WO2004036324A1 - Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem - Google Patents

Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem Download PDF

Info

Publication number
WO2004036324A1
WO2004036324A1 PCT/DE2003/003365 DE0303365W WO2004036324A1 WO 2004036324 A1 WO2004036324 A1 WO 2004036324A1 DE 0303365 W DE0303365 W DE 0303365W WO 2004036324 A1 WO2004036324 A1 WO 2004036324A1
Authority
WO
WIPO (PCT)
Prior art keywords
control
redundant
control devices
redundancy
bus
Prior art date
Application number
PCT/DE2003/003365
Other languages
English (en)
French (fr)
Inventor
Gunter Griesbach
Enrico Ramm
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2004036324A1 publication Critical patent/WO2004036324A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14132Dual plc, each monitors other

Definitions

  • the invention relates to a method and a device for process automation with control devices for controlling peripheral devices via a bus system according to the preamble of claims 1 and 14.
  • Hierarchically organized systems are mainly used in automation processes. Starting from a central control, individual device groups are controlled that belong to an entire process. For example, the activation of valves or other actuators can be part of the solution to a specific technical or process engineering task. These individual actuators are connected to one another in terms of control and information technology via a bus system. The individual actuators and sensors can be addressed in an addressed manner.
  • peripheral devices can be assigned to a respective process task, to which a control device, a so-called head station, is hierarchically directly superordinated, via which they are controlled. Higher-level control or process units are in turn connected upstream of the respective head stations.
  • Subarea namely the control-related assignment of peripheral devices to a corresponding head station, it is customary to design the head stations redundantly.
  • This redundant design of the head stations where two head stations can usually be replaced redundantly, accesses alternately non-redundant peripheral units via the bus system. In this case one of them always serves Both head stations or one of the two control units actively activate the peripheral units, while the other head station or the other control unit behaves passively and waits for the control of the peripheral units to be taken over.
  • the redundant design is intended to prevent the risk that the active head-end or the active control unit could be defective. In such a case, the redundant second control device should then take over this control task.
  • the two head stations or the two control units are arranged on a so-called interconnection unit which recognizes and switches the exchange between the active and passive state between the individual head stations. It is therefore disadvantageous in the prior art that the interconnection unit has to carry out the technical coordination of the switchover between the two head stations.
  • the interconnection unit is provided with logical elements or with active components, which may be quite complex. The problem of redundancy switchover is to be countered by relatively short switchover cycles.
  • the head-end station is also not connected redundantly to the peripheral units can.
  • the interconnection unit is completely eliminated. In this way, the system is also no longer redundant and the failure of the head-end would also mean a failure of the function of the peripheral units, since these would no longer be controlled.
  • the two head stations are plugged onto an active interconnection unit which, on the one hand, carries out the correspondence between the two head stations, namely the active and the passive, and on the other hand also carries out the communication with the peripheral units connected to the bus system.
  • the interconnection unit there is usually a complex programmable logic circuit that can be reached from any head-end station via special peripheral bus access.
  • the interconnection unit thus organizes the connection of the peripheral bus to one of the two head stations or to one of the two control units.
  • data is also exchanged from one head station to the second head station via the logic circuit. If one of the two head stations fails, the logic circuit can automatically switch the peripheral bus to the other head station.
  • a basic design of redundancy in bus systems is known from DE 37 13 825 AI.
  • the bus system described there is designated as highly available and is therefore designed twice. If an error is detected on one of the bus systems, the system switches from one to the other. Here, however, the entire bus system is designed redundantly, which is relatively complex.
  • the invention is therefore based on the object of being able to carry out a quick switchover in a method and in a device of the generic type.
  • an additional interconnection unit or an interconnection unit provided with active components should largely be dispensed with.
  • the method according to the invention now consists in the redundancy control in the control units themselves being carried out by the redundant control units communicating directly with one another with regard to their self-test evaluation.
  • a switchover can also be actively effected by bus drivers, which can be stored, for example, on the passive switchover unit.
  • the self-deactivating control device also transmits the process data to the then activated redundant control device beforehand.
  • the control devices can automatically differentiate between the state that an interconnection unit is present or not and between the redundant and non-redundant system itself by means of a corresponding status signal STK. This measure according to the method makes it possible for a control unit to distinguish itself by virtue of the fact that it is plugged onto a passive interconnection unit and also to be able to distinguish whether a second control unit is present, and this via a corresponding slot evaluation or a slot evaluation signal STK is carried out, which can then be either high or low in a corresponding manner.
  • redundancy auxiliary signals are generated or can be generated, which automatically recognize the presence of redundancy devices and can distinguish between a slot on the right and left by a corresponding respective signal.
  • the two control devices communicate with one another via serial data sets or ports SDE and SDA, SDE meaning serial data input and SDA serial data output.
  • This communication is redundancy communication.
  • the clock is also transmitted.
  • a mutual data exchange takes place between the active and the passive head-end station or between the active and the passive control unit, which ensures that both control units have the same data.
  • a mutual life or activity monitoring can take place based on the data exchange.
  • the changeover process between the two control devices described above is also initiated when a changeover criterion is recognized by this data transmission.
  • a further status signal AKT is introduced, which designates the switching process and the functions important for this.
  • This signal AKT is exchanged between the two control units via a connecting line and fulfills several functions at the same time.
  • the state of the signal can be switched to high or low from any head-end station, ie from any control unit. However, each control unit can also check the state of the Read back signals.
  • a safety function is also linked to the AKT signal in order to ensure that the peripheral bus and the AKT signal are not blocked in the event of a control unit failure.
  • a timer channel is provided, which is reset by software in error-free operation, i.e. does not normally run.
  • the so-called signal on the timer channel only expires in the event of a software or hardware error.
  • the peripheral bus is then forcibly released and the ACT signal is also switched to low. Due to this indirect so-called pull cord function, the previously passive control unit is able to take over the activity and switch to the bus system.
  • An interconnection unit can still exist as such, but, as already described above, active components are no longer required.
  • the interconnection unit can with only passive components that may only contain data lines and the corresponding plug-in sockets for the control units.
  • a status signal is therefore given to distinguish between the assignment of the right or left slot. This information is necessary for prioritizing a control unit when the automation station is switched on. The signal is pulled high on the control unit. The signal is permanently switched to low at one of the two slots. I.e. , there is an initial state in the activation of the control units.
  • a particularly advantageous mode of operation of the method according to the invention, but also of the device according to the invention described below, is the interaction of all the status signals mentioned in connection with the fact that the interconnection unit only consists of passive elements and the redundancy monitoring and switchover including all measures to be taken and of all data to be transmitted is implemented logically in the control units themselves.
  • the entirety of all the signals mentioned are thus referred to as redundancy auxiliary signals, the ACT signal described last being of particular importance.
  • the core of the device according to the invention now consists in the fact that the two redundantly designed control units each receive active components for redundant auxiliary signal generation and detection.
  • the interconnection unit therefore only consists of data connection lines and, if necessary, base connections for receiving the respective control units. All of the active logic components otherwise provided in the prior art no longer require the device according to the invention in its interconnection unit. All functions can be provided here, as already described in the method above.
  • the switchover can be carried out by bus drivers implemented in the bus system.
  • the device according to the invention contains active components in the control units for generating the above-mentioned redundancy auxiliary signals in detail.
  • the corresponding components also make it possible to automatically identify which of the respective control devices is now active, and in this way the two control devices automatically correspond to one another and the functional control device that was initiated first remains on the network and switches the redundant control device for as long deactivated.
  • the active control unit fails, the process already described above is initiated and the system switches over to the redundant second control unit, the defective control unit deactivating itself and previously also any data that may be necessary for the control process, which are stored in the previously active control unit had been read in, sent to the newly activated control unit. This can then take over the function without further dead time and the control device which will then be deactivated in the future deactivates itself and the status signals from active and passive are then exchanged from one control device to another.
  • the faulty control device communicates with the non-faulty control device for switchover coordination before it is automatically deactivated.
  • Figure 1 Automation device with redundant control devices.
  • Figure 2 Auxiliary redundancy signals and passive interconnection unit.
  • Figure 1 shows an embodiment with two control units, which represent the redundancy of the system.
  • the two control units A and B are plugged onto an interconnection unit which only contains passive components.
  • Said interconnection unit 1 now only has corresponding plug contacts and corresponding cable guides 2 for interconnecting the two control devices and for coupling to the illustrated bus system to the individual peripheral units.
  • control units are switched to active and the other control unit is switched to passive.
  • the activation of one of the two control units and the deactivation of the other is carried out within the control units and no longer in the interconnection unit.
  • the control units are then connected on the bus side to a plurality of individual peripheral devices 10, 11,...
  • FIG. 2 shows an exemplary embodiment of the invention, in which two control units A, B are shown in a corresponding representation, one of the control units being active and the other being passive. It is a redundant Profibus control unit for connection to a common peripheral bus.
  • a master is assigned to each control unit A and B on the Profibus side. The masters, the transmission line and the control units, the so-called slaves, are therefore redundant.
  • the redundancy on the Profibus side is irrelevant and therefore no longer needs to be considered.
  • Both control units are plugged into the interconnection unit 1.
  • the interconnection unit is a purely passive assembly, so it only consists of one with a printed circuit board and plug connector d and cable guides 2 provided assembly. All signals of the peripheral bus of both control units are connected to one another and to the subsequent peripheral modules 10,... Via the peripheral bus 20. Furthermore, the redundancy signals SDE, SDA and AKT of both control units are connected to one another.
  • the RE-LI signal is only connected to low in the module's left slot. Both signals STK and RE-LI are drawn to operating voltage on the control units. After switching on, one of the two control units prepares for the active operation of the peripheral modules. In this case, the start-up prioritization of the left control unit, which was already described at the beginning, is made on the basis of the distinction with the aid of the signal RE-LI.
  • the other passive control unit cannot send in the direction of the periphery, since the corresponding driver is in a high-ohmic state.
  • the active and the passive control unit communicate with each other via the redundancy communication of a serial interface. This redundancy communication serves, on the one hand, for mutual function monitoring and, on the other hand, a mutual comparison of different data is carried out, which is used to prepare for a rapid switchover of the activity from one control unit to the other with regard to the peripheral bus.
  • the respective active control unit signals its active state by driving the AKT signal, i.e. setting the AKT signal to the same high level. Previously, AKT was queried, whereby it was found that it was switched to low, ie the
  • Opposite side is passive. Then the peripheral bus driver is activated and the operation of the peripheral modules begins. If a switchover criterion occurs, the upcoming switchover is organized via the redundancy communication, in which a clarification of the takeover capability is integrated in the form of the suitability for use symbol. Can the previously passive control unit take over the activity, will switch off the active control unit from the peripheral bus and also no longer drive the AKT signal. The edge change from AKT leads to an interrupt and shows the previously passive control unit the prerequisites for taking over the activity. After this in turn drives the AKT signal, with a previous request for passivity, the peripheral bus driver can also be activated and the peripheral control continues from the other control unit.
  • the active control unit notices a failure of the passive control unit based on the redundancy communication, there is no switchover. If the active control unit fails, there is a switchover, as described above. The defective control device can then be exchanged for a functional device without the automation device having to be switched off or stopped.
  • a special case is a conceivable failure of a control unit in which the failed control unit remains stuck in the state of active operation of the peripheral units, i. H. cannot withdraw from the activity due to the defect.
  • This case is mastered by a retriggerable watchdog then running and forcibly deactivating the peripheral bus driver and the ACT signal.
  • the edge change of the AKT signal acts as a ripcord from the point of view of the receiving module. This is referred to with the tear line function already described above. This can become active without having negotiated the change via redundancy communication. This aspect additionally increases the security or the operational security of the entire facility.

