ES2259823T3 - Entrada y salida de procesos a prueba de errores. - Google Patents

Entrada y salida de procesos a prueba de errores.

Info

Publication number
ES2259823T3
ES2259823T3 ES98966574T ES98966574T ES2259823T3 ES 2259823 T3 ES2259823 T3 ES 2259823T3 ES 98966574 T ES98966574 T ES 98966574T ES 98966574 T ES98966574 T ES 98966574T ES 2259823 T3 ES2259823 T3 ES 2259823T3
Authority
ES
Spain
Prior art keywords
output
unit
input
channel
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES98966574T
Other languages
English (en)
Inventor
Armin Trauth
Jorg-Peter Zach
Karl Weber
Johannes Birzer
Herbert Barthel
Hartmut Schutz
Heiner Fuchs
Hartmut Von Krosigk
Andreas Schenk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2259823T3 publication Critical patent/ES2259823T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)
  • Debugging And Monitoring (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
  • Crystals, And After-Treatments Of Crystals (AREA)

Abstract

Procedimiento para el funcionamiento de un sistema de automatización, en el que el sistema de automatización presenta al menos una unidad de entrada para la recepción de señales de procesos y al menos una unidad de salida para la activación de la periferia externa, que están comunicadas entre sí para la comunicación a través de un bus, caracterizado porque: - al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3), - porque la unidad de entrada a prueba de errores (2) trasmite un telegrama a la unidad de salida a prueba de errores (3) en instantes predeterminados, - porque el telegrama presenta al menos una información útil, una identificación de destino que designa la unidad de salida (3) direccionada y una identificación del origen que designa la unidad de entrada emisora (2), - porque la unidad de salida (3), en el caso de que reconozca, con la ayudade la identificación de destino, que el telegrama está destinado para ella y reconozca con la ayuda de la identificación del origen que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación de entrada y en otro caso transfiere la periferia conectada a un estado seguro.

