DE19904893A1 - Method for suppressing controller errors with an intelligent monitoring unit includes a controller to control a process, a local network and local units allowing data to be transported from the controller to sensors and actuators - Google Patents

Method for suppressing controller errors with an intelligent monitoring unit includes a controller to control a process, a local network and local units allowing data to be transported from the controller to sensors and actuators

Info

Publication number
DE19904893A1
DE19904893A1 DE1999104893 DE19904893A DE19904893A1 DE 19904893 A1 DE19904893 A1 DE 19904893A1 DE 1999104893 DE1999104893 DE 1999104893 DE 19904893 A DE19904893 A DE 19904893A DE 19904893 A1 DE19904893 A1 DE 19904893A1
Authority
DE
Germany
Prior art keywords
monitoring unit
safety
function
control
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1999104893
Other languages
German (de)
Other versions
DE19904893B4 (en
Inventor
Peter Wratil
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Peter Wratil
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peter Wratil filed Critical Peter Wratil
Priority to DE29923430U priority Critical patent/DE29923430U1/en
Priority to DE1999104893 priority patent/DE19904893B4/en
Publication of DE19904893A1 publication Critical patent/DE19904893A1/en
Application granted granted Critical
Publication of DE19904893B4 publication Critical patent/DE19904893B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring

Abstract

A monitoring unit is added to automated devices serving local components over a bus system. This avoids fatal errors. A controller (1) controls a process (11,12). A local network (3) and local units (4-10) allow data to be transported from the controller to sensors and actuators in the process. To run a required process function, the controller fetches the input status via an input unit (4) into its internal memory at the start of a stored program control cycle.

Description

Die Erfindung bezieht sich auf ein Verfahren zur Fehlerunterdrückung bei Automatisierungseinrichtungen die über ein Bus-System dezentrale Komponenten bedienen. Durch Hinzufügen einer Überwachungseinheit und spezieller dezentralen Komponenten kann der Sicherheitsgrad deutlich erhöht werden.The invention relates to a method for error suppression Automation devices which are decentralized components via a bus system serve. By adding a monitoring unit and special decentralized ones Components can significantly increase the level of security.

Automatisierungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind. Im engeren Sinne verwendet man hierzu oftmals Speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.Automation devices are everywhere according to the current state of the art used where processes, procedures or other electromechanical Control, regulate, monitor or visualize facilities. In the narrower sense, programmable logic controllers are often used for this Controllers or microcomputers. Typical areas of application are Automation islands, production lines, machining centers or chemical Facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhafte Zuständen der Steuerung gehen dann extreme Gefahren aus, die von Personen oder sonstigen Einrichtungen unbedingt fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen. Die Ursachen dieser fatalen Fehler sind vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.It is not uncommon for these previously mentioned processes to contain security-relevant ones Processes that pose a danger to people or parts of the machine. Of The faulty states of the control system then pose extreme dangers must be kept away from people or other facilities. Examples for this are uncontrolled movements of robots, premature movement of Turning or milling devices, unwanted accelerations or incorrect ones Speeds of rotation devices or delayed switching off of heating or Dosing processes in chemical plants. The causes of these fatal errors are many. Mostly, however, lies Programming errors, an uncontrolled behavior due to electromagnetic Influences or any other disturbance that the process into an undefined Situation.

Diese Fehlerarten sind in der Literatur (insb.: in Normungswerken, vergl.: DIN 19251) hinreichend beschrieben. Gleichfalls stellt die Norm bereits Konzepte vor, wie man derartige Fehler erkennt und eliminiert (z. B.: DIN V 0801). Ferner bieten verschiedene Hersteller von Steuerungseinrichtungen bereits vollständige Lösungen an, die für sicherheitsrelevante Einrichtungen (wie vorgestellt) zu verwenden sind (siehe Produktangebote Siemens (115/155F) oder Produkte der Hersteller Pilz und Hima).These types of errors are in the literature (esp .: in standardization works, see: DIN 19251) adequately described. Likewise, the standard already presents concepts of how to recognizes and eliminates such errors (e.g. DIN V 0801). Also offer different manufacturers of control devices already complete solutions which are to be used for safety-relevant facilities (as presented) (see product offers Siemens (115 / 155F) or products from the manufacturers Pilz and Hi Mom).

Das vorgestellte Verfahren basiert darauf, daß man in typischen Automatisierungseinrichtungen einige Komponenten zusätzlich einbringt, die eine Fehlerkontrolle und eine Fehlerunterdrückung garantieren. Diese zusätzlichen Komponenten gewährleisten, daß ein Einfach-Fehler sowohl erkannt als auch unterdrückt wird. Erst das Aufeinandertreffen von zwei Fehlern im gleichen Zustand wird nicht als Fehler detektiert. Damit erhöht das Verfahren die Sicherheit des Prozesses ganz beträchtlich, da Fehler durch Einflüsse von Störungen oder durch falschen Programmablauf sicher unterbunden werden.The method presented is based on the fact that in typical Automation equipment brings some additional components, the one Guaranteed error control and error suppression. These additional Components ensure that a single fault is both detected and is suppressed. Only when two errors meet in the same state is not detected as an error. The process thus increases the security of the Process quite considerable, since errors are caused by the effects of disturbances or by wrong program sequence can be prevented safely.

