ES2259823T3 - Entrada y salida de procesos a prueba de errores. - Google Patents
Entrada y salida de procesos a prueba de errores.Info
- Publication number
- ES2259823T3 ES2259823T3 ES98966574T ES98966574T ES2259823T3 ES 2259823 T3 ES2259823 T3 ES 2259823T3 ES 98966574 T ES98966574 T ES 98966574T ES 98966574 T ES98966574 T ES 98966574T ES 2259823 T3 ES2259823 T3 ES 2259823T3
- Authority
- ES
- Spain
- Prior art keywords
- output
- unit
- input
- channel
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25428—Field device
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Safety Devices In Control Systems (AREA)
- Programmable Controllers (AREA)
- Debugging And Monitoring (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
- Crystals, And After-Treatments Of Crystals (AREA)
Abstract
Procedimiento para el funcionamiento de un sistema de automatización, en el que el sistema de automatización presenta al menos una unidad de entrada para la recepción de señales de procesos y al menos una unidad de salida para la activación de la periferia externa, que están comunicadas entre sí para la comunicación a través de un bus, caracterizado porque: - al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3), - porque la unidad de entrada a prueba de errores (2) trasmite un telegrama a la unidad de salida a prueba de errores (3) en instantes predeterminados, - porque el telegrama presenta al menos una información útil, una identificación de destino que designa la unidad de salida (3) direccionada y una identificación del origen que designa la unidad de entrada emisora (2), - porque la unidad de salida (3), en el caso de que reconozca, con la ayudade la identificación de destino, que el telegrama está destinado para ella y reconozca con la ayuda de la identificación del origen que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación de entrada y en otro caso transfiere la periferia conectada a un estado seguro.
Description
Entrada y salida de procesos a prueba de
errores.
La presente invención se refiere a un
procedimiento para el funcionamiento de un sistema de
automatización, en el que el sistema de automatización presenta al
menos una unidad de entrada para la recepción de señales de
procesos y al menos una unidad de salida para la activación de la
periferia externa, en el que la unidad de entrada y la unidad de
salida están comunicadas entre sí para la comunicación a través de
un bus.
Para conseguir en los procesos de
automatización, que son controlados y/o supervisados por un sistema
de automatización del tipo indicado al principio, en situaciones de
emergencia una desconexión rápida de los procesos automatizados,
está previsto hasta ahora un tratamiento de desconexión de
emergencia en forma de una cadena de desconexión de emergencia.
En una cadena de desconexión de emergencia de
este tipo, se integran conmutadores de desconexión de emergencia,
rejillas luminosas, esteras de separación o similares. En virtud de
los requerimientos que se plantean en un tratamiento de desconexión
de emergencia, es habitual llevar a cabo el tratamiento de
desconexión de emergencia en cableado habitual. Como ejemplo se
menciona aquí un horno de túnel, que está dividido en varios
segmentos con relación al proceso de automatización. En posiciones
accesibles para el usuario en el lado exterior del horno de túnel
están previstas para el tratamiento de desconexión de emergencia,
por ejemplo, teclas de desconexión de emergencia, donde la
activación de la tecla de desconexión de emergencia implica, de
acuerdo con el diseño de toda la instalación automática, por
ejemplo, la caída definida de todo el proceso.
Las teclas de desconexión de emergencia son
aparatos de campo con una función de entrada. Los aparatos, que
provocan la caída del proceso, son de una manera correspondiente
aparatos con una función de salida para la activación de la
periferia externa, por ejemplo, por lo tanto, aparatos de salida,
que controlan un motor para procesos de transporte, un motor para
ventilación, un agregado hidráulico para la colocación en posición,
etc.
En el caso de una situación de desconexión de
emergencia, es necesaria la desconexión inmediata de la periferia
externa. Con este fin, entre los aparatos de entrada, es decir, las
teclas de desconexión de emergencia, y los aparatos de salida, como
los motores o los agregados, se establece una cadena de desconexión
de emergencia, que debía realizarse hasta ahora en cableado
convencional y que provoca, en el caso de activación de una tecla de
desconexión de emergencia una desconexión inmediata del motor o bien
una desconexión inmediata del agregado hidráulico. El cableado
convencional es necesario en este caso hasta ahora en virtud de los
requerimientos de seguridad, que se plantean a un tratamiento de
desconexión de emergencia.
No obstante, en este caso, en los proyectos de
automatización de grandes superficies, como por ejemplo en los
hornos de túnel descritos, debe preverse, en general, el cableado
convencional en todo el campo de proceso.
Se conoce a partir del documento DE 43 12 305 A1
equipar una SPS estándar a través de complementos para formar una
SPS acorde con la seguridad. A los complementos propuestos
pertenecen aparatos de entrada/salida especiales acordes con la
seguridad, que están constituidos internamente por dos canales y que
llevan a cabo de forma automática tanto un ensayo comparativo entre
sus canales como también funciones adicionales de supervisión
propia. Como otro complemento están presentes módulos de programa
acordes con la seguridad en el programa de aplicación de la unidad
central de la SPS, que llevan a cabo una supervisión redundante de
los aparatos de entrada/salida acordes con la seguridad y una
supervisión propia de la unidad central. La SPS acorde con la
seguridad formada de esta manera es adecuada para el control de
procesos, que se pueden llevar a un estado seguro a través de la
desconexión.
El documento US 4 680 753 describe un sistema de
control con nodos y estaciones, que están conectados en serie o a
través de un bus de comunicación. Cada estación contiene un módulo
de comunicación, que está conectado de nuevo con un controlador
programable. Cada controlador presenta medios de entrada / salida
convencionales, que sirven para la entrada de datos del proceso o
bien para la salida de datos de control procesados por el
controlador.
Se conoce a partir del documento DE 30 24 370 A1
un sistema de control redundante con varios sistemas parciales que
trabajan en paralelo, que procesan los mismos datos de acuerdo con
programas coincidentes. Los sistemas parciales contienen,
respectivamente, una unidad central, memorias así como unidades
periféricas, correspondiéndose entre sí las unidades centrales, las
memorias y las unidades periféricas de diferentes sistemas
parciales. El sistema de control presenta, además, al menos una
instalación de comparación, que compara las señales que aparecen en
los sistemas parciales y en caso de desigualdad emiten una señal de
error. La instalación comparativa contiene una memoria de señales de
error, cuyo contenido puede ser llamado de una manera opcional por
las unidades centrales.
Por lo tanto, la invención tiene el cometido de
indicar un procedimiento para el funcionamiento de un sistema de
automatización, en el que para el tratamiento de situaciones de
desconexión de emergencia se puede prescindir del cableado
convencional y en su lugar se establece una conexión de comunicación
entre los componentes de la cadena de desconexión de emergencia a
través del bus del sistema de automatización.
Por lo tanto, de acuerdo con la invención, está
previsto prescindir para el tratamiento de la desconexión de
emergencia del cableado convencional y conectar todos los motores o
agregados, que están implicados en la cadena de desconexión de
emergencia, en comunicación a través del bus de proceso.
Este cometido se soluciona para un procedimiento
para el funcionamiento de un sistema de automatización, en el que
el sistema de automatización presenta al menos una unidad de entrada
para la recepción de señales del proceso y al menos una unidad de
salida para la activación de la periferia externa, en el que al
menos una unidad de entrada y al menos una unidad de salida están
conectadas en comunicación entre sí a través de un bus porque al
menos una de las unidades de entrada y al menos una de las unidades
de salida están configuradas como unidad de entrada a prueba de
errores y como unidad de salida a prueba de errores,
respectivamente, porque la unidad de entrada a prueba de errores
trasmite un dato a la unidad de salida a prueba de errores en
instantes predeterminados, porque el dato presenta al menos una
información útil, una identificación de destino que designa la
unidad de salida direccionada y una identificación del origen que
designa la unidad de entrada emisora, porque la unidad de salida
evalúa la recepción continua del telegrama como indicio de una
relación de comunicación de entrada y en otro caso transfiere la
periferia conectada a un estado seguro.
Los requerimientos de seguridad que se plantean
a un tratamiento de desconexión de emergencia se cumplen de
acuerdo con la invención cuando los aparatos de entrada, es decir,
por ejemplo, las teclas de desconexión de emergencia y los aparatos
de salida que se incorporan en la cadena de desconexión de
emergencia, que están previstos para la activación de los motores o
agregados, están realizados en cada caso a prueba de fallos. En el
caso de una situación de desconexión de emergencia resulta entonces
el ciclo siguiente en la instalación automatizada.
Cuando se activa una tecla de desconexión de
emergencia se coloca un dato en el bus a través del aparato de
entrada de datos. El dato a transmitir presenta, de acuerdo con las
especificaciones del protocolo de bus utilizado para la conexión de
comunicación física, al menos una información útil, en cuyo caso,
por lo tanto, la información con respecto a si la tecla de
desconexión de emergencia está pulsada o no, presenta al menos una
dirección de destino, es decir, la dirección del usuario de la
comunicación, al que se emite el mensaje -en el que un
identificación especial posibilita una emisión del mensaje a todos
los usuarios de la comunicación- así como, por último, la
identificación del origen, que identifica al emisor del dato.
La invención se puede emplear ahora, por una
parte, de tal forma que el dato es emitido a un usuario totalmente
determinado de la comunicación, siendo reconocido el destinatario
con la ayuda de la dirección de destino que contiene el dato, de
manera que el dato está destinado para él, o porque el dato es
enviado a todos los usuarios de la comunicación, donde cada usuario
individual de la comunicación determina, con la ayuda de la
dirección de origen del dato, si el dato, es decir, la información
útil del dato debe ser evaluada por él.
Por otra parte, el dato se puede emitir también
a una unidad de orden superior del sistema de automatización, por
ejemplo la unidad central de un control programable con memoria,
reconociendo éste de nuevo en la identificación de origen del dato,
que ha llegado un mensaje, por ejemplo desde una tecla de
desconexión de emergencia, que requiere un tratamiento inmediato, de
manera que la unidad central transmite el dato, inmediatamente
después de la detección del mismo a los aparatos de salida, de
manera que éstos provocan una caída o bien una desconexión de los
motores o agregados conectados en los aparatos de salida o incluso
depositan otro dato en los aparatos de salida, que conduce al mismo
resultado.
La unidad de salida evalúa en este caso la
recepción continua del dato desde la unidad de entrada como indicio
para una relación de comunicación intacta. Para el caso de que la
unidad de salida determine la ausencia de un dato desde una unidad
de entrada durante el periodo de tiempo, que es mayor que un periodo
de tiempo predeterminado, la unidad de salida transfiere la
periferia conectada a un estado seguro y de esta manera se ocupa de
nuevo de la caída de los motores o agregados conectados.
Para el empleo en el marco del procedimiento de
acuerdo con la invención para el funcionamiento de un sistema de
automatización, está previsto, además, un aparato de entrada de
datos a prueba de fallos con al menos un canal de entrada para la
conexión de la instalación sensora periférica, para la que está
previsto un circuito de prueba, que activa en los instantes
predeterminados un proceso de prueba y provoca en este caso para al
menos uno de los canales de entrada del aparato de entrada a prueba
de fallos un cambio de estado, donde una lógica interna supervisa el
cambio de estado y, dado el caso, emite un mensaje de error, en el
que el cambio de estado provocado a través del circuito de prueba se
vuelve reversible de nuevo al final del proceso de prueba y en el
que el proceso de prueba es totalmente transparente para la lectura
del canal de entrada respectivo.
Para el empleo en el marco del procedimiento
según la invención para el funcionamiento de un sistema de
automatización está previsto, además, o de forma alternativa, un
aparato de entrada de datos con al menos un canal de entrada para
la conexión de la instalación sensora periférica, en el que a menos
un canal de entrada está diseñado de forma antivalente.
Los aparatos de entrada a prueba de fallos
realizados de acuerdo con la descripción precedente se convierten a
través de las medidas mencionadas, es decir, a través del diseño
antivalente del canal de entrada o bien a través de la supervisión
del canal de entrada por medio de un circuito de prueba en aparatos
de entrada de datos a prueba de fallos, en los que se pueden
combinar también las dos medidas.
Para el empleo en el marco del procedimiento de
acuerdo con la invención para el funcionamiento de un sistema de
automatización está prevista, además, una unidad de salida
configurada como un aparato de salida a prueba de fallos.
Cuando está prevista para el aparato de salida
de datos a prueba de fallos una unidad de procesamiento para el
procesamiento de conexiones lógicas que pueden ser proyectadas por
el usuario, en el que la unidad de procesamiento evalúa la
información útil de un dato recibido, rechaza la información útil
del enlace lógico que puede ser proyectado por el usuario y activa
de una manera correspondiente al resultado de la conexión lógica al
menos un canal de salida, los componentes de software, que estaban
previstos hasta ahora de una manera habitual en un aparato de
automatización del orden superior, por ejemplo en la unidad central
de un control programable con memoria, se pueden diseñar también en
el aparato de salida a prueba de fallos, de manera que es posible
aquí un procesamiento especialmente rápido y efectivo y una
evaluación de los enlaces lógicos.
