WO2007107271A1 - Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers - Google Patents

Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers Download PDF

Info

Publication number
WO2007107271A1
WO2007107271A1 PCT/EP2007/002235 EP2007002235W WO2007107271A1 WO 2007107271 A1 WO2007107271 A1 WO 2007107271A1 EP 2007002235 W EP2007002235 W EP 2007002235W WO 2007107271 A1 WO2007107271 A1 WO 2007107271A1
Authority
WO
WIPO (PCT)
Prior art keywords
secure
subscriber
location identifier
communication
control device
Prior art date
Application number
PCT/EP2007/002235
Other languages
English (en)
French (fr)
Inventor
Viktor Oster
Joachim Schmidt
Steffen Horn
Original Assignee
Phoenix Contact Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact Gmbh & Co. Kg filed Critical Phoenix Contact Gmbh & Co. Kg
Priority to EP07723245A priority Critical patent/EP1996983B1/de
Priority to US12/293,457 priority patent/US8134448B2/en
Priority to CN200780010085XA priority patent/CN101405666B/zh
Priority to JP2009500739A priority patent/JP4827964B2/ja
Priority to AT07723245T priority patent/ATE511727T1/de
Publication of WO2007107271A1 publication Critical patent/WO2007107271A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • H04L12/423Loop networks with centralised control, e.g. polling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25111Using broadcast message

Definitions

  • the invention relates to a method for checking the installation location of at least one safe, connected to a control and data transmission system
  • Control and data transmission systems today occupy an outstanding position in industrial production and plant control due to the high degree of automation that is possible with it.
  • Very common is the use of a communication system, via which a plurality of decentralized input and output units are connected to a central control device.
  • automation systems In order to comply with safety standards when carrying out safety-critical processes, automation systems primarily use communication systems that include, for example, a CAN bus, Profibus or INTERBUS in conjunction with safety-related bus components.
  • safety-related processes protective gratings and protective doors are monitored, for example, and two-hand switches and emergency stop switches are activated.
  • the bus components connected to such a communication system are also referred to below as Subscriber or bus user called.
  • Safety-related bus components are also referred to as safe bus subscribers, which can be connected to non-secure bus subscribers in such a communication system.
  • EP 1 206 868 Bl a method for configuring a secure bus subscriber as well as a control system is known which has such a bus subscriber.
  • a management unit for the allocation of subscriber addresses is provided, which is connected to the bus.
  • a special maintenance mode is provided, in which maintenance telegrams are sent via the bus.
  • Receipt of such a service telegram is sent by a secure bus subscriber a logon message to the administrative unit, which includes a specified universal address. If the administrative unit in turn receives such an incoming message telegram with an included universal address, it sends back an address-switching telegram with a defined subscriber address to the secure bus subscriber, where it is stored.
  • DE 199 34 514 C1 discloses a method for configuring a secure bus subscriber connected to a field bus, which method provides for the transmission of a logical and a physical address to the secure bus subscriber by an address assignment unit.
  • the transmitted physical address is verified on the basis of an actual physical position of the secure bus subscriber and the logical address is stored as a function of the verification in a memory of the bus subscriber.
  • Bus subscribers have a secure communication layer, which is also called Safety Communication Layer Slave (SCLS), in order to be able to generate and exchange more secure messages.
  • SCLS Safety Communication Layer Slave
  • the fieldbus also has an Interbus master connected to it
  • Control unit is associated with a secure Kirun ⁇ kations layer, which is also called Safety Communication Layer Master (SCLM).
  • SCLM Safety Communication Layer Master
  • the SCLS is assigned a connection ID for each secure bus participant. The connection ID ensures that the SCLM can always communicate with a desired SCLS.
  • the present invention is therefore an object of the invention to provide a method and a control and data transmission system, with which a reliable verification of the installation of a secure participant is possible at any time.
  • An essential idea of the invention is to transmit a location identifier to a secure subscriber in two independent communication cycles and then to establish a relationship between the subscriber assigned to the secure subscriber
  • Communication control device is turned on, which is associated with a secure control device.
  • the non-secure communication control device knows the position of each connected subscriber in the control and
  • a first configuration data record is stored, the information about the position of all connected participants posted the control and data transmission system and an individual location identifier for each secure subscriber contains.
  • the configuration data set can be created by a user who wants to configure the control and data transmission system according to his ideas.
  • the first configuration data set preferably reflects the configured one
  • a second configuration record is stored in the secure controller.
  • the second configuration data record contains a list of only the switched-on secure subscribers and an individual location identifier for each secure subscriber.
  • Location identifiers are transmitted in secure messages from the secure controller to the non-secure communications controller. Now, in a second communication cycle, the individual location identifiers contained in the received secure messages are not secure
  • Each secure subscriber compares the received in the first and second communication cycle individual location identifiers. If a secure subscriber determines a match between the individual location identifiers, it is checked whether a reference location identifier has already been stored in the respective secure subscriber. If a reference location identifier is stored in the respective secure subscriber, the individual location identifier which has been received in the first or in the second communication cycle is compared with the reference location identifier. If the individual location identifier agrees with the stored reference location identifier of the respective secure subscriber, the secure controller is signaled that the respective secure bus subscriber is switched on at the predetermined installation location.
  • the procedure for checking the installation location of a secure bus subscriber is also suitable for reliably checking during the first startup of the control and data transmission system whether all the safe participants are also connected to the installation locations specified by the user during the configuration phase.
  • the individual transmitted in the first or second communication cycle Location identifier stored as a reference location identifier in the respective secure subscriber if so far no reference location identifier or alternatively a predetermined standard reference location identifier has been stored.
  • the secure control device receives from the respective secure subscriber a secure message containing information that the transmitted in the first and second communication cycle location identifiers match and that no reference location identifier is stored in each secure subscriber.
  • the secure controller informs an operator that the location identifiers transmitted in the first and second communication cycles match and that no reference location identifier is yet in the respective secure location
  • the secure controller then requests the operator to confirm that the respective secure subscriber is turned on at the predetermined location.
  • the reference location identifier stored in the respective secure subscriber is compared with the individual location identifier. If the reference location identifier does not match the individual location identifier, the reference location identifier is overwritten by the respective individual location identifier.
  • the respective secure subscriber then sends a secure message to the secure controller containing information that the individual location identifiers received in the first and second communication cycles do not match the stored reference location identifier.
  • the secure controller may appropriately inform and prompt the operator to confirm the location of installation of the particular secure bus subscriber.
  • connection IDs can be agreed according to the method described in DE 10 2005 019970 A1 between the secure subscribers and the secure control device.
  • the present method for checking the installation location it is possible to detect errors in the configuration of the control and data transmission system, the structure and addressing of the control and data transmission system as well as other user errors. This can avoid that the control and data transmission system damaged and / or operators are injured.
  • the respective secure subscribers and / or the control and data transmission system are transferred to a safe state if the operator does not confirm that the respective secure subscriber is turned on at the predetermined location, or if the respective secure subscriber does not match the first and second Communication cycle transmitted individual location identifiers.
  • the reference location identifier is replaced in the respective secure subscriber only by the individual location identifier when the operator has previously confirmed that the respective secure subscriber is turned on at the predetermined location.
  • control and data transmission system is annular and designed as a field bus in accordance with the Interbus standard. In this case, those connected to the fieldbus must be connected
  • Subscribers who are also called bus subscribers, are not assigned subscriber addresses. Because the Interbus works in the manner of a shift register, in which the bus participants are annularly connected to each other and form the individual memory locations of the shift register.
  • the non-secure correspondence controller may become aware of the position of all bus subscribers during an identification cycle and / or data cycle, both in terms of ID shift shift registers and position in the data cycle shift register. If an Interbus is used as a control and data transmission system, the first communication cycle corresponds to the ID cycle and the second communication cycle corresponds to the data cycle of the Interbus
  • the individual location identifiers destined for the secure bus subscribers connected to the fieldbus are transmitted at the corresponding locations within a sum frame from the non-secure communication control device to the respective secure bus subscribers.
  • the serial number stored in the secure bus subscriber and at least one subscriber-specific parameter, in particular the manufacturer identifier and the device type, are transmitted in at least one secure message to the secure control device.
  • the serial number is added to the second configuration record if the subscriber-specific parameters contained in the secure message match the subscriber-specific parameters stored in the secure controller with respect to the respective secure subscriber. In this way, the registration of the respective secure bus subscriber takes place at the control and data transmission system.
  • the location identifiers to be transmitted by the non-secure communication control unit in the second communication cycle can first be extracted from the secure messages coming from the secure control device and embedded in new secure messages and then transmitted to the respective secure bus subscriber.
  • the present method can ensure that the secure messages transmitted by the secure control device to the non-secure control device and containing the individual location identifiers are forwarded unread to the respective secure users.
  • the control and data transmission system has a
  • the non-secure communication control device knows the position of all connected to a transmission medium participants. Furthermore, the non-secure communication control device has a memory device for storing a first configuration data record, the information about the position of all connected participants, which are safe and / or non-secure participants, with respect to the control and
  • the non-secure communication control device is assigned a secure control device which has a memory device for storing a second configuration data record which contains a list of only the switched-on secure subscribers and an individual location identifier for each secure subscriber.
  • the secure controller is for generating and transmitting a secure message containing the individual location identifier of a secure subscriber to the non-secure
  • the non-secure controller is configured to transmit individual location identifiers to secure bus subscribers during a first communication cycle and transmit the individual location identifiers from the secure controller to the secure bus subscribers during a second communication cycle.
  • Each secure user has memory means for storing a reference location identifier, means for comparing the individual location identifier received during the first and second communication cycles, means for comparing the received individual location identifiers with a reference location identifier, and means for transmitting a secure message secure control device, wherein the secure message contains information about the comparison results.
  • the secure controller may, in response to the secure message received from a secure subscriber, prompt an operator to confirm that the secure bus subscriber is at the predetermined location.
  • a device for transferring a secure subscriber and / or the control and data transmission system to a safe state, if the operator is not confirmed in that the corresponding secure bus subscriber is switched on at the predetermined installation location, or if the respective secure bus subscriber determines that the individual location identifiers transmitted in the first and second communication cycle do not match.
  • the secure control device is preferably connected via a coupling memory with the non-secure communication control device.
  • a programmable control unit may be provided, which in response to the fact that in the first and second communication cycle to a secure Subscribers transmitted individual location identifiers do not match the reference location identifier causes the respective secure bus subscriber to overwrite the reference location identifier by the individual location identifier.
  • Fig. 1 is an exemplary control
  • FIG. 2 shows a detailed block diagram of the secure bus subscriber shown in FIG. 1
  • FIG. 3 shows a summation frame transmitted during an identification cycle according to the Interbus data transmission system.
  • Fig. 1 shows a schematic representation of a generally designated 10 control and data transmission system in which bus participants are connected to each other annular.
  • the control and data transmission system 10 in the present example is an Interbus transmission system in which the invention is implemented.
  • the Interbus transmission system is described, for example, in the textbook "Interbus-S: Fundamentals and Practice” by A. Baginski et al., 1994 Huthig Buchverlag GmbH, Heidelberg.
  • the Interbus transmission system 10 shown in FIG. 1 comprises a bus subscriber 30 which is not secure Communication control device acts, and hereinafter briefly called Intersbus master.
  • the Interbus master 30 is connected to a field bus 70 of the Interbus transmission system 10 and connected, for example via a coupling memory 40 with a secure control device 50.
  • the secure controller 50 is a device with a security communications layer. This is also known as SCLM (Safety Communication Layer Master).
  • SCLM Safety Communication Layer Master
  • the secure control device 50 is required in order to be able to control safety-critical processes via the non-secure Interbus master 30.
  • the field bus 70 is symbolically represented by two rings 71 and 72 which, according to the Interbus protocol, represent a first communication cycle, known as the identification cycle, and a second communication cycle, known as a data cycle.
  • the bus subscriber 60 is a secure bus subscriber, via which security-critical processes can be carried out in conjunction with the secure control device 50.
  • the secure bus subscriber 60 may be a slave with a security communication layer, which is also known as SCLS (Safety Communication * Layer Slave).
  • SCLS Safety Communication * Layer Slave
  • Reference numerals 20 and 25 symbolically represent a software tool with the aid of which a user can configure the Interbus transmission system 10.
  • the Interbus transmission system 10 is known to one of ordinary skill in the art, it will suffice to point out that the Interbus is a kind of shift register, in which the bus participants are annularly connected to each other and form the individual memory locations of the shift register. Due to this shift register structure, no user addresses for the connected bus users are required on the Interbus. Instead, the Interbus master 30 learns the positions of the individual bus users in the ring during an identification cycle, referred to below as an ID cycle for short. The arrangement of the bus stations in the Interbus is then stored as a process picture in the Interbus master 30. The Interbus master 30 can thus send data to each connected bus user by writing the data intended for the bus users into corresponding points of a frame forming a summation frame which is sent by the field bus 70. The bus participants are able to read the data intended for them from the telegram.
  • FIGS. 3 and A show exemplary summation frames which are constructed in accordance with the Interbus protocol and additionally contain location identifiers for the respective secure bus subscribers.
  • the secure bus subscriber 60 shown in FIG. 1 is shown in more detail.
  • the secure bus subscriber 60 has two shift register sections.
  • the shift register section labeled 80 and 82 is looped into the field bus 70 during one ID cycle, while the other shift register section labeled 84 and 86 is looped into field bus 70 during a data cycle.
  • the shift register section located in the fieldbus 70 during the identification cycle has a control register 80 and an ID register 82.
  • the one during a data cycle in the field bus 70 shift register section has an input register 84 and an output register 86.
  • In the input register 84 the input data coming from the Interbus master 30 are read, while in the output register 86, for example, process data are stored, which are intended for the Interbus master 30.
  • the secure bus subscriber 60 has a section 65 which essentially contains the safety-relevant part of the bus subscriber. However, the selected structure of the secure bus subscriber is only to be understood as an example.
  • the secure bus subscriber 60 has a memory 88, in which, as will be explained in more detail below, a location identifier can be stored, which we will transfer during an ID cycle from the Interbus master 30 to the secure bus station 60.
  • a further memory 94 is provided, in which a location identifier can be stored, which is transmitted to the secure bus subscriber 60 during a data cycle.
  • a memory 96 is provided in which a reference location identifier can be stored.
  • a comparator 92 is provided which the
  • Memory contents of the memory 88 and 94 can compare with each other.
  • the comparator 92 is further configured to compare the memory contents of the memory 94 or the memory contents of the memory 88 with the memory contents of the memory 96.
  • the control of the bus device 60 and the comparator 92 takes over, for example, a microprocessor 90.
  • the safety-relevant part 65 of the secure bus device 60 is used in conjunction with the secure control device 50 to check whether the secure bus device 60 actually at the installation of the field bus 70th is turned on, which has provided a user.
  • the microprocessor 90 can ensure that secure Messages may be generated into the predetermined information, such as "the memory contents of the memories 88 and 94 match ' 1 ,” the memory contents of the memories 88 and 94 do not match “," the memory contents of the memories 88 and 96 are the same " or "the memory contents of the memories 88 and 96 do not match,” may be embedded and transmitted to the secure controller 50.
  • the configuration of the Interbus transmission system 10 is created with the aid of the software tool 20.
  • a bus subscriber to be connected to the field bus 70 for each bus subscriber to be connected to the field bus 70, a
  • a configuration record This contains, inter alia, information about the position of each connected to the field bus 70 bus station.
  • the positions of the bus users result from the sequence in which the bus users are stored in the configuration data sets.
  • the configuration data sets contain an individual location identifier for each secure bus subscriber.
  • the bus subscribers a and b are designed as secure subscribers to which the individual location identifier 1 or 2 has been assigned.
  • Bus subscriber c is implemented as a non-secure bus subscriber. Mention should also be made that the bus subscriber specified under Others in the software tool 20 corresponds to the secure bus subscriber 60.
  • each secure bus subscriber a and b advantageously also contains the associated device type and the manufacturer identifier.
  • the configuration data record of each secure bus subscriber a and b advantageously also contains the associated device type and the manufacturer identifier.
  • step 2 the configuration data sets belonging to the secure bus subscribers a and b are now transferred to the secure programming environment 25.
  • Bus subscribers are listed here in the configuration data records in an order that corresponds to the sequence in which the secure bus subscribers are connected to each other on the fieldbus 70.
  • step 3a all are then created in the software tool 20
  • Configuration data sets that record both the secure and the non-secure bus users are stored in the Interbus master 30.
  • step 3b the configuration data sets of the secure bus subscribers a 'and b stored in the secure programming level 25 are written to the secure control device 50.
  • the Interbus master 30 knows the physical position of the bus users connected to the field bus 70 both in the
  • the Interbus master 30 now creates a summation frame, which is shown by way of example in FIG.
  • the summation frame is preceded by a so-called loopback word to which the control information fields of the bus subscribers connected to the field bus 70 are connected in an order resulting from the physical position of the respective bus subscribers in the field bus 70 known to the Interbus master 30 ,
  • the secure bus subscriber 60 is the last bus subscriber connected in the field bus 70, so that the control information intended for this bus subscriber is arranged immediately after the loopback word.
  • control infomations may include an ID code, other control data, and the location identifier 1 of the bus user 60.
  • the non-secure bus subscriber c is connected directly to the bus subscriber 60 to the field bus 70, so that the associated control information in the following control information field are stored. Since the secure bus subscriber b is the first bus subscriber with respect to the communication direction in the fieldbus, his control information together with location identifier 2 are in the last control field of the summation frame.
  • the sum frame is now transmitted in step 4 during a first communication cycle 71, in the present example, that of the ID cycle according to the Interbus protocol, transmitted via the field bus 70 to the powered-up bus subscribers.
  • Each bus subscriber then extracts the control information intended for him from the summation frame.
  • the secure bus user 60 writes the control information immediately following the loopback word to the corresponding registers 80 and 82 shown in FIG.
  • the location identifier 1 contained in the sum frame is written by the secure bus subscriber 60 into the control register 80.
  • the location identifier may comprise, for example, 7 bits. Additional bits in the sum frame may identify the location identifier and make it distinguishable from other control data.
  • the individual location identifier 1 can be written from the control register 80 into the memory 88.
  • the secure control device 50 generates a secure message for each secure bus subscriber in response to the stored configuration data records, which contains at least the location identifier assigned to the secure bus subscriber.
  • a secure message containing the location identifier 1 is thus generated for the secure bus subscriber 60.
  • Another secure message containing the individual location identifier 2 is generated for the secure bus subscriber b.
  • the secure messages are transferred in step 5 via the coupling memory 40 to the Interbus master 30 in the predetermined order.
  • the Interbus master 30 writes the secure messages unread to a sum frame, which is exemplified in FIG.
  • the summation frame again comprises a loopback word, a first data field which contains at least the location identifier 1 of the secure bus subscriber 60, a second data field which contains, for example, process data of the non-secure bus subscriber c, and a data field which contains at least the location identifier 2 of the secure bus subscriber c ,
  • the order of the data fields in the sum frame is in turn determined by the order of the bus subscribers connected to the field bus 70. Since the Interbus Master 30 knows the locations of all the bus users connected to the fieldbus 30, depending on the order in which he receives the secure messages from the secure controller 50, he can embed them in the correct locations in the summation frames.
  • step 6 the Interbus master 30 transmits the sum frame containing the secure messages, and thus the location identifiers 1 and 2, via fieldbus 70 via a second communication cycle 72 corresponding to the data cycle of the Interbus protocol him certain data in an input register.
  • the secure bus subscriber 60 reads the data immediately following the loopback word which contain the location identifier 1 into the input register 84. The location identifier 1 can then be written from the input register 84 into the memory 94.
  • the stored in the memories 88 and 94 individual location identifiers are supplied according to step 7 to the comparator 92, which checks whether the memory contents, ie the stored location identifiers match. If the comparator 92 determines a match between the two location identifiers stored in the memories 88 and 94, the one stored in the memory 88 or in the memory 94 Location identifier 1 are stored directly in the memory 96 as a reference location identifier.
  • the microprocessor 90 now generates a secure message in which, for example, the device type, the manufacturer identifier and the serial number of the secure bus user 60 are written.
  • the secure message contains an indication that the location identifiers stored in the memories 88 and 94 match. This secure message will be in the
  • Output register 86 is written. During a further data cycle, the content of the output register 86 is embedded in a corresponding sum frame, which is then applied in step 8 via the output of the bus station 60 to the field bus 70 and from there to the Interbus master 30.
  • the Interbus master 30 extracts from the received sum frame all secure messages and transmits them in step 9 via the coupling memory 90 to the secure control device 50. It should be noted that in an advantageous embodiment of the Interbus master 30 unread the secure messages to the secure control device 50th forwards.
  • the secure control device 50 learns from the safe message intended for the bus participant 60 that the location identifiers stored in the memory 88 and 94 match.
  • the secure bus subscriber 60 is switched on at the correct installation location within the fieldbus 70, so that now the secure bus subscriber 60 can log on to the Interbus transmission system 10.
  • the registration of the secure bus subscriber 60 takes place in that the serial number contained in the secure message is stored in the secure control device 50.
  • the secure controller 50 may according to step 10 on a integrated display to indicate to a user that the bus subscriber 60 has been connected to the correct installation and logged.
  • the secure control device 50 may alternatively or additionally have an interface via which these instructions can be transmitted to an external device.
  • Memory 96 of the bus station 60 the reference location identifier 1 is stored. Furthermore, it is assumed that the Interbus transmission system 10 should restart after a desired or undesired standstill.
  • the individual location identifiers of the secure bus subscribers 60 and b are transmitted to the respective bus subscribers in a frame constructed as a sum frame.
  • the secure bus user 60 reads out the control information intended for it including the location identifier from the telegram and writes the location identifier in the memory 88.
  • the secure controller 50 in turn generates secure messages containing the respective location identifiers for the secure bus users 60 and b and transmits them via the coupling memory 40 to the Interbus master 30.
  • the Interbus master 30 embeds the secure messages in corresponding locations of a sum frame and transmits the secure messages in a data cycle to the respective secure bus subscribers.
  • the secure bus subscriber 60 removes the incoming summation frame the for him certain message and writes the location identifier contained in the memory 94th
  • the contents of the two memories 88 and 94 are compared with each other.
  • comparator 92 For a first sub-case, assume that comparator 92 has determined that the memory contents of memories 88 and 94 are the same. This means that the location identifiers transmitted in the two separate communication cycles are identical. Thereupon, the comparator 92 compares the reference location identifier stored in the memory 96 with the location identifier stored in the memory 88 or in the memory 94. If the individual location identifier coincides with the reference location identifier, it is ensured that the secure bus subscriber 60 is connected to the installation location provided within the fieldbus 70 for him. Under control of the microprocessor 90, a secure message is then generated containing at least information that the reference location identifier and location identifiers stored in the memories 88 and 94 match. Additionally, the secure message may include the manufacturer identifier, serial number, and / or device type of the secure bus participant 60.
  • the safe may include the manufacturer identifier, serial number, and / or device type of the secure bus participant 60.
  • Message is cached in output register 86. During a corresponding data cycle, it is embedded in a summation frame and transmitted to the secure control device 50 via the Interbus master 30 and the coupling memory 40.
  • the secure controller 50 signals to the user that the secure bus user 60 has received the same location identifier in both the first and second communication cycles. further coincident with the stored reference location identifier. This ensures that the bus subscriber 60 is switched on at the predetermined installation location.
  • the Interbus transmission system 10 may start up and process data may be transmitted.
  • the microprocessor 90 causes the secure bus user 60 to transition to a secure state, generate a secure message containing at least the device type of the secure bus user 60, and transmit it to the secure controller 50.
  • the secure controller 50 may inform the user that an error has occurred. The secure controller 50 may then automatically or by the user cause the entire Interbus transmission system 10 to shut down or to transfer to a secure state.
  • the microprocessor 90 generates a secure message, which preferably contains the device type, ⁇ the manufacturer identifier, the serial number of the secure bus user 60 and information that indicates that a system error has occurred or the safe Busteiln ⁇ hmer has been replaced or turned on at another installation location.
  • the secure message is transmitted to the secure control device 50 via the Interbus master during a data cycle in a summation frame.
  • the secure controller 50 In response to the secure message, the secure controller 50 notifies the user in step 10 that to secure
  • Bus participants 60 transmitted individual location identifier do not match the stored in the memory 96 reference location identifier.
  • One reason for this may be that the user has either replaced the secure bus subscriber 60 or turned it on at another location within the fieldbus 70.
  • the device type and / or the serial number of the secure bus device 60 and stored in the secure control device 50 configuration records can be checked whether a subscriber exchange has taken place or if for other reasons a wrong location identifier the safe Bus subscriber 60 has been transmitted.
  • the user has actually exchanged the secure bus user 60 and the manufacturer identifier received in the secure message and / or the device type with the configuration data record stored in the secure controller 50 are the same, the
  • the secure controller 50 may according to a
  • Data cycle transfers the secure message in a summation frame to the new secure bus subscriber.
  • the microprocessor 90 of the new secure bus user ensures that the location identifier stored in memory 88 or in memory 94 is taken into memory 96 as the new reference location identifier.
  • the new location identifier can also be taken from the memory 88 or from the memory 94 into the memory 96 without prior confirmation of the new installation location by the user.
  • the secure control device 50 and / or the secure bus user ensure that the secure bus subscriber and / or the control bus and / or
  • a subscriber exchange or the switching on of a secure bus subscriber to another installation location can also be detected, even if they happen to be there during a first and a second time Communication cycle transmitted location identifiers with the memory 96 stored in the reference location identifier match.
  • the secure control device 50 can check on the basis of the serial number or manufacturer identifier transmitted by the secure bus subscriber in the secure message by comparison with the stored configuration data records as to whether a subscriber exchange has taken place.
  • Describing bus subscribers are included, errors can also be detected during a change of the configuration during a startup of the Interbus transmission system 10.

Abstract

Es wird ein Verfahren sowie eine Steuer- und Datenübertragungsanlage bereitgestellt, mit der der Einbauort wenigstens eines sicheren, an die Steuer- und Datenübertragungsanlage (10) angeschalteter Busteilnehmer überprüft werden kann. Hierzu werden in zwei separaten Kommunikationszyklen jeweils eine Ortskennung, die in einem vorherigen Konfigurationsprozess den sicheren Busteilnehmern (60) zugeordnet worden ist, über eine nicht sichere Kommunikationssteuereinrichtung (30) zu den jeweiligen sicheren Busteilnehmern übertragen. Die sicheren Busteilnehmern vergleichen die in den beiden Kommunikationszyklen empfangenen Ortskennungen mit dem Inhalt eines Speichers, in dem bereits eine Referenz- Ortskennung hinterlegt ist, oder der noch leer ist. Anhand eines Vergleichs der übermittelten Ortskennung mit der Referenz-Ortskennung und dem in einer sicheren Steuereinrichtung (50) hinterlegten Konfigurationsdatensatz kann geprüft werden, ob der jeweilige sichere Busteilnehmer an dem vorbestimmten Einbauort innerhalb der Steuer- und Datenübertragungsanlage (10) angeschaltet ist.

Description

Verfahren und Steuer- und Datenübertragungsanlage zum Überprüfen des Einbauortes eines sicheren Koπununikationsteilnehmers
Beschreibung
Die Erfindung betrifft ein Verfahren zum Überprüfen des Einbauortes wenigstens eines sicheren, an eine Steuer- und Datenübertragungsanlage angeschalteten
Kommunikationsteilnehmers sowie eine Steuer- und Datenübertragungsanlage, die insbesondere zur Durchführung dieses Verfahrens geeignet ist.
Steuer- und Datenübertragungsanlagen nehmen heute aufgrund des damit möglichen hohen Automatisierungsgrades eine herausragende Stellung in der industriellen Fertigung und Anlagensteuerung ein. Sehr verbreitet ist die Verwendung eines KommunikationsSystems, über das eine Vielzahl dezentraler Ein- und Ausgabeeinheiten mit einer zentralen Steuerungseinrichtung verbunden werden.
Zur Einhaltung von Sicherheitsstandards bei der Durchführung sicherheitskritischer Prozesse werden in der Automatisierungstechnik vorwiegend Kommunikationssysteme eingesetzt, die beispielsweise einen CAN-Bus, Profibus oder INTERBUS in Verbindung mit sicherheitsgerichteten Buskomponenten enthalten. Bei sicherheitsgerichteten Prozessen werden zum Beispiel Schutzgitter und Schutztüren überwacht sowie Zweihand-Schalter und Not-Aus-Schalter angesteuert. Die an ein solches Kommunikationssystem angeschlossenen Buskomponenten werden im Folgenden auch als Teilnehmer oder Busteilnehmer bezeichnet. Sicherheitsgerichtete Buskomponenten werden auch als sichere Busteilnehmer bezeichnet, die zusammen mit nicht sicheren Busteilnehmern an einem solchen Kommunikationssystem angeschlossen werden können.
Es ist bekannt, einem sicheren Busteilnehmer zur Erhöhung der Sicherheit eine individuelle Teilnehmeradresse zuzuordnen, welche beispielsweise direkt am Busteilnehmer eingestellt werden kann.
Aus EP 1 206 868 Bl ist ferner ein Verfahren zum Konfigurieren eines sicheren Busteilnehmers sowie ein Steuerungssystem bekannt, welches einen solchen Busteilnehmer aufweist. Bei dem in EP 1 206 868 Bl beschriebenen Verfahren ist eine Verwaltungseinheit für die Vergabe von Teilnehmeradressen vorgesehen, welche an den Bus angeschlossen ist. Für die Verwaltungseinheit ist ein spezieller Wartungsmodus vorgesehen, in welchem Wartungstelegramme über den Bus versandt werden. Bei
Empfang eines solchen Wartungstelegramms wird von einem sicheren Busteilnehmer ein Anmeldetelegramm an die Verwaltungseinheit gesandt, welches eine festgelegte Universaladresse umfasst. Empfängt die Verwaltungseinheit wiederum ein solches Δnmeldetelegramm mit einer enthaltenen Universaladresse, sendet sie ein Adressvergabetelegramm mit einer definierten Teilnehmeradresse an den sicheren Busteilnehmer zurück, wo diese gespeichert wird.
Aus DE 199 34 514 Cl ist ein Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen sicheren Busteilnehmers bekannt, welches das Übermitteln einer logischen und einer physikalischen Adresse an den sicheren Busteilnehmer von einer Adressvergabeeinheit vorsieht. Die übermittelte physikalische Adresse wird anhand einer tatsächlichen physikalischen Position des sicheren Busteilnehmers verifiziert und die logische Adresse in Abhängigkeit von der Verifikation in einem Speicher des Busteilnehmers gespeichert.
Aus der DE 10 2005 019970 Al ist ein Verfahren zur Adressvergabe für sichere Busteilnehmer bekannt, die vorzugsweise an einem ringförmigen Feldbus nach dem Interbus-Standard angeschlossen sind. Die sicheren
Busteilnehmer weisen eine sichere Kommunuikationsschicht auf, die auch Safety-Communication-Layer-Slave (SCLS) genannt wird, um sicherer Nachrichten erzeugen und austauschen zu können. An den Feldbus ist ferner ein Interbus-Master angeschlossen, dem eine sichere
Steuereinheit mit einer sicheren Kommunάkations-Schicht zugeordnet ist, die auch Safety-Communication-Layer-Master (SCLM) genannt wird. Um eine sichere Datenübertragung zwischen dem Interbus-Master und sicheren Busteilnehmern zu ermöglichen, wird der SCLS jedes sichern Busteilnehmers eine Connection-ID zugeordnet. Mit Hilfe der Connection-ID wird erreicht, dass die SCLM immer mit einer gewünschten SCLS kommunizieren kann.
Mit keinem der eingangs genannten Systeme ist es jedoch möglich, ohne Verwendung von Adressschaltern an sicheren Teilnehmern sowohl bei der ersten Inbetriebnahme als auch bei wiederholtem Anlauf einer Steuer- und Datenübertragungsanlage zuverlässig prüfen zu können, ob ein sicherer Teilnehmer auch wirklich am gewünschten Einbauort der Steuer- und Datenübertragungsanlage angeschaltet ist. Der vorliegenden Erfindung liegt demzufolge die Aufgabe zugrunde, ein Verfahren sowie eine Steuer- und Datenubertragungsanlage bereitzustellen, mit denen eine zuverlässige Überprüfung des Einbauorts eines sicheren Teilnehmers jederzeit möglich ist.
Ein Kerngedanke der Erfindung ist darin zu sehen, in zwei unabhängigen Kommunikationszyklen einem sicheren Teilnehmer eine Ortskennung zu übermitteln und dann einen Bezug zwischen der, dem sicheren Teilnehmer zugeordneten
Ortskennung und dessen Einbauort derart herzustellen, dass zuverlässig geprüft werden kann, ob der sichere Teilnehmer an dem Einbauort angeschaltet ist, den ein Anwender auch tatsächlich dafür vorgesehen hat.
Das oben genannte technische Problem wird zum einen durch die Verfahrensschritte des Anspruchs 1 gelost.
Danach ist ein Verfahren zum Überprüfen des Einbauortes wenigstens eines sicheren, an eine Steuer- und
Datenubertragungsanlage angeschalteten Teilnehmers vorgesehen, wobei an die Steuer- und
Datenubertragungsanlage eine nicht sichere
Kommunikationssteuereinrichtung angeschaltet ist, welcher eine sichere Steuereinrichtung zugeordnet ist. Die nicht sichere Kommunikationssteuereinrichtung kennt die Position jedes angeschalteten Teilnehmers in der Steuer- und
Datenubertragungsanlage .
In der nicht sicheren Kommunikationssteuereinrichtung wird ein erster Konfigurationsdatensatz abgelegt, der Angaben über die Position aller angeschalteten Teilnehmer bezuglich der Steuer- und Datenubertragungsanlage und eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält. Der Konfigurationsdatensatz kann von einem Anwender erstellt werden, der die Steuer- und Datenübertragungsanlage nach seinen Vorstellungen projektieren will. Mit anderen Worten spiegelt der erste Konfigurationsdatensatz vorzugsweise den projektierten
Aufbau der Steuer- und Datenübertragungsanlages wieder. Ein zweiter Konfigurationsdatensatz wird in der sicheren Steuereinrichtung abgelegt. Der zweite Konfigurationsdatensatz enthält eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer.
An dieser Stelle sei erwähnt, dass insbesondere bei Steuer- und Datenübertragungsanlagen gemäß dem Interbus-Standard entsprechende Konfigurations-Tools bekannt sind, mit denen der Anwender die entsprechenden Konfigurationsdatensätze erstellen kann.
Nach dieser eigentlichen Konfigurationsphase werden in einem ersten Kommunikationszyklus jeweils eine individuelle Ortskennung von der nicht sicheren Kommunikationssteuereinrichtung zu jedem sicheren Teilnehmer, der an der Steuer- und Datenübertragungsanlage angeschaltet ist, übertragen. Die im zweiten Konfigurationsdatensatz enthaltenen individuellen
Ortskennungen werden in sicheren Nachrichten von der sicheren Steuereinrichtung zur nicht sicheren Kommunikationssteuereinrichtung übertragen. Nunmehr werden in einem zweiten Kommunikations εyklus die in den empfangenen sicheren Nachrichten enthaltenen individuellen Ortskennungen von der nicht sicheren
Kommunikationssteuereinrichtung zu den jeweiligen sicheren Teilnehmern übertragen. Jeder sichere Teilnehmer vergleicht die im ersten und zweiten Kommunikationszyklus empfangen individuellen Ortskennungen. Wenn ein sicherer Teilnehmer eine Übereinstimmung zwischen den individuellen Ortskennungen feststellt, wird geprüft, ob in dem jeweiligen sicheren Teilnehmer bereits eine Referenz- Ortskennung abgelegt ist. Ist eine Referenz-Ortskennung in dem jeweiligen sicheren Teilnehmer abgelegt, wird die individuelle Ortskennung, die im ersten oder im zweiten Kommunikationszyklus empfangen worden ist, mit der Referenz-Ortskennung verglichen. Stimmt die individuelle Ortskennung mit der gespeicherten Referenz-Ortskennung des jeweiligen sicheren Teilnehmers .überein, wird der sicheren Steuereinrichtung signalisiert, dass der jeweilige sichere Busteilnehmer am vorbestimmten Einbauort angeschaltet ist.
Dank der Übertragung einer individuellen Ortskennung in zwei separaten Kommunikationszyklen und dem Vergleich der empfangenen individuellen Ortskennungen mit einer im sicheren Teilnehmer gespeicherten Referenz-Ortskennung kann zuverlässig geprüft werden, ob der jeweilige sichere Teilnehmer auch tatsächlich an dem vom Anwender vorgesehenen Einbauort der Steuer- und Datenübertragungsanlage angeschaltet ist.
Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
Das Verfahren zur Überprüfung des Einbauortes eines sicheren Busteilnehmers ist auch dazu geeignet, bei der ersten Inbetriebnahme der Steuer- und Datenübertragungsanlage zuverlässig prüfen zu können, ob alle sicheren Teilnehmer auch an den Einbauorten angeschaltet sind, die bei der Konfigurationsphase vom • Anwender vorgegeben worden sind. Hierzu wird die im ersten oder zweiten Kommunikationszyklus übertragene individuelle Ortskennung als Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert, wenn bisher noch keine Referenz- Ortskennung oder alternativ eine vorbestimmte Standard- Referenz-Ortskennung abgelegt worden ist. Die sichere Steuereinrichtung erhält von dem jeweiligen sicheren Teilnehmer eine sichere Nachricht, die Informationen darüber enthält, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert ist. Unter
Ansprechen auf die empfangene sichere Nachricht informiert die sichere Steuereinrichtung eine Bedienperson darüber, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine Referenz-Ortskennung im jeweiligen sicheren
Teilnehmer gespeichert ist. Die sichere Steuereinrichtung fordert dann die Bedienperson auf, zu bestätigen, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
Auch während eines erneuten Anlaufs der Steuer- und Datenübertraguπgsanlages kann jederzeit zuverlässig überprüft werden, ob die jeweiligen sicheren Teilnehmer am richtigen Einbauort angeschaltet sind. Hierzu wird bei einer Übereinstimmung- der im ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen die im jeweiligen sicheren Teilnehmer gespeicherte Referenzen-Ortskennung mit der individuellen Ortskennung verglichen. Wenn die Referenz-Ortskennung nicht mit der individuellen Ortskennung übereinstimmt, wird die Referenz-Ortskennung durch die jeweilige individuelle Ortskennung überschrieben. Der jeweilige sichere Teilnehmer sendet dann eine sichere Nachricht zur sicheren Steuereinrichtung, die Informationen darüber enthält, dass die im ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen nicht mit der gespeicherten Referenz-Ortskennung übereinstimmen. Die sichere Steuereinrichtung kann unter Ansprechen auf die empfangene sichere Nachricht die Bedienperson entsprechend informieren und auffordern, den Einbauort des jeweiligen sicheren Busteilnehmers zu bestätigen.
Damit sichere Nachrichten zwischen sicheren Teilnehmern und der sichern Steuereinrichtung übertragen werden können, können vorab beispielsweise sogenannte Connection IDs gemäß dem in der DE 10 2005 019970 Al beschrieben Verfahren zwischen den sicheren Teilnehmern und der sicheren Steuereinrichtung vereinbart werden.
Mit dem vorliegenden Verfahren zum Überprüfen des Einbauortes ist es möglich, Fehler in der Konfiguration der Steuer- und Datenübertragungsanlage, dem Aufbau und der Adressierung der Steuer- und Datenübertragungsanlage sowie andere Anwenderfehler zu erkennen. Dadurch kann vermieden werden, dass die Steuer- und Datenübertragungsanlage beschädigt und/oder Bedienpersonen verletzt werden. Hierzu werden die jeweiligen sicheren Teilnehmer und/oder die Steuer- und Datenübertragungsanlage in einen sicheren Zustand überführt, wenn die Bedienperson nicht bestätigt, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Teilnehmer keine Übereinstimmung der im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen feststellt.
Um sicherstellen zu können, dass im sicheren Teilnehmereine Referenz-Ortskennung nur gespeichert wird, wenn der jeweilige sichere Busteilnehmer auch am gewünschten Einbauort angeschaltet ist, wird die Referenz-Ortskennung im jeweiligen sicheren Teilnehmer erst dann durch die individuelle Ortskennung ersetzt, wenn die Bedienperson zuvor bestätigt hat, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
Das Verfahren kann besonders vorteilhaft angewendet werden, wenn die Steuer- und Datenύbertragungsanlage ringförmig und als Feldbus gemäß dem Interbus-Standard ausgebildet ist.- In diesem Fall müssen den am Feldbus angeschalteten
Teilnehmern, die auch Busteilnehmer genannt werden, keine Teilnehmeradressen zugeordnet werden. Denn der Interbus arbeitet in der Art eines Schieberegisters, bei dem die Busteilnehmer ringförmig miteinander verbunden sind und die einzelnen Speicherplätze des Schieberegisters bilden.
Aufgrund dieser speziellen Interbus-Konfiguration kann die nicht sichere Korranunikationssteuereinrichtung die Position aller Busteilnehmer während eines Identifikations-Zyklus und/oder Datenzyklus kennen lernen, und zwar sowohl hinsichtlich der Schieberegister für ID-Zyklen als auch hinsichtlich der Position im Schieberegister für Datenzyklen. Wird ein Interbus als Steuer- und Datenübertragungsanlage verwendet, entspricht der erste Kommunikationszyklus dem ID-Zyklus und der zweite Kommunikationszyklus dem Datenzyklus des Interbus-
Protokolls. Die individuellen Ortkennungen, die für die an den Feldbus angeschalteten sicheren Busteilnehmern bestimmt sind, werden an den entsprechenden Stellen innerhalb eines Summenrahmens von der nicht sicheren Kommunikationssteuereinrichtung zu den jeweiligen sicheren Busteilnehmern übertragen.
Um sichere Busteilnehmer bei der ersten Inbetriebnahme der Steuer- und Datenübertragungsanlage oder bei einem Teilnehmertausch zuverlässig an der Steuer- und Datenübertragungsanlage anmelden zu können, werden die im sicheren Busteilnehmer gespeicherte Seriennummer und wenigstens ein teilnehmerspezifischer Parameter, insbesondere die Herstellerkennung und der Gerätetyp, in wenigstens einer sicheren Nachricht zur sicheren Steuereinrichtung übertragen. Die Seriennummer wird dem zweiten Konfigurationsdatensatz hinzugefügt, wenn die in der sicheren Nachricht enthaltenen teilnehmerspezifischen Parameter mit den teilnehmerspezifischen Parametern übereinstimmen, die hinsichtlich des jeweiligen sicheren Teilnehmers in der sicheren Steuereinrichtung abgespeichert sind. Auf diese Weise erfolgt die Anmeldung des jeweiligen sicheren Busteilnehmers an der Steuer- und Datenübertragungsanlage.
Die im zweiten Kommunikationszyklus von der nicht sicheren Kommunikationssteuereinheit zu übertragenden Ortskennungen können zunächst aus den von der sicheren Steuereinrichtung kommenden sicheren Nachrichten extrahiert und in neue sichere Nachrichten eingebettet und dann zum jeweiligen sicheren Busteilnehmer übertragen werden.
Um die Sicherheitsanforderungen bei sicherheitskritischen Prozessen einhalten zu können, kann das vorliegende Verfahren dafür sorgen, dass die von der sicheren Steuereinrichtung an die nicht sichere Steuereinrichtung übertragenen sicheren Nachrichten, welche die individuellen Ortskennungen enthalten, ungelesen an die jeweiligen sicheren Teilnehmer weitergeleitet werden.
Das oben genannte technische Problem wird ebenfalls durch die Merkmale des Anspruchs 10 gelöst. Danach ist eine Steuer-und Datenübertragungsanlage vorgesehen, die insbesondere der Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9 dient.
Die Steuer- und Datenübertragungsanlage weist eine
Übertragungseinrichtung auf, an welcher wenigstens eine nicht sichere Kommunikationssteuereinrichtung und wenigstens ein sicherer Teilnehmer angeschaltet sind. Die nicht sichere Kommunikationssteuereinrichtung kennt die Position aller an ein Übertragungsmedium angeschalteten Teilnehmer. Weiterhin weist die nicht sichere Kommunikationssteuereinrichtung eine Speichereinrichtung zum Speichern eines ersten Konfigurationsdatensatzes auf, der Angaben über die Position aller angeschalteten Teilnehmer, das sind sichere und/oder nicht sichere Teilnehmer, bezüglich der Steuer- und
Datenübertragungsanlages und eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält. Weiterhin ist der nicht sicheren Kommunikationssteuereinrichtung eine sichere Steuereinrichtung zugeordnet, die eine Speichereinrichtung zum Speichern eines zweiten Konfigurationsdatensatzes aufweist, der eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält. Die sichere Steuereinrichtung ist zum Erzeugen und Übertragen einer sicheren Nachricht, die die individuelle Ortskennung eines sicheren Teilnehmers enthält, zur nicht sicheren
Kommunikationssteuereinrichtung ausgebildet. Die nicht sichere Steuereinrichtung ist zum Übertragen von individuellen Ortskennungen zu sicheren Busteilnehmern während eines ersten Kommunikationszyklus und zum Übertragen der von der sicheren Steuereinrichtung kommenden individuellen Ortskennungen zu den sicheren Busteilnehmern während eines zweiten Kommunikationszyklus ausgebildet. Jeder sichere Teilnehmer weist eine Speichereinrichtung zum Speichern einer Referenz-Ortskennung, eine Einrichtung zum Vergleichen der während des ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennung, eine Einrichtung zum Vergleichen der empfangenen individuellen Ortskennungen mit einer Referenz-Ortskennung und eine Einrichtung zum Übertragung einer sicheren Nachricht zur sicheren Steuereinrichtung auf, wobei die sichere Nachricht eine Information über die Vergleichsergebnisse enthält. Die sichere Steuereinrichtung kann unter Ansprechen auf die von einem sicheren Teilnehmer empfangene sichere Nachricht eine Bedienperson auffordern, zu bestätigen, dass der sichere Busteilnehmer am vorbestimmten Einbauort enthalten , ist .
Um im Fehlerfall eine Beschädigung der Steuer- und Datenübertragungsanlage sowie eine Verletzung von Personen verhindern zu können, ist eine Einrichtung zum Überführen eines sicheren Teilnehmers und/oder der Steuer- und Datenübertragungsanlage in einen sicheren Zustand vorgesehen, und zwar dann, wenn die Bedienperson nicht bestätigt, dass der entsprechende sichere Busteilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Busteilnehmer feststellt, dass die im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen nicht übereinstimmen.
Die sichere Steuereinrichtung ist vorzugsweise über einen Koppelspeicher mit der nicht sicheren Kommunikationssteuereinrichtung verbunden.
Weiterhin kann eine programmierbare Steuereinheit vorgesehen sein, die unter Ansprechen darauf, dass die im ersten und zweiten Kommunikationszyklus zu einem sicheren Teilnehmer übertragenen individuellen Ortskennungen nicht mit der Referenz-Ortskennung übereinstimmen, den jeweiligen sicheren Busteilnehmer veranlasst, die Referenz-Ortskennung durch die individuelle Ortskennung zu überschreiben.
Die Erfindung wird nachfolgend anhand eines Ausfuhrungsbeispiels in Verbindung mit den beigefugten Zeichnungen naher erläutert.
Es zeigen:
Fig. 1 eine beispielhafte Steuer- und
Datenubertragungsanlage, in der die Erfindung verwirklicht ist, Fig. 2 ein detailliertes Blockschaltbild des in Figur 1 gezeigten sicheren Busteilnehmers, Fig. 3 einen wahrend eines Identifikationszyklus übertragenen Summenrahmen gemäß dem Interbus-
Protokoll, und Fig. 4 einen wahrend eines Datenzyklus übertragenen
Summenrahmen gemäß dem Interbus-Protokoll .
Fig. 1 zeigt in schematischer Darstellung eine allgemein mit 10 bezeichnetes Steuer- und Datenubertragungsanlage, in dem Busteilnehmer ringförmig miteinander verbunden sind. Die Steuer- und Datenubertragungsanlage 10 ist im vorliegenden Beispiel ein Interbus-Übertragungssystem, in welchem die Erfindung verwirklicht ist. Das Interbus- Ubertragungssystem ist beispielsweise in dem Fachbuch „Interbus-S: Grundlagen und Praxis" von A. Baginski et al . , 1994 Huthig Buchverlag GmbH, Heidelberg beschrieben.
Das in Fig. 1 dargestellte Interbus-Übertragungssystem 10 umfasst einen Busteilnehmer 30, der als nicht sichere Kommunikationssteuereinrichtung fungiert, und nachfolgend kurz Intεrbus-Master genannt wird. Der Interbus-Master 30 ist an einen Feldbus 70 des Interbus-Übertragungssystem 10 angeschlossen und beispielsweise über einen Koppelspeicher 40 mit einer sicheren Steuereinrichtung 50 verbunden. Die sichere Steuereinrichtung 50 ist eine Einrichtung mit einer Sicherheits-Kommunikations-Schicht . Diese wird auch als SCLM (Safety-Communication-Layer-Master ) bezeichnet. Die sichere Steuereinrichtung 50 wird unter Anderem benötigt, um über den nicht sicheren Interbus-Master 30 sicherheitskritische Prozesse steuern zu können. Der Feldbus 70 ist symbolisch durch zwei Ringe 71 und 72 dargestellt, welche gemäß dem Interbus-Protokoll einen ersten Kommunikationszyklus, der als Identifizierungszyklus bekannt ist, und einen zweiten Kommunikationszyklus, der als Datenzyklus bekannt ist, repräsentieren. Lediglich der einfacheren Darstellung wegen ist nur ein Busteilnehmer 60 dargestellt, welcher an dem Feldbus 70 angeschlossen ist. Bei dem Busteilnehmer 60 handelt es sich um einen sicheren Busteilnehmer, über den in Verbindung mit der sicheren Steuereinrichtung 50 sicherheitskritische Prozesse durchgeführt werden können. Angemerkt sei noch, dass der sichere Busteilnehmer 60 ein Slave mit einer Sicherheits- Kommunikations-Schicht sein kann, welche auch als SCLS (Safety-Communication*-Layer-Slave) bekannt ist. An den ringförmigen Feldbus 70 können selbstverständlich weitere sichere Busteilnehmer und auch nicht sichere Busteilnehmer angeschlossen werden. Mit Bezugszeichen 20 und 25 ist symbolisch ein Softwaretool dargestellt, mit dessen Hilfe ein Anwender das Interbus-Übertragungssystem 10 konfigurieren kann.
Da das Interbus-Übertragungssystem 10 einem Durchschnittsfachmann bekannt ist, genügt es darauf hinzuweisen, dass der Interbus eine Art Schieberegister ist, bei dem die Busteilnehmer ringförmig miteinander verbunden sind und die einzelnen Speicherplätze des Schieberegisters bilden. Aufgrund dieser Schieberegister- Struktur werden beim Interbus keine Teilnehmeradressen für die angeschalteten Busteilnehmer benötigt. Vielmehr lernt der Interbus-Master 30 während eines Identifizierungs- Zyklus, nachfolgend kurz ID-Zyklus genannt, die Positionen der einzelnen Busteilnehmer im Ring kennen. Die Anordnung der Busteilnehmer im Interbus wird dann als Prozessbild im Interbus-Master 30 hinterlegt. Der Interbus-Master 30 kann somit jedem angeschalteten Busteilnehmer Daten zukommen lassen, indem er die für die Busteilnehmer bestimmten Daten in entsprechende Stellen eines einen Summenrahmen .bildenden Telegramms schreibt, welches durch den Feldbus 70 geschickt wird. Die Busteilnehmer sind in der Lage, die für sie bestimmte Daten aus dem Telegramm auszulesen. In Fig. 3 und A sind beispielhafte Summenrahmen dargestellt, die gemäß dem Interbus-Protokoll aufgebaut sind und zusätzlich noch Ortskennungen für die jeweiligen sicheren Busteilnehmern enthalten .
In Fig. 2 ist der in Fig. 1 dargestellte sichere Busteilnehmer 60 detaillierter dargestellt. In an sich bekannter Weise verfügt der sichere Busteilnehmer 60 über zwei Schieberegister-Abschnitte. Der mit Bezugszeichen 80 und 82 bezeichnete Schieberegister-Abschnitt wird während eines ID-Zyklus in den Feldbus 70 eingeschleift, während der andere, mit Bezugszeichen 84 und 86 bezeichnete Schieberegister-Abschnitt während eines Daten-Zyklus in den Feldbus 70 eingeschleift wird. Der während des Identifikations-Zyklus im Feldbus 70 liegende Schieberegister-Abschnitt weist ein Kontroll-Register 80 sowie ein ID-Register 82 auf. Der während eines Datenzyklus im Feldbus 70 liegende Schieberegister-Abschnitt weist ein Eingangsregister 84 und ein Ausgangsregister 86 auf. In das Eingangsregister 84 werden die vom Interbus-Master 30 kommenden Eingangsdaten eingelesen, während im Ausgangsregister 86 beispielsweise Prozessdaten abgelegt werden, die für den Interbus-Master 30 bestimmt sind. Der sichere Busteilnehmer 60 weist einen Abschnitt 65 auf, der im Wesentlichen den sicherheitsrelevanten Teil des Busteilnehmers enthält. Der gewählte Aufbau des sicheren Busteilnehmers ist jedoch nur beispielhaft zu verstehen. Der sichere Busteilnehmer 60 weist einen Speicher 88 auf, in den, wie nachfolgend noch näher erläutert wird, eine Ortskennung abgelegt werden kann, die wir während eines ID- Zyklus vom Interbus-Master 30 zum sicheren Busteilnehmer 60 übertragen wird. Ein weiterer Speicher 94 ist vorgesehen, in dem eine Ortskennung abgelegt werden kann, die während eines Datenzyklus zum sicheren Busteilnehmer 60 übertragen wird. Weiterhin ist ein Speicher 96 vorgesehen, in welchen eine Referenz-Ortskennung abgelegt werden kann. Eine Vergleichereinrichtung 92 ist vorgesehen, die die
Speicherinhalte der Speicher 88 und 94 mit einander vergleichen kann. Die Vergleichereinrichtung 92 ist ferner dazu ausgebildet, den Speicherinhalt des Speichers 94 oder den Speicherinhalt des Speichers 88 mit dem Speicherinhalt des Speichers 96 zu vergleichen. Die Steuerung des Busteilnehmers 60 und der Vergleichereinrichtung 92 übernimmt beispielsweise ein Mikroprozessor 90. Der sicherheitsrelevante Teil 65 des sicheren Busteilnehmers 60 wird in Verbindung mit der sicheren Steuereinrichtung 50 dazu verwendet, zu prüfen, ob der sichere Busteilnehmer 60 auch tatsächlich an dem Einbauort des Feldbuses 70 angeschaltet ist, den ein Anwender vorgesehen hat. An dieser Stelle sei bereits angemerkt, dass der Mikroprozessor 90 dafür sorgen kann, dass sichere Nachrichten erzeugt werden können, in die vorbestimmte Informationen, wie zum Beispiel „die Speicherinhalte der Speicher 88 und 94 stimmen überein'1, „die Speicherinhalte der Speicher 88 und 94 stimmen nicht überein", „die Speicherinhalte der Speicher 88 und 96 stimmen überein" oder „die Speicherinhalte der Speicher 88 und 96 stimmen nicht überein", eingebettet und zur sicheren Steuereinrichtung 50 übertragen werden können.
Nachfolgend wird die Funktionsweise des Interbus- öbertragungssystems 10 in Verbindung mit den Figuren 1 bis 4 näher erläutert. Insbesondere wird geschildert, wie der Einbauort des sicheren Busteilnehmers 60 im Feldbus 70 zuverlässig geprüft werden kann.
Zunächst wird während der Konfigurationsphase in Schritt 1 gemäß Fig. 1 die Konfiguration des Interbus- übertragungssystems 10 mit Hilfe des Softwaretools 20 erstellt. Hierzu wird für jeden Busteilnehmer, der an den Feldbus 70 angeschaltet werden soll, ein
Konfigurationsdatensatz erstellt. Dieser enthält unter Anderem Angaben über die Position jedes am Feldbus 70 angeschalteten Busteilnehmers. Bei dem beispielhaft beschriebenen Interbus-Übertragungssystem 10 ergeben sich die Positionen der Busteilnehmer aus der Reihenfolge, in der die Busteilnehmer in den Konfigurationsdatensätzen abgespeichert werden. Weiterhin enthalten die Konfigurationsdatensätze für jeden sicheren Busteilnehmer eine individuelle Ortskennung. Im vorliegenden Beispiel sind die Busteilnehmer a und b als sichere Teilnehmer ausgebildet, denen die individuelle Ortskennung 1 bzw. 2 zugeordnet worden ist. Der Busteilnehmer c ist als nicht sicherer Busteilnehmer implementiert. Erwähnt sei ferner, dass der unter Anderem im Softwaretool 20 angegebene Busteilnεhmer a dem sicheren Busteilnehmer 60 entspricht.
Neben der Ortskennung enthält der Konfiguratinsdatensatz jedes sicheren Busteilnehmers a und b vorteilhafterweise noch den dazugehörenden Geräte-Typ sowie die Hersteller- Kennung. An dieser Stelle sei erwähnt, dass in jedem an den Feldbus 70 angeschalteten sicheren Busteilnehmer neben dem Geräte-Typ und der Hersteller-Kennung noch die Seriennummer abgespeichert sind.
In Schritt 2 gemäß Fig. 1 werden nunmehr die zu den sicheren Busteilnehmern a und b gehörenden Konfigurationsdatensätze der sicheren Programmierungsumgebung 25 übergeben. Die sicheren
Busteilnehmer sind hierbei in den Konfigurationsdatensätzen in einer Reihenfolge aufgelistet, die der Reihenfolge entspricht, in der die sicheren Busteilnehmer mit' Bezug zueinander am Feldbus 70 angeschaltet sind. In Schritt 3a werden dann alle im Softwaretool 20 erstellten
Konfigurationsdatensätze, die sowohl die sicheren als auch die nicht sicheren Busteilnehmer erfassen, im Interbus- Master 30 hinterlegt. In Schritt 3b werden die in der sicheren Programmierungsebene 25 hinterlegten Konfigurationsdatensätze der sicheren Busteilnehmer a' und b in die sichere Steuerungseinrichtung 50 eingeschrieben.
Augrund des konfigurierten Interbus-Übertragungsystems 10 kennt der Interbus-Master 30 die physikalische Postion der am Feldbus 70 angeschalteten Busteilnehmer sowohl im
Scheiberegister für ID-Zyklen als auch im Schieberegister für Daten-Zyklen. Entsprechend dem Interbus-Protokoll erstellt der Interbus-Master 30 nunmehr einen Summenrahmen, der in Figur 3 beispielhaft dargestellt ist. In herkömmlicher Weise wird dem Summenrahmen ein sogenanntes Loopback-Wort vorangestellt, an das sich die Steuerinformationsfelder der an den Feldbus 70 angeschalteten Busteilnehmer in einer Reihenfolge anschließen, die sich aus der physikalischen Position der jeweiligen Busteilnehmer im Feldbus 70 ergibt, die der Interbus-Master 30 kennt. Im vorliegenden Beispiel sei angenommen, dass der sichere Busteilnehmer 60 der letzte im Feldbus 70 angeschaltete Busteilnehmer ist, so dass die für diesen Busteilnehmer bestimmten Steuerinformationen unmittelbar hinter dem Loopback-Wort angeordnet sind. Diese Steuerinfόrmationen können einen ID-Code, andere Steuerdaten und die Ortskennung 1 des Busteilnehmers 60 enthalten. Der nicht sichere Busteilnehmer c ist unmittelbar vor dem Busteilnehmer 60 an den Feldbus 70 angeschaltet, so dass die ihm zugeordneten Steuerinformationen im folgenden Steuerinformationsfeld abgelegt werden. Da der sichere Busteilnehmer b bezüglich der Kommunikationsrichtung im Feldbus der erste Busteilnehmer ist, stehen dessen Steuerinformationen samt Ortskennung 2 im letzten Steuerfeld des Summenrahmens .
Der Summenrahmen wird nunmehr in Schritt 4 während eines ersten Kommunikationszyklus 71, im vorliegenden Beispiel ist das der ID-Zyklus- gemäß dem Interbus-Protokoll, über den Feldbus 70 zu den angeschalteten Busteilnehmern übertragen. Jeder Busteilnehmer entnimmt dann die für ihn bestimmten Steuerinformationen aus dem Summenrahmen. So schreibt der sichere Busteilnehmer 60 die Steuerinformationen, die dem Loopbackword unmittelbar folgen, in die entsprechenden Register 80 und 82, die in Fig.3 gezeigt sind. Insbesondere wird die im Summenrahmen enthaltene Ortskennung 1 vom sicheren Busteilnehmer 60 in das Steuerregister 80 geschrieben. Angemerkt sei, dass die Ortskennung beispielsweise 7 Bits umfassen kann. Zusätzliche Bits im Summenrahmen können die Ortskennung kennzeichnen und dafür sorgen, dass sie von anderen Steuerdaten unterschieden werden kann.
Die individuelle Ortskennung 1 kann je nach Implementierung des sicheren Busteilnehmers 60 aus dem Steuerregister 80 in in den Speicher 88 geschrieben werden.
Weiterhin erzeugt die sichere Steuereinrichtung 50 für jeden sicheren Busteilnehmer unter Ansprechen auf die hinterlegten Konfigurationsdatensätze eine sichere Nachricht, die zumindest die dem sicheren Busteilnehmer zugeordnete Ortskennung enthält. Im vorliegenden Beispiel wird somit eine sichere Nachricht, welche die Ortskennung 1 enthält, für den sicheren Busteilnehmer 60 erzeugt. Eine weitere sichere Nachricht, welche die individuelle Ortskennung 2 enthält, wird für den sicheren Busteilnehmer b erzeugt. Die sicheren Nachrichten werden in Schritt 5 über den Koppelspeicher 40 dem Interbus-Master 30 in der vorgegebenen Reihenfolge übergeben. Gemäß einer bevorzugten Ausführungsform schreibt der Interbus-Master 30 die sicheren Nachrichten ungelesen in einen Summenrahmen ein, der in Fig. 4 beispielhaft dargestellt ist. Der Summenrahmen umfasst wiederum ein Loopbackwort, ein erstes Datenfeld, welches zumindest die Ortskennung 1 des sicheren Busteilnehmers 60 enthält, ein zweites Datenfeld, welches beispielsweise Prozessdaten des nicht sicheren Busteilnehmers c enthält, und ein Datenfeld, welches zumindest die Ortskennung 2 des sicheren Busteilnehmers c enthält. Die Reihenfolge der Datenfelder im Summenrahmen wird wiederum durch die Reihenfolge der am Feldbus 70 angeschlossenen Busteilnehmer festgelegt. Da der Interbus- Master 30 die Positionen aller am Feldbus 30 angeschalteten Busteilnehmer kennt, kann er in Abhängigkeit der Reihenfolge, in der er die sicheren Nachrichten von der sicheren Steuereinrichtung 50 empfängt, diese an die richtigen Stellen in den Summenrahmen einbetten.
In Schritt 6 übertragt der Interbus-Master 30 den Summenrahmen, der die sicheren Nachrichten und somit die Ortskennungen 1 und 2 enthalt, über einen zweiten Kommunikationszyklus 72, der dem Datenzyklus des Interbus- Protokolls entspricht, über den Feldbus 70. Jeder Busteilnehmer liest die für ihn bestimmten Daten in ein Eingangsregister ein. Im vorliegenden Beispiel liest der sichere Busteilnehmer 60 die unmittelbar dem Loopbackwort folgenden Daten, die die Ortskennung 1 enthalten, in das Eingangsregister 84. Die Ortskennung 1 kann dann aus dem Eingangsregister 84 in den Speicher 94 geschrieben werden.
Nachfolgend wird ein erstes Szenario betrachtet, bei dem das Interbus-Ubertragungssystem 10 zum ersten Mal in
Betrieb genommen wird. Dies bedeutet, dass in dem Speicher 96 noch keine Referenz-Ortskennung hinterlegt worden ist. Alternativ könnte ein Standardwert im Speicher 96 hinterlegt sein, der dem Mikroprozessor 90 signalisiert, dass das Interbus-Ubertragungssystems 10 bisher noch nicht in Betrieb genommen wurde.
Die in den Speichern 88 und 94 hinterlegten individuellen Ortskennungen werden gemäß Schritt 7 dem Vergleicher 92 zugeführt, welcher prüft, ob die Speicherinhalte, d. h. die abgelegten Ortskennungen, übereinstimmen. Stellt der Vergleicher 92 eine Übereinstimmung der beiden in den Speichern 88 und 94 abgelegten Ortskennungen fest, kann die im Speicher 88 oder die im Speicher 94 hinterlegte Ortskennung 1 unmittelbar in den Speicher 96 als Referenz- Orts kennung abgelegt werden.
Der Mikroprozessor 90 erzeugt nunmehr eine sichere Nachricht, in welcher zum Beispiel der Gerätetyp, die Herstellerkennung und die Seriennummer des sicheren Busteilnehmers 60 eingeschrieben werden. Zusätzlich enthält die sichere Nachricht einen Hinweis darüber, dass die in den Speichern 88 und 94 abgelegte Ortskennungen übereinstimmen. Diese sichere Nachricht wird in das
Ausgangsregister 86 geschrieben. Während eines weiteren Datenzyklus wird der Inhalt des Ausgangsregisters 86 in einen entsprechenden Summenrahmen eingebettet, der dann in Schritt 8 über den Ausgang des Busteilnehmers 60 an den Feldbus 70 angelegt und von dort zum Interbus-Master 30 übertragen wird. Der Interbus-Master 30 entnimmt aus dem empfangenen Summenrahmen alle sicheren Nachrichten und überträgt diese in Schritt 9 über den Koppelspeicher 90 zur sicheren Steuereinrichtung 50. Angemerkt sei, dass bei einer vorteilhaften Ausführungsform der Interbus-Master 30 die sicheren Nachrichten ungelesen an die sichere Steuereinrichtung 50 weiterleitet. Die sichere Steuereinrichtung 50 erfährt anhand der für den Busteilnehmer 60 bestimmten sicheren Nachricht, dass die in den Speicher 88 und 94 hinterlegten Ortskennungen übereinstimmen. Dies bedeutet, dass der sichere Busteilnehmer 60 an dem richtigen Einbauort innerhalb des Feldbusses 70 angeschaltet ist, so dass nunmehr die Anmeldung des sicheren Busteilnehmers 60 am Interbus- Übertragungssystem 10 erfolgen kann. Die Anmeldung des sichern Busteilnehmers 60 erfolgt dadurch, dass die in der sicheren Nachricht enthaltene Seriennummer in der sicheren Steuereinrichtung 50 abgelegt wird. Die sichere Steuereinrichtung 50 kann gemäß Schritt 10 auf einem integrierten Display einem Anwender anzeigen, dass der Busteilnehmer 60 am richtigen Einbauort angeschlossen und angemeldet worden ist. Die sichere Steuereinrichtung 50 kann alternativ oder zusätzlich über eine Schnittstelle verfügen, über die diese Hinweise an eine externe Einrichtung übertragen werden können.
Nunmehr wird ein zweites Szenario betrachtet. Hierbei sei angenommen, dass das Interbus-Übertragungssystem 10 bereits ordnungsgemäß in Betrieb genommen worden ist, so dass im
Speicher 96 des Busteilnehmers 60 die Referenz-Ortskennung 1 gespeichert ist. Weiterhin sei angenommen, dass das Interbus-Übertragungssystem 10 nach einem gewünschten oder unerwünschten Stillstand erneut anlaufen soll.
Ähnlich den Erläuterungen hinsichtlich des ersten Szenarios werden vor dem Anlauf des Intebus-Übertragungssystems 10 während eines Identifikations-Zyklus vom Interbus-Master 30 die individuellen Ortskennungen der sicheren Busteilnehmer 60 und b in einem als Summenrahmen aufgebauten Telegramm zu den jeweiligen Busteilnehmern übertragen. Der sichere Busteilnehmer 60 liest die für ihn bestimmten Steuerinformationen einschließlich der Ortskennung aus dem Telegramm aus und schreibt die Ortskennung in den Speicher 88. Die sichere Steuereinrichtung 50 erzeugt wiederum sichere Nachrichten, die die jeweiligen Ortskennungen für die sicheren Busteilnehmer 60 und b enthalten und überträgt diese über den Koppelspeicher 40 zum Interbus-Master 30. Der Interbus-Master 30 bettet die sicheren Nachrichten an entsprechende Stellen eines Summenrahmens ein und überträgt die sicheren Nachrichten in einem Datenzyklus zu den jeweiligen sicheren Busteilnehmern. Der sichere Busteilnehmer 60 entnimmt dem ankommenden Summenrahmen die für ihn bestimmte sichere Nachricht und schreibt die darin enthaltene Ortskennung in den Speicher 94.
Im Vergleicher 92 werden nunmehr die Inhalte der beiden Speicher 88 und 94 miteinander verglichen.
Bei einem ersten Unterfall sei angenommen, dass der Vergleicher 92 festgestellt hat, dass die Speicherinhalte der Speicher 88 und 94 übereinstimmen. Das bedeutet, dass die in den beiden separaten Kommunikations zyklen übertragenen Ortskennungen identisch sind. Darauf hin vergleicht der Vergleicher 92 die im Speicher 96 hinterlegte Referenz-Ortskennung mit der im Speicher 88 oder im Speicher 94 hinterlegten Ortskennung. Stimmt die individuelle Ortskennung mit der Referenz-Ortskennung überein, ist sichergestellt, dass der sichere Busteilnehmer 60 an dem für ihn vorgesehenen Einbauort innerhalb des Feldbuses 70 angeschlossen ist. Unter Steuerung des Mikroprozessors 90 wird daraufhin eine sichere Nachricht erzeugt, die zumindest eine Information darüber enthält, dass die Referenz-Ortskennung und die in den Speichern 88 und 94 gespeicherten Ortskennungen übereinstimmen. Zusätzlich kann die sichere Nachricht die Herstellerkennung, die Seriennummer und/oder den Gerätetyp des sicheren Busteilnehmers 60 enthalten. Die sichere
Nachricht wird im Ausgangsregister 86 zwischengespeichert. Während eines entsprechenden Datenzyklus wird sie in einen Summenrahmen eingebettet und über den Interbus-Master 30 und den Koppelspeicher 40 weiter zur sicheren Steuereinrichtung 50 übertragen. Unter Ansprechen auf die sichere Nachricht signalisiert die sichere Steuereinrichtung 50 dem Anwender, dass der sichere Busteilnehmer 60 sowohl im ersten als auch im zweiten Kommunikationszyklus die gleiche Ortskennung erhalten hat, die ferner mit der gespeicherten Referenz-Ortskennung übereinstimmt. Damit ist sicher gestellt, dass der Busteilnehmer 60 am vorbestimmten Einbauort angeschaltet ist.
Sobald feststeht, dass alle sicheren Busteilnehmer an den für sie vorbestimmten Einbauorten angeschaltet sind, kann das Interbus-Übertragungssystem 10 anlaufen und es können Prozessdaten übertragen werden.
Angenommen sei nunmehr ein zweiter Unterfall, bei dem der Vergleicher 92 des sicheren Busteilnehmers 60 festgestellt hat, dass die in den Speichern 88 und 94 hinterlegten Ortskennungen nicht übereinstimmen. In diesem Fall sorgt der Mikroprozessor 90 dafür, dass der sichere Busteilnehmer 60 in einen sicheren Zustand überführt, eine sichere Nachricht, die zumindest den Gerätetyp des sicheren Busteilnehmers 60 enthält, erzeugt und zur sicheren Steuereinrichtung 50 übertragen wird. Unter Ansprechen auf die sichere Nachricht kann die sichere Steuereinrichtung 50 den Anwender darüber informieren, dass ein Fehler aufgetreten ist. Die sichere Steuereinrichtung 50 kann dann automatisch oder durch den Anwender veranlasst das gesamte Interbus-Übertragungssystem 10 abschalten oder in einen sicheren Zustand zu überführen.
Angenommen sei ein dritter Unterfall, bei dem der Vergleicher 92 festgestellt hat, dass die in den Speichern 88 und 94 hinterlegten Ortskennungen, aber nicht mit der im Speicher 96 hinterlegten Referenz-Ortskennung 1 übereinstimmen. Daraufhin erzeugt der Mikroprozessor 90 eine sichere Nachricht, die vorzugsweise den Gerätetyp, die Herstellerkennung, die Seriennummer des sicheren Busteilnehmers 60 und eine Information enthält, die anzeigt, dass ein Systemfehler vorliegt oder der sichere Busteilnεhmer ausgetauscht oder an einem anderen Einbauort angeschaltet worden ist.
Die sichere Nachricht wird, wie oben beschrieben, während eines Datenzyklus in einem Summenrahmen über den Interbus- Master, den Koppelspeicher 40 zur sicheren Steuereinrichtung 50 übertragen. Unter Ansprechen auf die sichere Nachricht meldet die sichere Steuereinrichtung 50 in Schritt 10 dem Anwender, dass die zum sichern
Busteilnehmer 60 übertragenen individuelle Ortskennung nicht mit der im Speicher 96 hinterlegten Referenz- Ortskennung übereinstimmen. Ein Grund hierfür kann darin liegen, dass der Anwender entweder den sicheren Busteilnehmer 60 ausgetauscht oder an einem anderen Ort innerhalb des Feldbuses 70 angeschaltet hat.
Anhand der in der sicheren Nachricht übertragenen Herstellerkennung, dem Geräte-Typ und/oder der Seriennummer des sicheren Busteilnehmers 60 sowie der in der sicheren Steuereinrichtung 50 abgelegten Konfigurationsdatensätzen kann geprüft werden, ob ein Teilnehmertausch stattgefunden hat oder ob aus anderen Gründen eine falsche Ortskennung dem sicheren Busteilnehmer 60 übermittelt worden ist.
Hat der Anwender tatsächlich den sicheren Busteilnehmer 60 ausgetauscht und stimmt die in der sicheren Nachricht empfangene Herstellerkennung und/oder der Gerätetyp mit dem Konfigurationsdatensatz, der in der sicheren Steuereinrichtung 50 abgelegt ist überein, wird der
Anwender aufgefordert, die Ortskennungsänderung gegenüber der sicheren Steuereinrichtung 50 zu bestätigen oder abzulehnen. Wenn der Anwender die Ortskennungsänderung bestätigt hat, wird die Seriennummer des jeweiligen sicheren Busteilnehmers in dem Konfigurationsdatensatz, welcher in der sichern Steuereinrichtung 50 abgelegt ist, überschrieben.
Die sichere Steuereinrichtung 50 kann gemäß einem
Ausführungsbeispiel daraufhin eine sichere Nachricht, welche den Bestätigungshinweis und zum Beispiel die Ortskennung, den Geräte-Typ und/oder die Herstellerkennung des neuen sicheren Busteilnehmers enthält, zum Interbus- Master 30 übertragen, der daraufhin in einem weiteren
Datenzyklus die sichere Nachricht in einem Summenrahmen zum neuen sicheren Busteilnehmer überträgt. Unter Ansprechen auf die sichere Nachricht sorgt der Mikroprozessor 90 des neuen sicheren Busteilnehmers dafür, dass die Ortskennung, welche im Speicher 88 oder im Speicher 94 gespeichert ist, als neue Referenz-Ortskennung in den Speicher 96 übernommen wird.
Alternativ kann die neue Ortskennung auch ohne vorherige Bestätigung des neuen Einbauortes durch den Anwender aus dem Speicher 88 oder aus dem Speicher 94 in den Speicher 96 übernommen werden.
Wird hingegen die Ortskennungsänderung nicht vom Anwender bestätigt, sorgt die sichere Steuereinrichtung 50 und/oder der sichere Busteilnehmer dafür, dass der sichere Busteilnehmer und/oder die Steuer- und
Datenübertragungsanlage in einen sicheren Zustand gefahren werden .
Anzumerken ist, dass ein Teilnehmertausch oder das Anschalten eines sicheren Busteilnehmers an einen anderen Einbauort auch dann erkannt werden kann, wenn zufälliger Weise die zu ihm während eines ersten und zweiten Kommunikationszklus übertragenen Ortskennungen mit der im Speicher 96 abgelegten Referenz-Ortskennung übereinstimmen. In diesem Fall kann die sichere Steuereinrichtung 50 anhand der vom sicheren Busteilnehmer in der sicheren Nachricht übertragenen Seriennummer oder Herstellerkennung durch Vergleich mit den hinterlegten Konfigurationsdatensätzen prüfen, ob ein Teilnehmertausch stattgefunden hat.
Da im Interbus-Master 30 alle Konfigurationsdaten, die sowohl die sicheren als auch die nicht sicheren
Busteilnehmer beschreiben, enthalten sind, können Fehler bei einer Änderung der Konfiguration auch während eines Anlaufs des Interbus-Übertragungssystems 10 erkannt werden.

Claims

Patentansprüche
1. Verfahren zum Überprüfen des Einbauortes wenigstens eines sicheren, an eine Steuer- und
Datenübertragungsanlage (10) angeschalteten Teilnehmers (60), wobei an die Steuer- und Datenübertragungsanlage eine nicht sichere Kommunikationsteuereinrichtung (30) angeschaltet ist, welcher eine sichere Steuereinrichtung (50) zugeordnet ist, wobei die nicht sichere
Kommunikationssteuereinrichtung (30) die Position jedes angeschalteten Teilnehmers in der Steuer- und Datenübertragungsanlage (10) kennt, mit folgenden Verfahrenschritten:
- in der nicht sicheren
Kommunikationssteuereinrichtung (30) wird ein erster Konfigurationsdatensatzes abgelegt, der Angaben über die Position aller angeschalteten Teilnehmer bezüglich der Steuer- und Datenübertragungsanlages (10) und eine individuelle Ortskennung für jeden sicheren Teilnehmer (60) enthält;
- in der sicheren Steuereinrichtung (50) wird ein zweiter Konfigurationsdatensatzes abgelegt, der eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält;
- in einem ersten Kommunikationszyklus wird jeweils eine individuelle Ortskennung von der nicht sicheren Kommunikationssteuereinrichtung (30) zu jedem sicheren Teilnehmer (60) übertragen;
- die im zweiten Konfigurationsdatensatz enthaltenen individuellen Ortskennungen werden in sicheren Nachrichten von der sicheren Steuereinrichtung (50) zur nicht sicheren Kommunikationssteuereinrichtung (30) übertragen,
- in einem zweiten Kommunikationszyklus werden die in den empfangenen sicheren Nachrichten enthaltenen individuellen Ortskennungen von der nicht sicheren
Kommunikationssteuereinrichtung (30) zu den jeweiligen sicheren Teilnehmern (60) übertragen; jeder sichere Teilnehmer vergleicht die im ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen;
- wenn ein sicherer Teilnehmer eine Übereinstimmung der individuellen Ortskennungen feststellt, wird geprüft, ob in dem jeweiligen sicheren Teilnehmer eine Referenz-Ortskennung abgelegt ist; - wenn eine Referenz-Ortskennung in dem jeweiligen sicheren Teilnehmer abgelegt ist, wird die individuelle Ortskennung mit der Referenz-Ortskennung verglichen;
- wenn die individuelle Ortskennung mit der gespeicherten Referenz-Ortskennung des jeweiligen sicheren Teilnehmers übereinstimmt, wird der sicheren Steuereinrichtung (50) signalisiert, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die im ersten und/oder zweiten Kommunikationszyklus übertragene individuelle Ortskennung als Referenz- Ortskennung im jeweiligen sicheren Teilnehmer gespeichert wird, wenn bisher keine Referenz- Ortskennung abgelegt worden ist; dass die sichere Steuereinrichtung (50) von dem jeweiligen sicheren Teilnehmer eine sichere Nachricht erhalt, die Informationen darüber enthält, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert ist; und dass
- unter Ansprechen auf die empfangene sichere Nachricht die sichere Steuereinrichtung (50) eine Bedienperson darüber informiert, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine
Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert ist , und die Bedienperson auffordert, zu bestätigen, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass bei einer Übereinstimmung der im ersten und zweiten
Kommunikationszyklus empfangenen individuellen Ortskennungen die im jeweiligen sicheren Teilnehmer gespeicherte Referenz-Ortskennung mit der individuellen Ortskennung verglichen wird, dass, wenn die Referenz-Ortskennung nicht mit der individuellen Ortskennung übereinstimmt, die Referenz- Ortskennung durch die individuelle Ortskennung überschrieben wird, dass der jeweilige sichere Teilnehmer mittels einer sicheren Nachricht die sichere Steuereinrichtung (50) informiert, dass die im ersten und zweiten Kommunikationszyklus empfangenen individuellen
Ortskennungen nicht mit der gespeicherten Referenz- Ortskennung übereinstimmen, und dass unter Ansprechen auf die empfangene sichere Nachricht die sichere Steuereinrichtung (50) eine Bedienperson darüber informiert, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass die Ortskennungen jedoch nicht mit der Referenz-Ortskennung im jeweiligen sicheren Teilnehmer übereinstimmen, sowie die Bedienperson auffordert, zu bestätigen, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
4. Verfahren nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass der jeweilige sichere Teilnehmer (60) und/oder die Steuer- und Datenübertragungsanlage (10) in einen sicheren Zustand überführt werden, wenn die Bedienperson nicht bestätigt, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Teilnehmer keine Übereinstimmung der im ersten und zweiten Kommunikations zyklus empfangenen individuellen Ortskennungen feststellt.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Referenz-Ortskennung im jeweiligen sicheren Teilnehmer erst dann durch die individuelle
Ortskennung ersetzt wird, wenn die Bedienperson bestätigt hat, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
5. Verfahren nach einem der Ansprüche 1 bis 5,' dadurch gekennzeichnet, dass die Steuer- und Datenübertragungsanlage (10) ringförmig ausgebildet ist.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Steuer- und Datenübertragungsanlage (10) einen Feldbus (70) nach dem Interbus-Standard enthält, dass der erste Kommunikationszyklus der ID-Zyklus und der zweite Kommunuikationszyklus der Datenzyklus des Interbus-Protokolls ist und die individuellen Ortskennungen an vorbestimmten Stellen innerhalb eines Summenrahmens von der nicht sicheren Kommunikationssteuereinrichtung (30) zu den jeweiligen sicheren Teilnehmern übertragen werden.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass in dem zweiten Konfigurationsdatensatz für jeden sicheren Teilnehmer wenigstens ein teilnehmerspezifischer Parameter, insbesondere die Herstellerkennung und der Gerätetyp enthalten ist, und dass bei der ersten Inbetriebnahme der Steuer- und
Datenübertragungsanlages oder dem Tausch von sicheren Teilnehmern die sicheren Teilnehmer wenigstens einen teilnehmerspezifischen Parameter und die Seriennummer in wenigstens einer sicheren Nachricht zur sicheren Steuereinrichtung (50) übertragen, wobei die
Seriennummer des jeweiligen sicheren Teilnehmers dem zweiten Konfigurationsdatensatz zugefügt wird.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die von der sicheren Steuereinrichtung (50) kommenden sicheren Nachrichten, die die individuellen Ortskennungen enthalten, in dem zweiten Kommunikationszyklus von der nicht sicheren Kommunikationssteuereinrichtung (30) zu den jeweiligen sicheren Teilnehmern weitergeleitet werden.
10. Steuer- und Datenübertragungsanlage, insbesondere zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9, mit einer Übertragungseinrichtung (70) , an welcher wenigstens eine nicht sichere Kommunikationssteuereinrichtung (30) und wenigstens ein sicherer Teilnehmer (60) angeschaltet sind, wobei die nicht sichere kommunikationssteuereinrichtung (30) die Position jedes angeschalteten Teilnehmers kennt und eine Speichereinrichtung zum Speichern eines ersten Konfigurationsdatensatzes aufweist, der Angaben über die Position aller angeschalteten Teilnehmer bezüglich der Steuer- und Datenübertragungsanlage (10) und eine individuelle Ortskennung für jeden sicheren Teilnehmer (60) enthält, einer der nicht sicheren Kommunikationssteuereinrichtung (30) zugeordneten sicheren Steuereinrichtung (50) mit einer Speichereinrichtung zum Speichern eines zweiten Konfigurationsdatensatzes, der eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält, wobei die sichere Steuereinrichtung (50) zum Erzeugen und Übertragen einer sicheren Nachricht, die die individuelle Ortskennung eines sicheren Teilnehmers (60) enthält, zur nicht sicheren
Kommunikationssteuereinrichtung (30) aufweist, wobei die nicht sichere Kommunikationssteuereinrichtung -(30) zum Übertragen von individuellen Ortskennungen zu sicheren Teilnehmern (60) während eines ersten Kommunikationszyklus und zum Übertragen der von der sicheren Steuereinrichtung (50) erhaltenen individuellen Ortskennungen zu den sicheren Teilnehmern (60) während eines zweiten Kommunikationszyklus ausgebildet ist, wobei jeder sichere Teilnehmer eine Speichereinrichtung (96) zum Speichern einer Referenz-Ortskennung, eine Einrichtung (92) zum Vergleichen der während des ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen, eine Einrichtung zum Vergleichen der empfangenen individuellen Ortskennungen mit einer Referenz-Ortskennung, eine Einrichtung zum Übertragen wenigstens einer sicheren Nachricht zur sicheren Steuereinrichtung, wobei die sichere Nachricht eine Information über die Vergleichsergebnisse enthält, aufweist, wobei die sichere Steuereinrichtung (50) unter Ansprechen auf die von einem sicheren Teilnehmer empfangene sichere Nachricht eine Bedienperson auffordert, zu bestätigen, dass der sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
11. Steuer- und Datenübertragungsanlage nach Anspruch 10, gekennzeichnet durch eine Einrichtung- zum Überführen eines sicheren Teilnehmers und/oder der Steuer- und Datenübertragungsanlage in einen sicheren Zustand, wenn die Bedienperson nicht bestätigt, dass der entsprechende sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Teilnehmer feststellt, dass die im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen nicht übereinstimmen.
12. Steuer- und Datenübertragungsanlage nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass die sichere Steuereinrichtung (50) über einen Koppelspeicher (40) mit der nicht sicheren
Kommunikationssteuereinrichtung (30) verbunden ist.
13. Steuer- und Datenübertragungsanlage nach einem der Ansprüche 1 bis 12, gekennzeichnet durch eine programmierbare Steuereinheit (90), die unter Ansprechen darauf, dass die im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen nicht mit der in der Speichereinrichtung eines jeweiligen sicheren Teilnehmers gespeicherte Referenz-Ortskennung den jeweiligen sicheren Teilnehmer veranlasst, die Referenz-Ortskennung durch die individuelle Ortskennung zu überschreiben.
PCT/EP2007/002235 2006-03-22 2007-03-14 Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers WO2007107271A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
EP07723245A EP1996983B1 (de) 2006-03-22 2007-03-14 Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers
US12/293,457 US8134448B2 (en) 2006-03-22 2007-03-14 Method and control and data-transmission system for checking the installation location of a safety communications component
CN200780010085XA CN101405666B (zh) 2006-03-22 2007-03-14 用于验证安全通信部件安装位置的方法及控制和数据传送系统
JP2009500739A JP4827964B2 (ja) 2006-03-22 2007-03-14 安全通信構成部品の取付け場所を検証するための方法ならびに制御およびデータ伝送システム
AT07723245T ATE511727T1 (de) 2006-03-22 2007-03-14 Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006013578A DE102006013578B4 (de) 2006-03-22 2006-03-22 Verfahren und Steuer- und Datenübertragungsanlage zum Überprüfen des Einbauortes eines sicheren Kommunikationsteilnehmers
DE102006013578.4 2006-03-22

Publications (1)

Publication Number Publication Date
WO2007107271A1 true WO2007107271A1 (de) 2007-09-27

Family

ID=38180160

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/002235 WO2007107271A1 (de) 2006-03-22 2007-03-14 Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers

Country Status (8)

Country Link
US (1) US8134448B2 (de)
EP (1) EP1996983B1 (de)
JP (1) JP4827964B2 (de)
CN (1) CN101405666B (de)
AT (1) ATE511727T1 (de)
DE (1) DE102006013578B4 (de)
ES (1) ES2362539T3 (de)
WO (1) WO2007107271A1 (de)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1980520A1 (de) * 2007-04-10 2008-10-15 Inventio Ag Verfahren zur Einstellung einer Vielzahl von Bedieneinheiten einer Aufzugsanlage mit einer Vielzahl von Stockwerken
DE102008019195A1 (de) * 2008-04-17 2009-10-29 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung
WO2010052333A1 (de) * 2008-11-10 2010-05-14 Airbus Operations Gmbh Verfahren und vorrichtung zum übertragen von daten über netzwerk-knoten eines netzwerkes
US8306064B2 (en) * 2009-01-12 2012-11-06 Trane International Inc. System and method for extending communication protocols
FI122474B (fi) * 2010-12-01 2012-02-15 Kone Corp Hissin turvakytkentä sekä menetelmä hissin turvakytkennän toiminnallisen poikkeaman tunnistamiseksi
DE102011075416A1 (de) * 2011-05-06 2012-11-08 Zf Friedrichshafen Ag Steuerungseinrichtung eines Kraftfahrzeugs
EP2591575B1 (de) 2011-06-28 2014-07-30 Siemens Aktiengesellschaft Verfahren zur prüfung eines installationsortes einer komponente und automatisierungskomponente
DE102011108102A1 (de) * 2011-07-20 2013-01-24 Marantec Antriebs- Und Steuerungstechnik Gmbh & Co. Kg Steuerungsverfahren für einen Torantrieb und Torantrieb
CN102707678B (zh) * 2012-05-16 2014-11-12 中国铁道科学研究院机车车辆研究所 一种轨道交通车辆网络系统的输入输出工作站
DE102012106449B4 (de) * 2012-07-18 2021-06-17 Wago Verwaltungsgesellschaft Mbh Speicherung einer Soll-Adresse in einem Gerät einer Steuerungsanlage
DE102013105097A1 (de) 2013-05-17 2014-11-20 Wago Verwaltungsgesellschaft Mbh Steuerungseinrichtung und Verfahren zum Umschalten von Ein-/Ausgabeeinheiten einer Steuerungseinrichtung
US9452909B2 (en) * 2013-10-25 2016-09-27 Thyssenkrupp Elevator Ag Safety related elevator serial communication technology
PL3230192T3 (pl) * 2014-12-12 2019-06-28 Inventio Ag Sposób oraz urządzenie do rozruchu przy oddaniu do eksploatacji instalacji dźwigowej
EP3070551B1 (de) * 2015-03-17 2018-04-25 Siemens Aktiengesellschaft Datenbuskoppler und verfahren zum betrieb
JP6715020B2 (ja) * 2016-02-10 2020-07-01 シャープ株式会社 走行装置
US11319185B2 (en) 2016-03-30 2022-05-03 Inventio Ag Elevator system having a central control unit and a plurality of field devices which communicate via a summation frame method
CN108217349B (zh) * 2017-12-06 2020-10-13 上海新时达电气股份有限公司 一种电梯预先授权控制系统及调试方法
DE102018001574B4 (de) 2018-02-28 2019-09-05 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Master-Slave Bussystem und Verfahren zum Betrieb eines Bussystems
DE102018010209A1 (de) * 2018-02-28 2019-08-29 WAGO Verwaltungsgesellschaft mit beschränkter Haftung Master-Slave Bussystem und Verfahren zum Betrieb eines Bussystems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3838152A1 (de) * 1988-11-10 1990-05-31 Kloeckner Moeller Elektrizit Verfahren und identifizierung von busteilnehmern
DE19934514C1 (de) * 1999-07-22 2001-02-08 Pilz Gmbh & Co Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers
EP1206868B1 (de) * 1999-08-23 2005-03-16 PILZ GmbH & CO. Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4090248A (en) * 1975-10-24 1978-05-16 Powers Regulator Company Supervisory and control system for environmental conditioning equipment
US5835873A (en) * 1997-02-21 1998-11-10 Breed Automotive Technology, Inc. Vehicle safety system with safety device controllers
US5825098A (en) * 1997-02-21 1998-10-20 Breed Automotive Technologies, Inc. Vehicle safety device controller
US6522247B2 (en) * 2000-05-23 2003-02-18 Kabushiki Kaisha Toshiba Apparatus monitoring system and apparatus monitoring method
CN1232436C (zh) * 2000-08-07 2005-12-21 因温特奥股份公司 电梯的监控装置和监控电梯安全链路的方法
DE60237888D1 (de) * 2001-06-22 2010-11-18 Omron Tateisi Electronics Co Sicherheitsnetzwerksystem, sicherheits-slave und sicherheitssteuerung
CN1518816B (zh) * 2001-06-22 2010-04-28 欧姆龙株式会社 安全网络系统及安全从动装置
JP2003300680A (ja) * 2002-04-10 2003-10-21 Takao Suzuki エレベータシステムおよびその制御方法
US7743257B2 (en) * 2002-06-27 2010-06-22 Nxp B.V. Security processor with bus configuration
SG112018A1 (en) * 2003-11-11 2005-06-29 Inventio Ag Elevator installation and monitoring system for an elevator installation
CN1914573B (zh) * 2003-12-23 2011-05-04 雷鸟有限公司 模块化灌溉控制器及其扩展模块
JP2005316633A (ja) * 2004-04-28 2005-11-10 Hitachi Ltd 建築物、構造物、あるいはそれらに付随する設備の点検および監視方法
DE502004003469D1 (de) * 2004-05-10 2007-05-24 Siemens Ag Sicherheitsgerichtete Übertragung von Daten
JP3841093B2 (ja) * 2004-07-27 2006-11-01 松下電工株式会社 遠隔監視制御システム用設定器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3838152A1 (de) * 1988-11-10 1990-05-31 Kloeckner Moeller Elektrizit Verfahren und identifizierung von busteilnehmern
DE19934514C1 (de) * 1999-07-22 2001-02-08 Pilz Gmbh & Co Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers
EP1206868B1 (de) * 1999-08-23 2005-03-16 PILZ GmbH & CO. Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen

Also Published As

Publication number Publication date
DE102006013578A1 (de) 2007-09-27
ES2362539T3 (es) 2011-07-07
ATE511727T1 (de) 2011-06-15
CN101405666B (zh) 2011-06-01
JP4827964B2 (ja) 2011-11-30
US8134448B2 (en) 2012-03-13
DE102006013578B4 (de) 2008-03-27
JP2009530931A (ja) 2009-08-27
EP1996983B1 (de) 2011-06-01
US20090299503A1 (en) 2009-12-03
EP1996983A1 (de) 2008-12-03
CN101405666A (zh) 2009-04-08

Similar Documents

Publication Publication Date Title
EP1996983B1 (de) Verfahren und steuer- und datenübertragungsanlage zum überprüfen des einbauortes eines sicheren kommunikationsteilnehmers
EP1875724B1 (de) Adressvergabe für sichere teilnehmer eines interbus feldbusses
DE19904090C2 (de) Verfahren und Vorrichtung zur automatischen Steuerung und Verwaltung medizinischer Geräte und Anlagen
DE102006057133B4 (de) Verfahren zum Betreiben eines ethernetfähigen Feldbusgerätes
DE19934514C1 (de) Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen Busteilnehmers
EP1789857B1 (de) Datenübertragungsverfahren und automatisierungssystem zum einsatz eines solchen datenübertragungsverfahrens
EP3177973B1 (de) Verfahren zum betreiben einer sicherheitssteuerung und automatisierungsnetzwerk mit einer solchen sicherheitssteuerung
WO2002049273A2 (de) Automatische konfiguration eines netzwerkes
DE102009033529A1 (de) Vorrichtung und Verfahren zum Steuern einer automatisierten Anlage, insbesondere eine Eisenbahnanlage
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
DE102011011587A1 (de) Portunabhängiges topologisch geplantes Echtzeitnetzwerk
EP2825921B1 (de) Steuerungsvorrichtung zum steuern von sicherheitskritischen prozessen in einer automatisierten anlage und verfahren zur parameterierung der steuerungsvorrichtung
EP3080950B1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
WO2001015385A2 (de) Verfahren zum konfigurieren eines sicheren busteilnehmers und sicheres steuerungssystem mit einem solchen
EP2233991A1 (de) Sicherheitsgerichtetes Automatisierungssystem mit automatischer Adresswiederherstellung
EP2203821B1 (de) Verfahren zur sicheren datenübertragung und gerät
DE10243384B4 (de) Verfahren zur permanenten redundanten Übertragung von Datentelegrammen in Kommunikationssystemen
DE19940874A1 (de) Verfahren zum Konfigurieren eines sicheren Busteilnehmers und sicheres Steuerungssystem mit einem solchen
DE69836937T2 (de) Verfahren zur Störungsbeseitigung und Kommunikationssystem
EP1550267A2 (de) Verfahren zur änderung eines parameters für den betrieb eines netzwerks sowie teilnehmer zur durchführung des verfahrens
EP3876053A1 (de) Verfahren zur aufdeckung von adressierungsfehlern und feldgerät
EP3869331A1 (de) Verfahren zur anpassung von f-adressen und anlagenmodul
DE10245668A1 (de) Elektrisches Gerät zur Kommunikation mit einem Automatisierungssystem und korrespondierendes Kommunikationsverfahren
WO2000033588A1 (de) Verfahren zum hochfahren einer zwischenschnittstelle, z.b. einer v5.2-schnittstelle
DE1257221B (de) Verfahren zum Steuern von Speichereinrichtungen, insbesondere in einem mit Umlaufspeichern aufgebauten Zeitmultiplex-Vermittlungssystem

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07723245

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2007723245

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2009500739

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 200780010085.X

Country of ref document: CN

WWE Wipo information: entry into national phase

Ref document number: 12293457

Country of ref document: US