DE19920299B4 - Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale - Google Patents

Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale Download PDF

Info

Publication number
DE19920299B4
DE19920299B4 DE19920299A DE19920299A DE19920299B4 DE 19920299 B4 DE19920299 B4 DE 19920299B4 DE 19920299 A DE19920299 A DE 19920299A DE 19920299 A DE19920299 A DE 19920299A DE 19920299 B4 DE19920299 B4 DE 19920299B4
Authority
DE
Germany
Prior art keywords
data
receiver
backup
radio
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19920299A
Other languages
English (en)
Other versions
DE19920299A1 (de
Inventor
Gerhard Dipl.-Ing. Rumpler
Gerhard Dipl.-Ing. Kahle-Nobis
Christof Dr.-Ing. Meier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE19920299A priority Critical patent/DE19920299B4/de
Priority to US09/564,596 priority patent/US6711713B1/en
Publication of DE19920299A1 publication Critical patent/DE19920299A1/de
Application granted granted Critical
Publication of DE19920299B4 publication Critical patent/DE19920299B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B29/00Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
    • G08B29/16Security signalling or alarm systems, e.g. redundant systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/22Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33192Radio link, wireless
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33235Redundant communication channels, processors and signal processing hardware
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50198Emergency stop

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Automation & Control Theory (AREA)
  • Selective Calling Equipment (AREA)
  • Alarm Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale mit mindestens einem Erfassungsmittel (EM1, EM2), einer Übertragungsstrecke (FM1, F, FM2) und mindestens einem Signalverarbeitungsmittel (VM1, VM2), dadurch gekennzeichnet, daß
– sicherheitsgerichtete Signale auf einer Senderseite (S) physikalisch mindestens zweikanalig (K1, K2) erfaßt (EM1, EM2) werden,
– die erfaßten Daten logisch mindestens zweikanalig in sicherer Technik über Funk (FM1, F, FM2) an eine Empfängerseite (E) übertragen werden und
– die empfangenen Daten auf der Empängerseite (E) ebenfalls physikalisch mindestens zweikanalig (K1, K2) verarbeitet (VM1, VM2) und überwacht werden.