Cuando para el aparato de salida de datos a
prueba de fallos, la unidad de procesamiento supervisa, además, o
de una manera alternativa, la secuencia temporal de los datos del
proceso transmitidos con la información útil y activa al menos un
canal de salida solamente cuando la secuencia temporal de los datos
necesarios para la activación del canal de salida se encuentra
dentro de unas tolerancias predeterminadas, es posible un llamado
"Muting", que contribuye a la elevación de la seguridad del
proceso automatizado. Como ejemplo se menciona el aseguramiento de
una plataforma de tránsito por medio de un conmutador final
inductivo y de una barrera óptica. La plataforma de tránsito activa,
durante su movimiento, tanto el conmutador final inductivo como
también la barrera óptica en una cierta secuencia de tiempo que está
determinada a través de la velocidad de la plataforma de
tránsito.
Cuando la secuencia temporal de la entrada de
las señales correspondientes se encuentra dentro de las tolerancias
predeterminada, se puede proseguir el procesamiento. En cambio, una
persona solamente activa la barrera óptica mientras está ausente la
señal adicional del conmutador final inductivo durante el tiempo
predeterminado de tolerancia. Una constelación de este tipo se puede
utilizar como constelación de alarma. A la que se puede reaccionar
con un tratamiento de desconexión de emergencia.
Cuando está previsto para el aparato de salida
de datos a prueba de fallos un circuito de supervisión configurado
como vigilante y que supervisa la unidad de procesamiento, que
transfiere al menos un canal de salida a un estado seguro, tan
pronto como se ha establecido una función errónea de la unidad de
procesamiento, se establece una segunda vía de desconexión a través
del circuito de supervisión configurado como vigilante. Cuando, por
ejemplo, la unidad de procesamiento no está ya en condiciones de
desconectar una salida especial, sin el circuito de supervisión
permanecería activado un motor o un agregado, por ejemplo de forma
permanente. El circuito de supervisión configurado como vigilante
reconoce estados de este tipo y en el caso de que se reconozca un
estado de este tipo, conmuta las salidas a un estado seguro.
Cuando en el aparato de salida de datos a prueba
de fallos, que está configurado, a través del canal de salida que
puede ser activado a través de la unidad de procesamiento, como
canal de salida que puede ser releído, la señal que puede ser
alimentada al canal de salida, se puede conducir también al circuito
de supervisión, el circuito de supervisión compara la señal
alimentada al mismo y la señal devuelta leída por el canal de salida
y en el caso de desviaciones transfiere el canal de salida
respectivo o también todos los canales de salida o bien la periferia
que está conectada en ellos a un estado seguro, se reconocen las
discrepancias de la activación de los canales de salida respectivos
y se transfieren éstas a un estado seguro.
Otras características, ventajas y posibilidades
de aplicación de la presente invención se deducen a partir de las
reivindicaciones dependientes, de la descripción siguiente de
ejemplos de realización con la ayuda del dibujo y del dibujo mismo.
En este caso, todas las características descritas y/o representadas
por sí o en combinación forman el objeto de la presente invención,
independientemente de su redacción en las reivindicaciones de la
patente o su relación cruzada. En este caso:
La figura 1 muestra un diagrama de flujo
simplificado de un sistema de automatización.
La figura 2 muestra un diagrama de bloques de un
aparato de entrada de datos a prueba de fallos y
La figura 3 muestra un diagrama de bloques de un
aparato de salida de datos a prueba de fallos.
En la figura 1 se representa a modo de ejemplo
un diagrama de bloques de un sistema de automatización sencillo con
un aparato de entrada de datos a prueba de fallos, un aparato de
salida de datos 3 aprueba de fallos, y un aparato de automatización
3 de orden superior, por ejemplo la unidad central 1 de un control
programable con memoria. Los aparatos están conectados entre sí para
comunicación a través de un bus 4, con preferencia a través de un
bus 4 adecuado para el empleo en entornos industriales,
especialmente el Profibus 4.
En el aparato de entrada de datos 2 a prueba de
fallos está conectada una tecla de desconexión de emergencia 2'. En
el aparato de salida de datos 2 a prueba de fallos está conectado un
motor 3'. Cuando se activa la tecla de desconexión de emergencia
2', el aparato de entrada de datos 2 recibe esta señal, la transmite
a través del bus 4 al aparato de salida de datos 3, que lleva a cabo
entonces la desconexión del motor 3'.
En la figura 2 se representa en un diagrama de
bloque una primera configuración de un aparato de entrada de datos
2 a prueba de fallos. El aparato de entrada de datos 2 a prueba de
fallos está conectado a través del bus 4 para comunicación con
otros aparatos 1, 2, 3 conectados en el bus 4, siendo lleva a cabo
la conexión del bus a través del Bus-ASIC 5. Las
funciones de los aparatos de entrada de datos 2 son realizadas a
través de una unidad de procesamiento 6, que es, por ejemplo, un
ASIC o un microprocesador. A la unidad de procesamiento 6 se
alimentan directa o indirectamente los canales de entrada
7-0, 7-1...7.7.
