[go: up one dir, main page]

WO2000038021A1 - Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem - Google Patents

Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem Download PDF

Info

Publication number
WO2000038021A1
WO2000038021A1 PCT/DE1999/003895 DE9903895W WO0038021A1 WO 2000038021 A1 WO2000038021 A1 WO 2000038021A1 DE 9903895 W DE9903895 W DE 9903895W WO 0038021 A1 WO0038021 A1 WO 0038021A1
Authority
WO
WIPO (PCT)
Prior art keywords
availability
security
central
safety
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/DE1999/003895
Other languages
English (en)
French (fr)
Inventor
Herbert Barthel
Andreas Schenk
Hartmut Schütz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of WO2000038021A1 publication Critical patent/WO2000038021A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24008Safety integrity level, safety integrated systems SIL SIS

Definitions

  • Automation system scalable in terms of availability and security
  • the present invention relates to an automation system that is scalable with regard to availability and security, at least with a central unit or a plurality of central units communicatively connected to one another, at least one decentralized peripheral module and at least one communication channel between the central unit or units and the peripheral module or modules.
  • the object of the present invention is therefore to specify an automation system which can be scaled with regard to availability and security or measures to achieve the scalability of the availability and security of such an automation system, so that, in principle, starting from an automation system using suitable components or corresponding measures the respective requirements regarding availability and security are met.
  • the automation system is understood in the following to mean a central unit or a plurality of central units communicatively connected to one another, at least one decentralized peripheral module and at least one communication channel between the central unit or units and the peripheral module or modules, in particular a programmable logic controller designed in this way.
  • decentralized peripherals - ie peripheral modules that are connected via a communication channel implemented as a fieldbus - are increasingly being used. This is also required in the case of highly available and fail-safe automation systems.
  • Standard automation systems and fail-safe automation systems with decentralized peripherals are e.g. from the
  • the automation system consists of one or more central units, one or more decentralized peripheral modules and one or more communication channels (communication media and possibly communication modules) for communication between central units and peripheral modules.
  • the peripheral modules can be available in various designs, on the one hand as a so-called compact device with a direct connection to a fieldbus, or as modular peripherals with an indirect connection to a fieldbus, together with other peripheral modules via a communication module and a corresponding subrack.
  • the scalability of the availability and security is achieved according to the invention through a redundant or non-redundant use of central units, peripheral modules. pen and communication channels, the use of either non-fail-safe standard assemblies or fail-safe special assemblies, the integration or reloading of the functionality (firmware) required for various availability and security into the assemblies, as well as the activation of the functionality required for the desired availability and security Programming or project planning.
  • the central units available for selection within the automation system according to the invention are:
  • Central units optimized in terms of availability, the availability of the central units being able to be increased by using two central units, one central unit acting as a master and the other central unit acting as a reserve.
  • the master has control of the peripheral modules, the reserve runs with (hot standby).
  • the two redundant central units communicate with each other, in particular they synchronize and exchange data that only one CPU has at a time and carry out a comparison of the data.
  • the reserve central unit takes control - i.e. it becomes the new master - if the master central unit detects an error (e.g. through a self-test) or if the master central unit stops working and a synchronization timeout is triggered in the reserve central unit. If an inadmissible deviation is found when comparing common data, an attempt is made to localize the error (e.g. by means of a self-test). Detected errors are optionally signaled to initiate repairs.
  • central units for SIL 2 Fail-safe central processing units for SIL 2, whose security can be upgraded to SIL 2 without hardware redundancy, by integrating error control measures (eg diverse processing, self-test) as standard or reloading into a standard central processing unit.
  • error control measures eg diverse processing, self-test
  • central units for SIL 2 are obtained by combining the principles of the central unit, which is optimized in terms of availability, on the one hand, and the central unit, which is optimized in terms of security, on the other.
  • a SIL 3 central unit that is optimized in terms of security differs from the central unit for SIL 2 that is optimized in terms of security and availability in that, in the event of a fault, the system does not switch to the reserve central unit, but rather the outputs are blocked.
  • a central unit optimized for safety and availability for SIL 3 differs from the central unit optimized for safety and availability for SIL 2 in that solo operation, i.e. the operating state in which the master central unit has failed and the reserve central unit alone controls the system is time-limited.
  • a first communication channel is the master channel and a second communication channel is the reserve channel.
  • the connection of non-redundant peripherals to a redundant communication channel is carried out by a changeover switch, which is implemented in the peripheral module itself or in a special coupling module. The switch monitors the functionality of the
  • Master channel and optionally also that of the reserve channel through time monitoring of the cyclical message traffic.
  • the system switches to the reserve channel.
  • a communication timeout is optionally signaled to initiate a repair.
  • communication channels optimized for use between central units optimized for security or security and availability and peripherals optimized for security or security and availability are obtained by using a special security protocol which is transparent, so that standard communication is also possible via the same communication channel.
  • security and availability communication is obtained by using the security protocol via redundant communication channels, i.e. by combining communication that is optimized with regard to security on the one hand and availability on the other.
  • FIG. 1 shows a schematic block diagram of an example automation system.
  • the example automation system according to FIG. 1 consists of two central subracks R1 and R2 and two decentralized len subracks R3 and R4.
  • the subracks R1 and R2 are supplied with operating voltage by the power supplies SV1 and SV2.
  • the R3 and R4 subracks are supplied via the IM1 and IM2 interfaces.
  • the central units CPU1 and CPU2 in the two central subracks R1 and R2 are connected to one another via a synchronization interface Sync. They work together as central units optimized for safety and availability for SIL 2.
  • the optimization in terms of availability, i.e. Background tests, synchronization, updating etc. and parts of the optimization with regard to security, i.e. essentially background tests are already integrated in the operating system of the central units. They are activated by appropriate configuration. Specific measures to increase security are loaded into the central unit as part of the respective user program.
  • Each central unit has an interface to the communication medium Kir 1, Kir 2.
  • the central processing units CPU1, CPU2 also exchange their input data via the synchronization interface Sync.
  • the interface module IM1 connects the subrack R3 to the first central processing unit CPU1 via the communication medium comm 1, the interface module IM2 connects the subrack R4 to the second central unit CPU2 via the communication medium comm 2.
  • the standard peripheral modules SM1 and SM2 provided in the R3 subrack each work as standard peripherals. Communication to the first central processing unit CPU1, which is optimized in terms of availability and security, takes place via standard communication.
  • the standard peripheral modules SM3 and SM4 provided in the R4 subrack work together as peripherals that are optimized in terms of availability. Communication to the second central processing unit CPU2, which is optimized in terms of security and availability, takes place via a communication channel which is optimized in terms of availability.
  • the fail-safe SFM1 and SFM2 I / O modules provided in the R3 subrack each work as an I / O optimized for safety.
  • the fail-safe SFM3 and SFM4 I / O modules arranged in the R4 subrack work together as peripherals that are optimized in terms of safety and availability. Communication with the second central unit CPU2, which is also optimized with regard to security and availability, accordingly also takes place via a communication channel which is optimized with regard to availability and security.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Hinsichtlich Verfügbarkeit und Sicherheit skalierbares Automatisierungssystem zumindest mit einer Zentraleinheit (CPU1) oder mehreren kommunikativ miteinander verbundenen Zentraleinheiten (CPU1, CPU2), mindestens einer dezentralen Peripheriebaugruppe und mindestens einem Kommunikationskanal zwischen der oder den Zentraleinheiten und der oder den Peripheriebaugruppen, wobei die Skalierbarkeit der Verfügbarkeit und Sicherheit durch die nachfolgenden Massnahmen erreicht wird: redundanter oder nichtredundanter Einsatz von Zentraleinheiten, Peripheriebaugruppen und Kommunikationskanälen, Einsatz nicht fehlersicherer Standard-Baugruppen oder fehlersicherer Spezialbaugruppen, Integration oder Nachladen der für verschiedene Verfügbarkeit oder Sicherheit benötigten Funktionalität in die jeweiligen Komponenten und Aktivierung der für die gewünschte Verfügbarkeit und Sicherheit erforderlichen Funktionalität durch Projektierung oder Programmierung.

Description

Beschreibung
Hinsichtlich Verfügbarkeit und Sicherheit skalierbares Automatisierungssystem
Die vorliegende Erfindung betrifft ein hinsichtlich Verfügbarkeit und Sicherheit skalierbares Automatisierungssystem zumindest mit einer Zentraleinheit oder mehreren kommunikativ miteinander verbundenen Zentraleinheiten, mindestens einer dezentralen Peripheriebaugruppe und mindestens einem Kommunikationskanal zwischen der oder den Zentraleinheiten und der oder den Peripheriebaugruppen.
An hochverfügbare und fehlersichere Automatisierungssysteme werden die unterschiedlichsten Anforderungen hinsichtlich Verfügbarkeit (z.B. standardmäßig, erhöht oder hoch, redundante Ausführung der Zentraleinheit redundant oder auch redundante Ausführung der Peripherie) und Sicherheit (z.B. SIL 2 oder SIL 3, SIL = Safety Integrity Level) gestellt. Es hat sich jedoch herausgestellt, daß es einen erheblichen Aufwand bedeutet, für mehrere Varianten oder gar jede denkbare Variante ein eigenes Automatisierungssystem zu entwickeln.
Die Aufgabe der vorliegenden Erfindung besteht folglich dar- in, ein hinsichtlich Verfügbarkeit und Sicherheit skalierbares Automatisierungssystem bzw. Maßnahmen zum Erreichen der Skalierbarkeit der Verfügbarkeit und Sicherheit eines solchen Automatisierungssystems anzugeben, so daß grundsätzlich von einem Automatisierungssystem ausgehend unter Verwendung ge- eigneter Komponenten oder entsprechender Maßnahmen die jeweiligen Erfordernisse hinsichtlich Verfügbarkeit und Sicherheit erfüllt werden.
Diese Aufgabe wird durch ein skalierbares Automatisierungssy- stem gemäß Anspruch 1 gelöst. Als Automatisierungssystem wird im folgenden eine Zentraleinheit oder mehrere kommunikativ miteinander verbundene Zentraleinheiten, mindestens eine dezentrale Peripheriebaugruppe und mindestens ein Kommunikationskanal zwischen der oder den Zentraleinheiten und der oder den Peripheriebaugruppen, insbesondere eine derart ausgestaltete speicherprogrammierbare Steuerung, verstanden. Bei derartigen Automatisierungssystemen wird zunehmend dezentrale Peripherie - d.h. Peripheriebaugruppen, die über einen als Feldbus realisierten Kommuni- kationskanal angeschlossen sind - eingesetzt. Dies wird auch bei hochverfügbaren und fehlersicheren Automatisierungssyste- iαen gefordert.
Standard-Automatisierungssysteme und fehlersichere Automati- sierungssysteme mit dezentraler Peripherie sind z.B. aus der
DE 36 33 953, der DE 41 02 444 und der DE 44 01 467 bekannt.
Nicht bekannt sind hingegen bisher Automatisierungssysteme mit dezentraler Peripherie, die hinsichtlich ihrer Verfügbar- keit und Sicherheit skalierbar sind.
Das erfindungsgemäße Automatisierungssystem besteht aus einer oder mehreren Zentraleinheiten, einer oder mehreren dezentralen Peripheriebaugruppen sowie einem oder mehreren Kommunika- tionskanälen (Kommunikationsmedien und gegebenenfalls Kommunikationsbaugruppen) zur Kommunikation zwischen Zentraleinheiten und Peripheriebaugruppen. Die Peripheriebaugruppen können in verschiedenen Bauformen vorliegen und zwar einerseits als sogenanntes Kompaktgerät mit direktem Anschluß an einen Feldbus oder aber als modulare Peripherie mit indirektem Anschluß an einen Feldbus und zwar zusammen mit anderen Peripheriebaugruppen über eine Kommunikationsbaugruppe und einen entsprechenden Baugruppenträger.
Die Skalierbarkeit der Verfügbarkeit und Sicherheit wird erfindungsgemäß erreicht durch einen redundanten oder nichtredundanten Einsatz von Zentraleinheiten, Peripheriebaugrup- pen und Kommunikationskanälen, den Einsatz entweder nicht fehlersicherer Standardbaugruppen oder fehlersicherer Spe- zialbaugruppen, die Integration oder das Nachladen der für verschiedene Verfügbarkeit und Sicherheit benötigten Funktio- nalität (firmware) in die Baugruppen sowie die Aktivierung der für die gewünschte Verfügbarkeit und Sicherheit erforderlichen Funktionalität durch Programmierung oder Projektierung.
Die im Rahmen des erfindungsgemäßen Automatisierungssystems zur Auswahl stehenden Zentraleinheiten sind
- Standard-Zentraleinheiten,
- hinsichtlich der Verfügbarkeit optimierte Zentraleinheiten, wobei die Verfügbarkeit der Zentraleinheiten durch den Ein- satz zweier Zentraleinheiten erhöht werden kann, indem eine Zentraleinheit als Master und die andere Zentraleinheit als Reserve fungiert. Der Master hat die Kontrolle über die Peripheriebaugruppen, die Reserve läuft mit (Hot Standby) . Die beiden redundanten Zentraleinheiten kommunizieren mit- einander, insbesondere synchronisieren sie sich und tauschen solche Daten aus, über die nur jeweils eine CPU verfügt und führen einen Vergleich der Daten durch. Die Reservezentraleinheit übernimmt die Kontrolle - d.h. sie wird zum neuen Master - wenn die Master-Zentraleinheit einen Fehler erkennt (z.B. durch Selbsttest) oder wenn die Master-Zentraleinheit nicht mehr arbeitet und daher in der Reservezentraleinheit ein Synchronisations-Timeout ausgelöst wird. Wenn beim Vergleich gemeinsamer Daten eine unzulässige Abweichung festgestellt wird, wird versucht, den Fehler zu lokalisieren (z.B. durch Selbsttest). Dabei werden erkannte Fehler optional signalisiert, um eine Reparatur zu veranlassen.
- Fehlersichere Zentraleinheiten für SIL 2, deren Sicherheit ohne Hardwareredundanz auf SIL 2 gebracht werden kann, in- dem Fehlerbeherrschungsmaßnahmen (z.B. diversitäre Verarbeitung, Selbsttest) bereits standardmäßig integriert oder in eine Standard-Zentraleinheit nachladbar sind. - Sowohl hinsichtlich Verfügbarkeit als auch hinsichtlich Sicherheit optimierte Zentraleinheiten für SIL 2 erhält man durch Kombination der Prinzipien der hinsichtlich der Verfügbarkeit optimierten Zentraleinheit einerseits und der hinsichtlich der Sicherheit optimierten Zentraleinheit andererseits .
- Eine hinsichtlich Sicherheit optimierte Zentraleinheit SIL 3 unterscheidet sich von der hinsichtlich Sicherheit und Verfügbarkeit optimierten Zentraleinheit für SIL 2 dadurch, daß im Fehlerfall nicht auf die Reservezentraleinheit umgeschaltet wird, sondern die Ausgaben gesperrt werden.
- Eine hinsichtlich Sicherheit und Verfügbarkeit optimierte Zentraleinheit für SIL 3 unterscheidet sich von der hinsichtlich Sicherheit und Verfügbarkeit optimierten Zen- traleinheit für SIL 2 dadurch, daß der Solobetrieb, d.h. der Betriebszustand, in dem die Master-Zentraleinheit ausgefallen ist und die Reservezentraleinheit die Steuerung der Anlage allein übernimmt, zeitbegrenzt ist.
Bei den zur Verfügung stehenden Peripheriebaugruppen wird unterschieden zwischen
- Standardperipherie,
- hinsichtlich der Verfügbarkeit optimierter Peripherie, wobei die Verfügbarkeit der Peripheriebaugruppen durch den Einsatz zweier Standard-Peripheriebaugruppen erhöht werden kann und die Zentraleinheit bei Eingängen einer Diskrepanzanalyse durchführt,
- hinsichtlich Sicherheit optimierter Peripheriebaugruppen, deren Sicherheit z.B. durch interne Redundanz und/oder Selbsttests erreicht wird und
- sowohl hinsichtlich Verfügbarkeit als auch Sicherheit optimierter Peripherie, die sich aus der Kombination der Prinzipien der hinsichtlich der Verfügbarkeit optimierten Peripheriebaugruppen einerseits und der hinsichtlich der Si- cherheit optimierten Peripheriebaugruppen andererseits ergibt. Als Kommunikationskanäle stehen zur Verfügung
- Standardkommunikationskanäle,
- Hinsichtlich der Verfügbarkeit durch Redundanz optimierte Kommunikationskanäle, bei denen ein erster Kommunikations- kanal der Master-Kanal und ein zweiter Kommunikationskanal der Reservekanal ist. Die Ankopplung nichtredundanter Peripherie an einen redundanten Kommunikationskanal erfolgt durch einen Umschalter, der in der Peripheriebaugruppe selbst oder einer speziellen Kopplungsbaugruppe realisiert ist. Der Umschalter überwacht die Funktionsfähigkeit des
Master-Kanals und optional auch die des Reservekanals durch eine Zeitüberwachung des zyklischen Nachrichtenverkehrs. Bei einem Kommunikations-Timeout des Master-Kanals wird auf den Reservekanal umgeschaltet. Ein Ko munikations-Timeout wird optional signalisiert, um eine Reparatur zu veranlassen.
- Hinsichtlich der Sicherheit optimierte Kommunikationskanäle zum Einsatz zwischen hinsichtlich Sicherheit oder Sicherheit und Verfügbarkeit optimierten Zentraleinheiten und hinsichtlich Sicherheit oder Sicherheit und Verfügbarkeit optimierter Peripherie erhält man durch Einsatz eines speziellen Sicherheitsprotokolls, das transparent ist, so daß über denselben Kommunikationskanal auch eine Standardkommunikation möglich ist. - Hinsichtlich Sicherheit und Verfügbarkeit optimierte Kommunikation erhält man durch den Einsatz des Sicherheitsprotokolls über redundante Kommunikationskanäle, d.h. durch Kombination von hinsichtlich Sicherheit einerseits und Verfügbarkeit andererseits optimierter Kommunikation.
Ein Ausführungsbeispiel der Erfindung wird nachstehend anhand der Zeichnung näher erläutert. Dabei zeigt
FIG 1 ein schematisches Blockschaltbild eines Beispielautomatisierungssystems .
Das Beispielautomatisierungssystem gemäß FIG 1 besteht aus zwei zentralen Baugruppenträgern Rl und R2 und zwei dezentra- len Baugruppenträgern R3 und R4. Die Baugruppenträger Rl und R2 werden von den Stromversorgungen SV1 bzw. SV2 mit Betriebsspannung versorgt. Die Versorgung der Baugruppenträger R3 und R4 erfolgt über die Anschaltungen IM1 bzw. IM2.
Die Zentraleinheiten CPUl und CPU2 in den beiden zentralen Baugruppenträgern Rl bzw. R2 sind über eine Synchronisationsschnittstelle Sync miteinander verbunden. Sie arbeiten zusammen als hinsichtlich Sicherheit und Verfügbarkeit optimierte Zentraleinheiten für SIL 2.
Die Optimierung hinsichtlich der Verfügbarkeit, d.h. Hintergrundtests, Synchronisation, Aufdaten etc. und Teile der Optimierung hinsichtlich der Sicherheit, d.h. im wesentlichen Hintergrundtests, sind bereits in das Betriebssystem der Zentraleinheiten integriert. Sie werden durch entsprechende Projektierung aktiviert. Konkrete Maßnahmen zur Erhöhung der Sicherheit werden als Teile des jeweiligen Anwenderprogramms in die Zentraleinheit geladen.
Jede Zentraleinheit hat eine Schnittstelle zum Kommunikationsmedium Komm 1, Komm 2. Über die Synchronisationsschnittstelle Sync tauschen die Zentraleinheiten CPUl, CPU2 auch ihre Eingangsdaten aus.
Die Anschaltung IM1 verbindet den Baugruppenträger R3 über das Kommunikationsmedium Komm 1 mit der ersten Zentraleinheit CPUl, die Anschaltung IM2 verbindet den Baugruppenträger R4 über das Kommunikationsmedium Komm 2 mit der zweiten Zen- traleinheit CPU2.
Die im Baugruppenträger R3 vorgesehenen Standard-Peripheriebaugruppen SM1 und SM2 arbeiten jeweils als Standard-Peripherie. Die Kommunikation zur hinsichtlich Verfügbarkeit und Si- cherheit optimierten ersten Zentraleinheit CPUl erfolgt über Standard-Kommunikation. Die im Baugruppenträger R4 vorgesehenen Standard-Peripheriebaugruppen SM3 und SM4 arbeiten zusammen als hinsichtlich der Verfügbarkeit optimierte Peripherie. Die Kommunikation zur hinsichtlich Sicherheit und Verfügbarkeit optimierten zweiten Zentraleinheit CPU2 erfolgt über einen hinsichtlich Verfügbarkeit optimierten Kommunikationskanal.
Die im Baugruppenträger R3 vorgesehenen fehlersicheren Peripheriebaugruppen SFM1 und SFM2 arbeiten jeweils als hinsicht- lieh der Sicherheit optimierte Peripherie. Die Kommunikation zur hinsichtlich Verfügbarkeit und Sicherheit optimierten ersten Zentraleinheit CPUl erfolgt über einen hinsichtlich Sicherheit optimierten Kommunikationskanal.
Die im Baugruppenträger R4 angeordneten fehlersicheren Peripheriebaugruppen SFM3 und SFM4 arbeiten zusammen als hinsichtlich Sicherheit und Verfügbarkeit optimierte Peripherie. Die Kommunikation zur gleichfalls hinsichtlich Sicherheit und Verfügbarkeit optimierten zweiten Zentraleinheit CPU2 erfolgt dementsprechend ebenfalls über einen hinsichtlich Verfügbarkeit und Sicherheit optimierten Kommunikationskanal.

Claims

Patentansprüche
1. Hinsichtlich Verfügbarkeit und Sicherheit skalierbares Automatisierungssystem zumindest mit - einer Zentraleinheit (CPUl) oder mehreren kommunikativ miteinander verbundenen Zentraleinheiten (CPUl, CPU2) , mindestens einer dezentralen Peripheriebaugruppe und mindestens einem Kommunikationskanal zwischen der oder den Zentraleinheiten und der oder den Peripheriebaugruppen, wobei die Skalierbarkeit der Verfügbarkeit und Sicherheit durch die nachfolgenden Maßnahmen erreicht wird: redundanter oder nichtredundanter Einsatz von Zentraleinheiten, Peripheriebaugruppen und Kommunikationskanälen, Einsatz nicht fehlersicherer Standard-Baugruppen oder feh- lersicherer Spezialbaugruppen,
Integration oder Nachladen der für verschiedene Verfügbarkeit oder Sicherheit benötigten Funktionalität in die jeweiligen Komponenten und - Aktivierung der für die gewünschte Verfügbarkeit und Si- cherheit erforderlichen Funktionalität durch Projektierung oder Programmierung.
PCT/DE1999/003895 1998-12-18 1999-12-06 Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem Ceased WO2000038021A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19858645 1998-12-18
DE19858645.0 1998-12-18

Publications (1)

Publication Number Publication Date
WO2000038021A1 true WO2000038021A1 (de) 2000-06-29

Family

ID=7891689

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1999/003895 Ceased WO2000038021A1 (de) 1998-12-18 1999-12-06 Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem

Country Status (1)

Country Link
WO (1) WO2000038021A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1596262A1 (de) * 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Sicherheitsgerichtete Übertragung von Daten
EP1999544A4 (de) * 2006-02-23 2010-05-05 Rockwell Automation Tech Inc Grafische sicherheit-versus-verfügbarkeit-benutzeroberfläche
EP1826641B1 (de) * 2003-09-30 2010-11-03 Rockwell Automation Technologies, Inc. Sicherheitssteuerung zur Bereitstellung einer schnellen Wiederherstellung von Sicherheitsprogrammdaten

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0497147A2 (de) * 1991-01-28 1992-08-05 Siemens Aktiengesellschaft Redundantes Automatisierungssystem
DE4312305A1 (de) * 1993-04-15 1994-10-27 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
EP0640899A1 (de) * 1993-08-24 1995-03-01 Landis & Gyr Technology Innovation AG Verfahren zur Programmierung eines Speichermittels und Einrichtung zur Durchführung des Verfahrens
DE4416795A1 (de) * 1994-05-06 1995-11-16 Mannesmann Ag Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
US5592373A (en) * 1993-11-18 1997-01-07 Siemens Aktiengesellschaft Method and apparatus for configuring an automation system
WO1997026587A1 (de) * 1996-01-17 1997-07-24 Siemens Aktiengesellschaft Automatisierungsgerät
DE19701323A1 (de) * 1997-01-16 1998-07-23 Hartmann & Braun Gmbh & Co Kg Verfahren und Vorrichtung zur Aktualisierung der Betriebssoftware

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0497147A2 (de) * 1991-01-28 1992-08-05 Siemens Aktiengesellschaft Redundantes Automatisierungssystem
DE4312305A1 (de) * 1993-04-15 1994-10-27 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
EP0640899A1 (de) * 1993-08-24 1995-03-01 Landis & Gyr Technology Innovation AG Verfahren zur Programmierung eines Speichermittels und Einrichtung zur Durchführung des Verfahrens
US5592373A (en) * 1993-11-18 1997-01-07 Siemens Aktiengesellschaft Method and apparatus for configuring an automation system
DE4416795A1 (de) * 1994-05-06 1995-11-16 Mannesmann Ag Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
WO1997026587A1 (de) * 1996-01-17 1997-07-24 Siemens Aktiengesellschaft Automatisierungsgerät
DE19701323A1 (de) * 1997-01-16 1998-07-23 Hartmann & Braun Gmbh & Co Kg Verfahren und Vorrichtung zur Aktualisierung der Betriebssoftware

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1826641B1 (de) * 2003-09-30 2010-11-03 Rockwell Automation Technologies, Inc. Sicherheitssteuerung zur Bereitstellung einer schnellen Wiederherstellung von Sicherheitsprogrammdaten
EP2273331A1 (de) * 2003-09-30 2011-01-12 Rockwell Automation Technologies, Inc. Sicherheitssteuerung zur Bereitstellung einer schnellen Wiederherstellung von Sicherheitsprogrammdaten
EP1596262A1 (de) * 2004-05-10 2005-11-16 Siemens Aktiengesellschaft Sicherheitsgerichtete Übertragung von Daten
CN100382474C (zh) * 2004-05-10 2008-04-16 西门子公司 安全传输数据的系统和方法
US7453902B2 (en) 2004-05-10 2008-11-18 Siemens Aktiengesellschaft Failsafe transmission of data
EP1999544A4 (de) * 2006-02-23 2010-05-05 Rockwell Automation Tech Inc Grafische sicherheit-versus-verfügbarkeit-benutzeroberfläche

Similar Documents

Publication Publication Date Title
DE3208573A1 (de) 2 aus 3-auswahleinrichtung bei einem 3-rechnersystem
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP0092719B1 (de) Anordnung zur Kopplung von digitalen Verarbeitungseinheiten
EP1174781A2 (de) Einrichtung zur Signalübertragung
DE4416795C2 (de) Redundant konfigurierbares Übertragungssystem zum Datenaustausch und Verfahren zu dessen Betrieb
EP2491492B1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
EP0109981B1 (de) Ausfallgesicherte Datenverarbeitungsanlage
EP3214512B1 (de) Redundantes steuersystem für einen aktor und verfahren zu seiner redundanten steuerung
EP0846290B1 (de) Einrichtung zur einkanaligen übertragung von aus zwei datenquellen stammenden daten
EP2480940B1 (de) Verfahren zum bereitstellen von sicherheitsfunktionen
EP1743225A1 (de) Redundantes automatisierungssystem umfassend ein master- und ein stand-by-automatisierungsgerät
EP0543820B1 (de) Mehrrechnersystem hoher sicherheit mit drei rechnern
WO2000038021A1 (de) Hinsichtlich verfügbarkeit und sicherheit skalierbares automatisierungssystem
EP0647890A1 (de) Verarbeitungsmodul für ein modulares Automatisierungssystem
EP0358785B1 (de) Einrichtung zum Betrieb eines redundanten Mehrrechnersystems für die Steuerung eines elektronischen Stellwerkes in der Eisenbahnsignaltechnik
EP1526420B1 (de) Synchronisationsverfahren für ein hochverfügbares Automatisierungssystem
DE10247520A1 (de) Verfahren und Einrichtung zur Prozessautomatisierung mit Steuergeräten zur Ansteuerung von Peripheriegeräten über ein Bussystem
EP1485765A2 (de) Sensor-maschinen-interface und verfahren zu dessen betrieb
DE10246007A1 (de) Kommunikationssystem
EP1089190A2 (de) Verfahren zum Betrieb einer Kopplungsschaltung für ein Bussystem sowie entsprechende Schaltung
DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
WO1997022057A1 (de) Verfahren zur adresseinstellung an bussystemen mit paralleler verdrahtung und vorrichtung zur durchführung des verfahrens
DE3108870C2 (de) Verfahren zur Funktionsprüfung eines Multiplexers
DE3010803C2 (de) Schalteinrichtung für ein Dreirechner-System in Eisenbahnanlagen
DE10025283B4 (de) Vorrichtung zur dynamischen Verbindung von mindestens zwei Datenringzellen

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): CN CZ KR US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase