DE10258946A1 - Speicherprogrammierbare Steuerung für Sicherheitssyteme mit verminderter Querverdrahtung - Google Patents

Speicherprogrammierbare Steuerung für Sicherheitssyteme mit verminderter Querverdrahtung

Info

Publication number
DE10258946A1
DE10258946A1 DE10258946A DE10258946A DE10258946A1 DE 10258946 A1 DE10258946 A1 DE 10258946A1 DE 10258946 A DE10258946 A DE 10258946A DE 10258946 A DE10258946 A DE 10258946A DE 10258946 A1 DE10258946 A1 DE 10258946A1
Authority
DE
Germany
Prior art keywords
modules
module
redundant
programmable controller
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10258946A
Other languages
English (en)
Inventor
Arthur Paul Pietrzyk
Thomas Sugimoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rockwell Automation Technologies Inc
Original Assignee
Rockwell Automation Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rockwell Automation Technologies Inc filed Critical Rockwell Automation Technologies Inc
Publication of DE10258946A1 publication Critical patent/DE10258946A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/054Input/output
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/13Plc programming
    • G05B2219/13125Use of virtual, logical connections
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14015Dual plc's, processors and dual I-O
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25211Broadcast mode, length message, command, address of originator and destination

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

Eine programmierbare Sicherheitssystemsteuerung sorgt für eine Querverbindung von Eingaben und Ausgaben separater unabhängiger Steuermodule durch die Verwendung von virtuellen Drahtverbindungen, die als Nachrichten auf einer einzigen logischen Rückebene übertragen werden. Die Rückebene führt ein hochstufiges Protokoll aus, das drahtähnliche Anzeigen von Kommunikationsfehlern vorsieht, die solche von separaten physischen Drähten nachahmen.