Description

  • Die Erfindung bezieht sich auf ein Verfahren sowie eine Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale mit mindestens einem Erfassungsmittel, einer Übertragungsstrecke und mindestens einem Signalverarbeitungsmittel.
  • Zum Steuern von Maschinen in Fertigungsanlagen in der Industrie, insbesondere von Werkzeugmaschinen und Robotern, werden Signale von Bediengeräten oder Peripheriegeräten an eine Steuerungseinheit übertragen. Dabei kann es sich bei Bedien- und Peripheriegeräten sowohl um stationäre als auch um mobile Einheiten handeln. Regelmäßig müssen insbesondere sicherheitsrelevante Signale wie NOT-AUS-, NOT-HALT-, START-, STOP-, Zustimmungssignale, Verfahrtasten und sicherheitsgerichtete Eingangssignale zuverlässig erfaßt, übertragen und verarbeitet werden, um die Sicherheit des Bedienpersonals, der Maschinen und Anlagen zu gewährleisten. Auch bewegungsauslösende Signale z.B. Achsverfahren, Greifer-Auf und ähnliches gehören zu dieser Problematik.
  • Deshalb erfolgt herkömmlicherweise die Übertragung sicherheitsgerichteter Signale im allgemeinen drahtgebunden. Nach dem Stand der Technik erfolgt die Erfassung von NOT-AUS, Zustimmung und sicherheitsrelevanten Eingangssignalen über doppelte elektromechanische Schaltelemente. Die Erfassung von Verfahrtasten, START und STOP hingegen erfolgt über einfache elektromechanische, elektrische oder elektronische Schaltelemente.
  • Für die Übertragung werden die Signale herkömmlicherweise über ein Bussystem, eine serielle Verbindung oder eine parallele Verbindung oder aber direkt über Leitungen übertragen.
  • NOT-AUS-Signale werden über zwei Leitungspaare zu sicherheitstechnischen Auslöseeinheiten geführt. Abhängig von der Betriebsart werden an START-, STOP- und Verfahrtasten hingegen unterschiedliche Sicherheitsanforderungen gestellt. Die Übertragung der START-, STOP- und Verfahrtastensignale erfolgt im allgemeinen über das genannte Bussystem, die serielle oder die parallele Verbindung. Ist mit diesen Signalen eine sicherheitstechnische Funktion verbunden, so werden die Signale nur in Zusammenwirkung mit Zustimmtasten wirksam, die über Leitungen zur Auslöseeinheit geführt werden. Solche sogenannte Zustimmtasten sind dabei gleichzeitig mit den Verfahrtasten zu betätigen. Sicherheitsrelevante Eingänge werden über eigene Leitungen geführt.
  • Die Übertragung selbst erfolgt herkömmlicherweise über ein Kabel, welches neben den notwendigen Signalleitungen üblicherweise auch Versorgungsleitungen für Strom bzw. Spannung für die Bedieneinheit enthält. Das Kabel muß für industrielle Einsatzbedingungen geeignet sein, was bedeutet, daß elektrische Störungen, mechanische Belastungen und chemische Einflüsse berücksichtigt werden müssen.
  • Die Verarbeitung der Signale wie NOT-AUS- und Zustimmsignalen erfolgt elektrisch zweikanalig. Die Verarbeitung der START-, STOP- und Verfahrtasten erfolgt hingegen einkanalig unter Berücksichtigung eines Zustimmsignals.
  • Infolge der drahtgebundenen Verbindung zwischen Steuerungseinheit und Bedien- oder Peripheriegeräten ergeben sich als Nachteile insbesondere die Kosten für eine leitungsgebundene Verbindung, der dadurch verbundene Installationsaufwand sowie eine geringere Mobilität, Wartungsaufwand für das Kabel, eine dadurch bedingte Unfallgefahr, sowie die Notwendigkeit der bereits beschriebenen Zustimmtaste.
  • Aus der Patentschrift US 5,854,994 ist eine Vorrichtung offenbart, die an einer oder mehreren Maschinen zur Überwachung angebracht ist und eine physikalische Charakteristik der Ma schine, wie z.B. eine Vibration oder eine Temperatur überwacht und die Daten drahtlos an eine Empfangsstation überträgt.
  • Aus der Offenlegungsschrift DE 196 26 385 A1 ist eine Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung von einem Absender an einen Empfänger mit einem in den Übertragungsweg eingegliederten Umsetzer bekannt. Kernpunkt der Erfindung bildet die Maßnahme, neben einem ersten Übertragungsweg einen zusätzlichen Übertragungsweg bereitzustellen.
  • Aufgabe der vorliegenden Erfindung ist es, ein Verfahren sowie eine Vorrichtung zum Erfassen, Übertragen und Verarbeiten sicherheitsgerichteter Signale zu schaffen, bei denen die im vorangehenden genannten Nachteile vermieden werden können.
  • Unter sicherheitsgerichteten Signalen werden hierbei solche Signale verstanden, bei welchen Fehler bei der Erfassung, Übertragung und Auswertung zu einem Verlust von Sicherheitsfunktionen der Maschine und Anlage oder des Prozesses führen können.
  • Gemäß der vorliegenden Erfindung wird diese Aufgabe durch ein Verfahren zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale mit mindestens einem Erfassungsmittel, einer Übertragungsstrecke und mindestens einem Signalverarbeitungsmittel dadurch gelöst, daß
    • – sicherheitsgerichtete Signale auf einer Senderseite physikalisch mindestens zweikanalig erfaßt werden,
    • – die erfaßten Daten logisch mindestens zweikanalig in sicherer Technik über Funk an eine Empfängerseite übertragen werden und
    • – die empfangenen Daten auf der Empfängerseite ebenfalls physikalisch mindestens zweikanalig verarbeitet und überwacht werden.
  • Eine entsprechende Vorrichtung zur Lösung der vorangehenden Aufgabe nach der vorliegenden Erfindung ist dadurch gekennzeichnet, daß
    • – die Erfassungsmittel für sicherheitsgerichtete Signale auf einer Senderseite physikalisch mindestens zweikanalig ausgestaltet sind,
    • – eine logisch mindestens zweikanalige Funkstrecke in sicherer Technik mit je einem Funkmodul auf Senderseite und Empfängerseite vorgesehen ist und
    • – die Signalverarbeitungsmittel auf der Empfängerseite ebenfalls physikalisch mindestens zweikanalig ausgestaltet sind.
  • Durch die vorliegende Erfindung wird somit eine Funkübertragung von Signalen zur Steuerung von Maschinen, Geräten und Prozessen einschließlich sicherheitsrelevanter Signale wie NOT-AUS, NOT-HALT, START, STOP, Zustimmungssignale, Verfahrtasten und sicherheitsgerichteter Eingangssignale sowie bewegungsauslösende Signale ermöglicht. Auch wird eine sichere Auswertung der genannten Signale durch Software realisierbar. Weiterhin ist gewährleistet, daß ein einzelner Fehler bei der Erfassung, Übertragung und Auswertung nicht zu einem Verlust von Sicherheitsfunktionen führt.
  • Nach einer ersten vorteilhaften Ausgestaltung erfolgt die Erfassung der sicherheitsgerichteten Signale, indem redundante Signale beispielsweise mittels doppelter elektromechanischer, elektrischer oder elektronischer Eingabeelemente erzeugt werden. Die Erfassung verschiedener redundanter Signale erfolgt zweikanalig durch zwei Erfassungsbausteine und ist entweder in Hardware oder in Hard- und Software realisierbar. Mit den erfaßten Signalen werden von jedem Erfassungsbaustein Sicherungsdaten für die Signalübertragung bereitgestellt, die eine Überwachung ermöglicht auf
    • – falschen Absender oder falschen Empfänger,
    • – Verfälschung der Daten,
    • – Verlust von Daten und
    • – Wiederholung von Daten.
  • Dabei werden von jedem Erfassungsmittel aus den Signaldaten für Überwachungszwecke zusätzliche Sicherungsdaten erzeugt.
  • Die Übertragung erfolgt nach einer weiteren vorteilhaften Ausgestaltung der Erfindung durch einen Sendebaustein, je ein Sende- und Empfangsmodul und einen Empfängerbaustein. Sende- und Empfangsbaustein sowie die Funkmodule bestehen jeweils aus verschiedenen Komponenten. Die Funkübertragung erfolgt in digitaler Technik. Die Signalverarbeitung für die Übertragung kann in wesentlichen Teile in Software realisiert sein. Der Sendebaustein übernimmt zyklisch die Signaldaten und die zu gehörigen Sicherungsdaten von beiden Erfassungsbausteinen. Die Daten beider Kanäle werden dann gemeinsam per Funk übertragen. Vom Empfängerbaustein werden die empfangenen Daten beider Kanäle wieder getrennt. Zur Verarbeitung der Daten und zur Ausführung der Überwachungsfunktion erfolgt dann die Weitergabe der Daten an den jeweiligen Auswerte- und Überwachungsbaustein für Kanal 1 und Kanal 2.
  • Die Überwachung und Verarbeitung der Signale erfolgt nach einer weiteren vorteilhaften Ausgestaltung der Erfindung ebenfalls zweikanalig, insbesondere auf zwei separaten Prozessoren, wie beispielsweise Signalprozessoren. Auf jedem Kanal erfolgt eine Überwachung der Daten nach folgenden Kriterien:
    • – falscher Absender oder falscher Empfänger,
    • – Verfälschung der Daten bei der Übertragung,
    • – Verlust von Daten,
    • – Wiederholung von Daten und
    • – Unterbrechung der Daten.
  • In jedem Kanal erfolgt eine Überwachung eines Zeitkriteriums, was zur Folge hat, daß sicherheitsrelevante Funktionen in der Regel nach einer vorgegebenen Zeitdauer nach Erfassung der Signale ausgelöst werden. Dies wird nach der vorliegenden Erfindung gewährleistet, wenn die Signale immer nach einer vorgegebenen Zeitdauer zur Verarbeitung übertragen werden.
  • In jedem Kanal erfolgt eine Überwachung der Funktionsfähigkeit eines NOT-AUS- und STOP-Eingabeelementes sowie der zugehörigen Funktion des jeweiligen Erfassungsbausteins durch Zwangsdynamisierung.
  • Der Fehleraufdeckung erfolgt nach der Auswertung in jedem Kanal durch einen Vergleich der Auswertungsergebnisse.
  • Die auszulösenden Reaktionen nach Aufdeckung eines Fehlers hängen von verschiedenen Faktoren wie der jeweiligen Anwen dung, dem jeweiligen Sicherheitskonzept, der jeweiligen Maschine, Steuerung bzw. Anlage ab.
  • Weiterhin können etwaige Sicherungsverfahren durch Funkübertragung unabhängig von den beschriebenen Überwachung gegebenenfalls zusätzlich durchgeführt werden.
  • Die Verarbeitung führt zur Ausführung der durch eingegebene Signale auszulösenden Steuerungsfunktion. Die Ausführung der Steuerungsfunktion kann je nach Sicherheitsanforderung ebenfalls zweikanalig erfolgen. Die zweikanalige Erfassung, die sichere Übertragung und die zweikanalige Überwachung sowie Verarbeitung ermöglichen den Verzicht auf ein zusätzliches Zustimmungssignal – z.B. eine Zustimmungstaste –, wenn die nachfolgenden Steuerungsfunktionen entsprechend in sicherer Technik ausgeführt sind.
  • Nach einer weiteren vorteilhaften Ausgestaltung der Erfindung wird zusätzlich zu den Signaldaten und Sicherungsdaten ein Redundanzwert zur Datensicherung ergänzt und übertragen. Neben einer Überwachung durch kreuzweisen Datenvergleich beider Kanäle kann die Sicherheit der Übertragung durch eine Plausibilitätsprüfung dieses Redundanzwertes zur Datensicherung weiter gesteigert werden.
  • Nach einer weiteren vorteilhaften Ausgestaltung des Verfahrens sowie der Vorrichtung nach der vorliegenden Erfindung wird eine weitere Erhöhung der Sicherheit erreicht, indem jedes Datenpaket zusätzlich mit einem Zählerwert versehen wird, welcher auf Senderseite erzeugt wird, wobei der Zählerwert für jedes zu übertragende Datenpaket inkrementiert oder dekrementiert wird und der Redundanzwert zur Datensicherung über Signaldaten, Sicherungsdaten und Zählerwert gebildet wird.
  • Nach einer weiteren vorteilhaften Ausgestaltung des Verfahrens sowie der Vorrichtung gemäß der vorliegenden Erfindung erfolgt eine besonders effiziente Funkübertragung der Daten, indem
    • – auf der Senderseite jedes Datenpaket in einen impliziten und einen expliziten Datenteil getrennt wird, wobei der implizite Datenteil solche Daten umfaßt, die auf Empfängerseite bekannt sind, und
    • – zur Minimierung des zu übertragenden Datenvolumens nur der explizite Teil des Datenpakets per Funk übertragen wird und
    • – auf der Empfängerseite das Datenpaket aus den bekannten Informationen und dem empfangenen explititen Teil rekonstruiert wird.
  • Besonders vorteilhaft kann die Erfindung in der Verbindung mit industriellen Bearbeitungsmaschinen oder Fertigungsanlagen, insbesondere numerisch gesteuerten Werkzeugmaschinen oder Robotern, eingesetzt werden.
  • Dabei ist neben einer Ausgestaltung in zweikanaliger Technik selbstverständlich auch eine Realisierung mit mehr als zwei Kanälen ebenfalls nach der Lehre gemäß der vorliegenden Erfindung möglich.
  • Der Aufbau einer sicheren Funkdatenverbindung nach der vorliegenden Erfindung läßt sich besonders vorteilhaft durch ein Verfahren realisieren, welches sich dadurch auszeichnet, daß ein Empfänger beim Sender angemeldet wird, indem
    • – Kommunikationsadressen für Senderseite und Empfängerseite für jeden Kanal eindeutig festgelegt werden,