Das Verfahren enthält auch noch den wesentlichen Vorteil, daß Steuerungseinrichtung und Sicherheitseinrichtung entweder vollständig oder fast vollständig getrennt sind. Damit sind Spezifikations- oder Implementierungsfehler (wie man sie bei parallelen Einheiten kennt) im Prinzip ausgeschlossen. Dieser Vorteil zeigt sich auch dadurch, daß die sicherheitsreleventen Komponenten auch nachträglich zu installieren sind. Darüber hinaus können im Steuerungssystem Änderungen durchgeführt werden, die vollkommen unabhängig zur Überwachungsfunktion arbeiten. Der heute durchaus übliche Fall der "vor-Ort- Anpassung" an den Prozeß wird auch im Sicherheitsbereich realisierbar.The process also has the essential advantage that Control device and safety device either complete or almost are completely separate. So there are specification or implementation errors (as you know them with parallel units) excluded in principle. This advantage is also shown by the fact that the safety-relevant components must also be installed retrospectively. In addition, in the control system Changes are made that are completely independent of  Monitoring function work. The case of "on-site" Adaptation "to the process can also be implemented in the security area.

Das Verfahren ist weiterhin derart ausgelegt, daß man den normalen Ablauf innerhalb einer Steuerung oder eines Automatisierungsverbunds nicht verändern muß. Dieses gilt insbesondere sowohl für den SPS-Zyklus in der Steuerung als auch für den Übertragungszyklus am Lokalen Netz. Lediglich im Sicherheitsbereich werden spezielle Komponenten hinzugefügt, die ihrerseits am Datentransport teilnehmen, diesen aber nicht verändern.The process is also designed so that the normal process do not change within a controller or an automation network got to. This applies in particular to the PLC cycle in the controller as well for the transmission cycle on the local network. Only in the security area special components are added, which in turn are used for data transport participate, but do not change it.

Fig. 1 zeigt einen typischen Aufbau eines Automatisierungssystems. Sicherheitskomponenten sind grau unterlegt. Die Steuerung (1) steuert oder regelt den Prozeß (11, 12). Zum Datentransport von der Steuerung zu den Sensoren und Aktoren im Prozeß wird ein lokales Netz (3) (Bus-System) und dezentrale Einheiten (4, 5, 6, 7, 8, 9, 10) verwendet. Dabei stellt die Einheit (4) eine typische Eingabeeinrichtung und die Einheit (8) eine typische Ausgabeeinrichtung dar. Zur Verarbeitung der gewünschten Prozeßfunktion holt die Steuerung (1) am Anfang des SPS-Zyklus den Zustand der Eingänge über die Eingabeeinheit (4) in einen Speicher innerhalb ihrer Einheit. Anhand dieses Zustands erfolgt die logische Bearbeitung durch das SPS-Programm, und am Schluß des SPS-Zyklus sendet die Steuerung die berechneten Daten über das Bus-System zur Ausgabeeinheit (8). Danach beginnt dieser Vorgang erneut und wiederholt sich fortwährend. Bei modernen Steuerungen verwendet man auch vielfach Peripherieeinheiten, die den Datentransport über das Lokale Netz unabhängig vom SPS-Zyklus durchführen. Je nach Anwendung läßt sich damit die Aktualisierung der Aktoren synchronisieren oder als paralleler Prozeß abbilden. Fig. 1 shows a typical configuration of an automation system. Safety components are highlighted in gray. The controller ( 1 ) controls or regulates the process ( 11 , 12 ). A local network ( 3 ) (bus system) and decentralized units ( 4 , 5 , 6 , 7 , 8 , 9 , 10 ) are used to transport data from the controller to the sensors and actuators in the process. The unit ( 4 ) is a typical input device and the unit ( 8 ) is a typical output device. To process the desired process function, the controller ( 1 ) fetches the state of the inputs via the input unit ( 4 ) at the beginning of the PLC cycle Memory within their unit. Based on this state, the logical processing is carried out by the PLC program, and at the end of the PLC cycle, the control sends the calculated data via the bus system to the output unit ( 8 ). Then this process begins again and repeats itself continuously. In modern controls, peripheral units are often used, which carry out data transport via the local network independently of the PLC cycle. Depending on the application, the update of the actuators can be synchronized or mapped as a parallel process.

Ein Fehler, der entweder durch falsche Programmierung in der Steuerung (1), durch eine Störung in der Steuerung (1) oder am Bus-System (2) hervorgerufen wird, führt in der Regel zu einem Fehler, der zur fehlerhaften Ansteuerung über die dezentrale Einheit (8) im Prozeß (11, 12) Schaden anrichten kann. Bei nichtsicherheitsrelevanten Abläufen (11) im Prozeß führen derartige Fehler zu ungewollten Zuständen oder Abläufen; eine Gefahr besteht jedoch nicht. Anders verhält sich ein Fehlerfall bei sicherheitsrelevanten Abläufen (13 im Prozeß 12). Hier kann das ungewollten Setzen eines Ausgangs beispielsweise zum Anlauf eines Motors oder zum Erhitzen einer explosiven Flüssigkeit führen und damit das Leben oder die Gesundheit von Personen gefährden.An error that is caused either by incorrect programming in the controller ( 1 ), by a fault in the controller ( 1 ) or on the bus system ( 2 ) usually leads to an error that leads to incorrect control via the decentralized Unit ( 8 ) in the process ( 11 , 12 ) can cause damage. In the case of non-safety-relevant processes ( 11 ) in the process, such errors lead to undesired states or processes; however, there is no danger. The situation is different in the case of an error in safety-relevant processes (13 in process 12 ). Here, the unintentional setting of an output can, for example, lead to a motor starting up or to the heating of an explosive liquid and thus endanger the life or health of people.

