブスクライバMが判定した場合、標準マスターサブスクライバMは、その後すぐに、工程A7において、セーフティコントロール(S-Projekt-SM1)をそのセーフティコントロールに割り当てられている識別子(S-Projekt-ID-SM1)とともに、自身のバックアップメモリから安全マスターサブスクライバSM1にロードする。工程A8において、安全マスターサブスクライバSM1は、アップロードされた識別子(S-Projekt-ID-SM1)がセーフティコントロール(S-Projekt-SM1)において計算された識別子と一致するかをチェックする。2つの識別子が異なる場合、工程A9において、オートメーションネットワークは安全状態に移行する。
2つの識別子が一致する場合、安全マスターサブスクライバSM1は、工程A10において、安全スレーブサブスクライバS1との通信接続の確立中に安全スレーブサブスクライバS1から識別子を読み出す。工程A11において、安全マスターサブスクライバSM1は、読み出した識別子を、セーフティコントロール(S-Projekt-SM1)に割り当てられている識別子(S-Projekt-ID-SM1)と比較する。2つの識別子が一致しないと判定された場合、工程A13において、オートメーションネットワークは安全状態に移行する。2つの識別子が一致すると判定された場合、工程A14において、通常動作が再開する。
(ケース3:図3C)
オートメーションネットワークの起動中の通常動作において、安全マスターサブスクライバSM1は、セーフティコントロール(S-Projekt-SM1)のアップロード後の工程A15において、アップロードされたセーフティコントロールの識別子を決定する。工程A16において、安全マスターサブスクライバSM1は、計算された識別子と、セーフティコントロールに割り当てられた識別子(S-Projekt-ID-SM1)と比較する。安全マスターサブスクライバSM1が2つの識別子に差異があると判定した場合、オートメーションネットワークは、工程A17において、フェイルセーフの原則に従って、安全状態に移行する。
安全マスターサブスクライバSM1の起動処理の完了後に2つの識別子が一致する場合、工程A18において、安全マスターサブスクライバSM1は、セーフティコントロールの枠組みの中で監視すべき安全スレーブサブスクライバS1から、格納されている識別子を読み出す。安全マスターサブスクライバSM1は、工程A19において、識別子が安全スレーブサブスクライバS1に格納されていないと判定した場合、工程A20において、安全スレーブサブスクライバS1に割り当てられている識別子(S-Projekt-ID-SM1)を安全スレーブサブスクライバS1にアップロードし、工程A22において、通常動作に移行する。識別子が安全スレーブサブスクライバS1に格納されている場合、安全マスターサブスクライバSM1は、セーフティコントロールに割り当てられた識別子(S-Projekt-ID-SM1)と、安全スレーブサブスクライバS1に格納されている識別子と、を比較する。オートメーションネットワークは、2つの識別子に差異があると判定したときには、工程A21において安全状態に移行し、差異がないと判定したときには、工程A22において通常動作を再開する。
このようにセーフティコントロールに識別子を工夫して割り当てることにより、完全オートメーション化された安全関連のサブスクライバではなくとも、全設備にわたって安全関連のサブスクライバを一義的に割り当てることを保障することも可能である。図2は、異なる設備に割り当てられている2つのオートメーションネットワークであって、別個のセーフティコントロール(S-Projekt-SM1,S-Projekt-SM2)を実装している2つのオートメーションネットワークが、互いにネットワークで結ばれている実施形態を示した図である。2つのオートメーションネットワークは、それぞれ、安全マスターサブスクライバSM1、SM2を備えている。安全マスターサブスクライバSM1、SM2には、それぞれ、実行すべきセーフティコントロールの枠組みの中で3つの安全スレーブサブスクライバS1、S2、S3が割り当てられる。各オートメーションネットワークにおけるセーフティコントロールのサブスクライバ接続は、セーフティアドレスS-Adresse#1, S-Adresse#2, S- Adresse#3, S-Adresse#4によって決定される。さらに、2つのオートメーションネットワークは、それぞれ、標準マスターサブスクライバM1、M2を備えている。標準マスターサブスクライバM1、M2は、同時に、各オートメーションネットワークのセーフティコントロール(S-Projekt-SM1,S-Projekt-SM2)のための設定用サブスクライバとしての役割も担い、この目的のためにバックアップシステムを備えている。
2つのオートメーションネットワークは相異なるセーフティコントロール(S-Projekt-SM1,S-Projekt-SM2)を実行するので、各セーフティコントロールに割り当てられる一意な識別子により、各セーフティコントロールに全設備を通じて一義的にマスタースレーブサブスクライバを割り当てることができる。同じアドレスが割り当てられているために2つのオートメーションネットワークを連結することにより一方のオートメーションネットワークの安全マスターサブスクライバが何かの事情で他方のオートメーションネットワークの安全スレーブサブスクライバをアドレス指定してしまうことをこの方法により防止することができる。

