DE102017123615B4 - Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale - Google Patents

Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale Download PDF

Info

Publication number
DE102017123615B4
DE102017123615B4 DE102017123615.5A DE102017123615A DE102017123615B4 DE 102017123615 B4 DE102017123615 B4 DE 102017123615B4 DE 102017123615 A DE102017123615 A DE 102017123615A DE 102017123615 B4 DE102017123615 B4 DE 102017123615B4
Authority
DE
Germany
Prior art keywords
signal
module
channel
signals
modules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102017123615.5A
Other languages
English (en)
Other versions
DE102017123615A1 (de
Inventor
Christoph SCHERRER
Walter Nasahl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BACHMANN GmbH
Original Assignee
BACHMANN GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BACHMANN GmbH filed Critical BACHMANN GmbH
Priority to DE102017123615.5A priority Critical patent/DE102017123615B4/de
Priority to US16/157,700 priority patent/US11281181B2/en
Priority to CN201811185861.6A priority patent/CN109709835A/zh
Publication of DE102017123615A1 publication Critical patent/DE102017123615A1/de
Priority to US17/550,265 priority patent/US20220100163A1/en
Application granted granted Critical
Publication of DE102017123615B4 publication Critical patent/DE102017123615B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/11Plc I-O input output
    • G05B2219/1105I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14054Self test
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14144Galvanic isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/15Plc structure of the system
    • G05B2219/15078Modules, construction of system

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing Or Calibration Of Command Recording Devices (AREA)
  • Emergency Protection Circuit Devices (AREA)

Abstract

Sicherheitsmodul (1) für eine speicherprogrammierbare Steuerung wobei das Sicherheitsmodul (1) als Baugruppe ausgebildet ist, welche aus mehreren Modulen (2, 3, 4, 14, 53, 54, 55, 62) mit mehreren Funktionsblöcken (2 - 4, 12, 13, 17, 25, 26, 35, 36) besteht, welche über mindestens einen internen Bus (7, 7a, 8, 8a) verbunden sind und mindestens eine CPU (9, 10) aufweisen und über mindestens einem bidirektionalen Interface (5, 6) mit externen elektrischen Sensoren und Aktoren zur Erfassung mindestens eines Messsignals verbindbar sind, wobei das Sicherheitsmodul (1) mit zwei unabhängigen Redundanzkanälen zweikanalig arbeitet, wobei im Sicherheitsmodul (1) eine Selbsttestung dadurch implementiert ist, dass jedem Kanal ein abgestimmtes Testsignal hinzuaddierbar ist, das durch die nachgeschaltete CPU (9, 10) wieder entfernbar ist, dadurch gekennzeichnet, dass durch die jeweilige CPU (9, 10) verschiedene Rechenmodule (53-55) ansteuerbar sind und dass alle von den Rechenmodulen (53, 55) erzeugten Signale durch einen Modus-Schalter (58, 59) abfragbar und auf den Eingang eines zweikanaligen Entscheidungsmoduls (62) leitbar sind, welches entsprechend dem programmierten Status ein Black Channel-Paket (67) ausgibt.