Además, en el aparato de entrada de datos 2 está
previsto un circuito de prueba 8, que es controlado de la misma
manera a través de la unidad de procesamiento 6 y que en instantes
predeterminados provoca un proceso de prueba y lleva a cabo en este
caso un cambio de estado para al menos uno de los canales de entrada
7-0, 7-1...7-7 del
aparato de entrada de datos a prueba de fallos 2. Este cambio de
estado es supervisado por una lógica interna 9, donde la lógica
interna 9 emite un mensaje de error, cuando el cambio de estado
activado por el circuito de prueba 8 no repercute sobre el estado
del canal de entrada 7-0,
7-1...7-7 respectivo. Al final del
proceso de prueba se hace reversible de nuevo el cambio de estado
realizado a través del circuito de prueba 8. Para la lectura de los
canales de entrada 7-0,
7-1...7-7 respectivos durante el
funcionamiento normal del aparato de entrada de datos 2 a prueba de
fallos, el proceso de prueba es en este caso totalmente
transparente.
Cuando las entradas 7-7,
7-1...7-7 de la unidad de
procesamiento 6 son alimentadas adicionalmente también en forma
negada 7-0', 7-1',
7-7', los canales de entrada están diseñados de
forma antivalente. La unidad de procesamiento 6 lee entonces su
estado, por ejemplo 0 lógico, para el canal de entrada respectivo,
por ejemplo 7-2, y para la entrada
7-2' antivalente correspondiente como estado negado
lee el complemento correspondiente, en este caso, por lo tanto, 1
lógico. Las funciones erróneas durante la transmisión de los
estados de los canales de entrada respectivos pueden ser reconocidas
entonces de una manera sencilla y segura a través de la unidad de
procesamiento 6, siendo verificado en cada caso si están presentes
estados complementarios en el canal de entrada respectivo y en el
canal de entrada antivalente al mismo.
En la figura 3 se representa un diagrama de
bloques de un aparato de salida de datos 3 a prueba de fallos, que
está conectado por medio de un Bus-ASIC 14,
configurado como conexión de bus 14, en el bus del proceso 4. El
aparato de salida de datos 3 a prueba de fallos presenta una unidad
de procesamiento 10 para el procesamiento de enlaces lógicos, que
pueden ser proyectados por el usuario, donde la unidad de
procesamiento 10 evalúa la información útil de un telegrama recibido
a través del bus del proceso 4, somete la información útil al enlace
lógico que puede ser proyectado por el usuario y de acuerdo con el
resultado del enlace lógico, activa al menos un canal de salida
11-0,
11-1...11-7.
En la representación de acuerdo con la figura 3,
el aparato de salida de datos a prueba de fallos 3 presenta un
circuito de supervisión 12 configurado como vigilante 12 y que
supervisa la unidad de procesamiento 10, cuyo circuito de
supervisión transfiere al menos un canal de salida
11-0, 11-1...11-7 a
un estado seguro, tan pronto como se ha establecido una función
errónea de la unidad de procesamiento 10. Con este fin, el circuito
de supervisión 12 supervisa la función de la unidad de procesamiento
10, siendo determinados, en el caso de una función errónea de la
unidad de procesamiento 10 los estados de los canales de salida
11-0, 11-1...11-7
respectivos a través del circuito de supervisión 12. a cuyo fin está
previsto un circuito de excitación 13, que puede ser activado tanto
por la unidad de procesamiento 10 como también por el circuito de
supervisión 12.
Para el caso de una función errónea de la unidad
de procesamiento 10, la activación emitida a través del circuito de
supervisión 12 de los canales de salida 111-0,
11-1...11-7 sobrescribe la
activación respectiva de la unidad de procesamiento 10, que ha sido
reconocida ya como errónea en este instante.
En la representación de acuerdo don la figura 3,
el aparato de salida de datos 3 a prueba de fallos está configurado
de tal forma que el canal de salida 11-0,
11-1...11-7, que puede ser activado
a través de la unidad de procesamiento, está configurado como canal
de salida 11-0'
11-1'...11-7' que puede ser leído
de nuevo, de tal forma que la señal, que puede ser alimentada al
canal de salida 11-0,
11-1...11-7, puede ser alimentada
también al circuito de supervisión 12, de tal modo que el circuito
de supervisión 12 compara la señal 11-0',
11-1'...11-7' leída de retorno por
el canal de salida y en el caso de desviaciones, transfiere el canal
de salida 11-0,
11-1...11-7 respectivo a un estado
seguro.
En la descripción precedente, se parte siempre
de aparatos de entrada y de aparatos de salida 2, 3,
respectivamente, con ocho canales de entrada y de salida,
respectivamente. Es evidente que el número de los canales puede ser
también mayor o menor que ocho, por ejemplo 16 ó 32.
Claims (8)
1. Procedimiento para el funcionamiento de un
sistema de automatización, en el que el sistema de automatización
presenta al menos una unidad de entrada para la recepción de señales
de procesos y al menos una unidad de salida para la activación de la
periferia externa, que están comunicadas entre sí para la
comunicación a través de un bus, caracterizado porque
- -
- al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3),
- -
- porque la unidad de entrada a prueba de errores (2) trasmite un telegrama a la unidad de salida a prueba de errores (3) en instantes predeterminados,
- -
- porque el telegrama presenta al menos una información útil, una identificación de destino que designa la unidad de salida (3) direccionada y una identificación del origen que designa la unidad de entrada emisora (2),
- -
- porque la unidad de salida (3), en el caso de que reconozca, con la ayuda de la identificación de destino, que el telegrama está destinado para ella y reconozca con la ayuda de la identificación del origen que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación de entrada y en otro caso transfiere la periferia conectada a un estado seguro.
2. Sistema de automatización con al menos una
unidad de entrada para la recepción de señales de proceso y con al
menos una unidad de salida para la activación de periferia externa,
que están conectadas para comunicación entre sí a través de un bus,
caracterizado porque
- -
- al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3),
- -
- porque la unidad de entrada (2) a prueba de errores contiene medios para la transmisión de un telegrama en instantes predeterminados hacia la unidad de salida a prueba de errores (3),
- -
- porque el telegrama contiene al menos una información útil, una información de destino, que designa la unidad de salida direccionada (3) y una identificación de origen que designa la unidad de entrada emisora (2), en el que
- -
- la unidad de evaluación (3), en el caso de que reconozca, con la ayuda de la identificación de destino, que el telegrama está destinado para ella o reconozca, con la ayuda de la identificación de origen, que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación intacta y en otro caso transfiera la periferia conectada a un estado seguro.
3. Aparato de entrada de datos con al menos un
canal de entrada para la conexión de la instalación sensora
periférica en un sistema de automatización de acuerdo con la
reivindicación 2, caracterizado porque está previsto un
circuito de prueba, que activa un proceso de prueba en instantes
predeterminados y en este caso provoca un cambio de estado para al
menos uno de los canales de entrada del aparato de entrada de datos
a prueba de fallos, en el que una lógica interna supervisa el cambio
de estado y, dado el caso, emite un mensaje de error, en el que el
cambio de estado provocado a través del circuito de prueba es
reversible de nuevo al final del proceso de prueba y en el que el
proceso de prueba es totalmente transparente para la lectura del
canal de entrada respectivo.
4. Aparato de entrada de datos a prueba de
fallos según la reivindicación 3, caracterizado porque al
menos un canal de entrada está diseñado antivalente.
5. Aparato de salida de datos con al menos un
canal de salida para la conexión de la instalación sensora
periférica en un sistema de automatización de acuerdo con la
reivindicación 2, caracterizado porque está prevista una
unidad de procesamiento para el procesamiento de enlaces lógicos,
que pueden ser proyectados por el usuario, donde la unidad de
procesamiento evalúa la información útil de un telegrama recibido a
través del bus del proceso, somete la información útil al enlace
lógico que puede ser proyectado por el usuario y de acuerdo con el
resultado del enlace lógico, activa al menos un canal de salida.
6. Aparato de salida de datos a prueba de
fallos según la reivindicación 5, caracterizado porque la
unidad de procesamiento supervisa la secuencia temporal de los datos
del proceso transmitidos con la información útil y activa al menos
un canal de salida solamente cuando la secuencia temporal de los
datos necesarios para la activación del canal de salida se encuentra
dentro de tolerancias predeterminadas.
7. Aparato de salida de datos a prueba de fallos
según la reivindicación 5 ó 6, caracterizado porque está
previsto un circuito de supervisión configurado como vigilante y que
supervisa la unidad de procesamiento, que transfiere al menos un
canal de salida a un estado seguro, tan pronto como se ha
establecido una función errónea de la unidad de procesamiento.
8. Aparato de salida de datos a prueba de fallos
según la reivindicación 5 ó 6, caracterizado porque el
canal de salida, que puede ser activado a través de la unidad de
procesamiento, está configurado como canal de salida que puede ser
releído, porque la señal que puede ser alimentada al canal de
salida, se puede conducir también al circuito de supervisión, porque
el circuito de supervisión compara la señal alimentada al mismo y la
señal devuelta leída por el canal de salida y en el caso de
desviaciones transfiere el canal de salida respectivo o todos los
canales de salida a un estado seguro.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE19801137 | 1998-01-14 | ||
DE19801137A DE19801137A1 (de) | 1998-01-14 | 1998-01-14 | Fehlersichere Prozesseingabe und Prozessausgabe |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2259823T3 true ES2259823T3 (es) | 2006-10-16 |
Family
ID=7854581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES98966574T Expired - Lifetime ES2259823T3 (es) | 1998-01-14 | 1998-12-22 | Entrada y salida de procesos a prueba de errores. |
Country Status (6)
Country | Link |
---|---|
US (1) | US6826433B1 (es) |
EP (1) | EP1055159B1 (es) |
AT (1) | ATE320030T1 (es) |
DE (2) | DE19801137A1 (es) |
ES (1) | ES2259823T3 (es) |
WO (1) | WO1999036840A1 (es) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19922561A1 (de) * | 1999-05-17 | 2000-11-23 | Sick Ag | Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem |
DE10147490A1 (de) * | 2001-09-26 | 2003-04-17 | Siemens Ag | Verfahren zum Überwachen einer Automatisierungsanlage |
DE10212131A1 (de) * | 2002-03-19 | 2003-10-02 | Siemens Ag | Verfahren zum Überwachen einer Automatisierungsanlage |
ITSV20020018A1 (it) * | 2002-05-03 | 2003-11-03 | Alstom Transp Spa | Dispositivo di elaborazione o comando operante in sicurezza intrinseca |
FR2841075B1 (fr) * | 2002-06-13 | 2004-12-24 | Systemig Sa | Dispositif de controle et/ou de surveillance utilisant au moins un controleur de transmission |
DE10341324A1 (de) * | 2003-09-08 | 2006-06-01 | Siemens Ag | Verfahren zur Erkennung von fehlerhaften antivalenten Taster- oder Schaltersignalen |
DE102004034862A1 (de) * | 2004-07-19 | 2006-03-16 | Siemens Ag | Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe |
DE102004035442B4 (de) * | 2004-07-22 | 2006-06-01 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems |
DE102005048996A1 (de) * | 2005-10-11 | 2007-04-12 | Endress + Hauser Gmbh + Co. Kg | Verfahren zum sicheren Versenden von Daten eines Feldgerätes der Prozessautomatisierungstechnik |
DE502006006509D1 (de) | 2006-06-08 | 2010-05-06 | Siemens Ag | Verfahren zum Betrieb eines Automatisierungssystems, Kommunikationsteilnehmer und Automatisierungssystem |
DE102007045772A1 (de) * | 2007-09-25 | 2009-04-02 | Siemens Ag | Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage |
DE102008058401C5 (de) * | 2008-11-21 | 2012-11-15 | Marantec Antriebs- Und Steuerungstechnik Gmbh & Co. Kg | Steuerungssystem für einen Torantrieb |
ES2593831T3 (es) * | 2013-02-13 | 2016-12-13 | Phoenix Contact Gmbh & Co. Kg | Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo |
DE102014106584A1 (de) * | 2014-05-09 | 2015-11-12 | Claas E-Systems Kgaa Mbh & Co Kg | Vorrichtung zur Anbindung einer internetfähigen Anzeige- und Eingabeeinrichtung an ein zu steuerndes oder zu regelndes Arbeitsgerät |
CN104932328B (zh) * | 2015-04-30 | 2017-11-17 | 中国电子科技集团公司第四十一研究所 | 一种综合环境试验处理方法 |
CN110515369B (zh) * | 2019-08-29 | 2022-11-15 | 西门子工厂自动化工程有限公司 | 自动化控制***的安全关联数据处理方法及装置 |
CN114706731B (zh) * | 2022-04-21 | 2023-04-28 | 中国地质大学(北京) | 一种智能服务实时动态监测的方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE3024370C2 (de) | 1980-06-27 | 1987-01-02 | Siemens AG, 1000 Berlin und 8000 München | Redundantes Steuersystem |
US4761807A (en) * | 1982-09-29 | 1988-08-02 | Vmx, Inc. | Electronic audio communications system with voice authentication features |
US4680753A (en) | 1985-04-03 | 1987-07-14 | Texas Instruments Incorporated | System and method for controlling network bus communications for input-output interlocking information among distributed programmable controllers |
US4845594A (en) * | 1986-07-01 | 1989-07-04 | Basler Electric Company | Reclosing relay with nonvolatile memory of operations |
EP0345493B1 (de) * | 1988-06-08 | 1994-03-09 | Landis & Gyr Technology Innovation AG | Anordnung zur Überwachung, Steuerung und Regelung einer betriebstechnischen Anlage eines Gebäudeautomationssystems |
DE4041550C3 (de) | 1990-12-22 | 2003-08-28 | Schmersal K A Gmbh & Co | Sicherheitseinrichtung mit mindestens einem berührungslosen Geber |
DE59103707D1 (de) | 1991-07-22 | 1995-01-12 | Siemens Ag | Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage. |
DE4312305C5 (de) | 1993-04-15 | 2004-07-15 | Abb Patent Gmbh | Sicherheitsgerichtete speichergrogrammierbare Steuerung |
US6292828B1 (en) * | 1994-02-23 | 2001-09-18 | David L. Williams | Trans-modal animated information processing with selective engagement |
DE19512372A1 (de) * | 1995-04-01 | 1996-10-10 | Abb Patent Gmbh | Einrichtung zur eigensicheren Signalanpassung |
DE19540069A1 (de) | 1995-10-27 | 1997-04-30 | Elan Schaltelemente Gmbh | Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen |
DE19643092C2 (de) * | 1996-10-18 | 1998-07-30 | Elan Schaltelemente Gmbh | Feld-Datenbussystem |
US6079033A (en) * | 1997-12-11 | 2000-06-20 | Intel Corporation | Self-monitoring distributed hardware systems |
-
1998
- 1998-01-14 DE DE19801137A patent/DE19801137A1/de not_active Withdrawn
- 1998-12-22 EP EP98966574A patent/EP1055159B1/de not_active Expired - Lifetime
- 1998-12-22 AT AT98966574T patent/ATE320030T1/de not_active IP Right Cessation
- 1998-12-22 ES ES98966574T patent/ES2259823T3/es not_active Expired - Lifetime
- 1998-12-22 US US09/600,393 patent/US6826433B1/en not_active Expired - Lifetime
- 1998-12-22 DE DE59813435T patent/DE59813435D1/de not_active Expired - Lifetime
- 1998-12-22 WO PCT/DE1998/003771 patent/WO1999036840A1/de active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
EP1055159B1 (de) | 2006-03-08 |
DE19801137A1 (de) | 1999-07-22 |
ATE320030T1 (de) | 2006-03-15 |
EP1055159A1 (de) | 2000-11-29 |
US6826433B1 (en) | 2004-11-30 |
DE59813435D1 (de) | 2006-05-04 |
WO1999036840A1 (de) | 1999-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2259823T3 (es) | Entrada y salida de procesos a prueba de errores. | |
ES2216929T3 (es) | Sistema de bus de automatizacion relacionado con la seguridad. | |
US20100127824A1 (en) | Method and Device for the Safe, Systematic, Exclusive Assignment of the Command Authorization of an Operator to a Controllable Technical Installation | |
JP4480311B2 (ja) | プロセス制御システム | |
ES2362539T3 (es) | Procedimiento e instalación de control y de transmisión de datos para la verificación del lugar de montaje de un componente de la comunicación seguro. | |
JP5068436B2 (ja) | 安全性関連処理のバス結合のための方法と装置 | |
RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
US8923286B2 (en) | Method and apparatus for safety-related communication in a communication network of an automation system | |
US20050234567A1 (en) | Process control | |
JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
WO1993025948A9 (en) | Secure front end communication system and method for process control computers | |
CN108473273B (zh) | 电梯数据通信布置 | |
EP3249855B1 (en) | Invalid frame handling method, invalidity detection electronic-control unit and vehicle-mounted network system | |
JPH0566079B2 (es) | ||
US8090474B2 (en) | Apparatus for controlling at least one machine | |
JP2019083007A (ja) | センサ及びセンサのデータのシリアル伝送のための方法 | |
US8259595B2 (en) | Method and system for diagnosing external signal input/output units | |
CN102323774B (zh) | 具有光学链路的模块化安全转换装置*** | |
JP2006525565A (ja) | 安全重視プロセスを制御する方法と装置 | |
JPH0333613A (ja) | エンコーダ | |
CN106164787B (zh) | 用于安全关断电力负载的方法和装置 | |
US20060262807A1 (en) | Control system using serial communication | |
JP2000255431A (ja) | 鉄道用保安制御装置及び保安制御システム | |
CN108861911B (zh) | 电梯数据通信布置件 | |
CN100486881C (zh) | 电梯控制装置 |