-
Die Erfindung betrifft ein Sicherheitssystem sowie ein Verfahren zum Austauschen von sicherheitsgerichteten Daten in einem Sicherheitssystem. Das Sicherheitssystem umfasst hierbei insbesondere einen AS-i Master, eine Steuerung, einen ASi Datenbus und einen von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist.
-
Ein derartiges Sicherheitssystem kommt insbesondere im Bereich der industriellen Automatisierungstechnik zum Einsatz. Innerhalb der industriellen Automatisierungstechnik können Geräte auf unterschiedliche Weise miteinander zur Kommunikation angebunden werden. Geräte auf der untersten Feldbusebene können beispielsweise mittels AS-i (abgekürzt für englisch „Actuator-Sensor-Interface“) angebunden werden. AS-i bildet einen Standard für die Feldbus-Kommunikation, bei welchem insbesondere Aktoren und Sensoren an einen AS-i Master angebunden werden. AS-i ist ein Single-Master-System, d.h. ein Master pollt zyklisch alle projektierten Slaves und tauscht mit ihnen die Ein- und Ausgangsdaten aus. Ein Telegramm besteht dabei aus 4-Bit Nutzdaten. Der Master kommuniziert mit einem seriellen Übertragungsprotokoll mit den Teilnehmern. Der AS-i Master übernimmt somit innerhalb AS-i System für den gewöhnlichen Datenaustausch die Steuerungsaufgaben.
-
Übergeordnete Systeme können zur Kommunikation wiederum einen anderen Datenbus verwenden. So kann beispielsweise der AS-i Master mittels eines vom AS-i Datenbus unterschiedlichen anderen Datenbusses mit einer Steuerung verbunden sein. Eine derartige übergeordnete Steuerung ist beispielsweise eine SPS (Speicher Programmierbare Steuerung) und der andere Datenbus ist beispielsweise PROFIBUS oder PROFINET. Auf diese Weise kann eine durchgängige Kommunikation und somit ein durchgängiger Informationsfluss innerhalb eines Automatisierungssystems ermöglicht werden.
-
Durch die Integration von Sicherheitstechnik in einem Automatisierungssystem können entsprechende Sicherheitsanforderungsstufen erreicht werden. Derartige Sicherheitsanforderungsstufen werden beispielsweise durch die Sicherheitskategorien nach EN 954-1 oder durch die Stopp-Kategorien nach EN 60204 oder das Sicherheits-Integritätslevel (SIL) definiert. Je nach Sicherheitsanforderungsstufen muss das betrachtete System (Sicherheitssystem) entsprechende Sicherheitsmechanismen aufweisen.
-
Im Vergleich zu einem gewöhnlichen System sind bei einem Sicherheitssystem üblicherweise die betroffenen Geräte sowie deren Datenaustausch sicherheitsgerichtet ausgebildet, so dass eine entsprechende Sicherheitsanforderungsstufe erreicht wird. Die sicherheitsgerichteten Geräte können hierfür beispielsweise redundant aufgebaut sein und der Datenaustausch wird beispielsweise durch einen Zusatz von Codes zu den Daten sicherheitsgerichtet ausgebildet. Bei einem Datenaustausch kann somit zwischen einem normalen Datenaustausch und einem sicherheitsgerichteten Datenaustausch unterschieden werden. Bei dem normalen Datenaustausch werden Daten mittels eines normalen Telegramms über den jeweiligen Datenbus ausgetauscht. Bei einem sicherheitsgerichteten Datenaustausch werden Daten mittels eines sicherheitsgerichteten Telegramms über den jeweiligen Datenbus ausgetauscht. Im Folgenden werden Daten, welche sicherheitsgerichtet übertragen werden, als sicherheitskritische Daten bezeichnet. Das sicherheitsgerichtete Telegramm umfasst hierbei sicherheitskritische Daten sowie ein Sicherungsmittel, mit welchem die Übertragung der sicherheitskritischen Daten abgesichert werden kann. Ein derartiges Sicherungsmittel ist beispielsweise eine Codefolge oder ein Prüfwert (z.B. mittels CRC „cyclic redundancy check“). Zu übertragende Daten bzw. sicherheitskritische Daten werden durch mindestens 1 Bit abgebildet.
-
Im Fall von AS-i wurde mit AS-i Safety at Work ein zertifizierter Standard entwickelt, der den Einsatz von sicherheitsgerichteten Komponenten im AS-i Netz ermöglicht. Hierzu zählen unter anderem Sicherheitsmonitore, Not-Aus-Betätigungen, Türverriegelungen, Lichtgitter/-vorhänge und optische Scanner. Sicherheitsgerichte Komponenten können innerhalb eines AS-i Safety at Work Systems einfach in ein bestehendes AS-i Netz eingebunden werden. Sicherheitsgerichtete Komponenten sowie Standardkomponenten arbeiten parallel am selben AS-i Datenbus. Der AS-i Master betrachtet die sicherheitsgerichteten Slaves wie alle übrigen Slaves und bindet sie in das AS-i Netz ein. Das Übertragungsprotokoll und die Leitungen des ASi Systems sind so ausgelegt, dass neben gewöhnlichen Telegrammen auch sicherheitsgerichtete Telegramme und somit sicherheitskritische Daten übertragen werden können. Die Auswertung der sicherheitsgerichteten Telegramme und deren sicherheitskritische Daten und Sicherungsmittel erfolgt mittels eines Sicherheitsmonitors. Dieser Sicherheitsmonitor überwacht zum einen die sicherheitsgerichtete Kommunikation auf dem AS-i Datenbus auf ihre Korrektheit und zum anderen kann ein Endanwender über den Sicherheitsmonitor die Logik zwischen den verwendeten sicherheitsgerichteten Geräten und deren Signale festlegen. Der Sicherheitsmonitor übernimmt somit innerhalb des AS-i Safety at Work Systems für den sicherheitsgerichteten Datenaustausch die logische Auswertung der sicherheitskritischen Daten. Die Konfiguration des Sicherheitsmonitors und somit des Sicherheitssystems erfolgt beispielsweise mittels einer PC-Software, über deren grafische Benutzeroberfläche die Reaktion auf die verschiedenen Eingangssignale am Sicherheitsmonitor definiert werden kann. Das Sicherheitssystem wird somit über den Sicherheitsmonitor gesteuert.
-
Wird nun beispielsweise ein bestehendes nicht sicheres AS-i System betrachtet, welches einen AS-i Datenbus und einen an diesem angebundenen AS-i Master und mindestens einen sicherheitsgerichteten Slave umfasst und ein Anwender möchte dieses AS-i System sicherheitsgerichtet ausbilden, so gibt es derzeit zwei unterschiedliche Ansätze:
- a) An den bestehenden AS-i Datenbus wird ein separater Sicherheitsmonitor angebunden (siehe 1).
- b) Der bestehende AS-i Master wird durch einen AS-i Master mit integriertem Sicherheitsmonitor ausgetauscht (siehe 2) .
-
Der Sicherheitsmonitor sowie der AS-i Master mit integriertem Sicherheitsmonitor ermöglicht die Auswertung des sicherheitsgerichteten Datenaustausches. Hierbei kann ein Anwender mittels des Sicherheitsmonitors zum einen die von den sicherheitsgerichteten Slaves gesandten sicherheitsgerichteten Telegramme auf ihre Korrektheit überprüfen (das Sicherheitsmittel wird kontrolliert) als auch die eingehenden sicherheitskritischen Daten der Slaves logisch auswerten. Der Sicherheitsmonitor umfasst somit eine vom Anwender programmierbare Logik, so dass eine logische Auswertung sicherheitskritischer Daten sowie eine Steuerung des sicherheitsgerichteten Systems erfolgen kann.
-
Ansatz a) bietet den Vorteil, dass sichere und nicht sichere Komponenten getrennt sind. Die Steuerung des „nichtsicheren“ AS-i Systems erfolgt durch den AS-i Master und die Steuerung des sicheren AS-i Systems erfolgt über den Sicherheitsmonitor. Nachteil daran ist jedoch, dass ein Anwender somit zwei Steuerungsprogramme konfigurieren sowie verwalten muss. Ein Austausch sicherheitskritischer Daten mit einer übergeordneten Steuerung eines übergeordneten Datenbusses ist nicht möglich, da die sicherheitskritischen Daten des Sicherheitsmonitors dem AS-i Master nicht vorliegen.
-
Diese Funktion hingegen leistet der Ansatz b), da der AS-i Master, welcher den Sicherheitsmonitor umfasst, üblicherweise ein Anschlussmittel für einen übergeordneten Datenbus umfasst, so dass er mit einer übergeordneten Steuerung kommunizieren kann.
-
Hat ein Anwender einen nicht sicheren AS-i Master verwendet, so kann nachträglich die Sicherheitstechnik entweder durch Ansatz a) mit den damit verbundenen Einschränkungen nachgerüstet werden oder der Anwender tauscht den bisher eingesetzten nichtsicheren AS-i Master durch einen AS-i Master mit integriertem Sicherheitsmonitor aus. Hierfür müsste er jedoch das abgebildete AS-i System vollständig neu konfigurieren, so dass ein erhöhter Installationsaufwand betrieben werden muss. Ferner entstehen durch den Austausch zusätzliche Kosten, da der bisherige AS-i Master nicht mehr innerhalb des betrachteten Systems verwendet werden kann.
-
Möchte der Anwender sicherheitskritische Daten des AS-i Systems ebenso in dem übergeordneten Datenbus-System vorliegen haben, so ist dies lediglich mit Ansatz b) zu realisieren.
-
US 2006/0190094 A1 (Gehlen et al.) 24.08.2006 beschreibt eine Kopplungsvorrichtung für Datenbusse mit einer ersten Anschlusseinrichtung für einen ersten Datenbus, einer zweiten Anschlusseinrichtung für einen zweiten, von dem ersten verschiedenen Datenbus und einer Datenverarbeitungseinrichtung, die mit der ersten und zweiten Anschlusseinrichtung verbunden ist, um einen Datenaustausch zwischen den Datenbussen zu ermöglichen.
-
US 2009/0055561A1 (Ritz et al.) 26.02.2009 beschreibt ein Busmodul zum Anschluss an ein Bussystem, welches Mittel zur Ausgabe sicherheitsgerichteter Signale in Form von sich wiederholenden eindeutigen Kodefolgen aufweist.
-
DE 10 2007 049 578 A1 (Bihl + Wiedemann GmbH) 16.04.2009 beschreibt einen Sicherheitsmonitor für Safety-at-Work Netze, der Daten mit sicherheitsgerichteten Slaves (Ein- und/oder Ausgängen) seines Netzes austauscht und in Abhängigkeit von diesen Daten und seinem individuellen Programm entscheidet, welche sicheren Ausgänge gesetzt werden. Dabei enthält er neben der Schnittstelle zum eigenen Netz eine zweite Schnittstelle zu Ethernet, über die er aktuelle Zustandsdaten seines Netzes mit denen anderer Sicherheitsmonitore der Applikation sicherheitsgerichtet austauscht. Neben den Daten seines eigenen Netzes bezieht er auch diese Zustandsdaten der anderen Monitore in sein lokales Programm ein und verarbeitet sie.
-
US 2008/0080521 A1 (Sichner et al.) 03.04.2008 beschreibt einen Adapter zur Kommunikation in einem industriellen Steuerungssystem.
-
Es ist Aufgabe der vorliegenden Erfindung ein verbessertes Sicherheitssystem anzugeben, mit welchem insbesondere genannte Nachteile überwunden werden können.
-
Die Aufgabe wird gelöst durch eine Vorrichtung gemäß Anspruch 1, d.h. durch ein Sicherheitssystem mit einem Koppler, einem AS-i Master, einer Steuerung, einem AS-i Datenbus und einem von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master und der Koppler jeweils mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist, wobei über den Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundenen AS-i Datenbus und dem zweiten Datenbus erfolgen kann und wobei der Koppler und der AS-i Master zwei separate Komponenten sind, einem Koppler nach Anspruch 11, d.h. einem Koppler für ein Sicherheitssystem nach einem der Ansprüche 1 bis 10, mit einer ersten Anschlusseinrichtung für den AS-i Datenbus, einer zweiten Anschlusseinrichtung für den zweiten Datenbus, und einer Datenverarbeitungseinheit, welche mit der ersten und zweiten Anschlusseinrichtung verbunden ist, um den sicherheitsgerichteten Datenaustausch zwischen dem AS-i Datenbus und dem zweiten Datenbus zu ermöglichen, und einem Verfahren nach Anspruch 12, d.h. durch ein Verfahren zum Austauschen von sicherheitskritischen Daten in einem Sicherheitssystem mit einem Koppler, einem AS-i Master, einer Steuerung, einem AS-i Datenbus und einem von dem AS-i Datenbus verschiedenen zweiten Datenbus, wobei die Steuerung mit dem zweiten Datenbus verbunden ist und der AS-i Master und der Koppler jeweils mit dem AS-i Datenbus und dem zweiten Datenbus verbunden ist, wobei über den Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundenen AS-i Datenbus und dem zweiten Datenbus erfolgt und wobei der Koppler und der AS-i Master zwei separate Komponenten sind.
-
Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen 2 bis 10 sowie 13 bis 14 angegeben.
-
Der mit der Erfindung erzielte Vorteil besteht darin, dass nun ein sicherheitsgerichteter Datenaustausch zwischen Slaves, welche am AS-i Datenbus angeschlossen sind, und der Steuerung, welche nicht am AS-i Datenbus angeschlossen ist, erfolgen kann. Der Koppler bildet somit eine Schnittstelle zwischen dem AS-i Datenbus und dem zweiten Datenbus, so dass sicherheitskritische Daten des AS-i Datenbusses zur Steuerung gesandt werden können und ebenso die Steuerung sicherheitskritische Daten über den Koppler in den AS-i Datenbus senden kann. Dadurch, dass der Koppler eine sicherheitsgerichtete Datenübertragung zwischen den beiden Datenbussen ermöglicht, kann nun eine logische Auswertung der sicherheitskritischen Daten in der Steuerung erfolgen.
-
Um eine logische Auswertung sicherheitskritischer Daten des AS-i Datenbusses zu ermöglichen muss der AS-i Datenbus nun nicht mehr mit einem Sicherheitsmonitor oder einem AS-i Master mit integriertem Sicherheitsmonitor verbunden werden, da dies nun „extern“ über die Steuerung erfolgen kann.
-
Möchte folglich ein Anwender ein bestehendes „unsicheres“ ASi System sicherheitsgerichtet ausbilden, so kann der bestehende AS-i Master weiterhin genutzt werden. Ferner muss er keinen Sicherheitsmonitor mit dem AS-i Datenbus verbinden. Es genügt, wenn er den Koppler mit dem AS-i Datenbus und dem zweiten Datenbus verbindet. Dadurch, dass der Koppler ein sicherheitsgerichtetes Telegramm des AS-i Datenbusses in ein sicherheitsgerichtetes Telegramm des zweiten Datenbusses umsetzen kann, kann die logische Auswertung der sicherheitskritischen Daten nun mittels der Steuerung des zweiten Datenbusses erfolgen. Da durch den Koppler keine logische Auswertung bereitgestellt werden muss, kann ein kostengünstiges Bauelement bereitgestellt werden mittels welchem ein bestehendes AS-i System sicherheitsgerichtet ausgebildet werden kann. Der Steuerung des zweiten Bussystems liegen somit die sicherheitskritischen Daten vor und können von dieser logisch ausgewertet werden.
-
Die logische Auswertung der am Sicherheitsprozess beteiligten Slaves, welche über den AS-i Datenbus zur Kommunikation angebunden sind, kann somit zentral über die „übergeordnete“ Steuerung erfolgen. Die Auswertung der sicherheitskritischen Daten erfolgt somit zentral über die Steuerung. Ein Vorteil eines derartigen Aufbaus besteht insbesondere darin, dass der Steuerung die sicherheitskritischen Daten vorliegen, so dass eine weitere Analyse der sicherheitskritischen Daten erfolgen kann.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist der Koppler sicherheitsgerichtet ausgebildet und kann auf dem AS-i Datenbus sowie dem zweiten Datenbus sicherheitsgerichtet kommunizieren. Der Koppler kann somit die sicherheitsgerichteten Telegramme des AS-i Datenbusses und des zweiten Datenbusses hinsichtlich ihres Sicherheitsmittels kontrollieren sowie die jeweiligen sicherheitskritischen Daten in das entsprechende Telegramm der Datenbusse umsetzten. Auf diese Weise kann ein sicherheitsgerichteter Datenaustausch zwischen den beiden Datenbussen gewährleistet werden.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst der Koppler eine erste Anschlusseinrichtung für den AS-i Datenbus, eine zweite Anschlusseinrichtung für den zweiten Datenbus und eine Datenverarbeitungseinheit, welche mit der ersten und zweiten Anschlusseinrichtung verbunden ist, um den sicherheitsgerichteten Datenaustausch zwischen dem AS-i Datenbus und dem zweiten Datenbus zu ermöglichen.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung kann der Koppler sicherheitsgerichtet sicherheitskritische Daten über den mit ihm verbundenen AS-i Datenbus empfangen und über den zweiten Datenbus an die Steuerung senden. Das Empfangen und Senden der sicherheitskritischen Daten erfolgt insbesondere mittels einer Datenverarbeitungseinheit des Kopplers.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung kann der Koppler sicherheitsgerichtet sicherheitskritische Daten der Steuerung über den zweiten Datenbus empfangen und in den mit ihm verbundenen AS-i Datenbus einspeisen. Das Empfangen und Einspeisen der sicherheitsgerichteten Daten erfolgt insbesondere mittels der Datenverarbeitungseinheit des Kopplers.
-
Hierbei hat insbesondere der Koppler keine vom Anwender programmierbare Logik bezüglich der Auswertung der sicherheitskritischen Daten der Steuerung. Die Auswertung der sicherheitskritischen Daten der Steuerung erfolgt insbesondere im angesprochenen Gerät, welches am AS-i Datenbus hängt.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung kann mit dem Koppler lediglich ein Umsetzten von sicherheitskritischen Daten des AS-i Datenbusses in den zweiten Datenbus und/oder ein Umsetzten von sicherheitskritischen Daten des zweiten Datenbusses in den AS-i Datenbusses sowie eine Überprüfen des sicherheitsgerichteten Telegramms des jeweiligen Datenbusses auf seine Richtigkeit erfolgen. Liegt ein fehlerhaftes Telegramm vor, so kann vorzugsweise ein Fehlersignal ausgegeben werden.
-
Ein sicherheitsgerichtetes Telegramm besteht insbesondere aus sicherheitskritischen Daten, welche durch mindestens 1 Bit abgebildet sind, und einem Sicherungsmittel, welches durch mindestens 1 Bit abgebildet ist. Die Anzahl der Bits ist abhängig von der Sicherheitsanforderungsstufe.
-
Der Koppler weist insbesondere keine vom Anwender programmierbare Logik auf. Insbesondere kann keine logische Auswertung der empfangen sicherheitskritischen Daten erfolgen. Der Koppler kann lediglich einen Transfer der sicherheitskritischen Daten vom AS-i Datenbus in den zweiten Datenbus oder umgekehrt, sowie ein Überprüfen eines jeweiligen empfangenen Telegramms hinsichtlich seines Sicherungsmittels durchführen. Die logische Auswertung der sicherheitskritischen Daten erfolgt somit lediglich in der Steuerung bzw. den korrespondierenden Slaves des AS-i Datenbusses.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst die Steuerung ein Logikmittel, welches eine logische Auswertung sicherheitskritischer Daten ermöglicht, wobei das Logikmittel programmierbar ist. Insbesondere können sicherheitskritische Daten, welche über den AS-i Datenbus kommuniziert wurden, ausgewertet werden. Vorzugsweise kann ein Anwender die Steuerung hinsichtlich der logischen Auswertung der sicherheitskritischen Daten programmieren.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst das Sicherheitssystem ferner einen AS-i Slave, welcher mit dem AS-i Datenbus verbunden ist, wobei ein sicherheitsgerichteter Datenaustausch zwischen dem AS-i Slave und der Steuerung über den Koppler erfolgen kann. Der AS-i Slave ist insbesondere ein sicherheitsgerichteter AS-i Salve.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfasst das Sicherheitssystem einen weiteren Koppler und einen weiteren AS-i Datenbus, wobei der weitere Koppler mit dem zweiten Datenbus und dem weiteren AS-i Datenbus verbunden ist, wobei über den weiteren Koppler ein sicherheitsgerichteter Datenaustausch zwischen dem mit ihm verbundenen weiteren AS-i Datenbus und dem zweiten Datenbus erfolgen kann. Über den weiteren Koppler können insbesondere sicherheitskritische Daten zwischen dem zweiten Datenbus und dem weiteren AS-i Datenbus sicherheitsgerichtet ausgetauscht werden.
-
Auf diese Weise kann ebenso durch die Steuerung eine logische Auswertung der sicherheitskritischen Daten des weiteren AS-i Datenbus erfolgen. Sowohl der AS-i Datenbus als auch der weitere AS-i Datenbus muss somit jeweils keinen Sicherheitsmonitor aufweisen. Übergreifende sicherheitsgerichtete Analysen sicherheitskritischer Daten zweier AS-i Datenbusse können somit zentral über eine Steuerung erfolgen. Zwei oder mehrere getrennte AS-i Datenbusse können somit mittels der Steuerung und weiterer Koppler derart verschaltet werden, dass sicherheitskritische Daten des einen AS-i Datenbusses Auswirkungen auf Slaves der anderen AS-i Datenbusse haben.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung umfassen das Sicherheitssystem eine Einbaustation und der ASi Master und der Koppler sind derart ausgebildet, dass sie modular in die Einbaustation eingebaut werden können. Insbesondere umfasst die Einbaustation bereits die Steuerung, so dass der AS-i Master und der Koppler unmittelbar mit der Steuerung gekoppelt werden kann.
-
In einer weiteren vorteilhaften Ausführungsform der Erfindung ist der zweite Datenbus ein PROFIBUS Datenbus. Über diesen PROFIBUS wird insbesondere zwischen der Steuerung und dem Koppler mittels PROFIsafe kommuniziert.
-
Bei einem Datenaustausch wird insbesondere mindestens ein Bit übertragen.
-
Im Folgenden werden die Erfindung und Ausgestaltungen der Erfindung anhand der in den Figuren dargestellten Ausführungsbeispiele näher beschrieben und erläutert. Es zeigen:
- 1 Eine schematische Darstellung eines AS-i Bussystems, wobei ein Sicherheitsmonitor separat am AS-i Datenbus angeschlossen ist,
- 2 eine schematische Darstellung eines AS-i Bussystems, wobei ein AS-i Master mit integriertem Sicherheitsmonitor am AS-i Datenbus angeschlossen ist,
- 3 eine schematische Darstellung eines Sicherheitssystems, welches einen Koppler umfasst,
- 4 eine schematische Darstellung eines Sicherheitssystems, welches einen weiteren Koppler umfasst.
-
1 zeigt eine schematische Darstellung eines AS-i Bussystems, wobei ein Sicherheitsmonitor 4 separat am AS-i Datenbus 6 angeschlossen ist. In 1 sind zwei unterschiedliche Bussysteme abgebildet, welche mittels unterschiedlicher Telegramme auf ihren entsprechenden Datenbus 6,7 kommunizieren können. Ein Bussystem ist hierbei das AS-i Bussystem. Geräte des AS-i Bussystems sind über den AS-i Datenbus 6 miteinander verbunden, so dass sie hierüber kommunizieren können. An dem AS-i Datenbus 6 ist ein AS-i Master 2, ein Sicherheitsmonitor 4 und zwei Slaves 5 angeschlossen. Hinsichtlich der normalen Datenkommunikation auf dem AS-i Datenbus 6 sorgt der AS-i Master 2 für die notwendige Steuerung und logische Auswertung der übertragenen Daten. Bei der sicherheitsgerichteten Datenkommunikation auf dem AS-i Datenbus 6 erfolgt hingegen die Überwachung sowie logische Auswertung der sicherheitsgerichteten Telegramme durch den Sicherheitsmonitor 4. Der Sicherheitsmonitor 4 wertet somit die sicherheitskritischen Daten aus.
-
Ein Anwender muss somit das Zusammenspiel der am AS-i Datenbus hängenden Geräte sowohl im AS-i Master 2, für die normale Datenkommunikation, als auch im Sicherheitsmonitor 4, für die sicherheitsgerichtete Datenkommunikation, konfigurieren. Eine logische Verschaltung der am AS-i Datenbus hängenden Slaves muss somit sowohl für den AS-i Master 2 als auch für den Sicherheitsmonitor 4 erfolgen. Dem AS-i Master 2 liegen sicherheitskritische Daten eines sicherheitsgerichteten Datenaustauschs nicht vor, da diese über den Sicherheitsmonitor 4 abgehandelt werden. Der AS-i Master 2 weist zur Kommunikation mit einer übergeordneten Steuerung 1 ein Anschlussmittel für einen zweiten Datenbus 7 auf, so dass er über den zweiten Datenbus 7 mit der Steuerung 1 kommunizieren kann. Nachteilig hieran ist, dass die Steuerung 1 nicht auf die sicherheitskritischen Daten des AS-i Systems zugreifen kann, da diese dem Master nicht vorliegen.