Um derartige fatale Fehler zu vermeiden wird entsprechend dem Patentanspruch eine Überwachungseinheit (2) dem System hinzugefügt. Zusätzlich tauscht man diejenigen dezentralen Ausgabeeinheiten aus, die im Prozeß Sicherheitsfunktionen bedienen. Damit wird beispielsweise die Ausgabeeinheit (8) durch die komplexere Ausgabeeinheit (7) ersetzt.In order to avoid such fatal errors, a monitoring unit ( 2 ) is added to the system in accordance with the patent claim. In addition, those decentralized output units that operate safety functions in the process are exchanged. For example, the output unit ( 8 ) is replaced by the more complex output unit ( 7 ).

Ferner sind auch diejenigen dezentralen Eingabeeinheiten (4, 5, 6) durch spezielle sicherheitstaugliche Einheiten (9) zu ersetzen. Diese sind aber nur dann notwendig, wenn es sich um sicherheitsrelevante Prozeßgrößen handelt.Furthermore, those decentralized input units ( 4 , 5 , 6 ) must also be replaced by special security-compatible units ( 9 ). However, these are only necessary if the process variables are safety-relevant.

Zusammen mit der Überwachungseinheit (2), den sicherheitstauglichen dezentralen Eingabeeinheiten (9) und den dezentralen Ausgabeeinheiten (7) entsteht ein sicheres Automatisierungssystem. Together with the monitoring unit ( 2 ), the safe decentralized input units ( 9 ) and the decentralized output units ( 7 ), a safe automation system is created.

Die dezentralen Einheiten und das Verfahren sind bereits durch die beiden Patentanmeldungen (Aktenzeichen: 198 57 683.8 und 198 60 358.4) abgedeckt und daher nicht Bestandteil dieser Anmeldung.The decentralized units and the process are already through the two Patent applications (file numbers: 198 57 683.8 and 198 60 358.4) covered and therefore not part of this application.

Die hier zur Anmeldung anstehende Überwachungseinheit (2, in Fig. 1) übernimmt 2 unterschiedliche Aufgaben in dem beschriebenen Verfahren. Einerseits dient sie dem Benutzer zur Eingabe und Darstellung der sicherheitsrelevanten Funktionen. Damit erfüllt diese Einheit die Funktion eines MMIs (Man Machine Interface). Andererseits übt die Überwachungseinheit (2) eine Kontrolle des Busverkehrs aus und versetzt sich dadurch in die Lage, die Zustände der Ein- und Ausgänge im Automatisierungsverbund zu kontrollieren.The monitoring unit pending registration here ( 2 , in FIG. 1) takes on two different tasks in the described method. On the one hand, it serves the user to enter and display the safety-related functions. This unit thus fulfills the function of an MMI (Man Machine Interface). On the other hand, the monitoring unit ( 2 ) controls the bus traffic and thereby enables itself to control the status of the inputs and outputs in the automation network.

Fig. 2 stellt den internen Aufbau der Überwachungseinheit (1) dar. Über ein Bus- Interface (3) ist die Überwachungseinheit (1) an das Bus-System (2) angeschlossen. Sie beinhaltet innerhalb des Bus-Verkehrs die Stellung eines Slaves. Damit ist sie nicht in der Lage, direkt Daten zu einem der Teilnehmer zu senden. Das Bus- Interface (3) versetzt sie lediglich in die Lage, alle Daten, die durch die Steuerung übertragen werden zu protokollieren. Hierzu verwendet die Überwachungseinheit (1) einen Mikroprozessor (MP1, 4) (oder ein ähnlich geartetes Bauteil, z. B.: ASIC), das die Daten vom Bus-System (2) über das Bus-Interface (3) aufnimmt und im Speicher 1 (8) ablegt. Hierdurch entsteht im Speicher 1 (8) ein Abbild der Zustände innerhalb der Eingänge und Ausgänge im gesamten Automatisierungsverbund. Fig. 2 shows the internal structure of the monitoring unit (1). Via a bus interface (3) the monitoring unit (1) connected to the bus system (2). It includes the position of a slave within the bus traffic. It is therefore not able to send data directly to one of the participants. The bus interface ( 3 ) only enables them to log all data that is transmitted by the controller. For this purpose, the monitoring unit ( 1 ) uses a microprocessor (MP1, 4 ) (or a similar component, e.g. ASIC), which receives the data from the bus system ( 2 ) via the bus interface ( 3 ) and in Store 1 ( 8 ). This creates an image of the states within the inputs and outputs in the entire automation network in memory 1 ( 8 ).