Description

    Hintergrund der Erfindung
  • Die Erfindung betrifft speicherprogrammierbare Steuerungen (SPS'n) oder programmierbare Logikcontroller (PLC's) und insbesondere eine SPS oder einen PLC, die bzw. der speziell in Sicherheitssystemen Anwendung findet.
  • PLC's sind Spezialzweckrechner, die zur Steuerung industrieller Prozesse und dergleichen verwendet werden. Während der Ausführung eines gespeicherten Steuerprogramms lesen sie Eingänge oder Eingaben aus dem gesteuerten Prozeß und aufgrund der Verknüpfung oder Logik des Steuerprogramms liefern sie Ausgänge oder Ausgaben an den gesteuerten Prozeß. Die Ausgaben sehen typischerweise analoge oder binäre Spannungen oder "Kontakte" vor, die von Festkörper-Schaltvorrichtungen implementiert werden.
  • PLC's unterscheiden sich von herkömmlichen Rechnern sowohl hinsichtlich ihrer Zuverlässigkeit und Flexibilität. Bezüglich des letzten Punktes sind PLC's normalerweise modular konstruiert, so daß sie sehr leicht neu konfiguriert werden können, um den Anforderungen des besonderen zu steuernden Prozesses zu genügen. So sind beispielsweise der Prozessor und die E/A-Schaltung (E/A = Eingabe/Ausgabe) normalerweise als separate Module konstruiert, die in ein Chassis eingesetzt werden können und über eine gemeinsame Rückebene miteinander verbunden werden können, und zwar unter Verwendung von permanenten oder lösbaren elektrischen Verbindern. Diese modulare Rückebenekonstruktion gestattet es beispielsweise, die Anzahl der E/A-Module in Abhängigkeit von den Notwendigkeit für den besonderen gesteuerten Prozeß zu verändern. Die modulare Rückebene gestattet auch das Anbringen von Netzwerkkarten an der Rückebene, um beispielsweise über ein Steuernetzwerk mit zusätzlichen Fern-E/A- Modulen zu kommunizieren.
  • Während, abgesehen von kleinsten Steurungssystemen, PLC's größtenteils Systeme ersetzt haben, die aus diskreten miteinander verbundenen Relais aufgebaut sind, besteht eine Ausnahme bei sogenannten Sicherheitsanwendungen. Sicherheitsanwendungen sind solche Anwendungen, bei denen eine Störung oder ein Versagen des Steuerungssysteme zu einer beachtlichen Gefahr oder Schädigung führen kann. Sicherheitssysteme zur Verwendung in solchen Sicherheitsanwendungen können mehrfach redundante Kanäle mit Überwachung und Verifikation anwenden und können Kombinationen aus Sicherheitsrelais, Sensoren und Aktoren enthalten, und zwar jeweils mit separaten Gruppen miteinander verbundener Verdrahtung und Querverdrahtung, um Diskrepanzen zwischen Signalwegen zu überprüfen. Die Verdrahtung der Sicherheitssysteme ist derart ausgeführt, daß das Sicherheitssystem auf eine vorbestimmte Sicherheitsstufe gebracht wird, wenn entweder die redundanten Kanäle versagen und/oder nicht miteinander übereinstimmen.
  • Derartige diskrete Sicherheitssysteme sind kostenaufwendig zu installieren und aufrecht zu erhalten, und zwar speziell bei komplexen Steueranwendungen, wo zahlreiche Punkt-Zu-Punkt-Verdrahtungen vorzunehmen sind, um sowohl die Logik zu implementieren und die redundanten Kanäle vorzusehen. Aus diesem Grunde besteht ein großes Interesse an der Verwendung von PLC's, bei denen die Logik durch einen Computer oder Rechner anstelle von Geräteverbindungen implementiert ist, um einen gleichstufigen Sicherheitsbetrieb vorzusehen.
  • Ein derartiger Versuch, ein Sicherheitssystem mit einem PLC zu implementieren, besteht darin, Duplikat-PLC's unter Verwendung von jeweils separaten Signalwegen mit Sensoren und Aktoren zu verbinden. Jeder PLC und seine zugeordnete E/A stellen einen unabhängigen Steuerkanal dar, und die Steuerungen sind miteinander querverdrahtet, so daß ein Versagen in irgend einem der beiden erfaßt werden kann und ein Sicherheitszustand aufrecht erhalten werden kann.
  • Unter Bezugnahme auf Fig. 1 kann beispielsweise ein herkömmliches Sicherheitssystem mit duplizierten PLC's 10a und 10b implementiert werden.
  • Jeder der PLC's 10a und 10b kann über redundante Eingabeleitungen 16a und 16b, die jeweils zu Eingabemodulen 24a und 24b führen, Eingabesignale von einer Vielzahl von Sensoren oder Kontaktschaltern 14 erhalten und kann über Leitungen 18a und 18b redundante Ausgabesignale (von Ausgabemodulen 25a und 25b) einem Aktor 20 zuführen. Die beiden Signale auf den Leitungen 18a und 18b müssen für den Aktor 20 gleich sein, damit er betätigt wird. Die Ausgabemodule 25a und 25b können interne Prüfung und Diagnose beinhalten, andernfalls kann der Status der Ausgaben 18a und 18b durch Eingaben der Eingabemodule 24a und 24b überwacht werden, so daß Ausgabestörungen detektiert werden können.
  • Jeder der PLS's 10a und 10b enthält ein Chassis 12a und 12b, die jeweils einen der separaten Steuermodule 22a und 22b tragen, welche ein redundantes Steuerprogramm ausführen. Die redundanten Steuerprogramme können im wesentlichen identisch sein, oder es können unterschiedliche Steuerprogramme sein, die die gleichen Steuerausgaben vorsehen sollen. Das Steuermodul 22a und E/A-Module 24a und 25a kommunizieren miteinander über eine Rückebene 40a, wohingegen das Steuermodul 22b und E/A-Module 24b und 25b über eine Rückebene 40b miteinander kommunizieren. Jede Rückebene 40a und 40b ist einem der Chassis 12a und 12b zugeordnet und kommuniziert mit seinen jeweiligen Modulen über elektrische Verbinder (nicht dargestellt). Die Rückebenen 40a und 40b werden von Energieversorgungen 32a und 32b mit Energie versorgt und enthalten Diagnoseschaltungstechnik, um Störungen zu erfassen und in einen vorbestimmten Sicherheitszustand zu gehen.
  • Eine Querverdrahtung 26 zwischen den E/A-Modulen 24a und 24b gestattet es, daß jeder PLC 10a und 10b die Eingaben und Ausgaben des anderen überprüft, und zwar auf Disparität und Durchführung von Tests, falls erforderlich. Falls eine Disparität oder eine Störung entdeckt wird, veranlassen die Steuerprogramme, daß die Steuerungen und ihre Ausgaben entsprechend der Steueranwendung in einen vordefinierten Sicherheitszustand eintreten.
  • Obgleich dieses System die Fähigkeit hat, Störungen zu erfassen und auf sie zu antworten, kann es kostenaufwendig sein, die Querverdrahtung zu implementieren und aufrecht zu erhalten, speziell bei komplexen Steueranwendungen. Die Notwendigkeit, die Hardware einschließlich Gestelle und Rückebenen zu duplizieren, erhöht zudem die Kosten.
    • Zusammenfassende Darlegung der Erfindung
  • Die Erfindung sieht ein Sicherheitssystem unter Verwendung von duplizierten PLC's und Modulen vor, jedoch mit einer beträchtlich verminderten Verdrahtung und, bei bestimmten Ausführungsbeispielen mit beträchtlich verringerten Kosten für die Hardware.
  • Die Erfinder haben erkannt, daß in bestimmten Fällen die physische Verdrahtung mit gleicher Sicherheit durch eine "virtuelle" Verdrahtung ersetzt werden kann, die auf einer einzigen einheitlichen Rückebene des PLC implementiert ist. Somit kann die physische Querverdrahtung zugunsten von Rückebenenachrichten eliminiert werden.