    • – eine Funkverbindung zwischen Sender und Empfänger hergestellt wird,
    • – die Kommunikationsadressen zum Empfänger in Form eines Datenpakets übertragen werden, wobei der Anmeldevorgang abgebrochen wird,
    • – wenn eine vorgegebenes Zeitfenster überschritten wird oder
    • – ein Verlust oder eine Wiederholung von Daten auftritt oder
    • – ein kreuzweiser Vergleich zur Aufdeckung eines Fehlers führt oder
    • – keine Plausibilität des Redundanzwertes zur Datensicherung erkannt wird.
  • Aus dem Einsatz des Funksystems zur Übertragung von sicherheitsgerichteten Signalen zur Steuerung von u.a. Maschinen nach der vorliegenden Erfindung ergeben sich somit folgende Vorteile:
    • – keine Kosten für eine leitungsgebundene Verbindung,
    • – bei stationären Geräten ein geringerer Installationsaufwand, da keine drahtgebundene Verbindung installiert werden muß,
    • – bei portablen Geräten eine größere Mobilität, keine Gewichtsbelastung durch ein Kabel, keine Unfallgefahr durch ein Kabel, kein Wartungsaufwand für ein Kabel und es entfällt der Aufwand für Zustimmungstaster.
  • Die Erfindung erlaubt somit die Anwendung der Funktechnik zur Übertragung von NOT-AUS-, START-, STROP- sowie Verfahr- und Zustimmungssignalen über Funk. Auf zusätzliche Sicherung von START- und Verfahrsignalen mittels Zustimmungssignalen – insbesondere Zustimmungstastern – kann verzichtet werden, sofern die Steuerungsfunktionen entsprechende Sicherheitsanforderungen erfüllen.
  • Weitere Vorteile und Dateils der vorliegenden Erfindung ergeben sich anhand der folgenden Darstellung eines vorteilhaften Ausführungsbeispiels und in Verbindung mit den Figuren. In den Figuren sind Elemente mit gleicher Funktionalität der besseren Übersichtlichkeit halber mit gleichen Bezugszeichen gekennzeichnet. Es zeigen:
  • 1 ein Blockschaltbild einer Vorrichtung gemäß der vorliegenden Erfindung,
  • 2 eine Datenstruktur eines Datenpakets,
  • 3 eine Datenstruktur eines Funktelegramms mit zwei logischen Verbindungen und
  • 4 ein Blockschaltbild eines Automatisierungssystems mit einem Handgerät gemäß der vorliegenden Erfindung.
  • In der Darstellung gemäß 1 ist ein stark abstrahiertes Blockschaltbild einer Vorrichtung gezeigt, die in der Darstellung nach 4 mit einem höheren Detailierungsgrad beschrieben ist. Nach 1 sind auf der linken Seite Eingabemittel schematisch skizziert, die mit einer erster und zweiten Erfassungseinheit EM1 und EM2 verbunden sind. Dem Erfassungsmittel EM1 ist ein erster Kanal K1 zugeordnet, über den die Ausgangssignale zu einem Sendebaustein S geführt werden. Das gleiche geschieht mit den Ausgangssignalen des Erfassungsmittels EM2 über einen Kanal K2. Der Sendebaustein S wiederum steuert ein Funkmodul FM1 an, welches über eine Funkverbindung F Daten an ein zweites Funkmodul FM2 sendet bzw. umgekehrt von diesem empfängt. Über das zweite Funkmodul EM2 gelangen die Daten zu einem Empfängerbaustein E, indem sie auf die senderseitig bereits existierenden Kanäle K1 und K2 aufgetrennt werden und über jeden Kanal einem zugeordneten Verarbeitungsmittel VM1 bzw. VM2 zugeführt werden, über welche dann entsprechende Steuerungsfunktionen ausgelöst werden. Solche Steuerungsfunktionen sind schematisch auf der rechten Seite angedeutet.
  • Die Darstellung nach 4 zeigt ein Blockschaltbild mit einem Handgerät H und einem Automatisierungssystem A, welches zwei unabhängige Empfangsprozessoren P1 und P2 für eine Datenübertragung von sicherheitsrelevanten Tasten (NOT-AUS-, START-, STOP-, Verfahrtasten etc.) über Funk realisiert. Als Funktechnik kann z.B. der digitale Datenfunk nach dem Funkstandard DECT (Digital enhanced cordless telecommunication) realisert werden. Neben den sicherheitsrelevanten Tasten NOT_AUS, T1...Tn besitzt das Handgerät H eine zusätzliche sicherheitsrelevante Taste für die Inbetriebnahme und für die Initialisierung der Funkverbindung eine Funkanmeldetaste (nicht gezeigt). Die Steuerung A ist mit einem Funkaktivie rungstaster oder -schalter ausgestattet (ebenfalls nicht gezeigt), welcher in sicherer Technik realisiert ist.
  • Jede sicherheitsrelevante Taste besitzt zwei Schaltkontakte C, D bzw. C1, D1. Bei START- oder Verfahrtasten liefern die Schaltkontakte zwei invertierte Signale. Ist der Taster nicht betätigt, liefert der eine Kontakt einen High-Pegel, der andere einen Low-Pegel. NOT-AUS und STOP liefern zwei gleichgerichtete Signale, indem beide Kontakte als Öffner ausgeführt sind. In der in der Darstellung nach 4 beschriebenen Ausführungsform wird der geschlossene Schalterzustand beispielhaft durch Low-Pegel signalisiert. Die zwei Schaltkontakte jedes Schaltelementes NOT_AUS, T1...Tn werden jeweils an einen Hardwarebaustein HW1 bzw. HW2 geführt. Jeder Hardwarebaustein setzt die Signalpegel in binäre Daten um. Low zu 0 (NULL) und High zu 1 (EINS). Die Daten werden dann als Tasteninformationen in einem Register DATA für die Übertragung zur Verfügung gestellt. Zusätzlich werden in weiteren Registern 11 bis 23 zur Verfügung gestellt:
    • – Sendeadresse (Sendeprozessor PS) oder Empfängeradresse (Empfangsprozessor 21 bzw. Empfangsprozessor P2) 12 bzw. 22, Zählerwert 13 bzw. 23,
    • – Redundanzwert zur Datensicherung CRC bzw. CRC2 und
    • – Länge dieser Daten 11 bzw. 12.
  • In den Hardwarebausteinen HW1 bzw. HW2 wird bei jedem Lesezugriff ein Zähler-Wert inkrementiert und ein Hardware-Redundanzcheck durch CRC-Bildung über die Länge, Sendeadresse, Empfängeradresse, Zählerwert und Tasteninformation durchgeführt (CRC bedeutet Cyclic Redundancy Check, ein dem Fachmann bekanntes Verfahren). Beim Zähler handelt es sich beispielsweise um einen Hardware-Zähler, der bei Verbindungsaufbau mit einem Anfangswert geladen wird. Bei jedem Lesezugriff auf die sicherheitsgerichtete Tasteninformation wird dieser Wert inkrementiert (selbstverständlich ist auch eine ständige Dekrementierung möglich) und der Wert über die Funkstrecke übertragen. Durch den gegenüber der letzten sicherheitsgerichte ten Information inkrementierten Zählerwert wird auf den Empfängerprozessoren P1 bzw. P2 die Authentizität der Kanalinformation bestätigt.
  • Vom Sendeprozessor PS werden die Daten beider Hardwarebausteine HW1 und HW2 in einem fest eingestellten Zyklus (z.B. alle 30 msec) ausgelesen und in einem Datenpaket zusammengesfaßt. Der Sendeprozessor übergibt dieses Datenpaket an das erste Funkmodul FM1 zur Übertragung über die Funkstrecke F.
  • Auf der Empfängerseite werden die Daten vom Funkmodul FM2 über die entsprechende Antenne AT2 empfangen und an – hier beispielhaft – Empfangsprozessor P2 übertragen. Der Empfangsprozessor P2 führt die Überwachung der Daten für Kanal K2 durch. Die Daten für Kanal K1 werden an den Empfangsprozessor P1 übergeben und von diesem überwacht.
  • In der Darstellung nach 2 ist die Datenstruktur eines solchen Datenpaketes skizziert. Die Daten beider Kanäle K1 und K2 werden in einem Datenpaket zusammengesfaßt und dieses über einen Funkkanal wie oben geschildert übertragen. Daten eines Übertragungskanals stellen damit eine logische Verbindung dar. Das Datenpaket wird dazu in einen implizierten Teil IM_T und einem expliziten Teil EX_T aufgeteilt. Der implizierte Teil IM_T enthält die Informationen zur Länge 1, Empfangsadresse 2, Sendeadresse 3 und den höherwertigen Teil MSB des Zählers 4. Der explizite Teil EX_T enthält den niederwertigen Teil LSB des Zählers 5, die Tasteninformation 6 und den Redundanzwert CRC. Die Darstellung nach 2 stellt somit die Daten eines Übertragungskanals K1 oder K2 und damit eine logische Verbindung dar. Um die Anzahl der zu senden Daten zu minimieren, werden die Daten des impliziten Teils IM_T nicht übertragen, da diese Daten in den Empfängerprozessoren P1 bzw. P2 hinterlegt und damit bekannt sind.
  • Dabei dient die Empfängeradresse der eindeutigen Empfängeridentifikation bei Auswertung der übertragenen Struktur im Empfangsprozessor P1 bzw. Empfangsprozessor P2. Die Sendeadresse dient der eindeutigen Senderidentifikation bei Auswertung der übertragenen Struktur im Empfangsprozessor P1 bzw. P2. Der Zähler wurde bereits im vorangehenden erläutert. Der höherwertige Teil MSB des Zählers wird durch Zählerüberläufe auf den Empfängerprozessoren P1 bzw. P2 ermittelt, der vollständige Zählerwert wird aus höherwertigem Teil MSB und niederwertigem Teil LSB zurückgewonnen. Die Tasteninformation stellt den EIN/AUS-Zustand der Tastenschaltkontakte dar. Der Redundanzwert CRC wird aus den Elementen Länge, Empfängeradresse, Sendeadresse, Zählerwert und der Tasteninformation gebildet. Als CRC-Polynom wird beispielsweise ein irreduzibles, primitives Polynom verwendet.
  • Über die Funkstrecke wird der explizite Teil EX_T der obenbeschriebenen Struktur übertragen. Diese Daten beider Kanäle K1 und K2 finden sich in den Nutzdaten des Funk-Telegramms als zwei logische Verbindungen wieder, deren Datenabfolge schematisch in der Darstellung nach 3 gezeigt ist. Zusammen mit der nicht sicherheitsrelevanten Information, die zwischen Handgerät H und Automatisierungssystem A ausgetauscht werden soll, hat ein Funk-Telegramm beispielsweise folgenden Aufbau:
    Auf ein Funkprotokoll FP folgt der explizite Teil für Kanal 1 EX_K1, darauf der explizite Teil für Kanal 2 EX_K2 und darauf die nicht sicherheitsrelevanten Daten. Nach diesem Nutzdaten-Funk folgt wiederum ein Funk-Protokoll FP usw.
  • Bevor eine sichere Kommunikation aufgebaut werden kann, muß das Handgerät bei der Steuerung angemeldet werden. Diese Anmeldung muß für jedes Kommunikationspaar (Handgerät/Steuerung) einmalig durchgeführt werden.
  • Bei der Anmeldung werden die Kommunikationsadressen für Handgerät und Automatisierungsgerät eindeutig festgelegt: Für Handgerät und Automatisierungsgerät wird jeweils je Kanal eine Sender- bzw. Empfängeradresse festgelegt. Pro Verbindung werden also vier Adressen benötigt. Es besteht dadurch eine eindeutige Zuordnung zwischen Handgerät und Steuerung, die auch durch Anzeigen bzw. durch eine festaufgebrachte Kennzeichnung signalisiert werden kann. Das Verfahren dieser Adressenvergabe ist im folgenden beschrieben:
    Für die Anmeldung erfolgen Bedienhandlungen an folgenden Bedienelementen:
    an der Steuerung:
    • – Funkaktivierungsschalter (z.B. Schlüsselschalter) mit folgenden Stellungen
    • – 0 AUS
    • – 1 Anmelden
    • – 2 Sichere Funkkommunikation
    am Handerät
    • – Funk-Ein-Aus-Taster.
  • Die Anmeldung muß innerhalb einer fest vorgegebenen Zeit durchgeführt werden (z.B. 60 Sekunden).
    • 1. Funkaktivierungsschalter in Stellung "Anmelden" bringen und Handgerät einschalten, dadurch erfolgt der Aufbau der Funkverbindung. Dieser Vorgang kann durch Eingeben eines Passworts und Sicherheitscodes für Maschine und Handgerät vor Mißbrauch oder versehentlicher Ausführung geschützt werden.
    • 2. Für das Anmeldeverfahren sind die Adressen von Sender und Empfänger immer gleich (siehe unten). Die verwendeten Adreßwerte 01h und Feh sind bei der späteren Adreßbestimmung ausgeschlossen. Vom Handgerät werden eine fest vorgegebene Anzahl von Anmelde-Datenblöcken (z.B. 200) gesendet. Die Anmelde-Datenblöcke sind gemäß der oben beschriebenen Datenstruktur (2) beispielhaft mit folgenden Werten aufgebaut: – Sender 1 = Feh – Sender 2 = 01h – Empfänger 1 = 01h – Empfänger 2 = Feh – Zählerwert = F000 0000h Von beiden Empfängerprozessoren erfolgt eine Überwachung nach allen weiter unten beschriebenen Kriterien. Jeder erkannte Fehler führt zum Abbruch der Anmeldung.
    • 3. Während Anmelde-Datenblöcke gesendet werden, ist am Handgerät die Funk-Ein-Aus-Taste (sicherheitsrelevant) für eine begrenzte Zeit (z.B. 1 Sekunde) zu betätigen. Während dieser Zeit ist an der Steuerung der Funkaktivierungsschalter in Stellung 2 zu bringen.
    • 4. Ausgelöst durch den Funkaktivierungsschalter werden von einem Empfangsprozessor nacheinander vier Zufallszahlen generiert und an das Handgerät übermittelt. Für die Zahlen gilt: 01H < Zufallszahl < Feh, d.h. die Werte 0, 1, 254 und 255 sind ausgeschlossen.
    • 5. Vom Handgerät wird dann eine fest vorgegebene Anzahl von Datenblöcken (z.B. 2 Datenblöcke) gesendet, wobei im ersten Datenblock der erste Zufallswert als Senderadresse 1 angenommen wird und dieser erste Zufallswert gleichzeitig im expliziten Teil als Zählerwert übermittelt wird. In weiteren Datenblöcken wird dieser Zählerwert inkrementiert.
    • 6. Vom Handgerät wird dann eine fest vorgegebene Anzahl von Datenblöcken (z.B. 2 Datenblöcke) gesendet, wobei im ersten Datenblock der zweite Zufallswert als Senderadresse 2 angenommen wird und dieser zweite Zufallswert gleichzeitig im expliziten Teil als Zählerwert übermittelt wird. In weiteren Datenblöcken wird dieser Zählerwert inkrementiert.
    • 7. In der gleichen Weise werden die Empfängeradressen in weiteren Datenblöcken an die Empfängerprozessoren zurückübermittelt.
    • 8. Vom Handgerät werden dann Datenblöcke mit dem folgenden Aufbau gesendet: – Sender 1 wie festgelegt – Sender 2 wie festgelegt – Empfänger 1 wie festgelegt – Empfänger 2 wie festgelegt Als erster Zählerwert ist festgelegt: – Zählerwert = der fortlaufend inkrementierte zuletzt eingetragene Wert. Von beiden Empfängerprozessoren erfolgt eine Überwachung nach allen weiter unten beschriebenen Kriterien. Jeder erkannte Fehler führt zum Abbruch der Initialisierung.
    • 9. Nun muß die Anmeldung durch folgende Bedienhandlung beendet werden: Am Handgerät ist die Funk-Ein-Aus-Taste (sicherheitsrelevant) für eine begrenzte Zeit (z.B. 1 Sekunde) zu betätigen. Während dieser Zeit ist an der Steuerung der Funkaktivierungsschalter in die Stellung 0 zu bringen.
  • Von beiden Empfängerprozessoren erfolgt bei allen Datenblöcken eine Überwachung nach allen weiter unten beschriebenen Kriterien. Jeder erkannte Fehler führt zum Abbruch der Anmeldung. Ausnahmen sind die Schritte 5 bis 7. Die Änderung der impliziten Adressen erkennen die Empfängerprozessoren anhand eines Fehlers bei der CRC-Überprüfung. Hier wird dann erwartet, daß der jeweils folgende Datenblock allen Überwachungskriterien wieder genügt.
  • Zusätzlich wird von den Empfängerprozessoren überwacht, daß das ganze Anmeldungsverfahren innerhalb der obengenannten fest vorgegebenen Zeit abgeschlossen wird. Sonst erfolgt ebenfalls ein Abbruch.
  • Damit sind die zum Aufbau einer sicheren Verbindung benötigten Adressen zwischen Sender und Empfänger eindeutig festgelegt.
  • Zur Initialisierung der Kommunikation:
  • Zum Aufbau einer sicheren Verbindung muß die folgende Initialisierung durchgeführt werden.
    • 1. Durch eine Bedienhandlung am Handgerät (Auswahl der Maschine) wird die Funk-Verbindung aufgebaut. Vom Handgerät werden Datenblöcke gemäß der oben beschriebenen Datenstruktur mit folgenden Daten gesendet:
    • – Sender 1 wie bei Anmeldung festgelegt
    • – Sender 2 wie bei Anmeldung festgelegt
    • – Empfänger 1 wie bei Anmeldung festgelegt
    • – Empfänger 2 wie bei Anmeldung festgelegt
    • – Zählerwert = 0000 0000h Von beiden Empfängerprozessoren erfolgt eine Überwachung nach allen weiter unten beschriebenen Kriterien. Jeder erkannte Fehler führt zum Abbruch der Initialisierung.
    • 2. Innerhalb einer fest vorgegebenen Zeit (z.B. 60 Sekunden) ist am Handgerät die Funk-Ein-Aus-Taste (sicherheitsrelevant) für eine begrenzte Zeit (z.B. 1 Sekunde) zu betätigen. Während dieser Zeit ist an der Steuerung der Funkaktivierungsschalter in Stellung 2 zu bringen. Damit ist die sichere Verbindung aufgebaut.
  • Von beiden Empfängerprozessoren erfolgt eine Überwachung nach allen weiter unten beschriebenen Kriterien. Jeder erkannte Fehler führt zum Abbruch der Initialisierung.
  • Zum Abbau der Kommunikation:
  • Der gezielte Abbau der Verbindung erfolgt durch abermalige Betätigung der Funk-Ein-Aus-Taste am Handgerät und Ausschalten am Funkaktivierungsschalter (Stellung 0).
  • Überwachung und Auswertung der Daten auf Empfängerseite:
  • Auf der Empfängerseite erfolgt die Überwachung und Bearbeitung der Daten auf zwei unabhängigen Prozessoren (Empfangsprozessor 1 und Empfangsprozessor 2) in gleicher Weise.
  • Plausibilitätsüberprüfung der Längenangabe:
  • Die Längenangabe wird nicht übertragen, sondern ist Bestandteil des impliziten Teils der Daten. Der Wert ist, wie oben beschrieben, fest vorgegeben. Die Ermittlung der Position der Daten, des Zählerwertes und des CRC-Wertes im expliziten Teil der Daten erfolgt mit Hilfe des vorgegebenen Längenwertes. Die Richtigkeit der ausgelesenen Werte hängt also von der Richtigkeit des Längenwertes ab. Durch die im folgenden beschriebene Überpfüfung der übertragenen Werte erfolgt also gleichzeitig eine Überprüfung des Längenwertes.
  • Überprüfung auf Verfälschung der Daten:
  • Die Überprüfung auf Verfälschung der Daten erfolgt mittels des übertragenen CRC-Anhangs. Auf der Empfängerseite wird aus den impliziten Daten
    • – Länge
    • – Empfängeradresse
    • – Senderadresse
    • – Zählerwert (3 MSB)
    und den übertragenen expliziten Daten
    • – Zählerwert (1 LSB)
    • – Sichere-Tastensignale
    ein CRC-Vergleichswert bestimmt (wie oben beschrieben). Dieser wird mit dem übertragenen CRC-Wert verglichen.
  • Überprüfung von Sender- und Empfängeradresse:
  • Empfänger- und Absenderadressen werden nicht übertragen, gehen aber in die CRC-Bestimmung ein. Deshalb ist die oben beschriebene Überprüfung auf Verfälschung der Daten gleichzeitig eine Überprüfung der richtigen Sender- und Empfängeradressen.
  • Überprüfung auf Verlust und Wiederholung von Daten:
  • Durch Vergleich des Zählerwertes des aktuellen Datenpaktes mit dem Zählerwert des vorherigen Datenpaktes, wird die Aufeinanderfolge von Datenpakten ermittelt und damit ein Verlust oder eine Wiederholung von Datenpaketen erkannt.
  • Überprüfung auf Übertragungsstörung:
  • Eine Unterbrechung der Funkverbindung bzw. der gesamten Kommunikationsstrecke wird durch eine Lebenszeichenüberwachung realisiert. Es wird erwartet, daß regelmäßig Datenpakte empfangen werden. Für den maximalen zeitlichen Abstand zweier aufeinanderfolgender Pakete wird eine Zeitdauer festgelegt. Wird diese Zeit überschritten, so gilt die Übertragung als gestört.
  • Kreuzweiser Vergleich:
  • Zur weiteren Fehleraufdeckung wird zwischen beiden Kanälen ein kreuzweiser Datenvergleich durchgeführt.
  • Wird nach den obengenannten Kriterien ein Fehler erkannt, so erfolgt kein Aufbau der Verbindung. Wird kein Fehler erkannt, so gilt die Verbindung als sicher und es erfolgt eine erste Auswertung der Signal- bzw. Tastendaten.

Claims (20)

  1. Verfahren zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale mit mindestens einem Erfassungsmittel (EM1, EM2), einer Übertragungsstrecke (FM1, F, FM2) und mindestens einem Signalverarbeitungsmittel (VM1, VM2), dadurch gekennzeichnet, daß – sicherheitsgerichtete Signale auf einer Senderseite (S) physikalisch mindestens zweikanalig (K1, K2) erfaßt (EM1, EM2) werden, – die erfaßten Daten logisch mindestens zweikanalig in sicherer Technik über Funk (FM1, F, FM2) an eine Empfängerseite (E) übertragen werden und – die empfangenen Daten auf der Empängerseite (E) ebenfalls physikalisch mindestens zweikanalig (K1, K2) verarbeitet (VM1, VM2) und überwacht werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß zur mindestens zweikanaligen Verarbeitung als Signaldaten redundante Signale mittels mindestens doppelter elektromechanischer, elektrischer oder elektronischer Eingabeelemente (T1, Tn, NOT_AUS) erzeugt werden und von jedem Erfassungsmittel (EM1, EM2) aus den Signaldaten für Überwachungszwecke zusätzliche Sicherungsdaten erzeugt werden, die eine Überwachung ermöglichen auf – falschen Sender oder falschen Empfänger und/oder – Verfälschung der sicherheitsgerichteten Daten und/oder – Verlust von Daten und/oder – Wiederholung von Daten.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Funkübertragung in digitaler Technik erfolgt, wobei – Signaldaten und Sicherungsdaten zyklisch erfaßt werden, – ein Datenpaket aus den Signaldaten und Sicherungsdaten beider Kanäle (K1, K2) gebildet wird, welches durch einen Redundanzwert zur Datensicherung (CRC) ergänzt wird, und – dieses Datenpaket per Funk zur Empfängerseite übertragen wird.
  4. Verfahren nach Anspruch 1 oder 2 oder 3, dadurch gekennzeichnet, daß auf Empfängerseite für jedes empfangene Datenpaket die – Signaldaten und Sicherungsdaten beider Kanäle (K1, K2) wieder getrennt werden, – eine Überprüfung des Redundanzwertes zur Datensicherung (CRC) auf Plausibilität erfolgt, – in jedem Kanal (K1, K2) ein Vergleich der Auswertungsergebnisse erfolgt und – bei Korrektheit der Auswertung die empfangenen Signaldaten und Sicherungsdaten für den jeweils zugeordneten Kanal (K1, K2) zur Verarbeitung der sicherheitsgerichteten Daten und zu Überwachungszwecken an die zugeordneten Signalverarbeitungsmittel (VM1, VM2) weitergeleitet werden.
  5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, daß auf der Empfängerseite in jedem Kanal die empfangenen Signaldaten und Sicherungsdaten überwacht werden auf – falschen Sender oder falschen Empfänger und/oder – Verfälschung der sicherheitsgerichteten Daten und/oder – Verlust von Daten und/oder – Wiederholung von Daten und/oder – Unterbrechung der Übertragung.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß in jedem Kanal (K1, K2) die Funktionsfähigkeit von Not-Aus- oder Stop-Eingabemitteln (NOT_AUS) und der zugehörigen Funktion der Erfassungsmittel (EM1, EM2) durch eine Zwangsdynamisierung überwacht werden.
  7. Verfahren nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, daß jedes Datenpaket zusätzlich mit einem Zählerwert versehen wird, welcher auf Senderseite erzeugt wird, wobei der Zählerwert für jedes zu übertragende Datenpaket inkrementiert oder dekrementiert wird und der Redundanzwert zur Datensicherung (CRC) über Signaldaten, Sicherungsdaten und Zählerwert gebildet wird.
  8. Verfahren nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, daß – auf der Senderseite jedes Datenpaket in einen impliziten (IM_T) und einen expliziten (EX_T) Datenteil getrennt wird, wobei der implizite Datenteil (IM_T) solche Daten umfaßt, die auf Empfängerseite bekannt sind, und – zur Minimierung des zu übertragenden Datenvolumens nur der explizite Teil (EX_T) des Datenpakets per Funk übertragen wird und – auf der Empfängerseite das Datenpaket aus den bekannten Informationen und dem empfangenen expliziten Teil (EX_T) rekonstruiert wird.
  9. Verfahren zum Aufbau einer sicheren Funkdatenverbindung nach einem der vorangehenden Ansprüche 3 bis 8, dadurch gekennzeichnet, daß ein Empfänger (E) beim Sender (S) angemeldet wird, indem – Kommunikationsadressen für Senderseite und Empfängerseite für jeden Kanal (K1, K2) eindeutig festgelegt werden, – eine Funkverbindung zwischen Sender (S) und Empfänger (E) hergestellt wird, – die Kommunikationsadressen zum Empfänger (E) in Form eines Datenpakets übertragen werden, wobei der Anmeldevorgang abgebrochen wird, – wenn eine vorgegebenes Zeitfenster überschritten wird oder – ein Verlust oder eine Wiederholung von Daten auftritt oder – ein kreuzweiser Vergleich zur Aufdeckung eines Fehlers führt oder – keine Plausibilität des Redundanzwertes zur Datensicherung (CRC) erkannt wird.
  10. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß als sicherheitsgerichtete Signale Not-Aus und/oder Not-Halt und/oder bewegungsauslösende Signale und/oder Zustimmungssignale für Steuerungszwecke in der Industrieautomatisierung vorgesehen sind.
  11. Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale mit mindestens einem Erfassungsmittel (EM1, EM2), einer Übertragungsstrecke (FM1, F, FM2) und mindestens einem Signalverarbeitungsmittel (VM1, VM2), dadurch gekennzeichnet, daß – die Erfassungsmittel (EM1, EM2) für sicherheitsgerichtete Signale auf einer Senderseite (S) physikalisch mindestens zweikanalig (K1, K2) ausgestaltet sind, – eine logisch mindestens zweikanalige Funkstrecke (F) in sicherer Technik mit je einem Funkmodul (FM1, FM2) auf Senderseite (S) und Empfängerseite (E) vorgesehen ist und – die Signalverarbeitungsmittel (VM1, VM2) auf der Empängerseite (E) ebenfalls physikalisch mindestens zweikanalig (K1, K2) ausgestaltet sind.
  12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, daß zur Erzeugung redundanter Signale mindestens doppelte elektromechanische, elektrische oder elektronische Eingabeelemente (T1, Tn, NOT_AUS) vorgesehen sind und die Erfassungsmittel (EM1, EM2) so ausgestaltet sind, daß aus den Signaldaten für Überwachungszwecke zusätzliche Sicherungsdaten erzeugbar sind, die eine Überwachung ermöglichen auf – falschen Sender oder falschen Empfänger und/oder – Verfälschung der sicherheitsgerichteten Daten und/oder – Verlust von Daten und/oder – Wiederholung von Daten.
  13. Vorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, daß die Funkübertragung in digitaler Technik erfolgt, wobei – durch die Erfassungsmittel (EM1, EM2) die Signaldaten und Sicherungsdaten zyklisch erfaßbar sind, – ein Sendebaustein (PS) vorgesehen ist, durch den ein Datenpaket aus den Signaldaten und Sicherungsdaten beider Kanäle (K1, K2) gebildet wird, welches durch einen Redundanzwert zur Datensicherung (CRC) ergänzt wird, und – dieses Datenpaket per Funk zur Empfängerseite übertragen wird.
  14. Vorrichtung nach Anspruch 11 oder 12 oder 13, dadurch gekennzeichnet, daß auf Empfängerseite mindestens zwei Empfängerbausteine (P1, P2) vorgesehen sind, durch die für jedes empfangene Datenpaket die – Signaldaten und Sicherungsdaten beider Kanäle (K1, K2) wieder getrennt werden, – eine Überprüfung des Redundanzwertes zur Datensicherung (CRC) auf Plausibilität erfolgt, – in jedem Kanal (K1, K2) ein Vergleich der Auswertungsergebnisse erfolgt und – bei Korrektheit der Auswertung die empfangenen Signaldaten und Sicherungsdaten für den jeweils zugeordneten Kanal (K1, K2) zur Verarbeitung der sicherheitsgerichteten Daten und zu Überwachungszwecken an die zugeordneten Signalverarbeitungsmittel (VM1, VM2) weitergeleitet werden.
  15. Vorrichtung nach einem der Ansprüche 12 bis 14, dadurch gekennzeichnet, daß auf der Empfängerseite Überwachungsmittel vorgesehen sind, mit denen in jedem Kanal die empfangenen Signaldaten und Sicherungsdaten überwachbar sind auf – falschen Sender oder falschen Empfänger und/oder – Verfälschung der sicherheitsgerichteten Daten und/oder – Verlust von Daten und/oder – Wiederholung von Daten und/oder – Unterbrechung der Übertragung.
  16. Vorrichtung nach Anspruch 15, dadurch gekennzeichnet, daß die Empfängerbausteine (P1, P2 auch die Funktion der Überwachungsmittel übernehmen.
  17. Vorrichtung nach einem der Ansprüche 11 bis 16, dadurch gekennzeichnet, daß in jedem Kanal (K1, K2) die Funktionsfähigkeit von Not-Aus- oder Stop-Eingabemitteln (NOT_AUS) und der zugehörigen Funktion der Erfassungsmittel (EM1, EM2) durch Mittel zur Zwangsdynamisierung überwacht werden.
  18. Vorrichtung nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, daß jedes Datenpaket zusätzlich mit einem Zählerwert versehen wird, welcher auf Senderseite erzeugt wird, wobei der Zählerwert für jedes zu übertragende Datenpaket inkrementiert oder dekrementiert wird und der Redundanzwert zur Datensicherung (CRC) über Signaldaten, Sicherungsdaten und Zählerwert gebildet wird.
  19. Vorrichtung nach einem der Ansprüche 13 bis 18, dadurch gekennzeichnet, daß – durch den Sendebaustein (PS) jedes Datenpaket in einen impliziten (IM_T) und einen expliziten (EX_T) Datenteil getrennt wird, wobei der implizite Datenteil (IM_T) solche Daten umfaßt, die auf Empfängerseite bekannt sind, und – zur Minimierung des zu übertragenden Datenvolumens nur der explizite Teil (EX_T) des Datenpakets per Funk übertragen wird und – durch mindestens einen der Empfängerbausteine (P1, P2) das Datenpaket aus den bekannten Informationen und dem empfangenen expliziten Teil (EX_T) rekonstruiert wird.
  20. Verwendung einer Vorrichtung nach einem der Ansprüche 11 bis 19 für eine industrielle Bearbeitungsmaschine oder Fertigungsanlage, insbesondere für eine numerisch gesteuerte Werkzeugmaschine oder einen Roboter.
DE19920299A 1999-05-03 1999-05-03 Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale Expired - Lifetime DE19920299B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19920299A DE19920299B4 (de) 1999-05-03 1999-05-03 Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
US09/564,596 US6711713B1 (en) 1999-05-03 2000-05-03 Method and apparatus for detection, transmission and processing of safety-related signals

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19920299A DE19920299B4 (de) 1999-05-03 1999-05-03 Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale

Publications (2)

Publication Number Publication Date
DE19920299A1 DE19920299A1 (de) 2000-11-09
DE19920299B4 true DE19920299B4 (de) 2008-01-03

Family

ID=7906813

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19920299A Expired - Lifetime DE19920299B4 (de) 1999-05-03 1999-05-03 Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale

Country Status (2)

Country Link
US (1) US6711713B1 (de)
DE (1) DE19920299B4 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009026124A1 (de) * 2009-07-07 2011-01-13 Elan Schaltelemente Gmbh & Co. Kg Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE102011108963B4 (de) 2010-12-30 2020-06-18 Robert Bosch Gmbh Industrielles Werkzeug
WO2021043900A1 (de) 2019-09-05 2021-03-11 Robert Bosch Gmbh Bedieneinrichtung, netzwerkanordnung mit der bedieneinrichtung und funkverbindungssicherungsverfahren für die bedieneinrichtung

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6909923B2 (en) * 1999-12-22 2005-06-21 Rockwell Automation Technologies, Inc. Safety communication on a single backplane
US7707319B2 (en) * 2000-09-18 2010-04-27 Rockwell Automation Technologies, Inc. Noninvasive testing of network interface error codes for safety network
SE0101199D0 (sv) * 2001-04-02 2001-04-02 Abb Ab An industrial robot
DE10230216A1 (de) * 2002-07-04 2004-01-22 Endress + Hauser Gmbh + Co. Kg Verfahren zur funktional sicheren Datenübertragung zwischen einem Sensor und einer Auswerteeinheit
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
DE10304903A1 (de) 2003-02-06 2004-10-28 Siemens Ag Vorrichtung zur Automatisierung und/oder Steuerung von Werkzeug- oder Produktionsmaschinen
EP1453334B1 (de) * 2003-02-25 2008-12-03 Elan Schaltelemente GmbH &amp; Co. KG Verfahren und Vorrichtung zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE10345633A1 (de) * 2003-09-29 2005-05-12 Siemens Ag Safetymodul zur Verarbeitung sicherheitsrelevanter Bedienungen insbesondere von Stop- und Zustimmungstastern eines mobilen Bedien- und Beobachtungsgeräts in einem HMI System
DE10361386B4 (de) * 2003-12-29 2006-02-16 Siemens Ag Verfahren zur Übertragung von digitalen Informationspaketen in einem Datennetz
JP2006040122A (ja) * 2004-07-29 2006-02-09 Toyoda Mach Works Ltd プログラマブルコントローラ
DE102004039932A1 (de) * 2004-08-17 2006-03-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Busankopplung sicherheitsrelevanter Prozesse
JP4202335B2 (ja) * 2005-03-22 2008-12-24 ファナック株式会社 非常停止回路
AT501688B1 (de) * 2005-04-08 2008-02-15 Keba Ag Verfahren sowie vorrichtung zur sicheren, verwechslungsfreien und ausschliesslichen zuordnung der befehlsgewalt einer bedienperson zu einer steuerbaren technischen einrichtung
ATE395650T1 (de) * 2005-04-13 2008-05-15 Comau Spa Vorrichtung und verfahren zur steuerung von industriellen robotern oder dergleichen, umfassend ein tragbares drahtloses programmierendgerät
DE602005006531D1 (de) * 2005-04-19 2008-06-19 Comau Spa Verfahren zur Steuerung von industriellen Robotern und entsprechend gesteuerte Roboter, Robotersysteme und Computerprogramme
JP3978617B2 (ja) * 2005-04-19 2007-09-19 オムロン株式会社 安全ユニットの入力装置
CN101253455B (zh) * 2005-07-04 2012-05-23 Keba股份公司 用于在移动操作装置和可控装置之间建立、断开和操作临时有效连接的方法以及为此构造的安全的数据传输对方台
US7610107B2 (en) * 2005-09-14 2009-10-27 Rockwell Automation Technologies, Inc. Control system having verification module
US7420297B2 (en) * 2005-09-30 2008-09-02 Rockwell Automation Technologies, Inc. Combination control system with intermediate module
DE102006002824B4 (de) * 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7868487B2 (en) * 2006-04-18 2011-01-11 Rockwell Automation Technologies, Inc. Apparatus and method for restricting power delivery
EP2117151B1 (de) * 2008-05-07 2013-04-10 Siemens Aktiengesellschaft Übermittlung sicherheitsgerichteter Eingangssignale über einen unsicheren Kanal mittels eines sicherheitsgerichteten Telegramms
DE102014106166A1 (de) * 2014-05-02 2015-11-05 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum fehlersicheren Überwachen eines beweglichen Maschinenteils
EP2993535A1 (de) * 2014-09-08 2016-03-09 Hilti Aktiengesellschaft Verfahren zur Überwachung der Funktionsfähigkeit eines Gerätesystems
GB2548144B (en) * 2016-03-10 2021-04-28 Lasermet Ltd Two-channel communication systems
FI3776098T3 (fi) * 2018-04-13 2023-05-05 Sew Eurodrive Gmbh & Co Järjestelmä ja menetelmä järjestelmän käyttämiseksi
AT521872A1 (de) * 2018-10-31 2020-05-15 Keba Ag Verfahren zum Betreiben eines Maschinensteuerungssystems sowie entsprechendes Maschinensteuerungssystem
EP3663876A1 (de) * 2018-12-05 2020-06-10 Hilti Aktiengesellschaft Verfahren zum betreiben eines systems und system
DE102019115793A1 (de) * 2019-06-11 2020-12-17 Volocopter Gmbh Verfahren und Flugsystem zur Notfallabschaltung eines Fluggeräts mit zumindest einem elektrischen Flugantrieb
CN111272051B (zh) * 2020-01-17 2022-06-14 中车株洲电力机车有限公司 磁浮车辆悬浮传感器测量结果传输方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19626385A1 (de) * 1995-09-21 1997-03-27 Baranski Sicherheitstechn Gmbh Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung
US5854994A (en) * 1996-08-23 1998-12-29 Csi Technology, Inc. Vibration monitor and transmission system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI109737B (fi) * 1993-08-25 2002-09-30 Nokia Corp Menetelmä ja järjestelmä digitaalisen siirtolaitteen kantataajuisten vastaanottimien pääkanavien varmennusohjauksen suorittamiseksi
GB9508681D0 (en) * 1995-04-28 1995-06-14 Westinghouse Brake & Signal Vehicle control system
US6489884B1 (en) * 1996-01-30 2002-12-03 Skf Condition Monitoring Apparatus and method for the remote monitoring of machine condition
US6301514B1 (en) * 1996-08-23 2001-10-09 Csi Technology, Inc. Method and apparatus for configuring and synchronizing a wireless machine monitoring and communication system
US5798458A (en) * 1996-10-11 1998-08-25 Raytheon Ti Systems, Inc. Acoustic catastrophic event detection and data capture and retrieval system for aircraft
US5995911A (en) * 1997-02-12 1999-11-30 Power Measurement Ltd. Digital sensor apparatus and system for protection, control, and management of electricity distribution systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19626385A1 (de) * 1995-09-21 1997-03-27 Baranski Sicherheitstechn Gmbh Anordnung zur Übertragung einer Ereignismeldung und/oder einer Zustandsmeldung
US5854994A (en) * 1996-08-23 1998-12-29 Csi Technology, Inc. Vibration monitor and transmission system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009026124A1 (de) * 2009-07-07 2011-01-13 Elan Schaltelemente Gmbh & Co. Kg Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE102011108963B4 (de) 2010-12-30 2020-06-18 Robert Bosch Gmbh Industrielles Werkzeug
WO2021043900A1 (de) 2019-09-05 2021-03-11 Robert Bosch Gmbh Bedieneinrichtung, netzwerkanordnung mit der bedieneinrichtung und funkverbindungssicherungsverfahren für die bedieneinrichtung

Also Published As

Publication number Publication date
US6711713B1 (en) 2004-03-23
DE19920299A1 (de) 2000-11-09

Similar Documents

Publication Publication Date Title
DE19920299B4 (de) Verfahren sowie Vorrichtung zur Erfassung, Übertragung und Verarbeitung sicherheitsgerichteter Signale
DE19939567B4 (de) Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE112010001370B4 (de) Signalübertragungsvorrichtung für einen Aufzug
DE102006054124B4 (de) Verfahren und System zur sicheren Datenübertragung
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
DE102017126626B4 (de) Sicherheitsschaltvorrichtung, Betriebsendgerät und Maschinensteuersystem
EP2109244A1 (de) Verfahren zur sicherheitsgerichteten Übertragung Sicherheitsschaltgerät und Kontrolleinheit
EP0290934A2 (de) Verfahren zum Bilden einer Adressentabelle in einem ringförmigen Kommunikationsnetz
EP1899770A1 (de) Verfahren zum herstellen, aufheben und betreiben einer zeitweiligen wirkverbindung zwischen einer mobilen bedienvorrichtung und einer steuerbaren einrichtung, sowie dafür ausgebildete, sichere datenübertragungsgegenstelle
AT504670B1 (de) Verfahren zum betreiben einer drahtlosen kommunikationsverbindung zwischen einem mobilen handbediengerät und einer maschinensteuerung sowie entsprechende systemkomponenten
DE10031964C1 (de) Leistungsschalter
DE102014110017A1 (de) Steuer- und Datenübertragungssystem, Gateway-Modul, E/A-Modul und Verfahren zur Prozesssteuerung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
DE10031963C1 (de) Leistungsschalter
EP0978775B1 (de) Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
EP2685660B1 (de) Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE19946441A1 (de) Verfahren, Vorrichtung sowie Verwendung derselben zur drahtlosen Übertragung von digitalen Signalen sowie zur drahtlosen Steuerung einer Maschine
DE2912928C2 (de) Einrichtung zur Übermittlung binär kodierter Information zur Fernsteuerung von Eisenbahnsignalanlagen
EP4131848A1 (de) Verfahren und verschaltung zum betrieb eines netzwerks oder netzwerkabschnitts
EP3441832A1 (de) Modulare speicherprogrammierbare steuerung
DE10359898A1 (de) Verfahren zum Steuern und Überwachen von Maschinen
DE102017108316A1 (de) Verfahren und mobile Handbedieneinrichtung zum Bedienen einer Maschine
EP1519272B1 (de) Safetymodul zur Verarbeitung sicherheitsrelevanter Bedienung insbesondere von Stop- und Zustimmungstastern eines mobilen Bedien- und Beobachtungsgeräts in einem HMI System
EP3776098B1 (de) System und verfahren zum betreiben eines systems
EP4088375B1 (de) Sicherheitsmodul für eine gesicherte antriebssteuerung eines antriebssystems in einem automatisierungssystem, antriebssystem und automatisierungssystem

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8364 No opposition during term of opposition
R071 Expiry of right