WO1998044399A2 - Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems - Google Patents

Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems Download PDF

Info

Publication number
WO1998044399A2
WO1998044399A2 PCT/EP1998/001814 EP9801814W WO9844399A2 WO 1998044399 A2 WO1998044399 A2 WO 1998044399A2 EP 9801814 W EP9801814 W EP 9801814W WO 9844399 A2 WO9844399 A2 WO 9844399A2
Authority
WO
WIPO (PCT)
Prior art keywords
station
bus
input
programming
safety
Prior art date
Application number
PCT/EP1998/001814
Other languages
English (en)
French (fr)
Other versions
WO1998044399A3 (de
Inventor
Manfred Kramer
Olaf Ziegler
Original Assignee
Elan Schaltelemente Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=26035305&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=WO1998044399(A2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Elan Schaltelemente Gmbh filed Critical Elan Schaltelemente Gmbh
Priority to DE59802533T priority Critical patent/DE59802533D1/de
Priority to EP98919171A priority patent/EP0972388B1/de
Publication of WO1998044399A2 publication Critical patent/WO1998044399A2/de
Publication of WO1998044399A3 publication Critical patent/WO1998044399A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40182Flexible bus arrangements involving redundancy by using a plurality of communication lines
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/10Current supply arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40013Details regarding a bus controller
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23424Select construction element from function library
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24173One sensor, two I-O channels each for different processor
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24186Redundant processors are synchronised
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25032CAN, canbus, controller area network bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25331Module connected to canbus and to controlled device
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25389Macro's, subroutines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40273Bus for use in transportation systems the transportation system being a vehicle

Definitions

  • the invention relates to a method for programming a safety-related control system with central and / or decentralized stations.
  • Safety-related control systems are programmed according to the state of the art in such a way that logical links are entered in an external programming device such as a commercial personal computer and are merged (compiled) with a sequence program that performs safety-related functions, among other things. The program is then transferred to the safety-related control system via an interface.
  • the present invention is based on the problem of providing a programming method for safety-related control systems which, on the one hand, simplifies programming and, on the other hand, ensures greater security.
  • safety-related control-technical rules for linking input and output signals in the form of software macros are stored in a central or decentralized station of the control system, commands being transmitted to the central or decentralized station via a programming device via which command sequences compiled in the software macros for assigning input and output information can be called up.
  • Software macros are to be understood as command sequences for assigning input and output information.
  • the commercially available programming device only serves to define / determine the input and output parameters of the software macro, while the logical combination of the safety-related conditions is already stored in the software macro of the safety-related control system.
  • the software macros are stored in a bus master station, preferably a bus start station.
  • the stored macro commands are designed in such a way that errors can be excluded by subjecting these relatively small parts of the program to a 100% test in the sense of simulation and test procedures.
  • input and output information is assigned via the parameters that are transmitted from the programming device to the station having software macros, and that the safety-related control program is verified by reading back the programmed parameters, preferably on - / Output parameters and their reconfirmation on the data input device.
  • the desired functional effect of certain hardware and / or software input and / or output configurations is stored in the software macros, e.g. B. the function of monitoring a movable protective device on machines with dangerous movements, d. H.
  • a dangerous movement an output for a drive
  • a dangerous movement can only be initiated (switched on) when two monitoring contacts that detect the position of the protective device are closed. If one of the two contacts opens, the output of the dangerous movement is switched off. If at least one of the two contacts is not closed, the release of a dangerous movement cannot be initiated.
  • the commercially available programming device is only used to determine which hardware and / or software inputs and which hardware and / or software outputs in terms of an assignment, e.g. B. Terminal assignment, should be involved in the desired function and assigned to each other.
  • an assignment e.g. B. Terminal assignment
  • So-called parameterization masks are provided to generate the parameters, via which a control-related combination of input and / or output signals takes place.
  • the data transmission between the station or stations and the programming device preferably takes place via an RS-232 interface.
  • Fig. 11 logical structure of a shutdown table.
  • a safety-related control system 10 which in the exemplary embodiment shown here is designed as a strand-shaped bus system.
  • the bus system has a large number of central and / or decentralized stations 12, 14, 16, 18, 20 which have interconnected inputs and / or outputs.
  • a first station 12 is designed as a bus start station or as a bus master with a bus connection 22 and a last station 20 as a bus end station with a bus input 24.
  • the further stations 14, 16, 18 each have a bus input 26, 28, 30 and a bus output 32, 34, 36. Between a bus output 22, 32, 34, 36 is a bus station and a bus input 26, 28, 30 a single-channel bus line 38, 40, 42, 44 is arranged. In this way, the bus system 10 can have a line with up to 64 stations.
  • the transmission medium or the single-channel bus line 38, 40, 42, 44 consists of a data line 46 and an energy supply line 48. Both the data line and the energy supply line are designed with two wires.
  • the bus master 12 is connected via a feed line 50 to a transformer 52, which in turn is connected to the mains voltage and provides a touch-safe AC supply voltage of preferably 42 V AC.
  • Both the data line 46 and the power supply line 48 are within the bus inputs and outputs 26, 32; 28, 34; 30, 36 stations with internal loops.
  • each station 12, 14, 16, 18, 20 of the bus system 10 has two independent subsystems or nodes A, B, which are referred to below as channel A and channel B.
  • the redundant system is built up through the two-channel training.
  • Each channel A, B within station 12-20 has the possibility to independently access bus 38-44. In other words, each channel A, B works according to the multi-master principle independent.
  • the stations 12-20 have an essentially identical hardware structure.
  • the channels A and B each have a power supply unit 54, 56, which are connected on the input side to the supply line 50.
  • a first output 58, 60 of the power supply 54, 56 is connected to a programmable control unit 62, 64 such as a microcomputer.
  • the microcomputers 62, 64 are connected via lines 66, 68 to bus controllers 70, 72, which are connected via further lines 74, 76 to bus couplers 78, 80 to the bus data line 46.
  • the bus couplers 78, 80 have a separate voltage supply and are connected to a second output 82, 84 of the power supply unit 54, 56.
  • a data exchange between channels A and B takes place via a connecting line or link 86 between the microcomputers 62, 64 for mutual checking. It is a galvanically decoupled, serial interface. Furthermore, serial interfaces 88, 90 such as RS 232 or CAN interfaces are provided in the microcomputers 62, 64, each of which is connected via a connecting line to an output level 92 of channel B and to an output level 94 of channel A for a connection to produce an external programming device such as a personal computer for programming the bus system. Further interfaces for coupling to other bus levels can also be provided.
  • the output levels 92, 94 each have up to eight semiconductor outputs.
  • FIG. 3 shows a circuit arrangement of the channel A of the master station 12 according to FIG. 2 in detail.
  • Channel A has a circuit structure that is typical of the prior art.
  • the power supply unit 56 comprises two transformers 96, 98, the primary windings 100, 102 of which are connected in series to the supply voltage on the primary side.
  • the transformers 96, 98 each have a secondary winding 104, 106, each of which provides a regulated output voltage for the microcomputer 64 on the one hand and for the bus coupler 80 on the other hand via a rectifier 108, 110 and a voltage regulator 1 12, 114.
  • the microcomputer 64 points also external memory modules 116, 118 such as RAM and ROM and a watchdog 120.
  • the two microcomputers 62, 64 of the master station 12 can access the bus 38, 40, 42, 44 independently of one another via the bus coupler 78, 80 in each case. Data exchange for control purposes is possible via link 86.
  • the connection is opto-electronically decoupled.
  • the supply voltage U v is present at the input of the power supply unit 54, 56 and is connected to the input windings of the transformers 96, 98.
  • a voltage of approximately 8 V AC is present at the output windings 104, 106, which voltage is limited to approximately 5 V via the rectifier 108, 110 and associated voltage regulators 112, 114.
  • the voltage is monitored using the watchdog 120.
  • the ROM module 118 is used to store firmware.
  • the ROM module 118 is designed as an EPROM and is checked cyclically with the aid of a 16-bit checksum formation (CRC check).
  • CRC check 16-bit checksum formation
  • User-specific data are stored in a flash EPROM.
  • the flash EPROM is programmed via the serial interface 90. With the help of a switch and various security mechanisms, the user data can be transferred.
  • the flash EPROM is checked using the CRC check described above.
  • the external RAM 116 is provided in addition to a processor-internal RAM.
  • This RAM module 116 contains an RTC (Real Time Clock).
  • An external RAM is also provided for the microcomputer 62, but does not have an RTC.
  • Fig. 4 shows an example of the structure of one of the stations 14, 16, 18.
  • the stations 14, 16, 18 have essentially the same internal structure as the master station 12.
  • a major difference is the formation of an input and / or or output level 124, 122.
  • the bus station can thus be designed as a bus output station with up to eight semiconductor outputs or as a bus input station with semiconductor outputs be connected to one to four emergency stop buttons or optionally one to eight command devices such as locking or unlocking devices.
  • the contact elements are connected to a terminal and internally - separated via optocouplers - connected to the inputs of the two microcomputer systems. To test the lines for cross-circuit, signals are periodically applied to the lines for testing.
  • bus terminating station 20 shows a structure of the bus terminating station 20.
  • the bus terminating station has only the bus input 24 and no further bus output.
  • the bus termination station 20 can also have inputs and / or outputs 126, 128, which are each assigned to a channel A or B. The technical function of the bus termination station 20 will be explained later.
  • the RAM module 116 is checked with the aid of a software test, whereas the testing of the ROM module 118 is limited to the signature formation of the two modules and their comparison.
  • microcomputers that have the same instruction set, but internally different hardware structures systematic hardware errors can be detected. Regardless of this, the microcomputers of both channels of a station continuously perform self-test functions in the background.
  • the communication between the bus start station or the bus master 12 and the bus end station 20 is subject to time-related information.
  • This measure ensures that an interruption in a bus line 38-44 can be detected within approximately 15 ms.
  • the message content is subject to a change in time (counting up method). This measure prevents another participant within the bus system from being able to simulate the message from the master or bus termination.
  • An interruption within a station can only affect one channel in accordance with the usual error considerations and the circuit board layout.
  • the second error entry time is used as the basis for this type of error.
  • This consideration means that all channels in each station (except master 12 and bus termination station 20) have to report within one hour, depending on the safety requirements, for example. In this way, the bus load can be reduced to a level that meets the availability requirements.
  • the user software on which the bus system 10 is based will be explained below. A user is given the opportunity to adapt the control system to his circumstances. With the help of menu-driven software, the Assign users to stations 12 - 20 inputs and / or outputs.
  • This configuration software can be installed on any IBM-compatible system that has, for example, the MS-DOS operating system. The assignment of input and output levels takes place in a matrix-like form.
  • function blocks are displayed to the user without the user himself having access to the logical functions of these blocks.
  • Function blocks include, for example, the parameterization of commercially available protective devices, e.g. B. door tumblers, emergency stop command devices and the like, but also - for special protective functions - the programming of logical functions such as AND, OR, NOT.
  • the logical functions are not stored in the programming device such as a PC, but only the name of the function block z.
  • the actual logical components, which are implemented in a relay module by the internal wiring, are stored as a macro in the memory module 118, such as EPROM.
  • the memory chip is e.g. B. Part of the bus master 12.
  • the user can from the programming device via the serial interface 90 data to z. B. transfer the bus master 12.
  • additional macros with simple logic functions such as "AND”, “OR” and “NOT” are provided, which may only affect a fixedly specified output area. With these functions, the user can use an input area, assign logical functions to it and let it act on specified outputs. Since the logical functions of these macros are only stored in the bus master 12 and the input variable set has been restricted to an address range and only predefined outputs may be used, the user cannot influence the safety-related program part of the data set. Password protection protects the installer from the options described.
  • 6-10 are exemplary programming masks through which the system can be programmed. With the help of a mask Ml it is determined at which position the respective stations 12-20 should be located in the bus system 10. In the exemplary embodiment shown, there is a maximum expansion possibility with 64 bus stations. It is provided that the bus master 12 and the bus termination station 20 are already predefined.
  • the mask M2 has a "Name” field in which a freely selectable name can be entered. Furthermore, a field “Channel 1" / “Channel 2" is provided, in which a terminal designation of the applied contact is entered. A “Start” field is also provided, which describes the terminal of a start button.
  • the field “Additional conditions” can e.g. B. represent a feedback loop. The desired output is set in a "Release” field when all conditions are met. A further delayed release is made available in a “delayed” field. The delay time is adjustable. The start condition can occur automatically via a falling edge or with a rising edge. In the context of other applications, an automatic start could also be specified depending on the safety-related general conditions.
  • FIG. 8 shows a mask M3 for a locking device module, which essentially has the same structure as the mask M2 according to FIG. 7.
  • FIG. 9 shows a mask M4 which represents a logic module.
  • This mask M4 can be used to link inputs or flags.
  • the logical links "AND, OR, NOR or NAND" are available for this. By combining different logical expressions, all logical functions can be programmed.
  • FIG. 10 shows a mask M5 of a contact duplication module.
  • an "input” field e.g. B. an output of an emergency stop module can be used so that one input can act on several outputs.
  • fields “Channel 1 to 8" provided, in which only free outputs can be used, which behave equivalent to the "master input”.
  • the user program is transmitted to the channel A of the bus master 12 via the serial interface 88.
  • the following data is transferred:
  • Channel A of bus master 12 sends the data parts inverted via link 86 to channel B, which completely inverts the data back and sends them directly back to the programming device via serial interface 88 of channel A.
  • the non-inverted read back user program and the inverted sent user program are now in the programming device.
  • This data is compared in the programming device.
  • the channels of the bus master compare the received data of the user program via link 86. In the respective channel, this data is assigned to the corresponding macros and copied into the Flash EPROM 218. After all data has been transferred, the user has to compare these with the current parameters by reloading the specified parameters. By confirming this action, the user can start his program as a test run / commissioning.
  • the programming device and the respective channels A and B form a CRC over the received / transmitted data. The programmer then sends its CRC, which are compared by channels A and B.
  • Each channel in the master has information about the counter readings of each module.
  • Each station has its own counter, the mirror of which is stored in the master.
  • the counters of a station (channel A, channel B) are independent.
  • the counter reading of each station is available four times in the bus master (channel A station levels A, B; channel B station levels A, B).
  • the backup byte contains the information about the status of the inputs / outputs and is stored in the channels of the master with the respective counter readings.
  • the meter readings change each time a message / status message is sent.
  • the backup byte can remain constant if there is no change in the output input states. If the meter reading does not change, an internal error is assumed and the bus system is shut down.
  • the sending of status messages within the specified time window is monitored according to the following Table I: TABLE I:
  • the defect of a channel within a station that suppresses the sending of status messages Since all stations are constructed redundantly, a failure of a channel within this station would not lead to the loss of the overall function of the station. To achieve a safety-related failure of the station, at least one further error would have to be assumed within the same station. Thus, the detection time of the first error is limited to the time that is assumed in which the second error with corresponding probability considerations will not yet occur.
  • the second fault entry time was set at ⁇ 1 h.
  • bus terminating station 20 If the bus terminating station 20 is defective, the same considerations apply as with reference to fault description 1, namely cutting the bus line.
  • the device provides that the programmable control unit 62, 64 is coupled to the bus via a coupling element, with the programmable control unit 62, 64 being assigned a memory element, in which stores information or message contents for activating outputs and / or inputs, and wherein at least one input and / or output can be activated depending on a comparison of the information stored in the storage element with signals or information transmitted on the bus.
  • the method provides that a bus station sends a message to the bus line as a function of a signal present at the input and / or output, the message being read by at least one further bus station and containing messages associated with the respective bus station is compared, with a match such as an action between the message and the associated message content.
  • B. Switching off a release is carried out by the bus station.
  • the respective outputs are informed via the bus before the system is put into operation, to which message content which release should be switched.
  • the function of the higher-level control remains. Only an additional switch-off path is integrated into the system.
  • the switch-off and / or switch-on tables stored in memory elements in the individual stations are generated independently in a programming device.
  • Each safety-relevant output is assigned the inputs to which it should react when it is switched off. If an output is dependent, for example, on an emergency stop switch and a contact on a protective door, an AND function is assigned to this output, which is directly dependent on the respective inputs.
  • an output AI is dependent on a signal M1 from an emergency stop module 252 and an output signal M2 from a door module 254.
  • the signals M1, M2 are fed to an AND gate 256 in order to generate an enable signal for the output AI.
  • the emergency stop module 252 has inputs 258, 260, 270, 272 for input signals E1, E2 "feedback loop", and "start”.
  • the door module 254 has inputs 274, 276, 278, 280, 282, 284 for input signals E3, E4, "lock”, “unlock”, “feedback loop” and “start”.
  • the switch-off table described causes the output AI to be switched off directly if the input information E1 or E2 or E3 or E4 is not met.
  • the programming device like the PC, automatically generates a switch-off table and appends it to the transmission protocol.
  • the switch-off table is first stored in the controller's memory.
  • the respective switch-off tables are then transferred to the respective stations via the bus. averages.
  • the stations After receiving the respective switch-off table, the stations send an echo of the data received, which is checked by the controller or the bus master.
  • both channels of a station have received the switch-off table, they carry out an internal comparison.
  • the switch-off tables in both channels must be the same, otherwise there is no system release.
  • An exit station which is to reset an exit due to a request, is prompted with four independent pieces of information to do the following:
  • the shutdown by the shutdown tables must always be faster than the shutdown by the controller or the bus master.
  • the switch-off sequences must be observed so that a reset is possible after a switch-off.
  • the channels in the respective exit station monitor each other for the correctness of the switch-off sequences.
  • the user-specific data is stored in the flash eprom.
  • the flash EPROM is programmed via the serial interface 88.
  • the user data can be transferred using a switch and / or various security mechanisms.
  • the flash EPROM is checked using the CRC check described above. The checksum for the CRC check was generated by the user PC and compared with the checksum generated independently by the master station. Only if the two match, is it saved with the flash eprom.
  • a self-test is also provided, a register test, a flag test, an ALU test and an instruction set test being provided.
  • a test program is provided for the tests.
  • the watchdog monitors the self-test functions and is addressed with more than one trigger point. It is designed in such a way that not only a trigger that is too late, but also a trigger that is too early is noticed.
  • control system When the control system is put into operation, it starts automatically with an initialization phase.
  • the bus master station 12 requests all connected stations 14 to 20 to send their status.
  • all internal test procedures such as REM, ROM, I / O, CPU have been completed, the output levels are released. Due to the use of volatile working memories and the use of voltage monitoring ICs, the entire system is in its initial state after each start-up.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Small-Scale Networks (AREA)
  • Multi Processors (AREA)
  • Hardware Redundancy (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Die Erfindung bezieht sich auf ein Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems mit zentralen und/oder dezentralen Stationen. Um die Programmierung einerseits zu vereinfachen und andererseits eine höhere Sicherheit zu gewährleisten, ist vorgesehen, dass sicherheitsgerichtete steuerungstechnische Regeln zur Verknüpfung von Ein- und Ausgangssignalen in Form von Software-Makros in einer zentralen oder dezentralen Station (12-20) des Steuerungssystems abgelegt sind, wobei über ein Programmiergerät Befehle an die zentrale oder dezentrale Station übertragen werden, über die in den Software-Makros zusammengestellte Befehlsfolgen zur Zuweisung von Ein- und Ausgangsinformationen aufgerufen werden.

Description

Beschreibung
Verfahren zur Programmierung eines sicherheits gerichteten Steuerungssystems
Die Erfindung bezieht sich auf ein Verfahren zur Programmierung eines sicherheits- gerichteten Steuerungssystems mit zentralen und/oder dezentralen Stationen.
Sicherheitsgerichtete Steuerungssysteme werden nach dem Stand der Technik derart programmiert, dass logische Verknüpfungen in einem externen Programmiergerät wie handelsüblichem Personalcomputer eingegeben und mit einem unter anderem sicherheitstechnische Funktionen ausführenden Ablaufprogramm zusammengeführt (compi- liert) werden. Anschließend wird das Programm über eine Schnittstelle dem sicherheits- gerichteten Steuerungssystem übertragen.
Da ein handelsüblicher PC jedoch über keine besonderen sicherheitstechnischen Merkmale verfügt, muss die Programmierung, die über diesen PC erfolgt, im Rahmen eines Abnahmetests der Steuerung überprüft werden. Insbesondere muss jede sicherheitsgerichtete Funktion auf ihre ordnungsgemäße Funktion getestet werden.
Bei einer Progammierung mit handelsüblichem PC kann das Problem auftreten, dass durch das Programmiergerät verursachte Fehler oder durch die Übertragung des Programms zu dem Steuerungssystem verursachte Fehler die programmierten logischen Verknüpfungen beeinträchtigen, wodurch sicherheitsrelevante Steuerungsregeln verändert werden, was sich auf die Sicherheit des Steuerungssystems auswirken kann. Wird der vorgenannte Abnahmetest entsprechend den Vorschriften durchgeführt, entstehen hohe Aufwendungen, da z. B. jedes Not-Aus-Befehlsgerät u. ä. Signalgeber funktioneil getestet werden müssen, wobei zusätzliche Abhängigkeiten und NichtAbhängigkeiten zwischen den verschiedenen Schutzeinrichtungen zu berücksichtigen sind. Wird dieser Aufwand nicht oder nur unzulänglich betrieben, entstehen funktionelle Sicherheitsrisiken.
Der vorliegenden Erfindung liegt das Problem zu Grunde, ein Prograιτιτnierverfahren für sicherheitsgerichtete Steuerungssysteme zur Verfügung zu stellen, durch das die Programmierung einerseits vereinfacht und andererseits eine höhere Sicherheit gewährleistet ist.
Das Problem wird dadurch gelöst, dass sicherheitsgerichtete steuerungstechnische Regeln zur Verknüpfung von Ein- und Ausgangssignalen in Form von Software-Makros in einer zentralen oder dezentralen Station des Steuerungssystems abgelegt sind, wobei über ein Programmiergerät Befehle an die zentrale oder dezentrale Station übertragen werden, über die in den Software-Makros zusammengestellte Befehlsfolgen zur Zuweisung von Ein- und Ausgangsinformationen aufgerufen werden.
Unter Software-Makros sind Befehlsfolgen zur Zuweisung von Ein- und Ausgangsinformationen zu verstehen. Das handelsübliche Programmiergerät dient in diesem Falle lediglich dazu, die Eingangs- und Ausgangsparameter des Software-Makros zu definieren/zu bestimmen, während die logische Verknüpfung der sicherheitstechnischen Bedingungen bereits im Software-Makro des sicherheitsgerichteten Steuerungssystems hinterlegt ist.
Auf diese Weise wird eine Entkopplung von sicherheitsgerichtetem Steuerungssystem und handelsüblichem PC erreicht. Die Betriebs-Software eines handelsüblichen PC's mit RS 232-Schnittstelle, die regelmäßig über keinerlei sicherheitsgerichtete Eigenschaften, wie Redundanz. Testverfahren usw. verfügt, dient also lediglich der Übertragung der gewünschten steuerungstechnischen Parameter an das jeweilige in der Station gespeicherte Makro, d. h. Gefahren durch Ausfälle oder Störungen im PC können somit nicht in die in den Software-Makros hinterlegten Befehlsfolgen zur Zuweisung von Ein- und Ausgangsinformationen gelangen.
Die Software-Makros werden in einer Bus-Master-Station, vorzugsweise Bus-Anfangs- Station hinterlegt. Die hinterlegten Makro-Befehle sind so beschaffen, dass Fehler ausgeschlossen werden können, indem diese relativ kleinen Programmteile einmalig einer 100%igen Prüfung im Sinne von Simulation und Testverfahren unterzogen werden.
Bei einer besonders bevorzugten Verfahrensweise ist vorgesehen, dass eine Zuweisung von Ein- und Ausgangsinformationen über die Parameter erfolgt, die von dem Programmiergerät an die Software-Makros aufweisende Station übertragen werden und dass die Verifizierung des sicherheitsgerichteten Steuerungsprogramms durch ein Rücklesen der programmierten Parameter, vorzugsweise Ein-/ Ausgangsparameter und ihrer Rückbestätigung am Dateneingabegerät erfolgt.
In den Software-Makros ist die gewünschte funktionelle Wirkung bestimmter hardware- und/oder softwaremäßiger Eingangs- und/oder Ausgangskonfigurationen hinterlegt, z. B. die Funktion der Überwachung einer beweglichen Schutzeinrichtung an Maschinen mit gefahr-bringenden Bewegungen, d. h. eine gefahrbringende Bewegung (ein Ausgang für einen Antrieb) kann erst eingeleitet (eingeschaltet) werden, wenn zwei Überwachungskontakte, die die Stellung der Schutzeinrichtung detektieren, geschlossen sind. Öffnet einer der beiden Kontakte, wird der Ausgang der gefahrbringenden Bewegung abgeschaltet. Ist mindestens einer von beiden Kontakten nicht geschlossen, kann keine Freigabe einer gefahrbringenden Bewegung eingeleitet werden.
Über das handelsübliche Programmiergerät wird lediglich bestimmt, welche hardware- und/oder softwaremäßigen Eingänge und welche hardware- und/oder softwaremäßigen Ausgänge im Sinne einer Zuordnung, z. B. Klemmenzuordnung, in der gewünschten Funktion involviert und einander zugeordnet sein sollen. In Bezug auf die Programmierung mit einem handelsüblichen PC verbleibt mithin lediglich das Risiko, dass die Übertragung der Ein-/Ausgangsparameter in Richtung Software-Makros fehlerbehaftet sein könnte. Anstelle eines Abnahmetests genügt es im vorliegenden Falle aber, dass die Ein-/ Ausgabeparameter auf Richtigkeit nur im Rahmen eines Rücklesens überprüft und rückbestätigt werden müssen.
Zur Erzeugung der Parameter sind sogenannte Parametrier-Masken vorgesehen, über die eine steuerungstechnsiche Verknüpfung von Ein- und/oder Ausgangssignalen erfolgt.
Vorzugsweise erfolgt die Datenübertragung zwischen der oder den Stationen und dem Programmiergerät über eine RS-232-Schnittstelle.
Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus den Ansprüchen, den diesen zu entnehmenden Merkmalen - für sich und/oder in Kombination -, sondern auch aus der nachfolgenden Beschreibung eines der Zeichnung zu entnehmenden Ausführungsbeispiels.
Es zeigen:
Fig. 1 prinzipieller Aufbau eines Sicherheitsbussystems,
Fig. 2 prinzipieller Aufbau einer Master-Station mit zwei Kanälen,
Fig. 3 Schaltungsanordnung eines ersten Kanals der Master-Station gemäß Fig.
2
Fig. 4 prinzipieller Aufbau einer Ein- und/oder Ausgangs-Station,
Fig. 5 prinzipieller Aufbau einer Bus-Abschluss-Station, Fig. 6 - 10 Darstellungen von Programmiermasken,
Fig. 11 logischer Aufbau einer Abschalttabelle.
Fig. 1 zeigt ein sicherheitsgerichtetes Steuerungssystem 10, das in dem hier dargestellten Ausführungsbeispiel als strangförmiges Bussystem ausgebildet wird. Das Bussystem weist eine Vielzahl von miteinander in Verbindung stehender Ein- und/oder Ausgänge aufweisender zentraler und/oder dezentraler Stationen 12, 14,16 ,18, 20 auf. Dabei ist eine erste Station 12 als Bus- Anfangsstation bzw. als Bus-Master mit einem Busan- schluss 22 und eine letzte Station 20 als Bus-Abschluss-Station mit einem Buseingang 24 ausgebildet. Die weiteren Stationen 14, 16, 18 besitzen jeweils einen Buseingang 26, 28, 30 und einen Busausgang 32, 34, 36. Zwischen einem Busausgang 22, 32, 34, 36 einer Bus-Station und einem Buseingang 26, 28, 30 ist jeweils eine einkanalige Busleitung 38, 40, 42, 44 angeordnet. Auf diese Weise kann das Bussystem 10 einen Strang mit bis zu 64 Stationen aufweisen.
Das Übertragungsmedium bzw. die einkanalige Busleitung 38, 40, 42, 44 besteht aus einer Datenleitung 46 und einer Energieversorgungsleitung 48. Dabei sind sowohl die Datenleitung als auch die Energieversorgungsleitung zweiadrig ausgebildet.
Zur Energieversorgung ist der Bus-Master 12 über eine Zuleitung 50 mit einem Transformator 52 verbunden, der seinerseits mit Netzspannung verbunden ist und eine berührungssichere Versorgungswechselspannung von vorzugsweise 42 V AC zur Verfügung stellt. Sowohl die Datenleitung 46 als auch die Energieversorgungsleitung 48 werden innerhalb der die Busein- und -ausgänge 26, 32; 28, 34; 30, 36 aufweisenden Stationen intern durchgeschliffen. Grundsätzlich weist jede Station 12, 14, 16, 18, 20 des Bussystems 10 zwei voneinander unabhängige Teilsysteme bzw. Knoten A, B auf, die im Folgenden als Kanal A und Kanal B bezeichnet werden. Durch die zweikanalige Ausbildung wird ein redundantes System aufgebaut. Dabei hat jeder Kanal A, B innerhalb der Station 12 - 20 die Möglichkeit, selbständig auf den Bus 38 - 44 zuzugreifen. Mit anderen Worten arbeitet jeder Kanal A, B nach dem Multi-Master-Prinzip selbständig. Grundsätzlich weisen die Stationen 12 - 20 einen im wesentlichen identischen Hardware-Aufbau auf.
In Fig. 2 ist der Aufbau des Bus-Masters 12 dargestellt. Die Kanäle A und B weisen jeweils ein Netzteil 54, 56 auf, das eingangsseitig mit der Vorsorgungsleitung 50 verbunden sind. Ein erster Ausgang 58, 60 des Netzteils 54, 56 ist mit einer programmierbaren Steuereinheit 62, 64 wie Mikrocomputer verbunden. Die Mikrocomputer 62, 64 sind über Leitungen 66, 68 mit Bus-Controlern 70, 72 verbunden, die über weitere Leitungen 74, 76 mit Buskopplern 78, 80 mit der Bus-Datenleitung 46 verbunden sind. Die Buskoppler 78, 80 weisen eine separate Spannungsversorgung auf und sind mit einem zweiten Ausgang 82, 84 des Netzteils 54, 56 verbunden.
Über eine Verbindungsleitung bzw. einen Link 86 zwischen den Mikrocomputern 62, 64 erfolgt ein Datenaustausch zwischen den Kanälen A und B zur gegenseitigen Überprüfung. Dabei handelt es sich um eine galvanisch entkoppelte, serielle Schnittstelle. Des Weiteren sind in den Mikrocomputern 62, 64 serielle Schnittstellen 88, 90 wie RS 232- oder CAN-Schnittstelle vorgesehen, die über jeweils eine Verbindungsleitung mit einer Ausgangsebene 92 des Kanals B und mit einer Ausgangsebene 94 des Kanals A verbunden sind, um eine Verbindung zu einem externen Prorammiergerät wie Personalcomputer zur Programmierung des Bussystems herzustellen. Auch können weitere Schnittstellen zur Ankopplung an andere Busebenen vorgesehen sein. Die Ausgangsebenen 92, 94 weisen jeweils bis zu acht Halbleiterausgänge auf.
In Fig. 3 ist eine Schaltungsanordnung des Kanals A der Master-Station 12 gemäß Fig. 2 im Detail dargestellt. Dabei weist der Kanal A einen an sich nach dem Stand der Technik typischen Schaltungaufbau auf. Das Netzteil 56 umfasst zwei Transformatoren 96, 98, deren Primärwicklungen 100, 102 primärseitig in Reihe an Versorgungsspannung liegen. Die Transformatoren 96, 98 weisen jeweils eine Sekundärwicklung 104, 106 auf, die jeweils über einen Gleichrichter 108, 110 und über einen Spannungsregler 1 12, 114 eine geregelte Ausgangsspannung einerseits für den Mikrocomputer 64 und andererseits für den Buskoppler 80 zur Verfügung stellen. Der Mikrocomputer 64 weist zudem externe Speicherbausteine 116, 118 wie RAM und ROM auf sowie einen Watchdog 120. Die beiden Mikrocomputer 62, 64 der Master-Station 12 können unabhängig voneinander auf den Bus 38, 40, 42, 44 über jeweils den Buskoppler 78, 80 zugreifen. Über den Link 86 ist ein Datenaustausch für Kontrollzwecke möglich. Die Verbindung ist optoelektronisch entkoppelt.
Durch den zentralen Leistungstransformator 52 wird die Netzspannung von UN = 230 V AC auf eine Versorgungsspannung Uv = 42 V AC transformiert. Die Versorgungsspannung Uv liegt am Eingang des Netzteils 54, 56 an und ist mit den Eingangswicklungen der Transformatoren 96, 98 verbunden. An den Ausgangswicklungen 104, 106 liegt eine Spannung von ca. 8 V AC an, die über den Gleichrichter 108, 110 und zugeordnete Spannungsregeier 112, 114 auf ca. 5 V begrenzt wird. Die Spannung wird mit Hilfe des Watchdog 120 überwacht.
Der ROM-Baustein 118 dient zur Speicherung von Firmware. Der ROM-Baustein 118 ist als EPROM ausgebildet und wird mit Hilfe einer Checksummenbildung 16 Bit (CRC-Check) zyklisch überprüft. Anwenderspezifische Daten werden in einem Flash- EPROM gespeichert. Die Programmierung des Flash-EPROMS erfolgt über die serielle Schnittstelle 90. Mit Hilfe eines Schalters und verschiedener Sicherungsmechanismen können die Anwenderdaten übernommen werden. Die Prüfung des Flash-EPROMS erfolgt mit Hilfe des oben beschriebenen CRC-Check.
Das externe RAM 116 ist zusätzlich zu einem prozessorinternen RAM vorgesehen. Dieser RAM-Baustein 116 beinhaltet eine RTC (Real Time Clock). Für den Mikrocomputer 62 ist ebenfalls ein externes RAM vorgesehen, das allerdings keine RTC aufweist.
Fig. 4 zeigt beispielhaft den Aufbau einer der Stationen 14, 16, 18. Die Stationen 14, 16, 18 weisen im wesentlichen den gleichen internen Aufbau auf wie die Master-Station 12. Ein wesentlicher Unterschied besteht in der Ausbildung einer Ein- und/oder Ausgangsebene 124, 122. So kann die Bus-Station als Bus-Ausgangsstation mit bis zu acht Halbleiterausgängen oder als Bus-Eingangsstation mit Halbleiterausgängen ausgebildet sein, an der ein bis vier Not- Aus-Taster oder wahlweise ein bis acht Befehlsgeräte wie Verriegelungs oder Entriegelungsgeräte angeschlossen sind. Die Kontaktelemente werden dabei an eine Klemme gelegt und intern - über Optokoppler getrennt - mit den Eingängen der beiden Mikrocomputersysteme verbunden. Zur Überprüfung der Leitungen auf Querschluss werden zur Testung die Leitungen periodisch mit Signalen beaufschlagt.
In Fig. 5 ist ein Aufbau der Bus-Abschluss-Station 20 dargestellt. Im Unterschied zu den Bus-Stationen 14, 16, 18 weist die Bus-Abschluss-Station nur den Buseingang 24 und keinen weiteren Busausgang auf. Die Bus-Abschluss-Station 20 kann ebenfalls über Ein- und/oder Ausgänge 126, 128 verfügen, die jeweils einem Kanal A oder B zugeordnet sind. Die technische Funktion der Bus-Abschluss-Station 20 soll später erläutert werden.
Insbesondere ist darauf hinzuweisen, dass die Hardware dahingehend konzipiert ist, möglichst Fehler zu vermeiden. Aus diesem Grunde wurden in die Stationen 12 - 20 jeweils zwei unabhängige Kanäle bzw. Funktionseinheiten A und B zur Ausführung von spezifizierten Funktionen integriert. Die Kanäle A und B sind gleich d. h. homogen redundant. Die von beiden Kanälen verwendeten bzw. erzeugten Signale werden zum Zwecke der Fehlererkennung ständig rniteiander verglichen (Vergleich von relevanten Ein- und/oder Ausgangssignalen). In diesem Zusammenhang ist insbesondere auf die übergeordnete Relaisebene (Fail-Safe- Vergleiche), den internen gegenseitigen Vergleich über den Link 86 sowie auf einen externen Vergleich der Eingabedaten durch den Anwender hinzuweisen.
Der RAM-Baustein 116 wird mit Hilfe eines Software-Tests geprüft, wohingegen sich die Testung des ROM-Bausteins 118 auf die Signaturbildung beider Bausteine und deren Vergleich beschränkt.
Durch die Verwendung teildiversitärer Mikrocomputer (Mikrocomputer, die den gleichen Befehlssatz aufweisen, aber intern unterschiedliche Hardware-Strukturen haben), können zum Teil systematische Hardwarefehler aufgedeckt werden. Ungeachtet dessen führen die Mikrocomputer beider Kanäle einer Station ständig Selbsttestfunktionen im Hintergrund aus.
Erfindungsgemäß unterliegt die Kommunikation zwischen der Bus- Anfangsstation bzw. dem Bus-Master 12 und der Bus-Abschluss-Station 20 zeitbedingten Informationen. Ein Ausbleiben einer Nachricht innerhalb eines definierten Zeitfensters, z. B. 15 ms, führt zur Gesamtabschaltung des Systems. Alternativ besteht auch die Möglichkeit, zeitbedingte Informationen nicht nur zwischen dem Master und der Bus-Abschluss-Station 20 sondern zwischen einer Vielzahl von intelligenten Busteilnehmern 14, 16, 18 auszutauschen. Dieser zeitkritische Informationsaustausch beschränkt sich nicht nur auf Bus- Master 12 und Bus-Abschluss-Station 20.
Durch diese Maßnahme wird gewährleistet, dass eine Unterbrechung einer Bus-Leitung 38 - 44 innerhalb von ca. 15 ms detektiert werden kann. Der Nachrichteninhalt unterliegt einem zeitlichen Wechsel (Hochzählverfahren). Mit dieser Maßnahme wird verhindert, dass ein anderer Teilnehmer innerhalb des Bussystems die Nachricht des Masters oder Bus- Abschlusses simulieren kann.
Eine Unterbrechung innerhalb einer Station kann sich gemäß den üblichen Fehlerbetra- chungsweisen und entsprechend dem Leiterplatten-Layout nur auf einen Kanal auswirken. Somit wird für diese Fehlerart die Zweitfehlereintrittszeit zu Grunde gelegt. Aus dieser Überlegung ergibt sich die Notwendigkeit, dass sich alle Kanäle in jeder Station (ausgenommen Master 12 und Bus-Abschluss-Station 20) je nach sicherheitstechnischen Anforderungen zum Beispiel innerhalb einer Stunde melden müssten. Auf diese Weise kann die Bus-Auslastung auf ein Maß reduziert werden, das den Anforderungen hinsichtlich der Verfügbarkeit genügt.
Im Folgenden soll die dem Bus-Systems 10 zu Grunde liegende Anwender-Software erläutert werden. Einem Anwender wird die Möglichkeit gegeben, das Steuerungssystem seinen Gegebenheiten anzupassen. Mit Hilfe einer menügesteuerten Software kann der Anwender den Stationen 12 - 20 Ein- und/oder Ausgänge zuordnen. Diese Konfigurationssoftware kann auf jedem IBM-kompatiblen System installiert werden, welches zum Beispiel über das Betriebssystem MS-DOS verfügt. Die Zuordnung von Ein- und Ausgangsebenen erfolgt in einer matrix-ähnlichen Form.
Erfindungsgemäß werden dem Anwender Funktionsblöcke angezeigt, ohne dass dieser selbst Zugriff auf die logischen Funktionen dieser Blöcke hat. Funktionsblöcke umfassen zum Beispiel die Parametrierung handelsüblicher Schutzeinrichtungen, z. B. Türzuhaltungen, Not- Aus-Befehlseinrichtungen und ähnliches, aber auch - für spezielle Schutzfunktionen - die Programmierung logischer Funktionen wie UND, ODER, NICHT. Die logischen Funktionen sind nicht im Programmiergerät wie PC abgelegt, sondern im Programmiergerät werden lediglich der Name des Funktionsblockes z. B. Türzuhaltung, dessen Nummer, Optionen, Eingangsklemmennummern, Ausgangsklemmennummern und Kommentare abgelegt. Die eigentlichen logischen Bestandteile, die in einem Relaisbaustein durch die interene Verdrahtung realisiert sind, liegen als Makro in dem Speicherbaustein 118 wie EPROM ab. Der Speicherbaustein ist z. B. Bestandteil des Bus-Masters 12.
Der Anwender kann aus dem Programmiergerät über die serielle Schnittstelle 90 Daten an z. B. den Bus-Master 12 übertragen. Um dem Anwender die Möglichkeit zu eröffnen, eigene nicht sicherheitsrelevante Aktoren/Sensoren in das System einzubringen, sind zusätzliche Makros mit einfachen logischen Funktionen wie "UND", "ODER" und "NICHT" vorgesehen, die nur auf einen fest vorgegebenen Ausgangsbereich wirken dürfen. Mit diesen Funktionen kann der Anwender einen Eingangsbereich nutzen, diesem logische Funktionen zuordnen und auf vorgegebene Ausgänge wirken lassen. Da die logischen Funktionen dieser Makros nur im Bus-Master 12 abgelegt sind und der Eingangsvariablensatz auf einen Adresbsereich beschränkt wurde und nur vordefinierte Ausgänge benutzt werden dürfen, kann der Anwender keinen Einfluss auf den sicherheitstechnischen Programmteil des Datensatzes nehmen. Die beschriebenen Möglichkeiten bleiben dem Einrichter durch einen Passwortschutz vorbehalten. In den Fig. 6 - 10 sind beispielhaft Programmiermasken dargestellt, über die das System programmierbar ist. Mit Hilfe einer Maske Ml wird festgelegt, an welcher Stelle sich die jeweiligen Stationen 12 - 20 im Bus-System 10 befinden sollen. Im dargestellten Ausführungsbeispiel liegt eine maximale Ausbaumöglichkeit bei 64 Bus-Stationen. Dabei ist vorgesehen, dass der Bus-Master 12 und die Bus-Abschluss-Station 20 bereits fest vorgegeben sind.
Fig. 7 zeigt eine Maske M2 für ein Not-Aus-Modul. Die Maske M2 weist ein Feld "Bezeichnung" auf, in das ein frei wählbarer Name eingetragen werden kann. Ferner ist ein Feld "Kanal 1" /"Kanal 2" vorgesehen, in das eine Klemmenbezeichnung des aufgelegten Kontaktes eingetragen wird. Des Weiteren ist ein Feld "Start" vorgesehen, das die Klemme eines Start-Tasters beschreibt. Das Feld "Zusatzbed." kann z. B. einen Rückführkreis darstellen. In einem Feld "Freigabe" wird der gewünschte Ausgang bei Erfüllung aller Bedingungen gesetzt. Es wird eine weitere abfallverzögerte Freigabe in einem Feld "verzögert" zur Verfügung gestellt. Die Verzögerungszeit ist dabei einstellbar. Die Startbedingung kann über eine abfallende Flanke automatisch oder mit ansteigender Flanke erfolgen. Im Rahmen anderen Anwendungen könnte je nach sicherheitstechnischen Rahmenbedingungen auch ein automatischer Start vorgegeben sein.
In Fig. 8 ist eine Maske M3 für ein Verriegelungseinrichtungsmodul dargestellt, die im wesentlichen den Aufbau wie die Maske M2 gemäß Fig. 7 aufweist.
In Fig. 9 ist eine Maske M4 dargestellt, die ein Logik-Modul darstellt. Mit Hilfe dieser Maske M4 können Eingänge oder Merker verknüpft werden. Dazu stehen die logischen Verknüpfungen "UND, ODER, NOR oder NAND" zur Verfügung. Durch Kombination verschiedener logischer Ausdrücke können alle logischen Funktionen programmiert werden.
Fig. 10 zeigt eine Maske M5 eines Kontaktvervielfältigungs-Moduls. In einem Feld "Eingang" kann z. B. ein Ausgang eines Not- Aus-Moduls eingesetzt werden, so dass ein Eingang auf mehrere Ausgänge wirken kann. Des Weiteren sind Felder "Kanal 1 bis 8" vorgesehen, in die nur freie Ausgänge eingesetzt werden können, die sich äquivalent dem "Master-Eingang" verhalten.
Insgesamt wird eine benutzerfreundliche Oberfläche zur Anwendeφrograrrimierung geschaffen. Die Software wird mit Hilfe automatischer Kontrollprogramme auf die Einhaltung selbst erstellter Richtlinien übeφrüft. Da erfindungsgemäß Software-Module als Makros im Bus-Master 12 abgelegt sind, sind diese einfach zu prüfen und gegebenenfalls für Erweiterungszwecke leicht zu ändern, da anstelle eines miteinander unαV- oder untereinander verknüpften Gesamt-Ablaufprogramms in sich abgeschlossene, vergleichsweise kleine und überschaubar verifizierbare Blöcke (Makros) das Gesamtprogramm bilden. Durch die Verwendung eines Software-Moduls für jeweils eine Aufgabe wie Türzuhaltung, federkraftverriegelt, magnetkraftverriegelt oder Not-Aus können diese Funktionen auf der untersten Mikrocomputer- bzw. Prozessorebene programmiert werden, was die Transparenz und Fehlerfreiheit dieser Programmteile erhöht.
Nachdem ein Anwender am Programmiergerät wie PC gewünschte Verknüpfungen programmiert hat, wird das Anwendeφrogramm über die serielle Schnittstelle 88 an den Kanal A des Bus-Masters 12 übertragen. Dabei werden folgende Daten übertragen:
- Modulart (Not-Aus, Türverriegelung ...),
- Adress-Eingänge,
- Adress-Ausgänge und
- Verzögerungszeiten.
Kanal A des Bus-Masters 12 sendet die Datenteile invertiert über den Link 86 zum Kanal B, dieser invertiert die Daten vollständig zurück und sendet diese direkt über die serielle Schnittstelle 88 des Kanals A an das Programmiergerät zurück. Im Programmiergerät liegt nun das nicht invertierte zurückgelesene Anwendeφrogramm und das invertierte gesendete Anwendeφrogramm. Diese Daten werden im Programmiergerät verglichen. Die Kanäle des Bus-Masters vergleichen über den Link 86 die empfangenen Daten des Anwendeφrogramms. In dem jeweiligen Kanal werden diese Daten den entsprechenden Makros zugeordnet und in das Flash-Eprom 218 kopiert. Nachdem alle Daten übertragen wurden, muss der Anwender durch Zurückladen der angegebenen Parameter diese mit den aktuellen Parametern vergleichen. Durch Bestätigung dieser Handlung kann der Anwender sein Programm als Testlauf/Inbetriebnahme starten. Zusätzlichen bilden Programmiergerät und die jeweiligen Kanäle A und B eine CRC über die empfangenen/gesendeten Daten. Das Programmiergerät sendet als Abschluss seine CRC, die vom Kanal A und B verglichen werden.
Im Folgenden sollen implementierte Überwachungsfunktinen erläutert werden. Es sind implementierte Sicherungs verfahren bzw. Überwachungsfunktionen auf Bus-Ebene, auf Protokoll-Ebene sowie auf Prozessor-Ebene vorgesehen.
Implementierte Sicherungsverfahren auf Bus-Ebene wurden vorgesehen, indem von acht möglichen Daten-Bytes drei genutzt werden und in diesen ein aktueller Zählerstand, ein aktueller invertierter Zählerstand und ein Sicherungsbyte übertragen wird. Jeder Kanal im Master besitzt die Information über die Zählerstände jedes Moduls. Jede Station besitzt einen eigenen Zähler, dessen Spiegel im Master abgelegt ist. Die Zähler einer Station (Kanal A, Kanal B) sind unabhängig.
Folglich liegt die Information des Zählerstandes jeder Station viermal im Bus-Master vor (Kanal A Stationsebenen A, B; Kanal B Stationsebenen A, B). Das Sicherungsbyte enthält die Informationen über den Zustand der Ein-/Ausgänge und ist jeweils in den Kanälen des Masters mit den jeweiligen Zählerständen abgelegt. Die Zählerstände ändern sich mit jedem Senden einer Nachricht/Statusmeldung. Das Sicherungsbyte kann - wenn keine Änderung der AusVEingangszustände eintritt - konstant bleiben. Ändert sich der Zählerstand nicht, so wird ein interner Fehler angenommen und das Bus- System stillgesetzt. Das Senden der Statusmeldungen innerhalb der angegebenen Zeitfenster wird gemäß folgender Tabelle I überwacht: TABELLE I :
Figure imgf000016_0001
Die Zeitfenster ergeben sich aus folgenden Fehlerfall-Überlegungen:
1. Annahme, dass eine der Busleitungen 38, 40, 42, 44 durchtrennt ist
Da die Busleitung nur einkanalig ist, würde ein Durchtrennen dieser Leitung aus der Sicht des Bus-Masters 12 zunächst nicht bemerkt werden. Da die Bus-Abschluss-Station 20 als letzte Station in dieser Kette sich zwangsläufig nicht mehr melden könnte, würden dessen Statusmeldungen im Bus-Master 12 nicht mehr vorliegen. Die Reaktionszeit des Gesamtsystems auf Erstfehler dieser Art muss mindestens der Fehlererkennungszeit traditioneller Sicherheitssysteme entsprechen. Legt man für diese Sicherheitsbetrachtungen Relaisbausteine zu Grunde, erkennt als äquivalenten Fehler die Durchtrennung der Versorgungsspannung an, so würde dieser Baustein im Idealfall in ca. 20 ms abfallen.
2. Annahme, dass ein Fehler des Kanals A der Station 16 vorliegt
Der Defekt eines Kanals innerhalb einer Station, der ein Senden von Statusmeldungen unterdrückt. Da alle Stationen redundant aufgebaut sind, würde ein Versagen eines Kanals innerhalb dieser Station nicht zum Verlust der Gesamtfunktion der Station führen. Um ein sicherheitstechnisches Versagen der Station zu erreichen, müsste mindestens ein weiterer Fehler innerhalb derselben Station angenommen werden. Somit beschränkt sich die Aufdeckungszeit des ersten Fehlers auf die Zeit, welche angenom- men werden muss, in der der zweite Fehler mit entsprechenden Wahrscheinlichkeits- betrachtungen noch nicht eintreten wird. Die Zweitfehlereintrittszeit wurde mit < 1 h festgesetzt.
3. Annahme, dass die Bus-Abschluss-Station einen Defekt aufweist
Bei Defekt der Bus-Abschluss-Station 20 gelten die gleichen Überlegungen wie mit Bezug zu Fehlerbeschreibung 1, nämlich Durchtrennen der Busleitung.
Um ein schnelles Abschalten von Ausgängen in einem Bus-System mit sicherheitsgerichteten Funktionen zu erreichen, ist vorrichtungsmäßig vorgesehen, dass die programmierbare Steuereinheit 62, 64 über ein Koppelelement mit dem Bus gekoppelt ist, wobei der programmierbaren Steuereinheit 62, 64 ein Speicherelement zugeordnet ist, in dem Informationen bzw. Nachrichteninhalte zum Aktivieren von Ausgängen und/oder Eingängen abgelegt sind, und wobei in Abhängigkeit eines Vergleichs der in dem Speicherelement abgelegten Informationen mit auf den Bus übertragenen Signalen bzw. Informationen zumindest ein Eingang und/oder Ausgang aktivierbar ist.
Verfahrensmäßig ist vorgesehen, dass eine Bus-Station in Abhängigkeit von einem an dem Eingang und/oder Ausgang anliegenden Signal eine Nachricht auf die Busleitung sendet, wobei die Nachricht von zumindest einer weiteren Bus-Station gelesen und mit für die jeweilige Bus-Station zugeordneten Nachrichteninhalten verglichen wird, wobei bei Übereinstimmung zwischen der Nachricht und dem zugeordneten Nachrichteninhalt eine Aktion wie z. B. Abschalten einer Freigabe durch die Bus-Station ausgeführt wird.
Um dies zu ermöglichen, wird den jeweiligen Ausgängen vor Inbetriebnahme des Systems über den Bus mitgeteilt, auf welche Nachrichteninhalte welche Freigabe geschaltet werden soll. Somit befinden sich in den Speichern der jeweiligen Ausgangsstation Tabellen, welche die Nachrichteninhalte, die zum Abschalten der jeweiligen Freigaben führen sollen, beinhalten. Die Funktion der übergeordneten Steuerung bleibt bestehen. Es wird lediglich ein zusätzlicher Abschaltweg in das System integriert. Die in den einzelnen Stationen in Speicherelementen abgelegten Abschalt- und/oder Einschalttabellen werden in einem Programmiergerät selbständig generiert. Dabei werden jedem sicherheitsrelevanten Ausgang die Eingänge zugeordnet, auf welche dieser beim Ausschalten reagieren soll. Ist ein Ausgang zum Beispiel von einem Not- Aus-Schalter und einem Kontakt einer Schutztür abhängig, so wird diesem Ausgang eine UND-Funktion zugeordnet, welche direkt von den jeweiligen Eingängen abhängt.
In Fig. 11 ist der logische Aufbau einer Abschalttabelle dargestellt. In dem dargestellten Ausführungsbeispiel ist ein Ausgang AI von einem Signal Ml eines Not- Aus-Moduls 252 sowie einem Ausgangssignal M2 eines Tür-Moduls 254 abhängig. Die Signale Ml, M2 werden einem UND-Glied 256 zugeführt, um ein Freigabesignal für den Ausgang AI zu generieren.
Das Not- Aus-Modul 252 weist Eingänge 258, 260, 270, 272 für Eingangssignale El, E2 "Rückführkreis", und "Start" auf. Das Tür-Modul 254 weist Eingänge 274, 276, 278, 280, 282, 284 für Eingangssignale E3, E4, "Verriegeln", "Entriegeln", "Rückführkreis" und "Start" auf. Die beschriebene Abschalttabelle veranlasst ein direktes Abschalten des Ausgangs AI, wenn die Eingangsinformation El oder E2 oder E3 oder E4 nicht erfüllt ist.
Sendet eine Eingangsstation, dass ein Eingang geöffnet wurde, wird diese Information von allen Ausgangsstationen gelesen und mit der stationseigenen Abschalttabelle verglichen. Die Abschalttabelle hat nur Einfluss auf das Abschalten einer Freigabe. Das Setzen einer Freigabe kann nur von der Steuereinheit bzw. dem Bus-Master veranlasst werden.
Nachdem ein Anwender die Einzelmodule bestätigt hat, generiert das Programmiergerät wie PC selbständig eine Abschalttabelle und fügt diese dem Übertragungsprotokoll an.
Die Abschalttabelle wird zunächst im Speicher der Steuerung abgelegt. Anschließend werden den jeweiligen Stationen die jeweiligen Abschalttabellen über den Bus über- mittelt. Die Stationen senden nach Erhalt der jeweiligen Abschalttabelle ein Echo der erhaltenen Daten, welches von der Steuerung bzw. dem Bus-Master übeφrüft wird.
Haben beide Kanäle einer Station die Abschalttabelle erhalten, führen diese einen internen Vergleich durch. Die Abschalttabellen in beiden Kanälen müssen gleich sein, da ansonsten keine Systemfreigabe erfolgt.
Wird in dem Programmiergerät eine fehlerhafte Abschalttabelle generiert, so dass einem Ausgang die falsche Eingangsinformation zugeordnet wird, wird dieser Fehler wie folgt aufgedeckt:
Eine Ausgangsstation, welche einen Ausgang aufgrund einer Anforderung zurücksetzen soll, wird mit vier unabhängigen Informationen zu folgenden Handlungen veranlasst:
1. Abschalttabelle Kanal A
2. Abschalttabelle Kanal B
3. Abschaltung durch Master-Kanal A
4. Abschaltung durch Master-Kanal B.
Diese Informationen stehen in einer zeitlichen Abhängigkeit zueinander. Die Abschaltung durch die Abschalttabellen muss immer schneller sein, als die Abschaltung durch die Steuerung bzw. den Bus-Master. Die Abschaltsequenzen müssen eingehalten werden, damit ein Reset nach einer Abschaltung möglich ist. Die Kanäle in der jeweiligen Ausgangsstation überwachen sich gegenseitig auf die Korrektheit der Abschaltsequenzen.
Die anwenderspezifischen Daten werden in dem Flash-Eprom gespeichert. Die Programmierung des Flash-Eproms erfolgt über die serielle Schnittstelle 88. Mit Hilfe eines Schalters und/oder verschiedener Sicherungsmechanismen können die Anwenderdaten übernommen werden. Die Prüfung des Flash-Eproms erfolgt mit Hilfe des oben beschriebenen CRC-Check. Die Prüfsumme für den CRC-Check wurde vom Anwender-PC erzeugt und mit der von der Master-Station unabhängig erzeugten Prüfsumme verglichen. Nur wenn beide übereinstimmen wird diese mit dem Flash-Eprom abgespeichert.
Auch ist ein Selbsttest vorgesehen, wobei ein Registertest, ein Flag-Test, ein ALU-Test sowie ein Befehlssatztest vorgesehen ist. Für die Tests ist ein Testprogramm vorgesehen.
Der Watchdog überwacht die Selbsttestfunktionen und wird mit mehr als einem Triggerpunkt angesprochen. Er ist so ausgelegt, dass neben einem zu späten Antriggern auch ein zu frühes Antriggern bemerkt wird.
Wird das Steuerungssystem in Betrieb genommen, beginnt es selbständig mit einer Initialisierungsphase. Die Bus-Master-Station 12 fordert alle angeschlossenen Stationen 14 bis 20 auf, ihren Status zu senden. Sind alle internen Testverfahren wie REM, ROM, I/O, CPU abgeschlossen, werden die Ausgangsebenen freigegeben. Durch die Verwendung von flüchtigen Arbeitsspeichern und der Verwendung von Spannungsüber- wachungs IC's befindet sich das Gesamtsystem nach jedem Anlauf in seinem Ausgangszustand.

Claims

Ansprüche
Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems
Verfahren zur Programmierung eines sicherheitsgerichteten Steuerungssystems mit zentralen und/oder dezentralen Stationen, dadurch gekennzeichnet, dass sicherheitsgerichtete steuerungstechnische Regeln zur Verknüpfung von Ein- und Ausgangssignalen in Form von Software-Makros in einer zentralen oder dezentralen Station (12 - 20) des Steuerungssystems abgelegt sind, wobei über ein Programmiergerät Befehle an die zentrale oder dezentrale Station übertragen werden, über die in den Software-Makros zusammengestellte Befehlsfolgen zur Zuweisung von Ein- und Ausgangsinformationen aufgerufen werden.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Programmierung in Form einer Zuweisung von Ein- und Ausgangsinformationen erfolgt.
Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Zuweisung von Ein- und Ausgangsinformationen über Parameter erfolgt, die von dem Prograirimiergerät an die Software-Makros aufweisende
Station übertragen werden, wobei eine Verifizierung des sicherheitsgerichteten
Steuerungsprogramms durch ein Rücklesen der programmierten Ein-/Ausgangs- parameter und ihrer Rückbestätigung am Dateneingabegerät erfolgt.
4. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Erzeugung der Parameter Parametrier-Masken zur steuerungstechnischen Verknüpfung von Ein- und/oder Ausgangssignalen vorgesehen sind.
5. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Software-Makros in einer Bus-Master-Station (12), vorzugsweise Bus- Anfangs-Station hinterlegt werden.
6. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die abgelegten Software-Makros bzw. Makro-Befehle als kleine Programmteile ausgeführt sind.
7. Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Datenübertragung zwischen dem Programmiergerät und der die Software-Makros aufweisenden Station über eine serielle Schnittstelle wie RS-232- Schnittstelle erfolgt.
PCT/EP1998/001814 1997-03-27 1998-03-27 Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems WO1998044399A2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE59802533T DE59802533D1 (de) 1997-03-27 1998-03-27 Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
EP98919171A EP0972388B1 (de) 1997-03-27 1998-03-27 Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE19712992 1997-03-27
DE19712992.7 1997-03-27
DE19745161.6 1997-10-14
DE19745161 1997-10-14

Publications (2)

Publication Number Publication Date
WO1998044399A2 true WO1998044399A2 (de) 1998-10-08
WO1998044399A3 WO1998044399A3 (de) 1998-12-17

Family

ID=26035305

Family Applications (2)

Application Number Title Priority Date Filing Date
PCT/EP1998/001813 WO1998044469A2 (de) 1997-03-27 1998-03-27 Sicherheitsgerichtetes steuerungssystem sowie verfahren zum betreiben eines solchen
PCT/EP1998/001814 WO1998044399A2 (de) 1997-03-27 1998-03-27 Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems

Family Applications Before (1)

Application Number Title Priority Date Filing Date
PCT/EP1998/001813 WO1998044469A2 (de) 1997-03-27 1998-03-27 Sicherheitsgerichtetes steuerungssystem sowie verfahren zum betreiben eines solchen

Country Status (5)

Country Link
US (1) US6853292B1 (de)
EP (2) EP0972389B1 (de)
JP (1) JP2001527713A (de)
DE (2) DE59808640D1 (de)
WO (2) WO1998044469A2 (de)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10108962A1 (de) * 2001-02-20 2002-09-12 Pilz Gmbh & Co Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung
EP1330908A1 (de) * 2000-10-30 2003-07-30 PILZ GmbH &amp; CO. Feldbussystem zum steuern von sicherheitskritischen prozessen
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
EP1494100A1 (de) * 2003-06-30 2005-01-05 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur parametrierbaren Steuerung
EP1632865A2 (de) * 2004-09-02 2006-03-08 Robert Bosch Gmbh Datenbus-Interface für ein Steuergerät und Steuergerät mit einem Datenbus-Interface
DE102004055971A1 (de) * 2004-11-19 2006-06-29 Kw-Software Gmbh Verfahren und Vorrichtung zur sicheren Parametierung gemäß IEC 61508 SIL 1 bis 3 oder EN 954-1 Kategorie 1 bis 4
EP1881385A1 (de) 2006-07-18 2008-01-23 Erowa AG System für einen Informationsaustausch zwischen einer Bearbeitungsmaschine und einer Übergabevorrichtung
DE102006059107A1 (de) * 2006-12-08 2008-06-12 Siemens Ag Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspannungs-Leistungsschaltern
EP2098925A1 (de) * 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2098924A1 (de) 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2098928A1 (de) 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
CN101900775A (zh) * 2009-05-28 2010-12-01 株式会社山武 组件间信号传达装置
DE102004020994B4 (de) * 2004-04-19 2013-07-04 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum computergestützten Konstruieren einer sicherheitsgerichteten elektrischen Schaltung
EP3026514A1 (de) * 2014-11-25 2016-06-01 PHOENIX CONTACT GmbH & Co. KG Automatisierungsanlage und verfahren zur externen steuerung eines selbsttestalgorithmus in einer dezentralen sicherheitseinrichtung
US9581990B2 (en) 2007-07-05 2017-02-28 Sick Ag Method for the programming of a safety controller
DE102015120347A1 (de) 2015-11-24 2017-05-24 Pilz Gmbh & Co. Kg Sicherheitssteuerungseinrichtung und Verfahren zur Änderung eines Funktionsumfangs einer Sicherheitssteuerungseinrichtung

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE533636C2 (sv) * 2004-10-25 2010-11-16 Xinshu Man L L C Anordning vid bussförbindelse i CAN-system
DE102005009707A1 (de) * 2005-03-03 2006-09-07 Dr. Johannes Heidenhain Gmbh Modulares numerisches Steuergerät
US7385478B2 (en) * 2005-11-16 2008-06-10 Honeywell International Inc. Method and system of automatically generating global diagnostic statistics for a plurality of monitoring receivers at a master receiver
WO2008011460A2 (en) * 2006-07-18 2008-01-24 Georgia-Pacific Consumer Products Lp Power supply systems for dispensers and methods of powering dispensers
CN100484051C (zh) * 2007-03-29 2009-04-29 华为技术有限公司 一种监控管理的系统、装置、设备及方法
US7847683B2 (en) * 2007-09-12 2010-12-07 International Business Machines Corporation Emergency machine off feature with safety control interface
US7899071B2 (en) * 2008-09-29 2011-03-01 Infineon Technologies Austria Ag Serial bus structure
DE102008053702A1 (de) * 2008-10-29 2010-05-06 Phoenix Contact Gmbh & Co. Kg Schaltungsanordnung zum Schutz von elektronischen Einrichtungen gegen fehlerhafte Logikspannungen
DE102008060007A1 (de) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Verfahren zum Übertragen von Daten in einem automatisierten Steuerungssystem
DE102009026124A1 (de) * 2009-07-07 2011-01-13 Elan Schaltelemente Gmbh & Co. Kg Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
ATE540343T1 (de) * 2009-10-23 2012-01-15 Sick Ag Sicherheitssteuerung
AT509310B1 (de) * 2009-12-16 2015-10-15 Bachmann Gmbh Verfahren zum betrieb einer speicherprogrammierbaren steuerung (sps) mit dezentraler, autonomer ablaufsteuerung
US9628065B2 (en) * 2012-10-05 2017-04-18 Fisher-Rosemount Systems, Inc. Safety instrumented process control apparatus and methods
DE102013207209A1 (de) * 2013-04-22 2014-10-23 Wobben Properties Gmbh Windpark und Verfahren zum Steuern eines Windparks
US9268970B2 (en) 2014-03-20 2016-02-23 Analog Devices, Inc. System and method for security-aware master
DE102014110017A1 (de) 2014-07-16 2016-01-21 Phoenix Contact Gmbh & Co. Kg Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
US10592668B2 (en) * 2014-11-26 2020-03-17 Howard University Computer system security with redundant diverse secondary control system with incompatible primary control system
US9509445B2 (en) * 2015-01-27 2016-11-29 Infineon Technologies Ag Sensor interface that provides a long package CRC to improve functional safety
US9912754B2 (en) * 2015-05-01 2018-03-06 GM Global Technology Operations LLC Vehicular data isolation device
DE102018200120A1 (de) * 2018-01-05 2019-07-11 Kuka Deutschland Gmbh Sicherheitssteuerung mit wenigstens einem Halbleiterschaltkontakt
CN108427044B (zh) * 2018-01-19 2021-07-02 广州视源电子科技股份有限公司 一种故障保护功能的测试方法、装置、设备及存储介质
US20190251831A1 (en) * 2018-02-09 2019-08-15 Mobile Tech, Inc. Control for Modular Retail Security System
EP3926419A1 (de) 2020-06-19 2021-12-22 Schneider Electric Industries SAS Sicherheitsgerichtetes steuerungssystem
DE102020128026A1 (de) * 2020-10-23 2022-04-28 Pilz Gmbh & Co. Kg Steuervorrichtung mit Schutzmodul
CN112666870A (zh) * 2020-12-25 2021-04-16 交控科技股份有限公司 一种站台门控制系统及控制方法
CN117092959B (zh) * 2023-10-18 2024-01-30 北京星河动力装备科技有限公司 一种运载火箭时序通路监测电路、方法和运载火箭

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5444643A (en) * 1992-09-08 1995-08-22 Mercedes-Benz Ag Method for programming a bus-compatible electronic motor vehicle controller

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4153936A (en) * 1977-09-26 1979-05-08 Reliance Electric Company Energy management system
US4541094A (en) * 1983-03-21 1985-09-10 Sequoia Systems, Inc. Self-checking computer circuitry
DE69326083D1 (de) * 1992-04-28 1999-09-23 Dynamic Controls Ltd Regelvorrichtung für elektrisch angetriebene fahrzeuge
US5469150A (en) * 1992-12-18 1995-11-21 Honeywell Inc. Sensor actuator bus system
DE19509558A1 (de) 1995-03-16 1996-09-19 Abb Patent Gmbh Verfahren zur fehlertoleranten Kommunikation unter hohen Echtzeitbedingungen
DE19643092C2 (de) * 1996-10-18 1998-07-30 Elan Schaltelemente Gmbh Feld-Datenbussystem
US5825135A (en) * 1997-03-10 1998-10-20 Chang; Chin-Hsiung Halogen lamp control circuit assembly

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5444643A (en) * 1992-09-08 1995-08-22 Mercedes-Benz Ag Method for programming a bus-compatible electronic motor vehicle controller

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PEHRS J U ET AL: "CAN - DAS SICHERE BUSKONZEPT" ELEKTRONIK, Bd. 40, Nr. 17, 20. August 1991, Seiten 96-101, XP000260942 *

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1330908A1 (de) * 2000-10-30 2003-07-30 PILZ GmbH &amp; CO. Feldbussystem zum steuern von sicherheitskritischen prozessen
US7139622B2 (en) 2001-02-20 2006-11-21 Pilz Gmbh & Co. Method and device for programming a failsafe control system
DE10108962A1 (de) * 2001-02-20 2002-09-12 Pilz Gmbh & Co Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
EP1532494B1 (de) * 2002-08-28 2009-01-28 Pilz GmbH &amp; CO. KG Sicherheitssteuerung zum fehlersicheren steuern von sicherheitskritischen prozessen sowie verfahren zum aufspielen eines neuen betriebsprogramms auf eine solche
US8307356B2 (en) 2002-08-28 2012-11-06 Pilz Gmbh & Co. Kg Safety controller and method for loading a new operating program onto the safety controller
US7286886B2 (en) 2002-08-28 2007-10-23 Pilz Gmbh & Co. Safety controller and method for loading a new operating program onto the safety controller
EP1494100A1 (de) * 2003-06-30 2005-01-05 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur parametrierbaren Steuerung
WO2005001583A1 (de) * 2003-06-30 2005-01-06 Siemens Aktiengesellschaft Vorrichtung und verfahren zur parametrierbaren steuerung
DE102004020994B4 (de) * 2004-04-19 2013-07-04 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum computergestützten Konstruieren einer sicherheitsgerichteten elektrischen Schaltung
EP1632865A2 (de) * 2004-09-02 2006-03-08 Robert Bosch Gmbh Datenbus-Interface für ein Steuergerät und Steuergerät mit einem Datenbus-Interface
EP1632865A3 (de) * 2004-09-02 2008-02-20 Robert Bosch Gmbh Datenbus-Interface für ein Steuergerät und Steuergerät mit einem Datenbus-Interface
US7594054B2 (en) 2004-09-02 2009-09-22 Robert Bosch Gmbh Data bus interface for a control unit, and control unit having a data bus interface
DE102004055971B8 (de) * 2004-11-19 2012-06-21 Kw-Software Gmbh Verfahren und Vorrichtung zur sicheren Parametierung gemäß IEC 61508 SIL 1 bis 3 oder EN 954-1 Kategorie 1 bis 4
DE102004055971A1 (de) * 2004-11-19 2006-06-29 Kw-Software Gmbh Verfahren und Vorrichtung zur sicheren Parametierung gemäß IEC 61508 SIL 1 bis 3 oder EN 954-1 Kategorie 1 bis 4
US7912990B2 (en) 2004-11-19 2011-03-22 Kw-Software Gmbh Method and apparatus for safe parameterization in accordance with IEC 61508 SIL 1 to 3 or EN 954-1 categories 1 to 4
DE102004055971B4 (de) * 2004-11-19 2012-04-19 Kw-Software Gmbh Verfahren und Vorrichtung zur sicheren Parametierung gemäß IEC 61508 SIL 1 bis 3 oder EN 954-1 Kategorie 1 bis 4
EP1881385A1 (de) 2006-07-18 2008-01-23 Erowa AG System für einen Informationsaustausch zwischen einer Bearbeitungsmaschine und einer Übergabevorrichtung
DE102006059107A1 (de) * 2006-12-08 2008-06-12 Siemens Ag Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspannungs-Leistungsschaltern
US9581990B2 (en) 2007-07-05 2017-02-28 Sick Ag Method for the programming of a safety controller
EP2098928A1 (de) 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2098925A1 (de) * 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
DE202008017893U1 (de) 2008-03-07 2010-10-28 Sick Ag Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2098924A1 (de) 2008-03-07 2009-09-09 Sick Ag Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
CN101900775A (zh) * 2009-05-28 2010-12-01 株式会社山武 组件间信号传达装置
EP2256565B1 (de) * 2009-05-28 2013-07-03 Azbil Corporation System zum Senden von Signalen zwischen Modulen
US8341508B2 (en) 2009-05-28 2012-12-25 Azbil Corporation System for sending signals between modules
EP3026514A1 (de) * 2014-11-25 2016-06-01 PHOENIX CONTACT GmbH & Co. KG Automatisierungsanlage und verfahren zur externen steuerung eines selbsttestalgorithmus in einer dezentralen sicherheitseinrichtung
DE102015120347A1 (de) 2015-11-24 2017-05-24 Pilz Gmbh & Co. Kg Sicherheitssteuerungseinrichtung und Verfahren zur Änderung eines Funktionsumfangs einer Sicherheitssteuerungseinrichtung
WO2017089150A1 (de) 2015-11-24 2017-06-01 Pilz Gmbh & Co. Kg Sicherheitssteuerungseinrichtung und verfahren zur änderung eines funktionsumfangs einer sicherheitssteuerungseinrichtung
US11022948B2 (en) 2015-11-24 2021-06-01 Pilz Gmbh & Co. Kg Safety control device and method for changing a range of functions of a safety control device

Also Published As

Publication number Publication date
JP2001527713A (ja) 2001-12-25
WO1998044399A3 (de) 1998-12-17
WO1998044469A3 (de) 1999-01-07
US6853292B1 (en) 2005-02-08
WO1998044469A2 (de) 1998-10-08
DE59802533D1 (de) 2002-01-31
EP0972389B1 (de) 2003-06-04
DE59808640D1 (de) 2003-07-10
EP0972388B1 (de) 2001-12-19
EP0972389A2 (de) 2000-01-19
EP0972388A2 (de) 2000-01-19

Similar Documents

Publication Publication Date Title
EP0972388B1 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
DE102009054157B3 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
EP1738233B1 (de) Sicherheitssteuerung
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
DE10316649A1 (de) Sicherheitskommunikation auf einer einzigen Rückebene
DE19927635A1 (de) Sicherheitsbezogenes Automatisierungsbussystem
WO2005106603A1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP1043641A2 (de) Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
EP3841438A1 (de) Automatisierungssystem zur überwachung eines sicherheitskritischen prozesses
DE3225712C2 (de) Verfahren und Vorrichtung zur Funktionsprüfung von digitalen Rechnern
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
DE19813389C2 (de) Sicherheitsgerichtete Ansteuerschaltung
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP1683016B1 (de) Sichere erfassung von eingabewerten
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE10233879B4 (de) Verfahren zum Steuern und Überwachen einer sicherheitskritischen Anlage, insbesondere Verkehrs-Signalanlage sowie Vorrichtung zur Durchführung des Verfahrens
DE3209718A1 (de) Funktionssichere steuereinrichtung
EP0281890B1 (de) Sicherheitsschaltwerk mit mehreren dieselben Daten verarbeitenden Mikrocomputern
DE19949710B4 (de) Verfahren und Einrichtung zur fehlersicheren Kommunikation zwischen Zentraleinheiten eines Steuerungssystems
EP1162540A1 (de) Vorrichtung und Verfahren zur Synchronisation eines Systems von gekoppelten Datenverarbeitungsanlagen
EP1176508B1 (de) Anordnung zur Überwachung des ordnungsgemässen Betriebes von die selben oder einander entsprechende Aktionen ausführenden Komponenten eines elektrischen Systems
EP1484655A1 (de) Ermittlung einer Reaktionszeit eines Steuerungssystems
DE102004002417A1 (de) Kontaktstellenbeschichtungssystem und Verriegelungsverfahren dafür

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
AK Designated states

Kind code of ref document: A3

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 1998919171

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: CA

WWP Wipo information: published in national office

Ref document number: 1998919171

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

Ref document number: 1998541148

Format of ref document f/p: F

WWG Wipo information: grant in national office

Ref document number: 1998919171

Country of ref document: EP