Beschreibung
Verfahren zur ÜbertraRung von sicherheitsRerichteten Daten zwischen Komponenten eines Steuerungssystems sowie Steuerungssystem
Die Erfindung bezieht sich auf ein Verfahren zur Übertragung von sicherheitsgerichte- ten Daten zwischen Komponenten eines Steuerungssystems wie Maschinensteuerung über eine Datenübertragungsstrecke wie Funkstrecke sowie auf ein Steuerungssystem.
Die Sicherheit von Geräten, Anlagen und Verfahren ist in Nonnen wie beispielsweise 1EC 61508 quantifiziert und probabilistisch bewertet. Ein dabei erreichter Sicherheitsgrad (Safety-Integrety-Level = SIL) wird mit statistischen Methoden, Versuchen und Berechnungen in Zahlen ausgedrückt.
Bei Verfahren zur Datenübertragung, insbesondere seriellen Datenübertragung über ein digitales Übertragungssystem ist eine Datensicherung und ein daraus folgender mathematischer Ausdruck für eine Fehlerwahrscheinlichkeit auch in der Sicherheitstechnik übliche und anerkannte Technik. Mit Fehlerwahrscheinlichkeit wird dabei eine Aussage über die Qualität einer Übertragung bezeichnet. Dabei wird die Anzahl der fehlerhaft übertragenen Einheiten zu der Gesamtzahl betrachteter Einheiten in Beziehung gesetzt.
Die verlangten Sicherheitsstufen bzw. Sicherheitskategorien werden bei den bekannten Datenübertragungsverfahren dadurch erreicht, dass gewisse Fehlerwahrscheinlichkeiten einen definierten Grenzwert nicht übersteigen dürfen.
Bei einer Funkübertragung digitaler Daten ist es üblich, die Fehlerwahrscheinlichkeit (Bit-Error-Rate = BER) der Übertragungsstrecke als Funktion des Signal- Rauschabstandes (S/N-Verhältnis) anzugeben, wobei diese Werte in Regel auch für bestimmte Übertragungs- und/oder Modulationsverfahren typisch sind. Auch sind Messvorrichtungen zur direkten Messung der Bit-Fehlerrate bekannt.
Die Übertragungsfehler pro Zeiteinheit (U) sind definiert als Funktion der Bit-Fehlerrate (BER) der Flamming-Distanz (dmin) der Anzahl (n) der Infoπnationsbits, der Anzahl (m) der Informations- und Sicherungsbits, wobei sich als mathematische Funktion: U = Funktion (BER, m, n, dmin) ergibt. In der Funktechnik ist das S/N-Verhältnis üblicherweise starken Schwankungen im Bereich mehrerer 1 Oer-Potenzen unterworfen. Damit schwankt folglich auch die Bit-Fehlerrate (BER) erheblich.
Wird eine Übertragungsstrecke wie beispielsweise eine Funkstrecke, ein Leitungssystem oder ein Bussystem eines digitalen Übertragungssystem in eine Restfehlerwahrscheinlichkeit im Sinne der Sicherheitstechnik einbezogen, so gibt es auch einen bestimmten Wert der Bit-Fehlerrate auf der Übertragungsstrecke, bei dem der zulässige Grenzwert der Restfehlerwahrscheinlichkeit überschritten wird und der Betrieb eines Systems innerhalb eines Sicherheitsgrades oder einer Kategorie nicht mehr zulässig ist.
Wegen der starken Schwankungen der Übertragungsqualität insbesondere bei Funkt- strecken ist beim Stand der Technik eine Auslegung solcher Systeme auf den ungünstigsten Fall (worst case) üblich. Des Weiteren erfolgt beim Stand der Technik eine statische Dimensionierung der Sicherheitsvorkehrungen zur Datensicherung.
Die DE 40 31 241 AI bezieht sich auf ein digitales Übertragungssystem mit mindestens einer Betriebsstrecke zur Übertragung von Digitalsignalen und mit mindestens einer Ersatzstrecke. Die Ersatzstrecke dient zur Übertragung der digitalen Signale insbesondere bei einem Ausfall und/oder einer Störung einer Betriebsstrecke. Das digitale Übertragungssystem soll ein verringertes Ansteigen der Bit-Fehlerrate beim Umschalten einer Betriebsstrecke auf eine Ersatzstrecke aufweist. Dazu ist vorgesehen, dass bei einer über einer vorgebbaren Fehlerschwelle liegenden Bit-Fehlerrate eines auf einer Be-
triebsstrecke übertragenen Digitalsignals oder bei manueller Umschaltung einer Betriebsstrecke eine mehrstufige Umschaltung auf die Ersatzstrecke erfolgt.
Die DE 100 01 150 AI bezieht sich auf ein Verfahren zur Behandlung von kontinuierlich auftretenden Übertragungsfehlern bei der Datenübertragung zwischen einem Teilnehmer und einer Vermittlungsstelle, bei deren Aufbau die Leitungseigenschaften ermittelt und die Datenübertragungsrate an die ermittelten Leitungseigenschaften ange- passt wird. Eine Übertragung sicherheitsgerichteter Daten ist in dem Dokument nicht angesprochen.
Die EP 0 212 667 A2 bezieht sich auf ein Kommunikationssystem mit variabel wiederholbarer Übertragung von Datenblöcken. In dem Kommunikationssystem wird die Intensität und/oder das Signal-Rausch-Verhältnis eines Funksignals, welches von einer entfernten Station empfangen wurde, erfasst, und ein Datenblock wird als Antwort erzeugt. Zur Verbesserung der Übertragungseffizienz unter geeigneten Bedingungen sowie zur Fehlerminimierung unter ungeeigneten Bedingungen wird die Anzahl der Wiederholungen in Übereinstimmung mit der erfassten Intensität und/oder dem erfassten Signal-Rausch-Verhältnis variabel gestaltet.
Die EP 0 632 613 AI bezieht sich auf ein Verfahren und eine Vorrichtung zur Datenwiedergewinnung in einem Funk-Kommunikationssystem. Die Übertragung sicherheitsgerichteter Daten ist auch in diesem Dokument nicht angesprochen.
Die EP 0 423 485 AI bezieht sich auf ein Verfahren und eine Einrichtung zur bidirektionalen Übertragung von Daten, wobei jeweils ein Kanal für jede Richtung vorgesehen ist. Dabei wird die Empfangsgüte der jeweils über den Kanal übertragenen Signale gemessen, codiert und über den jeweils in Gegenrichtung verlaufenden Kanal übertragen. Bei diesem Verfahren sind zwingend zwei Kanäle vorgeschrieben.
Aus der EP 0 713 302 A2 ist ein Fehlerkorrektursystem bekannt, welches adaptiv die Anzahl der Parity-Bits, Bytes oder der zu einem Empfänger übertragenen Pakete an-
passt. Die Anpassung erfolgt aufgrund vorheriger Fehlermuster beim Empfang des Originalsignals.
Die WO 98/49797 bezieht sich auf ein Verfahren zur Übertragung eines Datenpaketes in einem Kommunikationssystem und hat keinen Bezug zu einem Verfahren zur Übertragung sicherheitgerichteer Daten in einem Steuerungssystem.
Die WO 00/47006 beschreibt ein Verfahren zur Anpassung eines Betriebsmodus eines Codier-/Decodiermittels eines Übertragungsgerätes, wobei die Codier-/Decodiermittel angepasst werden, um in einer Vielzahl von Operationsmoden betrieben zu werden. Auch dieses Dokument bezieht sich auf ein Telekommunikationsnetzwerk, welches nicht mit einem sicherheitsgerichteten Steuerungssystem vergleichbar ist.
Ferner bezieht sich die GB 2 253 546 A auf ein Funk-Komunikationsgerät mit gespeicherten Codier-/Decodierverlahren. Dabei hat jedes Verfahren unterschiedliche Verhältnisse aus Informationscode-Bits und Fehlerkorrektυrcode-Bits. Die Vorrichtung umfasst ebenfalls einen Signalverarbeitungsschaltkreis, welcher ein in den Speicher gespeichertes Verfahren entsprechend der Übertragungsqualität ausführt.
Davon ausgehend liegt der Erfindung das Problem zu Grunde, ein Verfahren und ein Steuerungssystem zur Übertragung sicherheitsgerichteter Daten derart weiterzubilden, dass die Übertragungsstrecke möglichst über einen großen zulässigen Betriebsbereich ohne Verlust der Sicherheit eingesetzt werden kann, d. h. kein Abbruch der Datenübertragung erfolgen muss.
Das Problem wird erfindungsgemäß dadurch gelöst, dass eine die tatsächliche aktuelle Ubertragungsqualität der Datenübertragungsstrecke repräsentierende Größe bestimmt wird und dass eine Adaption eines Datensicherungsverfahrens an die tatsächliche Übertragungsqualität der Datenübertragungsstrecke erfolgt. Durch das erfindungsgemäße Verfahren wird der Betrieb einer sicherheitsgerichteten Übertragungsstrecke wie Funkstrecke über den größtmöglichen zulässigen Betriebsbereich mit optimaler Übertragungskapazität innerhalb beispielsweise einer Kategorie der EN954 oder eines SEL's
ermöglicht. Auch wird der Betrieb von Datenübertragungen mit Fehlerkorrektur in sicherheitsgerichteten Anwendungen möglich, solange die zulässige Fehlerrate bei aktueller Sicherung nicht überschritten wird.
In bevorzugter Ausführungsform ist vorgesehen, dass zur Bestimmung der tatsächlichen Übertragungsqualität die tatsächliche aktuelle Bit-Fehlerrate und/oder das Signal- Rauschverhältnis und/oder ein Empfangspegel des empfangenen Signals mit an sich bekannten messtechnischen Verfahren gemessen wird. Überschreitet die Bit-Fehlerrate einen zulässigen Wert oder überschreitet das S/N-Verhältnis einen zulässigen Wert oder unterschreitet im einfachsten Fall der Empfangspegel einen zulässigen Wert, so erfolgt eine sicherheitsgerichtete Meldung und/oder zusätzliche Maßnahmen werden eingeleitet, die den Betrieb der Übertragungsstrecke aufrechterhalten.
Gemäß einer weiteren bevorzugten Verfahrensweise ist vorgesehen, dass die Adaption des Sicherungsverfahrens an die tatsächliche Übertragungsqualität dadurch erfolgt, dass zusätzliche Prüfbits an die digitalen Daten angefügt werden, um eine erhöhte Hamming- Distanz der Nachricht zu erzielen. Auch kann vorgesehen sein, dass eine gezielte Wiederholung und zweifache Auswertung einer bestimmten Nachricht durchgeführt wird, um eine serielle Redundanz zu erzielen. Ferner kann eine höherwertige Sicherung der Daten durch aufwendigere Algorithmen durchgeführt werden, um eine höhere Ham- ming-Distanz zu erzielen.
Im Gegensatz dazu erlauben bekannte Verfahren nur Maßnahmen auf Grund von Gut- /Schlechtaussagen wie beispielsweise Empfang-/Kein Empfang oder Empfangene Daten korrekt Empfangene Daten fehlerbehaftet. Eine Ausnutzung des „zulässigen Arbeitsbereiches" ist aus dem Stand der Technik nicht bekannt. Vielmehr wird bisher bei der Dimensionierung einer Datenübertragungsstrecke für Anwendungen der Sicherheitstechnik eine Betrachtung unter „worst case"-Annahmen vorausgesetzt.
Durch das erfindungsgemäße Verfahren werden eine Vielzahl von Vorteilen gegenüber dem Stand der Technik erreicht. Im Einzelfall wird der Betrieb einer sicherheitsgerichteten Funkstrecke über den größtmöglichen zulässigen Betriebsbereich mit optimaler
Übertragungskapazität innerhalb einer Kategorie wie beispielsweise EN954 oder eines SEL's ermöglicht. Auch kann der Betrieb von Datenübertragungen mit Fehlerkorrektur in
Sicherheitsgerichteten Anwendungen ermöglicht werden, solange die zulässige Fehlerrate bei aktueller Sicherung nicht überschritten wird.
Insbesondere ist anzumerken, dass die Datenübertragungsstrecke als Funkstrecke oder auch als leitungsgebundene Übertragungsstrecke wie Cu-Drahtleitung, LWL-Leitung oder dergleichen eingesetzt werden kann.
Durch das Verfahren wird ein optimaler Betrieb von Übertragungsstrecken für sicher- heitsgerichtete Anwendungen durch online-erfasste Fehlerraten ermöglicht. Die gezielte Abschaltung eines Systems erfolgt, wenn die Übertragungsqualität nicht mehr ausreicht, um eine bestimmte Sicherheitsstufe zu erzielen.
Statt der bisher üblichen Auslegung einer Übertragungsstrecke auf „worst case"- Verhältnisse kann eine Auslegung derart erfolgen, dass sich die Übertragungsstrecke im Betrieb (online) an die tatsächlichen Verhältnisse anpasst und bessere Ergebnisse der Datenübertragungsrate erzielt.
Das Problem wird durch ein Steuerungssystem gelöst, wobei das Steuerungssystem stationäre und mobile Komponenten mit jeweils Sende-/Empfangsmodulen zum Austausch von sicherheitsgerichteten Daten zumindest über eine Übertragungsstrecke wie Funkstrecke umfasst. Dabei ist vorgesehen, dass zumindest eines der Sende- /Empfangsmodule Mittel zur Bestimmung einer die aktuelle Übertragungsqualität der Übertragungsstrecke repräsentierenden Größe sowie Mittel zur Adaption eines Datensicherungsverfahrens an die tatsächliche Übertragungsqualität der Datenübertragungsstrecke aufweist.
In bevorzugter Ausführungsform ist vorgesehen, dass zumindest die stationäre Komponente zumindest zwei Sende-/Empfangsmodule aufweist, von denen zumindest ein Empfangsmodul zur Bestimmung des Empfangspegels vorgesehen ist.
Weitere Einzelheiten, Vorteile und Merkmale der Erfindung ergeben sich nicht nur aus den Ansprüchen, den diesen zu entnehmenden Merkmalen -für sich und/oder in Kombination-, sondern auch aus der nachfolgenden Beschreibung von den Figuren zu entnehmenden bevorzugten Ausführungsbeispielen.
Es zeigen:
Fig. 1 eine schematische Darstellung von Komponenten einer funkbasierten
Anlagen-/Maschinensteuerung, Fig. 2 ein Blockschaltbild eines mobilen Steuerungsgerätes und
Fig. 3 ein Blockschaltbild eines stationären Steuerungsgerätes.
Fig. 1 zeigt rein schematisch ein Steuerungssystem 10, umfassend eine zentrale Steuereinheit 12 wie Anlagen-/Maschinensteυerung mit vorzugsweise sicherheitsgerichteter Auswerteeinheit, an die ein oder mehrere stationäre Komponenten wie Funkstationen 14, 16, 18 über Verbindungsleitungen 20, 22, 24, vorzugsweise serielle Verbindungsleitungen angeschlossen sind. Zur Bedienung der zentralen Steuereinheit 12 sind ein oder mehrere mobile Komponenten 26 wie Steuerungsgeräte, insbesondere Hand- Bediengeräte vorgesehen, die über eine Datenübertragungsstrecke 28 vorzugsweise serielle Funkstrecke mit zumindest einer der stationären Funkstation 14, 16, 18 kommunizieren.
Fig. 2 zeigt rein schematisch ein Blockschaltbild des mobilen Steuergerätes 26. Das mobile Steuergerät 26 umfasst zumindest einen sicherheitsgerichteten Sensor 30 wie beispielsweise einen NOT-AUS-Schlagtaster. Zur sicherheitsgerichteten Auswertung von Signalen des Sensors 30 ist eine sicherheitsgerichtete Steuerung 32 mit einer ersten Mikroprozessorschaltung 34 und einer zweiten Mikfoprozessorschaltung 36, die jeweils einen Eingang 38, 40 zum Anschluss an den Sensor 30 aufweisen, vorgesehen. Die Mikroprozessorschaltungen 34, 36 erfassen jeweils die Signale des oder der sicherheitsgerichteten Sensoren 30 und vergleichen diese Signale mit den von der jeweils anderen Mikroprozessorschaltung über eine Kommunikationsschnittstelle 42. Sofern bei diesem
Vergleich Fehler erkannt werden, wird die Mikroprozessorschaltung 34 abgeschaltet. Die Kommunikationsverbindung 42 ist als bidirektionale serielle Kommunikationsverbindung zwischen den Mikroprozessorschaltungen 34, 36 ausgebildet.
Ein Ausgang 44 der Mikroprozessorschaltung 34 ist mit dem Eingang eines logischen Gatters vorzugsweise UND-Gatter 46 verbunden und dient zur Aktivierung der Sende- Datenleitung der Mikroprozessorschaltung 36, solange keine Fehler im System festgestellt werden. Entsprechend weist die Mikroprozessorschaltung 36 einen Ausgang 48 auf, der ebenfalls mit einem Eingang des logischen Gatters 46 verbunden ist und zur Aktivierung der Sende-Datenleitung der Mikroprozessorschaltung 34 dient, solange keine Fehler im System festgestellt werden.
Über einen Ausgang 50 der Mikroprozessorschaltung 36 werden serielle Sendedaten zu einem Sende-/Empfangsmodul 52 übertragen. Von dem Sende-/Empfangsmodul 52 empfangene Daten werden über eine Datenleitung 54 in die Mikroprozessorschaltung 36 übertragen. Die Logikschaltung 46 ist über eine Datenleitυng 56 zur Übertragung der seriellen Sendedaten zum Sendemodul 52 verbunden.
Schließlich ist das Sende-/Empfangsmodul 52, das einen Sender und Empfänger (Transceiver) umfasst, über die Datenübertragungsstrecke 28 wie Funkstrecke mit den stationären Funkstationen 14, 16, 18 gekoppelt.
Zur Ausgabe von nicht sicherheitsgerichteten Ausgangssignalen ist ein Ausgang 60 an der Mikroprozessorschaltung 36 vorgesehen.
Auch besteht die Möglichkeit, sicherheitsgerichtete Ausgangssignale über eine serielle Schnittstelle 62 und ein Logikgatter 64 an eine kabelgebundene Schnittstelle 66 zu übertragen. Eine Aktivierung der Transmit-Daten-Schnittstelle 62 erfolgt über einen Ausgang 68 der Mikroprozessorschaltung 36 sowie einen Ausgang 70 der Mikroprozessorschaltung 34. Die Transmit-Daten-Schnittstelle 62 wird deaktiviert, wenn ein Fehler im System festgestellt wird.
Schließlich ist eine Schnittstelle 72 für die Übertragung nicht sicherheitsgerichteter Signale zu einem weiteren externen Mikroprozessorsystem (nicht dargestellt) vorgesehen. Dabei können wahlweise serielle Datenübertragungen gemäß RS232, einer CAN- Verbindung oder eine ETHERNET-Verbindung zur Verfügung gestellt werden. Des Weiteren steht eine Schnittstelle 74 für die alternative Übertragung des sicheren Protokolls im leitungsgebundenen Betrieb zur Verfügung.
Fig. 3 zeigt ein Blockschaltbild eines der stationären Funkmodule 14, 16, 18. Die Einheit umfasst ein erstes Sende-/Empfangsmodul 76 mit Sender und Empfänger sowie ein zweites Sende-/Empfangsmodul mit Sender und Empfänger 78, das insbesondere zur Verbesserung der Verfügbarkeit und zur Bestimmung des Empfangspegels vorgesehen ist. Beide Sende-/Empfangsmodule 76, 78 kommunizieren über die Funkstrecke 28 mit den mobilen Steuergeräten 26. Schließlich ist ein drittes Sende-/Empfangsmodul 80 mit Sender und Empfänger vorgesehen, das ebenfalls zur Verbesserung der Verfügbarkeit und zur Bestimmung des Empfangspegels einsetzbar ist. Auch dieses Funkmodul ist über die Funkstrecke 28 mit den mobilen Steuerυngsgeräten 26 gekoppelt.
Des Weiteren sind zumindest zwei mehrfach Seriell-Parallel-Umsetzer 82, 84 zum Empfang der seriellen Daten von den Sende-/Empfangsmodulen 76, 78, 80 vorgesehen. Jeder Umsetzer 82, 84 umfasst Eingänge 86, 88, 90 bzw. 92, 94, 96 zum Empfang der Daten von den Sende-/Empfangsmodulen 76, 78, 80. Zur Steuerung der Umsetzer 82, 84 sind jeweils Mikroprozessoren 98, 100 vorgesehen, die über Kommunikationsleitungen 102, 104 mit den Umsetzern 82, 84 verbunden sind. Der Umsetzer 84 weist zudem Ausgänge 106, 108, 110 auf, über die serielle Daten jeweils zu den Funkmodulen 76, 78, 80 übertragen werden.
Die Mikroprozessorschaltung 100 übernimmt die Steuerung des mehrfach Seriell- Parallel-Umsetzers 84, insbesondere die Decodierung der Empfangsdaten der Funkmodule 76, 78, 80 und die Ausgabe der sicheren Daten an sicherheitsgerichtete Ausgänge 1 12, wie beispielsweise einen Aktor 1 14 wie Sicherheitsrelais.
Ferner erfolgt ein Vergleich des Decodier-Ergebnisses mit demjenigen der Mikroprozessorschaltung 98 über eine Kommunikationsstelle 116.
Eine weitere Kommunikationsschnittstelle 1 18 ist zur Übergabe bidirektionaler, nicht sicherheitsgerichteter Kommunikationsdaten vorgesehen. Ferner sind Eingänge 120 zur Erfassung von Signalen der nicht sicherheitsgerichteten Eingänge vorgesehen. Weiterhin übernimmt die Mikroprozessorschaltung 84 die Funktion der Codierung und die Übertragung dieser Daten, Erfassung der Empfangspegel der von den Funkmodulen 76, 78, 80 empfangenen Signale, Berechnung/Prüfung des wahrscheinlichen Aufenthaltsortes des mobilen Steuerungsgerätes 26 auf der Grundlage der erfassten Empfangspegel.
Die Mikroprozessorschaltung 98 dient zur Steuerung des Mehrfach-Seriell-Parallel- Umsetzers 82, zur Decodierung der Empfangsdaten der Eingänge 86, 88, 90 sowie Ausgabe der sicheren Daten an sicherheitsgerichtete Ausgänge 122, die mit dem Aktor 114 verbunden sind. Schließlich erfolgt ein Vergleich des Decoderergebnisses mit demjenigen der Mikroprozessorschaltung 100 durch Datenaustausch über die Kommunikationsschnittstelle 116.
Ferner ist zu erwähnen, dass die Umsetzer 82, 84 jeweils einen Anschluss 124, 126 für eine Kabelschnittstelle für die optionale serielle Übertragung des Sicherungsprotokolls aufweisen, die empfangsseitig zweikanalig ausgebildet ist. Die Kabelschnittstelle ist mit 128 bezeichnet. Die Mikroprozessorschaltungen 98, 100 weisen jeweils Eingänge 130, 132 zum Empfang sicherheitsgerichteter Eingangssignale für Betriebsdatensignale und Anmelde-Schlüsselschalter auf.