-
Die
Erfindung bezieht sich auf ein System zur Übertragung digitaler Daten über eine
Funkstrecke nach dem Oberbegriff des Anspruchs 1.
-
Die
Sicherheit von Geräten,
Anlagen und Verfahren ist in Normen wie beispielsweise IEC 61508
quantifiziert und probabilistisch bewertet. Ein dabei erreichter
Sicherheitsgrad (Safety-Integrety-Level
= SIL) wird mit statistischen Methoden, Versuchen und Berechnungen
in Zahlen ausgedrückt.
-
Bei
Verfahren zur Datenübertragung,
insbesondere seriellen Datenübertragung über ein
digitales Übertragungssystem
ist eine Datensicherung und ein daraus folgender mathematischer
Ausdruck für eine
Fehlerwahrscheinlichkeit auch in der Sicherheitstechnik übliche und
anerkannte Technik. Mit Fehlerwahrscheinlichkeit wird dabei eine
Aussage über
die Qualität
einer Übertragung
bezeichnet. Dabei wird die Anzahl der fehlerhaft übertragenen
Einheiten zu der Gesamtzahl betrachteter Einheiten in Beziehung
gesetzt.
-
Die
verlangten Sicherheitsstufen bzw. Sicherheitskategorien werden bei
den bekannten Datenübertragungsverfahren
dadurch erreicht, dass gewisse Fehlerwahrscheinlichkeiten einen
definierten Grenzwert nicht übersteigen
dürfen.
-
Bei
einer Funkübertragung
digitaler Daten ist es üblich,
die Fehlerwahrscheinlichkeit (Bit-Error-Rate = BER) der Übertragungsstrecke
als Funktion des Signal-Rauschabstandes (S/N-Verhältnis)
anzugeben, wobei diese Werte in Regel auch für bestimmte Übertragungs- und/oder Modulationsverfahren
typisch sind. Auch sind Messvorrichtungen zur direkten Messung der
Bit-Fehlerrate bekannt.
-
Die Übertragungsfehler
pro Zeiteinheit (U) sind definiert als Funktion der Bit-Fehlerrate
(BER), der Hamming-Distanz (dmin), der Anzahl (n) der Informationsbits,
der Anzahl (m) der Informations- und Sicherungsbits, wobei sich
als mathematische Funktion: U = Funktion (BER, m, n, dmin) ergibt.
In der Funktechnik ist das S/N-Verhältnis üblicherweise starken Schwankungen
im Bereich mehrerer 10er-Potenzen unterworfen. Damit schwankt folglich auch
die Bit-Fehlerrate (BER) erheblich.
-
Wird
eine Übertragungsstrecke
wie beispielsweise eine Funkstrecke, ein Leitungssystem oder ein
Bussystem eines digitalen Übertragungssystem
in eine Restfehlerwahrscheinlichkeit im Sinne der Sicherheitstechnik
einbezogen, so gibt es auch einen bestimmten Wert der Bit-Fehlerrate auf der Übertragungsstrecke,
bei dem der zulässige
Grenzwert der Restfehlerwahrscheinlichkeit überschritten wird und der Betrieb
eines Systems innerhalb eines Sicherheitsgrades oder einer Kategorie
nicht mehr zulässig
ist.
-
Wegen
der starken Schwankungen der Übertragungsqualität insbesondere
bei Funkstrecken ist beim Stand der Technik eine Auslegung solcher Systeme
auf den ungünstigsten
Fall (worst case) üblich.
Des Weiteren erfolgt beim Stand der Technik eine statische Dimensionierung
der Sicherheitsvorkehrungen zur Datensicherung.
-
Die
DE 40 31 241 A1 bezieht
sich auf ein digitales Übertragungssystem
mit mindestens einer Betriebsstrecke zur Übertragung von Digitalsignalen und
mit mindestens einer Ersatzstrecke. Die Ersatzstrecke dient zur Übertragung
der digitalen Signale insbesondere bei einem Ausfall und/oder einer
Störung
einer Betriebsstrecke. Das digitale Übertragungssystem soll ein
verringertes Ansteigen der Bit-Fehlenate beim Umschalten einer Betriebsstrecke
auf eine Ersatz strecke aufweisen. Dazu ist vorgesehen, dass bei
einer über
einer vorgebbaren Fehlerschwelle liegenden Bit-Fehlerrate eines
auf einer Betriebsstrecke übertragenen
Digitalsignals oder bei manueller Umschaltung einer Betriebsstrecke
eine mehrstufige Umschaltung auf die Ersatzstrecke erfolgt.
-
Ausgehend
von der
DE 40 31 241
A1 erhält der
Fachmann den Hinweis, zusätzlich
zu einer Betriebsstrecke eine Ersatzstrecke vorzusehen, die zur Übertragung
der Digitalsignale insbesondere bei einem Ausfall und/oder einer
Störung
der Betriebsstrecke eingesetzt wird. Neben dem Mehraufwand für die zusätzliche
Ersatzstrecke liegt der bekannten Lösung der Nachteil zu Grunde,
dass es beim Umschalten von der Betriebsstrecke zu der Ersatzstrecke
zu einem Datenverlust kommen kann.
-
Aus
der
DE 100 01 150
A1 ist eine adaptive Anpassung der Datenübertragungsparameter
bei XDSL-Verfahren zur Verringerung von Übertragungsfehlern bei der
Datenübertragung
bekannt. Es wird die Datenübertragung
zwischen einem Teilnehmer und einer Vermittlungsstelle beschrieben.
Bei dem Aufbau der Verbindung werden die Leitungseigenschaften ermittelt
und die Datenübertragungsrate
an die ermittelten Leitungseigenschaften angepasst. Ein System zur Übertragung
sicherheitsrelevanter Daten zur Ansteuerung von Anlagen und Maschinen
ist aus der
DE 100
01 150 A1 nicht bekannt.
-
Die
EP 0 212 667 A2 bezieht
sich auf ein Kommunikationssystem mit variabel wiederholbarer Übertragung
von Datenblöcken.
Dabei ist vorgesehen, dass die Anzahl der Wiederholungen in Abhängigkeit
der erfassten Intensität
und/oder des Signal-Rauschverhältnisses
variabel ist, so dass unter ungeeigneten Bedingungen derselbe Datenblock
mit einer größeren Anzahl
wiederholt wird, um Fehler zu korrigieren und unter ungeeigneten
Bedingungen und unter geeigneten Bedingungen in einer geringeren
Anzahl übertragen
wird, um die Übertragungszeit zu
verringern.
-
Aus
EP 423 485 A1 ist
ein Verfahren und eine Einrichtung zur bidirektionalen Übertragung
von Daten bekannt, wobei jeweils ein Kanal für jede Richtung vorgesehen
ist. Dabei wird die Empfangsgüte des
jeweils über
den Kanal übertragenene
Signals gemessen, codiert und über
den jeweils in Gegenrichtung verlaufenden Kanal übertragen. Entsprechend der
Empfangsgüte
wird jeweils ein Code zur Übertragung
der Daten über
den Kanal ausgewählt.
-
Die
EP 632 613 A1 bezieht
sich auf ein Verfahren und eine Vorrichtung zur Datenrückgewinnung
in einem Funkübertragungssystem.
Dabei ist vorgesehen, dass ein Empfänger des Systems ein Mittel
zur Qualitätsbestimmung
umfasst oder aufweist, um eine Charakteristik des Übertragungskanals
abzuschätzen, über den
das Signal empfangen wurde. Entsprechend der geschätzten Übertragungsqualität wird eine
erste oder zweite Decodiertechnik eingesetzt.
-
Aus
der
EP 0 713 302 A2 ist
ein anpassbares Fehlerkorrektursystem bekannt, welches adaptiv die Anzahl
von Parity Bits oder Paketen ändert,
auf der Basis von zuvor ermittelten Fehlerdaten.
