DE19913279A1 - Monitoring and detection unit for errors incorporates automation unit, unit and output units - Google Patents

Monitoring and detection unit for errors incorporates automation unit, unit and output units

Info

Publication number
DE19913279A1
DE19913279A1 DE1999113279 DE19913279A DE19913279A1 DE 19913279 A1 DE19913279 A1 DE 19913279A1 DE 1999113279 DE1999113279 DE 1999113279 DE 19913279 A DE19913279 A DE 19913279A DE 19913279 A1 DE19913279 A1 DE 19913279A1
Authority
DE
Germany
Prior art keywords
monitoring unit
errors
control
unit according
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1999113279
Other languages
German (de)
Other versions
DE19913279B4 (en
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Wratil Peter
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wratil Peter filed Critical Wratil Peter
Priority to DE1999113279 priority Critical patent/DE19913279B4/en
Publication of DE19913279A1 publication Critical patent/DE19913279A1/en
Application granted granted Critical
Publication of DE19913279B4 publication Critical patent/DE19913279B4/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Abstract

The monitoring and detection unit (2) incorporates an automation unit for controlling or regulating a plant, machine or process (11,12). The control and security functions are separate. The monitoring unit acts as receiver in an existing bus-system (3) and detects transmission and program errors and breakdowns or conveys them to an overall or group circuit. Errors are controlled not just by data transfer in bus-transmission but also by reading back input units (14) or output units (7).

Description

Die Erfindung bezieht sich auf eine Überwachungseinheit, die man in Automatisierungseinrichtungen integrieren kann und dann ein erhöhtes Maß an Sicherheit erreicht.The invention relates to a monitoring unit, which one in Automation equipment can integrate and then an increased level of Security achieved.

Steuerungseinrichtungen werden nach dem heutigen Stand der Technik überall dort eingesetzt, wo Prozesse, Abläufe oder sonstige elektromechanische Einrichtungen zu steuern, regeln, überwachen oder zu visualisieren sind.Control devices are everywhere there according to the current state of the art used where processes, procedures or other electromechanical devices to be controlled, regulated, monitored or visualized.

Im engeren Sinne verwendet man hierzu oftmals speicherprogrammierbare Steuerungen oder Mikrorechner. Typische Anwendungsgebiete sind Automatisierungsinseln, Fertigungsstraßen, Bearbeitungszentren oder chemische Einrichtungen.In the narrower sense, programmable logic is often used for this Controllers or microcomputers. Typical areas of application are Automation islands, production lines, machining centers or chemical Facilities.

Nicht selten enthalten diese vorher genannten Prozesse sicherheitsrelevante Abläufe, die eine Gefährdung für Personen oder Teile der Maschine darstellen. Von den fehlerhafte Zuständen der Steuerung gehen dann extreme Gefahren aus, die unbedingt von Personen oder sonstigen Einrichtungen fern zu halten sind. Beispiele hierfür sind unkontrollierte Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- oder Fräseinrichtungen, ungewollte Beschleunigungen oder falsche Drehzahlen von Rotationseinrichtungen oder verzögertes Abschalten von Heiz- oder Dosierprozessen bei chemischen Anlagen.It is not uncommon for these previously mentioned processes to contain security-relevant ones Processes that pose a danger to people or parts of the machine. Of The faulty states of the control system then pose extreme dangers must be kept away from people or other facilities. Examples for this are uncontrolled movements of robots, premature movement of Turning or milling devices, unwanted accelerations or incorrect ones Speeds of rotation devices or delayed switching off of heating or Dosing processes in chemical plants.

Die Ursachen dieser fatalen Fehler sind vielfältig. Zumeist liegt aber ein Programmierfehler, ein unkontrolliertes Verhalten durch elektromagnetische Einflüsse oder eine sonstige Störung vor, die den Prozeß in eine nicht definierte Situation bringt.The causes of these fatal errors are many. Mostly, however, lies Programming errors, an uncontrolled behavior due to electromagnetic Influences or any other disturbance that the process into an undefined Situation.

Diese Fehlerarten sind in der Literatur (insb.: in Normungswerken, vergl.: DIN 19251) hinreichend beschrieben. Gleichfalls stellt die Norm bereits Konzepte vor, wie man derartige Fehler erkennt und eliminiert (z. B.: DIN V 0801 / DIN ISO 61508). Ferner bieten verschiedene Hersteller von Steuerungseinrichtungen bereits vollständige Lösungen an, die für sicherheitsrelevante Einrichtungen (wie vorgestellt) zu verwenden sind (siehe Produktangebote Siemens (115/155F) oder Produkte der Hersteller Pilz und Hima).These types of errors are adequately described in the literature (especially in standardization works, see DIN 19251). At the same time, the standard already presents concepts on how to recognize and eliminate such errors (e.g. DIN V 0801 / DIN ISO 61508). Further, various manufacturers offer of controllers to already complete solutions (as pictured) for safety-related equipment to be used (see product offerings Siemens (115/155 F) or products manufacturers fungus and Hima).

