Verfahren und Steuer- und Datenübertragungsanlage zum Überprüfen des Einbauortes eines sicheren Koπununikationsteilnehmers
Beschreibung
Die Erfindung betrifft ein Verfahren zum Überprüfen des Einbauortes wenigstens eines sicheren, an eine Steuer- und Datenübertragungsanlage angeschalteten
Kommunikationsteilnehmers sowie eine Steuer- und Datenübertragungsanlage, die insbesondere zur Durchführung dieses Verfahrens geeignet ist.
Steuer- und Datenübertragungsanlagen nehmen heute aufgrund des damit möglichen hohen Automatisierungsgrades eine herausragende Stellung in der industriellen Fertigung und Anlagensteuerung ein. Sehr verbreitet ist die Verwendung eines KommunikationsSystems, über das eine Vielzahl dezentraler Ein- und Ausgabeeinheiten mit einer zentralen Steuerungseinrichtung verbunden werden.
Zur Einhaltung von Sicherheitsstandards bei der Durchführung sicherheitskritischer Prozesse werden in der Automatisierungstechnik vorwiegend Kommunikationssysteme eingesetzt, die beispielsweise einen CAN-Bus, Profibus oder INTERBUS in Verbindung mit sicherheitsgerichteten Buskomponenten enthalten. Bei sicherheitsgerichteten Prozessen werden zum Beispiel Schutzgitter und Schutztüren überwacht sowie Zweihand-Schalter und Not-Aus-Schalter angesteuert. Die an ein solches Kommunikationssystem angeschlossenen Buskomponenten werden im Folgenden auch als
Teilnehmer oder Busteilnehmer bezeichnet. Sicherheitsgerichtete Buskomponenten werden auch als sichere Busteilnehmer bezeichnet, die zusammen mit nicht sicheren Busteilnehmern an einem solchen Kommunikationssystem angeschlossen werden können.
Es ist bekannt, einem sicheren Busteilnehmer zur Erhöhung der Sicherheit eine individuelle Teilnehmeradresse zuzuordnen, welche beispielsweise direkt am Busteilnehmer eingestellt werden kann.
Aus EP 1 206 868 Bl ist ferner ein Verfahren zum Konfigurieren eines sicheren Busteilnehmers sowie ein Steuerungssystem bekannt, welches einen solchen Busteilnehmer aufweist. Bei dem in EP 1 206 868 Bl beschriebenen Verfahren ist eine Verwaltungseinheit für die Vergabe von Teilnehmeradressen vorgesehen, welche an den Bus angeschlossen ist. Für die Verwaltungseinheit ist ein spezieller Wartungsmodus vorgesehen, in welchem Wartungstelegramme über den Bus versandt werden. Bei
Empfang eines solchen Wartungstelegramms wird von einem sicheren Busteilnehmer ein Anmeldetelegramm an die Verwaltungseinheit gesandt, welches eine festgelegte Universaladresse umfasst. Empfängt die Verwaltungseinheit wiederum ein solches Δnmeldetelegramm mit einer enthaltenen Universaladresse, sendet sie ein Adressvergabetelegramm mit einer definierten Teilnehmeradresse an den sicheren Busteilnehmer zurück, wo diese gespeichert wird.
Aus DE 199 34 514 Cl ist ein Verfahren zum Konfigurieren eines an einen Feldbus angeschlossenen sicheren Busteilnehmers bekannt, welches das Übermitteln einer logischen und einer physikalischen Adresse an den sicheren Busteilnehmer von einer Adressvergabeeinheit vorsieht. Die
übermittelte physikalische Adresse wird anhand einer tatsächlichen physikalischen Position des sicheren Busteilnehmers verifiziert und die logische Adresse in Abhängigkeit von der Verifikation in einem Speicher des Busteilnehmers gespeichert.
Aus der DE 10 2005 019970 Al ist ein Verfahren zur Adressvergabe für sichere Busteilnehmer bekannt, die vorzugsweise an einem ringförmigen Feldbus nach dem Interbus-Standard angeschlossen sind. Die sicheren
Busteilnehmer weisen eine sichere Kommunuikationsschicht auf, die auch Safety-Communication-Layer-Slave (SCLS) genannt wird, um sicherer Nachrichten erzeugen und austauschen zu können. An den Feldbus ist ferner ein Interbus-Master angeschlossen, dem eine sichere
Steuereinheit mit einer sicheren Kommunάkations-Schicht zugeordnet ist, die auch Safety-Communication-Layer-Master (SCLM) genannt wird. Um eine sichere Datenübertragung zwischen dem Interbus-Master und sicheren Busteilnehmern zu ermöglichen, wird der SCLS jedes sichern Busteilnehmers eine Connection-ID zugeordnet. Mit Hilfe der Connection-ID wird erreicht, dass die SCLM immer mit einer gewünschten SCLS kommunizieren kann.
Mit keinem der eingangs genannten Systeme ist es jedoch möglich, ohne Verwendung von Adressschaltern an sicheren Teilnehmern sowohl bei der ersten Inbetriebnahme als auch bei wiederholtem Anlauf einer Steuer- und Datenübertragungsanlage zuverlässig prüfen zu können, ob ein sicherer Teilnehmer auch wirklich am gewünschten Einbauort der Steuer- und Datenübertragungsanlage angeschaltet ist.
Der vorliegenden Erfindung liegt demzufolge die Aufgabe zugrunde, ein Verfahren sowie eine Steuer- und Datenubertragungsanlage bereitzustellen, mit denen eine zuverlässige Überprüfung des Einbauorts eines sicheren Teilnehmers jederzeit möglich ist.
Ein Kerngedanke der Erfindung ist darin zu sehen, in zwei unabhängigen Kommunikationszyklen einem sicheren Teilnehmer eine Ortskennung zu übermitteln und dann einen Bezug zwischen der, dem sicheren Teilnehmer zugeordneten
Ortskennung und dessen Einbauort derart herzustellen, dass zuverlässig geprüft werden kann, ob der sichere Teilnehmer an dem Einbauort angeschaltet ist, den ein Anwender auch tatsächlich dafür vorgesehen hat.
Das oben genannte technische Problem wird zum einen durch die Verfahrensschritte des Anspruchs 1 gelost.
Danach ist ein Verfahren zum Überprüfen des Einbauortes wenigstens eines sicheren, an eine Steuer- und
Datenubertragungsanlage angeschalteten Teilnehmers vorgesehen, wobei an die Steuer- und
Datenubertragungsanlage eine nicht sichere
Kommunikationssteuereinrichtung angeschaltet ist, welcher eine sichere Steuereinrichtung zugeordnet ist. Die nicht sichere Kommunikationssteuereinrichtung kennt die Position jedes angeschalteten Teilnehmers in der Steuer- und
Datenubertragungsanlage .
In der nicht sicheren Kommunikationssteuereinrichtung wird ein erster Konfigurationsdatensatz abgelegt, der Angaben über die Position aller angeschalteten Teilnehmer bezuglich der Steuer- und Datenubertragungsanlage und eine individuelle Ortskennung für jeden sicheren Teilnehmer
enthält. Der Konfigurationsdatensatz kann von einem Anwender erstellt werden, der die Steuer- und Datenübertragungsanlage nach seinen Vorstellungen projektieren will. Mit anderen Worten spiegelt der erste Konfigurationsdatensatz vorzugsweise den projektierten
Aufbau der Steuer- und Datenübertragungsanlages wieder. Ein zweiter Konfigurationsdatensatz wird in der sicheren Steuereinrichtung abgelegt. Der zweite Konfigurationsdatensatz enthält eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer.
An dieser Stelle sei erwähnt, dass insbesondere bei Steuer- und Datenübertragungsanlagen gemäß dem Interbus-Standard entsprechende Konfigurations-Tools bekannt sind, mit denen der Anwender die entsprechenden Konfigurationsdatensätze erstellen kann.
Nach dieser eigentlichen Konfigurationsphase werden in einem ersten Kommunikationszyklus jeweils eine individuelle Ortskennung von der nicht sicheren Kommunikationssteuereinrichtung zu jedem sicheren Teilnehmer, der an der Steuer- und Datenübertragungsanlage angeschaltet ist, übertragen. Die im zweiten Konfigurationsdatensatz enthaltenen individuellen
Ortskennungen werden in sicheren Nachrichten von der sicheren Steuereinrichtung zur nicht sicheren Kommunikationssteuereinrichtung übertragen. Nunmehr werden in einem zweiten Kommunikations εyklus die in den empfangenen sicheren Nachrichten enthaltenen individuellen Ortskennungen von der nicht sicheren
Kommunikationssteuereinrichtung zu den jeweiligen sicheren Teilnehmern übertragen. Jeder sichere Teilnehmer vergleicht die im ersten und zweiten Kommunikationszyklus empfangen
individuellen Ortskennungen. Wenn ein sicherer Teilnehmer eine Übereinstimmung zwischen den individuellen Ortskennungen feststellt, wird geprüft, ob in dem jeweiligen sicheren Teilnehmer bereits eine Referenz- Ortskennung abgelegt ist. Ist eine Referenz-Ortskennung in dem jeweiligen sicheren Teilnehmer abgelegt, wird die individuelle Ortskennung, die im ersten oder im zweiten Kommunikationszyklus empfangen worden ist, mit der Referenz-Ortskennung verglichen. Stimmt die individuelle Ortskennung mit der gespeicherten Referenz-Ortskennung des jeweiligen sicheren Teilnehmers .überein, wird der sicheren Steuereinrichtung signalisiert, dass der jeweilige sichere Busteilnehmer am vorbestimmten Einbauort angeschaltet ist.
Dank der Übertragung einer individuellen Ortskennung in zwei separaten Kommunikationszyklen und dem Vergleich der empfangenen individuellen Ortskennungen mit einer im sicheren Teilnehmer gespeicherten Referenz-Ortskennung kann zuverlässig geprüft werden, ob der jeweilige sichere Teilnehmer auch tatsächlich an dem vom Anwender vorgesehenen Einbauort der Steuer- und Datenübertragungsanlage angeschaltet ist.
Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
Das Verfahren zur Überprüfung des Einbauortes eines sicheren Busteilnehmers ist auch dazu geeignet, bei der ersten Inbetriebnahme der Steuer- und Datenübertragungsanlage zuverlässig prüfen zu können, ob alle sicheren Teilnehmer auch an den Einbauorten angeschaltet sind, die bei der Konfigurationsphase vom • Anwender vorgegeben worden sind. Hierzu wird die im ersten oder zweiten Kommunikationszyklus übertragene individuelle
Ortskennung als Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert, wenn bisher noch keine Referenz- Ortskennung oder alternativ eine vorbestimmte Standard- Referenz-Ortskennung abgelegt worden ist. Die sichere Steuereinrichtung erhält von dem jeweiligen sicheren Teilnehmer eine sichere Nachricht, die Informationen darüber enthält, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine Referenz-Ortskennung im jeweiligen sicheren Teilnehmer gespeichert ist. Unter
Ansprechen auf die empfangene sichere Nachricht informiert die sichere Steuereinrichtung eine Bedienperson darüber, dass die in dem ersten und zweiten Kommunikationszyklus übertragenen Ortskennungen übereinstimmen und dass noch keine Referenz-Ortskennung im jeweiligen sicheren
Teilnehmer gespeichert ist. Die sichere Steuereinrichtung fordert dann die Bedienperson auf, zu bestätigen, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
Auch während eines erneuten Anlaufs der Steuer- und Datenübertraguπgsanlages kann jederzeit zuverlässig überprüft werden, ob die jeweiligen sicheren Teilnehmer am richtigen Einbauort angeschaltet sind. Hierzu wird bei einer Übereinstimmung- der im ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen die im jeweiligen sicheren Teilnehmer gespeicherte Referenzen-Ortskennung mit der individuellen Ortskennung verglichen. Wenn die Referenz-Ortskennung nicht mit der individuellen Ortskennung übereinstimmt, wird die Referenz-Ortskennung durch die jeweilige individuelle Ortskennung überschrieben. Der jeweilige sichere Teilnehmer sendet dann eine sichere Nachricht zur sicheren Steuereinrichtung, die Informationen darüber enthält, dass
die im ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennungen nicht mit der gespeicherten Referenz-Ortskennung übereinstimmen. Die sichere Steuereinrichtung kann unter Ansprechen auf die empfangene sichere Nachricht die Bedienperson entsprechend informieren und auffordern, den Einbauort des jeweiligen sicheren Busteilnehmers zu bestätigen.
Damit sichere Nachrichten zwischen sicheren Teilnehmern und der sichern Steuereinrichtung übertragen werden können, können vorab beispielsweise sogenannte Connection IDs gemäß dem in der DE 10 2005 019970 Al beschrieben Verfahren zwischen den sicheren Teilnehmern und der sicheren Steuereinrichtung vereinbart werden.
Mit dem vorliegenden Verfahren zum Überprüfen des Einbauortes ist es möglich, Fehler in der Konfiguration der Steuer- und Datenübertragungsanlage, dem Aufbau und der Adressierung der Steuer- und Datenübertragungsanlage sowie andere Anwenderfehler zu erkennen. Dadurch kann vermieden werden, dass die Steuer- und Datenübertragungsanlage beschädigt und/oder Bedienpersonen verletzt werden. Hierzu werden die jeweiligen sicheren Teilnehmer und/oder die Steuer- und Datenübertragungsanlage in einen sicheren Zustand überführt, wenn die Bedienperson nicht bestätigt, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Teilnehmer keine Übereinstimmung der im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen feststellt.
Um sicherstellen zu können, dass im sicheren Teilnehmereine Referenz-Ortskennung nur gespeichert wird, wenn der jeweilige sichere Busteilnehmer auch am gewünschten
Einbauort angeschaltet ist, wird die Referenz-Ortskennung im jeweiligen sicheren Teilnehmer erst dann durch die individuelle Ortskennung ersetzt, wenn die Bedienperson zuvor bestätigt hat, dass der jeweilige sichere Teilnehmer am vorbestimmten Einbauort angeschaltet ist.
Das Verfahren kann besonders vorteilhaft angewendet werden, wenn die Steuer- und Datenύbertragungsanlage ringförmig und als Feldbus gemäß dem Interbus-Standard ausgebildet ist.- In diesem Fall müssen den am Feldbus angeschalteten
Teilnehmern, die auch Busteilnehmer genannt werden, keine Teilnehmeradressen zugeordnet werden. Denn der Interbus arbeitet in der Art eines Schieberegisters, bei dem die Busteilnehmer ringförmig miteinander verbunden sind und die einzelnen Speicherplätze des Schieberegisters bilden.
Aufgrund dieser speziellen Interbus-Konfiguration kann die nicht sichere Korranunikationssteuereinrichtung die Position aller Busteilnehmer während eines Identifikations-Zyklus und/oder Datenzyklus kennen lernen, und zwar sowohl hinsichtlich der Schieberegister für ID-Zyklen als auch hinsichtlich der Position im Schieberegister für Datenzyklen. Wird ein Interbus als Steuer- und Datenübertragungsanlage verwendet, entspricht der erste Kommunikationszyklus dem ID-Zyklus und der zweite Kommunikationszyklus dem Datenzyklus des Interbus-
Protokolls. Die individuellen Ortkennungen, die für die an den Feldbus angeschalteten sicheren Busteilnehmern bestimmt sind, werden an den entsprechenden Stellen innerhalb eines Summenrahmens von der nicht sicheren Kommunikationssteuereinrichtung zu den jeweiligen sicheren Busteilnehmern übertragen.
Um sichere Busteilnehmer bei der ersten Inbetriebnahme der Steuer- und Datenübertragungsanlage oder bei einem
Teilnehmertausch zuverlässig an der Steuer- und Datenübertragungsanlage anmelden zu können, werden die im sicheren Busteilnehmer gespeicherte Seriennummer und wenigstens ein teilnehmerspezifischer Parameter, insbesondere die Herstellerkennung und der Gerätetyp, in wenigstens einer sicheren Nachricht zur sicheren Steuereinrichtung übertragen. Die Seriennummer wird dem zweiten Konfigurationsdatensatz hinzugefügt, wenn die in der sicheren Nachricht enthaltenen teilnehmerspezifischen Parameter mit den teilnehmerspezifischen Parametern übereinstimmen, die hinsichtlich des jeweiligen sicheren Teilnehmers in der sicheren Steuereinrichtung abgespeichert sind. Auf diese Weise erfolgt die Anmeldung des jeweiligen sicheren Busteilnehmers an der Steuer- und Datenübertragungsanlage.
Die im zweiten Kommunikationszyklus von der nicht sicheren Kommunikationssteuereinheit zu übertragenden Ortskennungen können zunächst aus den von der sicheren Steuereinrichtung kommenden sicheren Nachrichten extrahiert und in neue sichere Nachrichten eingebettet und dann zum jeweiligen sicheren Busteilnehmer übertragen werden.
Um die Sicherheitsanforderungen bei sicherheitskritischen Prozessen einhalten zu können, kann das vorliegende Verfahren dafür sorgen, dass die von der sicheren Steuereinrichtung an die nicht sichere Steuereinrichtung übertragenen sicheren Nachrichten, welche die individuellen Ortskennungen enthalten, ungelesen an die jeweiligen sicheren Teilnehmer weitergeleitet werden.
Das oben genannte technische Problem wird ebenfalls durch die Merkmale des Anspruchs 10 gelöst.
Danach ist eine Steuer-und Datenübertragungsanlage vorgesehen, die insbesondere der Durchführung des Verfahrens nach einem der Ansprüche 1 bis 9 dient.
Die Steuer- und Datenübertragungsanlage weist eine
Übertragungseinrichtung auf, an welcher wenigstens eine nicht sichere Kommunikationssteuereinrichtung und wenigstens ein sicherer Teilnehmer angeschaltet sind. Die nicht sichere Kommunikationssteuereinrichtung kennt die Position aller an ein Übertragungsmedium angeschalteten Teilnehmer. Weiterhin weist die nicht sichere Kommunikationssteuereinrichtung eine Speichereinrichtung zum Speichern eines ersten Konfigurationsdatensatzes auf, der Angaben über die Position aller angeschalteten Teilnehmer, das sind sichere und/oder nicht sichere Teilnehmer, bezüglich der Steuer- und
Datenübertragungsanlages und eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält. Weiterhin ist der nicht sicheren Kommunikationssteuereinrichtung eine sichere Steuereinrichtung zugeordnet, die eine Speichereinrichtung zum Speichern eines zweiten Konfigurationsdatensatzes aufweist, der eine Liste nur der angeschalteten sicheren Teilnehmer sowie eine individuelle Ortskennung für jeden sicheren Teilnehmer enthält. Die sichere Steuereinrichtung ist zum Erzeugen und Übertragen einer sicheren Nachricht, die die individuelle Ortskennung eines sicheren Teilnehmers enthält, zur nicht sicheren
Kommunikationssteuereinrichtung ausgebildet. Die nicht sichere Steuereinrichtung ist zum Übertragen von individuellen Ortskennungen zu sicheren Busteilnehmern während eines ersten Kommunikationszyklus und zum Übertragen der von der sicheren Steuereinrichtung kommenden individuellen Ortskennungen zu den sicheren Busteilnehmern während eines zweiten Kommunikationszyklus ausgebildet.
Jeder sichere Teilnehmer weist eine Speichereinrichtung zum Speichern einer Referenz-Ortskennung, eine Einrichtung zum Vergleichen der während des ersten und zweiten Kommunikationszyklus empfangenen individuellen Ortskennung, eine Einrichtung zum Vergleichen der empfangenen individuellen Ortskennungen mit einer Referenz-Ortskennung und eine Einrichtung zum Übertragung einer sicheren Nachricht zur sicheren Steuereinrichtung auf, wobei die sichere Nachricht eine Information über die Vergleichsergebnisse enthält. Die sichere Steuereinrichtung kann unter Ansprechen auf die von einem sicheren Teilnehmer empfangene sichere Nachricht eine Bedienperson auffordern, zu bestätigen, dass der sichere Busteilnehmer am vorbestimmten Einbauort enthalten , ist .
Um im Fehlerfall eine Beschädigung der Steuer- und Datenübertragungsanlage sowie eine Verletzung von Personen verhindern zu können, ist eine Einrichtung zum Überführen eines sicheren Teilnehmers und/oder der Steuer- und Datenübertragungsanlage in einen sicheren Zustand vorgesehen, und zwar dann, wenn die Bedienperson nicht bestätigt, dass der entsprechende sichere Busteilnehmer am vorbestimmten Einbauort angeschaltet ist, oder wenn der jeweilige sichere Busteilnehmer feststellt, dass die im ersten und zweiten Kommunikationszyklus übertragenen individuellen Ortskennungen nicht übereinstimmen.
Die sichere Steuereinrichtung ist vorzugsweise über einen Koppelspeicher mit der nicht sicheren Kommunikationssteuereinrichtung verbunden.
Weiterhin kann eine programmierbare Steuereinheit vorgesehen sein, die unter Ansprechen darauf, dass die im ersten und zweiten Kommunikationszyklus zu einem sicheren
Teilnehmer übertragenen individuellen Ortskennungen nicht mit der Referenz-Ortskennung übereinstimmen, den jeweiligen sicheren Busteilnehmer veranlasst, die Referenz-Ortskennung durch die individuelle Ortskennung zu überschreiben.
Die Erfindung wird nachfolgend anhand eines Ausfuhrungsbeispiels in Verbindung mit den beigefugten Zeichnungen naher erläutert.
Es zeigen:
Fig. 1 eine beispielhafte Steuer- und
Datenubertragungsanlage, in der die Erfindung verwirklicht ist, Fig. 2 ein detailliertes Blockschaltbild des in Figur 1 gezeigten sicheren Busteilnehmers, Fig. 3 einen wahrend eines Identifikationszyklus übertragenen Summenrahmen gemäß dem Interbus-
Protokoll, und Fig. 4 einen wahrend eines Datenzyklus übertragenen
Summenrahmen gemäß dem Interbus-Protokoll .
Fig. 1 zeigt in schematischer Darstellung eine allgemein mit 10 bezeichnetes Steuer- und Datenubertragungsanlage, in dem Busteilnehmer ringförmig miteinander verbunden sind. Die Steuer- und Datenubertragungsanlage 10 ist im vorliegenden Beispiel ein Interbus-Übertragungssystem, in welchem die Erfindung verwirklicht ist. Das Interbus- Ubertragungssystem ist beispielsweise in dem Fachbuch „Interbus-S: Grundlagen und Praxis" von A. Baginski et al . , 1994 Huthig Buchverlag GmbH, Heidelberg beschrieben.
Das in Fig. 1 dargestellte Interbus-Übertragungssystem 10 umfasst einen Busteilnehmer 30, der als nicht sichere
Kommunikationssteuereinrichtung fungiert, und nachfolgend kurz Intεrbus-Master genannt wird. Der Interbus-Master 30 ist an einen Feldbus 70 des Interbus-Übertragungssystem 10 angeschlossen und beispielsweise über einen Koppelspeicher 40 mit einer sicheren Steuereinrichtung 50 verbunden. Die sichere Steuereinrichtung 50 ist eine Einrichtung mit einer Sicherheits-Kommunikations-Schicht . Diese wird auch als SCLM (Safety-Communication-Layer-Master ) bezeichnet. Die sichere Steuereinrichtung 50 wird unter Anderem benötigt, um über den nicht sicheren Interbus-Master 30 sicherheitskritische Prozesse steuern zu können. Der Feldbus 70 ist symbolisch durch zwei Ringe 71 und 72 dargestellt, welche gemäß dem Interbus-Protokoll einen ersten Kommunikationszyklus, der als Identifizierungszyklus bekannt ist, und einen zweiten Kommunikationszyklus, der als Datenzyklus bekannt ist, repräsentieren. Lediglich der einfacheren Darstellung wegen ist nur ein Busteilnehmer 60 dargestellt, welcher an dem Feldbus 70 angeschlossen ist. Bei dem Busteilnehmer 60 handelt es sich um einen sicheren Busteilnehmer, über den in Verbindung mit der sicheren Steuereinrichtung 50 sicherheitskritische Prozesse durchgeführt werden können. Angemerkt sei noch, dass der sichere Busteilnehmer 60 ein Slave mit einer Sicherheits- Kommunikations-Schicht sein kann, welche auch als SCLS (Safety-Communication*-Layer-Slave) bekannt ist. An den ringförmigen Feldbus 70 können selbstverständlich weitere sichere Busteilnehmer und auch nicht sichere Busteilnehmer angeschlossen werden. Mit Bezugszeichen 20 und 25 ist symbolisch ein Softwaretool dargestellt, mit dessen Hilfe ein Anwender das Interbus-Übertragungssystem 10 konfigurieren kann.
Da das Interbus-Übertragungssystem 10 einem Durchschnittsfachmann bekannt ist, genügt es darauf
hinzuweisen, dass der Interbus eine Art Schieberegister ist, bei dem die Busteilnehmer ringförmig miteinander verbunden sind und die einzelnen Speicherplätze des Schieberegisters bilden. Aufgrund dieser Schieberegister- Struktur werden beim Interbus keine Teilnehmeradressen für die angeschalteten Busteilnehmer benötigt. Vielmehr lernt der Interbus-Master 30 während eines Identifizierungs- Zyklus, nachfolgend kurz ID-Zyklus genannt, die Positionen der einzelnen Busteilnehmer im Ring kennen. Die Anordnung der Busteilnehmer im Interbus wird dann als Prozessbild im Interbus-Master 30 hinterlegt. Der Interbus-Master 30 kann somit jedem angeschalteten Busteilnehmer Daten zukommen lassen, indem er die für die Busteilnehmer bestimmten Daten in entsprechende Stellen eines einen Summenrahmen .bildenden Telegramms schreibt, welches durch den Feldbus 70 geschickt wird. Die Busteilnehmer sind in der Lage, die für sie bestimmte Daten aus dem Telegramm auszulesen. In Fig. 3 und A sind beispielhafte Summenrahmen dargestellt, die gemäß dem Interbus-Protokoll aufgebaut sind und zusätzlich noch Ortskennungen für die jeweiligen sicheren Busteilnehmern enthalten .
In Fig. 2 ist der in Fig. 1 dargestellte sichere Busteilnehmer 60 detaillierter dargestellt. In an sich bekannter Weise verfügt der sichere Busteilnehmer 60 über zwei Schieberegister-Abschnitte. Der mit Bezugszeichen 80 und 82 bezeichnete Schieberegister-Abschnitt wird während eines ID-Zyklus in den Feldbus 70 eingeschleift, während der andere, mit Bezugszeichen 84 und 86 bezeichnete Schieberegister-Abschnitt während eines Daten-Zyklus in den Feldbus 70 eingeschleift wird. Der während des Identifikations-Zyklus im Feldbus 70 liegende Schieberegister-Abschnitt weist ein Kontroll-Register 80 sowie ein ID-Register 82 auf. Der während eines Datenzyklus
im Feldbus 70 liegende Schieberegister-Abschnitt weist ein Eingangsregister 84 und ein Ausgangsregister 86 auf. In das Eingangsregister 84 werden die vom Interbus-Master 30 kommenden Eingangsdaten eingelesen, während im Ausgangsregister 86 beispielsweise Prozessdaten abgelegt werden, die für den Interbus-Master 30 bestimmt sind. Der sichere Busteilnehmer 60 weist einen Abschnitt 65 auf, der im Wesentlichen den sicherheitsrelevanten Teil des Busteilnehmers enthält. Der gewählte Aufbau des sicheren Busteilnehmers ist jedoch nur beispielhaft zu verstehen. Der sichere Busteilnehmer 60 weist einen Speicher 88 auf, in den, wie nachfolgend noch näher erläutert wird, eine Ortskennung abgelegt werden kann, die wir während eines ID- Zyklus vom Interbus-Master 30 zum sicheren Busteilnehmer 60 übertragen wird. Ein weiterer Speicher 94 ist vorgesehen, in dem eine Ortskennung abgelegt werden kann, die während eines Datenzyklus zum sicheren Busteilnehmer 60 übertragen wird. Weiterhin ist ein Speicher 96 vorgesehen, in welchen eine Referenz-Ortskennung abgelegt werden kann. Eine Vergleichereinrichtung 92 ist vorgesehen, die die
Speicherinhalte der Speicher 88 und 94 mit einander vergleichen kann. Die Vergleichereinrichtung 92 ist ferner dazu ausgebildet, den Speicherinhalt des Speichers 94 oder den Speicherinhalt des Speichers 88 mit dem Speicherinhalt des Speichers 96 zu vergleichen. Die Steuerung des Busteilnehmers 60 und der Vergleichereinrichtung 92 übernimmt beispielsweise ein Mikroprozessor 90. Der sicherheitsrelevante Teil 65 des sicheren Busteilnehmers 60 wird in Verbindung mit der sicheren Steuereinrichtung 50 dazu verwendet, zu prüfen, ob der sichere Busteilnehmer 60 auch tatsächlich an dem Einbauort des Feldbuses 70 angeschaltet ist, den ein Anwender vorgesehen hat. An dieser Stelle sei bereits angemerkt, dass der Mikroprozessor 90 dafür sorgen kann, dass sichere
Nachrichten erzeugt werden können, in die vorbestimmte Informationen, wie zum Beispiel „die Speicherinhalte der Speicher 88 und 94 stimmen überein'1, „die Speicherinhalte der Speicher 88 und 94 stimmen nicht überein", „die Speicherinhalte der Speicher 88 und 96 stimmen überein" oder „die Speicherinhalte der Speicher 88 und 96 stimmen nicht überein", eingebettet und zur sicheren Steuereinrichtung 50 übertragen werden können.
Nachfolgend wird die Funktionsweise des Interbus- öbertragungssystems 10 in Verbindung mit den Figuren 1 bis 4 näher erläutert. Insbesondere wird geschildert, wie der Einbauort des sicheren Busteilnehmers 60 im Feldbus 70 zuverlässig geprüft werden kann.
Zunächst wird während der Konfigurationsphase in Schritt 1 gemäß Fig. 1 die Konfiguration des Interbus- übertragungssystems 10 mit Hilfe des Softwaretools 20 erstellt. Hierzu wird für jeden Busteilnehmer, der an den Feldbus 70 angeschaltet werden soll, ein
Konfigurationsdatensatz erstellt. Dieser enthält unter Anderem Angaben über die Position jedes am Feldbus 70 angeschalteten Busteilnehmers. Bei dem beispielhaft beschriebenen Interbus-Übertragungssystem 10 ergeben sich die Positionen der Busteilnehmer aus der Reihenfolge, in der die Busteilnehmer in den Konfigurationsdatensätzen abgespeichert werden. Weiterhin enthalten die Konfigurationsdatensätze für jeden sicheren Busteilnehmer eine individuelle Ortskennung. Im vorliegenden Beispiel sind die Busteilnehmer a und b als sichere Teilnehmer ausgebildet, denen die individuelle Ortskennung 1 bzw. 2 zugeordnet worden ist. Der Busteilnehmer c ist als nicht sicherer Busteilnehmer implementiert. Erwähnt sei ferner,
dass der unter Anderem im Softwaretool 20 angegebene Busteilnεhmer a dem sicheren Busteilnehmer 60 entspricht.
Neben der Ortskennung enthält der Konfiguratinsdatensatz jedes sicheren Busteilnehmers a und b vorteilhafterweise noch den dazugehörenden Geräte-Typ sowie die Hersteller- Kennung. An dieser Stelle sei erwähnt, dass in jedem an den Feldbus 70 angeschalteten sicheren Busteilnehmer neben dem Geräte-Typ und der Hersteller-Kennung noch die Seriennummer abgespeichert sind.
In Schritt 2 gemäß Fig. 1 werden nunmehr die zu den sicheren Busteilnehmern a und b gehörenden Konfigurationsdatensätze der sicheren Programmierungsumgebung 25 übergeben. Die sicheren
Busteilnehmer sind hierbei in den Konfigurationsdatensätzen in einer Reihenfolge aufgelistet, die der Reihenfolge entspricht, in der die sicheren Busteilnehmer mit' Bezug zueinander am Feldbus 70 angeschaltet sind. In Schritt 3a werden dann alle im Softwaretool 20 erstellten
Konfigurationsdatensätze, die sowohl die sicheren als auch die nicht sicheren Busteilnehmer erfassen, im Interbus- Master 30 hinterlegt. In Schritt 3b werden die in der sicheren Programmierungsebene 25 hinterlegten Konfigurationsdatensätze der sicheren Busteilnehmer a' und b in die sichere Steuerungseinrichtung 50 eingeschrieben.
Augrund des konfigurierten Interbus-Übertragungsystems 10 kennt der Interbus-Master 30 die physikalische Postion der am Feldbus 70 angeschalteten Busteilnehmer sowohl im
Scheiberegister für ID-Zyklen als auch im Schieberegister für Daten-Zyklen. Entsprechend dem Interbus-Protokoll erstellt der Interbus-Master 30 nunmehr einen Summenrahmen, der in Figur 3 beispielhaft dargestellt ist. In
herkömmlicher Weise wird dem Summenrahmen ein sogenanntes Loopback-Wort vorangestellt, an das sich die Steuerinformationsfelder der an den Feldbus 70 angeschalteten Busteilnehmer in einer Reihenfolge anschließen, die sich aus der physikalischen Position der jeweiligen Busteilnehmer im Feldbus 70 ergibt, die der Interbus-Master 30 kennt. Im vorliegenden Beispiel sei angenommen, dass der sichere Busteilnehmer 60 der letzte im Feldbus 70 angeschaltete Busteilnehmer ist, so dass die für diesen Busteilnehmer bestimmten Steuerinformationen unmittelbar hinter dem Loopback-Wort angeordnet sind. Diese Steuerinfόrmationen können einen ID-Code, andere Steuerdaten und die Ortskennung 1 des Busteilnehmers 60 enthalten. Der nicht sichere Busteilnehmer c ist unmittelbar vor dem Busteilnehmer 60 an den Feldbus 70 angeschaltet, so dass die ihm zugeordneten Steuerinformationen im folgenden Steuerinformationsfeld abgelegt werden. Da der sichere Busteilnehmer b bezüglich der Kommunikationsrichtung im Feldbus der erste Busteilnehmer ist, stehen dessen Steuerinformationen samt Ortskennung 2 im letzten Steuerfeld des Summenrahmens .
Der Summenrahmen wird nunmehr in Schritt 4 während eines ersten Kommunikationszyklus 71, im vorliegenden Beispiel ist das der ID-Zyklus- gemäß dem Interbus-Protokoll, über den Feldbus 70 zu den angeschalteten Busteilnehmern übertragen. Jeder Busteilnehmer entnimmt dann die für ihn bestimmten Steuerinformationen aus dem Summenrahmen. So schreibt der sichere Busteilnehmer 60 die Steuerinformationen, die dem Loopbackword unmittelbar folgen, in die entsprechenden Register 80 und 82, die in Fig.3 gezeigt sind. Insbesondere wird die im Summenrahmen enthaltene Ortskennung 1 vom sicheren Busteilnehmer 60 in das Steuerregister 80 geschrieben.
Angemerkt sei, dass die Ortskennung beispielsweise 7 Bits umfassen kann. Zusätzliche Bits im Summenrahmen können die Ortskennung kennzeichnen und dafür sorgen, dass sie von anderen Steuerdaten unterschieden werden kann.
Die individuelle Ortskennung 1 kann je nach Implementierung des sicheren Busteilnehmers 60 aus dem Steuerregister 80 in in den Speicher 88 geschrieben werden.
Weiterhin erzeugt die sichere Steuereinrichtung 50 für jeden sicheren Busteilnehmer unter Ansprechen auf die hinterlegten Konfigurationsdatensätze eine sichere Nachricht, die zumindest die dem sicheren Busteilnehmer zugeordnete Ortskennung enthält. Im vorliegenden Beispiel wird somit eine sichere Nachricht, welche die Ortskennung 1 enthält, für den sicheren Busteilnehmer 60 erzeugt. Eine weitere sichere Nachricht, welche die individuelle Ortskennung 2 enthält, wird für den sicheren Busteilnehmer b erzeugt. Die sicheren Nachrichten werden in Schritt 5 über den Koppelspeicher 40 dem Interbus-Master 30 in der vorgegebenen Reihenfolge übergeben. Gemäß einer bevorzugten Ausführungsform schreibt der Interbus-Master 30 die sicheren Nachrichten ungelesen in einen Summenrahmen ein, der in Fig. 4 beispielhaft dargestellt ist. Der Summenrahmen umfasst wiederum ein Loopbackwort, ein erstes Datenfeld, welches zumindest die Ortskennung 1 des sicheren Busteilnehmers 60 enthält, ein zweites Datenfeld, welches beispielsweise Prozessdaten des nicht sicheren Busteilnehmers c enthält, und ein Datenfeld, welches zumindest die Ortskennung 2 des sicheren Busteilnehmers c enthält. Die Reihenfolge der Datenfelder im Summenrahmen wird wiederum durch die Reihenfolge der am Feldbus 70 angeschlossenen Busteilnehmer festgelegt. Da der Interbus-
Master 30 die Positionen aller am Feldbus 30 angeschalteten Busteilnehmer kennt, kann er in Abhängigkeit der Reihenfolge, in der er die sicheren Nachrichten von der sicheren Steuereinrichtung 50 empfängt, diese an die richtigen Stellen in den Summenrahmen einbetten.
In Schritt 6 übertragt der Interbus-Master 30 den Summenrahmen, der die sicheren Nachrichten und somit die Ortskennungen 1 und 2 enthalt, über einen zweiten Kommunikationszyklus 72, der dem Datenzyklus des Interbus- Protokolls entspricht, über den Feldbus 70. Jeder Busteilnehmer liest die für ihn bestimmten Daten in ein Eingangsregister ein. Im vorliegenden Beispiel liest der sichere Busteilnehmer 60 die unmittelbar dem Loopbackwort folgenden Daten, die die Ortskennung 1 enthalten, in das Eingangsregister 84. Die Ortskennung 1 kann dann aus dem Eingangsregister 84 in den Speicher 94 geschrieben werden.
Nachfolgend wird ein erstes Szenario betrachtet, bei dem das Interbus-Ubertragungssystem 10 zum ersten Mal in
Betrieb genommen wird. Dies bedeutet, dass in dem Speicher 96 noch keine Referenz-Ortskennung hinterlegt worden ist. Alternativ könnte ein Standardwert im Speicher 96 hinterlegt sein, der dem Mikroprozessor 90 signalisiert, dass das Interbus-Ubertragungssystems 10 bisher noch nicht in Betrieb genommen wurde.
Die in den Speichern 88 und 94 hinterlegten individuellen Ortskennungen werden gemäß Schritt 7 dem Vergleicher 92 zugeführt, welcher prüft, ob die Speicherinhalte, d. h. die abgelegten Ortskennungen, übereinstimmen. Stellt der Vergleicher 92 eine Übereinstimmung der beiden in den Speichern 88 und 94 abgelegten Ortskennungen fest, kann die im Speicher 88 oder die im Speicher 94 hinterlegte
Ortskennung 1 unmittelbar in den Speicher 96 als Referenz- Orts kennung abgelegt werden.
Der Mikroprozessor 90 erzeugt nunmehr eine sichere Nachricht, in welcher zum Beispiel der Gerätetyp, die Herstellerkennung und die Seriennummer des sicheren Busteilnehmers 60 eingeschrieben werden. Zusätzlich enthält die sichere Nachricht einen Hinweis darüber, dass die in den Speichern 88 und 94 abgelegte Ortskennungen übereinstimmen. Diese sichere Nachricht wird in das
Ausgangsregister 86 geschrieben. Während eines weiteren Datenzyklus wird der Inhalt des Ausgangsregisters 86 in einen entsprechenden Summenrahmen eingebettet, der dann in Schritt 8 über den Ausgang des Busteilnehmers 60 an den Feldbus 70 angelegt und von dort zum Interbus-Master 30 übertragen wird. Der Interbus-Master 30 entnimmt aus dem empfangenen Summenrahmen alle sicheren Nachrichten und überträgt diese in Schritt 9 über den Koppelspeicher 90 zur sicheren Steuereinrichtung 50. Angemerkt sei, dass bei einer vorteilhaften Ausführungsform der Interbus-Master 30 die sicheren Nachrichten ungelesen an die sichere Steuereinrichtung 50 weiterleitet. Die sichere Steuereinrichtung 50 erfährt anhand der für den Busteilnehmer 60 bestimmten sicheren Nachricht, dass die in den Speicher 88 und 94 hinterlegten Ortskennungen übereinstimmen. Dies bedeutet, dass der sichere Busteilnehmer 60 an dem richtigen Einbauort innerhalb des Feldbusses 70 angeschaltet ist, so dass nunmehr die Anmeldung des sicheren Busteilnehmers 60 am Interbus- Übertragungssystem 10 erfolgen kann. Die Anmeldung des sichern Busteilnehmers 60 erfolgt dadurch, dass die in der sicheren Nachricht enthaltene Seriennummer in der sicheren Steuereinrichtung 50 abgelegt wird. Die sichere Steuereinrichtung 50 kann gemäß Schritt 10 auf einem
integrierten Display einem Anwender anzeigen, dass der Busteilnehmer 60 am richtigen Einbauort angeschlossen und angemeldet worden ist. Die sichere Steuereinrichtung 50 kann alternativ oder zusätzlich über eine Schnittstelle verfügen, über die diese Hinweise an eine externe Einrichtung übertragen werden können.
Nunmehr wird ein zweites Szenario betrachtet. Hierbei sei angenommen, dass das Interbus-Übertragungssystem 10 bereits ordnungsgemäß in Betrieb genommen worden ist, so dass im
Speicher 96 des Busteilnehmers 60 die Referenz-Ortskennung 1 gespeichert ist. Weiterhin sei angenommen, dass das Interbus-Übertragungssystem 10 nach einem gewünschten oder unerwünschten Stillstand erneut anlaufen soll.
Ähnlich den Erläuterungen hinsichtlich des ersten Szenarios werden vor dem Anlauf des Intebus-Übertragungssystems 10 während eines Identifikations-Zyklus vom Interbus-Master 30 die individuellen Ortskennungen der sicheren Busteilnehmer 60 und b in einem als Summenrahmen aufgebauten Telegramm zu den jeweiligen Busteilnehmern übertragen. Der sichere Busteilnehmer 60 liest die für ihn bestimmten Steuerinformationen einschließlich der Ortskennung aus dem Telegramm aus und schreibt die Ortskennung in den Speicher 88. Die sichere Steuereinrichtung 50 erzeugt wiederum sichere Nachrichten, die die jeweiligen Ortskennungen für die sicheren Busteilnehmer 60 und b enthalten und überträgt diese über den Koppelspeicher 40 zum Interbus-Master 30. Der Interbus-Master 30 bettet die sicheren Nachrichten an entsprechende Stellen eines Summenrahmens ein und überträgt die sicheren Nachrichten in einem Datenzyklus zu den jeweiligen sicheren Busteilnehmern. Der sichere Busteilnehmer 60 entnimmt dem ankommenden Summenrahmen die
für ihn bestimmte sichere Nachricht und schreibt die darin enthaltene Ortskennung in den Speicher 94.
Im Vergleicher 92 werden nunmehr die Inhalte der beiden Speicher 88 und 94 miteinander verglichen.
Bei einem ersten Unterfall sei angenommen, dass der Vergleicher 92 festgestellt hat, dass die Speicherinhalte der Speicher 88 und 94 übereinstimmen. Das bedeutet, dass die in den beiden separaten Kommunikations zyklen übertragenen Ortskennungen identisch sind. Darauf hin vergleicht der Vergleicher 92 die im Speicher 96 hinterlegte Referenz-Ortskennung mit der im Speicher 88 oder im Speicher 94 hinterlegten Ortskennung. Stimmt die individuelle Ortskennung mit der Referenz-Ortskennung überein, ist sichergestellt, dass der sichere Busteilnehmer 60 an dem für ihn vorgesehenen Einbauort innerhalb des Feldbuses 70 angeschlossen ist. Unter Steuerung des Mikroprozessors 90 wird daraufhin eine sichere Nachricht erzeugt, die zumindest eine Information darüber enthält, dass die Referenz-Ortskennung und die in den Speichern 88 und 94 gespeicherten Ortskennungen übereinstimmen. Zusätzlich kann die sichere Nachricht die Herstellerkennung, die Seriennummer und/oder den Gerätetyp des sicheren Busteilnehmers 60 enthalten. Die sichere
Nachricht wird im Ausgangsregister 86 zwischengespeichert. Während eines entsprechenden Datenzyklus wird sie in einen Summenrahmen eingebettet und über den Interbus-Master 30 und den Koppelspeicher 40 weiter zur sicheren Steuereinrichtung 50 übertragen. Unter Ansprechen auf die sichere Nachricht signalisiert die sichere Steuereinrichtung 50 dem Anwender, dass der sichere Busteilnehmer 60 sowohl im ersten als auch im zweiten Kommunikationszyklus die gleiche Ortskennung erhalten hat,
die ferner mit der gespeicherten Referenz-Ortskennung übereinstimmt. Damit ist sicher gestellt, dass der Busteilnehmer 60 am vorbestimmten Einbauort angeschaltet ist.
Sobald feststeht, dass alle sicheren Busteilnehmer an den für sie vorbestimmten Einbauorten angeschaltet sind, kann das Interbus-Übertragungssystem 10 anlaufen und es können Prozessdaten übertragen werden.
Angenommen sei nunmehr ein zweiter Unterfall, bei dem der Vergleicher 92 des sicheren Busteilnehmers 60 festgestellt hat, dass die in den Speichern 88 und 94 hinterlegten Ortskennungen nicht übereinstimmen. In diesem Fall sorgt der Mikroprozessor 90 dafür, dass der sichere Busteilnehmer 60 in einen sicheren Zustand überführt, eine sichere Nachricht, die zumindest den Gerätetyp des sicheren Busteilnehmers 60 enthält, erzeugt und zur sicheren Steuereinrichtung 50 übertragen wird. Unter Ansprechen auf die sichere Nachricht kann die sichere Steuereinrichtung 50 den Anwender darüber informieren, dass ein Fehler aufgetreten ist. Die sichere Steuereinrichtung 50 kann dann automatisch oder durch den Anwender veranlasst das gesamte Interbus-Übertragungssystem 10 abschalten oder in einen sicheren Zustand zu überführen.
Angenommen sei ein dritter Unterfall, bei dem der Vergleicher 92 festgestellt hat, dass die in den Speichern 88 und 94 hinterlegten Ortskennungen, aber nicht mit der im Speicher 96 hinterlegten Referenz-Ortskennung 1 übereinstimmen. Daraufhin erzeugt der Mikroprozessor 90 eine sichere Nachricht, die vorzugsweise den Gerätetyp, ■ die Herstellerkennung, die Seriennummer des sicheren Busteilnehmers 60 und eine Information enthält, die
anzeigt, dass ein Systemfehler vorliegt oder der sichere Busteilnεhmer ausgetauscht oder an einem anderen Einbauort angeschaltet worden ist.
Die sichere Nachricht wird, wie oben beschrieben, während eines Datenzyklus in einem Summenrahmen über den Interbus- Master, den Koppelspeicher 40 zur sicheren Steuereinrichtung 50 übertragen. Unter Ansprechen auf die sichere Nachricht meldet die sichere Steuereinrichtung 50 in Schritt 10 dem Anwender, dass die zum sichern
Busteilnehmer 60 übertragenen individuelle Ortskennung nicht mit der im Speicher 96 hinterlegten Referenz- Ortskennung übereinstimmen. Ein Grund hierfür kann darin liegen, dass der Anwender entweder den sicheren Busteilnehmer 60 ausgetauscht oder an einem anderen Ort innerhalb des Feldbuses 70 angeschaltet hat.
Anhand der in der sicheren Nachricht übertragenen Herstellerkennung, dem Geräte-Typ und/oder der Seriennummer des sicheren Busteilnehmers 60 sowie der in der sicheren Steuereinrichtung 50 abgelegten Konfigurationsdatensätzen kann geprüft werden, ob ein Teilnehmertausch stattgefunden hat oder ob aus anderen Gründen eine falsche Ortskennung dem sicheren Busteilnehmer 60 übermittelt worden ist.
Hat der Anwender tatsächlich den sicheren Busteilnehmer 60 ausgetauscht und stimmt die in der sicheren Nachricht empfangene Herstellerkennung und/oder der Gerätetyp mit dem Konfigurationsdatensatz, der in der sicheren Steuereinrichtung 50 abgelegt ist überein, wird der
Anwender aufgefordert, die Ortskennungsänderung gegenüber der sicheren Steuereinrichtung 50 zu bestätigen oder abzulehnen. Wenn der Anwender die Ortskennungsänderung bestätigt hat, wird die Seriennummer des jeweiligen
sicheren Busteilnehmers in dem Konfigurationsdatensatz, welcher in der sichern Steuereinrichtung 50 abgelegt ist, überschrieben.
Die sichere Steuereinrichtung 50 kann gemäß einem
Ausführungsbeispiel daraufhin eine sichere Nachricht, welche den Bestätigungshinweis und zum Beispiel die Ortskennung, den Geräte-Typ und/oder die Herstellerkennung des neuen sicheren Busteilnehmers enthält, zum Interbus- Master 30 übertragen, der daraufhin in einem weiteren
Datenzyklus die sichere Nachricht in einem Summenrahmen zum neuen sicheren Busteilnehmer überträgt. Unter Ansprechen auf die sichere Nachricht sorgt der Mikroprozessor 90 des neuen sicheren Busteilnehmers dafür, dass die Ortskennung, welche im Speicher 88 oder im Speicher 94 gespeichert ist, als neue Referenz-Ortskennung in den Speicher 96 übernommen wird.
Alternativ kann die neue Ortskennung auch ohne vorherige Bestätigung des neuen Einbauortes durch den Anwender aus dem Speicher 88 oder aus dem Speicher 94 in den Speicher 96 übernommen werden.
Wird hingegen die Ortskennungsänderung nicht vom Anwender bestätigt, sorgt die sichere Steuereinrichtung 50 und/oder der sichere Busteilnehmer dafür, dass der sichere Busteilnehmer und/oder die Steuer- und
Datenübertragungsanlage in einen sicheren Zustand gefahren werden .
Anzumerken ist, dass ein Teilnehmertausch oder das Anschalten eines sicheren Busteilnehmers an einen anderen Einbauort auch dann erkannt werden kann, wenn zufälliger Weise die zu ihm während eines ersten und zweiten
Kommunikationszklus übertragenen Ortskennungen mit der im Speicher 96 abgelegten Referenz-Ortskennung übereinstimmen. In diesem Fall kann die sichere Steuereinrichtung 50 anhand der vom sicheren Busteilnehmer in der sicheren Nachricht übertragenen Seriennummer oder Herstellerkennung durch Vergleich mit den hinterlegten Konfigurationsdatensätzen prüfen, ob ein Teilnehmertausch stattgefunden hat.
Da im Interbus-Master 30 alle Konfigurationsdaten, die sowohl die sicheren als auch die nicht sicheren
Busteilnehmer beschreiben, enthalten sind, können Fehler bei einer Änderung der Konfiguration auch während eines Anlaufs des Interbus-Übertragungssystems 10 erkannt werden.