Description

  • Mit dem Gegenstand der eigenen Anmeldungen DE 20 2010 018 269 U1 oder der DE 10 2010 050 186 A1 ist ein Ein- und Ausgangsmodul für speicherprogrammierbare Steuerungen bekannt geworden, welches durch extern angelegte Signale frei konfigurierbar ist.
  • Nachteil dieses Standes der Technik ist, dass solche Module nicht unter Verwendung von Sicherheitskriterien aufgebaut sind, weil die Überprüfung einer Fehlfunktion eines solchen Moduls nicht möglich ist.
  • Die DE 10 2005 030 276 A1 und die nachveröffentlichte DE 10 2017 114 348 A1 zeigen ein Sicherheitsmodul für eine speicherprogrammierbare Steuerung wobei das Sicherheitsmodul als Baugruppe ausgebildet ist, welche aus mehreren Modulen mit mehreren Funktionsblöcken besteht, welche über mindestens einen internen Bus verbunden sind und mindestens eine CPU aufweisen und über mindestens einem bidirektionalen Interface mit externen elektrischen Sensoren und Aktoren zur Erfassung mindestens eines Messsignals verbindbar sind. Das Sicherheitsmodul arbeitet mit zwei unabhängigen Redundanzkanälen zweikanalig, wobei im Sicherheitsmodul eine Selbsttestung dadurch implementiert ist, dass jedem Kanal ein abgestimmtes Testsignal hinzuaddierbar ist, das durch die nachgeschaltete CPU wieder entfernbar ist.
  • Nachteilig an den bekannten Sicherheitsmodulen ist jedoch die unsichere Weiterleitung des Ausgangssignals an die nachfolgende Datenverarbeitung.
  • Auch die US 2016 / 0 266 564 A1 zeigt ein Sicherheitsmodul für eine speicherprogrammierbare Steuerung wobei das Sicherheitsmodul als Baugruppe ausgebildet ist, welche aus mehreren Modulen mit mehreren Funktionsblöcken besteht, welche über mindestens einen internen Bus verbunden sind und mindestens eine CPU aufweisen und über mindestens einem bidirektionalen Interface mit externen elektrischen Sensoren und Aktoren zur Erfassung mindestens eines Messsignals verbindbar sind. Dieses Sicherheitsmodul arbeitet mit zwei unabhängigen Redundanzkanälen ebenfalls zweikanalig, jedoch fehlt es an einer Überprüfung einer Fehlfunktion eines solchen Moduls.
  • Der Erfindung liegt deshalb die Aufgabe zugrunde die aus der DE 20 2010 018 269 U1 bekannte Technologie mit frei konfigurierbaren Modulen nunmehr zu erweitern und diesem Modul zusätzliche Sicherheitsfunktionen zuzuordnen.
  • Die Lösung der gestellten Aufgabe erfolgt durch die Merkmale des geltenden Anspruches 1.
  • Merkmal der Erfindung ist, dass das Modul nunmehr zweikanalig arbeitet und eine Selbsttestung implementiert ist.
  • Das Konzept eines vollkonfigurierbaren Moduls wird nun durch Einführung innovativer Testmethoden für den Einsatz in sicherheitskritischen Systemen erweitert.
  • Bis dato existieren keine vollkonfigurierbaren Ein- und Ausgabemodule für analoge und digitale Größen, welche für einen sicherheitsgerichteten Einsatz geeignet sind.
  • Eine weitere zentrale Eigenschaft des erfindungsgemäßen Moduls ist, dass die Messsignale mehrstufig erfasst werden. Eine schnelle Abtastung ist geeignet die Messgrößen einer in der Regel nicht sicherheitsgerichteten Standard SPS zur Verfügung zu stellen. Die nachgeschaltete langsamere Abtastung erfolgt synchron zum Zyklus der Sicherheitssteuerung und stellt signaltechnisch sichere Werte zur Verfügung.
  • Die Erfindung ist damit ein konfigurierbares Digital- und Analog Ein- und Ausgangsmodul für sicherheitsrelevante Systeme gekennzeichnet durch
    1. 1. Die physikalisch unterschiedliche Messgrößen Spannung, Strom und Frequenz werden mit einer einheitlichen Schaltung erfasst.
    2. 2. Die physikalisch unterschiedliche Ausgangsgrößen Spannung und Strom werden mit einer einheitlichen Schaltung ausgegeben.
    3. 3. Die zu erfassende oder auszugebende Messgröße wird per Software konfiguriert.
    4. 4. Die Spannungs- und Stromerfassung verarbeitet analoge sowie digitale Signale.
    5. 5. Die Filterung des Eingangssignals ist voll konfigurierbar.
    6. 6. Signalerfassung für sicherheitsrelevante Einrichtungen verwendet eine Vorrichtung entsprechend Punkt 1 und 2.
    7. 7. Erzeugung des Testsignals durch die gleiche Schaltung, in der das Nutzsignal zusammen mit dem Testsignal ausgewertet wird.
    8. 8. Testung redundanter Kanäle ohne Unterbrechung der Eingangssignale sowie Beibehaltung der Messgenauigkeit.
    9. 9. Gleichzeitige Erfassung von Messgrößen für die signaltechnisch sichere Weiterverarbeitung durch eine sicherheitsgerichtete SPS und für die signaltechnisch nicht sichere Weiterverarbeitung durch eine Standard-SPS. Dabei kann die Abtastung für die nicht sichere Weiterverarbeitung mit einer höheren Abtastrate erfolgen als jene für die sicherheitsgerichtete Weiterverarbeitung.
    10. 10. Entscheidungsmerkmal der analogen Eingangsgrößen auf dem Modul, gekennzeichnet durch
      • a. Konfigurierbare Messwertvorverarbeitung
      • b. Konfigurierbarer Votingmodus
  • Für die sichere Erfassung, Ausgabe, Vorverarbeitung und Kommunikation der Daten erfolgt die Datenverarbeitung grundsätzlich in zwei unabhängigen
  • Redundanzkanälen, mit optional nachgeschaltetem Vergleicher (Voter) (Kategorie 3 und 4 System im Sinne der EN/ISO 13849). Ein alternativer Modus ist die einkanalige Erfassung und Ausgabe von Signalen mit entsprechend häufiger Testung des Kanals (Kategorie 2 System im Sinne der EN/ISO 13849). Das Signalinterface nach außen hin wird durch entsprechend angeordneter und voll konfigurierbarer ASICs gleicher Bauart realisiert. Nach erfolgter galvanischer Trennung werden die Signale in zwei unabhängigen CPUs weiterverarbeitet und anschließend über die Kommunikationsschnittstelle nach dem Black-Channel Prinzip versandt. Für Ausgabegrößen erfolgt der Signalfluss in die umgekehrte Richtung. Eine grundlegende Eigenschaft des Moduls ist der zur Gänze durch den Anwender konfigurierbare Ein- und Ausgabemodus jeden einzelnen Signalkanals.
  • Ein entscheidender Punkt bei der Realisierung der erfindungsgemäßen sicheren Module, im Sinne funktionaler Sicherheit, ist ihre Fähigkeit sich selbst in regelmäßigen Abständen zu testen um mögliche im Modul aufgetretene Fehler frühzeitig zu erkennen und somit eine Fehlerakkumulation über die beiden Redundanzkanäle zu verhindern. Tritt nämlich eine solche Akkumulation auf, könnte der nachgeschaltete Vergleicher (Voter) falsch-positive Entscheidungen treffen.