Claims (9)

  1. オートメーションネットワーク内のセーフティコントロール(Projekt-SM1)を、上記セーフティコントロールを実装しているマスターサブスクライバ(SM1)と少なくとも1つの安全関連のスレーブサブスクライバ(S1)とによって作動させる作動方法において、
    上記セーフティコントロールは、上記マスターサブスクライバの設備特有の安全設定および上記スレーブサブスクライバの設備特有の安全設定を規定し、上記マスターサブスクライバと上記スレーブサブスクライバとの安全な接続を確立するように構成されており、 上記マスターサブスクライバ(SM1)が、上記オートメーションネットワークを作動させるときに、起動中に、識別子(Projekt-ID-SM1)が割り当てられている上記セーフティコントロール(Projekt-SM1)をローカルメモリからロードするとともに、上記セーフティコントロールに割り当てられている上記識別子(Projekt-ID-SM1)が上記セーフティコントロール内で計算される識別子と一致するかを判定する第1判定工程と、
    上記第1判定工程にて2つの上記識別子が一致しないと判定された場合に、上記オートメーションネットワークが安全状態に移行する第1移行工程と、
    上記第1判定工程にて2つの上記識別子が一致すると判定された場合に、上記マスターサブスクライバ(SM1)が、さらに、識別子が上記スレーブサブスクライバ(S1)に格納されているかを判定する第2判定工程と、
    識別子が上記スレーブサブスクライバに格納されていない場合に、上記マスターサブスクライバが上記セーフティコントロールに割り当てられている上記識別子(Projekt-ID-SM1)を上記スレーブサブスクライバにロードする一方、識別子が上記スレーブサブスクライバに格納されている場合に、上記マスターサブスクライバ(SM1)が上記セーフティコントロール(Projekt-SM1)に割り当てられている上記識別子(Projekt-ID-SM1)を上記スレーブサブスクライバ(S1)に格納されている上記識別子と比較する比較工程と、
    上記比較工程にて2つの上記識別子が異なっていると判定された場合に、上記オートメーションネットワークが安全状態に移行する第2移行工程と、を含んでいることを特徴とする作動方法。
  2. 上記オートメーションネットワークを起動させるときに、上記マスターサブスクライバ(SM1)にセーフティコントロールが格納されているかを判定し、セーフティコントロールが上記マスターサブスクライバに格納されていない場合に、上記セーフティコントロール(Projekt-SM1)を上記セーフティコントロールに割り当てられている上記識別子(Projekt-ID-SM1)とともに設定用サブスクライバ(M)から上記マスターサブスクライバにダウンロードするダウンロード工程をさらに含んでおり、
    上記第1判定工程にて、上記マスターサブスクライバは、上記ダウンロード工程にてダウンロードされた上記セーフティコントロールに関する上記識別子が上記セーフティコントロールにて計算される識別子と一致するかを確認し、
    上記第1判定工程にて上記識別子が一致しないと判定された場合に、上記第1移行工程にて、上記オートメーションネットワークが安全状態に移行することを特徴とする請求項1に記載の作動方法。
  3. 上記セーフティコントロールに割り当てられている識別子(Projekt-ID-SM1)は上記セーフティコントロールのチェックサムであることを特徴とする請求項1または2に記載の作動方法。
  4. 上記マスターサブスクライバ(SM1)および上記スレーブサブスクライバ(S1)は、それぞれ、各サブスクライバが互いをアドレス指定するための一意な安全アドレス(S-Adresse)を備えており、各サブスクライバは、安全プロトコルに従ってデータを交換することを特徴とする請求項1から3のいずれか1項に記載の作動方法。
  5. セーフティコントロール(Projekt-SM1)を実装しているマスターサブスクライバ(SM1)と少なくとも1つの安全関連のスレーブサブスクライバ(S1)とを含むオートメーションネットワークであって、
    上記セーフティコントロールは、上記マスターサブスクライバの設備特有の安全設定および上記スレーブサブスクライバの設備特有の安全設定を規定し、上記マスターサブスクライバと上記スレーブサブスクライバとの安全な接続を確立するように構成されており、
