[go: up one dir, main page]

DE19860358A1 - Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information - Google Patents

Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information

Info

Publication number
DE19860358A1
DE19860358A1 DE1998160358 DE19860358A DE19860358A1 DE 19860358 A1 DE19860358 A1 DE 19860358A1 DE 1998160358 DE1998160358 DE 1998160358 DE 19860358 A DE19860358 A DE 19860358A DE 19860358 A1 DE19860358 A1 DE 19860358A1
Authority
DE
Germany
Prior art keywords
output
bus
safety
monitoring unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1998160358
Other languages
German (de)
Other versions
DE19860358B4 (en
Inventor
Peter Wratil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE1998160358 priority Critical patent/DE19860358B4/en
Publication of DE19860358A1 publication Critical patent/DE19860358A1/en
Application granted granted Critical
Publication of DE19860358B4 publication Critical patent/DE19860358B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

A monitoring unit (2) monitors bus data. Secure output units (8) are installed for secure functions and routines and internally comprise two separate bus users. One of these units includes a buffer memory (11) which detects output information from a control device (1) and supplies it to a comparator (12) which contains redundant data relating to the second bus user and compares them with the buffered information, to start a process if there is agreement.

Description

Die Erfindung bezieht sich auf ein Verfahren zur Fehlerunterdrückung von Ausgabeeinheiten, die über ein Bussystem an Automatisierungseinrichtungen angeschlossen sind.The invention relates to a method for error suppression of Output units that are connected to automation devices via a bus system are connected.

Automatisierungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind. Im engeren Sinne verwendet man hierzu oftmals Speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.Automation devices are everywhere according to the current state of the art used where processes, procedures or other electromechanical Control, regulate, monitor or visualize facilities. In the narrower sense, programmable logic controllers are often used for this Controllers or microcomputers. Typical areas of application are Automation islands, production lines, machining centers or chemical Facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhafte Zuständen der Steuerung gehen dann extreme Gefahren aus, die von Personen oder sonstigen Einrichtungen unbedingt fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen.It is not uncommon for these previously mentioned processes to contain security-relevant ones Processes that pose a danger to people or parts of the machine. Of The faulty states of the control system then pose extreme dangers must be kept away from people or other facilities. Examples for this are uncontrolled movements of robots, premature movement of Turning or milling devices, unwanted accelerations or incorrect ones Speeds of rotation devices or delayed switching off of heating or Dosing processes in chemical plants.

Die Ursachen dieser fatalen Fehler sind vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.The causes of these fatal errors are many. Mostly, however, lies Programming errors, an uncontrolled behavior due to electromagnetic Influences or any other disturbance that the process into an undefined Situation.

Diese Fehlerarten sind in der Literatur (insb.: in Normungswerken, vergl.: DIN 19251) hinreichend beschrieben. Gleichfalls stellt die Norm bereits Konzepte vor, wie man derartige Fehler erkennt und eliminiert (z. B.: DIN V 0801). Ferner bieten verschiedene Hersteller von Steuerungseinrichtungen bereits vollständige Lösungen an, die für sicherheitsrelevante Einrichtungen (wie vorgestellt) zu verwenden sind (siehe Produktangebote Siemens (115/155F) oder Produkte der Hersteller Pilz und Hima).These types of errors are in the literature (esp .: in standardization works, see: DIN 19251) adequately described. Likewise, the standard already presents concepts of how to recognizes and eliminates such errors (e.g. DIN V 0801). Also offer different manufacturers of control devices already complete solutions which are to be used for safety-relevant facilities (as presented) (see product offers Siemens (115 / 155F) or products from the manufacturers Pilz and Hi Mom).

Von besonderer Wichtigkeit sind bei derartigen Prozessen Ausgabeeinheiten, die alle Funktionen innerhalb des automatisierten Prozesses auslösen. Wenn diese Ausgabeeinheiten fehlerhafte Daten erhalten oder selbst fehlerhaft sind, so werden Fehlzustände initiiert, die zu den bereits vorher genannten Gefährdungen führen. Es ist daher wünschenswert und - in sicherheitsrelevanten Bereichen - absolut notwendig, derartige Fehlzustände zu erkennen und Maßnahmen zu Unterdrückung des Fehlers zu ergreifen, damit der Prozeß in seinem Ablauf keine Gefährdung darstellt.Of particular importance in such processes are output units, all of which Trigger functions within the automated process. If those Output units receive faulty data or are faulty themselves, so Defects initiated that lead to the hazards mentioned above. It is therefore desirable and - in safety-relevant areas - absolutely necessary to recognize such malfunctions and measures to suppress them to take the error so that the process is not a hazard in its course represents.

Das vorgestellte Verfahren basiert darauf, daß man in typischen Automatisierungseinrichtungen einige Komponenten zusätzlich einbringt, die eine Fehlerkontrolle und eine Fehlerunterdrückung garantieren. Diese zusätzlichen Komponenten gewährleisten, daß ein Einfach-Fehler sowohl erkannt als auch unterdrückt wird. Erst das Aufeinandertreffen von zwei Fehlern im gleichen Zustand wird nicht als Fehler detektiert. Damit erhöht das Verfahren die Sicherheit des Prozesses ganz beträchtlich, da Fehler durch Einflüsse von Störungen oder durch falschen Programmablauf sicher unterbunden werden.The method presented is based on the fact that in typical Automation equipment brings some additional components, the one Guaranteed error control and error suppression. These additional Components ensure that a single fault is both detected and is suppressed. Only when two errors meet in the same state is not detected as an error. The process thus increases the security of the  Process quite considerable, since errors are caused by the effects of disturbances or by wrong program sequence can be prevented safely.

Das Verfahren enthält auch noch den wesentlichen Vorteil, daß Steuerungseinrichtung und Sicherheitseinrichtung entweder vollständig oder fast vollständig getrennt sind. Damit sind Spezifikations- oder Implementierungsfehler (wie man sie bei parallelen Einheiten kennt) im Prinzip ausgeschlossen. Dieser Vorteil zeigt sich auch dadurch, daß die sicherheitsreleventen Komponenten auch nachträglich zu installieren sind. Darüber hinaus können im Steuerungssystem Änderungen durchgeführt werden, die vollkommen unabhängig zur Überwachungsfunktion arbeiten. Der heute durchaus übliche Fall der "vor-Ort- Anpassung" an den Prozeß wird auch im Sicherheitsbereich realisierbar.The process also has the essential advantage that Control device and safety device either complete or almost are completely separate. So there are specification or implementation errors (as you know them with parallel units) excluded in principle. This advantage is also shown by the fact that the safety-relevant components must also be installed retrospectively. In addition, in the control system Changes are made that are completely independent of Monitoring function work. The case of "on-site" Adaptation "to the process can also be implemented in the security area.

Das Verfahren ist weiterhin derart ausgelegt, daß man den normalen Ablauf innerhalb einer Steuerung oder eines Automatisierungsverbunds nicht verändern muß. Dieses gilt insbesondere sowohl für den SPS-Zyklus in der Steuerung als auch für den Übertragungszyklus am Lokalen Netz. Lediglich im Sicherheitsbereich werden spezielle Komponenten hinzugefügt, die ihrerseits am Datentransport teilnehmen, diesen aber nicht verändern.The process is also designed so that the normal process do not change within a controller or an automation network got to. This applies in particular to the PLC cycle in the controller as well for the transmission cycle on the local network. Only in the security area special components are added, which in turn are used for data transport participate, but do not change it.

Fig. 1 zeigt einen typischen Aufbau eines Automatisierungssystems. Die Steuerung (1) steuert oder regelt den Prozeß (6). Zum Datentransport von der Steuerung zu den Sensoren und Aktoren im Prozeß wird ein Lokales Netz (3) (Bus-System) und dezentrale Einheiten (4, 5) verwendet. Dabei stellt die Einheit (5) eine typische Eingabeeinrichtung und die Einheit (4) eine typische Ausgabeeinrichtung dar. Zur Verarbeitung der gewünschten Prozeßfunktion holt die Steuerung (1) am Anfang des SPS-Zyklus den Zustand der Eingänge über die Eingabeeinheit (5) in einen Speicher innerhalb ihrer Einheit. Anhand dieses Zustands erfolgt die logische Bearbeitung durch das SPS-Programm, und am Schluß des SPS-Zyklus sendet die Steuerung die berechneten Daten über das Bus-System zur Ausgabeeinheit (4). Danach beginnt dieser Vorgang erneut und wiederholt sich fortwährend. Bei modernen Steuerungen verwendet man auch vielfach Peripherieeinheiten, die den Datentransport über das Lokale Netz unabhängig vom SPS-Zyklus durchführen. Je nach Anwendung läßt sich damit die Aktualisierung der Aktoren synchronisieren oder als paralleler Prozeß abbilden. Fig. 1 shows a typical configuration of an automation system. The controller ( 1 ) controls or regulates the process ( 6 ). A local network ( 3 ) (bus system) and decentralized units ( 4 , 5 ) are used to transport data from the controller to the sensors and actuators in the process. The unit ( 5 ) represents a typical input device and the unit ( 4 ) a typical output device. To process the desired process function, the controller ( 1 ) fetches the state of the inputs via the input unit ( 5 ) at the beginning of the PLC cycle Memory within their unit. Based on this state, the logical processing is carried out by the PLC program, and at the end of the PLC cycle, the control sends the calculated data to the output unit ( 4 ) via the bus system. Then this process begins again and repeats itself continuously. In modern controls, peripheral units are often used, which carry out data transport via the local network independently of the PLC cycle. Depending on the application, the update of the actuators can be synchronized or mapped as a parallel process.

Ein Fehler, der entweder durch falsche Programmierung in der Steuerung (1), durch eine Störung in der Steuerung (1) oder am Bus-System (2) hervorgerufen wird, führt in der Regel zu einem Fehler, der zur fehlerhaften Ansteuerung über die dezentrale Einheit (4) im Prozeß (6) Schaden anrichten kann.An error that is caused either by incorrect programming in the controller ( 1 ), by a fault in the controller ( 1 ) or on the bus system ( 2 ) usually leads to an error that leads to incorrect control via the decentralized Unit ( 4 ) in the process ( 6 ) can cause damage.

Bei nicht-sicherheitsrelevanten Abläufen (7) im Prozeß führen derartige Fehler zu ungewollten Zuständen oder Abläufen; eine Gefahr besteht jedoch nicht. Anders verhält sich ein Fehlerfall bei sicherheitsrelevanten Abläufen (13). Hier kann das ungewollten Setzen eines Ausgangs beispielsweise zum Anlauf eines Motors oder zum Erhitzen einer explosiven Flüssigkeit führen und damit das Leben oder die Gesundheit von Personen gefährden.In the case of non-safety-relevant processes ( 7 ) in the process, such errors lead to undesired states or processes; however, there is no danger. An error case with safety-relevant processes behaves differently ( 13 ). Here, the unintentional setting of an output can, for example, lead to a motor starting up or to the heating of an explosive liquid and thus endanger the life or health of people.

Um derartige fatale Fehler zu vermeiden wird entsprechend dem Patentanspruch eine Überwachungseinheit (2) dem System hinzugefügt. Zusätzlich tauscht man diejenigen dezentralen Ausgabeeinheiten aus, die im Prozeß in Sicherheitsfunktionen bedienen. Damit wird beispielsweise die Ausgabeeinheit (4) durch die komplexere Ausgabeeinheit (8) ersetzt. In order to avoid such fatal errors, a monitoring unit ( 2 ) is added to the system in accordance with the patent claim. In addition, you replace those decentralized output units that operate in safety functions in the process. For example, the output unit ( 4 ) is thus replaced by the more complex output unit ( 8 ).

Diese Ausgabeeinheit (8) besteht intern aus zwei unabhängigen Buseinheiten, die sich wie normale Bus-Teilnehmer darstellen. Hinter diesen Einheiten befindet sich eine Vergleichereinheit (12), die intern einen Vergleich durchführt und in seiner Technik mit Sicherheitselementen ausgerüstet ist.This output unit ( 8 ) consists internally of two independent bus units, which look like normal bus users. Behind these units is a comparator unit ( 12 ), which carries out a comparison internally and is equipped with security elements in its technology.

Die Überwachungseinheit ist ebenfalls als normaler Busteilnehmer aufgebaut und stellt sich seitens des Automatisierungssystems (1) als Zusatzteilnehmer mit reiner Slave-Funktion dar. In ihr werden alle Sicherheitsfunktionen abgelegt, so daß sie anhand der Zustände der Ein- und Ausgänge informiert ist, ob eine Sicherheitsfunktion verletzt wird oder nicht.The monitoring unit is also constructed as a normal bus participant and is represented by the automation system ( 1 ) as an additional participant with a pure slave function. All safety functions are stored in it, so that it is informed based on the status of the inputs and outputs whether a safety function is injured or not.

Durch die zusätzliche Installation der Überwachungseinheit (2) und der dezentralen Ausgabeeinheit (8) gelingt es, fehlerhafte Zustände vom sicherheitsrelevanten Prozeß (13) fernzuhalten. Der Ablauf geschieht hierbei folgendermaßen:
The additional installation of the monitoring unit ( 2 ) and the decentralized output unit ( 8 ) makes it possible to keep faulty states away from the safety-relevant process ( 13 ). The process is as follows:

  • - Die Steuerung (1) holt über das Bus-System (3) alle Informationen, welche die Zustände der Sensoren im Prozeß repräsentieren.- The controller ( 1 ) fetches all information representing the states of the sensors in the process via the bus system ( 3 ).
  • - Die Überwachungseinheit (2) hört während des Datentransports am Bus-System mit und legt alle Zustände, die für die Sicherheit wichtig sind in ihrem internen Speicher ab.- The monitoring unit ( 2 ) listens to the bus system during data transport and stores all states that are important for safety in its internal memory.
  • - Nach Beendigung der Einlese-Funktion bearbeitet die Steuerung (1) alle Größen und erzeugt die notwendigen Ausgabeinformationen zum Steuern des Prozesses.- After the read-in function has ended, the controller ( 1 ) processes all sizes and generates the necessary output information to control the process.
  • - Die Überwachungeinheit verwendet die intern gespeicherten Zustände der sicherheitrelevanten Eingänge und prüft anhand ihres Programm, welche Zustände für die Sicherheitsfunktion erlaubt oder verboten sind.- The monitoring unit uses the internally stored states of the security-relevant inputs and uses your program to check which States for the safety function are allowed or prohibited.
  • - Nach Berechnung durch die Steuerung (1) sendet diese alle Ausgabeinformationen über das Bus-System (3) zu den dezentralen Ausgabeeinheiten (4, 8). Während die normalen (nicht-sicherheitsrelevanten) Ausgabeeinheiten die Daten sofort ausgeben und damit dem Prozeß offenkundig machen, speichert die Sicherheits-Ausgabeeinheit (8) ihre Information erst in einem Zwischenspeicher (11) ab.- After calculation by the controller ( 1 ), this sends all output information via the bus system ( 3 ) to the decentralized output units ( 4 , 8 ). While the normal (non-security-relevant) output units immediately output the data and thus make it clear to the process, the security output unit ( 8 ) only stores its information in a buffer ( 11 ).
  • - Am Schluß der des gesamten Bus-Zyklus wird nun auch die Überwachungseinheit (2) als normaler Slave von der Steuerung (1) angesprochen.- At the end of the entire bus cycle, the monitoring unit ( 2 ) is now addressed by the controller ( 1 ) as a normal slave.
  • - Diese (2) meldet sich nun mit alle Ausgabedaten, die sie auf Grund der Sicherheitsüberprüfung für richtig hält.- This ( 2 ) now reports with all output data that it considers correct due to the security check.
  • - Bei dieser Übertragung der Daten von der Überwachungseinheit (2) zur Steuerung (1) hört die Sicherheits-Ausgabeeinheit (8) mit. Die entsprechenden erlaubten Zustände werden von jeder Einheit aufgenommen und ebenfalls zwischengespeichert. Hierzu steht eine separate Bus-Einheit (9) in der Sicherheit- Ausgabeeinheit (8) zu Verfügung.- During this transmission of the data from the monitoring unit ( 2 ) to the controller ( 1 ), the safety output unit ( 8 ) also listens. The corresponding permitted states are recorded by each unit and also buffered. For this purpose, a separate bus unit ( 9 ) is available in the safety output unit ( 8 ).
  • - Der nachfolgende Vergleicher (12) untersucht daraufhin, ob die vorher in der Zwischenspeicher-Einheit (11) abgelegten Daten mit den erlaubten Daten aus der Einheit (9) übereinstimmen.- The following comparator ( 12 ) then examines whether the data previously stored in the buffer unit ( 11 ) match the permitted data from the unit ( 9 ).
  • - Je nach Ausfall des Vergleichsergebnisses, gibt der Vergleicher (12) die Ausgabe frei (Vergleich richtig und erlaubt) oder unterbindet die Ausgabe (Vergleich falsch oder fehlerhaft).- Depending on the failure of the comparison result, the comparator ( 12 ) enables the output (comparison correct and allowed) or prevents the output (comparison incorrect or incorrect).
  • - Sofern der Vergleicher einen Fehler erkennt, schaltet er alle Ausgänge in einen sicheren Zustand. Weiterhin zieht sich die Sicherheits-Ausgabeeinheit (8) im nächsten Zyklus vom Busgeschehen zurück oder signalisiert einen Fehler. - If the comparator detects an error, it switches all outputs to a safe state. Furthermore, the safety output unit ( 8 ) withdraws from the bus event in the next cycle or signals an error.
  • - Damit ist im Fehlerfall gewährleistet, daß nicht nur ungültige Daten keinen Schaden anrichten, sondern auch eine Information über den Fehlerzustand an die Steuerung (1) und die Überwachungseinheit (2) gegeben wird.- This ensures in the event of an error that not only invalid data does no damage, but also information about the error state is given to the control ( 1 ) and the monitoring unit ( 2 ).

Die dezentrale Sicherheits-Ausgabe-Einheit (8) muß zur Realisierung dieser Aufgabe über einen Fail-Safe-Vergleicher (12) verfügen. Er hat die Aufgabe den zwischengespeicherten Wert aus dem Speicher (11) mit den erlaubten Daten der Einheit (9) zu vergleichen. Sofern der Vergleicher (12) erkennt, daß die Daten ohne Fehler vorliegen, kann er die Ausgabe-Information an den Prozeß (13) weiterleiten. Derartige Fail-Safe-Vergleicher sind bereits heute Stand der Technik (siehe beispielsweise: Produktangebot der Firma Square D).The decentralized safety output unit ( 8 ) must have a fail-safe comparator ( 12 ) to accomplish this task. It has the task of comparing the temporarily stored value from the memory ( 11 ) with the permitted data of the unit ( 9 ). If the comparator ( 12 ) recognizes that the data are present without errors, it can forward the output information to the process ( 13 ). Such fail-safe comparators are already state of the art today (see for example: product range from Square D).

Der Interne Aufbau dieser Sicherheits-Ausgabeeinheit (8) ist nicht Bestandteil dieser Anmeldung, vielmehr bezieht sich die Erfindung lediglich auf das Verfahren, wie man einen Fehler durch Hinzufügen der beiden Einheiten (2, 8) erkennt und unterdrückt.The internal structure of this security output unit ( 8 ) is not part of this application, rather the invention relates only to the method of how to recognize and suppress an error by adding the two units ( 2 , 8 ).

Die Erfindung ist ein Bestandteil eines Sicherheitssystems, welches unter dem Aktenzeichen 198 57 683.8 als Verfahren vorgestellt wurde.The invention is part of a security system, which under the Case number 198 57 683.8 was presented as a procedure.

Zum Gesamtsystem gehören auch noch sicherheitsrelevante Eingabeeinheiten (5) und die bereits mehrfach erwähnte Überwachungseinheit (2).The overall system also includes security-relevant input units ( 5 ) and the monitoring unit ( 2 ) already mentioned several times.

Die Überwachungseinheit (2) erfüllt im Zusammenhang mit den hier vorgestellten Ausgabeeinheiten auch noch die Aufgabe, eine sichere Abschaltung im Fehlerfall zu erzeugen, wenn dieses bei den Ausgabeeinheiten nicht mehr möglich ist. Beispielsweise kann hinter der beschriebenen Ausgabeeinheit ein Zuleitungskabel einen Kurzschluß (gegen einen anderen Ausgang oder gegen die Betriebsspannung) aufweisen, so daß auch eine Abschaltung innerhalb der Ausgabeeinheit zu keinem Sicherheitszustand des entsprechenden Aktors führt. In diesem Fall verfügt die Überwachungseinheit über separate Ausgänge, welche die Stromversorgung abschalten und damit einen sicheren Zustand einleiten.In connection with the output units presented here, the monitoring unit ( 2 ) also fulfills the task of generating a safe shutdown in the event of a fault if this is no longer possible with the output units. For example, behind the output unit described, a supply cable can have a short circuit (to another output or to the operating voltage), so that even a shutdown within the output unit does not result in the safety state of the corresponding actuator. In this case, the monitoring unit has separate outputs that switch off the power supply and thus initiate a safe state.

Claims (8)

1. Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen, die über ein Bus-System (3) an ein einer Automatisierungseinrichtung (1) (Speicherprogrammierbare Steuerung oder Mikrorechner) angeschlossen sind und im sicherheitsrelevanten Prozeß Aktoren bedienen oder gefahrbringende Funktionen und Abläufe in Gang setzen, dadurch gekennzeichnet, daß eine Überwachungseinheit (2) die Bus-Daten überwacht und Sicherheits-Ausgabeeinheiten (8) für sicherheitsbehaftete Funktionen und Abläufe installiert werden, die intern aus zwei getrennten Bus- Teilnehmern bestehen, von denen eine Einheit über einen Zwischenspeicher (11) verfügt, der die Ausgabeinformation von der Steuerung (1) festhält und dem Vergleicher (12) zur Verfügung stellt aber noch nicht ausgibt, dieser am Ende des Bus-Zyklus aus den Daten der Überwachungseinheit (2) über den zweiten Bus- Teilnehmer redundante Daten erhält und diese mit den zwischengespeicherten Informationen vergleicht und bei Übereinstimmung die Ausgabefunktion einleitet, die den Prozeß bedient.1.Procedure for suppressing errors in output units in control devices which are connected via a bus system ( 3 ) to an automation device ( 1 ) (programmable logic controller or microcomputer) and operate actuators in the safety-relevant process or initiate dangerous functions and processes, thereby characterized in that a monitoring unit ( 2 ) monitors the bus data and safety output units ( 8 ) for safety-related functions and processes are installed, which consist internally of two separate bus users, one of which has a buffer ( 11 ), which records the output information from the controller ( 1 ) and does not yet make it available to the comparator ( 12 ), which at the end of the bus cycle receives redundant data from the data from the monitoring unit ( 2 ) via the second bus subscriber and this with the cached information v compares and, if there is a match, initiates the output function that serves the process. 2. Verfahren nach dem Patentanspruch 1, dadurch gekennzeichnet, daß die Sicherheits-Ausgabeeinheit (8) eine normale Ausgabeeinheit (4) ersetzt und so in Zusammenarbeit mit der Überwachungseinheit (2) ein erhöhtes Maß an Sicherheit mitbringt.2. The method according to claim 1, characterized in that the security output unit ( 8 ) replaces a normal output unit ( 4 ) and thus brings an increased level of security in cooperation with the monitoring unit ( 2 ). 3. Verfahren nach den Patentansprüchen 1 bis 2, dadurch gekennzeichnet, daß die Sicherheits-Ausgabeeinheit (8) auch nachträglich installiert werden kann, ohne daß der Ablauf in der Steuerung (1) geändert werden muß.3. The method according to claims 1 to 2, characterized in that the safety output unit ( 8 ) can also be installed retrospectively without the process in the controller ( 1 ) having to be changed. 4. Verfahren nach den Patentansprüchen 1 bis 3, dadurch gekennzeichnet, daß zusammen mit einer Überwachungseinheit und redundant ausgelegten Eingabeeinheiten eine vollständiges Sicherheitssystem für Automatisierungsprozesse entsteht.4. The method according to claims 1 to 3, characterized in that together with a monitoring unit and designed redundantly Input units a complete security system for Automation processes arise. 5. Verfahren nach den Patentansprüchen 1 bis 4, dadurch gekennzeichnet, daß eine Installation an Standard-Bussystemen möglich ist.5. The method according to claims 1 to 4, characterized in that an installation on standard bus systems is possible. 6. Verfahren nach den Patentansprüchen 1 bis 5, dadurch gekennzeichnet, daß die Ausgabeeinheit im Fehlerfall einen sicheren Zustand erreicht, der jegliche Gefahr für die Funktion der Automatisierungseinrichtung und der damit verbundenen Maschine oder Anlage ausschließt.6. The method according to claims 1 to 5, characterized in that the Output unit reaches a safe state in the event of a fault, which means any danger for the function of the automation device and the associated Excludes machine or system. 7. Verfahren nach den Patentansprüchen 1 bis 6, dadurch gekennzeichnet, daß zur redundanten Überwachung der Ausgabeinformation weder ein spezieller Baustein (z. B. ASIC) noch eine Zusatzadresse als Busteilnehmer vorzusehen ist.7. The method according to claims 1 to 6, characterized in that for redundant monitoring of the output information is neither a special module (e.g. ASIC) an additional address must be provided as a bus node. 8. Verfahren nach den Patentansprüchen 1 bis 7, dadurch gekennzeichnet, daß eine installierte Überwachungseinheit im Fehlerfall über ihre eigenen Ausgänge die Stromversorgung unterbricht und damit eine eventuell gefahrbringende Aktorik abschaltet.8. The method according to claims 1 to 7, characterized in that an installed monitoring unit in the event of a fault via its own outputs the power supply is interrupted and thus potentially dangerous actuators switches off.
DE1998160358 1998-12-24 1998-12-24 Method for error suppression in output units in control devices Expired - Lifetime DE19860358B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1998160358 DE19860358B4 (en) 1998-12-24 1998-12-24 Method for error suppression in output units in control devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1998160358 DE19860358B4 (en) 1998-12-24 1998-12-24 Method for error suppression in output units in control devices

Publications (2)

Publication Number Publication Date
DE19860358A1 true DE19860358A1 (en) 2000-07-06
DE19860358B4 DE19860358B4 (en) 2008-05-08

Family

ID=7892864

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1998160358 Expired - Lifetime DE19860358B4 (en) 1998-12-24 1998-12-24 Method for error suppression in output units in control devices

Country Status (1)

Country Link
DE (1) DE19860358B4 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
WO2007074105A3 (en) * 2005-12-29 2007-08-30 Endress & Hauser Process Solut Method for monitoring installations by means of a field bus used in process automation technology
DE19904893B4 (en) * 1999-02-06 2007-10-18 Wratil, Peter, Dr. Method for error suppression in control devices by an intelligent monitoring unit
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
AT513531A1 (en) * 2012-10-18 2014-05-15 Top Services Telekom It Dienstleistungsges M B H Electronic installation system
US8744805B2 (en) 2008-06-26 2014-06-03 Phoenix Contact Gmbh & Co. Kg Monitoring system
EP1589386B1 (en) 2004-04-16 2018-01-10 Sick Ag Process control system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD223845A1 (en) * 1984-04-04 1985-06-19 Schiffselektronik Veb ARRANGEMENT FOR ERROR IDENTIFICATION IN THE FUNCTIONING OF DIGITAL CALCULATORS
DE3502387A1 (en) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Method for monitoring microprocessor systems and stored-program controls
DE3704318C2 (en) * 1987-02-12 1996-04-11 Vdo Schindling Arrangements for monitoring the function of a microprocessor
DE4235872C2 (en) * 1992-10-23 1996-12-19 Siemens Ag Monitoring method for an electrical device
DE4312305C5 (en) * 1993-04-15 2004-07-15 Abb Patent Gmbh Safety-related programmable logic controller
DE4404131C2 (en) * 1994-02-09 1998-07-23 Siemens Ag Battery-free data buffering
DE4408603A1 (en) * 1994-03-08 1995-09-14 Mannesmann Ag Increase of security of hierarchically structured automation systems
DE4416795C2 (en) * 1994-05-06 1996-03-21 Mannesmann Ag Redundantly configurable transmission system for data exchange and method for its operation
DE19611944C2 (en) * 1996-03-26 2003-03-27 Daimler Chrysler Ag Integrated circuit for coupling a micro-controlled control unit to a two-wire bus
DE19815147B4 (en) * 1997-04-21 2005-03-17 Leuze Electronic Gmbh & Co Kg sensor arrangement
DE19814102C2 (en) * 1998-03-30 1999-05-12 Siemens Ag Data transmission method

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19904893B4 (en) * 1999-02-06 2007-10-18 Wratil, Peter, Dr. Method for error suppression in control devices by an intelligent monitoring unit
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
US7149925B2 (en) 2000-05-18 2006-12-12 Siemens Aktiengesellschaft Peripheral component with high error protection for stored programmable controls
EP1589386B1 (en) 2004-04-16 2018-01-10 Sick Ag Process control system
WO2007074105A3 (en) * 2005-12-29 2007-08-30 Endress & Hauser Process Solut Method for monitoring installations by means of a field bus used in process automation technology
CN101351752B (en) * 2005-12-29 2012-06-13 恩德莱斯和豪瑟尔过程解决方案股份公司 Method for monitoring installations by means of a field bus used in process automation technology
US8886786B2 (en) 2005-12-29 2014-11-11 Endress + Hauser Process Solutions Ag Method for plant monitoring with a field bus of process automation technology
US8744805B2 (en) 2008-06-26 2014-06-03 Phoenix Contact Gmbh & Co. Kg Monitoring system
AT513531A1 (en) * 2012-10-18 2014-05-15 Top Services Telekom It Dienstleistungsges M B H Electronic installation system
AT14000U1 (en) * 2012-10-18 2015-02-15 Top Services Telekom It Dienstleistungsges M B H Electronic installation system

Also Published As

Publication number Publication date
DE19860358B4 (en) 2008-05-08

Similar Documents

Publication Publication Date Title
DE102009042368B4 (en) Control system for controlling safety-critical processes
EP3622357B1 (en) Control system for controlling safety-critical and non-safety-critical processes with master-slave functionality
DE102016110641B3 (en) Fieldbus module and method for operating a fieldbus system
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
EP3100121B1 (en) Method and apparatus for safely disconnecting an electrical load
DE102015108359A1 (en) Method and device for the automatic validation of safety functions on a modular safety system
DE19860358A1 (en) Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information
DE19857683B4 (en) Method for monitoring the safety of control devices
EP1086408B1 (en) Control device for a machine, system, or apparatus and a method for monitoring a control
DE102005055428B4 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
WO2009036891A1 (en) Secure data transmission method and apparatus
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
EP3940467A1 (en) Control system for controlling a device or system
EP3470937B1 (en) Method and devices for monitoring the response time of a security function provided by a security system
DE102005009707A1 (en) Modular numerical control unit
DE19913279A1 (en) Monitoring and detection unit for errors incorporates automation unit, unit and output units
DE29824256U1 (en) Unit for the safety monitoring of control devices
DE19904892A1 (en) Method for suppressing input unit errors in control devices uses memory-programmable controls to regulate bus traffic and overall data transport over a connected bus system in a master function
DE29923431U1 (en) Unit in control devices
DE102017201579A1 (en) Control device, automation system and method for operating a control device
DE202008003988U1 (en) Bus node of a Profinet bus system
DE102012001624B4 (en) Failure tolerant safety-at-work system
DE102010038484A1 (en) Plant controlling method, involves transmitting error signal to output modules independent of fixed transmission sequence, and transferring control signal to plant in safe state based on error signal
DE29923430U1 (en) Monitoring unit for safety monitoring of control devices
EP3478541B1 (en) Security device and method for operating a system

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: G05B 19048

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: PHOENIX CONTACT GMBH & CO. KG, 32825 BLOMBERG, DE

8381 Inventor (new situation)

Inventor name: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

R071 Expiry of right