Ein weiterer Mikroprozessor (MP2, 5) ist an den ersten Prozessor angekoppelt. Die wesentliche Aufgabe dieses zweiten Prozessors (5) besteht jedoch darin, über die graphische Ein- und Ausgabe (10) die Sicherheitsfunktionen im Speicher 2 (9) abzulegen. Diese Sicherheitsfunktionen stellen in der Regel nur ein geringer Teil der gesamten Steuerungsfunktionen dar. Diese werden vom Benutzer in Form einer Tabelle hinterlegt, die genaue Auskunft gibt, welche Eingänge mit der entsprechenden logischen Funktion zu erlaubten oder verbotenen Ausgängen gehören. Der Prozessor 2 (5) beinhaltet damit ein Betriebssystem (Software), die diese Eingabe über Tasten und Anzeige oder über ein Speicherelement (z. B.: EPROM, EEPROM, Chip-Karte, usw.) im Speicher 2 (9) ablegt. Unabhängig von der Art der Eingabe entsteht somit im Speicher 2 (9) eine Untermenge der Speicherinhalte aus dem Speicher 1 (8). In der Regel (d. h. im Fall, daß sich das System fehlerfrei verhält) stimmen die Inhalte aus dem Speicher 2 (9) mit einem Teil des Speichers 1 (8) überein.Another microprocessor (MP2, 5 ) is coupled to the first processor. The main task of this second processor ( 5 ), however, is to store the safety functions in the memory 2 ( 9 ) via the graphic input and output ( 10 ). These safety functions generally represent only a small part of the total control functions. These are stored by the user in the form of a table that provides precise information as to which inputs with the corresponding logical function belong to permitted or forbidden outputs. The processor 2 ( 5 ) thus contains an operating system (software) which stores this input via buttons and display or via a memory element (for example: EPROM, EEPROM, chip card, etc.) in the memory 2 ( 9 ). Regardless of the type of input, a subset of the memory contents from memory 1 ( 8 ) thus arises in memory 2 ( 9 ). As a rule (ie in the event that the system behaves faultlessly), the contents from memory 2 ( 9 ) match part of memory 1 ( 8 ).

Noch während des Bus-Zyklus am Bus-System (2) unterhalten sich die beiden Prozessoren und tauschen die Inhalte der Speicher aus, so daß ein Verglich möglich wird. Sofern das Automatisierungssystem fehlerfrei arbeitet, ist ein Gleichstand der entsprechenden Speicherbereiche gewährleistet. Im Fehlerfall (z. B. wenn ein Ausgang gesetzt werden soll, der im Speicher 2 (9) durch die momentane Konstellation der Eingänge nicht erlaubt ist) entsteht eine Abweichung, die von beiden Prozessoren erkannt wird. Hierdurch erfolgt eine Meldung an die Logik- Kontrolle (6), die über das Abschalt-Signal (7) den Prozeß in einen sicheren Zustand versetzt. Die Logik-Kontrolle (6) hat noch zusätzlich die Aufgabe, die beiden Prozessoren gegenseitig zu überwachen, so daß die Überwachungseinheit (1) bereits intern über eine fehlererkennende Einrichtung verfügt.During the bus cycle on the bus system ( 2 ), the two processors are talking and exchanging the contents of the memory, so that a comparison is possible. If the automation system works correctly, the corresponding memory areas are guaranteed to be the same. In the event of an error (e.g. if an output is to be set that is not permitted in memory 2 ( 9 ) due to the current configuration of the inputs), a deviation arises that is recognized by both processors. This results in a message to the logic control ( 6 ) which puts the process into a safe state via the shutdown signal ( 7 ). The logic control ( 6 ) additionally has the task of mutually monitoring the two processors, so that the monitoring unit ( 1 ) already has an error-detecting device internally.

Der Mikroprozessor 1 (4) übernimmt beim Bus-Zyklus aber noch eine weitere Aufgabe. Er wird in der Regel am Ende des Zyklus als normaler Slave (Hörer) von der Steuerung angesprochen. Da er aber keine Prozeßdaten enthält, überträgt er nur Statusinformationen für die Steuerung und redundante Daten für die Ausgabeeinheiten. Die spezielle Logik dieser Ausgabeeinheiten wartet bei jeder Ausgabe auf dieses redundante Quittungssignal von der Überwachungseinheit (1). Damit ist gewährleistet, daß auch ohne eine Logik-Kontrolle keine Freigabe der Ausgänge erfolgt, wenn ein Fehler vorliegt. Diese Funktion garantiert, daß ein möglicher Fehler noch unterdrückt wird, bevor er überhaupt an der Ausgabe erscheint.The microprocessor 1 ( 4 ) takes on yet another task in the bus cycle. He is usually addressed by the controller as a normal slave (handset) at the end of the cycle. However, since it contains no process data, it only transmits status information for the controller and redundant data for the output units. The special logic of these output units waits for this redundant acknowledgment signal from the monitoring unit ( 1 ) with each output. This ensures that the outputs are not released even if there is no logic check if there is an error. This function guarantees that a possible error is suppressed before it even appears on the output.

Claims (15)

1. Verfahren zur Sicherheitsüberwachung von Steuerungseinrichtungen, bei denen Speicherprogrammierbare Steuerungen oder Mikrorechner über ein Bus-System dezentrale Einheiten ansprechen, die einen Prozeß sowohl im sicherheitsrelevanten als auch im nichtsicherheitsrelevanten Bereich regeln, steuern oder überwachen dadurch gekennzeichnet, daß zur Realisierung der Sicherheitsanforderung eine Überwachungseinheit (2) (Fig. 1) hinzugefügt wird, die entweder ausschließlich oder vorwiegend die sicherheitsbehafteten Funktionen des Prozesses (12) mit der notwendigen Logik zur Überwachung gefahrbringender Abläufe oder Bewegungen (13) mitbringt, die selbst über ein Bus-Interface (3) (Fig. 2) als Hörer an das Bus-System (2) angeschlossen ist und über einen Mikroprozessor oder ein vergleichbares Element (4) den Datenverkehr am Bus-System (2) kontrolliert und sich die Zustände der Ein- und Ausgänge des Automatisierungsverbunds in einen Speicher (8) lädt und diesen über einen weiteren Mikroprozessor (5) und einen zusätzlichen Speicher (9) vergleicht, der lediglich die sicherheitsbehafteten Größen enthält und damit eine Untermenge des Speicherinhalts des ersten Speichers (8) darstellt, der durch die Funktion des zweiten Mikroprozessors (5) über eine graphische oder sonstige Speicherfunktion geladen wird und damit einen Vergleich der möglichen Zustände erlaubt, die zusätzlich durch eine Logik-Kontrolle (6) koordiniert werden und zu einem Abschalt-Signal (7) führt.1.Procedure for safety monitoring of control devices in which programmable logic controllers or microcomputers address decentralized units via a bus system, which regulate, control or monitor a process both in the safety-relevant and in the non-safety-relevant area, characterized in that a monitoring unit ( 2 ) ( Fig. 1) is added, which either exclusively or predominantly brings with it the safety-related functions of the process ( 12 ) with the necessary logic for monitoring dangerous processes or movements ( 13 ), which itself via a bus interface ( 3 ) ( Fig . 2) is connected as a receiver to the bus system (2) and controlled by a microprocessor or a similar element (4) the data traffic on the bus system (2) and the states of the inputs and outputs of the automation composite in a memory ( 8 ) loads and this ü by means of a further microprocessor ( 5 ) and an additional memory ( 9 ), which only contains the safety-related variables and thus represents a subset of the memory content of the first memory ( 8 ), which, by means of the function of the second microprocessor ( 5 ) via a graphic or other memory function is loaded and thus allows a comparison of the possible states, which are additionally coordinated by a logic control ( 6 ) and leads to a switch-off signal ( 7 ). 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Überwachungseinheit (2) (Fig. 1) zusammen mit speziellen sicherheitstauglichen Ein- und Ausgabe-Modulen (7, 9) ein Automatisierungssystem entstehen lassen, das ein erhöhtes Maß an Sicherheit garantiert.2. The method according to claim 1, characterized in that the monitoring unit ( 2 ) ( Fig. 1) together with special security-compatible input and output modules ( 7 , 9 ) can create an automation system that guarantees an increased level of security. 3. Verfahren nach den Ansprüchen 1 bis 2, dadurch gekennzeichnet, daß die Überwachungseinheit in ihrer Funktion als Hörer an die Steuerung (1) (Fig. 1) ein Quittungssignal abgibt, das den Ausgabeeinheiten (7) zur Durchführung ihrer Funktion dient und damit noch bevor ein Fehler in den Prozeß gelangen kann, ein sicherer Zustand erreicht wird.3. The method according to claims 1 to 2, characterized in that the monitoring unit in its function as a handset to the controller ( 1 ) ( Fig. 1) emits an acknowledgment signal that serves the output units ( 7 ) to perform their function and thus still A safe state is reached before an error can get into the process. 4. Verfahren nach den Ansprüchen 1 bis 3, dadurch gekennzeichnet, daß die Überwachungseinheit (2) (Fig. 1) über eine in der Programmiersprache festgelegten Logik verfügt, die entweder ausschließlich oder vorwiegend Sicherheitsvorgänge überwacht und damit redundant zur Gesamtsteuerung arbeitet.4. The method according to claims 1 to 3, characterized in that the monitoring unit ( 2 ) ( Fig. 1) has a logic defined in the programming language, which either exclusively or predominantly monitors security processes and thus works redundantly to the overall control. 5. Verfahren nach den Ansprüchen 1 bis 4, dadurch gekennzeichnet, daß die Überwachungseinheit (2) (Fig. 1) auch nach der Funktionskontrolle des nicht redundanten Steuerungssystems mit ihren für die Sicherheit notwendigen Abschaltfunktionen adaptierbar ist und durch ihre Sicherheitsfunktion der geforderte Grad an Sicherheit projektiert werden kann.5. The method according to claims 1 to 4, characterized in that the monitoring unit ( 2 ) ( Fig. 1) is adaptable even after the function check of the non-redundant control system with its shutdown functions required for safety and by their safety function the required level of safety can be configured. 6. Verfahren nach den Ansprüchen 1 bis 5, dadurch gekennzeichnet, daß die Überwachungseinheit (2) (Fig. 1) und die sicherheitsgerichteten dezentralen Einheiten (7, 9) deaktiviert werden können, ohne die einkanalige Steuerungsfunktion zu beeinträchtigen.6. The method according to claims 1 to 5, characterized in that the monitoring unit ( 2 ) ( Fig. 1) and the safety-related decentralized units ( 7 , 9 ) can be deactivated without impairing the single-channel control function. 7. Verfahren nach den Ansprüchen 1 bis 6, dadurch gekennzeichnet, daß durch eine bustechnische Mithörfunktion der Überwachungseinheit (2) keine Rückwirkung auf den eigentlichen Steuerungsprozeß entsteht, so daß eine weitgehende Trennung zwischen der Hard- und Software des nicht redundanten Steuerungssystems und der Sicherheitsüberwachung ermöglicht wird. 7. The method according to claims 1 to 6, characterized in that there is no retroactive effect on the actual control process through a bus monitoring function of the monitoring unit ( 2 ), so that an extensive separation between the hardware and software of the non-redundant control system and the safety monitoring enables becomes. 8. Verfahren nach den Ansprüchen 1 bis 7, dadurch gekennzeichnet, daß die Überwachungseinheit (2) (Fig. 1) an Standardbussysteme ohne Sicherheitsprotokollerweiterung adaptierbar bzw. einbindbar ist.8. The method according to claims 1 to 7, characterized in that the monitoring unit ( 2 ) ( Fig. 1) to standard bus systems without security protocol extension can be adapted or integrated. 9. Verfahren nach den Ansprüchen 1 bis 8, dadurch gekennzeichnet, daß die Überwachungseinheit im Zusammenspiel mit den dezentralen Einheiten, die sicherheitsrelevante Funktionen erfassen und ansteuern, selbst ihre Funktion überwachen, möglicherweise Sensoren oder Aktoren redundant überwachen und bei Ausfall einer Funktion, beispielsweise bei Ausfall der Bus-Funktion, in den sichern Zustand schalten, der keine Gefahr mehr für Mensch oder Maschine darstellt.9. The method according to claims 1 to 8, characterized in that the Monitoring unit in interaction with the decentralized units that Detect and control safety-relevant functions, even their function monitor, possibly redundantly monitor sensors or actuators and if a function fails, for example if the bus function fails, in the switch to safe state, which is no longer a danger to humans or machines represents. 10. Verfahren nach den Ansprüchen 1 bis 9, dadurch gekennzeichnet, daß die Überwachungseinheit (1) (Fig. 2) über eine graphische Ein- und Ausgabe (10) verfügt, die mit einer einfachen Parametriersprache in ihrer Funktion für alle sicherheitsrelevanten Funktionen programmierbar ist und diese Größen in geeigneter Form im Speicher (9) hinterlegt.10. The method according to claims 1 to 9, characterized in that the monitoring unit ( 1 ) ( Fig. 2) has a graphic input and output ( 10 ) which can be programmed with a simple parameterization language in its function for all security-related functions and these variables are stored in a suitable form in the memory ( 9 ). 11. Verfahren nach den Ansprüchen 1 bis 10, dadurch gekennzeichnet, daß die Eingabe der Sicherheitsfunktionen auch über eine Speichermedium erfolgen kann (EPROM, EEPROM, Chip-Karte) und dadurch die Ablage im Speicher (9) (Fig. 2) erfolgt.11. The method according to claims 1 to 10, characterized in that the input of the security functions can also take place via a storage medium (EPROM, EEPROM, chip card) and thereby the storage in the memory ( 9 ) ( Fig. 2). 12. Verfahren nach den Ansprüchen 1 bis 11, dadurch gekennzeichnet, daß die Überwachungseinheit (1) (Fig. 2) bereits intern über eine redundante Kontrolle verfügt, die einerseits aus dem Kommunikationskanal der beiden Mikroprozessoren (4, 5) und andererseits aus der Logik-Kontrolle (6) besteht, die einen eventuellen internen Fehler sofort erkennt.12. The method according to claims 1 to 11, characterized in that the monitoring unit ( 1 ) ( Fig. 2) already has a redundant internal control, on the one hand from the communication channel of the two microprocessors ( 4 , 5 ) and on the other hand from the logic Control ( 6 ) which detects any internal error immediately. 13. Verfahren nach den Ansprüchen 1 bis 12, dadurch gekennzeichnet, daß die Überwachungseinheit auch ohne eine interne redundante Kontrolle im Zusammenspiel mit den sicherheitsrelevanten Ein- und Ausgabeeinheiten ein erhöhtes Maß an Sicherheit im gesamten Automatisierungsverbund bringt.13. The method according to claims 1 to 12, characterized in that the Monitoring unit even without an internal redundant control in the Interaction with the safety-relevant input and output units brings an increased level of security in the entire automation network. 14. Verfahren nach den Ansprüchen 1 bis 13, dadurch gekennzeichnet, daß die Überwachungseinheit (1) (Fig. 2) einen zweifache Abschaltfunktion enthält, die je nach Projektierung das gewünschte Maß an Sicherheit mitbringt, dadurch, daß einerseits die Logik-Kontrolle (6) einen Abschalt-Signal (7) erzeugt und anderseits das Quittungssignal der Überwachungseinheit (1) den Ausgängen im Fehlerfall ein Durchschalten der falschen Größe verbietet.14. The method according to claims 1 to 13, characterized in that the monitoring unit ( 1 ) ( Fig. 2) contains a double shutdown function, which brings the desired level of security depending on the configuration, characterized in that on the one hand the logic control ( 6 ) generates a switch-off signal ( 7 ) and, on the other hand, the acknowledgment signal from the monitoring unit ( 1 ) prohibits the outputs from switching through the wrong size in the event of a fault. 15. Verfahren nach den Ansprüchen 1 bis 14, dadurch gekennzeichnet, daß die graphische Ausgabe (10) (Fig. 2) eine einfache Diagnose des Fehlerzustands im Automatisierungsverbund zuläßt und so als MMI (Man Machine Interface) fungiert.15. The method according to claims 1 to 14, characterized in that the graphic output ( 10 ) ( Fig. 2) allows easy diagnosis of the error state in the automation network and thus functions as an MMI (Man Machine Interface).
DE1999104893 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit Expired - Fee Related DE19904893B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE29923430U DE29923430U1 (en) 1999-02-06 1999-02-06 Monitoring unit for safety monitoring of control devices
DE1999104893 DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999104893 DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Publications (2)

Publication Number Publication Date
DE19904893A1 true DE19904893A1 (en) 2000-08-10
DE19904893B4 DE19904893B4 (en) 2007-10-18

Family

ID=7896662

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999104893 Expired - Fee Related DE19904893B4 (en) 1999-02-06 1999-02-06 Method for error suppression in control devices by an intelligent monitoring unit

Country Status (1)

Country Link
DE (1) DE19904893B4 (en)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002086633A2 (en) * 2001-04-23 2002-10-31 Siemens Aktiengesellschaft Field device comprising a security layer for connecting to a field bus system
EP1282019A2 (en) * 2001-08-01 2003-02-05 S.W.A.C. Schmitt-Walter Automation Consult GmbH Method and device for supervising a controller, in particular a programmable logic controller
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
DE10163569A1 (en) * 2001-12-21 2003-11-06 Endress & Hauser Gmbh & Co Kg Method for determining and / or monitoring a physical or chemical process variable
WO2004016539A1 (en) * 2002-07-25 2004-02-26 Siemens Aktiengesellschaft Crane system, especially a container crane
EP1607812A1 (en) * 2004-06-18 2005-12-21 General Electric Company Methods and apparatus for safety controls in industrial processes
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
US7139622B2 (en) 2001-02-20 2006-11-21 Pilz Gmbh & Co. Method and device for programming a failsafe control system
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
WO2007074105A2 (en) * 2005-12-29 2007-07-05 Endress+Hauser Process Solutions Ag Method for monitoring installations by means of a field bus used in process automation technology
WO2009033904A2 (en) * 2007-09-12 2009-03-19 Endress+Hauser Process Solutions Ag Method for monitoring a process system having a field bus in the process automation technology
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
DE102010022931A1 (en) * 2010-06-07 2011-12-08 Kuka Laboratories Gmbh robot control
CN102483624A (en) * 2009-09-15 2012-05-30 西门子公司 Providing station-based operating data using a diagnostic data server as an additional field bus master
EP2302472A3 (en) * 2009-09-23 2012-11-14 Phoenix Contact GmbH & Co. KG Control system for safety critical processes
US8923286B2 (en) 2009-09-23 2014-12-30 Phoenix Contact Gmbh & Co. Kg Method and apparatus for safety-related communication in a communication network of an automation system

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD223845A1 (en) * 1984-04-04 1985-06-19 Schiffselektronik Veb ARRANGEMENT FOR ERROR IDENTIFICATION IN THE FUNCTIONING OF DIGITAL CALCULATORS
DE3428215A1 (en) * 1984-07-31 1986-02-13 Siemens AG, 1000 Berlin und 8000 München Arrangement for monitoring a stored-program control device
DE3502387A1 (en) * 1985-01-25 1986-07-31 Klöckner-Moeller Elektrizitäts GmbH, 5300 Bonn Method for monitoring microprocessor systems and stored-program controls
DE3704318C2 (en) * 1987-02-12 1996-04-11 Vdo Schindling Arrangements for monitoring the function of a microprocessor
DE4235872C2 (en) * 1992-10-23 1996-12-19 Siemens Ag Monitoring method for an electrical device
DE4312305C5 (en) * 1993-04-15 2004-07-15 Abb Patent Gmbh Safety-related programmable logic controller
DE4404131C2 (en) * 1994-02-09 1998-07-23 Siemens Ag Battery-free data buffering
DE4408603A1 (en) * 1994-03-08 1995-09-14 Mannesmann Ag Increase of security of hierarchically structured automation systems
DE19815147B4 (en) * 1997-04-21 2005-03-17 Leuze Electronic Gmbh & Co Kg sensor arrangement
DE19857683B4 (en) * 1998-12-14 2007-06-28 Wratil, Peter, Dr. Method for monitoring the safety of control devices
DE19860358B4 (en) * 1998-12-24 2008-05-08 Wratil, Peter, Dr. Method for error suppression in output units in control devices

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19913279B4 (en) * 1999-03-24 2006-07-27 Wratil, Peter, Dr. Control device with monitoring unit for error detection and error suppression
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US6532508B2 (en) 1999-06-22 2003-03-11 Pilz Gmbh & Co. Control system for controlling safety-critical processes
US7139622B2 (en) 2001-02-20 2006-11-21 Pilz Gmbh & Co. Method and device for programming a failsafe control system
WO2002086633A3 (en) * 2001-04-23 2003-08-07 Siemens Ag Field device comprising a security layer for connecting to a field bus system
US7337369B2 (en) 2001-04-23 2008-02-26 Siemens Aktiengesellschaft Microprocessor-controlled field device for connection to a field bus system
WO2002086633A2 (en) * 2001-04-23 2002-10-31 Siemens Aktiengesellschaft Field device comprising a security layer for connecting to a field bus system
EP1282019A3 (en) * 2001-08-01 2005-03-02 S.W.A.C. Schmitt-Walter Automation Consult GmbH Method and device for supervising a controller, in particular a programmable logic controller
EP1282019A2 (en) * 2001-08-01 2003-02-05 S.W.A.C. Schmitt-Walter Automation Consult GmbH Method and device for supervising a controller, in particular a programmable logic controller
DE10163569A1 (en) * 2001-12-21 2003-11-06 Endress & Hauser Gmbh & Co Kg Method for determining and / or monitoring a physical or chemical process variable
WO2004016539A1 (en) * 2002-07-25 2004-02-26 Siemens Aktiengesellschaft Crane system, especially a container crane
US7308337B2 (en) 2002-07-25 2007-12-11 Siemens Aktiengesellschaft Crane installation, in particular container crane
EP1607812A1 (en) * 2004-06-18 2005-12-21 General Electric Company Methods and apparatus for safety controls in industrial processes
WO2007074105A3 (en) * 2005-12-29 2007-08-30 Endress & Hauser Process Solut Method for monitoring installations by means of a field bus used in process automation technology
WO2007074105A2 (en) * 2005-12-29 2007-07-05 Endress+Hauser Process Solutions Ag Method for monitoring installations by means of a field bus used in process automation technology
CN101351752B (en) * 2005-12-29 2012-06-13 恩德莱斯和豪瑟尔过程解决方案股份公司 Method for monitoring installations by means of a field bus used in process automation technology
US8886786B2 (en) 2005-12-29 2014-11-11 Endress + Hauser Process Solutions Ag Method for plant monitoring with a field bus of process automation technology
WO2009033904A2 (en) * 2007-09-12 2009-03-19 Endress+Hauser Process Solutions Ag Method for monitoring a process system having a field bus in the process automation technology
WO2009033904A3 (en) * 2007-09-12 2009-05-22 Endress & Hauser Process Solut Method for monitoring a process system having a field bus in the process automation technology
US9316521B2 (en) 2007-09-12 2016-04-19 Endress + Hauser Process Solutions Ag Method for monitoring a process system having a field bus in the process automation technology
CN102483624A (en) * 2009-09-15 2012-05-30 西门子公司 Providing station-based operating data using a diagnostic data server as an additional field bus master
EP2302472A3 (en) * 2009-09-23 2012-11-14 Phoenix Contact GmbH & Co. KG Control system for safety critical processes
US8923286B2 (en) 2009-09-23 2014-12-30 Phoenix Contact Gmbh & Co. Kg Method and apparatus for safety-related communication in a communication network of an automation system
DE102010022931A1 (en) * 2010-06-07 2011-12-08 Kuka Laboratories Gmbh robot control
DE102010022931B4 (en) 2010-06-07 2023-04-20 Kuka Roboter Gmbh robot controller

Also Published As

Publication number Publication date
DE19904893B4 (en) 2007-10-18

Similar Documents

Publication Publication Date Title
EP2302472B1 (en) Control system for safety critical processes
DE19904893A1 (en) Method for suppressing controller errors with an intelligent monitoring unit includes a controller to control a process, a local network and local units allowing data to be transported from the controller to sensors and actuators
EP3622357B1 (en) Control system for controlling safety-critical and non-safety-critical processes with master-slave functionality
DE102005055428B4 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
WO2014161909A1 (en) Control and data transmission system, process device, and method for redundant process control with decentralized redundancy
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
DE19857683B4 (en) Method for monitoring the safety of control devices
DE102005009707A1 (en) Modular numerical control unit
EP0782722B1 (en) Process and device for controlling and activating sensors and/or actuators that are linked by a bus system
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
WO2009127470A1 (en) Method for operating a safety controller and automation network having such a safety controller
DE19842593C2 (en) Method for operating a bus master on a fieldbus
DE19860358B4 (en) Method for error suppression in output units in control devices
DE19913279B4 (en) Control device with monitoring unit for error detection and error suppression
EP2075655B1 (en) Safety control
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
DE19904892B4 (en) Method for error suppression for input units in control devices
EP3470937A1 (en) Method and devices for monitoring the response time of a security function provided by a security system
DE102005007477B4 (en) Programmable control for machine and / or plant automation with standard control and safety functions and communication with a safety I / O and method for operating the programmable controller
DE102004061013A1 (en) Safe input / output module for a controller
EP3940467A1 (en) Control system for controlling a device or system
EP3267270B1 (en) Failsafe automation system
DE29923430U1 (en) Monitoring unit for safety monitoring of control devices
DE102012001624B4 (en) Failure tolerant safety-at-work system
EP3509316A1 (en) Security network and security sensor

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE, DE

R081 Change of applicant/patentee

Owner name: PHOENIX CONTACT GMBH & CO. KG, DE

Free format text: FORMER OWNER: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

Effective date: 20121123

R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE, DE

Effective date: 20121123

Representative=s name: BLUMBACH ZINNGREBE, DE

Effective date: 20121123

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee