DE19928984A1 - Bus system with secured outputs - Google Patents

Bus system with secured outputs

Info

Publication number
DE19928984A1
DE19928984A1 DE1999128984 DE19928984A DE19928984A1 DE 19928984 A1 DE19928984 A1 DE 19928984A1 DE 1999128984 DE1999128984 DE 1999128984 DE 19928984 A DE19928984 A DE 19928984A DE 19928984 A1 DE19928984 A1 DE 19928984A1
Authority
DE
Germany
Prior art keywords
slaves
safety monitor
outputs
output
switching
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE1999128984
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Leuze Electronic GmbH and Co KG
Original Assignee
Siemens AG
Leuze Electronic GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Leuze Electronic GmbH and Co KG filed Critical Siemens AG
Priority to DE1999128984 priority Critical patent/DE19928984A1/en
Priority to PCT/DE2000/001938 priority patent/WO2001001541A1/en
Publication of DE19928984A1 publication Critical patent/DE19928984A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Programmable Controllers (AREA)

Abstract

The bus system has a two-wire communication bus (B) with several slaves (S1) connected to it. Each slave has an output (A) for switch on and off of user (V) to an electrical energy supply. Each has an evaluation unit (Au), which controls the output of a slave, according to the coded switch commands transmitted over the communication bus. The commands are in the form of multibit words. The communication bus has a security monitor (Si) with a secure output (As) for higher level switch on and off of the electrical energy supply network (E). The target switch condition of the outputs of the slaves is stored in the monitor. The monitor has a comparator (Ver), to compare the protected target switch condition with the protected actual switch condition. If the actual condition differs from the stored switch states, the security monitor switches off the electrical energy supply.

Description

Die Erfindung bezieht sich auf ein Bussystem mit einem Kommu­ nikationsbus, z. B. einen Zweidraht-Bus, an den mehrere Slaves angeschlossen sind, die jeweils über einen Ausgang zur Zu- und Abschaltung eines Verbrauchers an ein elektrisches Ener­ gieversorgungsnetz verfügen und die jeweils eine Auswerteein­ heit aufweisen, durch die abhängig von über den Bus übertra­ genen und vom Slave empfangenen Schaltbefehlen, die in Form von Mehrbitworten für die verschiedenen Slaves unterschied­ lich kodiert sind, der Ausgang des angesprochenen Slaves ent­ sprechend ansteuerbar ist.The invention relates to a bus system with a commu nication bus, e.g. B. a two-wire bus to which several slaves are connected, each via an output for and switching off a consumer to an electrical energy power supply network and each have an evaluation have by means of which, depending on transmitted via the bus genen and switching commands received from the slave, in the form differentiated from multi-bit words for the different slaves are encoded, the output of the addressed slave ent can be controlled speaking.

Außerdem bezieht sich die Erfindung auf ein Verfahren zur Ge­ währleistung sicherer Schaltzustände der Ausgänge von an ei­ nen Kommunikationsbus geschalteten Slaves, die ihre Ausgänge aufgrund nicht sicherer Schaltbefehle schalten, die die Sla­ ves nach Übertragung über den Bus empfangen.The invention also relates to a method for Ge ensuring safe switching states of the outputs from to ei communication slaves that have their outputs due to unsafe switching commands that the Sla ves received after transmission over the bus.

Ein gattungsgemäßes Bussystem ist bereits bekannt. Es umfaßt gemäß Fig. 1 einen Kommunikationsbus B sowie einen Master M und mehrere Slaves S1, die an den Kommunikationsbus B ge­ schaltet sind. Die Slaves S1 sind durch redundanten Aufbau sicher ausgeführt und weisen jeweils einen sicheren Ausgang A mit jeweils zwei in jeder Strombahn seriell geschalteten Schaltkontakten auf, über den ein Verbraucher V an ein elek­ trisches Energieversorgungsnetz E zuschaltbar bzw. von diesem abschaltbar ist. Der Master M, der den Ablauf der Datenüber­ tragung über das Bussystem steuert, ist im vorliegenden Bei­ spiel mit einer übergeordneten, sicheren speicherprogrammier­ baren Steuerung SPS verbunden. Üblicherweise werden die Schaltzustände der Ausgänge A der Slaves S1 von der sicheren speicherprogrammierbaren Steuerung SPS durch Schaltbefehle EIN/AUS bzw. 0/1 über den Kommunikationsbus B gesteuert. Da der EIN-Schaltzustand der unsichere bzw. gefährliche Anlagen­ zustand ist, genügt es sicherzustellen, daß die Übertragung des EIN-Schaltbefehls von der sicheren speicherprogrammierba­ ren Steuerung SPS zum sicheren Slave S1 abgesichert wird. Hierzu wird in der sicheren speicherprogrammierbaren Steue­ rung SPS zum Einschalten eines Slaves S1 eine nur für diesen gültige Codesequenz erzeugt, die dem Slave S1 mit sicherem Ausgang A bekannt ist. Nur bei Übereinstimmung der empfange­ nen Codesequenz mit der erwarteten Codesequenz schaltet der sichere Ausgang A ein. Dies bedeutet einen erheblichen schal­ tungstechnischen Aufwand, da für jeden Slave mit sicherem Ausgang Vergleicher und Ausgang zweikanalig ausgestaltet sein müssen, um die Sicherheit zu garantieren.A generic bus system is already known. Accordingly, it comprises FIG. 1, a communication bus B, and a master M and slaves S1 several which are ge to the communication bus B on. The slaves S1 are designed to be safe due to their redundant design and each have a safe output A, each with two switching contacts connected in series in each current path, via which a consumer V can be connected to or disconnected from an electrical power supply network E. In the present example, the master M, which controls the sequence of data transmission via the bus system, is connected to a higher-level, safe programmable logic controller PLC. The switching states of the outputs A of the slaves S1 are usually controlled by the safe programmable logic controller PLC using switching commands ON / OFF or 0/1 via the communication bus B. Since the ON-switching state of the unsafe or dangerous systems is state, it is sufficient to ensure that the transmission of the ON-switching command is secured by the safe programmable logic controller PLC to the safe slave S1. For this purpose, a code sequence which is only valid for this and which is known to slave S1 with safe output A is generated in the safe programmable logic controller PLC for switching on a slave S1. Safe output A switches on only if the received code sequence matches the expected code sequence. This means a considerable outlay in terms of circuitry, since for each slave with a safe output, the comparator and the output must be designed with two channels in order to guarantee safety.

Um abgesicherte Ausgänge A nach bisherigem Stand der Technik zu erhalten, sind sichere Slaves S1 mit sicheren Ausgängen A und wie oben beschrieben eine abgesicherte Übertragung der Schaltbefehle von der sicheren speicherprogrammierbaren Steuerung SPS zu den sicheren Slaves S1 erforderlich. Der ab­ gesicherte Übertragungsweg für die Schaltbefehle ist in Fig. 1 punktiert dargestellt. Die sicheren Ausgänge A werden dadurch gewährleistet, daß in jeder Strombahn des zugehörigen Last­ schalters jeweils zwei seriell geschaltete Kontakte vorgese­ hen sind, deren einwandfreie Funktion durch aufwendige Prüf­ routinen sichergestellt werden muß.In order to obtain protected outputs A according to the current state of the art, safe slaves S1 with safe outputs A and, as described above, secure transmission of the switching commands from the safe programmable logic controller PLC to the safe slaves S1 are required. The secured transmission path for the switching commands is shown in dotted lines in FIG. 1. The safe outputs A are ensured by the fact that two series-connected contacts are provided in each current path of the associated load switch, the proper functioning of which must be ensured by complex test routines.

Zur Übertragung und Verarbeitung der Schaltsignale ist hard­ ware- und softwaremäßig ein redundanter Aufbau notwendig, der mit hohem Kostenaufwand verbunden ist.To transmit and process the switching signals is hard In terms of goods and software, a redundant structure is necessary is associated with high costs.

Daher liegt der Erfindung die Aufgabe zugrunde, ein Bussystem der obengenannten Art zur Gewährleistung abgesicherter Aus­ gänge mit möglichst geringem Aufwand zu schaffen.The invention is therefore based on the object of a bus system of the type mentioned above to ensure secured off creating gears with as little effort as possible.

Eine weitere Aufgabe besteht darin, ein möglichst einfaches und kostengünstiges Verfahren zur Gewährleistung abgesicher­ ter Ausgänge anzugeben. Another task is to be as simple as possible and cost-effective procedure to ensure safe outputs.  

Die erste Aufgabe wird dadurch gelöst, daß an den Kommunika­ tionsbus ein Sicherheitsmonitor mit einem sicheren Ausgang zur übergeordneten Zu- und Abschaltung des elektrischen Ener­ gieversorgungsnetzes angeschlossen ist, daß im Sicherheitsmo­ nitor der Soll-Schaltzustand der Ausgänge der Slaves als ab­ gesicherte Information vorliegt, daß in dem Sicherheitsmoni­ tor ein Vergleicher vorhanden ist, der zum Vergleich des ab­ gesicherten Soll-Schaltzustands mit dem abgesicherten Ist- Schaltzustand des Ausgangs eines der Slaves, der seinen Ist- Schaltzustand an den Sicherheitsmonitor abgesichert rückmel­ det, dient, um bei Abweichung zwischen abgesichertem Soll- Schaltzustand und abgesichertem Ist-Schaltzustand über den sicheren Ausgang des Sicherheitsmonitors eine Abschaltung des elektrischen Energieversorgungsnetzes zu bewirken.The first task is solved by communicating a safety monitor with a safe output for the higher-level connection and disconnection of the electrical energy Power supply network is connected that in the security mo the target switching status of the outputs of the slaves as from There is reliable information that in the security month There is a comparator available to compare the ab secured target switching state with the secured actual Switching status of the output of one of the slaves, which Confirm switching status to the safety monitor det, serves, in the event of a discrepancy between the Switching status and actual switching status via the safe output of the safety monitor a shutdown of the to cause electrical power supply network.

Im Gegensatz zur bisher bekannten Lösung, bei der in jedem Slave ein Vergleicher und Schaltausgang mit entsprechendem Schaltungsaufwand ausgestattet sein muß, ist dies bei der vorliegenden Erfindung nur im Sicherheitsmonitor erforder­ lich. Ein Vergleicher im Sicherheitsmonitor übernimmt demnach die Überwachung von gewollten und rückgemeldeten Schaltzu­ ständen für alle im Bus installierten Slaves. Dies bedeutet, daß der hohe Schaltungsaufwand für die Sicherheitstechnik in einem Gerät konzentriert und die Slaves kostengünstig reali­ siert werden können.In contrast to the previously known solution, in which in each Slave a comparator and switching output with the corresponding Circuitry must be equipped, this is the case present invention only required in the safety monitor Lich. A comparator in the safety monitor therefore takes over the monitoring of wanted and confirmed switching stands for all slaves installed in the bus. This means, that the high cost of circuitry for security technology in one device and realizes the slaves inexpensively can be settled.