    上記マスターサブスクライバ(SM1)は、上記オートメーションネットワークを作動させるときに、起動中に、識別子(Projekt-ID-SM1)が割り当てられている上記セーフティコントロール(Projekt-SM1)をローカルメモリからロードするとともに、上記セーフティコントロールに割り当てられている上記識別子(Projekt-ID-SM1)が上記セーフティコントロール内で計算される識別子と一致するかを判定するように構成されており、上記オートメーションネットワークは2つの上記識別子が一致しないと判定された場合に安全状態に移行し、
    上記マスターサブスクライバ(SM1)は、2つの上記識別子が一致すると判定された場合に、識別子が上記スレーブサブスクライバ(S1)に格納されているかを判定するとともに、識別子が上記スレーブサブスクライバに格納されていない場合には上記セーフティコントロールに割り当てられている上記識別子を上記スレーブサブスクライバにロードする一方、識別子が上記スレーブサブスクライバに格納されている場合には上記セーフティコントロールに割り当てられている上記識別子(S-Projekt-ID-SM1)を上記スレーブサブスクライバに格納されている上記識別子と比較するように構成されており、上記オートメーションネットワークは2つの上記識別子が異なっていると判定された場合に安全状態に移行することを特徴とするオートメーションネットワーク。
  6. セーフティコントロールが上記マスターサブスクライバ(SM1)内に格納されているかを上記オートメーションネットワークを作動させるときに確認するように構成されている設定用サブスクライバ(M)であって、セーフティコントロールが上記マスターサブスクライバ内に格納されていない場合に、上記セーフティコントロール(S-Projekt-SM1)を上記セーフティコントロールに割り当てられている上記識別子(S-Projekt-ID-SM1)とともに上記マスターサブスクライバにダウンロードするように構成されている設定用サブスクライバ(M)をさらに含んでおり、
    上記マスターサブスクライバは、上記セーフティコントロールに関する上記識別子が上記セーフティコントロール内で計算される識別子と一致するかを確認するように構成されており、
    上記オートメーションネットワークは2つの上記識別子が一致しないと判定された場合に安全状態に移行することを特徴とする請求項5に記載のオートメーションネットワーク。
  7. 上記設定用サブスクライバ(M)はバックアップシステムを備えており、
    上記バックアップシステムは、上記セーフティコントロールおよびセーフプログラミングツールを格納するためのバックアップメモリを備えていることを特徴とする請求項6に記載のオートメーションネットワーク。
  8. 安全に関連のないスレーブサブスクライバ(S2,S3)を制御するための追加のマスターサブスクライバ(M)を備え、
    上記追加のマスターサブスクライバ(M)は、上記設定用サブスクライバの機能を備えていることを特徴とする請求項6または7に記載のオートメーションネットワーク。
  9. 追加のセーフティコントロール(S-Projekt-SM2)を実装している追加のマスターサブスクライバ(SM2)と、追加のセーフティコントロールを実装している上記追加のマスターサブスクライバに割り当てられている少なくとも1つの安全関連のスレーブサブスクライバと、を含んでおり、
    上記セーフティコントロールおよび上記追加のセーフティコントロールには、それぞれ、一意な識別子(S-Projekt-ID-SM1, S-Projekt-ID-SM2)が割り当てられていることを特徴とする請求項5から7のいずれか1項に記載のオートメーションネットワーク。
JP2011504395A 2008-04-17 2009-03-06 セーフティコントロールを作動させる作動方法、および、そのようなセーフティコントロールを備えたオートメーションネットワーク Active JP5271408B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102008019195.7 2008-04-17
DE102008019195A DE102008019195A1 (de) 2008-04-17 2008-04-17 Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
PCT/EP2009/052673 WO2009127470A1 (de) 2008-04-17 2009-03-06 Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung

Publications (2)

Publication Number Publication Date
JP2011516997A JP2011516997A (ja) 2011-05-26
JP5271408B2 true JP5271408B2 (ja) 2013-08-21

Family

ID=40758702

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011504395A Active JP5271408B2 (ja) 2008-04-17 2009-03-06 セーフティコントロールを作動させる作動方法、および、そのようなセーフティコントロールを備えたオートメーションネットワーク

Country Status (6)

Country Link
US (1) US8321040B2 (ja)
EP (1) EP2266002B1 (ja)
JP (1) JP5271408B2 (ja)
CN (1) CN102037420B (ja)
DE (1) DE102008019195A1 (ja)
WO (1) WO2009127470A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2233991A1 (de) * 2009-03-25 2010-09-29 Siemens Aktiengesellschaft Sicherheitsgerichtetes Automatisierungssystem mit automatischer Adresswiederherstellung
DE102009058518A1 (de) * 2009-12-16 2011-06-22 Siemens Aktiengesellschaft, 80333 Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
CN103490895B (zh) * 2013-09-12 2016-09-14 电小虎能源科技(北京)有限公司 一种应用国密算法的工业控制身份认证方法及装置
US10542407B2 (en) * 2018-06-02 2020-01-21 T-Mobile Usa, Inc. Detecting safety concerns via subscriber safety control (SSC) system
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1293989C (en) * 1986-07-17 1992-01-07 Brooks W. Taylor Computer controlled lighting system with distributed processing
US5010459A (en) 1986-07-17 1991-04-23 Vari-Lite, Inc. Console/lamp unit coordination and communication in lighting systems
JP3070653B2 (ja) * 1994-02-08 2000-07-31 横河電機株式会社 プラント監視装置
US6647301B1 (en) * 1999-04-22 2003-11-11 Dow Global Technologies Inc. Process control system with integrated safety control system
JP2003513347A (ja) * 1999-10-25 2003-04-08 シーメンス アクチエンゲゼルシヤフト 特に自動化システムにおけるモジュールへの無資格アクセス防止システム及び方法
JP2001265402A (ja) * 2000-03-22 2001-09-28 Hitachi Ltd 車両用制御装置
EP1396963B1 (en) * 2001-05-31 2010-01-27 Omron Corporation Safety network system and safety slaves and safety controller and communication method and information gathering method and monitoring method in safety network system
WO2003001749A1 (fr) * 2001-06-22 2003-01-03 Omron Corporation Systeme de reseau securise et esclave securise
US7100036B2 (en) 2001-10-30 2006-08-29 Hewlett-Packard Development Company, L.P. System and method for securing a computer
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
US7237109B2 (en) 2003-01-28 2007-06-26 Fisher- Rosemount Systems, Inc. Integrated security in a process plant having a process control system and a safety system
EP1460497B1 (en) * 2003-02-12 2012-11-14 Omron Corporation Safety controller
DE102004015616B4 (de) 2003-04-01 2022-03-17 Fisher-Rosemount Systems, Inc. Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
WO2004109999A2 (en) * 2003-06-11 2004-12-16 Philips Intellectual Property & Standards Gmbh Master node for a lin network
US7328370B2 (en) * 2003-09-12 2008-02-05 Rockwell Automation Technologies, Inc. Safety controller with simplified interface
US7213168B2 (en) * 2003-09-16 2007-05-01 Rockwell Automation Technologies, Inc. Safety controller providing for execution of standard and safety control programs
DE102004018857A1 (de) * 2004-04-19 2005-11-10 Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik Sicherheitssteuerung
DE102004035033A1 (de) 2004-07-20 2006-02-16 Wabco Gmbh & Co.Ohg Elektronische Wegfahrsperre
DE102004035831A1 (de) * 2004-07-23 2006-02-16 Siemens Ag Verfahren und Vorrichtung zur Inbetriebnahme eines Geräts
DE112005002653A5 (de) 2004-12-23 2007-11-15 Abb Patent Gmbh Verfahren zur Konfiguration von Feldgeräten
DE102005017298B4 (de) 2005-04-14 2010-06-24 Continental Automotive Gmbh Verfahren und Vorrichtung zum Schreiben eines Ablaufsprogramms in eine Speichervorrichtung einer programmgesteuerten Steuervorrichtung
JP4336985B2 (ja) * 2005-04-19 2009-09-30 オムロン株式会社 安全ユニットのコンフィグレーション検証システム
EP1911553B1 (en) * 2005-07-19 2014-04-02 Omron Corporation Safety management system for worker
JP4619231B2 (ja) * 2005-07-29 2011-01-26 株式会社ジェイテクト 安全plc
DE102005053103B4 (de) 2005-11-04 2008-04-24 Phoenix Contact Gmbh & Co. Kg Verfahren sowie System zur Übertragung von zyklischen und azyklischen Daten
JP4614094B2 (ja) 2006-02-14 2011-01-19 日本電気株式会社 共振周波数算出装置および共振周波数算出方法
DE102006013578B4 (de) * 2006-03-22 2008-03-27 Phoenix Contact Gmbh & Co. Kg Verfahren und Steuer- und Datenübertragungsanlage zum Überprüfen des Einbauortes eines sicheren Kommunikationsteilnehmers
DE102006051222B3 (de) * 2006-10-31 2008-03-27 Moeller Gmbh Verfahren und Anordnung zur Kommunikation auf einem LIN-Bus
FI125141B (fi) * 2007-01-03 2015-06-15 Kone Corp Hissin turvalaite

Also Published As

Publication number Publication date
US8321040B2 (en) 2012-11-27
WO2009127470A1 (de) 2009-10-22
EP2266002A1 (de) 2010-12-29
US20110093096A1 (en) 2011-04-21
DE102008019195A1 (de) 2009-10-29
JP2011516997A (ja) 2011-05-26
CN102037420B (zh) 2013-06-05
EP2266002B1 (de) 2017-07-19
CN102037420A (zh) 2011-04-27

Similar Documents

Publication Publication Date Title
JP5271408B2 (ja) セーフティコントロールを作動させる作動方法、および、そのようなセーフティコントロールを備えたオートメーションネットワーク
EP3502901B1 (en) Method and apparatus for monitoring and reconstructing a software-defined plc
US11429720B2 (en) Method and system for firmware-updating a control device for process control
JP4750182B2 (ja) セキュリティ保護バス・サブスクライバのアドレス割付け
JP5858037B2 (ja) ネットワークシステム、マスター装置およびネットワークシステムの制御方法
JP4827964B2 (ja) 安全通信構成部品の取付け場所を検証するための方法ならびに制御およびデータ伝送システム
US9874869B2 (en) Information controller, information control system, and information control method
CN107864230B (zh) 基于拓扑的互联网协议(ip)寻址
US10412041B2 (en) Internet protocol (IP) addressing using an industrial control program
JP4599013B2 (ja) 安全ステーションを設定する方法およびそれを利用した安全制御システム
US10735478B2 (en) Controller and method for setting up communication links to redundantly operated controllers in an industrial automation system
CA2998428A1 (en) Modular control device of an industrial automation system, and method for configuring the modular control device
US11005709B2 (en) Method and a system for the deterministic autoconfiguration of a device
US20130116804A1 (en) Method for automatically transferring a configuration of an automation device during replacement of an automation device
EP3457655A1 (en) A security unit and method for an industrial control system
US9223303B2 (en) Method for providing safety functions
US20150066160A1 (en) Control program management device, information processing device, and control program processing method
WO2007075097A1 (en) Processing unit and method for configuring a networked automation system
JP2006318394A (ja) ネットワークシステムの無停電電源装置の管理方法
JP2009026182A (ja) プログラム実行システム及び実行装置
CN111427861B (zh) 分布式文件系统配置方法及装置
CN109491236B (zh) 用于运行高可用性的自动化系统的方法
JP2008204113A (ja) ネットワーク監視システム
US20220357711A1 (en) Field device
JP2001282734A (ja) リモートサービス装置、リモートサービス管理装置、および記録媒体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120612

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120813

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130510

R150 Certificate of patent or registration of utility model

Ref document number: 5271408

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250