-
Die
WO 98/49797 A2 sowie WO 00/47006 A1 und GB 2253546 A beziehen sich
auf Verfahren und Vorrichtungen zur Datenübertragung zwischen mobilen
Kommunikationssystemen im Bereich von Telekommunikationsnetzwerken.
-
Davon
ausgehend liegt der Erfindung das Problem zu Grunde, ein Verfahren
und ein Steuerungssystem zur Übertragung
sicherheitsgerichteter Daten derart weiterzubilden, dass die Übertragungsstrecke
möglichst über einen
großen
zulässigen
Betriebsbereich ohne Verlust der Sicherheit eingesetzt werden kann,
d. h. kein Abbruch der Datenübertragung
erfolgen muss.
-
Das
Problem wird erfindungsgemäß durch die
kennzeichnenden Merkmale des Anspruchs 1 gelöst. Durch das erfindungsgemäße System
wird der Betrieb einer sicherheitsgerichteten Übertragungsstrecke wie Funkstrecke über den
größtmöglichen zulässigen Betriebsbereich
mit optimaler Übertragungskapazität innerhalb
beispielsweise einer Kategorie der EN954 oder eines SIL's ermöglicht.
Auch wird der Betrieb von Datenübertragungen
mit Fehlerkorrektur in sicherheitsgerichteten Anwendungen möglich, solange
die zulässige
Fehlerrate bei aktueller Sicherung nicht überschritten wird.
-
Das
System zeichnet sich dadurch aus, dass das Steuerungssystem stationäre und mobile
Komponenten mit jeweils Sende-/Empfangsmodulen zum Austausch von
sicherheitsgerichteten Daten zumindest über eine Übertragungsstrecke wie Funkstrecke umfasst.
Dabei ist vorgesehen, dass zumindest eines der Sende-/Empfangsmodule
Mittel zur Bestimmung einer die aktuelle Übertragungsqualität der Übertragungsstrecke
repräsentierenden
Größe sowie
Mittel zur Adaption eines Datensicherungsverfahrens an die tatsächliche Übertragungsqualität der Datenübertragungsstrecke
aufweist.
-
Es
ist vorgesehen, dass die stationäre
Komponente zumindest zwei Sende-/Empfangsmodule aufweist, von denen
zumindest ein Empfangsmodul zur Bestimmung des Empfangspegels vorgesehen ist.
-
Es
ist vorgesehen, dass zur Bestimmung der tatsächlichen Übertragungsqualität die tatsächliche aktuelle
Bit-Fehlerrate und/oder das Signal-Rauschverhältnis und/oder ein Empfangspegel
des empfangenen Signals mit an sich bekannten messtechnischen Verfahren
gemessen wird. Überschreitet
die Bit-Fehlerrate einen zulässigen
Wert oder überschreitet
das S/N-Verhältnis einen
zulässigen
Wert oder unterschreitet im einfachsten Fall der Empfangspegel einen
zulässigen
Wert, so erfolgt eine sicherheitsgerichtete Meldung und/oder zusätzliche Maßnahmen
werden eingeleitet, die den Betrieb der Übertragungsstrecke aufrechterhalten.
-
Die
Adaption des Sicherungsverfahrens an die tatsächliche Übertragungsqualität erfolgt
dadurch, dass zusätzliche
Prüfbits
an die digitalen Daten angefügt
werden, um eine erhöhte
Hamming-Distanz der Nachricht zu erzielen. Auch kann vorgesehen
sein, dass eine gezielte Wiederholung und zweifache Auswertung einer
bestimmten Nachricht durchgeführt
wird, um eine serielle Redundanz zu erzielen. Ferner kann eine höherwertige
Sicherung der Daten durch aufwendigere Algorithmen durchgeführt werden,
um eine höhere
Hamming-Distanz zu erzielen.
-
Im
Gegensatz dazu erlauben bekannte Verfahren nur Maßnahmen
auf Grund von Gut-/Schlechtaussagen
wie beispielsweise Empfang-/Kein Empfang oder Empfangene Daten korrekt/Empfangene
Daten fehlerbehaftet. Eine Ausnutzung des „zulässigen Arbeitsbereiches" ist aus dem Stand
der Technik nicht bekannt. Vielmehr wird bisher bei der Dimensionierung
einer Datenübertragungsstrecke
für Anwendungen
der Sicherheitstechnik eine Betrachtung unter „worst case"-Annahmen vorausgesetzt.
-
Gegenüber dem
Stand der Technik werden eine Vielzahl von Vorteilen erreicht. Im
Einzelfall wird der Betrieb einer sicherheitsgerichteten Funkstrecke über den
größtmöglichen
zulässigen
Betriebsbereich mit optimaler Übertragungskapazität innerhalb
einer Kategorie wie beispielsweise EN954 oder eines SIL's ermöglicht.
Auch kann der Betrieb von Datenübertra gungen
mit Fehlerkorrektur in sicherheitsgerichteten Anwendungen ermöglicht werden,
solange die zulässige
Fehlerrate bei aktueller Sicherung nicht überschritten wird.
-
Insgesamt
wird ein optimaler Betrieb von Übertragungsstrecken
für sicherheitsgerichtete
Anwendungen durch online-erfasste Fehlerraten ermöglicht.
Die gezielte Abschaltung eines Systems erfolgt, wenn die Übertragungsqualität nicht
mehr ausreicht, um eine bestimmte Sicherheitsstufe zu erzielen.
-
Statt
der bisher üblichen
Auslegung einer Übertragungsstrecke
auf „worst
case"-Verhältnisse kann
eine Auslegung derart erfolgen, dass sich die Übertragungsstrecke im Betrieb
(online) an die tatsächlichen
Verhältnisse
anpasst und bessere Ergebnisse der Datenübertragungsrate erzielt.
-
Weitere
Einzelheiten und Vorteile der Erfindung ergeben sich nicht nur aus
den Ansprüchen, sondern
auch aus der nachfolgenden Beschreibung von den Figuren zu entnehmenden
bevorzugten Ausführungsbeispielen.
-
Es
zeigen:
-
1 eine
schematische Darstellung von Komponenten einer funkbasierten Anlagen-/Maschinensteuerung,
-
2 ein
Blockschaltbild eines mobilen Steuerungsgerätes und
-
3 ein
Blockschaltbild eines stationären Steuerungsgerätes.
-
1 zeigt
rein schematisch ein Steuerungssystem 10, umfassend eine
zentrale Steuereinheit 12 wie Anlagen-/Maschinensteuerung
mit vorzugsweise sicherheitsgerichteter Auswerteeinheit, an die
ein oder mehrere stationäre
Komponenten wie Funkstationen 14, 16, 18 über Verbindungsleitungen 20, 22, 24,
vorzugsweise serielle Verbindungsleitungen angeschlossen sind. Zur
Bedienung der zentralen Steuereinheit 12 sind ein oder
mehrere mobile Komponenten 26 wie Steuerungsgeräte, insbesondere
Hand-Bediengeräte vorgesehen,
die über
eine Datenübertragungsstrecke 28 vorzugsweise
serielle Funkstrecke mit zumindest einer der stationären Funkstation 14, 16, 18 kommunizieren.
-
2 zeigt
rein schematisch ein Blockschaltbild des mobilen Steuergerätes 26.
Das mobile Steuergerät 26 umfasst
zumindest einen sicherheitsgerichteten Sensor 30 wie beispielsweise
einen NOT-AUS-Schlagtaster. Zur sicherheitsgerichteten Auswertung
von Signalen des Sensors 30 ist eine sicherheitsgerichtete
Steuerung 32 mit einer ersten Mikroprozessorschaltung 34 und
einer zweiten Mikroprozessorschaltung 36, die jeweils einen
Eingang 38, 40 zum Anschluss an den Sensor 30 aufweisen,
vorgesehen. Die Mikroprozessorschaltungen 34, 36 erfassen
jeweils die Signale des oder der sicherheitsgerichteten Sensoren 30 und
vergleichen diese Signale mit den von der jeweils anderen Mikroprozessorschaltung über eine
Kommunikationsschnittstelle 42. Sofern bei diesem Vergleich
Fehler erkannt werden, wird die Mikroprozessorschaltung 34 abgeschaltet. Die
Kommunikationsverbindung 42 ist als bidirektionale serielle
Kommunikationsverbindung zwischen den Mikroprozessorschaltungen 34, 36 ausgebildet.
-
Ein
Ausgang 44 der Mikroprozessorschaltung 34 ist
mit dem Eingang eines logischen Gatters vorzugsweise UND-Gatter 46 verbunden
und dient zur Aktivierung der Sende-Datenleitung der Mikroprozessorschaltung 36,
solange keine Fehler im System festgestellt werden. Entsprechend
weist die Mikroprozessorschaltung 36 einen Ausgang 48 auf,
der ebenfalls mit einem Eingang des logischen Gatters 46 verbunden
ist und zur Aktivierung der Sende-Datenleitung der Mikroprozessorschaltung 34 dient,
solange keine Fehler im System festgestellt werden.
-
Über einen
Ausgang 50 der Mikroprozessorschaltung 36 werden
serielle Sendedaten zu einem Sende-/Empfangsmodul 52 übertragen.
Von dem Sende-/Empfangsmodul 52 empfangene Daten werden über eine
Datenleitung 54 in die Mikroprozessorschaltung 36 übertragen.
Die Logikschaltung 46 ist über eine Datenleitung 56 zur Übertragung
der seriellen Sendedaten zum Sendemodul 52 verbunden.
-
Schließlich ist
das Sende-/Empfangsmodul 52, das einen Sender und Empfänger (Transceiver) umfasst, über die
Datenübertragungsstrecke 28 wie Funkstrecke
mit den stationären
Funkstationen 14, 16, 18 gekoppelt.
-
Zur
Ausgabe von nicht sicherheitsgerichteten Ausgangssignalen ist ein
Ausgang 60 an der Mikroprozessorschaltung 36 vorgesehen.
-
Auch
besteht die Möglichkeit,
sicherheitsgerichtete Ausgangssignale über eine serielle Schnittstelle 62 und
ein Logikgatter 64 an eine kabelgebundene Schnittstelle 66 zu übertragen.
Eine Aktivierung der Transmit-Daten-Schnittstelle 62 erfolgt über einen
Ausgang 68 der Mikroprozessorschaltung 36 sowie
einen Ausgang 70 der Mikroprozessorschaltung 34.
Die Transmit-Daten-Schnittstelle 62 wird deaktiviert, wenn
ein Fehler im System festgestellt wird.
-
Schließlich ist
eine Schnittstelle 72 für
die Übertragung
nicht sicherheitsgerichteter Signale zu einem weiteren externen
Mikroprozessorsystem (nicht dargestellt) vorgesehen. Dabei können wahlweise
serielle Datenübertragungen
gemäß RS232, einer
CAN-Verbindung oder eine ETHERNET-Verbindung zur Verfügung gestellt
werden. Des Weiteren steht eine Schnittstelle 74 für die alternative Übertragung
des sicheren Protokolls im leitungsgebundenen Betrieb zur Verfügung.
-
3 zeigt
ein Blockschaltbild eines der stationären Funkmodule 14, 16, 18.
Die Einheit umfasst ein erstes Sende-/Empfangsmodul 76 mit
Sender und Empfänger
sowie ein zweites Sende-/Empfangsmodul mit Sender und Empfänger 78,
das insbesondere zur Verbesserung der Verfügbarkeit und zur Bestimmung
des Empfangspegels vorgesehen ist. Beide Sende-/Empfangsmodule 76, 78 kommunizieren über die
Funkstrecke 28 mit den mobilen Steuergeräten 26.
Schließlich
ist ein drittes Sende-/Empfangsmodul 80 mit Sender und
Empfänger
vorgesehen, das ebenfalls zur Verbesserung der Verfügbarkeit und
zur Bestimmung des Empfangspegels einsetzbar ist. Auch dieses Funkmodul
ist über
die Funkstrecke 28 mit den mobilen Steuerungsgeräten 26 gekoppelt.
-
Des
Weiteren sind zumindest zwei mehrfach Seriell-Parallel-Umsetzer 82, 84 zum
Empfang der seriellen Daten von den Sende-/Empfangsmodulen 76, 78, 80 vorgesehen.
Jeder Umsetzer 82, 84 umfasst Eingänge 86, 88, 90 bzw. 92, 94, 96 zum
Empfang der Daten von den Sende-/Empfangsmodulen 76, 78, 80.
Zur Steuerung der Umsetzer 82, 84 sind jeweils
Mikroprozessoren 98, 100 vorgesehen, die über Kommunikationsleitungen 102, 104 mit
den Umsetzern 82, 84 verbunden sind. Der Umsetzer 84 weist
zudem Ausgänge 106, 108, 110 auf, über die serielle
Daten jeweils zu den Funkmodulen 76, 78, 80 übertragen
werden.
-
Die
Mikroprozessorschaltung 100 übernimmt die Steuerung des
mehrfach Seriell-Parallel-Umsetzers 84,
insbesondere die Decodierung der Empfangsdaten der Funkmodule 76, 78, 80 und
die Ausgabe der sicheren Daten an sicherheitsgerichtete Ausgänge 112,
wie beispielsweise einen Aktor 114 wie Sicherheitsrelais.
-
Ferner
erfolgt ein Vergleich des Decodier-Ergebnisses mit demjenigen der
Mikroprozessorschaltung 98 über eine Kommunikationsstelle 116.
-
Eine
weitere Kommunikationsschnittstelle 118 ist zur Übergabe
bidirektionaler, nicht sicherheitsgerichteter Kommunikationsdaten
vorgesehen. Ferner sind Eingänge 120 zur
Erfassung von Signalen der nicht sicherheitsgerichteten Eingänge vorgesehen.
Weiterhin übernimmt
die Mikroprozessorschaltung 84 die Funktion der Codierung
und die Übertragung
dieser Daten, Erfassung der Empfangspegel der von den Funkmodulen 76, 78, 80 empfangenen
Signale, Berechnung/Prüfung
des wahrscheinlichen Aufenthaltsortes des mobilen Steuerungsgerätes 26 auf
der Grundlage der erfassten Empfangspegel.
-
Die
Mikroprozessorschaltung 98 dient zur Steuerung des Mehrfach-Seriell-Parallel-Umsetzers 82,
zur Decodierung der Empfangsdaten der Eingänge 86, 88, 90 sowie
Ausgabe der sicheren Daten an sicherheitsgerichtete Ausgänge 122,
die mit dem Aktor 114 verbunden sind. Schließlich erfolgt
ein Vergleich des Decoderergebnisses mit demjenigen der Mikroprozessorschaltung 100 durch
Datenaustausch über
die Kommunikationsschnittstelle 116.
-
Ferner
ist zu erwähnen,
dass die Umsetzer 82, 84 jeweils einen Anschluss 124, 126 für eine Kabelschnittstelle
für die
optionale serielle Übertragung des
Sicherungsprotokolls aufweisen, die empfangsseitig zweikanalig ausgebildet
ist. Die Kabelschnittstelle ist mit 128 bezeichnet. Die
Mikroprozessorschaltungen 98, 100 weisen jeweils
Eingänge 130, 132 zum
Empfang sicherheitsgerichteter Eingangssignale für Betriebsdatensignale und
Anmelde-Schlüsselschalter
auf.