Alle bekannten Lösungen basieren darauf, daß man entweder die gesamte Steuerungseinrichtung oder Teile der Steuerungseinrichtung redundant auslegt. So entsteht ein Gesamtsystem, das man bei allen sicherheitsrelevanten Komponenten entweder doppelt oder dreifach projektiert werden muß.All known solutions are based on the fact that either the entire Control device or parts of the control device designed redundantly. So a complete system is created that can be used for all safety-related components must be configured either twice or three times.

Insbesondere stellt die Sicherheitseinrichtung bei einer derartigen Steuerung einen festen Bestandteil des Gesamtsystems dar. Jede Änderung oder Anpassung an den Prozeß muß sorgsam (im Hinblick auf die Sicherheitsfunktion) durchgeführt werden, da auch nichtsicherheitsrelevante Hard- oder Softwarekomponenten einen Einfluß auf die Sicherheitseinrichtung haben können. Im schlimmsten Fall könnte sogar die Änderung eines Parameters zum Absturz der Sicherheitseinrichtung führen.In particular, the safety device sets such a control an integral part of the overall system. Any change or adaptation to the Process must be carried out carefully (with regard to the safety function) since non-safety-relevant hardware or software components also have an impact may have on the safety device. In the worst case, even that could Changing a parameter causes the safety device to crash.

Bereits in der Vergangenheit war man daher stets bemüht, reine Steuerungsabläufe von sicherheitsrelevanten Vorgängen zu trennen (siehe auch Patent DE 35 02 387 oder Fachartikel "SPS in der Sicherheitstechnik", SPS-Magazin, Feb./März 1990). For this reason, efforts have always been made in the past, pure control processes separate from safety-relevant processes (see also patent DE 35 02 387 or technical article "SPS in der Sicherheitstechnik", SPS-Magazin, Feb./March 1990).  

Nach wie vor stellen auch diese Konzepte Verfahren dar, die zwar ohne Verdopplung der Hardware auskommen, aber die sicherheitsrelevante Funktion in der Gesamtprojektierung der Steuerung benötigen.These concepts still represent processes that do not duplicate of the hardware, but the safety-relevant function in the Complete configuration of the control system.

Der Erfindung liegt die Aufgabe zu Grunde, die Steuerungseinrichtung und die Sicherheitsfunktion vollkommen zu trennen. Mit der Erfindung wird es möglich, den Steuerungsteil vollständig vorher aufzubauen, zu testen und in Betrieb zu nehmen. Die Überwachungseinheit läßt sich dann nachträglich hinzufügen, ohne die Steuerungsfunktion zu ändern. Auch nach der Installation beider Systeme (Steuerungseinrichtung und Überwachungseinheit) lassen sich Steuerungsfunktionen ändern, hinzufügen oder heraustrennen, ohne daß die Sicherheitsfunktion davon betroffen ist. Insbesondere besteht die Möglichkeit, alle Sicherheitsverknüpfungen im einzelnen unabhängig zu prüfen.The invention is based on the object, the control device and the Separate safety function completely. With the invention it becomes possible Assemble the control part completely beforehand, test it and put it into operation. The monitoring unit can then be added later without the Change control function. Even after installing both systems (Control device and monitoring unit) control functions change, add or detach without the safety function of it is affected. In particular, there is the possibility of all security links in the to examine each independently.

Fig. 1 stellt ein typisches Steuerungssystem für Anlagen, Maschinen oder Prozesse dar. Die Steuerung (1) enthält das Verarbeitungsprogramm und steuert oder regelt den Prozeß (11, 12) bzw. den sicherheitsrelevanten Prozeß (13) über dezentrale Ein- und Ausgaben (4, 5, 6, 7, 8, 9, 10). Der Datentransport von oder zur Steuerungseinheit zu oder von den dezentralen Einheiten wird durch ein Bus-System (3) bewerkstelligt. Alle Informationen, die entweder analoge oder digitale Werte für den Prozeß oder vom Prozeß darstellen werden über dieses Bus-System transportiert. Fig. 1 illustrates a typical control system for plants, machines or processes. The control (1) containing the processing program and controls or regulates the process (11, 12) or the safety-relevant process (13) via remote input and output (4 , 5 , 6 , 7 , 8 , 9 , 10 ). The data transport from or to the control unit to or from the decentralized units is accomplished by a bus system ( 3 ). All information that represents either analog or digital values for the process or from the process is transported via this bus system.

Ein beliebiger Teilnehmer, der lediglich eine Hörer-Funktion am Bus übernimmt, kann sich durch das Speichern der Informationen dieser Ein- und Ausgangsdaten ein Bild vom Zustand der Ein- und Ausgänge und vom Prozeß machen.Any participant who only takes on the handset function on the bus can an image by storing the information of this input and output data the state of the inputs and outputs and the process.

Fügt man daher ein Überwachungseinheit in das System ein, und hinterlegt in ihr logische Funktionen, welche die Sicherheit überprüfen, so erkennt diese Überwachungseinheit eventuelle Fehler, die am Bus erscheinen. Die Überwachungseinheit enthält innerhalb ihrer logischen Funktionen nur übergeordnete Verknüpfungen, die den sicheren Ablauf (im Sinne von Personenschutz oder Maschinensicherheit) garantieren. In der Regel sind diese Sicherheitsfunktionen nur von geringer Anzahl und lassen sich durch einfachste Verknüpfungen als eine Art "Zustimm-Logik" hinterlegen.Therefore one inserts a monitoring unit into the system and stores it in it Logical functions that check security recognize this Monitoring unit any errors that appear on the bus. The Monitoring unit only contains within its logical functions higher-level links that ensure the safe process (in the sense of Personal protection or machine safety) guarantee. As a rule, these are Safety functions only of a small number and can be done by the simplest Store links as a kind of "consent logic".

Freilich erkennt die Überwachungseinheit in der einfachsten Ausprägung nur Fehler, die am Bus erscheinen. Typische Fehler dieser Form sind Programmierfehler, Störungen durch EMV oder Datentransportfehler am Bus-System. Eventuelle Fehler der Eingangseinheiten oder der Ausgangseinheiten werden nicht registriert.In its simplest form, the monitoring unit only recognizes errors, that appear on the bus. Typical errors of this form are programming errors, Faults due to EMC or data transport errors on the bus system. Any errors of the input units or the output units are not registered.

Man kann jedoch durch zwei unterschiedliche Strategien einen hohe Fehlersicherheit erreichen, den gesamten Prozeß einschließt:
However, two different strategies can be used to achieve a high level of error security, including the entire process:

  • - Es besteht (meist im Rahmen der Projektierung) die Möglichkeit, die Respons einer Ausgabeeinheit durch Rücklesen einer Eingabeeinheit zu überprüfen. Dieses kann direkt geschehen als auch durch einen Plausibilitätskontrolle innerhalb des Prozesses erfolgen. So kann die Ausgabeeinheit (5) durch einen internen Fehler in der Einheit im Prozeß (11) eine ungewollte Funktion ausführen. Dann besteht sofort die Möglichkeit, die Ausgangsgröße entweder direkt über die Eingabeeinheit (6) wieder rückzulesen. Der Rückkopplungszweig (14) muß in jedem Fall projektiert werden. Natürlich besteht auch die Möglichkeit, eine abgeleitete Größe aus dem Prozeß in die Eingabeeinheit einzugeben. So kann beispielsweise die Ausgabeeinheit (5) einen Motor ansteuern. Dessen Drehzahl wird über einen Tachogenerator von der Eingabeeinheit (6) abgefragt und so von dem Automatisierungssystem und der Überwachungseinheit überwacht. In jedem Fall erscheint ein möglicher Fehler zuerst im Prozeß und wird dann erkannt. Bis zu einer eventuellen Abschaltung oder einem anders gearteten Eingriff existiert somit eine (zwar kurze) Fehleroffenbarungszeit. Bei den heute üblichen Geschwindigkeiten von Steuerungseinrichtungen liegen diese Offenbarungszeiten nur bei wenigen Millisekunden, so daß ein kein Schaden entstehen kann.- It is possible (usually within the scope of the configuration) to check the response of an output unit by reading back an input unit. This can be done directly or by means of a plausibility check within the process. The output unit ( 5 ) can thus perform an unwanted function due to an internal error in the unit in the process ( 11 ). Then it is immediately possible to read back the output variable either directly via the input unit ( 6 ). The feedback branch ( 14 ) must be configured in any case. Of course, there is also the possibility of entering a derived quantity from the process into the input unit. For example, the output unit ( 5 ) can control a motor. Its speed is queried by a tachometer generator from the input unit ( 6 ) and thus monitored by the automation system and the monitoring unit. In any case, a possible error first appears in the process and is then recognized. Until a possible shutdown or another type of intervention, there is a (short) error reporting time. At the current speeds of control devices, these disclosure times are only a few milliseconds, so that no damage can occur.
  • - Man kann aber auch spezielle Ausgabeeinheiten vorsehen (7, grau hinterlegt), die bereits intern eine Sicherheitslogik beinhalten (vergl.: Patentanmeldung Peter Wratil, Akt.: 198 60 358.4). Derartige Ausgabeeinheiten lassen sich auch als Eingabeeinheit betreiben und spiegeln dann ihre eigene Ausgabefunktion oder die bewirkte Funktion aus dem Prozeß (13) zurück. Mit einer derartigen Anordnung entfällt eine Projektierung, die eine Rückkopplung über einen Eingabe-Kanal vorsieht.- However, special output units can also be provided (7, highlighted in gray) which already contain internal security logic (see: Peter Wratil patent application, file number: 198 60 358.4). Output units of this type can also be operated as an input unit and then reflect their own output function or the function effected from the process ( 13 ). With such an arrangement, there is no configuration which provides feedback via an input channel.

Gleichgültig welche Ausprägung des Systems vorliegt, so erscheint ein möglicher Fehler kurzzeitig am Prozeß (12, 13). Sobald die Überwachungseinheit den Fehler erkennt, muß sie den begonnen Prozeß stoppen und in einen sicheren Zustand versetzen. In der Regel tritt ein sicherer Zustand ein, sobald die Spannungsversorgung abgeschaltet wird.Regardless of the type of system, a possible error appears briefly in the process ( 12 , 13 ). As soon as the monitoring unit detects the error, it must stop the process that has started and put it in a safe state. As a rule, a safe state occurs as soon as the power supply is switched off.

Zu Erhöhung der Sicherheit ist es zusätzlich notwendig, daß die Überwachungseinheit (2, grau hinterlegt) auch den zyklischen Verkehr am Bus- System prüft. Damit wird ausgeschlossen, daß eine Fehler am Ausgang im Prozeß (14, 12) erscheint und auf Grund eines Busausfalls nicht mehr eingelesen wird. Bei einer derartigen Bus-Unterbrechung hat die Überwachungseinheit ebenfalls die Versorgung abzuschalten oder eine geeignete Vorkehrung zu treffen.To increase security, it is also necessary that the monitoring unit (2, gray background) also checks the cyclical traffic on the bus system. This prevents an error from appearing at the output in process ( 14 , 12 ) and can no longer be read in due to a bus failure. In the event of such a bus interruption, the monitoring unit also has to switch off the supply or take suitable precautions.

Der interne Aufbau der Überwachungseinheit (Fig. 1: 2) ist in Fig. 2 im Detail dargestellt (vergl.: Patentanmeldung, Peter Wratil, Akt.: 199 04 893.2).The internal structure of the monitoring unit ( Fig. 1: 2 ) is shown in detail in Fig. 2 (see: patent application, Peter Wratil, Akt .: 199 04 893.2).

Fig. 2 stellt den internen Aufbau der Überwachungseinheit (1) dar. Über ein Bus- Interface (3) ist die Überwachungseinheit (1) an das Bus-System (2) angeschlossen. Sie beinhaltet innerhalb des Bus-Verkehrs die Stellung eines Slaves. Damit ist sie nicht in der Lage, direkt Daten zu einem der Teilnehmer zu senden. Das Bus- Interface (3) versetzt sie lediglich in die Lage, alle Daten, die durch die Steuerung übertragen werden zu protokollieren. Hierzu verwendet die Überwachungseinheit (1) einen Mikroprozessor (MP1, 4) (oder ein ähnlich geartetes Bauteil, z. B.: ASIC), das die Daten vom Bus-System (2) über das Bus-Interface (3) aufnimmt und im Speicher 1 (8) ablegt. Hierdurch entsteht im Speicher 1 (8) ein Abbild der Zustände innerhalb der Eingänge und Ausgänge im gesamten Automatisierungsverbund. Ein weiterer Mikroprozessor (MP2, 5) ist an den ersten Prozessor angekoppelt. Die wesentliche Aufgabe dieses zweiten Prozessors (5) besteht jedoch darin, über die graphische Ein- und Ausgabe (10) die Sicherheitsfunktionen im Speicher 2 (9) abzulegen. Diese Sicherheitsfunktionen stellen in der Regel nur ein geringer Teil der gesamten Steuerungsfunktionen dar. Diese werden vom Benutzer in Form einer Tabelle hinterlegt, die genaue Auskunft gibt, welche Eingänge mit der entsprechenden logischen Funktion zu erlaubten oder verbotenen Ausgängen gehören. Der Prozessor 2 (5) beinhaltet damit ein Betriebssystem (Software), die diese Eingabe über Tasten und Anzeige oder über ein Speicherelement (z. B.: EPROM, EEPROM, Chip-Karte, usw.) im Speicher 2 (9) ablegt. Unabhängig von der Art der Eingabe entsteht somit im Speicher 2 (9) eine Untermenge der Speicherinhalte aus dem Speicher 1 (8). In der Regel (d. h. im Fall, daß sich das System fehlerfrei verhält) stimmen die Inhalte aus dem Speicher 2 (9) mit einem Teil des Speichers 1 (8) überein. Fig. 2 shows the internal structure of the monitoring unit (1). Via a bus interface (3) the monitoring unit (1) connected to the bus system (2). It includes the position of a slave within the bus traffic. It is therefore not able to send data directly to one of the participants. The bus interface ( 3 ) only enables them to log all data that is transmitted by the controller. For this purpose, the monitoring unit ( 1 ) uses a microprocessor (MP1, 4) (or a similar component, e.g. ASIC), which receives the data from the bus system ( 2 ) via the bus interface ( 3 ) and in Store 1 ( 8 ). This creates an image of the states within the inputs and outputs in the entire automation network in memory 1 ( 8 ). Another microprocessor (MP2, 5) is coupled to the first processor. The main task of this second processor ( 5 ), however, is to store the safety functions in the memory 2 ( 9 ) via the graphic input and output ( 10 ). These safety functions generally represent only a small part of the total control functions. These are stored by the user in the form of a table that provides precise information as to which inputs with the corresponding logical function belong to permitted or forbidden outputs. The processor 2 ( 5 ) thus contains an operating system (software) which stores this input via buttons and display or via a memory element (for example: EPROM, EEPROM, chip card, etc.) in the memory 2 ( 9 ). Regardless of the type of input, a subset of the memory contents from memory 1 ( 8 ) thus arises in memory 2 ( 9 ). As a rule (that is, in the event that the system behaves without errors), the contents from memory 2 ( 9 ) match part of memory 1 ( 8 ).

Noch während des Bus-Zyklus am Bus-System (2) unterhalten sich die beiden Prozessoren und tauschen die Inhalte der Speicher aus, so daß ein Vergleich möglich wird. Sofern das Automatisierungssystem fehlerfrei arbeitet, ist ein Gleichstand der entsprechenden Speicherbereiche gewährleistet. Im Fehlerfall (z. B. wenn ein Ausgang gesetzt werden soll, der im Speicher 2 (9) durch die momentane Konstellation der Eingänge nicht erlaubt ist) entsteht eine Abweichung, die von beiden Prozessoren erkannt wird. Hierdurch erfolgt eine Meldung an die Logik- Kontrolle (6), die über das Abschalt-Signal (7) den Prozeß in einen sicheren Zustand versetzt. Die Logik-Kontrolle (6) hat noch zusätzlich die Aufgabe, die beiden Prozessoren gegenseitig zu überwachen, so daß die Überwachungseinheit (1) bereits intern über eine fehlererkennende Einrichtung verfügt.During the bus cycle on the bus system ( 2 ), the two processors are talking and exchanging the contents of the memories, so that a comparison is possible. If the automation system works correctly, the corresponding memory areas are guaranteed to be the same. In the event of an error (e.g. if an output is to be set that is not permitted in memory 2 ( 9 ) due to the current constellation of the inputs), a deviation arises that is recognized by both processors. This results in a message to the logic control ( 6 ) which puts the process into a safe state via the shutdown signal ( 7 ). The logic control ( 6 ) additionally has the task of mutually monitoring the two processors, so that the monitoring unit ( 1 ) already has an error-detecting device internally.

Die Überwachungseinheit (2, in Fig. 1) übernimmt damit 2 unterschiedliche Aufgaben in dem beschriebenen Verfahren. Einerseits dient sie dem Benutzer zur Eingabe und Darstellung der sicherheitsrelevanten Funktionen. Damit erfüllt diese Einheit die Funktion eines MMIs (Man Machine Interface). Andererseits übt die Überwachungseinheit (2) eine Kontrolle des Busverkehrs aus und versetzt sich dadurch in die Lage, die Zustände der Ein- und Ausgänge im Automatisierungsverbund zu kontrollieren.The monitoring unit ( 2 , in Fig. 1) thus takes on 2 different tasks in the described method. On the one hand, it serves the user to enter and display the safety-related functions. This unit thus fulfills the function of an MMI (Man Machine Interface). On the other hand, the monitoring unit ( 2 ) controls the bus traffic and thereby enables itself to control the status of the inputs and outputs in the automation network.

In der Regel kann man die Überwachungseinheit mit einer Schnittstelle ausrüsten (z. B.: serielles Interface), so daß bei speziellen Prozeßanforderungen nicht ein genereller Stop der Gesamtanlage, sondern auch eine Gruppenabschaltung einzelner Bereiche möglich ist. Hierdurch kann ein verketteter Herstellungsprozeß entweder noch in einen sicheren Zustand gefahren oder sogar in den noch verbleibenden sicheren Funktionen aufrecht erhalten werden.As a rule, the monitoring unit can be equipped with an interface (e.g. serial interface), so that no special process requirements general stop of the entire system, but also a group shutdown individual areas is possible. This can be a linked manufacturing process either still in a safe state or even in the still remaining secure functions are maintained.

Durch Hinzufügen einer derartigen Überwachungseinheit ist damit ein erhöhtes Maß an Sicherheit entstanden. Im Zusammenspiel mit der Projektierung der Gesamtanlage kann eine "Ein-Fehler-Sicherheit" entstehen, die jeden möglichen Fehler erkennt und im Fehlerfall den gerade gestarteten Prozeß unterbricht. Die Installation der beschriebenen Überwachungseinheit kann auch nach der Inbetriebnahme des Automatisierungssystems erfolgen, da Steuerungs- und Sicherheitsfunktionen fast vollständig getrennt sind. Man erhält damit den entscheidenden Vorteil, daß man ein bestehendes System, eine Anlage, eine Maschine oder einen Prozeß bei erhöhter Anforderung an die Sicherheit in einfachster Form nachrüsten kann.By adding such a monitoring unit, this is an increased measure security emerged. In interaction with the project planning of the Overall system can create a "one-fault security" that every possible Detects errors and interrupts the process that has just started in the event of an error. The installation of the described monitoring unit can also be carried out after Commissioning of the automation system take place since control and Security functions are almost completely separated. You get the decisive advantage that you have an existing system, a system, a Machine or process with increased security requirements simplest form can retrofit.

Claims (9)

1. Überwachungseinheit (2) zur Fehlererkennung und Fehlerunterdrückung in Steuerungseinrichtungen, dadurch gekennzeichnet, daß eine Automatisierungseinrichtung zur Steuerung oder Regelung einer Anlage, einer Maschine oder eines Prozesses (11, 12) durch Hinzufügen der Überwachungseinheit (2) ein erhöhtes Maß an Sicherheit bringt, die dadurch zustande kommt, daß man Steuerungs- und Sicherheitsfunktionen weitgehend trennen kann und so ein Unabhängigkeit zwischen Steuerung und Sicherheitsüberwachung erhält, dadurch gekennzeichnet, daß die Überwachungseinheit als Hörer an einem vorhandenen Bus-System (3) eventuelle Übertragungs-, Programmierfehler oder sonstige Störungen erkennt und den Prozeß unterbricht, oder gegebenenfalls zu einer Gesamt- oder Gruppenabschaltung führt, und damit einen sicheren Zustand des Gesamtsystems erzeugt, dadurch gekennzeichnet, daß die Kontrolle eventueller Fehler nicht nur auf den Datentransfer bei der Bus-Übertragung sondern auch durch Rücklesen über Eingabeeinheiten (14) oder über spezielle rücklesbare Ausgabeeinheiten (7) erfolgt und somit ein Schutz von Leben und Gesundheit von Personen erfolgt oder wertvolle Maschinenteile vor Beschädigung hütet.1. Monitoring unit ( 2 ) for error detection and error suppression in control devices, characterized in that an automation device for controlling or regulating a system, a machine or a process ( 11 , 12 ) brings an increased level of security by adding the monitoring unit ( 2 ), which results from the fact that control and safety functions can be largely separated and thus independence between control and safety monitoring, characterized in that the monitoring unit recognizes any transmission, programming errors or other faults on an existing bus system ( 3 ) and interrupts the process, or possibly leads to a total or group shutdown, and thus generates a safe state of the overall system, characterized in that the control of possible errors not only on the data transfer during the bus transmission but also d By reading back via input units ( 14 ) or via special readable output units ( 7 ) and thus protecting the life and health of people or protecting valuable machine parts from damage. 2. Überwachungseinheit nach dem Anspruch 1, dadurch gekennzeichnet, daß diese nachträglich in bestehende Anlagen, Maschinen oder sonstige Prozesse adaptierbar ist und so zur Erhöhung der Sicherheit beiträgt.2. Monitoring unit according to claim 1, characterized in that this subsequently in existing systems, machines or other processes is adaptable and thus contributes to increasing security. 3. Überwachungseinheit nach den Ansprüchen 1 bis 2, dadurch gekennzeichnet, daß man je nach Grad der Sicherheitsanforderung oder den Randbedingungen des Automatisierungssystems entweder mit einer projektierten Rücklesung über eine dezentrale Eingabeeinheit (6, 14) oder mit einer speziellen rücklesbaren Ausgabeeinheit (7) arbeitet.3. Monitoring unit according to claims 1 to 2, characterized in that depending on the degree of the security requirement or the boundary conditions of the automation system either with a projected readback via a decentralized input unit ( 6 , 14 ) or with a special readable output unit ( 7 ). 4. Überwachungseinheit nach den Ansprüchen 1 bis 3, dadurch gekennzeichnet, daß die Überwachungseinheit ein- oder mehrkanalig aufgebaut ist (je nach Sicherheitsanforderung) und damit gegebenenfalls selbst bereits intern redundant aufgebaut sein kann und mittels einer Logik-Kontrolle (Fig. 2: 6) zwei interne Mikroprozessoren (oder ähnlich Bausteine) (Fig. 2: 4, 5) überwacht und so interne Fehler selbst eliminiert oder im Zusammenspiel mit zusätzlichen Einheiten (z. B.: der Steuerungseinrichtung) diese Fehler eliminiert.4. Monitoring unit according to claims 1 to 3, characterized in that the monitoring unit is constructed in one or more channels (depending on the security requirement) and thus may itself already be constructed redundantly internally and by means of a logic control ( Fig. 2: 6 ) monitors two internal microprocessors (or similar modules) ( Fig. 2: 4 , 5 ) and thus eliminates internal errors themselves or in conjunction with additional units (e.g. the control device) eliminates these errors. 5. Überwachungseinheit nach den Ansprüchen 1 bis 4, dadurch gekennzeichnet, daß sie intern 2 Speicher (Fig. 2: 8, 9) enthält, die einerseits die Zustände der Ein- und Ausgabeeinheiten (Fig. 2: 8) und andererseits die erlaubten Verknüpfungen der Sicherheitsfunktionen (Fig. 2: 9) beinhalten, so daß eine Abweichung in den Speicherinhalten zu einer Abschaltfunktion (7) führt, so daß im Prozeß ein sicherer Zustand erreicht wird.5. Monitoring unit according to claims 1 to 4, characterized in that it contains internally 2 memories ( Fig. 2: 8 , 9 ), on the one hand, the states of the input and output units ( Fig. 2: 8 ) and, on the other hand, the permitted links contain the safety functions ( Fig. 2: 9 ), so that a deviation in the memory contents leads to a switch-off function ( 7 ), so that a safe state is reached in the process. 6. Überwachungseinheit nach den Ansprüchen 1 bis 5, dadurch gekennzeichnet, daß sie eine Eingabe (10) enthält, in der man die Sicherheitsfunktionen über eine integrierte graphische Bedienoberfläche (10) oder ein sonstiges Speichermedium hinterlegen kann.6. Monitoring unit according to claims 1 to 5, characterized in that it contains an input ( 10 ) in which the security functions can be stored via an integrated graphical user interface ( 10 ) or another storage medium. 7. Überwachungseinheit nach den Ansprüchen 1 bis 6, dadurch gekennzeichnet, daß die Überwachungseinheit durch eine Zugangsfunktion (Schlüsselschalter, Paßwort, usw.) entweder aktiv oder inaktiv geschaltet werden kann, so daß man die Funktion im Detail testen und in Betrieb nehmen kann, ohne die Maschinensteuerung zu beeinflussen.7. Monitoring unit according to claims 1 to 6, characterized in that that the monitoring unit has an access function (key switch, Password, etc.) can either be activated or deactivated, so that one can test the function in detail and put it into operation without the To influence machine control. 8. Überwachungseinheit nach den Ansprüchen 1 bis 7, dadurch gekennzeichnet, daß die Überwachungseinheit über eine Schnittstelle verfügt (z. B.: serielles Interface), so daß sowohl ein Gesamtabschaltung als auch eine Gruppenabschaltung im Fehlerfall erfolgt.8. Monitoring unit according to claims 1 to 7, characterized in that the monitoring unit has an interface (e.g. serial  Interface), so that both a total shutdown and a Group shutdown takes place in the event of an error. 9. Überwachungseinheit nach den Ansprüchen 1 bis 8, dadurch gekennzeichnet, daß eine funktionsorientierte Diagnose erfolgen kann, da eine Abweichung der beiden Speicher (Fig. 2: 8, 9) sofort eine Information ermöglicht, welcher Fehler aufgetreten ist.9. Monitoring unit according to claims 1 to 8, characterized in that a function-oriented diagnosis can take place, since a deviation of the two memories ( Fig. 2: 8 , 9 ) immediately provides information as to which error has occurred.
DE1999113279 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression Expired - Lifetime DE19913279B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1999113279 DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999113279 DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Publications (2)

Publication Number Publication Date
DE19913279A1 true DE19913279A1 (en) 2000-09-28
DE19913279B4 DE19913279B4 (en) 2006-07-27

Family

ID=7902207

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999113279 Expired - Lifetime DE19913279B4 (en) 1999-03-24 1999-03-24 Control device with monitoring unit for error detection and error suppression

Country Status (1)

Country Link
DE (1) DE19913279B4 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6545758B1 (en) 2000-08-17 2003-04-08 Perry Sandstrom Microarray detector and synthesizer
US6567163B1 (en) 2000-08-17 2003-05-20 Able Signal Company Llc Microarray detector and synthesizer
DE10233873A1 (en) * 2002-07-25 2004-02-19 Siemens Ag Crane system, especially container crane, has second controller for monitoring first controller, making own control intervention if safety-relevant control intervention by first controller inadequate
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
WO2007074105A2 (en) * 2005-12-29 2007-07-05 Endress+Hauser Process Solutions Ag Method for monitoring installations by means of a field bus used in process automation technology
EP2015154A1 (en) * 2007-07-09 2009-01-14 Siemens Aktiengesellschaft Method for operating an automation device comprising configurable shut-down modes
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US8744805B2 (en) 2008-06-26 2014-06-03 Phoenix Contact Gmbh & Co. Kg Monitoring system
EP1589386B1 (en) 2004-04-16 2018-01-10 Sick Ag Process control system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008038912B4 (en) * 2008-08-13 2021-05-06 Phoenix Contact Gmbh & Co. Kg Control device for the small control of a safety-relevant function block

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5097470A (en) * 1990-02-13 1992-03-17 Total Control Products, Inc. Diagnostic system for programmable controller with serial data link
DE4107007A1 (en) * 1991-03-05 1992-09-10 Siemens Ag Watchdog system for data and address buses of data processing system - has module with memories and registers for test data and reference values for comparison
DE4312305C5 (en) * 1993-04-15 2004-07-15 Abb Patent Gmbh Safety-related programmable logic controller
DE19815150B4 (en) * 1997-04-21 2005-03-10 Leuze Electronic Gmbh & Co Kg sensor arrangement
DE19814102C2 (en) * 1998-03-30 1999-05-12 Siemens Ag Data transmission method
DE19857683B4 (en) * 1998-12-14 2007-06-28 Wratil, Peter, Dr. Method for monitoring the safety of control devices
DE19860358B4 (en) * 1998-12-24 2008-05-08 Wratil, Peter, Dr. Method for error suppression in output units in control devices
DE29923431U1 (en) * 1999-02-06 2001-06-13 Wratil Peter Unit in control devices
DE19904892B4 (en) * 1999-02-06 2008-06-12 Wratil, Peter, Dr. Method for error suppression for input units in control devices
DE19904893B4 (en) * 1999-02-06 2007-10-18 Wratil, Peter, Dr. Method for error suppression in control devices by an intelligent monitoring unit

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19925693B4 (en) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Circuit arrangement for secure data transmission in an annular bus system
DE19927635B4 (en) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Security related automation bus system
US6806954B2 (en) 2000-08-17 2004-10-19 Able Signal Company, Llc Microarray detector and synthesizer
US6545758B1 (en) 2000-08-17 2003-04-08 Perry Sandstrom Microarray detector and synthesizer
US7081954B2 (en) 2000-08-17 2006-07-25 Able Signal Company, Llc Microarray detector and synthesizer
US7522271B2 (en) 2000-08-17 2009-04-21 Able Signal Company, Llc Microarray detector and synthesizer
US6567163B1 (en) 2000-08-17 2003-05-20 Able Signal Company Llc Microarray detector and synthesizer
DE10233873B4 (en) * 2002-07-25 2006-05-24 Siemens Ag Control for a crane system, in particular a container crane
DE10233873A1 (en) * 2002-07-25 2004-02-19 Siemens Ag Crane system, especially container crane, has second controller for monitoring first controller, making own control intervention if safety-relevant control intervention by first controller inadequate
US7308337B2 (en) 2002-07-25 2007-12-11 Siemens Aktiengesellschaft Crane installation, in particular container crane
EP1589386B1 (en) 2004-04-16 2018-01-10 Sick Ag Process control system
WO2007074105A2 (en) * 2005-12-29 2007-07-05 Endress+Hauser Process Solutions Ag Method for monitoring installations by means of a field bus used in process automation technology
WO2007074105A3 (en) * 2005-12-29 2007-08-30 Endress & Hauser Process Solut Method for monitoring installations by means of a field bus used in process automation technology
EP2015154A1 (en) * 2007-07-09 2009-01-14 Siemens Aktiengesellschaft Method for operating an automation device comprising configurable shut-down modes
US8744805B2 (en) 2008-06-26 2014-06-03 Phoenix Contact Gmbh & Co. Kg Monitoring system

Also Published As

Publication number Publication date
DE19913279B4 (en) 2006-07-27

Similar Documents

Publication Publication Date Title
DE19927635B4 (en) Security related automation bus system
EP2504740B1 (en) Security module for an automation device
EP1699203B1 (en) Modular numerical control device
EP2302472B1 (en) Control system for safety critical processes
EP3455681B1 (en) Fieldbus module and method for operating a fieldbus system
EP1952238B1 (en) Bus module to be connected to a bus system, and use of such a bus module in an as-i bus system
WO1998044469A2 (en) Security control system, method for the operation thereof
DE19857683B4 (en) Method for monitoring the safety of control devices
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
DE19904893B4 (en) Method for error suppression in control devices by an intelligent monitoring unit
EP1620768B1 (en) Method and device for controlling a safety-critical process
EP2356527A2 (en) Safety control and method for controlling an automated system having a plurality of system hardware components
DE19913279A1 (en) Monitoring and detection unit for errors incorporates automation unit, unit and output units
EP3100121B1 (en) Method and apparatus for safely disconnecting an electrical load
EP1619565B1 (en) Method and apparatus for safe switching of a bus- based automation system
EP1672446B1 (en) Secure Input/Ouput assembly for a controller
DE102004018857A1 (en) safety control
EP2075655B1 (en) Safety control
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
DE19860358A1 (en) Error suppression in output units in control devices connected to automation apparatus via bus system by comparing redundant data with buffered information
EP3470937B1 (en) Method and devices for monitoring the response time of a security function provided by a security system
EP1353246B1 (en) Safety switch arrangement
DE19904892B4 (en) Method for error suppression for input units in control devices
DE19758994B3 (en) Control and data transmission system and method for transmitting safety-related data

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8181 Inventor (new situation)

Free format text: ERFINDER IST ANMELDER

8125 Change of the main classification

Ipc: G05B 19048

8327 Change in the person/name/address of the patent owner

Owner name: PHOENIX CONTACT GMBH & CO. KG, 32825 BLOMBERG, DE

8381 Inventor (new situation)

Inventor name: WRATIL, PETER, DR., 21224 ROSENGARTEN, DE

8364 No opposition during term of opposition
R071 Expiry of right