Die weitere, ein Verfahren zur Gewährleistung sicherer Schaltzustände betreffende Aufgabe wird dadurch gelöst, daß die Slaves den jeweiligen Ist-Schaltzustand ihres Ausgangs in - Form eines Mehrbitworts an einen an den Kommunikationsbus ge­ schalteten Sicherheitsmonitor rückmelden, in dem die Soll- Schaltzustände der Ausgänge der Slaves abgesichert vorliegen, daß im Sicherheitsmonitor nach Überprüfung des von einem der Slaves rückgemeldeten Mehrbitworts dessen Ist-Schaltzustand gesichert vorliegt und daß bei Abweichen zwischen Soll- und Ist-Schaltzustand die elektrische Energieversorgung zu den Ausgängen der Slaves übergeordnet unterbrochen wird. The further, a procedure to ensure safer Task related to switching states is solved in that the slaves the respective actual switching status of their output in - Form of a multi-bit word to a ge on the communication bus the switched safety monitor in which the target Switching states of the outputs of the slaves are safe, that in the security monitor after checking one of the The actual switching status of the slave's reported multi-bit word secure is present and that if there are deviations between target and Actual switching state of the electrical power supply to the Outputs of the slaves is interrupted at a higher level.  

Bei dieser Lösung ist die Überwachung für alle Slaves im Si­ cherheitsmonitor konzentriert. Der zusätzliche Sicherheitsmo­ nitor ermöglicht die Überwachung unabhängig von der Anzahl der Slaves ohne hohen Schaltungsaufwand. Mit einer steigenden Anzahl der Slaves wächst lediglich der softwaremäßige Auf­ wand.With this solution, the monitoring for all slaves is in the Si security monitor concentrated. The additional security mo nitor enables monitoring regardless of the number of the slaves without high switching effort. With an increasing The number of slaves only increases in terms of software wall.

Vorteilhafte Weiterbildungen der Erfindung sind den Unteran­ sprüchen zu entnehmen.Advantageous developments of the invention are the Unteran to take sayings.

Ein Ausführungsbeispiel der Erfindung wird im folgenden an­ hand einer Zeichnung näher erläutert. Es zeigen:An embodiment of the invention will follow hand explained in more detail a drawing. Show it:

Fig. 2 ein erfindungsgemäßes Bussystem und Fig. 2 shows an inventive bus system and

Fig. 3 eine Codetabelle zur Absicherung einer Datenüber­ tragung. Fig. 3 shows a code table for securing a data transmission.

Das erfindungsgemäße Bussystem gemäß Fig. 2 weist einen Kommu­ nikationsbus B sowie einen Master M und mehrere Slaves S1 auf, die an den Kommunikationsbus B geschaltet sind. Der Ma­ ster M ist in bekannter Weise hier mit einer übergeordneten, sicheren speicherprogrammierbaren Steuerung SPS verbunden, die zum Schalten von Ausgängen A der Slaves S1 an diese über den Master M und den Kommunikationsbus B entsprechende Schaltbefehle überträgt. Die Ausgänge A dienen zur Zu- und Abschaltung von Verbrauchern V an ein elektrisches Energie­ versorgungsnetz E. Um abgesicherte Ausgänge A zu erhalten, ist es hier nicht erforderlich, die Slaves S1 und die Ausgän­ ge A sicher, d. h. mit redundantem Aufbau auszuführen. Gegen­ über dem bisherigen Stand der Technik ist an den Kommunikati­ onsbus B zusätzlich ein Sicherheitsmonitor Si mit einem si­ cheren Ausgang As geschaltet, mit dem als Hauptschalter die elektrische Energieversorgung der über die Ausgänge A nach­ geschalteten Verbraucher V unterbrochen werden kann. Die von der sicheren speicherprogrammierbaren Steuerung SPS an den Master M gegebenen Schaltbefehle werden von dort über den Kommunikationsbus B an die Slaves S1 und an den Sicherheits­ monitor Si übertragen. Mit den in Form von Mehrbitworten ver­ schlüsselten Schaltbefehlen wird der Soll-Schaltzustand des Ausgangs A des jeweils angesprochenen Slaves S1 vorgegeben. Im angesprochenen Slave S1 erfolgt daraufhin durch eine Aus­ werteinheit Au eine entsprechende Ansteuerung seines Ausgangs A, dessen neuer Ist-Schaltzustand vom zugehörigen Slave S1 an den Sicherheitsmonitor Si rückgemeldet wird. Der Sicherheits­ monitor Si ist eine sichere Einheit, die den ihm über den Kommunikationsbus B mitgeteilten Soll-Schaltzustand mit dem ihm vom angesprochenen Slave S1 rückgemeldeten Ist-Schaltzu­ stand in einem Vergleicher Ver vergleicht und bei Abweichun­ gen über seinen sicheren Ausgang As übergeordnet die elektri­ sche Energieversorgung E der angeschlossenen Verbraucher V abschaltet. Die auf diese Weise angestrebte Absicherung der Ausgänge A setzt allerdings voraus, daß die Schaltbefehle und die Rückmeldungen von den Slaves S1 als abgesicherte Informa­ tionen vorliegen, d. h. ein abgesicherter Soll-Schaltzustand mit einem rückgemeldeten abgesicherten Ist-Schaltzustand ver­ glichen werden kann, denn die Übertragung der Schaltbefehle von der sicheren speicherprogrammierbaren Steuerung SPS zum Sicherheitsmonitor Si einerseits und die Rückmeldung vom Slave S1 zum Sicherheitsmonitor Si andererseits kann fehler­ haft sein. Beispielsweise wird zur Absicherung der Ausgänge A der Slaves S1 mit den Adressen 24 bis 31 auf eine Codetabelle gemäß Fig. 3 zurückgegriffen. Heim Schaltbefehl EIN wird für die Slaveadresse 31 in der sicheren speicherprogrammierbaren Steuerung SPS das Mehrbitwort 0011 aus der ersten Spalte der Codetabelle erzeugt. Mit dem nächsten Zyklus wird der folgen­ de Wert 1100 aus der Codetabelle übertragen. Nach vier Zyklen beginnt die Übertragung wieder mit dem Codewort aus der er­ sten Spalte. Für den Schaltbefehl AUS wird das Mehrbitwort 0000 übertragen. Der Sicherheitsmonitor Si, in dem diese Codetabelle abgelegt ist, überwacht mit Hilfe ihrer Empfangs- und Überwachungseinheit EÜ die korrekte Abfolge der Mehrbit­ worte und schaltet bei Abweichungen oder Zeitüberschreitung mit seinem Ausgang As in den sicheren Anlagenzustand. Durch dieses Verfahren ist sichergestellt, daß Verfälschungen durch nichtsichere Komponenten wie z. B. den Master M von dem siche­ ren Sicherheitsmonitor Si erkannt werden. Auf diese Weise wird im Sicherheitsmonitor Si ein abgesicherter Soll-Schalt­ zustand generiert. Um einen abgesicherten Ist-Schaltzustand zu erhalten ist jeder Slave S1 mit einer Überwachungseinrich­ tung Ü versehen, mit der der Ist-Schaltzustand des jeweiligen Ausgangs A sicher erfaßt wird. Die Überwachungseinrichtung Ü kann in unterschiedlicher Weise ausgeführt sein, z. B. durch einen zwangsgeführten Öffnerkontakt, einen Stillstandswächter oder eine Spannungsüberwachung. Verfälschungen bei der Über­ tragung der Rückmeldung des Ist-Schaltzustands vom jeweiligen Slave S1 an den Sicherheitsmonitor Si können durch Verschlüs­ selungen mit Mehrbitworten entsprechend dem Verfahren bei der Übertragung der Schaltbefehle und dem Vergleich mit in einer Codetabelle hinterlegten Daten vom Sicherheitsmonitor Si zu­ verlässig erkannt werden. Somit kann der Sicherheitsmonitor Si die Absicherung der nichtsicheren Ausgänge A sämtlicher Slaves S1 vornehmen, nachdem ihm abgesicherte Soll-Schaltzu­ stände und abgesicherte Ist-Schaltzustände zum Vergleich vor­ liegen. Bei Abweichungen unterbricht er mit seinem sicheren. Ausgang As als Hauptschalter die Energieversorgung.The bus system according to the invention shown in Fig. 2 has a Kommu nikationsbus B and a master M and slaves S1 a plurality of which are connected to the communication bus B. The master M is connected here in a known manner to a higher-level, safe programmable logic controller PLC, which for switching outputs A of the slaves S1 transmits corresponding switching commands to them via the master M and the communication bus B. Outputs A are used to connect and disconnect consumers V to an electrical power supply network E. In order to obtain protected outputs A, it is not necessary here to execute slaves S1 and outputs A safely, ie with a redundant structure. Compared to the previous state of the art, a safety monitor Si is additionally connected to the communication bus B with a safe output As, with which the main switch can be used to interrupt the electrical power supply to the consumer V connected via the outputs A. The switching commands given by the safe programmable logic controller PLC to the master M are transmitted from there via the communication bus B to the slaves S1 and to the safety monitor Si. With the switching commands coded in the form of multi-bit words, the target switching state of output A of the respective slave S1 is specified. In the slave S1 addressed, an output unit Au then activates its output A accordingly, the new actual switching state of which is reported back from the associated slave S1 to the safety monitor Si. The safety monitor Si is a safe unit that compares the target switching status communicated to it via the communication bus B with the actual switching status reported back to it by the addressed slave S1 in a comparator and, in the event of deviations, overrides the electrical output via its safe output As Power supply E of the connected loads V switches off. The desired protection of the outputs A in this way, however, presupposes that the switching commands and the feedback from the slaves S1 are available as secured information, ie a secured target switching state can be compared with a confirmed protected actual switching state, because the transmission The switching commands from the safe programmable logic controller PLC to the safety monitor Si on the one hand and the feedback from slave S1 to the safety monitor Si on the other hand can be incorrect. For example, a code table according to FIG. 3 is used to protect the outputs A of the slaves S1 with the addresses 24 to 31 . The home switching command ON generates the multi-bit word 0011 for the slave address 31 in the safe programmable logic controller PLC from the first column of the code table. With the next cycle, the following value 1100 is transferred from the code table. After four cycles, the transmission starts again with the code word from the first column. The multi-bit word 0000 is transmitted for the switching command OFF. The safety monitor Si, in which this code table is stored, monitors the correct sequence of the multi-bit words with the aid of its receiving and monitoring unit EÜ and switches to the safe system state with its output As in the event of deviations or a timeout. This method ensures that adulteration caused by non-secure components such. B. the master M can be recognized by the safe safety monitor Si. In this way, a secured target switching state is generated in the safety monitor Si. In order to obtain a secured actual switching state, each slave S1 is provided with a monitoring device U with which the actual switching state of the respective output A is reliably detected. The monitoring device Ü can be designed in different ways, for. B. by a positively driven NC contact, a standstill monitor or a voltage monitor. Falsifications in the transmission of the feedback of the actual switching status from the respective slave S1 to the safety monitor Si can be reliably detected by encoding with multi-bit words according to the procedure for transmitting the switching commands and the comparison with data stored in a code table by the safety monitor Si. Thus, the safety monitor Si can secure the non-safe outputs A of all the slaves S1 after it has protected target switching states and protected actual switching states for comparison. In the event of deviations, he interrupts with his safe. Output As as main switch the energy supply.

Das beschriebene erfindungsgemäße Bussystem erreicht die Ab­ sicherung der Ausgänge A mit vergleichsweise geringem Auf­ wand, da die Slaves S1 und ihre Ausgänge A nicht mehr sicher ausgeführt werden müssen. Der Aufwand ist auf einen zusätzli­ chen Sicherheitsmonitor Si mit einem sicheren Ausgang As re­ duziert.The described bus system according to the invention reaches the Ab Securing the outputs A with a comparatively low opening because the slaves S1 and their outputs A are no longer safe must be executed. The effort is on an additional Chen safety monitor Si with a safe output As re induced.

Die Ausgänge A können mit Schaltgliedern versehen sein, bei denen die Umsetzung des Soll-Schaltzustands verzögert er­ folgt. Eine Abweichung von Soll- und Ist-Schaltzustand darf in diesem Fall nicht zu einer Abschaltung der elektrischen Energieversorgung führen, da es sich um einen normalen, d. h. nicht unsicheren Anlagenzustand handelt. Um dies sicherzu­ stellen, ist im Sicherheitsmonitor Si ein Zeitglied Z vorhan­ den, das die Dauer vorgibt, während der eine Abweichung zwi­ schen abgesichertem Soll-Schaltzustand und abgesichertem Ist- Schaltzustand keine Abschaltung des elektrischen Energiever­ sorgungsnetzes E über den sicheren Ausgang As des Sicher­ heitsmonitors Si bewirkt.The outputs A can be provided with switching elements, at which delays the implementation of the target switching state follows. A deviation from the target and actual switching status may in this case not to switch off the electrical Lead energy supply, since it is a normal, i.e. H. is not an unsafe system condition. To make sure of that a timer Z is present in the safety monitor Si the one that specifies the duration during which a deviation between  secured target switching state and secured actual Switching state no shutdown of the electrical power supply supply network E via the safe output As of the safe sity monitor Si causes.

Claims (10)

1. Bussystem mit einem Kommunikationsbus (B), z. B. einem Zweidraht-Bus, an den mehrere Slaves (S1) angeschlossen sind, die jeweils über einen Ausgang (A) zur Zu- und Abschaltung eines Verbrauchers (V) an ein elektrisches Energieversor­ gungsnetz (E) verfügen und die jeweils eine Auswerteeinheit (Au) aufweisen, durch die abhängig von über den Kommunika­ tionsbus (B) übertragenen und vom Slave (S1) empfangenen Schaltbefehlen, die in Form von Mehrbitworten für die ver­ schiedenen Slaves (S1) unterschiedlich kodiert sind, der Aus­ gang (A) des angesprochenen Slaves (S1) entsprechend ansteu­ erbar ist, dadurch gekennzeichnet, daß an den Kommunikationsbus (B) ein Sicherheitsmonitor (Si) mit einem sicheren Ausgang (As) zur übergeordneten Zu- und Abschaltung des elektrischen Energieversorgungsnetzes (E) angeschlossen ist, daß im Sicherheitsmonitor (Si) der Soll-Schaltzustand der Ausgänge (A) der Slaves (S1) als abgesicherte Information vorliegt, daß in dem Sicherheitsmonitor (Si) ein Vergleicher (Ver) vorhanden ist, der zum Vergleich des abgesicherten Soll-Schaltzustands mit dem abgesicherten Ist-Schaltzustand des Ausgangs (A) eines der Slaves (S1), der seinen Ist- Schaltzustand an den Sicherheitsmonitor (Si) abgesichert rückmeldet, dient, um bei Abweichung zwischen abgesichertem Soll-Schaltzustand und abgesichertem Ist-Schaltzustand über den sicheren Ausgang (As) des Sicherheitsmonitors (Si) eine Abschaltung des elektrischen Energieversorgungsnetzes (E) zu bewirken.1. Bus system with a communication bus (B), e.g. B. a two-wire bus, to which several slaves (S1) are connected, each having an output (A) for connecting and disconnecting a consumer (V) to an electrical power supply network (E) and each having an evaluation unit ( Au) have the output (A) of the addressed one depending on the switching commands transmitted via the communication bus (B) and received by the slave (S1), which are coded differently in the form of multi-bit words for the different slaves (S1) Slaves (S1) can be controlled accordingly, characterized in that a safety monitor (Si) with a safe output (As) for the higher-level connection and disconnection of the electrical power supply network (E) is connected to the communication bus (B), that in the safety monitor ( Si) the target switching state of the outputs (A) of the slaves (S1) is available as secure information that a comparator (Ver) is present in the safety monitor (Si), which is used for comparison the secured target switching status with the secured actual switching status of the output (A) of one of the slaves (S1), which confirms its actual switching status to the safety monitor (Si) in a secure manner, is used to avoid a deviation between the secured target switching status and the actual security Switching state via the safe output (As) of the safety monitor (Si) to switch off the electrical power supply network (E). 2. Bussystem nach Anspruch 1, dadurch gekenn­ zeichnet, daß im Sicherheitsmonitor (31) eine Empfangs- und Überwachungseinheit (EÜ) vorgesehen ist, die zum Empfang und zur Überwachung der von einem Master (M) über den Kommu­ nikationsbus (B) an die Slaves (S1) übertragenen Schaltbefeh­ le als Soll-Schaltzustände der Ausgänge (A) der Slaves (S1) dient, wobei zur Absicherung das vom Sicherheitsmonitor (Si) empfangene, für den jeweiligen Slave (S1) bestimmte Mehrbit­ wort als Verschlüsselung des Soll-Schaltzustands mit einem für diesen Slave (S1) im Sicherheitsmonitor (Si) hinterlegten Mehrbitwort verglichen wird und bei Übereinstimmung ein abge­ sicherter Soll-Schaltzustand vorliegt.2. Bus system according to claim 1, characterized in that in the safety monitor ( 31 ) a receiving and monitoring unit (EÜ) is provided for receiving and monitoring the from a master (M) via the communication bus (B) to the Switching commands transmitted by slaves (S1) serve as the target switching states of the outputs (A) of the slaves (S1), with the multi-bit word received by the safety monitor (Si) intended for the respective slave (S1) serving as security as encryption of the target switching state is compared with a multi-bit word stored for this slave (S1) in the safety monitor (Si) and, if there is a match, a protected target switching state is present. 3. Bussystem nach Anspruch 1 oder 2, dadurch ge­ kennzeichnet, daß im Sicherheitsmonitor (Si) eine Emp­ fangs- und Überwachungseinheit (EÜ) vorgesehen ist, die zum Empfang und zur Überwachung des von einem der Slaves (S1) über den Kommunikationsbus (B) an den Sicherheitsmonitor (Si) in Form eines Mehrbitworts rückgemeldeten Ist-Schaltzustands seines Ausgangs (A) dient, wobei zur Absicherung das von ei­ nem Slave (S1) rückgemeldete Mehrbitwort mit einem für diesen Slave (S1) im Sicherheitsmonitor (Si) hinterlegten Mehrbit­ wort verglichen wird und bei Übereinstimmung ein abgesicher­ ter Ist-Schaltzustand vorliegt.3. Bus system according to claim 1 or 2, characterized ge indicates that in the safety monitor (Si) an emp catching and monitoring unit (EÜ) is provided, which for Reception and monitoring of one of the slaves (S1) via the communication bus (B) to the safety monitor (Si) actual switching status reported in the form of a multi-bit word its output (A) is used, for protection that of egg Multi-bit word reported back to a slave (S1) with one for it Multi-bit stored in the slave (S1) in the safety monitor (Si) word is compared and if there is a match The actual switching state is present. 4. Bussystem nach einem der vorangehenden Ansprüche, da­ durch gekennzeichnet, daß im Sicherheitsmonitor (Si) ein Zeitglied (Z) vorhanden ist, das die Dauer vorgibt, während der eine Abweichung zwischen abgesichertem Soll- Schaltzustand und abgesichertem Ist-Schaltzustand keine Ab­ schaltung des elektrischen Energieversorgungsnetzes (E) über den sicheren Ausgang (As) des Sicherheitsmonitors (Si) be­ wirkt.4. Bus system according to one of the preceding claims, there characterized by that in the safety monitor (Si) there is a timer (Z) which specifies the duration, during which a deviation between the secured target Switching status and secured actual switching status none Ab circuit of the electrical power supply network (E) over the safe output (As) of the safety monitor (Si) be works. 5. Bussystem nach einem der vorangehenden Ansprüche, da­ durch gekennzeichnet, daß in den Slaves (S1) je­ weils eine Überwachungseinrichtung (Ü) zur Erfassung des Ist- Schaltzustands des jeweiligen Ausgangs (A) vorgesehen ist.5. Bus system according to one of the preceding claims, since characterized in that in each of the slaves (S1) because a monitoring device (Ü) for recording the actual Switching state of the respective output (A) is provided. 6. Bussystem nach Anspruch 5, dadurch gekennzeich­ net, daß die Ausgänge (A) der Slaves (S1) mit einem zwangsgeführten Öffnerkontakt (Ü) als Überwachungseinrichtung versehen sind. 6. Bus system according to claim 5, characterized net that the outputs (A) of the slaves (S1) with a positively driven break contact (Ü) as monitoring device are provided.   7. Bussystem nach einem der vorangehenden Ansprüche, da­ durch gekennzeichnet, daß die Ausgänge (A) der Slaves (S1) nicht sicher sind.7. Bus system according to one of the preceding claims, since characterized in that the outputs (A) of the Slaves (S1) are not secure. 8. Verfahren zur Gewährleistung sicherer Schaltzustände der Ausgänge (A) von an einen Kommunikationsbus (B) geschalteten Slaves (S1), die ihre Ausgänge (A) aufgrund nicht sicherer Schaltbefehle schalten, die die Slaves (S1) nach Übertragung über den Kommunikationsbus (B) empfangen, dadurch ge­ kennzeichnet, daß die Slaves (S1) den jeweiligen Ist- Schaltzustand ihres Ausgangs (A) in Form eines Mehrbitworts an einen an den Kommunikationsbus (B) geschalteten Sicher­ heitsmonitor (Si) rückmelden, in dem die Soll-Schaltzustände der Ausgänge (A) der Slaves (S1) abgesichert vorliegen, daß im Sicherheitsmonitor (Si) nach Überprüfung des von einem der Slaves (S1) rückgemeldeten Mehrbitworts dessen Ist-Schaltzu­ stand gesichert vorliegt und daß bei Abweichung zwischen Soll- und Ist-Schaltzustand die elektrische Energieversorgung zu den Ausgängen (A) der Slaves (S1) übergeordnet unterbro­ chen wird.8. Procedure for ensuring safe switching states of the Outputs (A) from connected to a communication bus (B) Slaves (S1), their outputs (A) due to non-secure Switch commands that switch the slaves (S1) after transmission received via the communication bus (B), thereby ge indicates that the slaves (S1) correspond to the actual Switching status of their output (A) in the form of a multi-bit word to a safety device connected to the communication bus (B) feedback monitor (Si) in which the target switching states of the outputs (A) of the slaves (S1) are secure that in the safety monitor (Si) after checking one of the Slaves (S1) returned multi-bit word whose actual switching stood securely and that there is a discrepancy between Set and actual switching status of the electrical power supply Subordinate to the outputs (A) of the slaves (S1) will. 9. Verfahren nach Anspruch 7, dadurch gekenn­ zeichnet, daß die Ausgänge (A) der Slaves (S1) nicht sicher sind.9. The method according to claim 7, characterized indicates that the outputs (A) of the slaves (S1) are not are safe. 10. Verfahren nach Anspruch 8 oder 9, dadurch ge­ kennzeichnet, daß die übergeordnete Unterbrechung der elektrischen Energieversorgung über einen sicheren Ausgang (As) des Sicherheitsmonitors (Si) erfolgt.10. The method according to claim 8 or 9, characterized ge indicates that the overriding interruption of the electrical power supply via a safe output (As) of the safety monitor (Si).
DE1999128984 1999-06-24 1999-06-24 Bus system with secured outputs Ceased DE19928984A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE1999128984 DE19928984A1 (en) 1999-06-24 1999-06-24 Bus system with secured outputs
PCT/DE2000/001938 WO2001001541A1 (en) 1999-06-24 2000-06-13 Bus system, comprising protected outputs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999128984 DE19928984A1 (en) 1999-06-24 1999-06-24 Bus system with secured outputs

Publications (1)

Publication Number Publication Date
DE19928984A1 true DE19928984A1 (en) 2000-12-28

Family

ID=7912401

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999128984 Ceased DE19928984A1 (en) 1999-06-24 1999-06-24 Bus system with secured outputs

Country Status (2)

Country Link
DE (1) DE19928984A1 (en)
WO (1) WO2001001541A1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008037495A2 (en) * 2006-09-28 2008-04-03 Pepperl + Fuchs Gmbh Bus system, and method for the operation thereof
EP1936455A2 (en) 2006-12-18 2008-06-25 Fanuc Ltd Method and system for diagnosing external signal input/output units
EP1950399A1 (en) * 2007-01-24 2008-07-30 Siemens Aktiengesellschaft System with consumer branches
DE202007006026U1 (en) 2007-04-25 2008-08-28 Pepperl + Fuchs Gmbh Slave module with at least two output slaves
EP2080887A1 (en) * 2008-01-16 2009-07-22 Siemens Aktiengesellschaft Motor management system for attaching a switching or protection organ
WO2010133632A1 (en) * 2009-05-22 2010-11-25 Phoenix Contact Gmbh & Co. Kg Control system for controlling a process
DE102014225871A1 (en) * 2013-12-16 2015-06-18 Ifm Electronic Gmbh Safety-oriented ASi slave module
EP1738383B2 (en) 2004-04-19 2023-01-11 Pilz GmbH & Co. KG Signaling device for a protective circuit

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2483125C1 (en) * 2012-04-06 2013-05-27 Открытое акционерное общество "Научно-производственное объединение "Центральный научно-исследовательский институт технологии машиностроения" ОАО НПО "ЦНИИТМАШ" Method of mixing flux bed in electroslag remelting of consumable electrode

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3444218A1 (en) * 1984-12-04 1986-07-10 Siemens AG, 1000 Berlin und 8000 München Emergency-off linkage, using the master-slave principle, for machine controllers
DE29718102U1 (en) * 1997-10-13 1997-11-27 EUCHNER GmbH + Co., 70771 Leinfelden-Echterdingen Safety fieldbus module
DE19742716A1 (en) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Control and data transmission system and method for transmitting security-related data
DE19754769A1 (en) * 1997-11-28 1999-06-02 Siemens Ag Secure multi-channel data communications field bus system for positioning element in factory or railway automation

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU619660B2 (en) * 1989-02-06 1992-01-30 Boral Johns Perry Industries Pty Ltd Power supply system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3444218A1 (en) * 1984-12-04 1986-07-10 Siemens AG, 1000 Berlin und 8000 München Emergency-off linkage, using the master-slave principle, for machine controllers
DE19742716A1 (en) * 1997-09-26 1999-04-22 Phoenix Contact Gmbh & Co Control and data transmission system and method for transmitting security-related data
DE29718102U1 (en) * 1997-10-13 1997-11-27 EUCHNER GmbH + Co., 70771 Leinfelden-Echterdingen Safety fieldbus module
DE19754769A1 (en) * 1997-11-28 1999-06-02 Siemens Ag Secure multi-channel data communications field bus system for positioning element in factory or railway automation

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1738383B2 (en) 2004-04-19 2023-01-11 Pilz GmbH & Co. KG Signaling device for a protective circuit
WO2008037495A3 (en) * 2006-09-28 2008-06-26 Pepperl & Fuchs Bus system, and method for the operation thereof
WO2008037495A2 (en) * 2006-09-28 2008-04-03 Pepperl + Fuchs Gmbh Bus system, and method for the operation thereof
US8259595B2 (en) 2006-12-18 2012-09-04 Fanuc Ltd Method and system for diagnosing external signal input/output units
EP1936455A2 (en) 2006-12-18 2008-06-25 Fanuc Ltd Method and system for diagnosing external signal input/output units
EP1936455A3 (en) * 2006-12-18 2011-12-14 Fanuc Corporation Method and system for diagnosing external signal input/output units
EP1950399A1 (en) * 2007-01-24 2008-07-30 Siemens Aktiengesellschaft System with consumer branches
DE202007006026U1 (en) 2007-04-25 2008-08-28 Pepperl + Fuchs Gmbh Slave module with at least two output slaves
DE102008013238A1 (en) 2007-04-25 2008-11-20 Pepperl + Fuchs Gmbh Slave module for connection at bus, has two exit slaves that have outlet for connection of load and have optical overload indicators and overload monitoring circuit
EP2080887A1 (en) * 2008-01-16 2009-07-22 Siemens Aktiengesellschaft Motor management system for attaching a switching or protection organ
CN102460315A (en) * 2009-05-22 2012-05-16 凤凰接触股份有限及两合公司 Control system for controlling a process
WO2010133632A1 (en) * 2009-05-22 2010-11-25 Phoenix Contact Gmbh & Co. Kg Control system for controlling a process
DE102014225871A1 (en) * 2013-12-16 2015-06-18 Ifm Electronic Gmbh Safety-oriented ASi slave module

Also Published As

Publication number Publication date
WO2001001541A1 (en) 2001-01-04

Similar Documents

Publication Publication Date Title
EP0210123B1 (en) Circuit arrangement for a mains-independent power supply of a data distributor connected to a bus network
DE3236812A1 (en) REMOTE CONTROL SYSTEM
EP1965482A1 (en) ASI network for areas subject to explosive risk
EP1687681B1 (en) Method for operating a network
DE19928984A1 (en) Bus system with secured outputs
DE10152653B4 (en) Device for intrinsically safe redundant power supply
EP1430618B1 (en) Method for operating a transmission system and transmission system in an energy supply network
DE19520596A1 (en) Combined data and energy transmission system
EP2704332B1 (en) Emergency/safety lighting unit and method for controlling the same
DE19736581C2 (en) Fieldbus arrangement
EP1457399B1 (en) Initialization method for a data bus
EP1085691A2 (en) System for processor-controlled transfer of electrical signals and electrical energy within a military vehicle
EP1972107A1 (en) Protection or control-system appliance
EP2684204B1 (en) Circuit breaker system for guidesystem for the electrical supply of a vehicle
WO2009026600A1 (en) Decentralised energy supply device for a modular, failsafe control system
WO2016062580A1 (en) Control device for a multi-voltage on-board power supply
DE19844185C2 (en) bus line
WO1998024274A1 (en) Device for the monitoring, control and regulation of flush lights of an airport lighting system
DE10306973A1 (en) Mobile subscriber data transmission unit for cranes and lifts short circuits connection between successive segments for continuous transmission
DE102004055053A1 (en) Network, especially PA PROFIBUS network, with redundancy has branching elements that check state of cable connected to one network connection when supply voltage received at other connection, only forward voltage if cable not faulty
WO2012175135A1 (en) Redundant operation of an automation installation
DE19951526C2 (en) Data transmission network
DD253901A1 (en) RINGFUL POWER SUPPLY SYSTEM WITH ERROR TOLERANCE CHARACTERISTICS FOR COMMUNICATING INFORMATION PROCESSING UNITS
DE102007013995A1 (en) Signal distributor for serial data communication, has transmitter-sided multi-polar inputs linked crosswise with receiver-sided multi-polar outputs, where transmitter-side lying data signal is automatically supplied to outputs
WO2000057602A1 (en) Digital signal transmission system for building systems engineering

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection