WO2009036891A1 - Verfahren zur sicheren datenübertragung und gerät - Google Patents

Verfahren zur sicheren datenübertragung und gerät Download PDF

Info

Publication number
WO2009036891A1
WO2009036891A1 PCT/EP2008/007226 EP2008007226W WO2009036891A1 WO 2009036891 A1 WO2009036891 A1 WO 2009036891A1 EP 2008007226 W EP2008007226 W EP 2008007226W WO 2009036891 A1 WO2009036891 A1 WO 2009036891A1
Authority
WO
WIPO (PCT)
Prior art keywords
bus
address
slave
data
slaves
Prior art date
Application number
PCT/EP2008/007226
Other languages
English (en)
French (fr)
Inventor
Raphael Dunker
Original Assignee
Sew-Eurodrive Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sew-Eurodrive Gmbh & Co. Kg filed Critical Sew-Eurodrive Gmbh & Co. Kg
Priority to EP08801833A priority Critical patent/EP2203821B1/de
Priority to AT08801833T priority patent/ATE500549T1/de
Priority to DE502008002772T priority patent/DE502008002772D1/de
Publication of WO2009036891A1 publication Critical patent/WO2009036891A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1633Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40169Flexible bus arrangements
    • H04L12/40176Flexible bus arrangements involving redundancy
    • H04L12/40195Flexible bus arrangements involving redundancy by using a plurality of nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1443Transmit or communication errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1616Error detection by comparing the output signals of redundant hardware where the redundant component is an I/O device or an adapter therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/627Controller area network [CAN] identifiers

Definitions

  • the invention relates to a method for secure data transmission and a device, in particular a field device or a frequency converter.
  • a tunable architecture for a device adapter in which an automated system for producing a logical representation of an adapter for the connection of a device to a bus is provided, wherein a configurable macro a plurality of different kinds of logical representations of the adapter supplies.
  • AS-Interface as a bit-oriented fieldbus on the lowest level of the automation pyramid is known from: the publication R. Becker (ed.): AS-Interface, the solution in automation, Gelnhausen (2002): ASIntemational Association, especially chapter 3.2 , the Internet reference work de.wikipedia.org,
  • BESTATIGUNGSKOPIE In addition, modern field devices can often collect diagnostics and service information that helps to quickly resolve problems in the event of a malfunction. This includes electronically transmitted data not only about the product, such as manufacturer, type designation, production date, firmware status, but also about the operation, such as operating hours, number of start / stop operations, overload conditions and the like, but also additional data for Ensuring safety-related requirements.
  • Other field devices such as for operator control and observation, have e.g. a simple display on which measured data is output and a keypad, via which commands can be input to the controller.
  • a simple display on which measured data is output and a keypad, via which commands can be input to the controller.
  • a keypad via which commands can be input to the controller.
  • different byte-oriented and bit-oriented functions are logically associated with each other, with the former being used for display and last for the keys.
  • version 3.0 of the specification specifies slave profiles that have both bit-oriented and byte-oriented data exchange mechanisms, see for example the cited publication AS-Interface, the solution in automation.
  • S-7.A.5 This profile uses 2 bits each for serial data exchange, leaving only 1 or 2 bits for fast bit-oriented data exchange. This in turn is for many applications - e.g. in drive technology - too little.
  • the invention has for its object to further develop the data exchange in a bus system in a simple and low-error manner.
  • the object is achieved in the method for secure data transmission according to the features defined in claim 1 and in the device according to the features specified in claim 14.
  • the Ver fallen invention is advantageously used in a device provided as a bus device, which is connected by means of a connection to a bus, in particular with an electrical cable, a busbar or an antenna with air, wherein means are provided for providing two or more bus subscribers and means for associating the data flowing in through the port and / or exchanged data with the two or more bus subscribers.
  • bus subscribers provided devices are also referred to as field devices.
  • the bus subscriber is preferably designed to participate in various, consecutive bus cycles or to communicate via different, separate communication channels. It is advantageous here that two or more bus users can be connected to a bus via one connection, which simplifies the wiring.
  • a field device contains a group of slaves and thus can exchange different data types or different copies of each data or information unit with a master via different data exchange mechanisms.
  • An advantageous embodiment of the device connected to a bus can provide that this realizes a logical slave, in particular bus subscriber, in a first mode, and realizes at least two logical slaves, in particular bus users, in a second mode.
  • a logical slave in particular bus subscriber
  • realizes at least two logical slaves in particular bus users
  • an easily manageable mode can thus be selected, for example, for initialization of the device or integration into the fieldbus system, while a complex mode with multiple bus users can be selected for a complex data exchange.
  • the bus is a fieldbus, in particular CAN, CAN-Open, DeviceNet, Profibus, INTERBUS, AS-interface, Ethernet, wireless LAN, EIB 1 LCN.
  • CAN CAN-Open
  • DeviceNet Profibus
  • INTERBUS INTERBUS
  • AS-interface Ethernet
  • wireless LAN EIB 1 LCN.
  • the advantage here is that the bus subscriber can be connected to a standardized bus.
  • the device according to the invention can be used modularly in commercially available systems, in particular in systems with decentralized technology.
  • the invention can be used particularly advantageously in bus systems which comprise at least one master and a plurality of slaves, wherein the master assigns addresses to the slaves.
  • the first mode is on
  • the second mode is an extended addressing mode.
  • an address can be assigned, which can be used in the second mode for a plurality of bus subscribers or logical slaves because in the extended addressing mode with an address in the Different cycles different slaves are addressed.
  • the device comprises a switching logic which, in the event of a change from a standard address, in particular from a delivery address or address "0", to a different address value, moves the device from the first to the second mode
  • a switching logic which, in the event of a change from a standard address, in particular from a delivery address or address "0", to a different address value, moves the device from the first to the second mode
  • This document generally refers to an address with which the bus subscriber is equipped in the delivery state, ie before use in the bus system. "0" is often used for this purpose, for which reason this term will be used hereinafter for the sake of simplicity.
  • other addresses than standard addresses are usable. The only important thing is that the standard address of a master as such by the conventions of the protocol is recognizable and the detection of a standard address triggers the execution of an addressing method.
  • the advantage here is that by standard operations on the bus a change of modes can be effected. Thus, an extension of the amount of commands and commands conveyed over
  • the device operates when assigning the address "0" in the first mode and assigning an address other than "0" in the second mode.
  • the advantage here is that an already necessary process, namely the address assignment to a device newly connected to the bus by address "0", can be used for switching to the more complex mode, so that address assignment can be carried out in a simple method. It is particularly advantageous when selecting the address "0" as a function-distinguishing feature that AS-interface slaves occupy this address upon delivery.
  • the device according to the invention when integrated into an AS interface network until addressing the master as a standard slave.
  • the second mode is immediately provided, which is provided for the main operation of the field device.
  • the assigned address can advantageously be used in the second mode in the extended addressing mode, as described, for example, in DE 102 06 657 A1. It is thus only an address assignment for a plurality of slaves or bus participants needed. It is therefore advantageous to avoid double addressing.
  • the at least two logical slaves have different profiles from each other.
  • the realized slaves can be used for different data transmission mechanisms. For example, bit-oriented functions can be transferred to a slave and byte-oriented functions can be transmitted to another slave.
  • the advantage here is that two or more bus participants and / or logical slaves can be realized.
  • the device comprises a slave IC and the computer connected thereto, in particular microprocessor with memory, wherein the slave IC can be used in the transparent mode.
  • the slave IC can be used in the transparent mode.
  • the bus subscriber is designed as an AS-interface slave or other fieldbus slave.
  • the advantage here is that standardized bus systems can be used, in particular when using an AS-interface bus.
  • the method according to the invention can advantageously be combined with a method for addressing a device provided as a bus subscriber, in which two logical slaves are included, wherein -
  • the device is provided prior to addressing with a standard address, in particular address "0", and is operated in a first mode, in particular standard addressing mode, the device is assigned a different address, - and then implemented the device after address assignment at least two logical slaves ,
  • the advantage here is that the addressing of such a device can be carried out with any addressing device already on the market. It is furthermore advantageous that the address "0" represents the standard address on delivery or new registration in the bus system of a bus subscriber and entails an address assignment by a master as standard.Particularly, the master or alternatively the user of such a device only needs one addressing operation for the at least perform two logical slaves.
  • the slaves are addressed in the extended addressing mode with the assigned address alternately in successive cycles as A-address or B-address. It is advantageous that in the slave in the standard addressing mode, the same address space is assignable as in the at least two logical slaves, for example in the extended addressing mode. The address process is thus advantageously feasible without the risk of double addressing exists.
  • the method according to the invention can advantageously be implemented with an inverter in which a device is integrated for connection to a bus.
  • the advantage here is that in the converter means for communication with a bus system are providable.
  • the inverter is advantageously used in systems with decentralized technology.
  • the microprocessor of the device for connection to a bus in the control of the inverter, in particular in the control of the power electronics of the inverter, integrated.
  • the advantage here is that the already existing in the control of the inverter computing capacity is available for the realization of the logical slaves. This advantageously causes a compact design with few components.
  • connection means for the connection of actuators and / or sensors and / or a bus for example, MOVILINK ® , and / or switching outputs, wherein these connection means and / or switching outputs can be controlled or read by the bus.
  • MOVILINK ® MOVILINK ®
  • connection means and / or switching outputs can be controlled or read by the bus.
  • Standardadressiermodus is operated and realized a logical slave, the device is assigned a different address, and then realized the device after address assignment at least two logical slaves, which realized in the device after addressing at least two logical slaves for redundant, in particular safety-related, data communication with be used on the bus.
  • data can be safely via a disturbed communication channel outside, for example, a power line and / or a channel with interposed inductive or capacitive coupling element, use without a costly redesign is required.
  • the at least two logical slaves implemented in the slave exchange data via one communication channel in each case, with data being transmitted redundantly, ie, in each communication channel, the data having an identical information content.
  • the communication channels can be operated in parallel or in succession.
  • At least one of the at least two logical slaves is a safety-related subscriber.
  • safety-related features are as in Dietmar Reinert; Michael Schaefer (ed.): Safe bus systems for automation, Heidelberg: Bachig, 2001, described realized.
  • the safety-related subscriber submits to the transmission of his user data, which for example also include the address, this user data in a security layer security procedures for authentication and / or generation of security codes such as CRC.
  • additional, safety-relevant data are appended to the payload and the data thus packed is transferred to non-safety-related transport layers, in particular the hardware of the bus system.
  • a code generator in a safety-related slave through which, for example, a dynamized "free" signal is generated, can be provided to reduce the transmission error rate that each logical slave is connected to a separate code generator and / or that for each logical slave after a coded separate code table.
  • a bus system is operated with at least two cycles, wherein the bus participants are designed as devices according to the invention with two or more logical slaves and information is sent in a first cycle, which are repeated in the following second cycle.
  • Each logical slave thus represents the receiving or transmitting station of a communication channel, wherein the communication channels are activated and used sequentially or in parallel according to the sequence of cycles.
  • the logical slaves may be designed to reduce transmission errors due to repetitions of out-of-date messages at the wrong time, message loss, erroneous insertion of messages, change in the sequence of messages, delay of messages, and / or corrupt messages are formed.
  • both slaves send the same information, so that if there is no match, a transmission error or a coding error can be detected.
  • At least one slave is used to transmit a time expectancy, which characterizes the validity period of a message of the other slave.
  • a time expectancy which characterizes the validity period of a message of the other slave.
  • a slave In order to reduce transmission errors, provision can be made for a slave to be set up to send a response about the receipt and / or content of the message to the master. For example, the data sent by the master may be repeated to allow it to verify the correct reception.
  • Transmission of a message identifier is set up, with which the transmitter, so the other logical slave, is authenticated.
  • the advantage here is that at the master insertion of messages by unauthorized transmitters or by sturgeon couplings is recognizable.
  • the two-channel, redundant bus communication in the alternating cycles can also be used to cross-compare the sent and received messages between slave and master and thus to check for transmission errors. If a deviation is detected, there must be an error in the transmission, the receiver unit and / or the transmitter unit.
  • the advantage here is that erroneous repetition, loss, incorrect insertion, incorrect sequence and falsification of user data is recognizable.
  • each bus subscriber compares its information received in the first cycle with the information received in the second cycle.
  • a bus system is operated with at least two cycles and test data are transmitted in one cycle of user data and test data in the respective preceding or following cycle. It is advantageous here that the data transmitted in one cycle, in particular by a logical slave, can be verified in the following cycle or by data from the preceding cycle, whereby not only the information content but also other error sources can be monitored. For example, a repetition, a loss, an insertion, even by unauthorized or defective third parties, and a wrong sequence can be recognized on the basis of a serial number of the user data. By a timestamp for the transmission time of the user data, however, a repetition, a wrong sequence and a delay are recognizable.
  • a time expectancy for the duration of the validity of the payload data can be used to detect delays in transmission.
  • An acknowledgment of receipt with the repetition of a previously received message, in particular of the master enables the detection of insertions, losses or message falsifications and prevents the coupling of safety-related messages with non-safety-related messages.
  • An identifier of the transmitter and / or the receiver prevents insertions and the coupling of safety-related messages with non-safety-related messages, for example with messages issued by other slaves in the bus without a safety-related configuration.
  • the bus user, a bus master and / or a safety monitor performs an error routine if the information being compared does not match and / or if a transmission error is detected on the basis of the test data becomes.
  • an error routine is, for example, a feedback to a bus master, whereupon the relevant information is sent again.
  • a fault routine is also, for example, the transition to a safe mode, such as the transfer of the safe stop command to a motor when the slave is connected to the motor. If more than two communication channels are used, an error routine is preferably then executed if the correct data signal can not be reconstructed with sufficient certainty.
  • the exchanged information can be distributed to three communication channels so that if one channel fails, the complete information can be obtained from two channels, such as a RAID or redundant array of independent disks system.
  • a security monitor is here understood to mean a device which monitors the exchange of messages via the bus without participating in the communication, and which in the event of deviations from stipulations intended for implementation of security concepts, a secure shutdown or the issuing of an error message or another, introduces security-related action.
  • a device may be provided on which a switching logic is formed which, when changing from a standard address, in particular from a delivery address or address "0", to a different address value, the device from a first to a first second mode of operation, whereby the device realizes a logical slave in the first mode and the device realizes two logical slaves in the second mode.
  • the device comprises a slave IC and connected thereto computer, in particular microprocessor with memory, wherein the slave IC is used in the transparent mode, in particular wherein the microprocessor of the device for connection to a Bus is integrated into the control of the inverter, in particular in the control of the power electronics of the inverter, and / or the computer is comprised of a converter or a controller, in particular the computer for controlling and / or regulating actuators, electric motors or the like is provided in particular wherein the device is an inverter in which a device is integrated for connection to a bus, and / or connection means for the connection of actuators and / or sensors and / or a bus, for example MOVILINK ® -Bus, and / or Switching outputs and / or are included, these connection means and / or switching outputs can be controlled or read by the bus.
  • Power electronics Actuator 64, 66 Sensor 68 Bus Application Module Virtual Slave Slave Slave Slave Virtual Slave Virtual Slave System Bus Power Bus
  • FIG. 1 shows the functional diagram of a field device according to the invention after assignment of the address "0",
  • FIG. 2 shows the functional diagram of a field device according to the invention after assigning an address different from "0"
  • FIG. 3 shows schematically a field device according to the invention
  • FIG. 4 shows the state machine of a microprocessor according to the invention
  • FIG. 5 shows a converter with motor as field device according to the invention.
  • FIG. 1 shows the functional diagram of a field device 1 according to the invention if it has been assigned the address "0." This is the case, for example, when the field device 1 is newly installed in the as-delivered state or after a maintenance in the AS-interface network.
  • the field device 1 is connected to an AS-interface line 2 via a connection line 4 and a connection 8 at a connection point. It participates via this connection line 4 on the AS-interface network as if the connection lines 4 were connected via inner lines 5 to a slave 3, which has a standard profile, for example the profile S-7.F.F.
  • the slave 3 and the inner leads 5 are virtual, i. the field device 1 simulates the illustrated function.
  • a likewise connected to the AS-interface line master can now recognize the field device 1 on the basis of the address "0" as a new participant and him in AS-interface-typical manner, as described for example in DE 197 43 981 A1, a This address assignment can alternatively be carried out with a commercially available addressing device.
  • FIG. 2 shows the functional diagram of a field device 1 according to the invention if it has been assigned an address other than "0." This may be the case, for example, if the field device 1 was recognized by a master as a new subscriber and assigned a free address.
  • the field device 1 is connected to an AS-interface line 2 via a connection line 4 at a connection 8 in a connection point.
  • it participates via this connecting line on the AS-interface network as bus subscriber of the bus system, as if the connecting lines 4 were connected via inner lines 7, and an inner branch 6 was connected to two slaves 3A and 3B.
  • These slaves advantageously have different profiles, for example slave 3A the profile S-7.A.7 for a fast binary and thus bit-oriented input and output and slave 3B the profile S-7.A.5 for additional digital and so byte-oriented input and output.
  • the AS-interface network is now operated in the extended addressing mode, and the slave 3A responds to the address of the field device 1 in the A-cycle, while the slave 3B responds to the address of the field device 1 in the B-cycle.
  • the field device 1 thus simulates the connection of two slaves 3A and 3B to the AS-interface network, with slave 3A using the address of the field device 1 as the A-address, while slave 3B using this address as the B-address. From a logical slave at address "0", two or more logical slaves with arbitrarily definable profiles, if the address is not equal to "0".
  • two communication channels can be used over which identical information can be transmitted redundantly, wherein a communication channel of slave 3A, the other communication channel of slave 3B is evaluated or acted upon with signals.
  • Slave 3A and slave 3B compare their respective received data and execute an error routine when data inequality is detected.
  • Each communication channel is realized by a bus cycle.
  • the logical slaves are used to transmit 1 bit payload, which have the possible meanings "free” for logical 1 and “not free” for logical 0 and which the safety-related switching signals of a circuit breaker, such as a light grid, a NOT -AUS switch or contact switch, describe.
  • the master recognizes the state "free” if and only if both logical
  • a code generator that accesses a coding table is used for the definition of the described sequence of values for the state "not free.”
  • a separate table is used for each logical slave, wherein in a further development the code generators are also executed separately.
  • the use of different coding tables further reduces the likelihood that the state "free” will be reached in the state "not free", for example due to interference couplings or distortions.
  • the field device 1 simulates the connection of three, four or more slaves via the connecting line 4 if it has not been assigned the address "0."
  • more than one address is assigned to the field device 2, which are usable in analogy to the example of FIG. 2 in the extended addressing method, or an addressing mode is used which has three, four or more different cycles in the manner of the extended addressing mode.
  • every logical slave is assigned to a communication channel.
  • the information is now divided so redundant that the full information content is reconstructable, even if a communication channel fails or is disturbed.
  • the logical slaves compare their respective reception result with each other and determine in the case of a deviation of at least one communication channel from the other, whether with a subset of the communication channels, ie the received data of the 5 individual logical slaves, a consistent information can be assembled. If this is the case, a first error routine is executed, but the received information is nevertheless evaluated. If this is not the case, a second error routine is executed and changed to a safe operating mode, for example to a secure stop. If signals are given to a bus master with the first error routine, this counts the received signals and changes to a mode of reduced transmission rate if a limit value is exceeded.
  • FIG. 3 shows an exemplary embodiment of a field device according to the invention.
  • a field device 1 is connected via connecting lines 4 to an AS-interface line 2 and comprises a
  • slave IC 10 commercially available slave IC 10, ie integrated circuit, and a microprocessor 11.
  • the slave IC 10 is operated in the transparent mode and thus gives the data obtained from the AS-interface line 2 via the connecting lines 4 data via an internal data line 12 on to the microprocessor 11 and from this via a further internal data line 14 received data to the AS-Interface line 2.
  • this microprocessor relates
  • the state machine of at least one AS-interface slave is shown, so the finite state machine, all possible states of the AS-interface - Modeled slaves and the allowed transitions between these states.
  • state machines are described in A. Hunt and D. Thomas: State Machines, IEEE Software
  • two or more logical slaves can be realized in the microprocessor 11, and the microprocessor 11 can simulate a predetermined number of logical slaves according to the assigned address transmitted from an addressing device or the master via the slave IC 10.
  • FIG. 4 schematically shows the state machine of a microprocessor 11, as can be used in FIG.
  • the microprocessor 11 After a RESET signal 31 or in the delivery state, the microprocessor 11 is in a first mode 30 in which it is assigned an address by means of standard addressing signals 32 from the AS-interface bus and enters a state 33 of a second mode. This transition can be effected by a switching logic.
  • the second mode includes this state 33 and other states 34 that are at least the possible states of two logical slaves 3A, 3B include.
  • state 33 thus describes two logical slaves operable in the extended addressing mode, each in one of the two cycles and with the address assigned by the standard addressing signal 32.
  • transitions 35 are effected by bus commands, data from sensors or actuators connected to the microprocessor or by the output of commands to actuators, as are necessary and typical for the realization of the at least two logical slaves 3A, 3B.
  • FIG. 5 shows an inventive use of a field device from FIGS. 1 to 4.
  • the field device is a converter 50 which is connected to an electric motor 52 and controls or regulates this.
  • the converter 50 is furthermore connected to a field bus 54, for example an AS-interface bus, more precisely a connecting line 55 connecting a slave 58 comprised by the converter 50 to the field bus 54 via a connection point 53.
  • the slave 58 is thus integrated in the inverter 50; it is operated in transparent mode.
  • a microprocessor which is designed as a controller 56 of the inverter 50, receives the data forwarded by the slave according to the arrangement in FIG. 3 and processes it using a state machine according to FIG. 4 stored therein.
  • the controller 56 simultaneously serves the functionally typical for a converter Control or regulation of the motor 52, by controlling a connected to the latter power electronics 60.
  • the microprocessor 11 of Figure 3 is thus advantageously integrated into the already necessary and therefore existing control 56 of the inverter 50.
  • actuators 62 and sensors 64, 66 are connected directly or via a further bus 68, which are optionally integrated in the motor 52, as shown by way of example for sensor 66.
  • the converter 50 is thus designed as a field device, as is advantageous for applications of the decentralized technique.
  • Control of actuators 62 or sensors 64, 66 are interchangeable and that on the other hand byte-oriented data, for example in the form of parameters for the inverter 50 or commands for operating the motor 52 or in the form of information about the state of inverter 50 or motor 52 can be transferred are.
  • This transfer of commands or parameters is carried out as described with the inventive method for secure data transmission by sending safety-related messages via the two logical slaves.
  • AS-interface bus instead of the AS-interface bus, another fieldbus, in particular CAN, CANopen, DeviceNet, Profibus, INTERBUS, Ethernet, real-time Ethernet, wireless LAN, EIB or LCN.
  • AS-interface bus instead of the AS-interface bus, another fieldbus, in particular CAN, CANopen, DeviceNet, Profibus, INTERBUS, Ethernet, real-time Ethernet, wireless LAN, EIB or LCN.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Systems (AREA)
  • Small-Scale Networks (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

Es wird vorgeschlagen, in einem Feldgerät zur Verwendung in einem AS-interface-Netzwerk in Abhängigkeit von der zugewiesenen Adresse eine unterschiedliche Anzahl logischer Slaves zu realisieren, die im Standard- oder im erweiterten Adressiermodus mit der zugewiesenen Adresse ansprechbar sind. Somit lassen sich in einem Feldgerät Slaves mit unterschiedlichen Profilen bereitstellen, über die unterschiedliche Datentypen austauschbar sind. Ferner wird ein Verfahren vorgeschlagen, mit dem ein Feldgerät mit unterschiedlichen Slaves unter Vermeidung von Doppeladressierungen auf einfache Weise adressierbar ist. Die Anzahl logischer Slaves werden zur redundanten, sicheren Datenübertragung zwischen Feldgerät und Netzwerk verwendet.

Description

Verfahren zur sicheren Datenübertragung und Gerät
Beschreibung:
Die Erfindung betrifft ein Verfahren zur sicheren Datenübertragung und ein Gerät, insbesondere ein Feldgerät oder einen Frequenzumrichter.
Aus der US 6 292 764 B1 ist eine abstimmbare Architektur für einen Geräteadapter bekannt, bei der ein automatisiertes System zur Herstellung einer logischen Darstellung eines Adapters für den Anschluss eines Geräts an einen Bus bereitgestellt wird, wobei ein konfigurierbares Makro eine Mehrzahl verschiedenartiger logischer Darstellungen des Adapters liefert.
AS-Interface als ein bit-orientierter Feldbus auf der untersten Ebene der Automatisierungspyramide ist bekannt aus: der Publikation R. Becker (Hrsg.): AS-Interface, die Lösung in der Automation, Gelnhausen (2002): ASIntemational Association, insbesondere Kapitel 3.2, dem Internet-Nachschlagewerk de.wikipedia.org,
- der DE 197 43 981 A1 , - der Norm EN 50295, der Internetseite http://www.as-interface.com/whatisasi.asp, der Präsentation „The AS-Interface Innovation Step 3.0" der AS-International
Association vom 28.06.2005 und
- der Präsentation "AS-Interface" http://www.emg. ing.tu-bs.de/pdf/IKF/AS-i_SS04.pdf. Dieses Bussystem ist optimiert für den Anschluss von einfachen Sensoren, Aktuatoren und
Feldgeräten, die nur wenige Informationsbits mit der Steuerung austauschen. In einem Datentelegramm von AS-Interface sind daher nur 4 Informationsbits vom Master zum Slave und wieder zurück übertragbar.
Moderne Feldgeräte, wie sie insbesondere in Anlagen mit dezentraler Steuerungstechnik Verwendung finden, benötigen aber oftmals zahlreiche Parameter, die zur Optimierung der Feldgerätefunktion variabel einstellbar sind.
BESTATIGUNGSKOPIE Moderne Feldgeräte können darüber hinaus oftmals Diagnose- und Serviceinformationen sammeln, die eine schnelle Problembeseitigung im Störungsfall unterstützen. Hierzu zählen elektronisch übermittelbare Daten nicht nur über das Produkt, wie Hersteller, Typenbezeichnung, Produktionsdatum, Firmware-Stand, sondern auch über den Betrieb, wie Betriebsstunden, Anzahl der Start-/Stop-Vorgänge, Überlastzustände und dergleichen mehr, aber auch zusätzliche Daten zur Gewährleistung sicherheitsgerichteter Anforderungen.
Andere Feldgeräte, etwa zum Bedienen und Beobachten, weisen z.B. eine einfache Anzeige auf, auf der Messdaten ausgegeben werden und ein Tastenfeld, über das Kommandos an die Steuerung eingebbar sind. Auch hier sind verschiedene byte-orientierte und bit-oriertierte Funktionen logisch einander zugeordnet, wobei erstere für die Anzeige und letzte für die Tasten zum Einsatz kommen.
Um diesem Umstand Rechnung zu tragen, sind in der Spezifikation Version 3.0 Slave-Profile eingeführt worden, die sowohl über bit-orientierte als auch über byte-orientierte Datenaustauschmechanismen verfügen, siehe beispielsweise die zitierte Publikation AS- Interface, die Lösung in der Automation. Hier sei beispielhaft das Profil S-7.A.5 genannt. Bei diesem Profil werden je 2 Bit für einen seriellen Datenaustausch verwendet, es bleiben daher nur 1 oder 2 Bits für den schnellen bit-orientierten Datenaustausch übrig. Dies wiederum ist für viele Anwendungen - z.B. in der Antriebstechnik - zuwenig.
Der Erfindung liegt die Aufgabe zugrunde, den Datenaustausch bei einem Bussystem in einfacher und fehlerarmer Weise weiterzubilden.
Erfindungsgemäß wird die Aufgabe bei dem Verfahren zur sicheren Datenübertragung nach den in Anspruch 1 und bei dem Gerät nach den in Anspruch 14 vorgegebenen Merkmalen gelöst.
Das erfindungsgemäße Verfallen ist vorteilhaft einsetzbar bei einem als Busteilnehmer vorgesehenem Gerät, welches mittels eines Anschlusses mit einem Bus, insbesondere mit einem elektrischen Kabel, einer Stromschiene oder über eine Antenne mit Luft, verbunden ist, wobei Mittel zum Bereitstellen von zwei oder mehr Busteilnehmern umfasst sind und Mittel zum Zuordnen der über den Anschluss einströmenden und/oder ausgetauschten Daten an die zwei oder mehr Busteilnehmer umfasst sind. Derartige als Busteilnehmer vorgesehene Geräte werden auch als Feldgeräte bezeichnet. Vorzugsweise ist der Busteilnehmer zur Teilnahme an verschiedenartigen, aufeinander folgenden Buszyklen oder zur Kommunikation über verschiedene, getrennte Kommunikationskanäle ausgebildet. Vorteilig ist hierbei, dass über einen Anschluss zwei oder mehr Busteilnehmer an einen Bus anschließbar sind, was die Verkabelung vereinfacht. Auch können vorteilhaft durch die Bereitstellung mehrerer Busteilnehmer einerseits schnelle, bit-orientierte Daten und andererseits langsame, byte-orientierte, komplexe Daten ausgetauscht werden oder eine redundante Datenübertragung realisiert werden. Somit ist der Datenaustausch zwischen Master und Slave in einem Feldbus-System derart weitergebildet, dass je nach Anforderung verschiedene Datenaustauschmechanismen auf einfache und fehlerarme Weise einsetzbar sind. Von Vorteil ist weiter, dass ein Feldgerät eine Gruppe von Slaves enthält und somit über verschiedene Datenaustauschmechanismen unterschiedliche Datentypen oder zur Fehlerfeststellung mehrere Kopien einer jeden Daten- oder Informationseinheit mit einem Master austauschen kann.
Eine vorteilhafte Ausgestaltung des an einem Bus angeschlossenen Geräts kann vorsehen, dass dieses in einem ersten Modus einen logischen Slave, insbesondere Busteilnehmer, realisiert, und in einem zweiten Modus mindestens zwei logische Slaves, insbesondere Busteilnehmer, realisiert. Somit wird vorteilhaft bewirkt, dass je nach Anforderungen, beispielsweise an den Datenaustausch, zwischen verschiedenen Modi gewechselt werden kann. Insbesondere ist somit beispielsweise für eine Initialisierung des Geräts oder die Integration in das Feldbussystem ein einfach handhabbarer Modus wählbar, während für einen komplexen Datenaustausch ein komplexer Modus mit mehreren Busteilnehmern wählbar ist.
Bei einer weiteren vorteilhaften Ausgestaltung des Geräts ist im ersten Modus genau ein logischer Slave, insbesondere Busteilnehmer, realisiert. Von Vorteil ist dabei, dass die Inbetriebnahme, insbesondere Anmeldung im Feldbus-System oder Adresszuweisung, einfach vornehmbar ist.
Bei einer weiteren vorteilhaften Ausgestaltung des Geräts ist der Bus ein Feldbus, insbesondere CAN, CAN-Open, DeviceNet, Profibus, INTERBUS, AS-interface, Ethernet, Wireless-LAN, EIB1 LCN. Von Vorteil ist dabei, dass der Busteilnehmer an einen standardisierten Bus anschließbar ist. Somit ist die erfindungsgemäße Vorrichtung modular in handelsüblichen Anlagen einsetzbar, insbesondere in Anlagen mit dezentraler Technik. Die Erfindung ist besonders vorteilhaft einsetzbar bei Bussystemen, die wenigsten einen Master und mehrere Slaves umfassen, wobei der Master an die Slaves Adressen vergibt.
Bei einer weiteren vorteilhaften Ausgestaltung des Geräts ist der erste Modus ein
Standardadressiermodus, bei einer weiteren vorteilhaften Ausgestaltung ist der zweite Modus ein erweiterter Adressiermodus. Von Vorteil ist dabei, dass, insbesondere bei Anschluss an einen AS-interface-Bus, im ersten Modus eine Adresse zuweisbar ist, die im zweiten Modus für eine Mehrzahl von Busteilnehmern beziehungsweise logischen Slaves verwendbar ist, da im erweiterten Adressiermodus mit einer Adresse in den unterschiedlichen Zyklen unterschiedliche Slaves ansprechbar sind.
Bei einer weiteren vorteilhaften Ausgestaltung umfasst das Gerät eine Umschaltlogik, die bei einem Wechsel von einer Standardadresse, insbesondere von einer Auslieferungsadresse oder von Adresse „0", auf einen anderen Adressen-Wert das Gerät vom ersten in den zweiten Modus versetzt. Mit der Standardadresse wird in dieser Schrift generell eine Adresse verstanden, mit welcher der Busteilnehmer im Auslieferungszustand, also vor Gebrauch im Bussystem, ausgerüstet ist. Oft wird hierzu die Adresse „0" verwendet, weshalb im Folgenden diese Bezeichnung der Einfachheit halber verwendet wird. Es sind jedoch auch andere Adressen als Standardadressen verwendbar. Wichtig ist allein, dass die Standardadresse von einem Master als solche durch die Konventionen des Protokolls erkennbar ist und die Erkennung einer Standardadresse die Ausführung eines Adressierungsverfahrens auslöst. Von Vorteil ist dabei, dass durch Standardvorgänge auf dem Bus ein Wechsel der Modi bewirkbar ist. Somit ist eine Erweiterung der Menge der über den Bus vermittelten Befehle und Kommandos vermeidbar.
Bei einer weiteren vorteilhaften Ausgestaltung arbeitet das Gerät bei Zuweisung der Adresse „0" im ersten Modus und bei Zuweisung einer Adresse ungleich „0" im zweiten Modus. Von Vorteil ist dabei, dass ein ohnehin notwendiger Vorgang, nämlich die Adresszuweisung an ein durch Adresse „0" als an den Bus neu angeschlossen ausgewiesenes Gerät, für das Umschalten in den komplexeren Modus verwendbar ist. Somit ist die Adressvergabe in einem einfachen Verfahren durchführbar, durch einen Master oder mithilfe eines handelsüblichen Adressiergerätes. Besonders vorteilhaft bei der Wahl der Adresse „0" als funktionsunterscheidendes Merkmal ist, dass AS-interface-Slave bei Auslieferung diese Adresse belegen. Somit stellt sich das erfindungsgemäße Gerät bei Integration in ein AS- interface-Netzwerk bis zur Adressierung gegenüber dem Master als Standardslave dar. Für den Anwender besteht also vorteilhaft kein Unterschied zum Adressieren eines normalen Slaves, insbesondere gegebenenfalls eines AS-interface-Slaves. Nach Adressierung ist unmittelbar der zweite Modus bereitgestellt, der für den Hauptbetrieb des Feldgeräts vorgesehen ist. Weiter ist vorteilhaft die zugewiesene Adresse im zweiten Modus im erweiterten Adressiermodus, wie beispielsweise in der DE 102 06 657 A1 beschrieben, verwendbar. Es ist somit lediglich eine Adressvergabe für eine Mehrzahl von Slaves oder Busteilnehmern nötig. Es lassen sich deshalb vorteilhaft Doppeladressierungen vermeiden.
Bei einer weiteren vorteilhaften Ausgestaltung des Geräts weisen die mindestens zwei logischen Slaves voneinander verschiedene Profile auf. Somit sind die realisierten Slaves für unterschiedliche Datenübertragungsmechanismen einsetzbar. Beispielsweise sind bitorientierte Funktionen an einen Slave übertragbar und byte-orientierte Funktionen an einen weiteren Slave.
Weitere vorteilhafte Merkmale des Geräts zum Anschluss an einen Bus können sein, dass das Gerät einen Rechner umfasst, wobei im Rechner die State machine mindestens zweier Busteilnehmer abgebildet ist. Von Vorteil ist dabei, dass zwei oder mehr Busteilnehmer und/oder logische Slaves realisierbar sind.
Bei einer weiteren vorteilhaften Ausgestaltung umfasst das Gerät einen Slave-IC und den mit diesem verbundenen Rechner, insbesondere Mikroprozessor mit Speicher, wobei der Slave- IC im transparenten Modus verwendbar ist. Von Vorteil ist dabei, dass eine Kommunikation zwischen Bus und Mikroprozessor und eine Realisierung mehrerer Slaves einfach und kostengünstig ermöglicht ist.
Bei einer weiteren vorteilhaften Ausgestaltung des Geräts ist der Busteilnehmer als AS- interface-Slave oder anderer Feldbus-Slave ausgebildet. Von Vorteil ist dabei, dass standardisierte Bus-Systeme einsetzbar sind, insbesondere bei Verwendung eines AS- interface-Busses.
Das erfindungsgemäße Verfahren ist vorteilhaft kombinierbar mit einem Verfahren zur Adressierung eines als Busteilnehmer vorgesehenen Geräts, bei welchem zwei logische Slaves umfasst sind, wobei - das Gerät vor der Adressierung mit einer Standardadresse, insbesondere Adresse „0", versehen wird und in einem ersten Modus, insbesondere Standardadressiermodus, betrieben wird, dem Gerät eine andere Adresse zugewiesen wird, - und dann das Gerät nach Adresszuweisung mindestens zwei logische Slaves realisiert.
Von Vorteil ist dabei, dass die Adressierung eines derartigen Geräts mit jedem bereits auf dem Markt befindlichen Adressiergerät durchführbar ist. Von Vorteil ist weiterhin, dass die Adresse „0" die Standardadresse bei Auslieferung oder Neuanmeldung im Bussystem eines Busteilnehmers darstellt und standardmäßig eine Adresszuweisung durch einen Master nach sich zieht. Insbesondere muss der Master oder alternativ der Anwender eines solchen Geräts nur einen Adressiervorgang für die mindestens zwei logischen Slaves durchführen.
Besonders günstig ist es dabei, wenn die Slaves im erweiterten Adressiermodus mit der zugewiesenen Adresse alternierend jeweils in aufeinander folgenden Zyklen als A-Adresse beziehungsweise B-Adresse angesprochen werden. Hierbei ist vorteilhaft, dass im Slave im Standardadressiermodus der gleiche Adressraum belegbar ist wie in den mindestens zwei logischen Slaves beispielsweise im erweiterten Adressiermodus. Der Adressvorgang ist somit vorteilhaft durchführbar, ohne dass die Gefahr der Doppeladressierung besteht.
Das erfindungsgemäße Verfahren ist vorteilhaft mit einem Umrichter ausführbar, bei welchem ein Gerät zum Anschluss an einen Bus integriert ist. Von Vorteil ist dabei, dass im Umrichter Mittel zur Kommunikation mit einem Bussystem vorsehbar sind. Somit ist der Umrichter vorteilhaft in Anlagen mit dezentraler Technik einsetzbar.
Bei einer weiteren vorteilhaften Ausgestaltung des Umrichters ist der Mikroprozessor des Geräts zum Anschluss an einen Bus in die Steuerung des Umrichters, insbesondere in die Ansteuerung der Leistungselektronik des Umrichters, integriert. Von Vorteil ist dabei, dass die ohnehin in der Steuerung des Umrichters vorhandene Rechenkapazität nutzbar ist für die Realisierung der logischen Slaves. Dies bewirkt vorteilhaft eine kompakte Bauform mit wenigen Komponenten.
Bei einer weiteren vorteilhaften Ausgestaltung des Umrichters sind Anschlussmittel für den Anschluss von Aktoren und/oder Sensoren und/oder einem Bus, beispielsweise MOVILINK®, und/oder Schaltausgänge umfasst, wobei diese Anschlussmittel und/oder Schaltausgänge vom Bus ansteuerbar beziehungsweise auslesbar sind. Von Vorteil ist dabei, dass der Umrichter mit den integrierten Mitteln zusätzlich zu seiner namensgebenden Funktion als Slave zur Abarbeitung einfachster Funktionen und auch als Knoten im Bus-Netzwerk einsetzbar ist.
Wichtige Merkmale der Erfindung eines Verfahrens zur sicheren Datenübertragung, wobei ein als Busteilnehmer vorgesehenes Gerät vorgesehen ist, sind, dass das Gerät vor der Adressierung mit einer Standardadresse, insbesondere Adresse „0", versehen wird und in einem ersten Modus, insbesondere
Standardadressiermodus, betrieben wird und einen logischen Slave realisiert, dem Gerät eine andere Adresse zugewiesen wird, und dann das Gerät nach Adresszuweisung mindestens zwei logische Slaves realisiert, wobei die in dem Gerät nach Adressierung realisierten mindestens zwei logischen Slaves zur redundanten, insbesondere sicherheitsgerichteten, Datenkommunikation mit dem Bus verwendet werden. Somit lassen sich Daten sicher über einen von außen gestörten Kommunikationskanal, beispielsweise einer Starkstromleitung und/oder einem Kanal mit zwischengeschaltetem induktiven oder kapazitiven Koppelelement, nutzen, ohne das eine aufwendige Neukonstruktion erforderlich ist.
Bei einer vorteilhaften Ausgestaltung tauschen die in dem Slave nach Adressierung realisierten mindestens zwei logischen Slaves über jeweils einen Kommunikationskanal Daten aus, wobei Daten redundant übertragen werden, insbesondere also in jedem Kommunikationskanal die Daten einen identischen Informationsgehalt aufweisen. Die Kommunikationskanäle können zeitlich parallel oder nacheinander betrieben werden.
Bei einer vorteilhaften Ausgestaltung ist mindestens einer der mindestens zwei logischen Slaves ein sicherheitsgerichteter Teilnehmer. Von Vorteil ist dabei, dass selbst das einem Teilnehmer übermittelte Signal auf Übertragungsfehler prüfbar ist. Vorzugsweise werden sicherheitsgerichtete Merkmale wie in Dietmar Reinert; Michael Schaefer (Hrsg.): Sichere Bussysteme für die Automation, Heidelberg: Hüthig, 2001 , beschrieben realisiert. Vorzugsweise kann vorgesehen sein, dass der sicherheitsgerichtete Teilnehmer zur Übermittelung seiner Nutzdaten, die beispielsweise auch die Adresse umfassen, diese Nutzdaten in einer Sicherheitsschicht Sicherheitsprozeduren zur Authentifizierung und/oder zur Generierung von Sicherungscodes wie z.B. CRC unterwirft. Somit werden an die Nutzdaten zusätzliche, sicherheitsrelevante Daten angehängt und die so verpackten Daten an nicht-sicherheitsgerichtete Transportschichten, insbesondere die Hardware des Bussystems, übergeben.
Bei Verwendung eines Codegenerators in einem sicherheitsgerichteten Slave, durch den beispielsweise ein dynamisiertes „frei"-Signal erzeugt wird, kann zur Reduzierung der Übertragungsfehlerrate vorgesehen sein, dass jeder logische Slave an einen separaten Codegenerator angeschlossen ist und/oder dass für jeden logischen Slave nach einer separaten Codetabelle codiert wird.
Bei einer vorteilhaften Ausgestaltung wird ein Bussystem mit mindestens zwei Zyklen betrieben, wobei die Busteilnehmer als erfindungsgemäße Geräte mit zwei oder mehreren logischen Slaves ausgebildet sind und in einem ersten Zyklus Informationen gesendet werden, die in dem folgenden, zweiten Zyklus wiederholt werden. Jeder logische Slave stellt somit die Empfangs- oder Sendestelle eines Kommunikationskanals dar, wobei die Kommunikationskanäle entsprechend der Abfolge der Zyklen nacheinander oder parallel aktiviert und genutzt werden. Von Vorteil ist dabei, dass sowohl der Aufbau des Busnetzwerks als auch die Adressierung als auch die Informationsübertragung so verlaufen, als ob ein einfacher Bus vorläge, und die Informationen der Datenkommunikation redundant übertragen werden. Ein Anwendungstechniker muss demnach beim Netzaufbau keine Besonderheiten beachten.
Beispielsweise kann es vorgesehen sein, dass die logischen Slaves zur Reduzierung von Übertragungsfehlern, die aufgrund von Wiederholungen von nicht mehr aktuellen Nachrichten zu falschen Zeit, von Nachrichtenverlust, von fehlerhaftem Einfügen von Nachrichten, von Veränderung der Abfolge von Nachrichten, von Verzögerung von Nachrichten und/oder von Verfälschungen von Nachrichten auftreten, ausgebildet sind. In einer besonders einfach realisierbaren Ausgestaltung senden beide Slaves dieselbe Information, so dass bei fehlender Übereinstimmung ein Übertragungsfehler bzw. ein Kodierungsfehler erkennbar ist.
Zur Erkennung von Übertragungsfehlern kann beispielsweise ein Slave zur
Übertragung von laufenden Nummern, welche die Nachrichten des jeweils anderen Slave fortlaufend nummerieren, verwendet werden, oder zur Übertragung einer Zeitmarke, die den Zeitpunkt der Nachrichtenabsendungen des jeweils anderen Slave absolut oder relativ markieren. Hierduch werden vorteilhaft Vertauschungen von Nachrichten und die Einfügung von Nachrichten erkennbar.
Alternativ oder zusätzlich kann vorgesehen sein, dass wenigstens ein Slave zur Übermittelung einer Zeiterwartung verwendet wird, welche die Gültigkeitsdauer einer Nachricht des jeweils anderen Slave charakterisiert. Bei Überschreitung des vorgegebenen Wertes bis zum Eingang beim Empfänger ist vorzugsweise vorgesehen, dass der Empfänger eine Fehlermeldung generiert und/oder die empfangene Nachricht ignoriert.
Zur Verminderung von Übertragungsfehler kann vorgesehen sein, dass ein Slave zum Absenden einer Rückmeldung über Erhalt und/oder Inhalt der Nachricht an den Master eingerichtet ist. Beispielsweise können die Daten wiederholt werden, die vom Master gesendet wurden, um diesem die Überprüfung des richtigen Empfangs zu ermöglichen.
Zusätzlich oder alternativ kann vorgesehen sein, dass ein logischer Slave zur
Übermittlung einer Nachrichtenkennung eingerichtet ist, mit welchem der Sender, also der jeweils andere logische Slave, authentifizierbar ist. Von Vorteil ist dabei, dass am Master die Einfügung von Nachrichten durch nicht autorisierte Sender oder durch Störeinkopplungen erkennbar ist.
Die zweikanalige, redundante Buskommunikation in den alternierenden Zyklen ist außerdem dazu nutzbar, die gesendeten und empfangenen Nachrichten zwischen Slave und Master kreuzweise zu vergleichen und so auf Übertragungsfehler zu prüfen. Bei erkannter Abweichung muss ein Fehler der Übertragung, der Empfängereinheit und/oder der Sendereinheit vorliegen. Von Vorteil ist dabei, dass fehlerhafte Wiederholung, Verlust, fehlerhafte Einfügung, falsche Abfolge und Verfälschung von Nutzdaten erkennbar ist.
Bei einer vorteilhaften Ausgestaltung vergleicht jeder Busteilnehmer seine in dem ersten Zyklus empfangenen Informationen mit den im zweiten Zyklus empfangenen Informationen.
Bei einer vorteilhaften Ausgestaltung kann es vorgesehen sein, dass ein Bussystem mit mindestens zwei Zyklen betrieben wird und in einem Zyklus Nutzdaten und im jeweils vorangehenden oder folgenden Zyklus Prüfdaten übermittelt werden. Von Vorteil ist dabei, dass die in einem Zyklus, insbesondere von einem logischen Slave, übermittelten Daten im folgenden Zyklus oder durch Daten aus dem vorangehenden Zyklus verifizierbar sind, wobei nicht nur der Informationsgehalt, sondern andere Fehlerquellen überwachbar sind. Beispielsweise kann anhand einer laufenden Nummer der Nutzdaten eine Wiederholung, ein Verlust, eine Einfügung, auch durch unbefugte oder defekte Dritte, und eine falsche Abfolge erkannt werden. Durch eine Zeitmarke für den Sendezeitpunkt der Nutzdaten sind dagegen eine Wiederholung, eine falsche Abfolge und eine Verzögerung erkennbar. Eine Zeiterwartung für die Dauer der Gültigkeit der Nutzdaten ist zur Erkennung von Verzögerungen bei der Übertragung einsetzbar. Eine Empfangsbestätigung mit der Wiederholung einer zuvor erhaltenen Nachricht, insbesondere des Masters, ermöglicht die Detektion von Einfügungen, Verlusten oder Nachrichtenerfälschungen und verhindert die Kopplung von sicherheitsgerichteten mit nicht-sicherheitsgerichteten Nachrichten. Eine Kennung des Senders und/oder des Empfängers verhindert Einfügungen und die Kopplung von sicherheitsgerichteten mit nicht-sicherheitsgerichteten Nachrichten, beispielsweise mit von sonstigen Slaves im Bus ohne sicherheitsgerichtete Ausgestaltung abgegebenen Nachrichten. Diese Maßnahmen sind vorteilhaft mit Maßnahmen zur Datensicherung, beispielsweise durch Prüfsummen und dergleichen, kombinierbar.
Bei einer vorteilhaften Ausgestaltung führt der Busteilnehmer, ein Busmaster und/oder ein Sicherheitsmonitor eine Fehlerroutine aus, wenn die verglichene Information nicht übereinstimmt und/oder wenn anhand der Prüfdaten ein Übertragungsfehler erkannt wird. Eine solche Fehlerroutine ist beispielsweise eine Rückmeldung an einen Busmaster, worauf die betreffende Information noch einmal gesendet wird. Eine solche Fehlerroutine ist beispielsweise auch der Übergang in einen sicheren Modus, etwa die Weitergabe des Befehls sicherer Halt an einen Motor, wenn der Slave mit dem Motor verbunden ist. Werden mehr als zwei Kommunikationskanäle verwendet, so wird vorzugsweise dann eine Fehlerroutine ausgeführt, wenn nicht mit genügend Sicherheit das richtige Datensignal rekonstruiert werden kann. Beispielsweise kann die ausgetauschte Information so auf drei Kommunikationskanäle verteilt werden, dass bei Ausfall eines Kanals die vollständige Information aus zwei Kanälen gewonnen werden kann, etwa nach Art eines RAID- oder redundant array of independent disks-Systems. Unter einem Sicherheitsmonitor wird hierbei ein Gerät verstanden, welches den Nachrichtenaustausch über den Bus überwacht, ohne an der Kommunikation teilzunehmen, und welches bei Abweichungen von Festlegungen, die zur Umsetzung von Sicherheitskonzepten vorgesehen sind, eine sichere Abschaltung oder die Ausgabe einer Fehlermeldung oder eine sonstige, sicherheitsrelevante Aktion einleitet.
Zum Ausführen des erfindungsgemäßen Verfahrens kann ein Gerät vorgesehen sein, an welchem eine Umschaltlogik ausgebildet ist, die bei einem Wechsel von einer Standardadresse, insbesondere von einer Auslieferungsadresse oder von Adresse „0", auf einen anderen Adressen-Wert das Gerät von einem ersten in einen zweiten Betriebsmodus versetzt, wobei das Gerät im ersten Modus einen logischen Slave realisiert und das Gerät im zweiten Modus zwei logische Slaves realisiert.
Bei diesem Gerät kann vorteilhaft vorgesehen sein, dass das Gerät einen Slave-IC und den mit diesem verbundenen Rechner, insbesondere Mikroprozessor mit Speicher, umfasst, wobei der Slave-IC im transparenten Modus verwendbar ist, insbesondere wobei der Mikroprozessor des Geräts zum Anschluss an einen Bus in die Steuerung des Umrichters, insbesondere in die Ansteuerung der Leistungselektronik des Umrichters, integriert ist, und/oder der Rechner von einem Umrichter oder einer Steuerung umfasst ist, insbesondere der Rechner zur Steuerung und/oder Regelung von Aktoren, Elektromotoren oder dergleichen vorgesehen ist, insbesondere wobei das Gerät ein Umrichter ist, in welchen ein Gerät zum Anschluss an einen Bus integriert ist, und/oder Anschlussmittel für den Anschluss von Aktoren und/oder Sensoren und/oder einem Bus, beispielsweise MOVILINK®-Bus, und/oder Schaltausgänge und/oder umfasst sind, wobei diese Anschlussmittel und/oder Schaltausgänge vom Bus ansteuerbar beziehungsweise auslesbar sind.
Weitere Vorteile ergeben sich aus den Unteransprüchen. Die Erfindung ist nicht auf die Merkmalskombination der Ansprüche beschränkt. Für den Fachmann ergeben sich weitere sinnvolle Kombinationsmöglichkeiten von Ansprüchen und/oder einzelnen Anspruchsmerkmalen und/oder Merkmalen der Beschreibung und/oder der Figuren, insbesondere aus der Aufgabenstellung und/oder der sich durch Vergleich mit dem Stand der Technik stellenden Aufgabe.
Bezugszeichenliste
1 Feldgerät 5 2 AS-i-Leitung
3 Slave
3A erster Slave 3B zweiter Slave
4 Anschlussleitung 10 5 interne Leitung
6 Kontakt
7 interne Leitung
8 Anschluss 10 Slave-IC
15 11 Mikroprozessor
12, 13, 14 interne Datenleitung
30 Zustand im ersten Modus
31 RESET-Signal
32 Standardadressierungs-Signal 20 33 Zustand im zweiten Modus
34 weiterer Zustand im zweiten Modus
35 Buskommando, Sensordatum oder Aktorbefehl 50 Umrichter
52 Motor 25 53 Anschlusspunkt
54 Feldbus
55 Anschlussleitung
56 Steuerung 58 Slave
30 60 Leistungselektronik 62 Aktor 64, 66 Sensor 68 Bus Applikationsmodul virtueller Slave Slave Slave Slave virtueller Slave virtueller Slave Systembus Energiebus
Die Erfindung wird nun anhand von Abbildungen näher erläutert:
Es zeigt:
- Figur 1 das Funktionsschaubild eines erfindungsgemäßes Feldgeräts nach Zuweisung der Adresse „0",
Figur 2 das Funktionsschaubild eines erfindungsgemäßes Feldgeräts nach Zuweisung einer Adresse verschieden von „0", Figur 3 schematisch ein erfindungsgemäßes Feldgerät, Figur 4 die State machine eines erfindungsgemäßen Mikroprozessors, - Figur 5 einen Umrichter mit Motor als erfindungsgemäßes Feldgerät.
Figur 1 zeigt das Funktionsschaubild eines erfindungsgemäßen Feldgeräts 1, wenn diesem die Adresse „0" zugewiesen wurde. Dies ist zum Beispiel der Fall, wenn das Feldgerät 1 im Auslieferungszustand neu oder nach einer Wartung wieder im AS-interface-Netzwerk eingebaut wird.
Das Feldgerät 1 ist mit einer AS-interface-Leitung 2 über eine Anschlussleitung 4 und einen Anschluss 8 an einem Anschlusspunkt verbunden. Es nimmt über diese Anschlussleitung 4 am AS-interface-Netzwerk so teil, als wären die Anschlussleitungen 4 über innere Leitungen 5 mit einem Slave 3 verbunden, der ein Standardprofil, beispielsweise das Profil S-7.F.F, aufweist. Der Slave 3 und die inneren Leitungen 5 sind dabei virtuell, d.h. das Feldgerät 1 simuliert die dargestellte Funktion.
Ein ebenfalls an die AS-interface-Leitung angeschlossener Master kann nun das Feldgerät 1 anhand der Adresse „0" als neuen Teilnehmer erkennen und ihm in AS-interface-typischer Weise, wie es beispielsweise in der DE 197 43 981 A1 beschrieben wird, eine freie Adresse zuweisen. Diese Adresszuweisung ist alternativ mit einem handelsüblichen Adressiergerät durchführbar.
Figur 2 zeigt das Funktionsschaubild eines erfindungsgemäßen Feldgeräts 1 , wenn diesem eine Adresse verschieden von „0" zugewiesen wurde. Dies kann zum Beispiel der Fall sein, wenn das Feldgerät 1 von einem Master als neuer Teilnehmer erkannt und mit einer freien Adresse belegt wurde. Das Feldgerät 1 ist mit einer AS-interface-Leitung 2 über eine Anschlussleitung 4 an einem Anschluss 8 in einem Anschlusspunkt verbunden. Es nimmt über diese Anschlussleitung am AS-interface-Netzwerk im Unterschied zu dem in Figur 1 dargestellten Fall als Busteilnehmer des Bussystems so teil, als wären die Anschlussleitungen 4 über innere Leitungen 7, und eine innere Verzweigung 6 mit zwei Slaves 3A und 3B verbunden. Diese Slaves weisen vorteilhaft verschiedene Profile auf, beispielsweise Slave 3A das Profil S-7.A.7 für eine schnelle binäre und also bit-orientierte Ein- und Ausgabe und Slave 3B das Profil S-7.A.5 für zusätzliche digitale und also byte-orientierte Ein- und Ausgabe.
Das AS-interface-Netzwerk wird nun im erweiterten Adressiermodus betrieben, und der Slave 3A spricht auf die Adresse des Feldgeräts 1 im A-Zyklus an, während der Slave 3B auf die Adresse des Feldgeräts 1 im B-Zyklus anspricht.
Das Feldgerät 1 simuliert also den Anschluss zweier Slaves 3A und 3B an das AS-interface- Netzwerk, wobei Slave 3A die Adresse des Feldgeräts 1 als A-Adresse verwendet, während Slave 3B diese Adresse als B-Adresse benutzt. Aus einem logischen Slave bei Adresse „0" werden also zwei oder mehr logische Slaves mit beliebig vorgebbaren Profilen, wenn die Adresse ungleich „0" ist.
Somit sind zwei Kommunikationskanäle verwendbar, über die identische Information redundant übertragen werden kann, wobei ein Kommunikationskanal von Slave 3A, der andere Kommunikationskanal von Slave 3B ausgewertet oder mit Signalen beaufschlagt wird. Slave 3A und Slave 3B vergleichen ihre jeweils empfangenen Daten und führen eine Fehlerroutine aus, wenn Datenungleichheit festgestellt wird. Jeder Kommunikationskanal ist durch einen Buszyklus realisiert.
Bei einer Anwendung des beschriebenen Ausführungsbeispiels dienen die logischen Slaves zur Übertragung von 1 Bit Nutzinformation, welche die möglichen Bedeutungen „frei" für logisch 1 und „nicht frei" für logisch 0 haben und welche die sicherheitsgerichteten Schaltsignale eines Schutzschalters, beispielsweise eine Lichtgitters, eines NOT-AUS-Schalters oder Kontaktschalters, beschreiben.
Im Zustand „nicht frei", also beispielsweise im Zustand „NOT-AUS betätigt" oder „Lichtgitter durchbrochen", liegt an den vier Eingangsbits jedes logischen Slaves der Wert (0,0,0,0) statisch an. Im Zustand „frei", also beispielsweise im Zustand „NOT-AUS betätigt" oder „Lichtgitter nicht durchbrochen", wird dagegen an den vier Eingangsbits mit jedem Zyklus ein Wert angelegt, der wenigstens eine 1 aufweist, wobei die Werte eine periodisch wiederholte Abfolge bilden, bei denen kein Wert innerhalb einer Periode einem anderen gleicht. Diese Abfolge von Werten ist dem Master bekannt, wobei für jeden logischen Slave 3A, 3B eine andere Abfolge definiert ist. Im einfachsten Fall wechseln die beiden logischen Slaves 3A, 3B im Gegentakt zwischen zwei Werten. Hier ist sogar ein Codegenerator verzichtbar.
Somit erkennt der Master den Zustand „frei" genau dann, wenn beide logischen
Slaves 3A, 3B in ihrem Zyklus jeweils (0,0,0,0) anlegen, ansonsten erkennt der Master den Zustand „nicht frei" und kann, wenn die „nicht frei"-Signale wenigstens eines logischen Slaves von der vorgegebenen Abfolge abweichen, sogar die fehlerhafte Übertagung feststellen.
Bei einem Ausführungsbeispiel wird für die Definition der beschriebenen Abfolge von Werten für den Zustand „nicht frei" ein Codegenerator verwendet, der auf eine Codierungstabelle zugreift. Für jeden logischen Slave wird hierbei eine separate Tabelle verwendet, wobei in einer Weiterbildung auch die Codegeneratoren getrennt ausgeführt sind. Durch die Verwendung von unterschiedlichen Codierungstabellen wird die Wahrscheinlichkeit, dass im Zustand „nicht frei", beispielsweise durch Störeinkopplungen oder Verfälschungen, der Zustand „frei" erreicht wird, weiter verringert.
Bei einem weiteren erfindungsgemäßen Ausführungsbeispiel simuliert das Feldgerät 1 den Anschluss von drei, vier oder mehr Slaves über die Anschlussleitung 4, wenn ihm nicht die Adresse „0" zugewiesen wurde. Für die Simulation von mehr als zwei Slaves werden dem Feldgerät mehr als eine Adresse zugewiesen, die in Analogie zu dem Beispiel von Figur 2 im erweiterten Adressierverfahren verwendbar sind, oder es wird ein Adressiermodus verwendet, der nach Art des erweiterten Adressiermodus drei, vier oder mehr verschiedene Zyklen aufweist.
In diesem Fall ist wieder jeder logische Slave einem Kommunikationskanal zugeordnet. Die Information wird nun so redundant aufgeteilt, dass der volle Informationsgehalt rekonstruierbar ist, selbst wenn ein Kommunikationskanal ausfällt oder gestört wird. Die logischen Slaves vergleichen ihr jeweiliges Empfangsergebnis untereinander und stellen im Fall einer Abweichung mindestens eines Kommunikationskanals von den anderen fest, ob sich mit einer Untermenge der Kommunikationskanäle, also der empfangenen Daten der 5 einzelnen logischen Slaves, eine widerspruchsfreie Information zusammengesetzt werden kann. Ist dies der Fall, wird eine erste Fehlerroutine ausgeführt, die empfangene Information jedoch trotzdem ausgewertet. Ist dies nicht der Fall, wird eine zweite Fehlerroutine ausgeführt und in einen sicheren Betriebsmodus, beispielsweise in einen sicheren Halt, gewechselt. Werden mit der ersten Fehlerroutine Signale an einen Busmaster gegeben, so 10 zählt dieser die eingegangenen Signale und wechselt in einen Modus reduzierter Übertragungsrate, falls ein Grenzwert überschritten wird.
Figur 3 zeigt ein erfindungsgemäßes Ausführungsbeispiel eines Feldgeräts. Ein Feldgerät 1 ist über Anschlussleitungen 4 mit einer AS-interface-Leitung 2 verbunden und umfasst einen
15 handelsüblichen Slave-IC 10, also integrierten Schaltkreis, und einen Mikroprozessor 11. Der Slave-IC 10 wird im transparenten Modus betrieben und gibt also die von der AS-interface- Leitung 2 über die Anschlussleitungen 4 bezogenen Daten über eine interne Datenleitung 12 weiter an den Mikroprozessor 11 und von diesem über eine weitere interne Datenleitung 14 empfangene Daten an die AS-Interface-Leitung 2. Zusätzlich bezieht dieser Mikroprozessor
20 11 vom Slave-IC 10 das clock-Signal über eine weitere interne Datenleitung 13. In der Firmware des Mikroprozessors 11 ist die State machine mindestens eines AS-interface- Slaves abgebildet, also der Endliche Automat, der alle möglichen Zustände des AS-interface- Slaves und die erlaubten Übergänge zwischen diesen Zuständen modelliert. Derartige State machines werden in A. Hunt und D. Thomas: State Machines, IEEE Software
25 November/December 2002, S. 10-12 beschrieben. In dem Mikroprozessor 11 sind somit zwei oder mehr logische Slaves realisierbar, und der Mikroprozessor 11 kann je nach zugewiesener Adresse, die von einem Adressiergerät oder dem Master über den Slave-IC 10 übermittelt wird, eine vorbestimmte Zahl von logischen Slaves simulieren.
30 Figur 4 zeigt schematisch die State machine eines Mikroprozessors 11 , wie er in Figur 3 einsetzbar ist. Nach einem RESET-Signal 31 oder im Auslieferungszustand befindet sich der Mikroprozessor 11 in einem ersten Modus 30, in dem er mittels Standardadressierungs- Signalen 32 vom AS-interface-Bus eine Adresse zugewiesen bekommt und in einen Zustand 33 eines zweiten Modus übergeht. Dieser Übergang ist durch eine Umschaltlogik bewirkbar.
35 Der zweite Modus umfasst diesen Zustand 33 und weitere Zustände 34, die mindestens die möglichen Zustände zweier logischer Slaves 3A, 3B umfassen. Insbesondere beschreibt also der Zustand 33 zwei logische Slaves, die im erweiterten Adressiermodus betreibbar sind, ein jeder in einem der beiden Zyklen und mit der durch das Standardadressierungs-Signal 32 zugewiesenen Adresse. Zwischen diesen Zuständen 33, 34 werden durch Buskommandos, Daten von an den Mikroprozessor angeschlossenen Sensoren oder Aktoren oder durch die Abgabe von Kommandos an Aktoren Übergänge 35 bewirkt, wie sie für die Realisierung der mindestens zwei logischen Slaves 3A, 3B nötig und typisch sind.
Figur 5 zeigt eine erfindungsgemäße Verwendung eines Feldgeräts aus Figur 1 bis 4. Das Feldgerät ist ein Umrichter 50, der an einen Elektromotor 52 angeschlossen ist und der diesen steuert oder regelt. Der Umrichter 50 ist weiterhin an einen Feldbus 54, beispielsweise einen AS-interface-Bus, angeschlossen, wobei genauer eine Anschlussleitung 55 einen vom Umrichter 50 umfassten Slave 58 über einen Anschlusspunkt 53 mit dem Feldbus 54 verbindet. Der Slave 58 ist somit im Umrichter 50 integriert; er wird im transparenten Modus betrieben. Ein Mikroprozessor, der als Steuerung 56 des Umrichters 50 ausgebildet ist, nimmt die vom Slave weitergeleiteten Daten gemäß der Anordnung in Figur 3 auf und verarbeitet sie anhand einer in ihm hinterlegten State machine nach Figur 4. Die Steuerung 56 dient gleichzeitig der für einen Umrichter funktionstypischen Ansteuerung oder Regelung des Motors 52, und zwar durch Steuerung einer mit letzterem verbundenen Leistungselektronik 60. Der Mikroprozessor 11 aus Figur 3 ist also vorteilhaft in die ohnehin notwendige und also vorhandene Steuerung 56 des Umrichters 50 integriert. An die Steuerung 56 sind direkt oder über einen weiteren Bus 68 Aktoren 62 und Sensoren 64, 66 angeschlossen, die gegebenenfalls im Motor 52 integriert sind, wie für Sensor 66 beispielhaft gezeigt. Der Umrichter 50 ist somit als ein Feldgerät ausgebildet, wie es für Anwendungen der dezentralen Technik vorteilhaft ist.
Insbesondere sind im Umrichter 50 Mittel integriert, die eine Verwendung des Umrichters 50 als Busteilnehmer ermöglichen. Die erfindungsgemäße Bereitstellung zweier logischer Slaves durch eine entsprechende State machine in der Steuerung 56 bewirkt besonders vorteilhaft, dass zwischen Feldbus 54 und Umrichter 50 einerseits binäre Daten zur
Ansteuerung von Aktoren 62 oder Sensoren 64, 66 austauschbar sind und dass andererseits byte-orientierte Daten beispielsweise in Form von Parametern für den Umrichter 50 oder von Befehlen zum Betrieb des Motors 52 oder in Form von Informationen über den Zustand von Umrichter 50 oder Motor 52 übergebbar sind. Diese Übergabe von Befehlen oder Parametern wird wie beschrieben mit dem erfindungsgemäßen Verfahren zur sicheren Datenübertragung durch das Versenden sicherheitsgerichteter Nachrichten über die zwei logischen Slaves durchgeführt.
Bei einem weiteren erfindungsgemäßen Ausführungsbeispiel ist statt des AS-interface-Buses ein anderer Feldbus, insbesondere CAN, CAN-Open, DeviceNet, Profibus, INTERBUS, Ethernet, real-time Ethernet, Wireless-LAN, EIB oder LCN.

Claims

Patentansprüche:
1. Verfahren zur sicheren Datenübertragung, wobei ein als Busteilnehmer vorgesehenes Gerät vorgesehen ist, dadurch gekennzeichnet, dass das Gerät vor der Adressierung mit einer Standardadresse, insbesondere Adresse „0", versehen wird und in einem ersten Modus, insbesondere Standardadressiermodus, betrieben wird und einen logischen Slave realisiert, - dem Gerät eine andere Adresse zugewiesen wird, und dann das Gerät nach Adresszuweisung mindestens zwei logische Slaves realisiert, wobei die in dem Gerät nach Adressierung realisierten mindestens zwei logischen Slaves zur redundanten, insbesondere sicherheitsgerichteten, Datenkommunikation mit dem Bus verwendet werden.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die Slaves im erweiterten Adressiermodus mit der zugewiesenen Adresse alternierend jeweils in aufeinander folgenden Zyklen als A-Adresse beziehungsweise B-Adresse angesprochen werden.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die in dem Slave nach Adressierung realisierten mindestens zwei logischen Slaves mit einem Busteilnehmer Daten redundant austauschen über den Bus.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die in dem Slave nach Adressierung realisierten mindestens zwei logischen Slaves über jeweils einen Kommunikationskanal Daten austauschen, wobei Daten redundant übertragen werden, insbesondere wobei in jedem Kommunikationskanal die Daten einen identischen Informationsgehalt aufweisen.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die mindestens zwei logischen Slaves voneinander verschiedene Profile aufweisen.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass mindestens einer der mindestens zwei logischen Slaves ein sicherheitsgerichteter Teilnehmer ist.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass durch die redundante Datenübertragung die Fehlerrate durch Wiederholung, Verlust, Einfügung, Vertauschung, Verfälschung und/oder Verzögerung von Busnachrichten vermindert wird.
8. Verfahren nach einem der Ansprüche 1 oder 7, dadurch gekennzeichnet, dass ein Bussystem mit mindestens zwei Zyklen betrieben wird und in einem ersten Zyklus Informationen gesendet werden, die in dem folgenden, zweiten Zyklus wiederholt werden.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass jeder Busteilnehmer seine in dem ersten Zyklus empfangenen Informationen mit den im zweiten Zyklus empfangenen Informationen vergleicht.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass ein Bussystem mit mindestens zwei Zyklen betrieben wird und in einem Zyklus Nutzdaten und im jeweils vorangehenden oder folgenden Zyklus Prüfdaten übermittelt werden, insbesondere wenigstens eine der folgenden Informationen: eine laufende Nummer der Nutzdaten, eine Zeitmarke für den Sendezeitpunkt der Nutzdaten, eine Zeiterwartung für die Dauer der Gültigkeit der Nutzdaten, eine Empfangsbestätigung mit der Wiederholung einer zuvor erhaltenen Nachricht, insbesondere des Masters, eine Kennung des Senders und/oder des Empfängers.
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass der Busteilnehmer, ein Busmaster und/oder ein Sicherheitsmonitor eine Fehlerroutine ausführt, wenn die verglichene Information nicht übereinstimmt und/oder wenn anhand der Prüfdaten ein Übertragungsfehler erkannt wird.
12. Verfahren nach einem der Ansprüche 1 bis 11 , dadurch gekennzeichnet, dass die Fehlerroutine die Ausgabe eines Befehls zum sicheren Halt an eine Antriebseinheit umfasst und/oder die Fehlerroutine die Ausgabe einer Fehlerrückmeldung an den Master umfasst.
13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass der Bus ein Feldbus ist, insbesondere einer der Bussysteme CAN, CAN-Open, DeviceNet, Profibus, INTERBUS, AS-interface, Ethernet, Wireless-LAN, EIB, LCN, und/oder der Busteilnehmer als AS-interface-Slave oder anderer Feldbus-Slave betrieben wird.
14. Gerät zum Ausführen eines Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass an dem Gerät eine Umschaltlogik ausgebildet ist, die bei einem Wechsel von einer Standardadresse, insbesondere von einer Auslieferungsadresse oder von Adresse „0", auf einen anderen Adressen-Wert das Gerät von einem ersten in einen zweiten Betriebsmodus versetzt, wobei das Gerät im ersten Modus einen logischen Slave (3) realisiert und das Gerät im zweiten Modus zwei logische Slaves (3A, 3B) realisiert.
15. Gerät nach Anspruch 14, dadurch gekennzeichnet, dass das Gerät einen Slave-IC und den mit diesem verbundenen Rechner, insbesondere
Mikroprozessor mit Speicher, umfasst, wobei der Slave-IC im transparenten Modus verwendbar ist, insbesondere wobei der Mikroprozessor des Geräts zum Anschluss an einen Bus in die
Steuerung des Umrichters, insbesondere in die Ansteuerung der Leistungselektronik des
Umrichters, integriert ist, und/oder der Rechner von einem Umrichter oder einer Steuerung umfasst ist, insbesondere der Rechner zur Steuerung und/oder Regelung von Aktoren, Elektromotoren oder dergleichen vorgesehen ist, insbesondere wobei das Gerät ein Umrichter ist, in welchen ein Gerät zum Anschluss an einen Bus integriert ist, und/oder
Anschlussmittel für den Anschluss von Aktoren und/oder Sensoren und/oder einem Bus, beispielsweise MOVILINK®-Bus, und/oder Schaltausgänge und/oder umfasst sind, wobei diese Anschlussmittel und/oder Schaltausgänge vom Bus ansteuerbar beziehungsweise auslesbar sind.
PCT/EP2008/007226 2007-09-13 2008-09-04 Verfahren zur sicheren datenübertragung und gerät WO2009036891A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP08801833A EP2203821B1 (de) 2007-09-13 2008-09-04 Verfahren zur sicheren datenübertragung und gerät
AT08801833T ATE500549T1 (de) 2007-09-13 2008-09-04 Verfahren zur sicheren datenübertragung und gerät
DE502008002772T DE502008002772D1 (de) 2007-09-13 2008-09-04 Verfahren zur sicheren datenübertragung und gerät

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102007043769.4A DE102007043769B4 (de) 2007-09-13 2007-09-13 Gerät, Verfahren zur Adressierung, Umrichter und Verfahren zur sicheren Datenübertragung
DE102007043769.4 2007-09-13

Publications (1)

Publication Number Publication Date
WO2009036891A1 true WO2009036891A1 (de) 2009-03-26

Family

ID=40219973

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/007226 WO2009036891A1 (de) 2007-09-13 2008-09-04 Verfahren zur sicheren datenübertragung und gerät

Country Status (4)

Country Link
EP (1) EP2203821B1 (de)
AT (1) ATE500549T1 (de)
DE (2) DE102007043769B4 (de)
WO (1) WO2009036891A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010048286B4 (de) * 2010-10-14 2013-08-01 Kruno Pranjic Untertagedatenübertragungsnetz mit Diagnosegerät
CN112148629A (zh) * 2019-06-26 2020-12-29 意法半导体 (Alps) 有限公司 用于在总线上寻址集成电路的方法和对应设备
US11424956B2 (en) 2018-01-31 2022-08-23 Zf Friedrichshafen Ag Transmission system for control data

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2731298A1 (de) 2012-11-07 2014-05-14 Siemens Aktiengesellschaft Kommunikationssystem
CN104699055A (zh) * 2015-02-13 2015-06-10 西安热工研究院有限公司 一种现场总线控制器及方法
DE102018001574B4 (de) * 2018-02-28 2019-09-05 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Master-Slave Bussystem und Verfahren zum Betrieb eines Bussystems
CN114467062A (zh) * 2019-12-23 2022-05-10 深圳市英威腾电气股份有限公司 一种变频器的功能安全装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905594A1 (de) * 1997-09-26 1999-03-31 PHOENIX CONTACT GmbH & Co. Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE10038860A1 (de) * 2000-08-04 2002-02-21 Ifm Electronic Gmbh ASI-Slave
DE10206657A1 (de) * 2002-02-15 2003-09-18 Andreas Schiff Aktuator-Sensor-Interface für die Automation mit erweiterter Funktion
WO2007051595A1 (de) * 2005-11-04 2007-05-10 Phoenix Contact Gmbh & Co. Kg Verfahren sowie system zur übertragung von zyklischen und azyklischen daten
WO2007057445A1 (de) * 2005-11-21 2007-05-24 Siemens Aktiengesellschaft Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0685803B1 (de) 1994-06-03 2001-04-18 Hyundai Electronics America Herstellungsverfahren für einen elektrischen Vorrichtungs-Adapter
DE19743981C2 (de) 1997-10-06 1999-11-25 Ifm Electronic Gmbh Verfahren zur Adressvergabe an einen Aktuator-Sensor-Interface-Slave sowie Aktuator-Sensor-Interface-Slave und Adressprogrammiergerät zur Durchführung des Verfahrens
DE19814102C2 (de) * 1998-03-30 1999-05-12 Siemens Ag Datenübertragungsverfahren
DE20023852U1 (de) * 2000-08-04 2006-12-14 Ifm Electronic Gmbh ASI-Slave
DE102006026972B3 (de) * 2006-06-01 2007-10-25 Sew-Eurodrive Gmbh & Co. Kg Gerät und Verfahren zur Adressierung und Umrichter

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905594A1 (de) * 1997-09-26 1999-03-31 PHOENIX CONTACT GmbH & Co. Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten
DE10038860A1 (de) * 2000-08-04 2002-02-21 Ifm Electronic Gmbh ASI-Slave
DE10206657A1 (de) * 2002-02-15 2003-09-18 Andreas Schiff Aktuator-Sensor-Interface für die Automation mit erweiterter Funktion
WO2007051595A1 (de) * 2005-11-04 2007-05-10 Phoenix Contact Gmbh & Co. Kg Verfahren sowie system zur übertragung von zyklischen und azyklischen daten
WO2007057445A1 (de) * 2005-11-21 2007-05-24 Siemens Aktiengesellschaft Busmodul zum anschluss an ein bussystem sowie verwendung eines solchen busmoduls in einem as-i-bussystem

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010048286B4 (de) * 2010-10-14 2013-08-01 Kruno Pranjic Untertagedatenübertragungsnetz mit Diagnosegerät
US11424956B2 (en) 2018-01-31 2022-08-23 Zf Friedrichshafen Ag Transmission system for control data
CN112148629A (zh) * 2019-06-26 2020-12-29 意法半导体 (Alps) 有限公司 用于在总线上寻址集成电路的方法和对应设备

Also Published As

Publication number Publication date
EP2203821B1 (de) 2011-03-02
DE102007043769A1 (de) 2009-03-19
EP2203821A1 (de) 2010-07-07
ATE500549T1 (de) 2011-03-15
DE102007043769B4 (de) 2016-09-01
DE502008002772D1 (de) 2011-04-14

Similar Documents

Publication Publication Date Title
DE102009042354C5 (de) Verfahren und Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage
EP2203821B1 (de) Verfahren zur sicheren datenübertragung und gerät
DE102006026972B3 (de) Gerät und Verfahren zur Adressierung und Umrichter
EP1789857B1 (de) Datenübertragungsverfahren und automatisierungssystem zum einsatz eines solchen datenübertragungsverfahrens
EP3170287B1 (de) Steuer- und datenübertragungssystem, gateway-modul, e/a-modul und verfahren zur prozesssteuerung
EP3177973B1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
EP3632040A1 (de) Verarbeitung von prozessdaten
EP2606610B1 (de) Verfahren zur vergabe von teilnehmeradressen an busteilnehmer eines busbasierten steuerungssystems
EP3098673A1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP2484058B1 (de) Adressierungsverfahren und kommunikationsnetzwerk mit einem solchen adressierungsverfahren
EP2233991A1 (de) Sicherheitsgerichtetes Automatisierungssystem mit automatischer Adresswiederherstellung
EP1224510A2 (de) System und verfahren zum verhindern von unberechtigtem zugriff auf module, insbesondere bei automatisierungssystemen
EP1064590A1 (de) Verkürztes datentelegramm eines automatisierungssystems
DE102019123146B4 (de) Diagnose- und/oder parameterdaten-übertragung zwischen steuermodul und eingabe/ausgabe-modul
DE102007040424B4 (de) Gerät zum Anschluss an einen Bus, Umrichter und Verfahren zur Adressierung
DE10357422A1 (de) Verfahren zur Übertragung von Daten über einen Datenbus sowie System und Gateway zur Durchführung des Verfahrens
WO2016034676A1 (de) Datenübertragung zwischen wenigstens einem sicheren produzenten und wenigstens einem sicheren konsumenten
EP3478541B1 (de) Sicherheitseinrichtung und verfahren zum betreiben eines systems

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08801833

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2008801833

Country of ref document: EP