-
2 zeigt eine schematische Darstellung eines AS-i Bussystems, wobei ein AS-i Master 3 mit integriertem Sicherheitsmonitor am AS-i Datenbus 6 angeschlossen ist. Im Vergleich zu 1 liegt kein separater Sicherheitsmonitor sowie kein „unsicherer“ AS-i Master vor. In 2 liegt ein AS-i Master 3 mit integriertem Sicherheitsmonitor vor. Der AS-i Master 3 mit integriertem Sicherheitsmonitor kann somit neben dem gewöhnlichen Datenaustausch auf dem AS-i Datenbus 6 ebenso einen sicherheitsgerichteten Datenaustausch über den AS-i Datenbus 6 ermöglichen. Möchte beispielsweise einer der Slaves 5 sicherheitskritische Daten über den AS-i Datenbus 6 kommunizieren, so kann er mittels des sicherheitsgerichteten Telegramms die sicherheitskritischen Daten an den AS-i Master 3 mit Sicherheitsmonitor senden. Der AS-i Master 3 mit Sicherheitsmonitor kann daraufhin diese Daten empfangen und logisch auswerten. Nachteilig an einem derartigen Sicherheitssystem ist jedoch, dass bei einem nachträglichen Aufrüsten eines bestehenden AS-i Systems der „unsichere“ AS-i Masters durch einen AS-i Master 3 mit Sicherheitsmonitor ersetzt werden muss. Ferner muss die Abbildung der Logik für das gesamte AS-i Bussystem erneut im AS-i Master 3 mit Sicherheitsmonitor erfolgen.
-
3 zeigt eine schematische Darstellung einer Ausführungsform eines erfindungsgemäßen Sicherheitssystems, welches einen Koppler 8 umfasst. Das abgebildete Sicherheitssystem weist zwei unterschiedliche Bussysteme auf. Ein Bussystem kommuniziert über einen AS-i Datenbus 6, das andere Bussystem kommuniziert über einen zweiten Datenbus 7. An dem AS-i Datenbus 6 sind zwei Slaves 5, der Koppler 8 und ein AS-i Master 2 angeschlossen, so dass die Geräte über den AS-i Datenbus 6 kommunizieren können. Über den zweiten Datenbus 7 ist eine Steuerung 1, insbesondere eine sicherheitsgerichtete speicherprogrammierbare Steuerung, der AS-i Master 2 und der Koppler 8 angebunden, so dass sie über den zweiten Datenbus 7 kommunizieren können. Der Koppler 8 ist hierbei derart ausgebildet, dass er einen sicherheitsgerichteten Datenaustausch zwischen dem mit ihm verbundenen ersten AS-i Datenbus 6 und dem zweiten Datenbus 7 ermöglicht. Folglich können sicherheitskritische Daten eines Slaves 5 zu der Steuerung 1 übertragen werden. Hierfür sendet der Slave 5 ein sicherheitsgerichtetes Telegramm über den AS-i Datenbus 6. Der Koppler 8 empfängt dieses sicherheitsgerichtete Telegramm. Das sicherheitsgerichtete Telegramm besteht hierbei zum einen aus sicherheitskritischen Daten und aus einem Sicherungsmittel, welches eine ordnungsgemäße Übertragung auf dem AS-i Datenbus charakterisiert. Der Koppler 8 überprüft das Sicherungsmittel dahingehend ob eine ordnungsgemäße Übertragung zwischen dem Slave 5 und ihm stattgefunden hat und extrahiert die sicherheitskritischen Daten. Diese sicherheitskritischen Daten werden sicherheitsgerichtet in ein sicherheitsgerichtetes Telegramm für den zweiten Datenbus 7 umgewandelt und an die Steuerung 1 gesandt. Ebenso kann er sicherheitskritische Daten von der Steuerung 1 an einen Slave 5 übertragen. Der Koppler 8 kann somit insbesondere sicherheitskritische Daten zwischen den beiden Bussystemen austauschen. Ferner kann er während des Datenaustauschs die sicherheitsgerichtete Kommunikation des jeweiligen Datenbusses 6,7 dahingehend überprüfen, ob eine ordnungsgemäße Übertragung stattgefunden hat. Der Vorteil eines derartigen Sicherheitssystems besteht darin, dass die logische Auswertung der sicherheitskritischen Daten in der Steuerung 1 erfolgen kann. Das AS-i Bussystem muss somit keinen Sicherheitsmonitor aufweisen, welcher eine logische Auswertung der sicherheitskritischen Daten bereitstellt, da dies in der übergeordneten Steuerung 1 erfolgt. Ein nachträgliches Aufrüsten eines bestehenden nicht sicheren AS-i Systems in ein sicherheitsgerichtetes AS-i System ist somit auf einfache Weise möglich. Hierfür muss lediglich ein Koppler 8 mit den bestehenden AS-i Datenbus 6 verbunden werden sowie mit einen übergeordneten zweiten Datenbus 7 verbunden werden. Eine übergeordnete Steuerung 1, wie beispielsweise eine SIMATIC ET200S, welche sicherheitsgerichtet ausgebildet ist, kann nun die logische Auswertung der sicherheitskritischen Daten der am AS-i Datenbus hängenden Slaves 5 übernehmen. Die Übertragung der sicherheitskritischen Daten auf dem zweiten Datenbus 7 kann beispielsweise über PROFIsafe Telegramme erfolgen.
-
Durch den Einsatz eines Kopplers 8 ergeben sich mehrere Vorteile:
- - Ein Anwender kann ein bestehendes AS-i System durch einfaches Hinzufügen einer Komponente (Koppler 8) ebenso für eine sicherheitsrelevante Applikation einsetzen.
- - Für den Gerätehersteller können AS-i Master 1 und Koppler 8 getrennt entwickelt und freigegeben werden. Entsprechend sind Fehlerbehebungen im AS-i Master 1 ohne aufwändigen Zertifizierungsprozess des Gesamtgeräts möglich.
- - Die Anzahl der Produktvarianten sinkt, da es keine Unterscheidung nach „unsichere“- und sichere AS-i Master geben muss.
- - Eine einfache Kopplung zwischen verschiedenen AS-i Netzen kann mittels des Kopplers 8 umgesetzt werden
-
Besonders vorteilhaft ist es, wenn der AS-i Master 2 und der Koppler 8 jeweils derart ausgebildet sind, dass sie modular in eine Einbaustation eingebaut werden können. Eine derartige Einbaustation umfasst beispielsweise zum einen die Steuerung 1, welche weitere Steckplätze für den AS-i Master 2 und den Koppler 8 umfasst.
-
4 zeigt eine schematische Darstellung einer weiteren Ausführungsform eines erfindungsgemäßen Sicherheitssystems, welches einen weiteren Koppler 9 umfasst. Das abgebildete Sicherheitssystem besteht aus zwei Zellen 10,11. Die erste Zelle 10 sowie die zweite Zelle 11 weisen den gleichen Aufbau auf wie das Sicherheitssystem, welches unter 3 gezeigt wurde. Zusätzlich ist der zweite Datenbus 7 der ersten Zelle 10 über einen weiteren Koppler 9 mit dem AS-i Datenbus 6' der zweiten Zelle 11 verbunden. Hierdurch kann ein sicherheitsgerichteter Datenaustausch zwischen der zweiten Zelle 11 und der ersten Zelle 10 erfolgen. Ein Slave 5, z.B. ein Not-Aus-Taster, kann über den AS-i Datenbus 6' der zweiten Zelle 11 ein sicherheitskritisches Signal an die Steuerung 1 der ersten Zelle 10 über den weiteren Koppler 9 senden. Die Steuerung 1 der ersten Zelle 10 kann daraufhin beispielsweise über den Koppler 8 der ersten Zelle 10 einen Slave 5 der ersten Zelle 10 sicherheitsgerichtet ansteuern, so dass beispielsweise ein Antrieb deaktiviert wird. Auf diese Weise können auf einfache Weise zwei voneinander getrennte AS-i Systeme miteinander logisch verschaltet werden, so dass eine Interaktion zwischen den beiden Zellen 10,11 erfolgen kann. Der AS-i Datenbus 6 der ersten Zelle 10 ist separat vom AS-i Datenbus 6' der zweiten Zelle 11 ausgebildet. Der zweite Datenbus 7 der ersten Zelle 10 ist separat vom zweiten Datenbus 7' der zweiten Zelle 11 ausgebildet. Es können somit in der ersten und zweiten Zelle 10,11 unterschiedliche zweite Datenbusse 7,7' vorliegen. Mittels weiterer Koppler 9 können weitere Zellen mit der ersten oder zweiten Zelle 10,11 gekoppelt werden, so dass das Sicherheitssystem „zellenübergreifend“ erweiterbar ist.