  • Im Folgenden werden die einzelnen Modi und die angewandten Testmethoden näher beschrieben:
    • Die in sicherheitsgerichteten Baugruppen erforderliche Selbsttestung erfolgt nach folgendem Prinzip: Zum Messsignal wechselweise je eines Kanals wird ein geeignetes, auf den Eingangsfilter des ASICS abgestimmtes Testsignal, welches von einem getrennten ASIC gleicher Bauart erzeugt wird, hinzuaddiert. Nach erfolgter Abtastung und Filterung durch das ASIC wird das Testsignal durch die nachgeschaltete CPU wieder entfernt und das somit gewonnene Signal mit jenem zweiten, redundanten Signal verglichen. Sind beide Signale innerhalb eines konfigurierbaren Toleranzbandes gleich, gilt der Test als bestanden. Im nächsten Testzyklus wird das Testsignal zum anderen Messsignal addiert und somit der andere ASIC getestet.
  • Alternativ zu dieser Methode der Testung ist es auch möglich diese dadurch zu realisieren, dass beide Kanäle mit dem jeweils signaltechnisch invertierten Messsignal beaufschlagt werden.
  • Alternativ zu dieser Methode der Testung ist es auch möglich die Linearität der ADC Wandlerkennlinie durch zeitweises Umschalten des Messbereichs eines Kanals zu überprüfen.
  • Für die sicherheitsgerichtete Erfassung der Temperatur mittels geeigneter Messfühler wird die erforderliche Testung durch die im ASIC mögliche und dem konfigurierbaren Eingangsfilter angepasste Modulation des Messstromes durchgeführt. Anschließend wird das Testsignal von der CPU herausgerechnet und das somit gewonnene Signal mit jenem des zweiten Kanals verglichen.
  • Wesentlich bei den erfindungsgemäßen sicheren digitalen Eingängen ist, dass laufend getestet wird ob ein Eingang auf ein „Low“ Signal noch richtig reagiert, da ein negativer bool‘ scher Wert am Eingang eine Sicherheitsanforderung nach dem Ruhestromprinzip darstellt. In ist dargestellt, dass dies wiederum durch die Einspeisung und Subtraktion eines von einem separaten ASIC gleicher Bauart erzeugten Signals erfolgt. Die Testung beider Kanäle erfolgt wechselweise.
  • Bei digitalen Ausgängen ist es entscheidend sicherzustellen, dass diese jederzeit Spannungslos geschaltet werden können um die Sicherheitsfunktion ausführen zu können. Deshalb erfolgt in der Regel eine zweifache Abschaltung, einmal auf der Ebene des individuellen Ausgabekanals und, sollte die Abschaltung nicht erfolgreich gewesen sein, übergeordnet für sämtliche Ausgabekanäle des Moduls. Eine explizite Testung ist aufgrund der Beeinflussung des überwachten externen Prozesses nicht vorgesehen.
  • Die Testung der Funktionalität der ASICs im Modus Frequenzmessung (Encoderbetrieb und Zählerbetrieb) erfolgt durch wechselweises Beaufschlagen der Messkanäle mit bekannten Frequenzen welche ebenfalls im ASIC im Betriebsmodus PWM erzeugt werden können.
  • Alternativ kann auf diese Testung auch verzichtet werden und allein durch den Kreuzvergleich der beiden Redundanzkanäle erfolgen.
  • Das Modul zeichnet sich auch dadurch aus, dass die Signale mit hoher Abtastrate erfasst werden und einer nicht sicheren SPS zur Verfügung gestellt werden können. Dieses Vorgehen ermöglicht die Implementation von schnellen Regelungen ohne das Erfordernis eines separaten Datenerfassungsmoduls. Gleichzeitig werden die Signale konfigurierbar über einen Safetyzyklus messtechnisch verdichtet (Minimum, Maximum, Mittelwert) und anschließend optional im Modul gevotet. Auch für das Voting stehen verschiedene konfigurierbare Modi zur Verfügung. So kann entweder der Mittelwert der beiden Kanäle, der Maximalwert oder der Minimalwert der sicherheitsgerichteten SPS weitergeleitet werden. Durch diese zweistufige Vorgangsweise wird erreicht, dass auch die sicherheitsgerichtete Erfassung der Signale keine Aliasing Effekte aufweist, obwohl die primären Filter im ASIC für höhere Abtastraten konfiguriert werden.
  • Bei der Erfindung steht im Vordergrund, dass ausgehend von einer als Sicherungssteuerung ausgebildete Steuerung, welche zweikanalig ausgebildet ist und eine Selbsttestfunktion aufweist, nunmehr erfindungsgemäß ein Sicherheitsmodul frei programmierbar ist.
  • Die freie Programmierbarkeit bezieht sich auf zwei parallel zueinander angeordnete Signalerfassungsmodule, die nach ihrer Konfiguration einen Eingang für Strom bzw. Spannung, einen Eingang für die Erfassung der Frequenz, einen Eingang für die Erfassung einer Temperatur und beliebige andere konfigurierbare Signaleingänge aufweisen, so dass diese universell einen analogen Eingang ausbilden.
  • Wesentlich bei der Erfindung ist, dass das Sicherheitsmodul zweikanalig aufgebaut ist und zwei voneinander getrennte Kanäle aufweist und deshalb auch die dazugehörenden Signalerfassungsmodule jeweils einem Kanal zugeordnet sind.
  • Die Signalerfassungsmodule sind Bestandteil des erfindungsgemäßen Sicherheitsmoduls und sämtliche Module sind auf einem einzigen Steckplatz angeordnet.
  • Vorteil der Anordnung der Signalerfassungsmodule auf einer durchgehenden, einheitlichen Platine ist, dass die Anzahl der Steckplätze dadurch verringert wird und der Kunde nur ein einziges Modul benötigt, welches jedoch multifunktionell arbeitet.
  • Der Erfindungsgegenstand der vorliegenden Erfindung ergibt sich nicht nur aus dem Gegenstand der einzelnen Patentansprüche, sondern auch aus der Kombination der einzelnen Patentansprüche untereinander.
  • Alle in den Unterlagen, einschließlich der Zusammenfassung offenbarten Angaben und Merkmale, insbesondere die in den Zeichnungen dargestellte räumliche Ausbildung, werden als erfindungswesentlich beansprucht, soweit sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind.
  • Im Folgenden wird die Erfindung anhand von lediglich einen Ausführungsweg darstellenden Zeichnungen näher erläutert. Hierbei gehen aus den Zeichnungen und ihrer Beschreibung weitere erfindungswesentliche Merkmale und Vorteile der Erfindung hervor.
    • 1: Blockschaltbild einer Sicherheitsarchitektur eines frei programmierbaren Moduls
    • 2: Eine Testschaltung für die Erfassung von Spannung und Strom in dem modularen Aufbau nach 1
    • 3: Eine Testschaltung zur sicherheitsgerichteten Erfassung der Temperatur
    • 4: Eine Testschaltung für die Testung eines digitalen Eingangs
    • 5: Eine Testschaltung für die Testung analoger Ausgänge
    • 6: Eine Testschaltung zur Frequenzmessung z.B. bei einem Encoder oder einem Zähler, ein Blockschaltbild für eine Messdatenvorverarbeitung über einen sicheren Kanal.
  • Im Ausführungsbeispiel nach 1 umfasst das Sicherheitsmodul 1 zwei zueinander parallele Signalerfassungsmodule 3, 4, die erfindungsgemäß frei konfigurierbar sind.
  • Im Ergebnis erfolgt die Konfigurierbarkeit des gesamten Sicherheitsmoduls 1 und somit auch der Signalerfassungsmodule 3, 4 über die am Ausgang angeordnete Sicherheitssteuerung 70.
  • Der Begriff „Sicherheitssteuerung“ verdeutlicht, dass diese Maschinensteuerung ebenfalls nach Sicherheitskriterien entsprechend der Norm aufgebaut ist, d.h. sie besteht aus zwei sich gegenseitig überprüfenden Kanälen und aus einer Selbsttestung, die es ermöglicht eventuelle Fehler der Signalübertragung oder Signalgenerierung der Sicherheitssteuerung 70 zu erkennen und zu kompensieren.
  • Die beiden in bevorzugten Ausführungsformen dargestellten zueinander parallelen Kanäle sind jedoch nicht darauf angewiesen, dass die Eingänge zu diesen Kanälen auch gleich ausgebildet sind. Es handelt sich also nicht um eine redundante Erfassung von gleichen Analogsignalen, die am Eingang dieser Signalerfassungsmodule anliegen, sondern diese Signalerfassungsmodule können auch ungleichartige Signale, jedoch gleicher Gattung, wie z.B. Strom/Spannung/Temperatur oder dergleichen, erfassen.
  • Dies ist eine optionale Lösung, wobei jedoch in einer anderen Ausgestaltung auch die Parallelerfassung von gleichen Signalen möglich ist.
  • Die Erfassung von gleichen oder gleichartigen Signalen hängt von der Art der Sicherheitsstufe ab, die in dem Sicherheitsmodul 1 gefordert wird.
  • Der linke Teil des Moduls 1 besteht im Wesentlichen aus einem Datenerfassungsmodul 2, in dem die beiden frei konfigurierbaren Signalerfassungsmodule 3, 4, angeordnet sind.
  • Deren Eingänge werden jeweils durch ein Interface 5, 6 gebildet, an dem die später noch anhand der weiteren Figuren erläuterten analogen Signale anliegen.
  • Nach der analogen Datenerfassung erfolgt in jeweils einem Signalerfassungsmodul 3, 4 eine Umwandlung in digitale Signale und das Ausgangssignal des Signalerfassungsmoduls wird über jeweils einen digitalen Bus 7, 8 auf eine galvanische Trennung 12, 13 ausgegeben.
  • Die galvanische Trennung kann hierbei als Optokoppler oder dergleichen ausgebildet sein.
  • Wichtig ist, dass jenseits der galvanischen Trennung 12, 13 ein Datenauswertungsmodul 14 angeordnet ist, in dem zwei getrennt voneinander arbeitende CPUs 9, 10 angeordnet sind.
  • Über die Taktleitung 11 leitet die CPU 1 - die als Taktgeber ausgebildet ist, das Taktsignal über die galvanische Trennung auf die anschließende Taktleitung 11 und führt diesen Takt dem Signalerfassungsmodul 3 zu.
  • Parallel wird über die Abzweigung 11a der Takt auch über die dort befindliche Taktleitung 11 an das zweite Signalerfassungsmodul 4 weitergeleitet.
  • Es ist in einer Weiterbildung der Erfindung vorgesehen, dass das von der CPU 9 erzeugte Taktsignal auch über den I/O-Bus 18 synchronisiert werden kann.
  • Aufgrund der synchronen Taktung der beiden Signalerfassungsmodule 3, 4 werden nun die Daten über die digitalen Busse 7 und 8 in genau synchronisierter Weise auf die jeweilige CPU 9 und 10 weitergeleitet.
  • Die CPU 10 dient bei der Einschaltung des sogenannten Voting-Modus zur Überprüfung und zum Vergleich der Daten, die jeweils von den Signalerfassungsmodulen 3 und 4 erzeugt wurden.
  • Über den digitalen Bus 15 wird der Datenvergleich der CPU 9 mitgeteilt und dementsprechend leitet die CPU 9 die so erzeugten und erfassten Daten über einen Black Channel 16 an ein zugeordnetes Logikmodul 17 weiter.
  • Dieses Logikmodul 17 ist frei programmierbar und führt eine Signalanpassung durch, um so die erzeugten und erfassten Signale in sicherer Weise auf den I/O-Bus 18 auszugeben, wo sie in die Sicherheitssteuerung 70 eingespeist wird.
  • Parallel zu dem Black Channel 16 ist noch ein weiterer, unsicherer Datenkanal 19 vorgesehen, so dass das Sicherheitsmodul 1 die Möglichkeit hat, nur und ausschließlich eine Datenübertragung von sicheren Daten wie über den Black Channel 16 zu verwirklichen oder auch parallel weitere Daten über den nicht sicheren Datenkanal 19 zu übertragen.
  • Dabei ist anzumerken, dass die CPUs 9 und 10 im Wesentlichen gleich ausgebildet sind und dies ist in 7 näher erläutert wird.
  • Deshalb kann nicht nur in der CPU 10, die im Voting-Modus als Überprüfungsinstanz arbeitet, ein Entscheidungsmodul 62 angeordnet sein, sondern ein solches Entscheidungsmodul mit einer Votinginstanz kann auch in der CPU 9 angeordnet sein.
  • Die 2 zeigt ein Ausführungsbeispiel einer ersten Testschaltung 20, die zur Überprüfung von an den Analogeingängen 21, 22 anliegenden Strom oder Spannungssignalen dient.
  • Der jeweilige Analogeingang 21, 22 ist auf jeweils einen Addierer 23, 24 geschaltet, wobei zu dem Signal des Analogeingangs 21,22jeweils über eine Leitung 28, 28a ein Zusatzsignal aufgeschaltet wird, welches von einem Signalgenerator 25, 26 stammt.
  • Der jeweilige Signalgenerator 25, 26 wird von der zugeordneten CPU 9 und 10 so programmiert, dass er ein bestimmtes Testsignal erzeugt, welches über die Leitungen 28 und 28a auf den jeweiligen Addierer 23, 24 ausgegeben werden.
  • Über die Leitungen 36, 37 erfolgt dann die Einspeisung des so aufaddierten Signals in den jeweiligen Eingang des Signalerfassungsmoduls 3, 4.
  • Durch die Aufaddition eines Testsignals, wird nun in der ASIC Erfassung (Signalerfassungsmodul 3, 4) eine zusätzliche Kontrolle möglich. Die jeweiligen Signalgeneratoren 25, 26 können ein frei programmierbares, analoges Signal erzeugen, wie z.B. einen Sägezahn, ein Rechtecksignal, einen Sinus oder andere Signalformen.
  • Damit wird den jeweiligen Analogsignalen an den Eingängen 21, 22 ein genau definiertes Zusatzsignal aufaddiert und die so programmierten Signalerfassungsmodule 3, 4 leiten über die jeweiligen digitalen Busse 7,8 das künstlich veränderte Eingangssignal an die CPU 9 und 10 weiter, die nunmehr überprüfen, ob das Eingangssignal in richtiger Weise mit dem zusätzlichen Testsignal überlagert wurde und richtig empfangen wurde.
  • Kommt es zu einem Gutbefund wird das Ausgangssignal über den Black Channel 16 auf sichere Weise an die weitere Datenverarbeitung weitergeleitet.
  • Es ist noch anzumerken, dass die genannten Testschaltungen nach den 2, 3,4 und 5 die Programmiermöglichkeiten der erfindungsgemäßen Signalerfassungsmodule 3, 4 darstellen. Durch die Vielfalt der in den 3 bis 5 dargestellten möglichen Testschaltungen ergibt sich die freie Programmierbarkeit der Signalerfassungsmodule 3 und 4.
  • In 3 ist eine weitere Testschaltung gezeigt, die in den Signalerfassungsmodulen 3, 4 in frei programmierbarer Weise eingestellt werden kann. Die Testschaltung betrifft die Verarbeitung von zwei verschieden Temperaturwerten, die an den analogen Temperatureingängen 31, 32 anliegen.
  • Auch hier wird von der jeweiligen CPU 9 und 10 über die Modulationsleitungen 29 und 30 ein zugeordnetes Testsignal auf den analogen Eingang des jeweiligen Signalerfassungsmoduls 3, 4 aufmoduliert und das Ausgangssignal wird jeweils über die digitalen Busleitungen 7, 8 der CPU 9 und 10 zur Überprüfung zugeführt. Auch hier erfolgt ein gegenseitiger Abgleich der CPUs 9 und 10 über den digitalen Bus 15 und nur wenn eine Übereinstimmung der erfassten Signale vorliegt, wird das erfasste Signal über den Black Channel 16 der weiteren Datenverarbeitung zugeleitet.
  • In 4 ist eine dritte Möglichkeit der freien Programmierbarkeit der beiden erfindungsgemäßen Signalerfassungsmodule 3, 4 dargestellt.
  • In diesem Fall wird ein sicherer digitaler Eingang überprüft und getestet.
  • An den digitalen Eingängen 33, 34 liegt jeweils ein zu überprüfendes digitales Signal an, welches z.B. eine logische 1 oder eine logische 0 sein kann.
  • Dieses Signal wird auf die jeweiligen Addierer 23, 24 aufgeschaltet und über die zugeordneten Leitungen 28, 28a wird ein zusätzliches Testsignal aufaddiert.
  • Das jeweilige Testsignal wird in den zugeordneten Signalgeneratoren 35 und 36 in Form eines logischen 1 oder 0-Signals über die Leitungen 28, 28a dem jeweiligen Addierer 23, 24 zugeleitet.
  • Die von den Addierern 23, 24 abgeleiteten Leitungen 37, 37a geben dann das so erzeugte veränderte Signal an das zugeordnete Signalerfassungsmodul 3, 4 weiter und über den jeweiligen digitalen Bus 7 und 8 wird dieses so veränderte Signal an die beiden CPUs 9 und 10 weitergeleitet und in diesen CPUs überprüft.
  • Erst bei einer entsprechenden Sicherheitsüberprüfung, die mit einem Gutbefund endet, wird das so erfasste Signal über den Black Channel an die nachfolgende Datenverarbeitung weitergeleitet.
  • Die Ausgabe des Ausgangssignals auf dem Black Channel Kanal 16 erfolgt dann, wenn die jeweilige CPU 9, 10 das Testsignal wieder von dem Nutzsignal entfernt hat.
  • Die 5 zeigt eine vierte Ausführungsform der Programmierbarkeit der Signalerfassungsmodule 3, 4 wo erkennbar ist, dass nunmehr analoge Ausgänge geprüft werden müssen.
  • Der jeweilige Addierer 23, 24 liegt auf einem Messanschluss 38, 38a und der analoge Ausgang 39 wird von der Leitung 28 abzweigend dem unteren Addierer 24 zugeführt.
  • Ebenso wird der analoge Ausgang 40 von der Leitung 28a abzweigend auf den Addierer 23 aufgeschaltet.
  • Demnach erfolgt sowohl in 4 als auch in 5 eine Überkreuz-Aufschaltung von Signalen auf den jeweiligen Addierer 23, 24.
  • Darauf ist die Erfindung jedoch nicht beschränkt. Anstatt einer Überkreuz-Aufschaltung könnte auch eine Direkt-Aufschaltung der Signale auf den jeweiligen Addierer 23, 24 erfolgen.
  • Soweit in den Zeichnungen eine solche Überkreuz-Schaltung gezeigt ist, dient dies nur zur Erörterung des dort dargestellten Ausführungsbeispiels. Es kann jedoch vorgesehen sein, auf eine solche Überkreuz-Schaltung zu verzichten oder eine Direkt-Schaltung auf den jeweiligen Addierer 23, 24 zu verwirklichen.
  • Im gezeigten Ausführungsbeispiel ist demnach der analoge Ausgang 40 über die Leitung 28a auf den Addierer 23 aufgeschaltet und über die Leitung 37, 37a wird das so veränderte analoge Ausgangssignal von dem jeweiligen Signalerfassungsmodul 3, 4 erfasst.
  • Wichtig ist, dass die CPUs 9, 10 über ihre Leitungen 27, 27a das analoge Ausgangssignal unmittelbar dem Signalgenerator 35, 36 zuleiten, der jedoch kein eigenes Signal erzeugt, sondern dieses analoge Ausgangssignal direkt auf die Leitung 28, 28a ausgibt.
  • Demnach wird über den oberen Zweig in 5 nur das analoge Ausgangssignal am Ausgang 39 zurückgeführt auf das Signalerfassungsmodul 4, welches nur vergleicht, ob das im Signalerfassungsmodul 3 erzeugte Ausgangssignal 3 mit dem zurückgeführten Ausgangssignal übereinstimmt.
  • Übereinstimmung wird wieder durch einen entsprechenden Vergleich der beiden CPUs 9 und 10 unter Einschaltung des digitalen Busses 15 geprüft.
  • Kommt es zu einem Gutbefund, wird das aus dem analogen Ausgangssignal erzeugte digitale Signal über den Black Channel 16 weitergeleitet.
  • Im Ausführungsbeispiel nach 6, welches ebenfalls die freie Programmierbarkeit der beiden Signalerfassungsmodule 3, 4 kennzeichnet, ist vorgesehen, dass von den beiden CPUs 9, 10 über die Leitungen 27, 27a jeweils eine Ansteuerung eines Signalgenerators 35, 36 erfolgt, der eine Pulsweitenmoudulation (PWM) erzeugt, was jedoch nur als Beispiel zu verstehen ist.
  • Der Signalgenerator kann jedes andere Modulationsverfahren verwenden, bzw. eine Amplitudenfrequenz- oder Phasenmodulation.
  • Der Ausgang des Frequenzgenerators wird über die Leitungen 28 und 28a auf jeweils einen eingangsseitig angeordneten Schalter 41, 42 zugeführt.
  • Der jeweilige Schalter 41, 42 wird somit in seinem Takt von den beiden CPUs 9, 10 angesteuert.
  • Demnach liegt am Frequenzeingang 43, 44 jeweils ein Frequenzsignal an, welches entsprechend dem Takt des Schalters 41, 42 umgeschaltet wird. Demnach wird zwischen den beiden Frequenzeingängen 43, 44 jeweils taktweise umgeschaltet und das so erzeugte Signal wird über die Leitung 37a, 37 dem Eingang des jeweiligen Signalerfassungsmoduls 3, 4 zugeleitet.
  • Damit werden die Signalerfassungsmodule 3, 4 selbst getestet, denn es wird damit eine gleichgerichtete Messdatenverarbeitung erzielt.
  • Wenn in dem oberen Signalerfassungsmodul 3 und dem zugeordneten Frequenzgenerator 35 ein bestimmtes Signal erzeugt wird, wird erwartet, dass das gleiche Signal auch von dem unteren Signalerfassungsmodul 4 in Verbindung mit dem Frequenzgenerator 36 erzeugt wird.
  • Nur bei einem Gutbefund des Vergleichs dieser beiden Signale schaltet die CPU 10 die CPU 9 durch und das von dem Testsignalen befreite digitale Signal wir mit dem Black Channel 16 ausgegeben.
  • Wie bereits in der allgemeinen Beschreibung angegeben ist, kann in einem Ausführungsbeispiel auch ein digitaler Ausgang getestet werden kann. Demnach kann in dem Ausführungsbeispiel nach 5 auch mit den gleichen Maßnahmen ein digitaler Ausgang überprüft werden. Die Beschreibung, die für 5 für zwei analoge Ausgänge gegeben wurde, gilt demnach sinngemäß auch für digitale Ausgänge.
  • In 7 ist allgemein der modulare Aufbau jeweils einer in den vorherigen Ausführungsbeispielen beschriebenen CPU 9 und 10 dargestellt.
  • Nachdem beide CPUs gleich ausgebildet sind, gelten die gleichen Beschreibungen für jeweils eine CPU.
  • In 7 ist allgemein dargestellt, dass an einem Eingangskanal 47, 48 jeweils eine Abtastung 63 angeordnet ist, die den jeweiligen Eingangskanal 47, 48 z.B. mit einer Abtastung von einem KHz abtastet.
  • Das so erzeugte Signal wird über die erfindungsgemäßen, frei programmierbaren Signalerfassungsmodule 3, 4 erfasst und auf den Ausgangsbus 49, 50 weitergeleitet.
  • Es ist lediglich schematisiert dargestellt, dass am Ausgangsbus 49 eine Reihe von Busanschaltungen 51, 51a, 51b angeordnet sind, so dass damit die Möglichkeit gezeigt ist, dass ausgehend von dem Ausgangsbus 49 verschiedene Rechenmodule 53, 54, 55 wahlweise ansteuerbar sind.
  • Ferner ist erkennbar, dass über die jeweiligen Busanschaltungen 51, 52 eine Durchschaltung des am Ausgang des Signalerfassungsmodules 3, 4 erzeugten digitalen Signals direkt auf den Ausgang, nämlich entweder den Black Channel 16 oder den unsicheren Datenkanal 19, erfolgen kann.
  • Wahlweise können demnach die verschiedenen Rechenmodule 53, 54, 55 über eine entsprechende Programmierung durch die jeweilige CPU 9, 10 angesteuert werden und in dem Rechenmodul 53 erfolgt eine Bildung eines Mittelwertes des am Ausgang des Signalerfassungsmoduls 3, 4 erzeugten digitalen Signals.
  • Wahlweise kann auch über das Rechenmodul 54 ein Minimum über einen sogenannten Safety Zyklus erzeugt werden oder über das Rechenmodul 55 eine Maximumbildung über den Safety Zyklus.
  • Alle von den Rechenmodulen 53, 55 erzeugten Signale sind über eine zugeordnete Ausgangsleitung 60, 61 durch einen Modus-Schalter 58, 59 abfragbar und werden auf den Eingang eines Entscheidungsmoduls 62 geleitet.
  • Wenn der Kanal 65 als Kanal A bezeichnet wird und der Kanal 66 als Kanal B, dann werden die an dem Ausgang der Modus-Schalter 58, 59 angeschalteten Leitungen nunmehr mit als Kanal A'- und B'- bezeichnet.
  • Diese Kanalsignale werden demnach einem zweikanaligen Entscheidungsmodul 62 zugeführt, welches entsprechen dem programmieren Status nunmehr ein Black Channel-Paket 67 ausgibt.
  • Der Status des Entscheidungsmoduls wird wahlweise über den Black Channel 16 oder über den unsicheren Datenkanal 19 ausgegeben.
  • Der Ausgang des Entscheidungsmoduls 62 mit Erzeugung des Black Channel-Paktes 67 kann hierbei den Mittelwert aus A'- und B'- betreffen oder das Maximum aus A- und B- oder das Minimum aus A- und B-.
  • Alle erfolgen Signale werden ebenfalls wahlweise über den Black Channel Kanal 16 oder den unsicheren Kanal 19 ausgegeben.
  • Demnach erfolgt eine Ausgabe sinngemäß über die beiden Kanäle in das nachgeschaltete programmierbare Logikmodul 17 und an dessen Ausgang über den I/O-Bus 18 auf die Sicherheitssteuerung 70.
  • Es wird noch ein Safety-Zyklus 56 verwendet, der in 7 oben stehend dargestellt ist. Hierbei erfolgt ein abgetastetes Signal 57 mit einer Frequenzabtastung von 1KHz und entsprechend den so erzeugten abgetasteten Signalen wird aus diesen Signalen entweder der Mittelwert, das Minimum oder das Maximum gebildet.
  • Dementsprechend werden die vorher erwähnten Rechenmodule 53-55 angesteuert und geben ihre ermittelten Ausgangswerte über die Ausgangsleitungen 60, 61 auf die zugeordneten Modus-Schalter 58, 59 weiter.
  • Dementsprechend wird dem Entscheidungsmodul 62 wahlweise entsprechend der Schaltstellung des Modus-Schalters 58, 59 ein solcher Wert als Mittelwert oder als Minimum oder als Maximum zugeführt und weil es sich um zwei voneinander getrennte Kanäle 65, 66 handelt, erfolgt im Entscheidungsmodul 62 eine Entscheidung, dass die Signale von den Kanälen 65, 66 genau gleich und synchron verlaufen und erst dann erfolgt eine Ausgabe der erfassten digitalen Signale wahlweise oder zusammen über den Black Channel 16 oder die unsichere Datenleitung 19.
  • Bezugszeichenliste
    • 1
    Sicherheitsmodul
    2
    Datenerfassungsmodul
    3
    Signalerfassungsmodul (konfigurierbar)
    4
    Signalerfassungsmodul (konfigurierbar)
    5
    Interface
    6
    Interface
    7
    digitaler Bus 7a
    8
    digitaler Bus 8a
    9
    CPU1 (Taktgeber)
    10
    CPU2 (Überprüfung)
    11
    Taktleitung
    12
    galvansiche Trennung
    13
    galvansiche Trennung
    14
    Datenauswertungsmodul
    15
    digitaler Bus
    16
    Black Channel (sicher)
    17
    Logikmodul (programmierbar)
    18
    I/O-Bus
    19
    Datenkanal (nicht sicher)
    20
    Testschaltung
    21
    Analog-Eingang
    22
    Analog-Eingang
    23
    Addierer
    24
    Addierer
    25
    Signalgenerator
    26
    Signalgenerator
    27
    Leitung 27a
    28
    Leitung 28a
    29
    Modulationsleitung
    30
    Modulationsleitung
    31
    Temperatureingang
    32
    Temperatureingang
    33
    digitaler Eingang (logische 1)
    34
    digitaler Eingang
    35
    Signalgenerator
    36
    Signalgenerator
    37
    Leitung 37a
    38
    Messanschluss 38a
    39
    Analog-Ausgang
    40
    Analog-Ausgang
    41
    Schalter
    42
    Schalter
    43
    Frequenz-Eingang
    44
    Frequenz-Eingang
    45
    Abtastung
    46
    Abtastung
    47
    Eingangskanal
    48
    Eingangskanal
    49
    Ausgangsbus
    50
    Ausgangsbus
    51
    Busanschaltung
    52
    Busanschaltung
    53
    Rechenmodul
    54
    Rechenmodul
    55
    Rechenmodul
    56
    Safety-Zyklus
    57
    abgetastetes Signal
    58
    Modus-Schalter
    59
    Modus-Schalter
    60
    Ausgangsleitungen
    61
    Ausgangsleitungen
    62
    Entscheidungsmodul
    63
    Abtastung
    64
    Abtastung
    65
    Kanal A 65'
    66
    Kanal B 66'
    67
    Black-Channel-Paket
    68 69 70
    Sicherheitssteuerung

Claims (8)

  1. Sicherheitsmodul (1) für eine speicherprogrammierbare Steuerung wobei das Sicherheitsmodul (1) als Baugruppe ausgebildet ist, welche aus mehreren Modulen (2, 3, 4, 14, 53, 54, 55, 62) mit mehreren Funktionsblöcken (2 - 4, 12, 13, 17, 25, 26, 35, 36) besteht, welche über mindestens einen internen Bus (7, 7a, 8, 8a) verbunden sind und mindestens eine CPU (9, 10) aufweisen und über mindestens einem bidirektionalen Interface (5, 6) mit externen elektrischen Sensoren und Aktoren zur Erfassung mindestens eines Messsignals verbindbar sind, wobei das Sicherheitsmodul (1) mit zwei unabhängigen Redundanzkanälen zweikanalig arbeitet, wobei im Sicherheitsmodul (1) eine Selbsttestung dadurch implementiert ist, dass jedem Kanal ein abgestimmtes Testsignal hinzuaddierbar ist, das durch die nachgeschaltete CPU (9, 10) wieder entfernbar ist, dadurch gekennzeichnet, dass durch die jeweilige CPU (9, 10) verschiedene Rechenmodule (53-55) ansteuerbar sind und dass alle von den Rechenmodulen (53, 55) erzeugten Signale durch einen Modus-Schalter (58, 59) abfragbar und auf den Eingang eines zweikanaligen Entscheidungsmoduls (62) leitbar sind, welches entsprechend dem programmierten Status ein Black Channel-Paket (67) ausgibt.
  2. Sicherheitsmodul (1) nach Anspruch 1, dadurch gekennzeichnet, dass die Ausgabe der erfassten Signale wahlweise über einen Black Channel (16) oder über einen unsicheren Datenkanal (19) erfolgt.
  3. Sicherheitsmodul (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Signalerfassungsmodule (3, 4) durch den Anwender frei konfigurierbar sind.
  4. Sicherheitsmodul (1) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass zwischen den mindestens zwei Modulen (2, 14) eine galvanische Trennung (12, 13) besteht.
  5. Sicherheitsmodul (1) nach einem der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass nach erfolgter galvanischer Trennung die Signale in zwei unabhängigen CPUs weiterverarbeitet werden.
  6. Sicherheitsmodul (1) nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die verarbeiteten Signale über eine Kommunikationsschnittstelle nach dem Black Channel Prinzip versendet werden.
  7. Sicherheitsmodul (1) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Messsignale analog oder digital sind.
  8. Verfahren zum Betrieb eines Sicherheitsmoduls (1) für eine speicherprogrammierbare Steuerung wobei das Sicherheitsmodul (1) als Baugruppe ausgebildet ist, welche aus mehreren Modulen (2, 3, 4, 14, 53, 54, 55, 62) mit mehreren Funktionsblöcken (2 - 4, 12, 13 ,17, 25, 26, 35, 36) besteht, welche über mindestens einen internen Bus (7, 7a, 8, 8a) verbunden sind und mindestens eine CPU (9, 10) aufweisen und über mindestens einem bidirektionalen Interface (5, 6) mit externen elektrischen Sensoren und Aktoren zur Erfassung mindestens eines Messsignals verbindbar sind, wobei das Sicherheitsmodul (1) mit zwei unabhängigen Redundanzkanälen zweikanalig arbeitet, dadurch gekennzeichnet, dass zu jedem Messsignal ein auf den Eingangsfilter eines ASICs abgestimmtes Testsignal, welches von einem getrennten ASIC gleicher Bauart erzeugt wird, hinzuaddiert wird und nach erfolgter Abtastung und Filterung durch das erste ASIC das Testsignal durch eine nachgeschaltete CPU (9, 10) wieder entfernt und das somit gewonnene Signal mit jenem zweiten, redundanten Signal in der Weise verglichen wird, ob beide Signale innerhalb eines konfigurierbaren Toleranzbandes liegen und nach bestandenem Test in einem nächsten Testzyklus das Testsignal zum anderen Messsignal addiert und somit das andere ASIC getestet wird, und dass durch die jeweilige CPU (9, 10) verschiedene Rechenmodule (53-55) angesteuert werden und alle von den Rechenmodulen (53, 55) erzeugten Signale durch einen Modus-Schalter (58, 59) abfragbar sind und auf den Eingang eines zweikanaligen Entscheidungsmoduls (62) geleitet werden, welches den Status der Entscheidung entsprechend dem programmierten Modus in einem Black Channel-Paket (67) ausgibt.
DE102017123615.5A 2017-10-11 2017-10-11 Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale Active DE102017123615B4 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102017123615.5A DE102017123615B4 (de) 2017-10-11 2017-10-11 Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
US16/157,700 US11281181B2 (en) 2017-10-11 2018-10-11 Configurable safety module for detecting digital or analog input or output signals
CN201811185861.6A CN109709835A (zh) 2017-10-11 2018-10-11 用于检测数字或模拟的输入或输出信号的可配置的安全模块
US17/550,265 US20220100163A1 (en) 2017-10-11 2021-12-14 Configurable safety module for detecting digital or analog input or output signals

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017123615.5A DE102017123615B4 (de) 2017-10-11 2017-10-11 Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale

Publications (2)

Publication Number Publication Date
DE102017123615A1 DE102017123615A1 (de) 2019-04-11
DE102017123615B4 true DE102017123615B4 (de) 2022-11-24

Family

ID=65817094

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017123615.5A Active DE102017123615B4 (de) 2017-10-11 2017-10-11 Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale

Country Status (3)

Country Link
US (2) US11281181B2 (de)
CN (1) CN109709835A (de)
DE (1) DE102017123615B4 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019208813A1 (de) * 2019-06-18 2020-12-24 Robert Bosch Gmbh Sicherheitsmodul für einen sicheren Betrieb einer Automatisierungssystembaugruppe
FR3104115B1 (fr) * 2019-12-10 2021-11-26 Psa Automobiles Sa Dispositif pour surveiller, à bord d’un véhicule automobile, le fonctionnement d’un haut-parleur du véhicule et véhicule muni d’un tel dispositif
US11496254B2 (en) * 2020-08-28 2022-11-08 Rockwell Automation Technologies, Inc. System and method for testing filters in redundant signal paths
DE102020128026A1 (de) * 2020-10-23 2022-04-28 Pilz Gmbh & Co. Kg Steuervorrichtung mit Schutzmodul
DE102021001792B3 (de) 2021-04-07 2022-05-25 Sew-Eurodrive Gmbh & Co Kg Automatisierungssystem und Verfahren zum Betrieb eines Automatisierungssystems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005030276A1 (de) 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
DE102010050186A1 (de) 2009-11-04 2011-05-05 Bachmann Gmbh Multifunktionales Ein- und Ausgangsmodul für speicherprogrammierbare Steuerungen
US20160266564A1 (en) 2015-03-11 2016-09-15 Rockwell Automation Technologies, Inc. Industrial control system with integrated circuit elements partitioned for functional safety and employing watchdog timing circuits
DE102017114348A1 (de) 2016-07-12 2018-01-18 Infineon Technologies Ag Diverse, integrierte verarbeitung unter verwendung von prozessoren und diverser firmware

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006024311A1 (de) * 2006-05-24 2007-11-29 Berthold Technologies Gmbh & Co. Kg Schaltung zur Übermittlung eines analogen Signalwertes
WO2009105889A1 (en) * 2008-02-27 2009-09-03 Wurldtech Security Technologies Testing framework for control devices
DE102012024818A1 (de) * 2012-03-06 2013-09-12 Conti Temic Microelectronic Gmbh Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem
EP2831683A1 (de) * 2012-03-26 2015-02-04 Siemens Aktiengesellschaft Ausfallsichere erkennung und adresszuordnung
DE102013106739A1 (de) * 2013-06-27 2014-12-31 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung mit fehlersicheren Eingängen
DE102013112488A1 (de) * 2013-11-13 2015-05-13 Pilz Gmbh & Co. Kg Sicherheitssteuerung mit konfigurierbaren Eingängen
DK2930844T3 (en) * 2014-04-10 2018-10-01 Abb Schweiz Ag Procedure for safely disengaging torque
EP3073333B1 (de) * 2015-03-23 2020-01-22 Siemens Aktiengesellschaft Brenneranlage mit einer Sicherheitseinrichtung
US9964597B2 (en) * 2016-09-01 2018-05-08 Texas Instruments Incorporated Self test for safety logic

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005030276A1 (de) 2005-06-21 2006-12-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Abschalten eines Verbrauchers in einer automatisiert arbeitenden Anlage
DE102010050186A1 (de) 2009-11-04 2011-05-05 Bachmann Gmbh Multifunktionales Ein- und Ausgangsmodul für speicherprogrammierbare Steuerungen
DE202010018269U1 (de) 2009-11-04 2015-05-15 Bachmann Gmbh Multifunktionales Ein- und Ausgangsmodul für speicherprogrammierbare Steuerungen
US20160266564A1 (en) 2015-03-11 2016-09-15 Rockwell Automation Technologies, Inc. Industrial control system with integrated circuit elements partitioned for functional safety and employing watchdog timing circuits
DE102017114348A1 (de) 2016-07-12 2018-01-18 Infineon Technologies Ag Diverse, integrierte verarbeitung unter verwendung von prozessoren und diverser firmware

Also Published As

Publication number Publication date
US20220100163A1 (en) 2022-03-31
US11281181B2 (en) 2022-03-22
DE102017123615A1 (de) 2019-04-11
US20190107818A1 (en) 2019-04-11
CN109709835A (zh) 2019-05-03

Similar Documents

Publication Publication Date Title
DE102017123615B4 (de) Konfigurierbares Sicherheitsmodul zur Erfassung digitaler oder analoger Eingangs- oder Ausgangssignale
EP1192511B1 (de) Sicherheitsbezogenes automatisierungsbussystem
DE102009042368B4 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19526723C1 (de) Elektrizitätszähler
EP1923759B1 (de) Verfahren und System zur sicheren Datenübertragung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
EP0766092B1 (de) Testbare Schaltungsanordnung mit mehreren identischen Schaltungsblöcken
DE10035174A1 (de) Peripheriebaustein mit hoher Fehlersicherheit für speicherprogrammierbare Steuerungen
DE102008032823B4 (de) Sichere Anschlussvorrichtung
EP2613463A2 (de) Verfahren zur Überwachung eines Transmitters und entsprechender Transmitter
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
WO2003096540A1 (de) Elektronische schaltungsanordnung zur fehlerabgesicherten analog-/digital-umwandlung von signalen
EP2856649B1 (de) Analogsignal-eingangsschaltung mit einer anzahl von analogsignal-erfassungskanälen
DE102012023350B4 (de) Systeme, Schaltungen und ein Verfahren zum Erzeugen einer konfigurierbaren Rückmeldung
DE102017007815A1 (de) Prozesssteuerung
EP2837142A1 (de) Verfahren zum übertragen von prozessdaten in einer automatisiert gesteuerten anlage
DE102005043481A1 (de) Automatisierungstechnische Einrichtung
DE102008045599B3 (de) Bussystem
DE102017123910A1 (de) Verfahren und Vorrichtung zum Überwachen der Sicherheitsintegrität einer durch ein Sicherheitssystem bereitgestellten Sicherheitsfunktion
EP1928091B1 (de) Sensoreinheit mit Sicherheitssystem
EP1178321B1 (de) Verfahren zum Betreiben eines Logik- und Speicherelemente aufweisenden Bausteins
WO2020239437A1 (de) Anlagenkomponente, sicherheitsrelevante anlage und betriebsverfahren
DE102008049662B4 (de) Verfahren und Vorrichtung zum Prüfen einer asynchronen Übertragung von Steuersignalen
EP1962246A1 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
EP1224547B1 (de) Integrierter elektronischer baustein mit duplizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative

Representative=s name: KRAUS & WEISERT PATENTANWAELTE PARTGMBB, DE

Representative=s name: KRAUS & LEDERER PARTGMBB, DE