  • Damit die virtuelle Verdrahtung die gleiche Stufe an Sicherheit wie die physische Verdrahtung hat, muß man ein "Verbindung hergestellt"- oder "Verbunden"- Kommunikationsprotokoll verwenden, welches sowohl eine zuverlässige Übertragung von Nachrichten durch zuvor erstellte Verbindungen sicherstellt als auch eine Störung oder ein Versagen der virtuellen Verdrahtung, die durch eine Verbindung repräsentiert ist, detektiert. Verbunden-Nachrichtensysteme erfordern im allgemeinen ein Eröffnen von Verbindungen, um die notwendige Bandbreite und andere Netzwerkressourcen zu reservieren, die von der Verbindung benötigt werden. Im Anschluß an das Eröffnen kann die Verbindung irgendeine Vielfalt von Eigenschaften oder Merkmalen implementieren, um die Integrität der Verbindung einschließlich Nachrichtenrückmeldung und -vergleich, E/A-Rundspruch und Verifikation von Ergebnissen oder die regelmäßige Übertragung eines Herzschlagsignals sicherzustellen. Jede Verbindung bekommt einen virtuellen Draht, der den physischen Draht nachahmt, jedoch abweichend von einem physischen Draht ist der virtuelle Draht eine ausfall- oder betriebssichere Verbindung, weil jede Verbindung die Redundanz und Verifikation enthält, die im Falle einer Verbindungsanomalie, wie beispielsweise ein Drahtbruch oder ein Verbindungsgeräteausfall, die Ausgaben auf einen sicheren abgeschalteten Zustand bringt.
  • Durch die Verwendung der zuverlässigen virtuellen Verdrahtung von Verbindungen wird die tatsächliche physische Verdrahtung, die zum Implementieren eines Sicherheitssystems erforderlich ist, beträchtlich vermindert, was auch für die Anzahl der E/A-Punkte zutrifft. Die Fähigkeit, eine einzige Rückebene zu verwenden, gestattet es, daß das gesamte Sicherheitssystem im Gegensatz zu einem duplizierten Chassis auf einem einzigen Chassis implementiert werden kann. Die Unterstützung von Vielfach- oder Multispruch/Rundspruch-Kommunikationen gestattet es, daß Nachrichten, die aus Gründen der Redundanz, Überwachung und Verifikation durch Querverdrahtung implementiert sind, gleichzeitig zu vielfachen Geräten übertragen werden können, wodurch die Belastung hinsichtlich der Netzwerkbandbreite vermindert wird.
  • Speziell sieht dann die Erfindung einen PLC für Sicherheitsanwendungen vor, einschließlich einer Rückebene, die eine Verbindung zu wenigstens zwei E/A- Modulen und zu einem ersten und zweiten Steuermodul gestattet. Die Rückebene, die E/A-Module und die Steuermodule enthalten Kommunikationsschaltungstechnik, die ein Verbunden-Kommunikationsprotokoll unterstützt, in welchem ein Ausfall oder eine Störung einer Verbindung zwischen Modulen von den Modulen erfaßt werden kann. Dieses Verbunden-Kommunikationsprotokoll kann, muß aber nicht, eine Erzeuger/Verbraucher-Rundspruchnachrichtenübermittlung vorsehen, die die gemeinsame Nutzung von Eingabe- und Ausgabeinformation über die einzige Rückebene gestattet.
  • Jedes der ersten und zweiten Steuermodule führt redundant ein Steuerprogramm aus, um: (i) Verbindungen über die Rückebene mit den wenigstens beiden E/A- Modulen zu eröffnen; (ii) redundante Eingabesignale von den E/A-Modulen über Verbindungen zu empfangen; (iii) ein redundantes Ausgabesignal aufgrund der empfangenen Eingabesignale zu erzeugen; und (iv) das redundante Ausgabesignal an wenigstens ein E/A-Modul über eine Verbindung zu übertragen.
  • Ein Ziel der Erfindung ist es somit, die Sicherheitsvorteile der redundanten physischen Verdrahtung für Eingaben unter Verwendung von virtuellen Verbindungen vorzusehen, welche die Sicherheitseigenschaften von tatsächlichen Drähten verkörpern. Auf diese Weise kann jede Steuerung Logik enthalten, um die Eingaben jeder anderen gleichzeitig zu analysieren, um sicherzustellen, daß sie in Übereinstimmung sind.
  • Ein weiteres Ziel der Erfindung ist es, ein Sicherheitssystem vorzusehen, das auf einer einzigen logischen Rückebene implementiert werden kann, die Verbunden- und redundante Nachrichtenübermittlung unterstützt.
  • Jedes gegebene erste und zweite Steuermodul führen ferner das Steuerprogramm redundant aus, um: (v) über eine Verbindung das redundante Ausgabesignal des anderen Steuermoduls (beispielsweise unter Ausnutzung eines Ausgabeechos) zu empfangen; (vi) das redundante Ausgabesignal des gegebenen Steuermoduls und des anderen Steuermoduls miteinander zu vergleichen; und (vii) in einen vordefinierten Sicherheitszustand einzutreten, wenn das Ergebnis des Vergleiches derart ist, daß die Signale nicht miteinander übereinstimmen.
  • Es ist somit ein anderes Ziel der Erfindung, die Querverdrahtung, die zuvor zur Implementierung von Sicherheitssystemen erforderlich war, intern zu handhaben und damit die Kosten einer physischen Querverdrahtung zu eliminieren. Die Querverdrahtung gestattet eine Überprüfung dahingehend, daß alle Eingaben miteinander übereinstimmen und daß alle Ausgaben miteinander übereinstimmen, um Ausfälle festzustellen und zu bestimmen, wo ein Ausfall aufgetreten ist.
  • Das gegebene Steuermodul kann das Ausgabemodul des anderen Steuermoduls über eine Verbunden-Nachricht von einem anderen Ausgabemodul erhalten.
  • Ein Merkmal der Erfindung gestattet es deshalb, daß die Ausgabe der anderen Steuerung direkt überprüft werden kann, und zwar ohne Intervention durch die andere Steuerung.
  • Die Rückebene kann eine einheitliche Schaltungsplatte sein, oder sie kann aus zwei koplanaren Schaltungsplatten bestehen.
  • Es ist somit ein anderes Ziel der Erfindung, eine kompaktere Implementation des Sicherheitssystems vorzusehen, wodurch Hardwarekosten vermindert werden können.
  • Man kann mehr als eine Schaltungsplatte miteinander verbinden, um eine einzige logische Rückebene vorzusehen. Die Schaltungsplatten können miteinander über ein Paar Netzwerkkarten kommunizieren, wobei jeweils eine an eine der Schaltungskarten angeschlossen ist und über Netzwerkmittel verbunden ist und wobei die Netzwerkkarten ein Protokoll vorsehen, welches das Verbunden- Kommunikationsprotokoll unterstützt.
  • Es ist ein anderes Ziel der Erfindung, eine willkürliche Erweiterung der Größe des Sicherheitssystems über die Begrenzungen eines einzigen physischen Chassis hinaus zuzulassen, und zwar unter Verwendung von standardisierten industriellen Steuernetzwerken, die hoch zuverlässige Kommunikationsprotokolle vorsehen.
  • Das Verbunden-Kommunikationsprotokoll kann einen Ausfall einer Verbindung zwischen Modulen durch Rückmeldung von Nachrichten erfassen, die nach Aussendung von einem ersten Modul an ein zweites Modul zurück an das erste Modul gesendet werden, oder es kann einen Ausfall einer Verbindung zwischen Modulen durch Erfassen der Abwesenheit eines Herzschlagsignals für mehr als eine vorbestimmte Zeitperiode über eine Verbindung erfassen.
  • Das E/A-Modul kann eine Selbstdiagnose vorsehen, und das Kommunikationsprotokoll kann einen Ausfall einer Verbindung anzeigen, wenn die Selbstdiagnose einen Ausfall des E/A-Moduls anzeigt.
  • Es ist somit ein anderes Ziel der Erfindung, eine positive Anzeige eines Verbindungsausfalls vorzusehen, so daß ein Sicherheitszustand eingenommen werden kann.
  • Es ist ein anderes Ziel der Erfindung, das Konzept des Verbindungsausfalls auf Ausfälle von Komponenten, die im Sicherheitssystem verwendet werden, auszudehnen.
  • Das Kommunikationsprotokoll kann Vielfach- oder Multisendungen oder Rundsendungen von Nachrichten unterstützen, die über eine Verbindung ausgesendet werden, beispielsweise unter Verwendung eines Erzeuger/Verbraucher-Protokolls.
  • Es ist somit ein weiteres Ziel der Erfindung, die Vervielfachung von Rückebenenachrichten zuzulassen, welche Querverbindungen benötigen, ohne übermäßig die Rückebenekapazität zu beanspruchen, speziell bei komplexen Systemen.
  • Die vorstehenden Ziele und Vorteile mögen nicht auf alle Ausführungsformen der Erfindung zutreffen und sind nicht dafür bestimmt, den Schutzumfang der Erfindung zu definieren, wozu die Ansprüche vorgesehen sind. In der nachstehenden Beschreibung wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil der Beschreibung darstellen und in denen ein bevorzugtes Ausführungsbeispiel der Erfindung illustriert ist. Dieses Ausführungsbeispiel definiert ebenfalls nicht den Schutzumfang der Erfindung, und zu diesem Zweck muß deshalb auf die Ansprüche verwiesen werden.
    • Kurze Beschreibung der Zeichnungen
  • Fig. 1 ist eine vereinfachte perspektivische Ansicht eines herkömmlichen Sicherheitssystems, das unter Verwendung von zwei standardmäßig ausgelegten PLC- Systemen mit zwei Chassis implementiert ist, wobei jedes System ein Steuerungsmodul und zwei E/A-Module hat;
  • Fig. 2 ist eine der Fig. 1 ähnliche Figur, die die Implementierung des Sicherheitssystem gemäß einem ersten Ausführungsbeispiel der Erfindung darstellt, und zwar unter Verwendung eines einzigen Chassis mit dualen Steuermodulen und vier E/A-Modulen und unter Verwendung der virtuellen Verdrahtung über Rückebenenachrichten;
  • Fig. 3 ist eine schematische Darstellung einer Rückebenenachricht zwischen zwei Modulen von Fig. 2 und zeigt eine Nachrichtenübermittlung mit geschlossener Schleife, wobei in einem Beispiel von einer Nachrichtenrückmeldung und in einem anderen Beispiel von einem Herzschlagsignal Gebrauch gemacht wird, und zwar jeweils als eine für beide Steuermodule gedachte Maßnahme dafür, daß das andere Steuermodul vorhanden ist und daß die Verbindung gültig ist;
  • Fig. 4 ist eine graphische Darstellung der Rückebenenachrichten, die von oder zu einer Gruppe von E/A-Modulen der Erfindung übertragen werden und zeigt das Vielfachaussenden/Rundaussenden von Eingabe- und Ausgabeechos;
  • Fig. 5 ist eine der Fig. 2 ähnliche Figur und zeigt ein zweites Ausführungsbeispiel der Erfindung mit zwei separaten Chassis, die seitlich nebeneinander liegende Rückebenen vorsehen, welche über Netzwerkkarten logisch miteinander verbunden sind, um eine einzige logische Rückebene zu bilden;
  • Fig. 6 ist eine der Fig. 5 ähnliche Figur und zeigt ein drittes Ausführungsbeispiel der Erfindung mit geteilten koplanaren Rückebenen, die über Netzwerkschnittstellenkarten miteinander verbunden sind;
  • Fig. 7 ist eine schematische Darstellung der Ausführungsbeispiele von Fig. 5 und 6 und zeigt eine Zusammenschaltung von separaten Rückebenen in eine einzige logische Rückebene unter Verwendung von zwei Netzwerkkarten, die durch ein kompatibles Netzwerkmedium miteinander verbunden sind; und
  • Fig. 8 ist ein Flußdiagramm und zeigt eine Betriebsweise der Module bei der Ausführung eines Steuerprogramms gemäß der Erfindung.
    • Detaillierte Beschreibung des bevorzugten Ausführungsbeispiels
  • Unter Bezugnahme auf Fig. 2 kann eine speicherprogrammierbare Sicherheitssteuerung oder programmierbare Sicherheitslogiksteuerung PLC 30, die nach der Erfindung ausgebildet ist, ein Energieversorgungsmodul 32, ein erstes und zweites Steuermodul 34a und 34b und ein erstes und zweites Ausgabemodul 36a und 36b und ein erstes und zweites Eingabemodul 35a und 35b enthalten, die in einem einzigen Chassis 12 untergebracht sind und über eine gemeinsame Rückebene 40 miteinander kommunizieren.
  • Das Eingabemodul 35a kann in einer beispielhaften Anwendung, die ähnlich zu der anhand von Fig. 1 beschriebenen ist, über eine Leitung 42a von einem Schalter 14 ein Eingabesignal erhalten. Das Eingabesignal wird vom Steuermodul 34a verarbeitet, um ein Ausgabesignal zu erzeugen, welches zum Ausgabemodul 36a übertragen wird, das einen Befehl über eine Leitung 44a zu einem Aktor 20 senden kann. In ähnlicher Weise kann das Eingabemodul 35b über eine Leitung 42b vom Schalter 14 ein Eingabesignal erhalten, das vom Steuermodul 34b verarbeitet werden kann, um ein Ausgabesignal zu erzeugen, welches über das Ausgabemodul 36b und eine Leitung 44b zum Aktor 20 gelangt. Der Schalter 14 hat Duplikatkontakte, die jedem der Leitungen 42a und 42b zugeordnet sind, und der Aktor 20 ist mit den Leitungen 44a und 44b verbunden, und zwar in einer solchen Weise, daß er nur dann funktioniert, wenn an beiden Leitungen 44a und 44b das gleiche Signal anliegt.
  • Unter Bezugnahme auf Fig. 3 kann jedes der Module 34, 35 und 36 über die Rückebene 40 kommunizieren unter Verwendung eines Vebunden- Nachrichtenprotokolls. Verbunden-Nachrichten oder Verbunden- Nachrichtenübermittlung bezieht sich auf ein Protokoll, bei dem, vor der Kommunikation zwischen irgendwelchen Modulen 34, 35 und 36, eine Verbindung eröffnet werden muß, um sicherzustellen, daß die erforderlichen Systemressourcen einschließlich Puffer- oder Speicherraum und Netzwerkbandbreite zur Verfügung stehen. Zuvor eröffnete Verbindungen dienen als solche zur Sicherstellung dafür, daß der beabsichtigte Nachrichtenverkehr zuverlässig, ohne beachtliche Verzögerungen bedient werden kann.
  • Bei einem bevorzugten Ausführungsbeispiel folgt das Verbunden- Nachrichtensystem auch einem Erzeuger/Verbraucher-Modell. Das Erzeuger/Verbraucher-Modell bezieht sich auf ein System, in welchem Datenpakete, die über Verbindungen übermittelt werden, durch eine abstrakte Verbindungsnummer identifiziert werden, anstatt beispielsweise durch die Identität der Quelle oder des Ziels. Dementsprechend kann unter dem Erzeuger/Verbraucher-Modell eine Vielfachaussendung oder Rundaussendung sehr leicht ohne zusätzlichen Netzwerkverkehr dadurch vorgenommen werden, daß einer Reihe von Verbrauchern eine einzige Verbindungsnummer zugeordnet wird. Jeder Verbraucher überprüft die Verbindungsnummer des gesamten Rückebenenachrichtenverkehrs, um festzustellen, ob er die Nachricht annehmen muß.
  • Ein geeignetes Kommunikationsprotokoll für die Rückebene 40 ist das Steuer- und Informationsprotokoll CIP (Control and Information Protocol), dessen offene Standards von der Open DeviceNet Vendor Association (ODVA) mit einer Hauptniederlassung in Boca Raton, Florida, verbreitet und verwaltet werden. CIP ist eine Anwendungsschicht, die den offenen Standards ControlNet, DeviceNet oder EtherNet/IP gemeinsam ist und die somit auf einer Vielzahl kommerziell verfügbarer Netzwerke implementiert werden kann. Andere Verbindung-hergestellt- oder Verbunden-Protokolle können ebenfalls benutzt werden.
  • Es ist wichtig, daß das Kommunikationsprotokoll unzweideutig identifizieren kann, ob die Verbindung gültig ist, d. h., ob die über die Verbindung zu übertragenden Nachrichten empfangen werden. Unter Bezugnahme auf Fig. 3 wird diese Gewißheit durch eine Vielzahl von Techniken vorgesehen, von denen jede eine zyklische Kommunikation geschlossener Schleife vorsieht. Eine erste Technik besteht darin, daß eine zyklische oder periodische Eingabenachricht 45 und entsprechende Herzschlagnachricht 46 auf jeder offenen Verbindung zwischen einem Steuermodul 34 und einem Eingabe-E/A-Modul 35 ausgesendet wird. Unterbleibt der Empfang irgendeiner der beiden Nachrichten 45 oder 46 innerhalb eines vordefinierten Zeitintervalls, bedeutet dies, daß ein Verbindungsausfall vorliegt, der dazu benutzt werden kann, daß die Module, die dieser Verbindung zugeordnet sind, in einen vordefinierten Sicherheitszustand eintreten.
  • Immer noch unter Bezugnahme auf Fig. 3 wird bei einer zweiten Technik, die Ausgaberückmeldung genannt wird, eine Nachricht 47 zyklisch über die Rückebene 40 von jedem Steuermodul 34 zu seinem zugeordneten Ausgabemodul 36 gesandt, welche Nachricht beim Empfang durch das Ausgabemodul 36 das Aussenden einer Echonachricht 49 durch das Ausgabemodul 36 zurück zum Steuermodul 34 triggert, welche Echonachricht die empfangenen Daten und Diagnosedaten enthält. Die Echonachricht 49 verifiziert damit, daß die Daten der Nachricht 47 richtig empfangen worden sind. Nach Empfang der Echonachricht 49 vergleicht das Modul 34 die Echonachricht 49 mit der ausgesendeten Nachricht 47 und triggert, falls eine Diskrepanz besteht, die Steuerung 34 derart, daß in einen vordefinierten Sicherheitszustand eingetreten wird, in welchem die Ausgaben abgeschaltet sind.
  • Die Diagnosedaten, die in der Echonachricht enthalten sind, gestatten es, daß die Überprüfung einer gültigen Verbindung ausgedehnt wird, und zwar auf die Sicherstellung eines richtigen Betriebs der Module selbst. Die Ausgabemodule 36 können beispielsweise zum Selbsttesten ihrer Ausgaben einen Pulstest enthalten. Beim Pulstest wird der Ausgabezustand des Ausgabemoduls 36 für eine extrem kurze Zeitdauer, die kürzer als die Ansprechzeit des physischen Aktors 20 ist, geändert, um zu überprüfen, ob er seinen Zustand ändern kann und nicht kurzgeschlossen oder anderweitig beschädigt ist. Die Detektion des E/A-Fehlers kann kommuniziert werden sowohl zu dem Steuermodul 34, welches der vordefinierte "Inhaber" des fehlerhaften Ausgabemoduls 36 ist, als auch zu dem anderen Steuermodul 34, das als Monitor wirkt. Beide Nachrichten 45 und 46 können von der Vielfach- oder Multiaussendung oder Rundaussendung Gebrauch machen.
  • Jeder dieser zyklischen Kommunikationstechniken mit geschlossener Schleife stellt sicher, daß die Verbindung genau so zuverlässig wie ein physischer Draht ist, sofern man weiß, daß die Information zuverlässig ausgesendet worden ist. Wie jetzt beschrieben wird, eliminiert das durch die Rückebene 40 und die Module 34a und 34b, 35a und 35b sowie 36a und 36b bewirkte Verbunden-Kommunikationsprotokoll die Querverdrahtung 26 von E/A von Fig. 1, die im Stand der Technik benötigt wird, um E/A-Zustände gemeinsam zu nutzen, und zwar unter Verwendung der Rückebene 40 und der Erzeuger/Verbraucher-Nachrichtenübermittlung, um die E/A-Information gemeinsam zu nutzen und dann zu vergleichen.
  • Unter Bezugnahme auf Fig. 4 gestattet das Erzeuger/Verbraucher-Modell, daß die Anzahl der Nachrichten, die zum Implementieren der Querverdrahtung 26 benötigt werden, vermindert wird. Die Fähigkeit zur Vielfachaussendung kann für komplexe Steuersysteme mit viel Querverdrahtung 26 wichtig sein und ergibt die Vielfachkommunikationen mit Echos, die bei jeder Transaktion auftreten. Bei dem betrachteten Beispiel wird jedes Eingabemodul 35a und 35b eine Eingabe vom Schalter 14 an beide Steuermodule 34a und 34b (vier Kommunikationspfade) mit gerade zwei Nachrichten übermitteln. Somit wird das Signal 42a vom Schalter 14 vom Eingabemodul 35a empfangen und durch die Nachricht 54a zum Steuermodul 34a und 34b vielfach ausgesendet. Gleichermaßen wird (obwohl es aus Gründen der besseren Übersichtlichkeit nicht gezeigt ist) das Signal 42b, das vom Eingabemodul 35b empfangen wird, an beide Steuermodule 34a und 34b ausgesendet, also mehrfach oder vielfach ausgesendet bzw. rundgesendet. Ein Herzschlag 56 von der Steuerung 34a gestattet dem Eingabemodul 35a die Verifizierung, daß die Steuerung 34a noch richtig arbeitet.
  • Gleichermaßen wird eine Ausgabenachricht vom Steuermodul 34a zum Ausgabemodul 36a gesendet. Das Ausgabemodul 36a vervielfacht dann das Aussenden dieser Ausgabedaten mit seinem Ausgabeecho an beide Steuerungen 34a und 34b. Eine ähnliche Kommunikation (aus Gründen der besseren Übersicht halber nicht gezeigt) tritt zwischen dem Steuermodul 34b und Ausgabemodul 36b und Steuermodul 34a auf.
  • In diesen Fällen arbeiten die empfangenden Steuermodule 34a und 34b beim Empfangen der Eingaben 54 und Echosignale 59 in einem "Nur-Hör"-Betrieb. Auf diese Weise kann jedes Steuermodul 34a und 34b den Status der Eingabe und Ausgabe der anderen Steuermodule direkt von den Eingabemodulen und Ausgabemodulen ohne die Intervention des anderen Steuermoduls erhalten.
  • Unter Bezugnahme auf Fig. 2, 4 und 8 wird der Sicherheits-PLC 30 durch Laden redundanter Steuerprogramme in die Steuermodule 34a und 34b initialisiert, wie es durch einen Prozeßblock 50 in Fig. 8 dargestellt ist. Diese Steuerprogramme implementieren im allgemeinen die Logik des Steuerprozesses, der von Anwendung zu Anwendung unterschiedlich ist, enthalten aber auch die Logik zum Vergleichen von Eingaben und Ausgaben über die Querverdrahtung 26, wie es beschrieben worden ist, und enthalten ferner die notwendige Logik zum Eintreten in einen Sicherheitszustand, wenn ein Fehler oder ein gestörter Zustand aufgetreten ist.
  • Bei einem nachfolgenden Prozeßblock 52 wird die Querverdrahtung 26 des Standes der Technik implementiert durch Eröffnen der Querverbindungen zwischen den verschiedenartigen Modulen 34 und 36, wie es unter Bezugnahme auf Fig. 4 beschrieben worden ist.
  • Bei einem Prozeßblock 54 werden von den Eingabemodulen 35 irgendwelche Eingabesignale (z. B. 42) empfangen, die von den Steuerprogrammen in den Steuermodulen 34a und 34b gemäß einem Prozeßblock 55 verarbeitet werden sollen. Irgendwelche Ausgabenachrichten werden an die Ausgabemodule 36 gesendet, die über die Rückebene 40 mit den Steuermodulen 34 kommunizieren. Bei dem betrachteten Ausführungsbeispiel werden Eingaben über die Leitungen 42a und 42b vom Schalter 14 empfangen und von den Eingabemodulen 35a und 35b zu den Steuermodulen 34a und 34b durch Vielfach- oder Rundspruch ausgesendet. Ausgaben von den Steuermodulen 34a und 34b werden durch 57a und 57b zu den Ausgabemodulen 36a und 36b gesendet und dann über die Leitungen 44a und 44b übertragen, wie es durch einen Prozeßblock 56 angezeigt ist.
  • Gleichzeitig mit dieser Ausführung und diesem Aussenden von Nachrichten (obwohl aufeinanderfolgend gezeigt) überprüft das Netzwerkprotokoll vier Bedingungen, die durch Entscheidungsblöcke 57, 58, 59 und 61 dargestellt sind. Zunächst werden, wie es durch den Entscheidungsblock 57 gezeigt ist, irgendwelche Prozessorfehler innerhalb der Steuermodule 34 erfaßt. Prozessorfehler können mit herkömmlichen Mitteln detektiert werden, die im Stand der Technik bekannt sind, einschließlich, aber nicht ausschließlich, des Aufrufes eines Überwachungszeitgebers. Zweitens werden, wie es durch den Entscheidungsblock 58 gezeigt ist, E/A- Modulfehler erfaßt, beispielsweise durch Verwendung von Pulstests, wie oben beschrieben. Drittens wird, wie es durch den Entscheidungsblock 59 gezeigt ist, der ordnungsgemäße Zustand der Verbindungen festgestellt, beispielsweise durch Bestätigen der periodischen Ankunft eines Herzschlagsignals innerhalb eines vorbestimmten Fensters, um sicherzustellen, daß die Verbindung besteht, und zwar für jede Nachricht, durch Vergleich der Nachricht mit einem Echosignal, um festzustellen, ob die übertragene Nachricht richtig empfangen worden ist. Viertens wird, wie es durch den Entscheidungsblock 61 angezeigt ist, eine Eingabe- und Ausgabesignalübereinstimmung bestätigt, und zwar über Kreuzverbindungen, die die in herkömmlichen Sicherheitssystemen verwendete Querverdrahtung 26 imitieren.
  • Für jeden der Entscheidungsblöcke 57, 58, 59 und 61 resultiert ein Fehler in der Bedingung, daß die Steuerung den Sicherheitszustand einnimmt und ihrer eigenen E/A übermittelt, daß auch sie den Sicherheitszustand einnehmen soll, wie es durch einen Block 65 gezeigt ist. Andernfalls werden die Datenübertragung und Programmausführung gemäß den Prozeßblöcken 54, 55 und 56 fortgeführt. Zusätzlich kann das E/A-Modul einen Fehler in seiner entsprechenden Steuerung (beispielsweise einen Verbindungszeitablauf) detektieren und dann die Wahl treffen, ebenfalls einen Sicherheitszustand (beispielsweise Abschalten der Ausgaben) einzunehmen.
  • Unter Bezugnahme auf Fig. 5 und 7 sei ausgeführt, daß die Fähigkeit, eine virtuelle Querverdrahtung 26 auf der Rückebene 40 auszubilden, nicht eine einzige Rückebene 40 erfordert, sondern daß vielmehr zwei Rückebenen 40a und 40b unter Verwendung von zwei Steuerchassis 12a und 12b benutzt werden können, die hier seitlich aneinander angebracht sind. Diese Ausführungsform unterscheidet sich von dem Stand der Technik nach Fig. 1, weil, obgleich die Rückebenen 40a und 40b physisch getrennt sind, sie dennoch logisch miteinander vereint sind, und zwar durch Verwendung eines zwischenverbindenden Netzwerkmittels 60, welches zwei Netzwerkkarten 62 miteinander verbindet, wobei jeweils eine jeder der Rückebenen 40a und 40b zugeordnet ist und über einen Verbinder 35 in die Rückebene 40 gesteckt ist. Die Netzwerkkarten 62 und das Mittel 60 müssen die oben beschriebene Verbunden-Nachrichtenübermittlung so unterstützen, daß die Integrität der virtuellen Verdrahtung, die durch Nachrichten über das Netzwerkmittel 60 erzeugt wird, aufrecht erhalten bleibt. Dies ist eine relativ einfache Sache für das bevorzugte Protokoll nach CIP, das als eine Anwendungsschicht auf relativ üblichen Netzwerkprotokollen, wie Ethernet, existieren kann. Eine wie oben beschriebene realisierte Netzwerkverbindung gestattet es, daß die virtuelle Verdrahtung oder die virtuellen Drähte nach der Erfindung ungehindert zwischen den physisch separaten Rückebenen 40a und 40b laufen.
  • Unter Bezugnahme auf Fig. 6 und 7 sei ausgeführt, daß in ähnlicher Weise zwei Rückebenen 40a und 40b auf der Rückseite eines einzigen Chassis 12 in getrennter über überlappender Form so plaziert sein können, daß die gleiche Zwischenverbindung durch Netzwerkkarten 62 und das Netzwerkmittel 60 vorgesehen sind. Obgleich in Fig. 5 bis 7 eine gegebene Steuerung und das ihr zugeordnete Paar von E/A-Modulen in der gleichen physischen Rückebene gezeigt sind, ist sie nicht auf diesen Fall beschränkt und ist nicht auf lediglich zwei physische Rückebenen beschränkt. Da die Netzwerkkarten das gleiche Kommunikationsprotokoll wie die Rückebene unterstützen und eine einzige logische Rückebene erzeugen, kann irgendein Modul in irgendeiner physischen Rückebene vorgesehen sein. Dies gestattet es der E/A bezüglich ihrer zugeordneten Steuerung, entweder "lokal" oder "fern" angeordnet zu sein.
  • Aus der obigen Beschreibung geht hervor, daß die Erfindung anwendbar ist auf Systeme mit zusätzlicher Redundanz, beispielsweise auf Systeme mit drei oder mehr Steuermodulen, von denen jedes Querverbindungen mit den anderen unterstützt. Die Fähigkeit, Querverbindungsnachrichten durch Viel- oder Mehrspruch oder Rundspruch auszusenden, macht die Skalierbarkeit einer größeren Anzahl von Steuerungen möglich.
  • Der hier benutzte Begriff "Programmierbarer Logikcontroller" (PLC) oder "Speicherprogrammierbare Steuerung" sollte so verstanden werden, daß er generell Systeme zur Steuerung von Prozessen und Anlagen einschließt, und deswegen andere ähnliche Begriffe einschließt, wie beispielsweise industrielle Steuerung und dergleichen. Ferner sollte Rundspruch so verstanden werden, daß damit auch Mehr- oder Vielspruchtechniken umfaßt sind. Die hier benutzten Begriffe Sicherheit und Sicherheitssystem beziehen sich auf ein System, das bestimmten vorschriftsmäßigen Anforderungen für Systeme genügt, die eine verbesserte Fähigkeit haben, Fehler zu erfassen und darauf durch Eintreten in einen benutzerdefinierten Sicherheitszustand zu antworten. Die erfolgreiche Implementierung eines Sicherheitssystems hängt ab von einer richtigen Programmierung des Steuerprogramms und Definition des Sicherheitszustands als auch einer geeigneten Auswahl der Sensoren und Aktoren und ihrer Verdrahtung, Aktivitäten, die normalerweise nicht unter der Kontrolle des Herstellers sind. Es ist selbstverständlich, daß, obgleich es das Ziel eines Sicherheitssystems ist, die Sicherheitsstufe in einem Steuerungssystem zu verbessern, kein Steuerungssystem Sicherheit gewährleisten kann, ohne daß andere Maßnahmen hinzukommen, einschließlich Training des Personals und geeignete Überwachung der Prozeßumgebung.
  • Es ist speziell beabsichtigt, daß die Erfindung nicht auf die Ausführungsbeispiele und Illustrationen beschränkt ist, die hier dargelegt und erläutert sind, sondern daß auch modifizierte Formen dieser Ausführungsbeispiele einschließlich Teile der Ausführungsbeispiele und Kombinationen von Elementen verschiedener Ausführungsbeispiele eingeschlossen sind und unter den Schutzumfang der nachfolgenden Ansprüche fallen.

Claims (34)

1. Programmierbare Steuerung für Sicherheitsanwendungen, enthaltend:
eine Rückebene;
wenigstens zwei E/A-Module, die mit der Rückebene elektrisch verbindbar sind;
erste und zweite Steuermodule, die mit der Rückebene elektrisch verbindbar sind;
wobei die Rückebene, E/A-Module und Steuermodule Schaltungstechnik enthalten, die ein Verbunden-Kommunikationsprotokoll unterstützt, in welchem der Ausfall einer Verbindung zwischen Modulen von den Modulen erfaßt werden kann;
wobei jeder eines gegebenen ersten und zweiten Steuermodules ein Steuerprogramm redundant ausführt, um:
a) Verbindungen über die Rückebene mit den wenigstens beiden E/A-Modulen zu eröffnen;
b) über Verbindungen redundante Eingabesignale von den E/A-Modulen zu empfangen;
c) ein redundantes Ausgabesignal aufgrund der empfangenen Eingabesignale zu erzeugen; und
d) über eine Verbindung das redundante Ausgabesignal zu wenigstens einem E/A-Modul zu übertragen.
2. Programmierbare Steuerung nach Anspruch 1, in welcher jeder gegebene erste und zweite Steuermodul ferner das Steuerprogramm redundant ausführt, um:
a) über eine Verbindung das redundante Ausgabesignal von dem anderen Steuermodul zu empfangen;
b) die redundanten Ausgabesignale des gegebenen Steuermoduls und des anderen Steuermoduls zu vergleichen; und
c) in einen vordefinierten Sicherheitszustand einzutreten, wenn das Resultat des Vergleiches derart ist, daß die Signale nicht übereinstimmen.
3. Programmierbare Steuerung nach Anspruch 1, in welcher die gegebenen Steuermodule das Ausgabesignal des anderen Steuermoduls über eine Verbunden-Nachricht von einem Ausgabemodul empfangen.
4. Programmierbare Steuerung nach Anspruch 1, in welcher die E/A-Module zwei Eingabemodule und zwei Ausgabemodule enthalten und in welcher jeder gegebene Steuermodul Verbindungen über die Rückebene mit den beiden Eingabemodulen eröffnet, um redundante Eingabesignale von den beiden Eingabemodulen zu empfangen und in welcher jeder der gegebenen Steuermodule die redundanten Ausgabesignale an einen anderen Ausgabemodul übermittelt.
5. Programmierbare Steuerung nach Anspruch 1, in welcher die Rückebene eine unitäre Schaltungsplatte ist.
6. Programmierbare Steuerung nach Anspruch 1, in welcher die Rückebene mehr als eine Schaltungsplatte aufweist, die so miteinander verbunden sind, daß eine einzige logische Rückebene vorgesehen ist.
7. Programmierbare Steuerung nach Anspruch 6, in welcher die Schaltungsplatten im wesentlichen koplanar sind.
8. Programmierbare Steuerung nach Anspruch 6, in welcher Schaltungsplatten über ein Paar Netzwerkkarten miteinander kommunizieren, in denen jeweils eine mit einer der Schaltungsplatten verbunden ist und die über Netzwerkmittel miteinander verbunden sind, wobei die Netzwerkkarten ein Protokoll vorsehen, daß das Verbunden-Kommunikationsprotokoll unterstützt.
9. Programmierbare Steuerung nach Anspruch 1, in welcher das Verbunden- Kommunikationprotokoll einen Ausfall einer Verbindung zwischen Modulen durch Rückmeldung von Nachrichten erfaßt, die von einem ersten Modul zu einem zweiten Modul gesendet worden sind und die rückgemeldete Nachricht mit der ausgesendeten Nachricht vergleicht.
10. Programmierbare Steuerung nach Anspruch 1, in welcher das Verbunden- Kommunikationsprotokoll den Ausfall einer Verbindung zwischen Modulen durch Detektion der Abwesenheit eines Herzschlagsignals über eine Verbindung für länger als eine vorbestimmte Zeitperiode erfaßt.
11. Programmierbare Steuerung nach Anspruch 1, in welcher das Kommunikationsprotokoll das Rundsenden von über eine Verbindung übertragenen Nachrichten unterstützt.
12. Programmierbare Steuerung nach Anspruch 1, in welcher das Kommunikationsprotokoll ein Verbraucher/Erzeuger-Protokoll ist.
13. Programmierbare Steuerung nach Anspruch 1, in welcher die Ausgabesignale Binärsignale mit einem vordefinierten ersten und zweiten Zustand sind; wobei die programmierbare Steuerung ferner ein gesteuertes Gerät enthält, das redundante Ausgabesignale von dem wenigstens einen E/A-Modul empfängt, um in einem betätigten Zustand nur dann einzutreten, wenn die beiden Ausgabesignale den selben Zustand aufweisen, und in einen vordefinierten Sicherheitszustand einzutreten, wenn die Ausgabesignale unterschiedliche Zustände haben.
14. Programmierbare Steuerung nach Anspruch 1, ferner enthaltend ein Eingabegerät, das identische redundante Eingabesignale für das wenigstens eine E/A-Modul auf der Grundlage einer einzigen Betätigungsbedingung vorsieht.
15. Programmierbare Steuerung nach Anspruch 1, in welcher das wenigstens eine E/A-Modul eine Selbstdiagnose vorsieht und in welcher das Kommunikationsprotokoll einen Ausfall einer Verbindung anzeigen kann, wenn die Selbstdiagnose einen Ausfall der E/A-Moduls anzeigt.
16. Programmierbare Steuerung nach Anspruch 15, in welcher die Ausgabesignale von dem wenigstens einen E/A-Modul Schalterausgaben sind, die entweder einen offenen oder einen geschlossenen leitenden Pfad vorsehen, und welcher die Selbstdiagnose überprüft, ob ein Ausgang des E/A-Moduls kurzgeschlossen ist.
17. Programmierbare Steuerung nach Anspruch 15, in welcher die Verbunden- Kommunikationsschaltungstechnik der Rückebene, des E/A-Moduls und der Steuermodule die Anzeige einer fehlerhaften Bedingung veranlaßt, wenn redundante Eingabesignale oder redundante Ausgabesignale nicht übereinstimmen.
18. Verfahren zum Implementieren eines Sicherheitssystems auf einer programmierbaren Steuerung mit einer Rückebene, wenigstens einem zweier E/A-Module, die mit der Rückebene elektrisch verbindbar sind, und einem ersten und zweiten Steuermodul, die mit der Rückebene elektrisch verbindbar sind, wobei die Rückebene, die E/A-Module und die Steuermodule Schaltungstechnik enthalten, die ein Verbunden-Kommunikationsprotokoll unterstützt, in welchem ein Ausfall einer Verbindung zwischen Modulen von den Modulen erfaßt werden kann, welches Verfahren für jedes gegebene Steuermodul die nachstehenden Schritte enthält:
a) Eröffnen von Verbindungen über die Rückebene mit den wenigstens beiden E/A-Modulen;
b) Empfangen redundanter Eingabesignale von den E/A-Modulen über Verbindungen;
c) Erzeugen eines redundanten Ausgabesignals aufgrund der empfangenen Eingabesignale; und
d) Übertragen des redundanten Ausgabesignals über eine Verbindung zu wenigstens einem der E/A-Module.
19. Verfahren nach Anspruch 17, ferner enthaltend für jede gegebene Steuerung die Schritte:
a) Empfangen des redundanten Ausgabesignals des anderen Steuermoduls über eine Verbindung;
b) Vergleichen der redundanten Ausgabesignale des gegebenen Steuermoduls und des anderen Steuermoduls;
c) Eintreten in einen vordefinierten Sicherheitszustand, wenn das Ergebnis des Vergleiches aufzeigt, daß die Signale nicht übereinstimmen.
20. Verfahren nach Anspruch 19, bei dem die gegebenen Steuermodule das Ausgabesignal des anderen Steuermoduls über eine Verbunden-Nachricht von einem Ausgabemodul empfangen.
21. Verfahren nach Anspruch 17, bei welchem die E/A-Module zwei Eingabemodule und zwei Ausgabemodule umfassen und in welchem jedes gegebene Steuermodul Verbindungen über die Rückebene mit den beiden Eingabemodulen eröffnet, um die redundanten Eingabesignale von den beiden Eingabemodulen zu empfangen, und bei dem jedes der gegebenen Steuermodule das redundante Ausgabesignal zu einem anderen Ausgabemodul übermittelt.
22. Verfahren nach Anspruch 17, bei dem die Rückebene eine unitäre Schaltungsplatte ist.
23. Verfahren nach Anspruch 17, bei dem die Rückebene mehr als eine Schaltungsplatte aufweist, die so miteinander verbunden sind, daß eine einzige logische Rückebene vorgesehen ist.
24. Verfahren nach Anspruch 23, bei dem die Schaltungsplatten im wesentlichen koplanar sind.
25. Verfahren nach Anspruch 23, bei dem die Schaltungsplatten miteinander über ein Paar Netzwerkkarten kommunizieren, von denen jeweils eine mit einer der Schaltungsplatten verbunden sind und die über Netzwerkmittel miteinander verbunden sind, wobei die Netzwerkkarten ein Protokoll vorsehen, das das Verbunden-Kommunikationsprotokoll unterstützt.
26. Verfahren nach Anspruch 17, bei dem das Verbunden- Kommunikationsprotokoll einen Ausfall einer Verbindung zwischen Modulen durch Rückmeldung von Nachrichten detektiert, die von einem ersten Modul an ein zweites Modul übermittelt worden sind, und durch Vergleichen der rückgemeldeten Nachricht mit der übermittelten Nachricht.
27. Verfahren nach Anspruch 17, bei dem das Verbunden- Kommunikationsprotokoll den Ausfall einer Verbindung zwischen Modulen durch Erfassen der Abwesenheit eines Herzschlagsignals über eine Verbindung für länger als eine vorbestimmte Zeitperiode erfaßt.
28. Verfahren nach Anspruch 17, bei dem das Kommunikationsprotokoll einen Rundspruch oder eine Rundsendung von über eine Verbindung übermittelten Nachrichten unterstützt.
29. Verfahren nach Anspruch 17, bei dem das Kommunikationsprotokoll ein Verbraucher/Erzeuger-Protokoll ist.
30. Verfahren nach Anspruch 17, bei dem die Ausgabesignale Binärsignale mit einem vordefinierten ersten und zweiten Zustand sind; die programmierbare Steuerung ferner ein gesteuertes Gerät enthält, das redundante Ausgabesignale von dem wenigstens einen E/A-Modul empfängt, um in einen betätigten Zustand nur dann einzutreten, wenn die beiden Ausgabesignale den selben Zustand aufweisen, und um in einen vordefinierten Sicherheitszustand einzutreten, wenn die Ausgabesignale unterschiedliche Zustände haben.
31. Verfahren nach Anspruch 17, ferner enthaltend ein Eingabegerät, das identische redundante Eingabesignale für das wenigstens eine E/A-Modul aufgrund einer einzigen Betätigungsbedingung vorsieht.
32. Verfahren nach Anspruch 17, bei dem das wenigstens eine E/A-Modul eine Selbstdiagnose vorsieht und bei dem das Kommunikationsprotokoll einen Ausfall einer Verbindung anzeigen kann, wenn die Selbstdiagnose einen Ausfall des E/A- Moduls anzeigt.
33. Verfahren nach Anspruch 30, bei dem die Ausgabesignale von dem wenigstens einen E/A-Modul Schalterausgaben sind, die entweder einen geöffneten oder einen geschlossenen leitenden Pfad vorsehen, und bei dem die Selbstdiagnose überprüft, ob ein Ausgang des E/A-Moduls kurzgeschlossen ist.
34. Verfahren nach Anspruch 30, bei dem die Verbunden- Kommunikationsschaltungstechnik der Rückebene, des E/A-Moduls und der Steuermodule die Anzeige einer fehlerhaften Bedingung anzeigen, wenn redundante Eingabesignale oder redundante Ausgabesignale nicht übereinstimmen.
DE10258946A 2001-12-27 2002-12-16 Speicherprogrammierbare Steuerung für Sicherheitssyteme mit verminderter Querverdrahtung Ceased DE10258946A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/034,387 US6549034B1 (en) 2001-12-27 2001-12-27 Programmable logic controller for safety systems with reduced cross-wiring

Publications (1)

Publication Number Publication Date
DE10258946A1 true DE10258946A1 (de) 2003-08-28

Family

ID=21876080

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10258946A Ceased DE10258946A1 (de) 2001-12-27 2002-12-16 Speicherprogrammierbare Steuerung für Sicherheitssyteme mit verminderter Querverdrahtung

Country Status (2)

Country Link
US (1) US6549034B1 (de)
DE (1) DE10258946A1 (de)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000028390A1 (de) * 1998-11-09 2000-05-18 Siemens Aktiengesellschaft Verfahren zum überprüfen einer ausgabeeinheit
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane
US6738830B2 (en) * 2000-08-31 2004-05-18 Michael Ross Massie Universal controller expansion module system, method and apparatus
GB0312414D0 (en) * 2003-05-30 2003-07-02 Fortress Interlocks Ltd Security or safety bus system
GB2403051A (en) * 2003-06-17 2004-12-22 Rwl Consultants Ltd Logic controller programming system
US7287184B2 (en) * 2003-09-16 2007-10-23 Rockwell Automation Technologies, Inc. High speed synchronization in dual-processor safety controller
US7117048B2 (en) * 2003-09-30 2006-10-03 Rockwell Automation Technologies, Inc. Safety controller with safety response time monitoring
US7027880B2 (en) 2003-09-30 2006-04-11 Rockwell Automation Technologies, Inc. Safety controller providing rapid recovery of safety program data
US8055814B2 (en) * 2005-03-18 2011-11-08 Rockwell Automation Technologies, Inc. Universal safety I/O module
US7605351B2 (en) * 2005-05-06 2009-10-20 Illinois Tool Works Inc. Redundant control circuit for hot melt adhesive hose assembly heater circuits and temperature sensors
US7732735B2 (en) * 2005-05-06 2010-06-08 Illinois Tool Works Inc. Hot melt adhesive hose assembly having redundant components
US7773867B2 (en) * 2005-05-06 2010-08-10 Illinois Tool Works Inc. Hot melt adhesive hose assembly having redundant components
US7351937B2 (en) * 2005-05-06 2008-04-01 Illinois Tool Works Inc. Control circuits for hot melt adhesive heater circuits and applicator heads
US7332692B2 (en) * 2005-05-06 2008-02-19 Illinois Tool Works Inc. Redundant control circuit for hot melt adhesive assembly heater circuits and temperature sensors
US20070073850A1 (en) * 2005-09-29 2007-03-29 Rockwell Automation Technologies, Inc. Industrial control device configuration and discovery
US7420297B2 (en) * 2005-09-30 2008-09-02 Rockwell Automation Technologies, Inc. Combination control system with intermediate module
US7868487B2 (en) * 2006-04-18 2011-01-11 Rockwell Automation Technologies, Inc. Apparatus and method for restricting power delivery
US7732736B2 (en) * 2007-03-30 2010-06-08 Illinois Tool Works Inc. Hot melt adhesive hose assembly with thermal fuse link
EP2012201B1 (de) * 2007-07-05 2011-10-19 Sick Ag Verfahren zum Programmieren einer Sicherheitssteuerung
DE102007055613B4 (de) * 2007-11-20 2013-11-14 Phoenix Contact Gmbh & Co. Kg Automatisierungssystem zum Kennzeichnen eines Kanals innerhalb eines Busteilnehmers
EP2099164B1 (de) * 2008-03-03 2011-01-19 Sick Ag Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
DE102008060003A1 (de) * 2008-11-25 2010-05-27 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Erstellen eines Anwenderprogramms für eine Sicherheitssteuerung
DE102009042368B4 (de) * 2009-09-23 2023-08-17 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2317410B1 (de) 2009-10-23 2012-01-04 Sick Ag Sicherheitssteuerung
US7973562B1 (en) * 2010-03-22 2011-07-05 Rockwell Automation Technologies, Inc. Universal sink/source I/O module for industrial controller
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
DE102012001615C5 (de) 2012-01-30 2017-05-11 Phoenix Contact Gmbh & Co. Kg Modulanordnung
WO2014051579A1 (en) * 2012-09-27 2014-04-03 Siemens Aktiengesellschaft Simulation of programmable logic controller inputs and outputs
EP2799947B1 (de) * 2013-05-03 2016-03-23 Siemens Aktiengesellschaft Anordnung mit einem ersten und einem zweiten Peripheriegerät
US11199821B2 (en) * 2013-11-11 2021-12-14 Rockwell Automation Technologies, Inc. Configuring and operating control systems using a database
US10248601B2 (en) * 2014-03-27 2019-04-02 Honeywell International Inc. Remote terminal unit (RTU) with universal input/output (UIO) and related method
US11016141B2 (en) * 2018-04-06 2021-05-25 Bently Nevada, Llc Monitoring systems for industrial machines having dynamically adjustable computational units
US11221612B2 (en) 2018-07-27 2022-01-11 Rockwell Automation Technologies, Inc. System and method of communicating data over high availability industrial control systems
US11669076B2 (en) 2018-07-27 2023-06-06 Rockwell Automation Technologies, Inc. System and method of communicating unconnected messages over high availability industrial control systems
US11927950B2 (en) 2018-07-27 2024-03-12 Rockwell Automation Technologies, Inc. System and method of communicating safety data over high availability industrial control systems
US11327472B2 (en) 2018-07-27 2022-05-10 Rockwell Automation Technologies, Inc. System and method of connection management during synchronization of high availability industrial control systems
US11966519B2 (en) * 2019-09-09 2024-04-23 Baker Hughes Oilfield Operations Llc Instrument panel for computing system
US11147181B2 (en) 2019-09-26 2021-10-12 Rockwell Automation Technologies, Inc. Distributed modular input/output (I/O) system with redundant ethernet backplane networks for improved fault tolerance
US10986748B1 (en) 2019-09-26 2021-04-20 Rockwell Automation Technologies, Inc. Input/output system
US10985477B1 (en) 2019-09-26 2021-04-20 Rockwell Automation Technologies, Inc. Removable terminal block assembly that permits an I/O base to operate in simplex mode or duplex mode
US10838386B1 (en) 2019-09-26 2020-11-17 Rockwell Automation Technologies, Inc. Distributed modular I/O device with configurable single-channel I/O submodules
CN112000210B (zh) * 2020-07-29 2022-06-17 北京浪潮数据技术有限公司 一种背板电源平面***
CN112506037B (zh) * 2020-12-14 2023-04-07 杭州和利时自动化有限公司 一种基于异构多样性的冗余***
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes
CN115269282A (zh) * 2022-09-27 2022-11-01 佛山希望数码印刷设备有限公司 一种i/o口冗余通讯方法、***、设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5392424A (en) * 1992-06-11 1995-02-21 Allen-Bradley Company, Inc. Apparatus for detecting parity errors among asynchronous digital signals
WO1997011565A2 (en) 1995-09-21 1997-03-27 Motorola Inc. Embedded protocol
US6560202B1 (en) 1998-07-27 2003-05-06 Lucent Technologies Inc. Control architecture using a multi-layer embedded signal status protocol
US6742136B2 (en) * 2000-12-05 2004-05-25 Fisher-Rosemount Systems Inc. Redundant devices in a process control system
US6971043B2 (en) * 2001-04-11 2005-11-29 Stratus Technologies Bermuda Ltd Apparatus and method for accessing a mass storage device in a fault-tolerant server

Also Published As

Publication number Publication date
US6549034B1 (en) 2003-04-15

Similar Documents

Publication Publication Date Title
DE10258946A1 (de) Speicherprogrammierbare Steuerung für Sicherheitssyteme mit verminderter Querverdrahtung
DE3486148T2 (de) Fehlertolerantes Übertragungssteuersystem.
DE10316649B4 (de) Sicherheitskommunikation auf einer einzigen Rückebene
EP1738383B2 (de) Meldegerät für eine sicherheitsschaltung
DE69818089T2 (de) Intelligentes kraftfahrzeugstromverteilungssystem und sein herstellungsverfahren
DE102010025675B3 (de) Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage
EP1540428A1 (de) Redundante steuergeräteanordnung
EP2691969B1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
DE102004020995B4 (de) Meldegerät für eine Sicherheitsschaltung
DE102004020997A1 (de) Sicherheitsschalteinrichtung für eine Sicherheitsschaltung
EP1687681B1 (de) Verfahren zum betreiben eines netzwerks
WO2011048145A1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP3557598A1 (de) Sicherheitsschalter
DE19813389C2 (de) Sicherheitsgerichtete Ansteuerschaltung
DE2647367B2 (de) Redundante Prozeßsteueranordnung
EP1251416A1 (de) Diagnose-Einrichtung für einen Feldbus mit steuerungsunabhängiger Informationsübermittlung
EP3834388B1 (de) Leitungstreibervorrichtung zur datenflusskontrolle
DE102019004530B4 (de) Effiziente Leitungstreibervorrichtung zur Datenflusskontrolle
EP1085691A2 (de) System zur prozessorgesteuerten Übertragung von elektrischen Signalen und elektrischer Energie innerhalb eines militärischen Fahrzeugs
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE10214356B4 (de) Messsteuerungsvorrichtung
EP1457399A1 (de) Initialisierungsverfahren für eine Datenbusanordnung
DE102020112955B4 (de) Reiheneinbaugerät, Automatisierungssystem und Verfahren zur Prozessautomation
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8128 New person/name/address of the agent

Representative=s name: HML, 80799 MUENCHEN

R008 Case pending at federal patent court
R011 All appeals rejected, refused or otherwise settled
R003 Refusal decision now final

Effective date: 20120117