Abstract

Die Erfindung betrifft ein Verfahren sowie eine Einrichtung zur Prozessautomatisierung mit Steuergeräten (A, B) zurAnsteuerung von Peripheriegeräten über ein Bussystem gemäß Oberbegriff der Patentansprüche 1 und 14. Um bei einem Verfahren sowie einer Einrichtung der gattungsgemäßen Art eine schnelle Umschaltung vornehmen zu können und überdies auf die Vorsehung einer zusätzlichen Zusammenschalteinheit oder einer mit aktiven Bauelementen versehenen Zusammenschalteinheit verzichten zu können, ist erfindungsgemäß vorgeschlagen, dass eine Redundanzumschaltung in den Steuergeräten (A, B) selbst erfolgt, indem die redundanten Steuergeräte (A, B) hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.

Description

VERFAHREN UND VORRICHTUNG ZUR PROZESSAUTOMATISIERUNG MIT REDUNDANTEN STEUERGERÄTEN ZUR ANSTEUERUNG VON PERIPHERIEGERÄTEN ÜBER EIN BUSSYSTEM
Beschreibung
Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
Die Erfindung betrifft ein Verfahren und eine Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem gemäß Oberbegriff der Patentansprüche 1 und 14.
In Automatisierungsverfahren werden vorwiegend hierarchisch organisierte Systeme eingesetzt. Ausgehend von einer Zentralsteuerung werden einzelne Gerätegruppen angesteuert, die zu einem gesamten Verfahrensprozess gehören. So kann beispielsweise zur Lösung einer bestimmten technischen oder prozesstechnischen Aufgabe die Ansteuerung von Ventilen oder sonstigen Aktoren gehören. Diese einzelnen Aktoren sind über ein Bussystem ansteuerungsmäßig und informationstechnisch mitein- ander verbunden. Die einzelnen Aktoren und Sensoren sind dabei adressiert ansteuerbar.
Einer jeweiligen Prozessaufgabe zugeordnet können mehrere Peripheriegeräte sein, denen jeweils ein Steuergerät, eine so genannte KopfStation, hierarchisch direkt übergeordnet ist, über welche sie angesteuert werden. Den jeweiligen Kopfstationen wiederum sind übergeordnete Steuer- oder Prozesseinheiten vorgeschaltet .
Betrachtet man ein gesamtes Automatisierungssystem in diesem
Teilbereich, nämlich der ansteuerungsmäßigen Zuordnung von Peripheriegeräten an eine entsprechende Kopfstation, so ist es üblich, die Kopfstationen redundant auszulegen. Diese redundante Ausführung der Kopfstationen, wobei in der Regel zwei Kopfstationen sich redundant ersetzen können, greift über das Bussystem auf wechselweise nicht redundante Peripherieeinheiten zu. In diesem Fall bedient immer eine der beiden KopfStationen bzw. eines der beiden Steuergeräte aktiv die Peripherieeinheiten, während die andere Kopfstation oder das andere Steuergerät sich passiv verhält und auf eine Übernahme der Ansteuerung der Peripherieeinheiten wartet.
Die redundante Auslegung soll hierbei der Gefahr zuvorkommen, dass die jeweils aktive Kopfstation oder das aktive Steuergerät defekt sein könnte. Das redundante zweite Steuergerät soll in einem solchen Fall diese Steueraufgabe dann über- nehmen.
Tritt ein solches Umschaltkriterium ein, so wird die Aktivität der Bedienung der Peripherie von der bislang passiven KopfStation übernommen. Prozesstechnisch wird dabei ge- wünscht, dass der Aktivitätswechsel in einer sehr kurzen Zeit und stoßfrei erfolgen soll. Vor allem soll der oben genannte Fall sichergestellt werden, dass bei Ausfall einer Kopfstation oder eines Steuergerätes eine sichere Umschaltung erfolgt und die dann übernehmende Kopfstation sogleich die Aufgabe übernimmt, ohne durch die ausgefallene KopfStation behindert oder blockiert zu werden.
Im Stand der Technik ist es daher bekannt, dass die beiden Kopfstationen bzw. die beiden Steuergeräte auf einer so ge- nannten Zusammenschalteinheit angeordnet sind, die den Tausch zwischen aktivem und passivem Zustand zwischen den einzelnen Kopfstationen erkennt und schaltet. Nachteilig ist daher im Stand der Technik, dass die Zusammenschalteinheit die technische Koordination des Umschaltens zwischen den beiden Kopfstationen vornehmen muss. Dafür ist die Zusammenschalteinheit mit logischen Elementen versehen bzw. mit aktiven Bauelementen, die ggf. recht aufwendig sind. Dem Problem der Redundanzumschaltung will man durch relativ kurze Umschalt- zyklen begegnen.
Nebenbei bemerkt sei noch, dass die Kopfstation auch nicht redundant an die Peripherieeinheiten angeschlossen werden kann. Dabei entfällt die Zusammenschalteinheit gänzlich. Auf diese Weise ist das System auch nicht mehr redundant ausgelegt und der Ausfall der Kopfstation würde einen Ausfall auch der Funktion der Peripherieeinheiten bedeuten, da diese nicht mehr angesteuert würden.
Bisher war es so, dass die beiden Kopfstationen auf eine aktive Zusammenschalteinheit aufgesteckt sind, die zum einen die Korrespondenz der beiden Kopfstationen, nämlich der ak- tiven und der passiven, durchführt und zum anderen auch die Kommunikation zu den an das Bussystem angeschlossenen Peripherieeinheiten durchführt. In der Zusammenschalteinheit befindet sich in der Regel ein komplexer programmierbarer Logikschaltkreis, der von jeder Kopfstation aus über speziel- le Peripheriebuszugriffe erreichbar ist. Die Zusammenschalteinheit organisiert somit insgesamt die Anschaltung des Peripheriebusses an eine der beiden Kopfstationen bzw. an eines der beiden Steuergeräte. In der Regel werden über den Logikschaltkreis auch Daten von einer Kopfstation zur zweiten Kopfstation ausgetauscht. Bei Ausfall einer der beiden Kopfstationen kann der Logikschaltkreis selbstständig den Peripheriebus auf die andere KopfStation umschalten.
Die Einbeziehung einer solchen separaten Zusammenschalt- einheit führt dazu, dass im UmsehaltVorgang zwischen der ausgefallenen Kopfstation und der dafür einzuschaltenden Kopfstation eine Totzeit entsteht, in der der Prozess nicht ordnungsgemäß läuft. Solche Totzeiten sind von Nachteil und im Übrigen ist die Vorsehung einer solchen, mit aktiven Bau- elementen versehenen Zusammenschalteinheit technisch aufwendig .
Eine grundlegende Ausbildung der Redundanz bei Bussystemen ist aus der DE 37 13 825 AI bekannt. Das dort beschriebene Bussystem wird als hochverfügbar bezeichnet und aus diesem Grund doppelt ausgelegt . Bei Fehlererkennung auf einem der Bussysteme wird von einem auf das andere umgeschaltet . Hierbei wird jedoch das gesamte Bussystem redundant ausgelegt, was relativ aufwendig ist.
Ein weiteres System ist aus der WO 99/32947 bekannt. Dort werden eine Reihe von Prozesscontrollern verwendet, die von einer übergeordneten Einheit wahlweise beaufschlagt werden. Dabei handelt es sich um ein System nach der Art, wie eingangs beschrieben. Die Anordnung einer übergeordneten Steuereinheit, die wiederum im Redundanzfall die einzelnen Steuergeräte beaufschlagt, ist ähnlich aufgebaut wie eine mit aktiven Bauelementen bestückte Zusammenschalteinheit, die die einzelnen Steuereinheiten überwacht.
Redundanz spielt bei der Anforderung an solche Systeme eine wichtige Rolle, jedoch wird diese in bekannten Systemen zu aufwendig umgesetzt.
Der Erfindung liegt somit die Aufgabe zugrunde, bei einem Verfahren sowie einer Einrichtung der gattungsgemäßen Art eine schnelle Umschaltung vornehmen zu können. Darüber hinaus soll weitgehend auf eine zusätzliche Zusammenschalteinheit oder eine mit aktiven Bauelementen versehene Zusammenschalteinheit verzichtet werden.
Bei einem Verfahren der gattungsgemäßen Art wird die gestellte Aufgabe erfindungsgemäß durch die kennzeichnenden Merkmale des Patentanspruchs 1 gelöst .
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind in den abhängigen Ansprüchen 2 bis 11 angegeben.
Im Hinblick auf eine Einrichtung der gattungsgemäßen Art wird die gestellte Aufgabe erfindungsgemäß durch die kennzeichnen- den Merkmale des Patentanspruchs 12 gelöst. Weitere vorteilhafte Ausgestaltungen der erfindungsgemäßen Einrichtung sind in den übrigen abhängigen Patentansprüchen 13 bis 15 angegeben.
Eine weitere erfindungsgemäße Lösung der Aufgabe ist in den Ansprüchen 16 und 17 angegeben.
Das erfindungsgemäße Verfahren besteht nunmehr darin, dass eine Redundanzumsehaltung in den Steuergeräten selbst er- folgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
Alternativ dazu kann aber auch eine Umschaltung aktiv durch Bustreiber bewirkt werden, die beispielsweise auf der pas- siven Umschalteinheit abgelegt sein können.
Hierdurch wird erreicht, dass eine Zusammenschalteinheit mit aktiven Bauelementen überflüssig wird, indem nunmehr erfindungsgemäß in den Steuergeräten selbst ein Selbsttest über die jeweilige Funktionstauglichkeit des jeweils aktiven Steuergerätes selbst diagnostiziert werden kann. Für den Fall, dass eines der Steuergeräte, welches gerade aktiv ist, seine Funktionsuntauglichkeit oder eine eigene Fehlfunktion selbst diagnostiziert, wird dieses selbsttätig das redundante zweite Steuergerät aktivieren und sich selbst dabei vom
System selbsttätig deaktivieren. Hierzu wird nicht nur ein Aktivierungssignal an das zweite redundante, bisher passive Steuergerät gesendet, sondern auch ggf. vorhandene Prozess- daten werden dabei mit übermittelt.
In weiterer vorteilhafter Ausgestaltung ist daher vorgesehen, dass, wie oben bereits ausgeführt, beim Ausfall eines der Steuergeräte das sich selbst deaktivierende Steuergerät zuvor noch die Prozessdaten an das dann aktivierte redundante Steuergerät übermittelt. In weiterer vorteilhafter Ausgestaltung ist angegeben, dass die Steuergeräte selbsttätig zwischen dem Zustand, dass eine Zusammenschalteinheit vorhanden ist oder nicht, und zwischen redundantem und nicht redundantem System selbst unterscheiden können, durch ein entsprechendes Statussignal STK. Über diese verfahrensgemäße Maßnahme ist es möglich, dass nun ein Steuergerät durch die Tatsache, dass es auf eine passive Zusammenschalteinheit aufgesteckt wird oder nicht, selbst unterscheiden kann und zudem unterscheiden kann, ob ein zweites Steuergerät vorhanden ist, und dies über eine entsprechende Steckplatzbewertung bzw. ein Steckplatzbewertungs- signal STK vorgenommen wird, welches dann in entsprechender Weise entweder high oder low sein kann.
In weiterer vorteilhafter Ausgestaltung ist vorgesehen, dass so genannte Redundanzhilfssignale generiert werden bzw. generiert werden können, die das Vorhandensein von Redundanzgeräten selbsttätig erkennen und zwischen einem Steckplatz rechts und links durch ein entsprechendes jeweiliges Signal unterscheiden können. Auf diese Weise können sich die
Steuergeräte auf die jeweiligen Steckplätze appliziert selbst erkennen und können somit auch erkennen, welchen der beiden Steuergeräteplätze sie im System jeweils belegen. Ein entsprechendes Statussignal wird hierbei erzeugt.
In weiterer vorteilhafter Ausgestaltung ist angegeben, dass die beiden Steuergeräte über serielle Datensätze bzw. Ports SDE und SDA miteinander kommunizieren, wobei SDE serieller Dateneingang und SDA serieller Datenausgang meint. Diese Kommunikation ist eine Redundanzkommunikation. Bei einer synchronen Übertragung wird hierzu zusätzlich noch der Takt mit übertragen. Dabei erfolgt ein gegenseitiger Datenaustausch zwischen der aktiven und der passiven Kopfstation bzw. zwischen dem aktiven und dem passiven Steuergerät, was für Datengleichheit auf beiden Steuergeräten sorgt. Darüber hinausgehend kann hierbei anhand des Datenaustausches auch eine gegenseitige Lebens- oder Aktivitätsüberwachung stattfinden. Auch der oben beschriebene Umschaltvorgang zwischen den beiden Steuergeräten wird bei Erkennung eines Um- schaltkriteriums durch diese Datenübertragung initiiert. Dies bedeutet, dass die beiden Steuergeräte miteinander direkt kommunizieren und somit je nach selbst erkanntem Status verabreden können, welches der Steuergeräte nun aktiv ist, d. h. je nach vorliegenden Umschaltkriterien. Das jeweils andere Steuergerät schaltet sich dabei selbsttätig passiv. Auch dies braucht nicht mehr von einer im Stand der Technik ansonsten üblichen Zusammenschalteinheit vorgenommen werden, da die beiden Steuergeräte nunmehr direkt miteinander kommunizieren und auch dieses Statussignal miteinander austauschen.
In weiterer vorteilhafter Ausgestaltung ist ein weiteres Statussignal AKT eingeführt, welches den Umschaltvorgang und die dafür wichtigen Funktionen miteinander bezeichnet. Dieses Signal AKT wird über eine Verbindungsleitung zwischen den beiden Steuergeräten ausgetauscht und erfüllt dabei gleichzeitig mehrere Funktionen.
Dabei erfolgt
- eine gegenseitige Information der Steuergeräte über den jeweils aktiven Zustand bezüglich des Peripheriebusses,
- eine Vermeidung der gleichzeitigen Aktivierung beider Steuergeräte, indem jeweils eines deaktiviert bzw. passiv geschaltet wird,
- und die so genannte Reißleinenfunktion bei Spannungsausfall oder Defekt der aktiven Baugruppe.
Der Zustand des Signals kann von jeder Kopfstation, d. h. von jedem Steuergerät, aus auf high oder low geschaltet werden. Dabei kann jedoch auch jedes Steuergerät den Zustand des Signals zurücklesen. Von dem jeweils aktiven Steuergerät wird AKT auf high gestellt. Vor einem Wechsel auf high fragt das aktiv werdende Steuergerät das AKT-Signal ab. Dabei ist ein Wechsel auf den Zustand high nur dann möglich, wenn zuvor der Zustand low zurückgelesen wurde, d. h. wenn die Gegenseite nicht durch AKT = high ihre Aktivität anzeigt.
Somit ist ein Wechsel der Aktivität von einem Steuergerät zum anderen erst dann möglich, wenn das passiv werdende Steuer- gerät durch AKT = low seinen Rückzug von der Busaktivität anzeigt. Bei einem Wechsel des Signals AKT wird auf jeder Kopfstation, d. h. in jedem Steuergerät, ein Interrupt ausgelöst. Hierdurch wiederum wird dem jeweils anderen Steuergerät ein Wechsel angezeigt. Aufgrund der Ausführung der Treiberstufe des AKT-Signals wird dieses mit einem Spannungsausfall auf AKT = low geschaltet. Auch in diesem Fall wird ein Umschaltvorgang eingeleitet, wie er bereits oben beschrieben ist.
Gleichzeitig ergibt sich damit noch eine Sicherheit, nämlich dass mit dem AKT-Signal noch eine solche Sicherheitsfunktion verknüpft wird, um sicherzustellen, dass bei einem Ausfall eines Steuergerätes der Peripheriebus und das AKT-Signal nicht blockiert werden. Dabei ist ein Timer-Kanal vorgesehen, der im fehlerfreien Betrieb per Software immer wieder zurückgestellt wird, also im Normalfall nicht abläuft. Nur bei einem Software- oder einem Hardware-Fehler kommt es zum Ablauf des so genannten Signales auf dem Timer-Kanal. Damit wird dann der Peripheriebus zwangsweise freigegeben und auch das AKT-Signal auf low geschaltet. Aufgrund dieser indirekten so genannten Reißleinenfunktion ist das bislang passive Steuergerät in der Lage, die Aktivität zu übernehmen und sich auf das Bussystem zu schalten.
Eine Zusammenschalteinheit kann als solche noch vorhanden sein, jedoch, wie oben bereits beschrieben, bedarf es keiner aktiven Bauelemente mehr. Die Zusammenschalteinheit kann so- mit nur noch aus passiven Bauelementen bestehen, die ggf. nur Datenleitungen enthalten und die entsprechenden Stecksockel für die Steuergeräte.
In weiterer vorteilhafter Ausgestaltung ist daher ein Statussignal zur Unterscheidung zwischen der Belegung des rechten oder des linken Steckplatzes angegeben. Diese Information ist für eine Priorisierung eines Steuergerätes beim Einschalten der Automatisierungsstation erforderlich. Das Signal wird auf dem Steuergerät auf high gezogen. Auf einem der beiden Steckplätze wird das Signal fest auf low geschaltet. D. h. , es ergibt sich ein Anfangszustand in der Aktivierung der Steuergeräte .
Eine besonders vorteilhafte Betriebsweise des erfindungsgemäßen Verfahrens, aber auch der noch nachfolgend beschriebenen erfindungsgemäßen Einrichtung ist die Zusammenwirkung aller genannten Statussignale in Verbindung mit der Tatsache, dass die Zusammenschalteinheit nur noch aus passiven Elemen- ten besteht und die Redundanzüberwachung und Umschaltung samt aller zu treffenden Maßnahmen und aller zu übermittelnden Daten logisch in den Steuergeräten funktional selbst implementiert ist. Die Gesamtheit aller genannten Signale werden somit als Redundanzhilfssignale bezeichnet, wobei dem zuletzt beschriebenen AKT-Signal eine besondere Bedeutung zukommt.
Die erfindungsgemäße Einrichtung besteht nun im Kern darin, dass die beiden redundant ausgelegten Steuergeräte jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implementiert erhalten. Die Zusammenschalteinheit besteht somit nur noch aus Datenverbindungsleitungen sowie ggf. Sockelanschlüssen zur Aufnahme der jeweiligen Steuergeräte. Sämtliche, im Stand der Technik ansonsten vorgesehenen aktiven logischen Bauelemente bedarf die erfindungs- gemäße Einrichtung in ihrer Zusammenschalteinheit nicht mehr. Hierbei können alle Funktionen vorgesehen werden, wie sie im Verfahren oben bereits beschrieben sind. Auch hierbei besteht eine Alternative darin, dass die Umschaltung durch im Bussystem implementierte Bustreiber erfolgen kann.
Dabei enthält in jeweils weiterer vorteilhafter Ausgestaltung die erfindungsgemäße Einrichtung in den Steuergeräten aktive Bauelemente zur Generierung der oben genannten Redundanz- hilfssignale im Einzelnen. Darüber hinaus wird über entsprechende Bauelemente auch das Erkennen, welches der jeweiligen Steuergeräte nunmehr aktiv ist, selbsttätig möglich und auf diese Weise korrespondieren die beiden Steuergeräte automatisch miteinander und das funktionstaugliche Steuergerät, welches als erstes initiiert war, bleibt am Netz und schaltet das redundante Steuergerät solange deaktiv. Für den Fall, dass das aktive Steuergerät ausfällt, wird der oben bereits beschriebene Vorgang eingeleitet und es erfolgt eine Umschaltung auf das redundante zweite Steuergerät, wobei das fehlerhafte Steuergerät sich selbst deaktiviert und zuvor noch sämtliche ggf. für den Steuerprozess notwendigen Daten, die in dem zuvor aktiven Steuergerät eingelesen waren, dem jetzt neu aktivierten Steuergerät übersendet. Dieses kann sodann ohne weitere Totzeit die Funktion übernehmen und das dann zukünftig deaktive Steuergerät deaktiviert sich selbst und die Statussignale von aktiv und passiv tauschen dann von einem Steuergerät zum anderen.
Nach dem erfindungsgemäßen Verfahren ist vorzugsweise vorgesehen, dass das fehlerhafte Steuergerät vor seiner automatischen Deaktivierung noch mit dem nicht fehlerhaften Steuergerät zur Umschaltabstimmung kommuniziert.
Die Erfindung ist in der Zeichnung dargestellt und nachfolgend näher beschrieben.
Es zeigt:
Figur 1: Automatisierungsgerät mit redundanten Steuergeräten. Figur 2: Redundanzhilfssignale und passive Zusammenschalteinheit .
Figur 1 zeigt eine Ausführung mit zwei Steuergeräten, die hierbei die Redundanz des Systemes darstellen. Die beiden Steuergeräte A und B sind dabei auf einer Zusammenschalteinheit aufgesteckt, welche lediglich passive Bauelemente enthält. Die besagte Zusammenschalteinheit 1 verfügt nur noch über entsprechende Steckkontakte und entsprechende Kabel - führungen 2 zur Zusammenschaltung der beiden Steuergeräte sowie zur Ankopplung an das dargestellte Bussystem zu den einzelnen Peripherieeinheiten.
Hierbei ist dargestellt, dass eines der beiden Steuergeräte aktiv geschaltet und das andere Steuergerät passiv geschaltet ist. Die Aktivierung eines der beiden Steuergeräte und die Deaktivierung des jeweils anderen wird innerhalb der Steuergeräte vorgenommen und nicht mehr in der Zusammenschalteinheit. Busseitig sind die Steuergeräte dann mit einer Mehr- zahl von einzelnen Peripheriegeräten 10, 11, ... verbunden.
Figur 2 zeigt ein Ausführungsbeispiel der Erfindung, bei dem zwei Steuergeräte A, B in entsprechender Darstellung gezeigt sind, wobei eines der Steuergeräte aktiv und das andere pas- siv ist. Es handelt sich damit um ein redundantes so genanntes Profibus-Steuergerät zur Anschaltung an einen gemeinsamen Peripheriebus. Jedem Steuergerät A und B ist profibusseitig ein Master zugeordnet. Damit sind die Master, die Übertragungsleitung sowie die Steuergeräte, die so genannten Slaves, redundant ausgeführt.
Im nachfolgenden und in diesem hier gezeigten Beispiel spielt die profibusseitige Redundanz keine Rolle und braucht daher auch nicht mehr betrachtet werden. Beide Steuergeräte sind auf die Zusammenschalteinheit 1 gesteckt. Es handelt sich bei der Zusammenschalteinheit um eine rein passive Baugruppe, besteht also nur aus einer mit Leiterplatte sowie Steckverbin- d ngen und Kabelführungen 2 versehenen Baugruppe. Alle Signale des Peripheriebusses beider Steuergeräte sind miteinander und mit den nachfolgenden Peripheriebaugruppen 10, ... über den Peripheriebus 20 verbunden. Weiterhin sind die Redundanzsignale SDE, SDA und AKT beider Steuergeräte miteinander verbunden.
Das Signal RE-LI ist nur auf dem linken Steckplatz der Baugruppe mit low verbunden. Beide Signale STK und RE-LI werden auf den Steuergeräten auf Betriebsspannung gezogen. Nach dem Einschalten bereitet eines der beiden Steuergeräte die aktive Bedienung der Peripheriebaugruppen vor. Hierbei wird die eingangs bereits beschriebene Anlaufpriorisierung des linken Steuergerätes aufgrund der Unterscheidung mit Hilfe des Signals RE-LI getroffen.
Das andere passive Steuergerät kann nicht in Richtung Peripherie senden, da sich der entsprechende Treiber im hoch- ohmigen Zustand befindet. Das aktive und das passive Steuer- gerät kommunizieren über die Redundanzkommunikation einer seriellen Schnittstelle miteinander. Diese besagte Redundanzkommunikation dient zum einen der gegenseitigen Funktionsüberwachung und zum anderen wird ein gegenseitiger Abgleich verschiedener Daten vorgenommen, welcher der Vorbereitung einer schnellen Umschaltung der Aktivität von einem Steuergerät zum anderen bezüglich des Peripheriebusses dient. Das jeweils aktive Steuergerät signalisiert seinen aktiven Zustand, indem es das AKT-Signal treibt, also das AKT-Signal gleich high setzt. Zuvor wurde AKT abgefragt, wobei fest- gestellt wurde, dass es auf low geschaltet ist, also die
Gegenseite passiv ist. Danach wird der Peripheriebustreiber aktiviert und die Bedienung der Peripheriebaugruppen beginnt. Wenn es zum Auftreten eines Umschaltkriteriums kommt, wird die bevorstehende Umschaltung über die Redundanzkommunikation organisiert, in die eine Abklärung der Übernahmefähigkeit in Form des Funktionstauglichkeitszeichens eingebunden ist. Kann das bisher passive Steuergerät die Aktivität übernehmen, wird sich das aktive Steuergerät vom Peripheriebus abschalten und auch das AKT-Signal nicht mehr treiben. Der Flankenwechsel von AKT führt zum Interrupt und zeigt dem bisher passiven Steuergerät die Voraussetzung für eine Übernahme der Aktivi- tat an. Nachdem diese nun ihrerseits das AKT-Signal treibt, bei zuvoriger Abfrage auf Passivität, kann auch der Peripheriebustreiber aktiviert werden und die Bedienung der Peripherie wird von dem anderen Steuergerät aus fortgesetzt.
Bemerkt das aktive Steuergerät anhand der Redundanzkommunikation einen Ausfall des passiven Steuergerätes, bleibt ein Umschalten aus. Beim Ausfall des aktiven Steuergerätes erfolgt eine Umschaltung, wie oben beschrieben. Danach kann das defekte Steuergerät gegen ein funktionsfähiges Gerät aus- getauscht werden, ohne dass das Automatisierungsgerät abgeschaltet oder angehalten werden muss.
Ein Sonderfall stellt ein denkbarer Ausfall eines Steuergerätes dar, bei dem das ausgefallene Steuergerät im Zustand der aktiven Bedienung der Peripherieeinheiten stecken bleibt, d. h. sich von der Aktivität aufgrund des Defektes nicht mehr zurückziehen kann. Dieser Fall wird beherrscht, indem dann ein nachtriggerbarer so genannter Watchdog abläuft und den Peripheriebustreiber und das AKT-Signal zwangsweise ent- aktiviert. In diesem Fall wirkt der Flankenwechsel des AKT- Signals aus der Sicht der übernehmenden Baugruppe als Reißleine. Dies ist mit der oben bereits beschriebenen Reißleinenfunktion bezeichnet. Diese kann aktiv werden, ohne den Wechsel per Redundanzkommunikation ausgehandelt zu haben. Dieser Aspekt erhöht die Sicherheit bzw. die Betriebssicherheit der gesamten Einrichtung zusätzlich.
Um hierbei Anlagen ggf. nachrüsten zu können oder beliebige Konfigurationen gestalten zu können, ist außerdem ein Soft- areprogrammprodukt angegeben, welches die beschriebenen Funktionen des erfindungsgemäßen Verfahrens auf die erfindungsgemäße Einrichtung leicht übertragbar macht . Hierdurch können funktioneile Anpassungen an geforderte technische Besonderheiten des Bussystems und an die jeweilige Peripherie ermöglicht werden.
Wichtig und erheblich vorteilhaft ist dabei auch die angegebene Möglichkeit, die beschriebene Funktion auf einem Datenträger softwaremäßig unterzubringen und in das System einspeisen zu können.
Die erfindungsgemäßen Funktionen können dann auf diesem Wege in das System implementiert werden.

Claims

Patentansprüche
1. Verfahren zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung in den Steuergeräten selbst erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
2. Verfahren zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung direkt über das Bussystem erfolgt, indem die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass eine Redundanzumschaltung direkt über Bustreiber erfolgt.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Selbsttest eines Steuergerätes und bei Feststellung einer Fehlfunktion das fehlerhafte Steuergerät das redundante Steuergerät auto- matisch aktiviert und das fehlerhafte Steuergerät sich anschließend selbsttätig deaktiviert.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das fehlerhafte Steuer- gerät vor seiner automatischen Deaktivierung noch mit dem nicht fehlerhaften Steuergerät zur Umschaltabstimmung kommuniziert .
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuergeräte selbsttätig zwischen dem Zustand, dass eine Zusammenschalteinheit vorhanden ist oder nicht, unterscheiden können.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Steuergeräte bzw. die Bustreiber zwischen einem redundant und einem nicht redundant ausgeführten System selbsttätig unterscheiden können, durch ein entsprechendes Redundanzhilfssignal.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem redundant ausgelegten System die Steuergeräte über serielle Datensätze derart miteinander kommunizieren, dass Datengleichheit in beiden Steuergeräten besteht .
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass über den besagten Datenaustausch von einem Steuergerät zum anderen eine gegenseitige Fehler- bzw. Aktivitätsüberwachung erfolgt .
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zur Aktivitätsumschaltung ein Signal AKT generiert wird, welches eine gegenseitige Information der Steuergeräte über den jeweils aktiven Zustand bezüglich des Peripheriebusses gibt und die gleichzeitige Aktivierung beider Steuergeräte vermeidet, indem jeweils eines deaktiviert ist, während das andere aktiviert ist.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Aktivitätswechsel in den beiden Steuergeräten ein Interrupt erzeugt wird und dass bei Vorliegen eines Umschaltkriteriums das sich deaktivierende Steuergerät ein Signal AKT = low erzeugt.
12. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Timer-Kanal vorgesehen ist, der im Normalbetriebsfall immer wieder zurück- gestellt wird und im Fehlerfall abläuft und so den Peripheriebus zwangsweise freigibt und das Signal AKT = low generiert .
13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem redundanten System ein Statussignal in den Steuergeräten generiert wird, welches anzeigt, welche Steckposition das jeweilige Steuer- gerät im System hat .
14. Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung in den Steuergeräten (A, B) selbst erfolgt und die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren, indem die beiden redundant ausgelegten Steuergeräte (A, B) jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implemen- tiert erhalten.
15. Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem, dadurch gekennzeichnet, dass eine Redundanzumschaltung durch Bustreiber selbst erfolgt und die redundanten Steuergeräte hinsichtlich ihrer Selbsttestbewertung direkt miteinander kommunizieren, indem die beiden redundant ausgelegten Steuergeräte (A, B) jeweils aktive Bauelemente zur Redundanzhilfssignalerzeugung und -erkennung implementiert erhalten.
16. Einrichtung nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass eine Zusammenschalteinheit (1) vorgesehen ist, auf welche die Steuergeräte (A, B) aufsteckbar sind und welche lediglich nur noch passive Bauelemente, wie Steckkontakte und Kabelführungen (2), enthält.
17. Einrichtung nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass eine Zusammenschalteinheit (1) vorgesehen ist, auf welche die Steuergeräte (A, B) aufsteckbar sind und in welcher Bustreiber implementiert sind.
18. Einrichtung nach Anspruch 14 oder 16, dadurch gekennzeichnet, dass jedes der Steuergeräte (A, B) über einen seriellen Dateneingang (SDE) und einen seriellen Datenausgang (SDA) verfügt, über welche dieselben direkt miteinander korrespondieren.
19. Einrichtung nach einem der vorhergehenden Ansprüche 14 bis 18, dadurch gekennzeichnet, dass in jedem Steuergerät (A, B) Mittel (STK, RE-LI) zur Selbsterkennung des jeweiligen Steckplatzes auf der Zusammenschalteinheit (1) vorhanden sind.
20. Softwareprogrammprodukt für den Betrieb einer Prozesssteuerung über ein Bussystem, bei welchem eine Redundanz- umschaltung nach einem Verfahren nach einem der Ansprüche 1 bis 13 und mit einer Einrichtung nach einem der Ansprüche 14 bis 19 implementiert wird und der Selbstbewertungstest der Steuergeräte und ihre gegenseitige Redundanzsignalerzeugung softwaremäßig implementierbar ist.
21. Softwareprogrammprodukt nach Anspruch 20, dadurch gekennzeichnet, dass die besagte Funktion bzw. die besagten Funktionen in die Einrichtung durch Übertragbarkeit der als Programm umgesetzten Funktion bzw. Funktionen über das Bussystem implementierbar ist/sind.
PCT/DE2003/003365 2002-10-11 2003-10-10 Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem WO2004036324A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE2002147520 DE10247520A1 (de) 2002-10-11 2002-10-11 Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
DE10247520.2 2002-10-11

Publications (1)

Publication Number Publication Date
WO2004036324A1 true WO2004036324A1 (de) 2004-04-29

Family

ID=32038538

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2003/003365 WO2004036324A1 (de) 2002-10-11 2003-10-10 Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem

Country Status (2)

Country Link
DE (1) DE10247520A1 (de)
WO (1) WO2004036324A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7289861B2 (en) * 2003-01-28 2007-10-30 Fisher-Rosemount Systems, Inc. Process control system with an embedded safety system
US7865251B2 (en) 2003-01-28 2011-01-04 Fisher-Rosemount Systems, Inc. Method for intercontroller communications in a safety instrumented system or a process control system
DE102005038183A1 (de) * 2005-08-12 2007-02-15 Daimlerchrysler Ag Verfahren zum Betreiben eines Netzwerks
KR101702935B1 (ko) * 2014-12-29 2017-02-06 주식회사 효성 이중화 제어기의 운전방법
US11424865B2 (en) 2020-12-10 2022-08-23 Fisher-Rosemount Systems, Inc. Variable-level integrity checks for communications in process control environments

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797884A (en) * 1986-09-29 1989-01-10 Texas Instruments Incorporated Redundant device control unit
US5148433A (en) * 1989-03-13 1992-09-15 Square D Company Transfer network interface
EP0518630A2 (de) * 1991-06-12 1992-12-16 Aeci Limited Redundante Prozessregelung
DE4317729A1 (de) * 1992-06-11 1993-12-16 Allen Bradley Co Programmierbare Steuereinheit

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4797884A (en) * 1986-09-29 1989-01-10 Texas Instruments Incorporated Redundant device control unit
US5148433A (en) * 1989-03-13 1992-09-15 Square D Company Transfer network interface
EP0518630A2 (de) * 1991-06-12 1992-12-16 Aeci Limited Redundante Prozessregelung
DE4317729A1 (de) * 1992-06-11 1993-12-16 Allen Bradley Co Programmierbare Steuereinheit

Also Published As

Publication number Publication date
DE10247520A1 (de) 2004-04-22

Similar Documents

Publication Publication Date Title
DE10030329C1 (de) Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE10353950C5 (de) Steuerungssystem
EP3827643B1 (de) Segmentierte steuerungsanordnung
DE19742716A1 (de) Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
EP1699203B1 (de) Modulares numerisches steuergerät
DE19744071B4 (de) Eine programmierbare Logiksteuervorrichtung verwendendes Steuerungssystem
DE102016000126B4 (de) Serielles Bussystem mit Koppelmodulen
DE102017109886A1 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität
DE102005055428A1 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP0782722B1 (de) Verfahren und vorrichtung zur steuerung und aktivierung von miteinander mittels eines bussystems vernetzten sensoren und/oder aktuatoren
DE102009050449B3 (de) Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
DE19842593C2 (de) Verfahren zum Betrieb eines Busmasters an einem Feldbus
EP0350016B1 (de) Verfahren und Einrichtung zum Duplizieren des Inhalts von Datenträgern
WO2004036324A1 (de) Verfahren und vorrichtung zur prozessautomatisierung mit redundanten steuergeräten zur ansteuerung von peripheriegeräten über ein bussystem
DE19913279B4 (de) Steuerungseinrichtung mit Überwachungseinheit zur Fehlererkennung und Fehlerunterdrückung
EP2418580B1 (de) Verfahren zum Betreiben eines Netzwerkes und Netzwerk
DE102019004530B4 (de) Effiziente Leitungstreibervorrichtung zur Datenflusskontrolle
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
WO2011113405A1 (de) Steuergeräteanordnung
EP0299375B1 (de) Verfahren zum Zuschalten eines Rechners in einem Mehrrechnersystem
EP2767877A1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT RO SE SI SK TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase