WO2001001541A1 - Bus system, comprising protected outputs - Google Patents

Bus system, comprising protected outputs Download PDF

Info

Publication number
WO2001001541A1
WO2001001541A1 PCT/DE2000/001938 DE0001938W WO0101541A1 WO 2001001541 A1 WO2001001541 A1 WO 2001001541A1 DE 0001938 W DE0001938 W DE 0001938W WO 0101541 A1 WO0101541 A1 WO 0101541A1
Authority
WO
WIPO (PCT)
Prior art keywords
slaves
safety monitor
safe
outputs
output
Prior art date
Application number
PCT/DE2000/001938
Other languages
German (de)
French (fr)
Inventor
Bernhard Müller
Bernhard Wiesgickl
Gerd Griepentrog
Original Assignee
Siemens Aktiengesellschaft
Leuze Electronic Gmbh + Co.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft, Leuze Electronic Gmbh + Co. filed Critical Siemens Aktiengesellschaft
Publication of WO2001001541A1 publication Critical patent/WO2001001541A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling

Definitions

  • the invention relates to a bus system with a communication bus, e.g. a two-wire bus to which several slaves are connected, each of which has an output for connecting and disconnecting a consumer to an electrical power supply network and each has an evaluation unit, by means of which, depending on the data transmitted via the bus and by the slave received switching commands, which are coded differently in the form of multi-bit words for the different slaves, the output of the addressed slave can be controlled accordingly.
  • a communication bus e.g. a two-wire bus to which several slaves are connected, each of which has an output for connecting and disconnecting a consumer to an electrical power supply network and each has an evaluation unit, by means of which, depending on the data transmitted via the bus and by the slave received switching commands, which are coded differently in the form of multi-bit words for the different slaves, the output of the addressed slave can be controlled accordingly.
  • the invention relates to a method for ensuring safe switching states of the outputs of slaves connected to a communication bus, which switch their outputs on the basis of non-safe switching commands that the slaves receive after transmission via the bus.
  • a generic bus system is already known. According to FIG. 1, it comprises a communication bus B as well as a master M and a number of slaves S1 which are connected to the communication bus B.
  • the slaves Sl are designed to be safe due to their redundant design and each have a safe output A with two switching contacts connected in series in each current path, via which a consumer V can be connected to or disconnected from an electrical power supply network E.
  • the master M which controls the sequence of data transmission via the bus system, is connected to a higher-level, safe programmable logic controller PLC.
  • the switching states of the outputs A of the slaves S1 are usually controlled by the safe programmable logic controller PLC using switching commands ON / OFF or 0/1 via the communication bus B.
  • the output comparator and the output must be configured in two channels to guarantee safety.
  • safe slaves Sl with safe outputs A and, as described above, a secure transmission of the switching commands from the safe programmable logic controller PLC to the safe slaves SL are required.
  • the secure transmission path for the switching commands is shown in dotted lines in FIG.
  • the safe outputs A are ensured by the fact that two series-connected contacts are provided in each current path of the associated load switch, the correct functioning of which must be ensured by complex test routines.
  • the object of the invention is therefore to create a bus system of the type mentioned above to ensure secured outputs with as little effort as possible.
  • the first object is achieved in that a safety monitor with a safe output for the higher-level connection and disconnection of the electrical power supply network is connected to the communication bus, and in the safety monitor the set switching state of the outputs of the slaves is available as reliable information that in the Safety monitor there is a comparator which is used to compare the secured target switching status with the secured actual switching status of the output of one of the slaves, which confirms its actual switching status to the security monitor in a safe manner, in the event of a discrepancy between the secured target switching status and the secured actual Switching state via the safe output of the safety monitor to switch off the electrical power supply network.
  • the further task relating to a method for ensuring safe switching states is achieved in that the slaves report the respective actual switching state of their output in the form of a multi-bit word to a safety monitor connected to the communication bus, in which the target switching states of the outputs of the slaves are securely present that in the safety monitor after checking the multi-bit word reported back by one of the slaves, its actual switching status is assured and that if there is a deviation between the target and actual switching status, the electrical power supply to the outputs of the slaves is interrupted at a higher level.
  • the monitoring for all slaves is concentrated in the safety monitor.
  • the additional safety monitor enables monitoring regardless of the number of slaves without a lot of circuitry. With an increasing number of slaves, only the software effort increases.
  • FIG. 2 shows a bus system according to the invention and FIG. 3 shows a code table for securing data transmission.
  • the bus system according to the invention shown in FIG 2 has a communication bus B and a master M and several slaves S1, which are connected to the communication bus B.
  • the master M is connected here in a known manner to a higher-level, safe programmable logic controller PLC, which for switching outputs A of the slaves S1 transmits corresponding switching commands to them via the master M and the communication bus B.
  • Outputs A are used to connect and disconnect consumers V to an electrical power supply network E. In order to obtain protected outputs A, it is not necessary here to design the slaves S1 and the outputs A safely, ie with a redundant structure.
  • a safety monitor Si with a safe output As is additionally connected to the communication bus B, which can be used as the main switch to interrupt the electrical power supply to the consumers V connected via the outputs A.
  • the switching commands given by the safe programmable logic controller PLC to the master M are sent from there via the communication bus B to the slaves S1 and to the safety
  • each slave S1 is provided with a monitoring device Ü, with which the actual switching state of the respective output A is reliably detected.
  • the monitoring device Ü can be designed in different ways, e.g. by a positively driven break contact, a standstill monitor or a voltage monitor. Falsifications in the transmission of the feedback of the actual switching state from the respective slave S1 to the safety monitor Si can be reliably detected by the safety monitor Si by encrypting with multi-bit words in accordance with the procedure for transmitting the switching commands and comparing them with data stored in a code table.
  • the safety monitor Si can secure the non-safe outputs A of all slaves S1 after it has secured setpoint switching states and protected actual switching states for comparison. In the event of deviations, he interrupts with his safe
  • the described bus system according to the invention achieves the protection of the outputs A with comparatively little effort, since the slaves S1 and their outputs A no longer have to be designed safely.
  • the effort is reduced to an additional safety monitor Si with a safe output As.
  • Outputs A can be provided with switching elements in which the implementation of the target switching state is delayed. In this case, a deviation from the target and actual switching status must not result in the electrical power supply being switched off, since the system status is normal, ie not unsafe. To ensure this, there is a timer Z in the safety monitor Si which specifies the duration during which a deviation between see secured setpoint switching status and actual switching status, the electrical power supply network E is not switched off via the safe output As of the safety monitor Si.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Programmable Controllers (AREA)

Abstract

A safety monitor (Si) compares as a secure unit the desired circuit states of the outputs (A) with the circuit states transmitted by the slaves (Sl) and overrides the system to switch off the supply of electric energy to the connected consumer (V). Only the transmission of the circuit state from output (A) is to be monitored, for which cost-effective solutions are available. The output (A) of the slaves (Sl) does not need to be protected.

Description

Beschreibungdescription
Bussystem mit abgesicherten AusgängenBus system with secured outputs
Die Erfindung bezieht sich auf ein Bussystem mit einem Kommunikationsbus, z.B. einen Z eidraht-Bus , an den mehrere Slaves angeschlossen sind, die jeweils über einen Ausgang zur Zu- und Abschaltung eines Verbrauchers an ein elektrisches Energieversorgungsnetz verfügen und die jeweils eine Auswerteein- heit aufweisen, durch die abhängig von über den Bus übertragenen und vom Slave empfangenen Schaltbefehlen, die in Form von Mehrbitworten für die verschiedenen Slaves unterschiedlich kodiert sind, der Ausgang des angesprochenen Slaves entsprechend ansteuerbar ist.The invention relates to a bus system with a communication bus, e.g. a two-wire bus to which several slaves are connected, each of which has an output for connecting and disconnecting a consumer to an electrical power supply network and each has an evaluation unit, by means of which, depending on the data transmitted via the bus and by the slave received switching commands, which are coded differently in the form of multi-bit words for the different slaves, the output of the addressed slave can be controlled accordingly.
Außerdem bezieht sich die Erfindung auf ein Verfahren zur Gewährleistung sicherer Schaltzustände der Ausgänge von an einen Kommunikationsbus geschalteten Slaves, die ihre Ausgänge aufgrund nicht sicherer Schaltbefehle schalten, die die Sla- ves nach Übertragung über den Bus empfangen.In addition, the invention relates to a method for ensuring safe switching states of the outputs of slaves connected to a communication bus, which switch their outputs on the basis of non-safe switching commands that the slaves receive after transmission via the bus.
Ein gattungsgemäßes Bussystem ist bereits bekannt. Es umfaßt gemäß FIG 1 einen Kommunikationsbus B sowie einen Master M und mehrere Slaves Sl, die an den Kommunikationsbus B ge- schaltet sind. Die Slaves Sl sind durch redundanten Aufbau sicher ausgeführt und weisen jeweils einen sicheren Ausgang A mit jeweils zwei in jeder Strombahn seriell geschalteten Schaltkontakten auf, über den ein Verbraucher V an ein elektrisches Energieversorgungsnetz E zuschaltbar bzw. von diesem abschaltbar ist. Der Master M, der den Ablauf der Datenübertragung über das Bussystem steuert, ist im vorliegenden Beispiel mit einer übergeordneten, sicheren speicherprogrammierbaren Steuerung SPS verbunden. Üblicherweise werden die Schaltzustände der Ausgänge A der Slaves Sl von der sicheren speicherprogrammierbaren Steuerung SPS durch Schaltbefehle EIN/AUS bzw. 0/1 über den Kommunikationsbus B gesteuert. Da der EIN-Schaltzustand der unsichere bzw. gefährliche Anlagen- zustand ist, genügt es sicherzustellen, daß die Übertragung des EIN-Schaltbefehls von der sicheren speicherprogrammierbaren Steuerung SPS zum sicheren Slave Sl abgesichert wird. Hierzu wird in der sicheren speicherprogrammierbaren Steue- rung SPS zum Einschalten eines Slaves Sl eine nur für diesen gültige Codeseguenz erzeugt, die dem Slave Sl mit sicherem Ausgang A bekannt ist. Nur bei Übereinstimmung der empfangenen Codesequenz mit der erwarteten Codesequenz schaltet der sichere Ausgang A ein. Dies bedeutet einen erheblichen schal- tungstechnischen Aufwand, da für jeden Slave mit sicheremA generic bus system is already known. According to FIG. 1, it comprises a communication bus B as well as a master M and a number of slaves S1 which are connected to the communication bus B. The slaves Sl are designed to be safe due to their redundant design and each have a safe output A with two switching contacts connected in series in each current path, via which a consumer V can be connected to or disconnected from an electrical power supply network E. In the present example, the master M, which controls the sequence of data transmission via the bus system, is connected to a higher-level, safe programmable logic controller PLC. The switching states of the outputs A of the slaves S1 are usually controlled by the safe programmable logic controller PLC using switching commands ON / OFF or 0/1 via the communication bus B. Since the ON switching status of the unsafe or dangerous system state, it is sufficient to ensure that the transmission of the ON switch command from the safe programmable logic controller PLC to the safe slave S1 is secured. For this purpose, a code sequence which is only valid for this and which is known to the slave S1 with safe output A is generated in the safe programmable logic controller PLC for switching on a slave S1. Safe output A switches on only if the received code sequence matches the expected code sequence. This means a considerable outlay in terms of circuitry, since each slave has a safe
Ausgang Vergleicher und Ausgang zweikanalig ausgestaltet sein müssen, um die Sicherheit zu garantieren.The output comparator and the output must be configured in two channels to guarantee safety.
Um abgesicherte Ausgänge A nach bisherigem Stand der Technik zu erhalten, sind sichere Slaves Sl mit sicheren Ausgängen A und wie oben beschrieben eine abgesicherte Übertragung der Schaltbefehle von der sicheren speicherprogrammierbaren Steuerung SPS zu den sicheren Slaves Sl erforderlich. Der abgesicherte Übertragungsweg für die Schaltbefehle ist in FIG 1 punktiert dargestellt. Die sicheren Ausgänge A werden dadurch gewährleistet, daß in jeder Strombahn des zugehörigen Lastschalters jeweils zwei seriell geschaltete Kontakte vorgesehen sind, deren einwandfreie Funktion durch aufwendige Prüfroutinen sichergestellt werden muß.In order to obtain protected outputs A according to the prior art, safe slaves Sl with safe outputs A and, as described above, a secure transmission of the switching commands from the safe programmable logic controller PLC to the safe slaves SL are required. The secure transmission path for the switching commands is shown in dotted lines in FIG. The safe outputs A are ensured by the fact that two series-connected contacts are provided in each current path of the associated load switch, the correct functioning of which must be ensured by complex test routines.
Zur Übertragung und Verarbeitung der Schaltsignale ist hard- ware- und softwaremäßig ein redundanter Aufbau notwendig, der mit hohem Kostenaufwand verbunden ist.For the transmission and processing of the switching signals, a hardware and software redundant structure is necessary, which is associated with high costs.
Daher liegt der Erfindung die Aufgabe zugrunde, ein Bussystem der obengenannten Art zur Gewährleistung abgesicherter Ausgänge mit möglichst geringem Aufwand zu schaffen.The object of the invention is therefore to create a bus system of the type mentioned above to ensure secured outputs with as little effort as possible.
Eine weitere Aufgabe besteht darin, ein möglichst einfaches und kostengünstiges Verfahren zur Gewährleistung abgesicherter Ausgänge anzugeben. Die erste Aufgabe wird dadurch gelöst, daß an den Kommunikationsbus ein Sicherheitsmonitor mit einem sicheren Ausgang zur übergeordneten Zu- und Abschaltung des elektrischen Energieversorgungsnetzes angeschlossen ist, daß im Sicherheitsmo- nitor der Soll-Schaltzustand der Ausgänge der Slaves als abgesicherte Information vorliegt, daß in dem Sicherheitsmonitor ein Vergleicher vorhanden ist, der zum Vergleich des abgesicherten Soll-Schaltzustands mit dem abgesicherten Ist- Schaltzustand des Ausgangs eines der Slaves, der seinen Ist- Schaltzustand an den Sicherheitsmonitor abgesichert rückmeldet, dient, um bei Abweichung zwischen abgesichertem Soll- Schaltzustand und abgesichertem Ist-Schaltzustand über den sicheren Ausgang des Sicherheitsmonitors eine Abschaltung des elektrischen Energieversorgungsnetzes zu bewirken.Another task is to provide a simple and inexpensive method for ensuring secured outputs. The first object is achieved in that a safety monitor with a safe output for the higher-level connection and disconnection of the electrical power supply network is connected to the communication bus, and in the safety monitor the set switching state of the outputs of the slaves is available as reliable information that in the Safety monitor there is a comparator which is used to compare the secured target switching status with the secured actual switching status of the output of one of the slaves, which confirms its actual switching status to the security monitor in a safe manner, in the event of a discrepancy between the secured target switching status and the secured actual Switching state via the safe output of the safety monitor to switch off the electrical power supply network.
Im Gegensatz zur bisher bekannten Lösung, bei der in jedem Slave ein Vergleicher und Schaltausgang mit entsprechendem Schaltungεaufwand ausgestattet sein muß, ist dies bei der vorliegenden Erfindung nur im Sicherheitsmonitor erforder- lieh. Ein Vergleicher im Sicherheitsmonitor übernimmt demnach die Überwachung von gewollten und rückgemeldeten Schaltzuständen für alle im Bus installierten Slaves. Dies bedeutet, daß der hohe Schaltungsaufwand für die Sicherheitstechnik in einem Gerät konzentriert und die Slaves kostengünstig reali- siert werden können.In contrast to the previously known solution, in which a comparator and switching output in each slave must be equipped with the corresponding amount of circuitry, in the present invention this is only required in the safety monitor. A comparator in the safety monitor therefore monitors the desired and reported switching states for all slaves installed on the bus. This means that the high level of circuitry required for safety technology is concentrated in one device and the slaves can be implemented cost-effectively.
Die weitere, ein Verfahren zur Gewährleistung sicherer Schaltzustände betreffende Aufgabe wird dadurch gelöst, daß die Slaves den jeweiligen Ist-Schaltzustand ihres Ausgangs in Form eines Mehrbitworts an einen an den Kommunikationεbus geschalteten Sicherheitsmonitor rückmelden, in dem die Soll- Schaltzustände der Ausgänge der Slaves abgesichert vorliegen, daß im Sicherheitsmonitor nach Überprüfung des von einem der Slaves rückgemeldeten Mehrbitworts dessen Ist-Schaltzustand gesichert vorliegt und daß bei Abweichen zwischen Soll- und Ist-Schaltzustand die elektrische Energieversorgung zu den Ausgängen der Slaves übergeordnet unterbrochen wird. Bei dieser Lösung ist die Überwachung für alle Slaves im Sicherheitsmonitor konzentriert. Der zusätzliche Sicherheitsmonitor ermöglicht die Überwachung unabhängig von der Anzahl der Slaves ohne hohen Schaltungsaufwand. Mit einer steigenden Anzahl der Slaves wächst lediglich der softwaremäßige Aufwand.The further task relating to a method for ensuring safe switching states is achieved in that the slaves report the respective actual switching state of their output in the form of a multi-bit word to a safety monitor connected to the communication bus, in which the target switching states of the outputs of the slaves are securely present that in the safety monitor after checking the multi-bit word reported back by one of the slaves, its actual switching status is assured and that if there is a deviation between the target and actual switching status, the electrical power supply to the outputs of the slaves is interrupted at a higher level. With this solution, the monitoring for all slaves is concentrated in the safety monitor. The additional safety monitor enables monitoring regardless of the number of slaves without a lot of circuitry. With an increasing number of slaves, only the software effort increases.
Vorteilhafte Weiterbildungen der Erfindung sind den Unteransprüchen zu entnehmen.Advantageous developments of the invention can be found in the subclaims.
Ein Ausführungsbeispiel der Erfindung wird im folgenden anhand einer Zeichnung näher erläutert. Es zeigen:An embodiment of the invention is explained below with reference to a drawing. Show it:
FIG 2 ein erfindungsgemäßes Bussystem und FIG 3 eine Codetabelle zur Absicherung einer Datenübertragung .2 shows a bus system according to the invention and FIG. 3 shows a code table for securing data transmission.
Das erfindungsgemäße Bussystem gemäß FIG 2 weist einen Kommunikationsbus B sowie einen Master M und mehrere Slaves Sl auf, die an den Kommunikationsbus B geschaltet sind. Der Master M ist in bekannter Weise hier mit einer übergeordneten, sicheren speicherprogrammierbaren Steuerung SPS verbunden, die zum Schalten von Ausgängen A der Slaves Sl an diese über den Master M und den Kommunikationsbus B entsprechende Schaltbefehle überträgt. Die Ausgänge A dienen zur Zu- und Abschaltung von Verbrauchern V an ein elektrisches Energieversorgungsnetz E. Um abgesicherte Ausgänge A zu erhalten, ist es hier nicht erforderlich, die Slaves Sl und die Ausgänge A sicher, d.h. mit redundantem Aufbau auszuführen. Gegen- über dem bisherigen Stand der Technik ist an den Kommunikati- onsbus B zusätzlich ein Sicherheitsmonitor Si mit einem sicheren Ausgang As geschaltet, mit dem als Hauptschalter die elektrische Energieversorgung der über die Ausgänge A nach- geschalteten Verbraucher V unterbrochen werden kann. Die von der sicheren speicherprogrammierbaren Steuerung SPS an den Master M gegebenen Schaltbefehle werden von dort über den Kommunikationsbus B an die Slaves Sl und an den Sicherheits-
Figure imgf000007_0001
The bus system according to the invention shown in FIG 2 has a communication bus B and a master M and several slaves S1, which are connected to the communication bus B. The master M is connected here in a known manner to a higher-level, safe programmable logic controller PLC, which for switching outputs A of the slaves S1 transmits corresponding switching commands to them via the master M and the communication bus B. Outputs A are used to connect and disconnect consumers V to an electrical power supply network E. In order to obtain protected outputs A, it is not necessary here to design the slaves S1 and the outputs A safely, ie with a redundant structure. Compared to the previous state of the art, a safety monitor Si with a safe output As is additionally connected to the communication bus B, which can be used as the main switch to interrupt the electrical power supply to the consumers V connected via the outputs A. The switching commands given by the safe programmable logic controller PLC to the master M are sent from there via the communication bus B to the slaves S1 and to the safety
Figure imgf000007_0001
Figure imgf000007_0002
Figure imgf000007_0002
nichtsichere Komponenten wie z.B. den Master M von dem sicheren Sicherheitsmonitor Si erkannt werden. Auf diese Weise wird im Sicherheitsmonitor Si ein abgesicherter Soll-Schaltzustand generiert. Um einen abgesicherten Ist-Schaltzustand zu erhalten ist jeder Slave Sl mit einer Überwachungseinrichtung Ü versehen, mit der der Ist-Schaltzustand des jeweiligen Ausgangs A sicher erfaßt wird. Die Überwachungseinrichtung Ü kann in unterschiedlicher Weise ausgeführt sein, z.B. durch einen zwangsgeführten Öffnerkontakt, einen Stillstandswächter oder eine Spannungsüberwachung. Verfälschungen bei der Übertragung der Rückmeldung des Ist-Schaltzustands vom jeweiligen Slave Sl an den Sicherheitsmonitor Si können durch Verschlüsselungen mit Mehrbitworten entsprechend dem Verfahren bei der Übertragung der Schaltbefehle und dem Vergleich mit in einer Codetabelle hinterlegten Daten vom Sicherheitsmonitor Si zuverlässig erkannt werden. Somit kann der Sicherheitsmonitor Si die Absicherung der nichtsicheren Ausgänge A sämtlicher Slaves Sl vornehmen, nachdem ihm abgesicherte Soll-Schaltzu- stände und abgesicherte Ist-Schaltzustände zum Vergleich vor- liegen. Bei Abweichungen unterbricht er mit seinem sicherennon-safe components such as the master M can be recognized by the safe safety monitor Si. In this way, a secured target switching state is generated in the safety monitor Si. In order to obtain a secure actual switching state, each slave S1 is provided with a monitoring device Ü, with which the actual switching state of the respective output A is reliably detected. The monitoring device Ü can be designed in different ways, e.g. by a positively driven break contact, a standstill monitor or a voltage monitor. Falsifications in the transmission of the feedback of the actual switching state from the respective slave S1 to the safety monitor Si can be reliably detected by the safety monitor Si by encrypting with multi-bit words in accordance with the procedure for transmitting the switching commands and comparing them with data stored in a code table. Thus, the safety monitor Si can secure the non-safe outputs A of all slaves S1 after it has secured setpoint switching states and protected actual switching states for comparison. In the event of deviations, he interrupts with his safe
Ausgang As als Hauptschalter die Energieversorgung.Output As as main switch the energy supply.
Das beschriebene erfindungsgemäße Bussystem erreicht die Absicherung der Ausgänge A mit vergleichsweise geringem Auf- wand, da die Slaves Sl und ihre Ausgänge A nicht mehr sicher ausgeführt werden müssen. Der Aufwand ist auf einen zusätzlichen Sicherheitsmonitor Si mit einem sicheren Ausgang As reduziert .The described bus system according to the invention achieves the protection of the outputs A with comparatively little effort, since the slaves S1 and their outputs A no longer have to be designed safely. The effort is reduced to an additional safety monitor Si with a safe output As.
Die Ausgänge A können mit Schaltgliedern versehen sein, bei denen die Umsetzung des Soll-Schaltzustands verzögert erfolgt. Eine Abweichung von Soll- und Ist-Schaltzustand darf in diesem Fall nicht zu einer Abschaltung der elektrischen Energieversorgung führen, da es sich um einen normalen, d.h. nicht unsicheren Anlagenzustand handelt. Um dies sicherzustellen, ist im Sicherheitsmonitor Si ein Zeitglied Z vorhanden, das die Dauer vorgibt, während der eine Abweichung zwi- sehen abgesichertem Soll-Schaltzustand und abgesichertem Ist- Schaltzustand keine Abschaltung des elektrischen Energiever- sorgungsnetzes E über den sicheren Ausgang As des Sicherheitsmonitors Si bewirkt. Outputs A can be provided with switching elements in which the implementation of the target switching state is delayed. In this case, a deviation from the target and actual switching status must not result in the electrical power supply being switched off, since the system status is normal, ie not unsafe. To ensure this, there is a timer Z in the safety monitor Si which specifies the duration during which a deviation between see secured setpoint switching status and actual switching status, the electrical power supply network E is not switched off via the safe output As of the safety monitor Si.

Claims

Patentansprüche claims
1. Bussystem mit einem Kommunikationsbuε (B) , z.B. einem Zweidraht-Bus, an den mehrere Slaves (Sl) angeschlossen sind, die jeweils über einen Ausgang (A) zur Zu- und Abschaltung eines Verbrauchers (V) an ein elektrisches Energieversor- gungsnetz (E) verfügen und die jeweils eine Auswerteeinheit (Au) aufweisen, durch die abhängig von über den Kommunika- tionsbus (B) übertragenen und vom Slave (Sl) empfangenen Schaltbefehlen, die in Form von Mehrbitworten für die verschiedenen Slaves (Sl) unterschiedlich kodiert sind, der Ausgang (A) des angesprochenen Slaves (Sl) entsprechend ansteuerbar ist, dadurch gekennzeichnet, daß an den Kommunikationsbus (B) ein Sicherheitsmonitor (Si) mit einem sicheren Ausgang (As) zur übergeordneten Zu- und Abschaltung des elektrischen Energieversorgungsnetzes (E) angeschlossen ist, daß im Sicherheitsmonitor (Si) der Soll-Schaltzustand der Ausgänge (A) der Slaves (Sl) als abgesicherte Information vorliegt, daß in dem Sicherheitsmonitor (Si) ein Vergleicher (Ver) vorhanden ist, der zum Vergleich des abgesicherten1.Bus system with a communication bu (B), e.g. a two-wire bus to which several slaves (Sl) are connected, each with an output (A) for connecting and disconnecting a consumer (V) to an electrical power supply network (E) and each with an evaluation unit (Au ), by means of which, depending on switching commands transmitted via the communication bus (B) and received by the slave (Sl), which are coded differently in the form of multi-bit words for the different slaves (Sl), the output (A) of the addressed slave ( Sl) can be controlled accordingly, characterized in that a safety monitor (Si) with a safe output (As) for the higher-level connection and disconnection of the electrical power supply network (E) is connected to the communication bus (B) in that the safety monitor (Si) The target switching state of the outputs (A) of the slaves (Sl) is available as secure information that a comparator (Ver) is present in the safety monitor (Si), which is used to compare the Safe
Soll-Schaltzustands mit dem abgesicherten Ist-Schaltzustand des Ausgangs (A) eines der Slaves (Sl) , der seinen Ist- Schaltzustand an den Sicherheitsmonitor (Si) abgesichert rückmeldet, dient, um bei Abweichung zwischen abgesichertem Soll-Schaltzustand und abgesichertem Ist-Schaltzustand über den sicheren Ausgang (As) des Sicherheitsmonitors (Si) eine Abschaltung des elektrischen Energieversorgungsnetzes (E) zu bewirken .The target switching state with the secured actual switching state of the output (A) of one of the slaves (Sl), which reports its actual switching status to the safety monitor (Si) in a safe manner, is used to avoid a deviation between the secured target switching state and the secured actual switching state to switch off the electrical power supply network (E) via the safe output (As) of the safety monitor (Si).
2. Bussystem nach Anspruch 1, dadurch gekennzeichnet, daß im Sicherheitsmonitor (Si) eine Empfangε- und Überwachungseinheit (EU) vorgesehen ist, die zum Empfang und zur Überwachung der von einem Master (M) über den Kommunikationsbus (B) an die Slaves (Sl) übertragenen Schaltbefeh- le als Soll-Schaltzustände der Ausgänge (A) der Slaves (Sl) dient, wobei zur Absicherung das vom Sicherheitsmonitor (Si) empfangene, für den jeweiligen Slave (Sl) bestimmte Mehrbit- wort als Verschlüsselung des Soll-Schaltzustands mit einem für diesen Slave (Sl) im Sicherheitsmonitor (Si) hinterlegten Mehrbitwort verglichen wird und bei Übereinstimmung ein abgesicherter Soll-Schaltzustand vorliegt.2. Bus system according to claim 1, characterized in that a receiving and monitoring unit (EU) is provided in the safety monitor (Si), which is used to receive and monitor a master (M) via the communication bus (B) to the slaves ( Sl) transmitted switching commands serves as the target switching states of the outputs (A) of the slaves (Sl), the multi-bit received for the respective slave (Sl) received by the safety monitor (Si) for protection. word as encryption of the target switching state is compared with a multi-bit word stored for this slave (Sl) in the safety monitor (Si), and if there is a match, there is a secured target switching state.
3. Bussystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß im Sicherheitsmonitor (Si) eine Empfangs- und Überwachungseinheit (EU) vorgesehen ist, die zum Empfang und zur Überwachung des von einem der Slaves (Sl) über den Kommunikationsbus (B) an den Sicherheitsmonitor (Si) in Form eines Mehrbitworts rückgemeldeten Ist-Schaltzustands seines Ausgangs (A) dient, wobei zur Absicherung das von einem Slave (Sl) rückgemeldete Mehrbitwort mit einem für diesen Slave (Sl) im Sicherheitsmonitor (Si) hinterlegten Mehrbit- wort verglichen wird und bei Übereinstimmung ein abgesicherter Ist-Schaltzustand vorliegt.3. Bus system according to claim 1 or 2, characterized in that a receiving and monitoring unit (EU) is provided in the safety monitor (Si) for receiving and monitoring the one of the slaves (Sl) via the communication bus (B) the safety monitor (Si) is used in the form of a multibit word of the actual switching state of its output (A), the multibit word reported by a slave (Sl) being compared with a multibit word stored for this slave (Sl) in the safety monitor (Si) is and if there is a matched actual switching state.
4. Bussystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß im Sicherheitsmonitor (Si) ein Zeitglied (Z) vorhanden ist, das die Dauer vorgibt, während der eine Abweichung zwischen abgesichertem Soll- Schaltzustand und abgesichertem Ist-Schaltzustand keine Abschaltung des elektrischen Energieversorgungsnetzes (E) über den sicheren Ausgang (As) des Sicherheitsmonitors (Si) be- wirkt.4. Bus system according to one of the preceding claims, characterized in that in the safety monitor (Si) there is a timing element (Z) which specifies the duration during which a deviation between the secured target switching state and the secured actual switching state does not shut off the electrical power supply network (E) via the safe output (As) of the safety monitor (Si).
5. Bussystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß in den Slaves (Sl) jeweils eine Überwachungseinrichtung (Ü) zur Erfassung des Ist- Schaltzustands des jeweiligen Ausgangs (A) vorgesehen ist.5. Bus system according to one of the preceding claims, characterized in that in each case a monitoring device (Ü) is provided in the slaves (Sl) for detecting the actual switching state of the respective output (A).
6. Bussystem nach Anspruch 5, dadurch gekennzeichnet , daß die Ausgänge (A) der Slaves (Sl) mit einem zwangsgeführten Öffnerkontakt (Ü) als Überwachungseinrichtung versehen sind. 6. Bus system according to claim 5, characterized in that the outputs (A) of the slaves (Sl) are provided with a positively driven break contact (Ü) as a monitoring device.
7. Bussystem nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Ausgänge (A) der Slaves (Sl) nicht sicher sind.7. Bus system according to one of the preceding claims, characterized in that the outputs (A) of the slaves (Sl) are not safe.
8. Verfahren zur Gewährleistung sicherer Schaltzustände der Ausgänge (A) von an einen Kommunikationsbus (B) geschalteten Slaves (Sl), die ihre Ausgänge (A) aufgrund nicht sicherer Schaltbefehle schalten, die die Slaves (Sl) nach Übertragung über den Kommunikationsbus (B) empfangen, dadurch ge- kennzeichnet, daß die Slaves (Sl) den jeweiligen Ist- Schaltzustand ihres Ausgangs (A) in Form eines Mehrbitworts an einen an den Kommunikationsbus (B) geschalteten Sicherheitsmonitor (Si) rückmelden, in dem die Soll-Schaltzustände der Ausgänge (A) der Slaves (Sl) abgesichert vorliegen, daß im Sicherheitsmonitor (Si) nach Überprüfung des von einem der Slaves (Sl) rückgemeldeten Mehrbitworts dessen Ist-Schaltzustand gesichert vorliegt und daß bei Abweichung zwischen Soll- und Ist-Schaltzustand die elektrische Energieversorgung zu den Ausgängen (A) der Slaves (Sl) übergeordnet unterbro- chen wird.8. Method for ensuring safe switching states of the outputs (A) of slaves (Sl) connected to a communication bus (B), which switch their outputs (A) on the basis of non-safe switching commands that the slaves (Sl) after transmission via the communication bus (B ) received, characterized in that the slaves (Sl) report the actual switching status of their output (A) in the form of a multi-bit word to a safety monitor (Si) connected to the communication bus (B), in which the target switching status of the Outputs (A) of the slaves (Sl) are safeguarded so that after checking the multi-bit word reported by one of the slaves (Sl), the actual switching status is secure and that the electrical power supply is available if there is a discrepancy between the target and actual switching status to the outputs (A) of the slaves (Sl) is interrupted at a higher level.
9. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die Ausgänge (A) der Slaves (Sl) nicht sicher sind.9. The method according to claim 7, characterized in that the outputs (A) of the slaves (Sl) are not safe.
10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, daß die übergeordnete Unterbrechung der elektrischen Energieversorgung über einen sicheren Ausgang (As) des Sicherheitsmonitors (Si) erfolgt. 10. The method according to claim 8 or 9, characterized in that the higher-level interruption of the electrical energy supply via a safe output (As) of the safety monitor (Si).
PCT/DE2000/001938 1999-06-24 2000-06-13 Bus system, comprising protected outputs WO2001001541A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19928984.0 1999-06-24
DE1999128984 DE19928984A1 (en) 1999-06-24 1999-06-24 Bus system with secured outputs

Publications (1)

Publication Number Publication Date
WO2001001541A1 true WO2001001541A1 (en) 2001-01-04

Family

ID=7912401

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2000/001938 WO2001001541A1 (en) 1999-06-24 2000-06-13 Bus system, comprising protected outputs

Country Status (2)

Country Link
DE (1) DE19928984A1 (en)
WO (1) WO2001001541A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2483125C1 (en) * 2012-04-06 2013-05-27 Открытое акционерное общество "Научно-производственное объединение "Центральный научно-исследовательский институт технологии машиностроения" ОАО НПО "ЦНИИТМАШ" Method of mixing flux bed in electroslag remelting of consumable electrode

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE502005009527D1 (en) 2004-04-19 2010-06-17 Pilz Gmbh & Co Kg MESSAGE DEVICE FOR A SAFETY CIRCUIT
EP2077007A2 (en) * 2006-09-28 2009-07-08 Pepperl + Fuchs Gmbh Bus system, and method for the operation thereof
JP4328352B2 (en) 2006-12-18 2009-09-09 ファナック株式会社 Diagnostic method and system for external signal input / output unit
EP1950399A1 (en) * 2007-01-24 2008-07-30 Siemens Aktiengesellschaft System with consumer branches
DE202007006026U1 (en) 2007-04-25 2008-08-28 Pepperl + Fuchs Gmbh Slave module with at least two output slaves
EP2080887A1 (en) * 2008-01-16 2009-07-22 Siemens Aktiengesellschaft Motor management system for attaching a switching or protection organ
DE102009022389A1 (en) * 2009-05-22 2010-12-02 Phoenix Contact Gmbh & Co. Kg Control system for controlling a process
DE102014225871A1 (en) * 2013-12-16 2015-06-18 Ifm Electronic Gmbh Safety-oriented ASi slave module

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0664598A2 (en) * 1989-02-06 1995-07-26 Boral Johns Perry Industries Pty. Ltd. Power supply system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3444218A1 (en) * 1984-12-04 1986-07-10 Siemens AG, 1000 Berlin und 8000 München Emergency-off linkage, using the master-slave principle, for machine controllers
DE19742716C5 (en) * 1997-09-26 2005-12-01 Phoenix Contact Gmbh & Co. Kg Control and data transmission system and method for transmitting safety-related data
DE29718102U1 (en) * 1997-10-13 1997-11-27 EUCHNER GmbH + Co., 70771 Leinfelden-Echterdingen Safety fieldbus module
DE19754769A1 (en) * 1997-11-28 1999-06-02 Siemens Ag Secure multi-channel data communications field bus system for positioning element in factory or railway automation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0664598A2 (en) * 1989-02-06 1995-07-26 Boral Johns Perry Industries Pty. Ltd. Power supply system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2483125C1 (en) * 2012-04-06 2013-05-27 Открытое акционерное общество "Научно-производственное объединение "Центральный научно-исследовательский институт технологии машиностроения" ОАО НПО "ЦНИИТМАШ" Method of mixing flux bed in electroslag remelting of consumable electrode

Also Published As

Publication number Publication date
DE19928984A1 (en) 2000-12-28

Similar Documents

Publication Publication Date Title
DE102016100175B4 (en) Robot system that is provided with a plurality of controllers that operate a plurality of industrial robots
DE3236812A1 (en) REMOTE CONTROL SYSTEM
EP1341636A1 (en) Method for connecting several welding devices and corresponding welding device
DE102019112839B3 (en) Protection and monitoring device in a charging infrastructure for charging electrically powered vehicles and methods for monitoring a charging infrastructure
EP1687681B1 (en) Method for operating a network
DE10152653B4 (en) Device for intrinsically safe redundant power supply
WO2001001541A1 (en) Bus system, comprising protected outputs
WO2014075743A1 (en) Switching device for controlling energy supply of a downstream electric motor
EP3469677B1 (en) Method for power supply and power supply for railway operating elements arranged on a railway line
EP3637578A1 (en) Control system for controlling at least one high voltage storage device
DE2108496C3 (en) Circuit arrangement for the continuous functional control of the information processing and the output of data telegrams, in particular for process computer-controlled railway signal systems
EP2704332B1 (en) Emergency/safety lighting unit and method for controlling the same
EP3337008B1 (en) Power supply for a door assembly and corresponding door assembly
DE19929804B4 (en) control system
WO2002071600A2 (en) Safety switch device
EP2456034B1 (en) Photovoltaic assembly and photovoltaic module
WO2023020779A1 (en) Charging device and method for charging at least one electric vehicle
EP2684204B1 (en) Circuit breaker system for guidesystem for the electrical supply of a vehicle
DE102016105602A1 (en) Circuit breaker and method for operating such a circuit breaker
DE102010038459A1 (en) Safety system, has safety module comprising system interface for direct contacting and communication with group protection unit, and load branch comprising another system interface for direct communication with safety module
EP1533622B1 (en) Method for detecting short circuit between conductors
EP1972107A1 (en) Protection or control-system appliance
WO1998024274A1 (en) Device for the monitoring, control and regulation of flush lights of an airport lighting system
DE19844185A1 (en) Bus line system, especially for controlling compact hydraulic drives as subscribers, has controller with external connection for connected subscriber with same characteristics as ring line
EP1353430B1 (en) Circuit arrangement

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
NENP Non-entry into the national phase

Ref country code: JP