Description

Entrada y salida de procesos a prueba de errores.
La presente invención se refiere a un procedimiento para el funcionamiento de un sistema de automatización, en el que el sistema de automatización presenta al menos una unidad de entrada para la recepción de señales de procesos y al menos una unidad de salida para la activación de la periferia externa, en el que la unidad de entrada y la unidad de salida están comunicadas entre sí para la comunicación a través de un bus.
Para conseguir en los procesos de automatización, que son controlados y/o supervisados por un sistema de automatización del tipo indicado al principio, en situaciones de emergencia una desconexión rápida de los procesos automatizados, está previsto hasta ahora un tratamiento de desconexión de emergencia en forma de una cadena de desconexión de emergencia.
En una cadena de desconexión de emergencia de este tipo, se integran conmutadores de desconexión de emergencia, rejillas luminosas, esteras de separación o similares. En virtud de los requerimientos que se plantean en un tratamiento de desconexión de emergencia, es habitual llevar a cabo el tratamiento de desconexión de emergencia en cableado habitual. Como ejemplo se menciona aquí un horno de túnel, que está dividido en varios segmentos con relación al proceso de automatización. En posiciones accesibles para el usuario en el lado exterior del horno de túnel están previstas para el tratamiento de desconexión de emergencia, por ejemplo, teclas de desconexión de emergencia, donde la activación de la tecla de desconexión de emergencia implica, de acuerdo con el diseño de toda la instalación automática, por ejemplo, la caída definida de todo el proceso.
Las teclas de desconexión de emergencia son aparatos de campo con una función de entrada. Los aparatos, que provocan la caída del proceso, son de una manera correspondiente aparatos con una función de salida para la activación de la periferia externa, por ejemplo, por lo tanto, aparatos de salida, que controlan un motor para procesos de transporte, un motor para ventilación, un agregado hidráulico para la colocación en posición, etc.
En el caso de una situación de desconexión de emergencia, es necesaria la desconexión inmediata de la periferia externa. Con este fin, entre los aparatos de entrada, es decir, las teclas de desconexión de emergencia, y los aparatos de salida, como los motores o los agregados, se establece una cadena de desconexión de emergencia, que debía realizarse hasta ahora en cableado convencional y que provoca, en el caso de activación de una tecla de desconexión de emergencia una desconexión inmediata del motor o bien una desconexión inmediata del agregado hidráulico. El cableado convencional es necesario en este caso hasta ahora en virtud de los requerimientos de seguridad, que se plantean a un tratamiento de desconexión de emergencia.
No obstante, en este caso, en los proyectos de automatización de grandes superficies, como por ejemplo en los hornos de túnel descritos, debe preverse, en general, el cableado convencional en todo el campo de proceso.
Se conoce a partir del documento DE 43 12 305 A1 equipar una SPS estándar a través de complementos para formar una SPS acorde con la seguridad. A los complementos propuestos pertenecen aparatos de entrada/salida especiales acordes con la seguridad, que están constituidos internamente por dos canales y que llevan a cabo de forma automática tanto un ensayo comparativo entre sus canales como también funciones adicionales de supervisión propia. Como otro complemento están presentes módulos de programa acordes con la seguridad en el programa de aplicación de la unidad central de la SPS, que llevan a cabo una supervisión redundante de los aparatos de entrada/salida acordes con la seguridad y una supervisión propia de la unidad central. La SPS acorde con la seguridad formada de esta manera es adecuada para el control de procesos, que se pueden llevar a un estado seguro a través de la desconexión.
El documento US 4 680 753 describe un sistema de control con nodos y estaciones, que están conectados en serie o a través de un bus de comunicación. Cada estación contiene un módulo de comunicación, que está conectado de nuevo con un controlador programable. Cada controlador presenta medios de entrada / salida convencionales, que sirven para la entrada de datos del proceso o bien para la salida de datos de control procesados por el controlador.
Se conoce a partir del documento DE 30 24 370 A1 un sistema de control redundante con varios sistemas parciales que trabajan en paralelo, que procesan los mismos datos de acuerdo con programas coincidentes. Los sistemas parciales contienen, respectivamente, una unidad central, memorias así como unidades periféricas, correspondiéndose entre sí las unidades centrales, las memorias y las unidades periféricas de diferentes sistemas parciales. El sistema de control presenta, además, al menos una instalación de comparación, que compara las señales que aparecen en los sistemas parciales y en caso de desigualdad emiten una señal de error. La instalación comparativa contiene una memoria de señales de error, cuyo contenido puede ser llamado de una manera opcional por las unidades centrales.
Por lo tanto, la invención tiene el cometido de indicar un procedimiento para el funcionamiento de un sistema de automatización, en el que para el tratamiento de situaciones de desconexión de emergencia se puede prescindir del cableado convencional y en su lugar se establece una conexión de comunicación entre los componentes de la cadena de desconexión de emergencia a través del bus del sistema de automatización.
Por lo tanto, de acuerdo con la invención, está previsto prescindir para el tratamiento de la desconexión de emergencia del cableado convencional y conectar todos los motores o agregados, que están implicados en la cadena de desconexión de emergencia, en comunicación a través del bus de proceso.
Este cometido se soluciona para un procedimiento para el funcionamiento de un sistema de automatización, en el que el sistema de automatización presenta al menos una unidad de entrada para la recepción de señales del proceso y al menos una unidad de salida para la activación de la periferia externa, en el que al menos una unidad de entrada y al menos una unidad de salida están conectadas en comunicación entre sí a través de un bus porque al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores y como unidad de salida a prueba de errores, respectivamente, porque la unidad de entrada a prueba de errores trasmite un dato a la unidad de salida a prueba de errores en instantes predeterminados, porque el dato presenta al menos una información útil, una identificación de destino que designa la unidad de salida direccionada y una identificación del origen que designa la unidad de entrada emisora, porque la unidad de salida evalúa la recepción continua del telegrama como indicio de una relación de comunicación de entrada y en otro caso transfiere la periferia conectada a un estado seguro.
Los requerimientos de seguridad que se plantean a un tratamiento de desconexión de emergencia se cumplen de acuerdo con la invención cuando los aparatos de entrada, es decir, por ejemplo, las teclas de desconexión de emergencia y los aparatos de salida que se incorporan en la cadena de desconexión de emergencia, que están previstos para la activación de los motores o agregados, están realizados en cada caso a prueba de fallos. En el caso de una situación de desconexión de emergencia resulta entonces el ciclo siguiente en la instalación automatizada.
Cuando se activa una tecla de desconexión de emergencia se coloca un dato en el bus a través del aparato de entrada de datos. El dato a transmitir presenta, de acuerdo con las especificaciones del protocolo de bus utilizado para la conexión de comunicación física, al menos una información útil, en cuyo caso, por lo tanto, la información con respecto a si la tecla de desconexión de emergencia está pulsada o no, presenta al menos una dirección de destino, es decir, la dirección del usuario de la comunicación, al que se emite el mensaje -en el que un identificación especial posibilita una emisión del mensaje a todos los usuarios de la comunicación- así como, por último, la identificación del origen, que identifica al emisor del dato.
La invención se puede emplear ahora, por una parte, de tal forma que el dato es emitido a un usuario totalmente determinado de la comunicación, siendo reconocido el destinatario con la ayuda de la dirección de destino que contiene el dato, de manera que el dato está destinado para él, o porque el dato es enviado a todos los usuarios de la comunicación, donde cada usuario individual de la comunicación determina, con la ayuda de la dirección de origen del dato, si el dato, es decir, la información útil del dato debe ser evaluada por él.
Por otra parte, el dato se puede emitir también a una unidad de orden superior del sistema de automatización, por ejemplo la unidad central de un control programable con memoria, reconociendo éste de nuevo en la identificación de origen del dato, que ha llegado un mensaje, por ejemplo desde una tecla de desconexión de emergencia, que requiere un tratamiento inmediato, de manera que la unidad central transmite el dato, inmediatamente después de la detección del mismo a los aparatos de salida, de manera que éstos provocan una caída o bien una desconexión de los motores o agregados conectados en los aparatos de salida o incluso depositan otro dato en los aparatos de salida, que conduce al mismo resultado.
La unidad de salida evalúa en este caso la recepción continua del dato desde la unidad de entrada como indicio para una relación de comunicación intacta. Para el caso de que la unidad de salida determine la ausencia de un dato desde una unidad de entrada durante el periodo de tiempo, que es mayor que un periodo de tiempo predeterminado, la unidad de salida transfiere la periferia conectada a un estado seguro y de esta manera se ocupa de nuevo de la caída de los motores o agregados conectados.
Para el empleo en el marco del procedimiento de acuerdo con la invención para el funcionamiento de un sistema de automatización, está previsto, además, un aparato de entrada de datos a prueba de fallos con al menos un canal de entrada para la conexión de la instalación sensora periférica, para la que está previsto un circuito de prueba, que activa en los instantes predeterminados un proceso de prueba y provoca en este caso para al menos uno de los canales de entrada del aparato de entrada a prueba de fallos un cambio de estado, donde una lógica interna supervisa el cambio de estado y, dado el caso, emite un mensaje de error, en el que el cambio de estado provocado a través del circuito de prueba se vuelve reversible de nuevo al final del proceso de prueba y en el que el proceso de prueba es totalmente transparente para la lectura del canal de entrada respectivo.
Para el empleo en el marco del procedimiento según la invención para el funcionamiento de un sistema de automatización está previsto, además, o de forma alternativa, un aparato de entrada de datos con al menos un canal de entrada para la conexión de la instalación sensora periférica, en el que a menos un canal de entrada está diseñado de forma antivalente.
Los aparatos de entrada a prueba de fallos realizados de acuerdo con la descripción precedente se convierten a través de las medidas mencionadas, es decir, a través del diseño antivalente del canal de entrada o bien a través de la supervisión del canal de entrada por medio de un circuito de prueba en aparatos de entrada de datos a prueba de fallos, en los que se pueden combinar también las dos medidas.
Para el empleo en el marco del procedimiento de acuerdo con la invención para el funcionamiento de un sistema de automatización está prevista, además, una unidad de salida configurada como un aparato de salida a prueba de fallos.
Cuando está prevista para el aparato de salida de datos a prueba de fallos una unidad de procesamiento para el procesamiento de conexiones lógicas que pueden ser proyectadas por el usuario, en el que la unidad de procesamiento evalúa la información útil de un dato recibido, rechaza la información útil del enlace lógico que puede ser proyectado por el usuario y activa de una manera correspondiente al resultado de la conexión lógica al menos un canal de salida, los componentes de software, que estaban previstos hasta ahora de una manera habitual en un aparato de automatización del orden superior, por ejemplo en la unidad central de un control programable con memoria, se pueden diseñar también en el aparato de salida a prueba de fallos, de manera que es posible aquí un procesamiento especialmente rápido y efectivo y una evaluación de los enlaces lógicos.
Cuando para el aparato de salida de datos a prueba de fallos, la unidad de procesamiento supervisa, además, o de una manera alternativa, la secuencia temporal de los datos del proceso transmitidos con la información útil y activa al menos un canal de salida solamente cuando la secuencia temporal de los datos necesarios para la activación del canal de salida se encuentra dentro de unas tolerancias predeterminadas, es posible un llamado "Muting", que contribuye a la elevación de la seguridad del proceso automatizado. Como ejemplo se menciona el aseguramiento de una plataforma de tránsito por medio de un conmutador final inductivo y de una barrera óptica. La plataforma de tránsito activa, durante su movimiento, tanto el conmutador final inductivo como también la barrera óptica en una cierta secuencia de tiempo que está determinada a través de la velocidad de la plataforma de tránsito.
Cuando la secuencia temporal de la entrada de las señales correspondientes se encuentra dentro de las tolerancias predeterminada, se puede proseguir el procesamiento. En cambio, una persona solamente activa la barrera óptica mientras está ausente la señal adicional del conmutador final inductivo durante el tiempo predeterminado de tolerancia. Una constelación de este tipo se puede utilizar como constelación de alarma. A la que se puede reaccionar con un tratamiento de desconexión de emergencia.
Cuando está previsto para el aparato de salida de datos a prueba de fallos un circuito de supervisión configurado como vigilante y que supervisa la unidad de procesamiento, que transfiere al menos un canal de salida a un estado seguro, tan pronto como se ha establecido una función errónea de la unidad de procesamiento, se establece una segunda vía de desconexión a través del circuito de supervisión configurado como vigilante. Cuando, por ejemplo, la unidad de procesamiento no está ya en condiciones de desconectar una salida especial, sin el circuito de supervisión permanecería activado un motor o un agregado, por ejemplo de forma permanente. El circuito de supervisión configurado como vigilante reconoce estados de este tipo y en el caso de que se reconozca un estado de este tipo, conmuta las salidas a un estado seguro.
Cuando en el aparato de salida de datos a prueba de fallos, que está configurado, a través del canal de salida que puede ser activado a través de la unidad de procesamiento, como canal de salida que puede ser releído, la señal que puede ser alimentada al canal de salida, se puede conducir también al circuito de supervisión, el circuito de supervisión compara la señal alimentada al mismo y la señal devuelta leída por el canal de salida y en el caso de desviaciones transfiere el canal de salida respectivo o también todos los canales de salida o bien la periferia que está conectada en ellos a un estado seguro, se reconocen las discrepancias de la activación de los canales de salida respectivos y se transfieren éstas a un estado seguro.
Otras características, ventajas y posibilidades de aplicación de la presente invención se deducen a partir de las reivindicaciones dependientes, de la descripción siguiente de ejemplos de realización con la ayuda del dibujo y del dibujo mismo. En este caso, todas las características descritas y/o representadas por sí o en combinación forman el objeto de la presente invención, independientemente de su redacción en las reivindicaciones de la patente o su relación cruzada. En este caso:
La figura 1 muestra un diagrama de flujo simplificado de un sistema de automatización.
La figura 2 muestra un diagrama de bloques de un aparato de entrada de datos a prueba de fallos y
La figura 3 muestra un diagrama de bloques de un aparato de salida de datos a prueba de fallos.
En la figura 1 se representa a modo de ejemplo un diagrama de bloques de un sistema de automatización sencillo con un aparato de entrada de datos a prueba de fallos, un aparato de salida de datos 3 aprueba de fallos, y un aparato de automatización 3 de orden superior, por ejemplo la unidad central 1 de un control programable con memoria. Los aparatos están conectados entre sí para comunicación a través de un bus 4, con preferencia a través de un bus 4 adecuado para el empleo en entornos industriales, especialmente el Profibus 4.
En el aparato de entrada de datos 2 a prueba de fallos está conectada una tecla de desconexión de emergencia 2'. En el aparato de salida de datos 2 a prueba de fallos está conectado un motor 3'. Cuando se activa la tecla de desconexión de emergencia 2', el aparato de entrada de datos 2 recibe esta señal, la transmite a través del bus 4 al aparato de salida de datos 3, que lleva a cabo entonces la desconexión del motor 3'.
En la figura 2 se representa en un diagrama de bloque una primera configuración de un aparato de entrada de datos 2 a prueba de fallos. El aparato de entrada de datos 2 a prueba de fallos está conectado a través del bus 4 para comunicación con otros aparatos 1, 2, 3 conectados en el bus 4, siendo lleva a cabo la conexión del bus a través del Bus-ASIC 5. Las funciones de los aparatos de entrada de datos 2 son realizadas a través de una unidad de procesamiento 6, que es, por ejemplo, un ASIC o un microprocesador. A la unidad de procesamiento 6 se alimentan directa o indirectamente los canales de entrada 7-0, 7-1...7.7.
Además, en el aparato de entrada de datos 2 está previsto un circuito de prueba 8, que es controlado de la misma manera a través de la unidad de procesamiento 6 y que en instantes predeterminados provoca un proceso de prueba y lleva a cabo en este caso un cambio de estado para al menos uno de los canales de entrada 7-0, 7-1...7-7 del aparato de entrada de datos a prueba de fallos 2. Este cambio de estado es supervisado por una lógica interna 9, donde la lógica interna 9 emite un mensaje de error, cuando el cambio de estado activado por el circuito de prueba 8 no repercute sobre el estado del canal de entrada 7-0, 7-1...7-7 respectivo. Al final del proceso de prueba se hace reversible de nuevo el cambio de estado realizado a través del circuito de prueba 8. Para la lectura de los canales de entrada 7-0, 7-1...7-7 respectivos durante el funcionamiento normal del aparato de entrada de datos 2 a prueba de fallos, el proceso de prueba es en este caso totalmente transparente.
Cuando las entradas 7-7, 7-1...7-7 de la unidad de procesamiento 6 son alimentadas adicionalmente también en forma negada 7-0', 7-1', 7-7', los canales de entrada están diseñados de forma antivalente. La unidad de procesamiento 6 lee entonces su estado, por ejemplo 0 lógico, para el canal de entrada respectivo, por ejemplo 7-2, y para la entrada 7-2' antivalente correspondiente como estado negado lee el complemento correspondiente, en este caso, por lo tanto, 1 lógico. Las funciones erróneas durante la transmisión de los estados de los canales de entrada respectivos pueden ser reconocidas entonces de una manera sencilla y segura a través de la unidad de procesamiento 6, siendo verificado en cada caso si están presentes estados complementarios en el canal de entrada respectivo y en el canal de entrada antivalente al mismo.
En la figura 3 se representa un diagrama de bloques de un aparato de salida de datos 3 a prueba de fallos, que está conectado por medio de un Bus-ASIC 14, configurado como conexión de bus 14, en el bus del proceso 4. El aparato de salida de datos 3 a prueba de fallos presenta una unidad de procesamiento 10 para el procesamiento de enlaces lógicos, que pueden ser proyectados por el usuario, donde la unidad de procesamiento 10 evalúa la información útil de un telegrama recibido a través del bus del proceso 4, somete la información útil al enlace lógico que puede ser proyectado por el usuario y de acuerdo con el resultado del enlace lógico, activa al menos un canal de salida 11-0, 11-1...11-7.
En la representación de acuerdo con la figura 3, el aparato de salida de datos a prueba de fallos 3 presenta un circuito de supervisión 12 configurado como vigilante 12 y que supervisa la unidad de procesamiento 10, cuyo circuito de supervisión transfiere al menos un canal de salida 11-0, 11-1...11-7 a un estado seguro, tan pronto como se ha establecido una función errónea de la unidad de procesamiento 10. Con este fin, el circuito de supervisión 12 supervisa la función de la unidad de procesamiento 10, siendo determinados, en el caso de una función errónea de la unidad de procesamiento 10 los estados de los canales de salida 11-0, 11-1...11-7 respectivos a través del circuito de supervisión 12. a cuyo fin está previsto un circuito de excitación 13, que puede ser activado tanto por la unidad de procesamiento 10 como también por el circuito de supervisión 12.
Para el caso de una función errónea de la unidad de procesamiento 10, la activación emitida a través del circuito de supervisión 12 de los canales de salida 111-0, 11-1...11-7 sobrescribe la activación respectiva de la unidad de procesamiento 10, que ha sido reconocida ya como errónea en este instante.
En la representación de acuerdo don la figura 3, el aparato de salida de datos 3 a prueba de fallos está configurado de tal forma que el canal de salida 11-0, 11-1...11-7, que puede ser activado a través de la unidad de procesamiento, está configurado como canal de salida 11-0' 11-1'...11-7' que puede ser leído de nuevo, de tal forma que la señal, que puede ser alimentada al canal de salida 11-0, 11-1...11-7, puede ser alimentada también al circuito de supervisión 12, de tal modo que el circuito de supervisión 12 compara la señal 11-0', 11-1'...11-7' leída de retorno por el canal de salida y en el caso de desviaciones, transfiere el canal de salida 11-0, 11-1...11-7 respectivo a un estado seguro.
En la descripción precedente, se parte siempre de aparatos de entrada y de aparatos de salida 2, 3, respectivamente, con ocho canales de entrada y de salida, respectivamente. Es evidente que el número de los canales puede ser también mayor o menor que ocho, por ejemplo 16 ó 32.

Claims (8)

1. Procedimiento para el funcionamiento de un sistema de automatización, en el que el sistema de automatización presenta al menos una unidad de entrada para la recepción de señales de procesos y al menos una unidad de salida para la activación de la periferia externa, que están comunicadas entre sí para la comunicación a través de un bus, caracterizado porque
-
al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3),
-
porque la unidad de entrada a prueba de errores (2) trasmite un telegrama a la unidad de salida a prueba de errores (3) en instantes predeterminados,
-
porque el telegrama presenta al menos una información útil, una identificación de destino que designa la unidad de salida (3) direccionada y una identificación del origen que designa la unidad de entrada emisora (2),
-
porque la unidad de salida (3), en el caso de que reconozca, con la ayuda de la identificación de destino, que el telegrama está destinado para ella y reconozca con la ayuda de la identificación del origen que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación de entrada y en otro caso transfiere la periferia conectada a un estado seguro.
2. Sistema de automatización con al menos una unidad de entrada para la recepción de señales de proceso y con al menos una unidad de salida para la activación de periferia externa, que están conectadas para comunicación entre sí a través de un bus, caracterizado porque
-
al menos una de las unidades de entrada y al menos una de las unidades de salida están configuradas como unidad de entrada a prueba de errores (2) y como unidad de salida a prueba de errores (3),
-
porque la unidad de entrada (2) a prueba de errores contiene medios para la transmisión de un telegrama en instantes predeterminados hacia la unidad de salida a prueba de errores (3),
-
porque el telegrama contiene al menos una información útil, una información de destino, que designa la unidad de salida direccionada (3) y una identificación de origen que designa la unidad de entrada emisora (2), en el que
-
la unidad de evaluación (3), en el caso de que reconozca, con la ayuda de la identificación de destino, que el telegrama está destinado para ella o reconozca, con la ayuda de la identificación de origen, que la información útil debe ser evaluada por ella, evalúa la recepción continua del telegrama como indicio de una relación de comunicación intacta y en otro caso transfiera la periferia conectada a un estado seguro.
3. Aparato de entrada de datos con al menos un canal de entrada para la conexión de la instalación sensora periférica en un sistema de automatización de acuerdo con la reivindicación 2, caracterizado porque está previsto un circuito de prueba, que activa un proceso de prueba en instantes predeterminados y en este caso provoca un cambio de estado para al menos uno de los canales de entrada del aparato de entrada de datos a prueba de fallos, en el que una lógica interna supervisa el cambio de estado y, dado el caso, emite un mensaje de error, en el que el cambio de estado provocado a través del circuito de prueba es reversible de nuevo al final del proceso de prueba y en el que el proceso de prueba es totalmente transparente para la lectura del canal de entrada respectivo.
4. Aparato de entrada de datos a prueba de fallos según la reivindicación 3, caracterizado porque al menos un canal de entrada está diseñado antivalente.
5. Aparato de salida de datos con al menos un canal de salida para la conexión de la instalación sensora periférica en un sistema de automatización de acuerdo con la reivindicación 2, caracterizado porque está prevista una unidad de procesamiento para el procesamiento de enlaces lógicos, que pueden ser proyectados por el usuario, donde la unidad de procesamiento evalúa la información útil de un telegrama recibido a través del bus del proceso, somete la información útil al enlace lógico que puede ser proyectado por el usuario y de acuerdo con el resultado del enlace lógico, activa al menos un canal de salida.
6. Aparato de salida de datos a prueba de fallos según la reivindicación 5, caracterizado porque la unidad de procesamiento supervisa la secuencia temporal de los datos del proceso transmitidos con la información útil y activa al menos un canal de salida solamente cuando la secuencia temporal de los datos necesarios para la activación del canal de salida se encuentra dentro de tolerancias predeterminadas.
7. Aparato de salida de datos a prueba de fallos según la reivindicación 5 ó 6, caracterizado porque está previsto un circuito de supervisión configurado como vigilante y que supervisa la unidad de procesamiento, que transfiere al menos un canal de salida a un estado seguro, tan pronto como se ha establecido una función errónea de la unidad de procesamiento.
8. Aparato de salida de datos a prueba de fallos según la reivindicación 5 ó 6, caracterizado porque el canal de salida, que puede ser activado a través de la unidad de procesamiento, está configurado como canal de salida que puede ser releído, porque la señal que puede ser alimentada al canal de salida, se puede conducir también al circuito de supervisión, porque el circuito de supervisión compara la señal alimentada al mismo y la señal devuelta leída por el canal de salida y en el caso de desviaciones transfiere el canal de salida respectivo o todos los canales de salida a un estado seguro.
ES98966574T 1998-01-14 1998-12-22 Entrada y salida de procesos a prueba de errores. Expired - Lifetime ES2259823T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19801137 1998-01-14
DE19801137A DE19801137A1 (de) 1998-01-14 1998-01-14 Fehlersichere Prozesseingabe und Prozessausgabe

Publications (1)

Publication Number Publication Date
ES2259823T3 true ES2259823T3 (es) 2006-10-16

Family

ID=7854581

Family Applications (1)

Application Number Title Priority Date Filing Date
ES98966574T Expired - Lifetime ES2259823T3 (es) 1998-01-14 1998-12-22 Entrada y salida de procesos a prueba de errores.

Country Status (6)

Country Link
US (1) US6826433B1 (es)
EP (1) EP1055159B1 (es)
AT (1) ATE320030T1 (es)
DE (2) DE19801137A1 (es)
ES (1) ES2259823T3 (es)
WO (1) WO1999036840A1 (es)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19922561A1 (de) * 1999-05-17 2000-11-23 Sick Ag Verfahren und Vorrichtung zur sicheren Übertragung von Datensignalen über ein Bussystem
DE10147490A1 (de) * 2001-09-26 2003-04-17 Siemens Ag Verfahren zum Überwachen einer Automatisierungsanlage
DE10212131A1 (de) * 2002-03-19 2003-10-02 Siemens Ag Verfahren zum Überwachen einer Automatisierungsanlage
ITSV20020018A1 (it) * 2002-05-03 2003-11-03 Alstom Transp Spa Dispositivo di elaborazione o comando operante in sicurezza intrinseca
FR2841075B1 (fr) * 2002-06-13 2004-12-24 Systemig Sa Dispositif de controle et/ou de surveillance utilisant au moins un controleur de transmission
DE10341324A1 (de) * 2003-09-08 2006-06-01 Siemens Ag Verfahren zur Erkennung von fehlerhaften antivalenten Taster- oder Schaltersignalen
DE102004034862A1 (de) * 2004-07-19 2006-03-16 Siemens Ag Automatisierungssystem und Ein-/Ausgabebaugruppe für dasselbe
DE102004035442B4 (de) * 2004-07-22 2006-06-01 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
DE102005048996A1 (de) * 2005-10-11 2007-04-12 Endress + Hauser Gmbh + Co. Kg Verfahren zum sicheren Versenden von Daten eines Feldgerätes der Prozessautomatisierungstechnik
DE502006006509D1 (de) 2006-06-08 2010-05-06 Siemens Ag Verfahren zum Betrieb eines Automatisierungssystems, Kommunikationsteilnehmer und Automatisierungssystem
DE102007045772A1 (de) * 2007-09-25 2009-04-02 Siemens Ag Verfahren zur Zugriffskontrolle auf eine Automatisierungsanlage
DE102008058401C5 (de) * 2008-11-21 2012-11-15 Marantec Antriebs- Und Steuerungstechnik Gmbh & Co. Kg Steuerungssystem für einen Torantrieb
ES2593831T3 (es) * 2013-02-13 2016-12-13 Phoenix Contact Gmbh & Co. Kg Sistema de control y transmisión de datos para transmitir datos relativos a la seguridad a través de un bus de campo
DE102014106584A1 (de) * 2014-05-09 2015-11-12 Claas E-Systems Kgaa Mbh & Co Kg Vorrichtung zur Anbindung einer internetfähigen Anzeige- und Eingabeeinrichtung an ein zu steuerndes oder zu regelndes Arbeitsgerät
CN104932328B (zh) * 2015-04-30 2017-11-17 中国电子科技集团公司第四十一研究所 一种综合环境试验处理方法
CN110515369B (zh) * 2019-08-29 2022-11-15 西门子工厂自动化工程有限公司 自动化控制***的安全关联数据处理方法及装置
CN114706731B (zh) * 2022-04-21 2023-04-28 中国地质大学(北京) 一种智能服务实时动态监测的方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370C2 (de) 1980-06-27 1987-01-02 Siemens AG, 1000 Berlin und 8000 München Redundantes Steuersystem
US4761807A (en) * 1982-09-29 1988-08-02 Vmx, Inc. Electronic audio communications system with voice authentication features
US4680753A (en) 1985-04-03 1987-07-14 Texas Instruments Incorporated System and method for controlling network bus communications for input-output interlocking information among distributed programmable controllers
US4845594A (en) * 1986-07-01 1989-07-04 Basler Electric Company Reclosing relay with nonvolatile memory of operations
EP0345493B1 (de) * 1988-06-08 1994-03-09 Landis & Gyr Technology Innovation AG Anordnung zur Überwachung, Steuerung und Regelung einer betriebstechnischen Anlage eines Gebäudeautomationssystems
DE4041550C3 (de) 1990-12-22 2003-08-28 Schmersal K A Gmbh & Co Sicherheitseinrichtung mit mindestens einem berührungslosen Geber
DE59103707D1 (de) 1991-07-22 1995-01-12 Siemens Ag Verfahren zur Fehlererkennung und -lokalisierung von redundanten Signalgebern einer Automatisierungsanlage.
DE4312305C5 (de) 1993-04-15 2004-07-15 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
US6292828B1 (en) * 1994-02-23 2001-09-18 David L. Williams Trans-modal animated information processing with selective engagement
DE19512372A1 (de) * 1995-04-01 1996-10-10 Abb Patent Gmbh Einrichtung zur eigensicheren Signalanpassung
DE19540069A1 (de) 1995-10-27 1997-04-30 Elan Schaltelemente Gmbh Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
DE19643092C2 (de) * 1996-10-18 1998-07-30 Elan Schaltelemente Gmbh Feld-Datenbussystem
US6079033A (en) * 1997-12-11 2000-06-20 Intel Corporation Self-monitoring distributed hardware systems

Also Published As

Publication number Publication date
EP1055159B1 (de) 2006-03-08
DE19801137A1 (de) 1999-07-22
ATE320030T1 (de) 2006-03-15
EP1055159A1 (de) 2000-11-29
US6826433B1 (en) 2004-11-30
DE59813435D1 (de) 2006-05-04
WO1999036840A1 (de) 1999-07-22

Similar Documents

Publication Publication Date Title
ES2259823T3 (es) Entrada y salida de procesos a prueba de errores.
ES2216929T3 (es) Sistema de bus de automatizacion relacionado con la seguridad.
US20100127824A1 (en) Method and Device for the Safe, Systematic, Exclusive Assignment of the Command Authorization of an Operator to a Controllable Technical Installation
JP4480311B2 (ja) プロセス制御システム
ES2362539T3 (es) Procedimiento e instalación de control y de transmisión de datos para la verificación del lugar de montaje de un componente de la comunicación seguro.
JP5068436B2 (ja) 安全性関連処理のバス結合のための方法と装置
RU2665890C2 (ru) Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами
US8923286B2 (en) Method and apparatus for safety-related communication in a communication network of an automation system
US20050234567A1 (en) Process control
JP6964277B2 (ja) 通信遮断システム、通信遮断方法及びプログラム
WO1993025948A9 (en) Secure front end communication system and method for process control computers
CN108473273B (zh) 电梯数据通信布置
EP3249855B1 (en) Invalid frame handling method, invalidity detection electronic-control unit and vehicle-mounted network system
JPH0566079B2 (es)
US8090474B2 (en) Apparatus for controlling at least one machine
JP2019083007A (ja) センサ及びセンサのデータのシリアル伝送のための方法
US8259595B2 (en) Method and system for diagnosing external signal input/output units
CN102323774B (zh) 具有光学链路的模块化安全转换装置***
JP2006525565A (ja) 安全重視プロセスを制御する方法と装置
JPH0333613A (ja) エンコーダ
CN106164787B (zh) 用于安全关断电力负载的方法和装置
US20060262807A1 (en) Control system using serial communication
JP2000255431A (ja) 鉄道用保安制御装置及び保安制御システム
CN108861911B (zh) 电梯数据通信布置件
CN100486881C (zh) 电梯控制装置