Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
CONTROL DEVICE FOR A MACHINE, SYSTEM, OR APPARATUS AND A METHOD FOR MONITORING A CONTROL
Document Type and Number:
WIPO Patent Application WO/1999/064938
Kind Code:
A1
Abstract:
The invention relates to a control device for a machine, system, or apparatus, especially a fuel cell system, comprising a first control unit (S1) and a second control unit (S2) which exchanges signals with the first control unit (S1). Said second control unit (S2) is provided for monitoring the first control unit (S1). The inventive control device also comprises a comparison module (26) which is provided for comparing the states of the control units (S1, S2). The invention also relates to a method for monitoring a control in which the first control unit (S1) is monitored by the second control unit (S2) by comparing the states of the control units (S1, S2).

Inventors:
Zeilinger, Reinhold (Braugasse 8A Gutenstetten, D-91468, DE)
Application Number:
PCT/DE1999/001695
Publication Date:
December 16, 1999
Filing Date:
June 10, 1999
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AKTIENGESELLSCHAFT (Wittelsbacherplatz 2 München, D-80333, DE)
Zeilinger, Reinhold (Braugasse 8A Gutenstetten, D-91468, DE)
International Classes:
G05B9/03; G05B19/042; G05B19/05; G05B23/02; (IPC1-7): G05B19/042; G05B19/05
Foreign References:
EP0460308A11991-12-11
DE19529213A11996-03-21
US4521871A1985-06-04
DE4341082A11995-06-08
US5107425A1992-04-21
DE3718582A11987-12-10
FR2561410A11985-09-20
Other References:
PATENT ABSTRACTS OF JAPAN vol. 1997, no. 08, 29. August 1997 (1997-08-29) & JP 09 092318 A (NIPPON TELEGR &TELEPH CORP <NTT>), 4. April 1997 (1997-04-04)
See also references of EP 1086408A1
Attorney, Agent or Firm:
SIEMENS AKTIENGESELLSCHAFT (Postfach 22 16 34 München, D-80506, DE)
SIEMENS AKTIENGESELLSCHAFT (Postfach 22 16 34 München, D-80506, DE)
Download PDF:
Claims:
Patentansprüche
1. Steuereinrichtung, insbesondere für eine Maschine, Anlage oder ein Gerät, mit einer ersten Steuereinheit (S1), g e k e n n z e i c h n e t d u r c h eine mit der ersten Steuereinheit (S1) im Signalaustausch stehende zweite Steuereinheit (S2), die zur Uberwachung der ersten Steuereinheit (S1) vorgesehen ist, und ein Vergleichsmodul (26), das zum Vergleich der Zustände der Steuereinheiten (S1, S2) vorgesehen ist.
2. Steuereinrichtung nach Anspruch 1, g e k e n n z e i c h n e t d u r c h einen ersten mit dem Vergleichsmodul (26) im Signalaustausch stehenden Abschalt baustein (AB1), der zur Abschaltung der Anlage oder Maschine im Falle einer Störung vorgesehen ist.
3. Steuereinrichtung nach Anspruch 1 oder 2, g e k e n n z e i c h n e t d u r c h einen zweiten Ab schaltbaustein (AB2).
4. Steuereinrichtung nach einem der Anspruch 1 bis 3, d a d u r c h g e k e n n z e i c h n e t, daß der erste Abschaltbaustein (ABl) und gegebenenfalls der zweite Ab schaltbaustein (AB2) ein Drehzahlwächter ist.
5. Steuereinrichtung nach einem der Ansprüche 1 bis 4, d a d u r c h g e k e n n z e i c h n e t, daß die erste Steuereinheit (S1) und die zweite Steuereinheit (S2) über ei nen Feldbus (BUS), insbesondere einen CANBus, miteinander verbunden sind.
6. Steuereinrichtung nach Anspruch 5, d a d u r c h g e k e n n z e i c h n e t, daß mindestens ein Busmodul (BM1), insbesondere ein CANModul, vorgesehen ist, welches zwischen der ersten und/oder zweiten Steuerein heit (S1, S2) und einem Abschaltbaustein (AB1, AB2) angeordnet ist.
7. Steuereinrichtung nach einem der Ansprüche 1 bis 6, d a d u r c h g e k e n n z e i c h n e t, daß mindestens eine der Steuereinheiten (S1, S2,21) eine Zentraleinheit (22) sowie eine BusAnschaltung (23) aufweist.
8. Steuereinrichtung nach Anspruch 7, d a d u r c h g e k e n n z e i c h n e t, daß die Zen traleinheit (22) folgende miteinander im Signalaustausch ste hende Elemente aufweist : ein Steuerund Regelungsmodul (25), das Vergleichsmodul (26), ein Überwachungsmodul (27) und eine Schnittstelleneinheit (24).
9. Steuereinrichtung nach Anspruch 8, dadurch gekennzeichnet, daß die Schnittstelleneinheit (24) zwischen der BusAnschaltung (23) sowie dem Steuerund Regelungsmodul (25), dem Vergleichsmo dul (26) und dem Uberwachungsmodul (27) angeordnet ist.
10. Steuereinrichtung nach einem der Ansprüche 1 bis 9, d a d u r c h g e k e n n z e i c h n e t, daß die erste Steuereinheit (S1) eine Modulund Anlagensteuerung einer Brennstoffzellenanlage mit einem Brennstoffzellenmodul ist.
11. Verfahren zum Überwachen einer Steuerung, insbesondere einer Maschine, Anlage oder eines Geräts, bei dem eine erste Steuereinheit (S1) von einer zweiten Steuereinheit (S2) über wacht wird, indem die Zustände der Steuereinheiten (S1, S2) verglichen werden.
12. Verfahren nach Anspruch 11, d a d u r c h g e k e n n z e i c h n e t, daß sich die erste Steuereinheit (S1) und die zweite Steuereinheit (S2) gegenseitig überwachen.
13. Verfahren nach Anspruch 11 oder 12, d a d u r c h g e k e n n z e i c h n e t, daß die erste und die zweite Steuereinheit (S1, S2) identische Signale von Peripherieelementen (PE) erhalten und parallel Ausgangssigna le für die Peripherieelemente (PE) ermitteln, die verglichen werden.
14. Verfahren nach Anspruch 13, d a d u r c h g e k e n n z e i c h n e t, daß nur von der ersten Steuereinheit (S1) Ausgangssignale an die Periphe rieelemente (PE) abgesendet werden.
15. Verfahren nach Anspruch 13 oder 14, d a d u r c h g e k e n n z e i c h n e t, daß die Signa le über einen Feldbus (Bus), insbesondere über einen CANBus, übertragen werden.
16. Verfahren nach einem der Ansprüche 11 bis 15, d a d u r c h g e k e n n z e i c h n e t, daß die erste Steuereinheit (Sl) und die zweite Steuereinheit (S2) jeden eigenen Zustandswechsel ermitteln und den eigenen Zustand zum Zustandsvergleich der anderen Steuereinheit (S2, S1) übermit teln.
17. Verfahren nach Anspruch 16, d a d u r c h g e k e n n z e i c h n e t, daß bei Über einstimmung der verglichenen Zustände ein Triggersignal an einen Abschaltbaustein (AB1, AB2) abgesendet wird.
18. Verfahren nach Ansprüche 16 oder 17, d a d u r c h g e k e n n z e i c h n e t, daß bei Über einstimmung der Zustände ein Triggersignal von der zweiten Steuereinheit (S2) an die erste Steuereinheit (Sl) abgesendet wird und das Triggersignal von der ersten Steuereinheit (S1) zur Triggerung an einen Abschaltbaustein (AB1, AB2) weiterge leitet wird.
19. Verfahren nach Anspruch 17 oder 18, d a d u r c h g e k e n n z e i c h n e t, daß das Trig gersignal zuerst einem Busmodul (BM1, BM2) zugeht und von dort an den Abschaltbaustein (AB1, AB2) weitergeleitet wird.
20. Verfahren nach einem der Ansprüche 17 bis 19, d a d u r c h g e k e n n z e i c h n e t, daß eine der Steuereinheiten (S1, S2) das Busmodul überwacht, indem nur bei Vorliegen eines Ausgangssignals des Busmoduls (BM1, BM2) eine Triggerung des Abschaltbausteins (AB1, AB2) veranlaßt wird.
21. Verfahren nach einem der Ansprüche 11 bis 20, d a d u r c h g e k e n n z e i c h n e t, daß eine Über wachung der Spannung der Stromversorgung (SV) der Maschine, Anlage oder des Geräts durch eine der Steuereinheiten (S1, S2) erfolgt.
Description:
Beschreibung Steuereinrichtung für eine Maschine, Anlage oder ein Gerät, sowie Verfahren zum Überwachen einer Steuerung Die Erfindung betrifft eine Steuereinrichtung, insbesondere für eine Maschine, Anlage oder ein Gerät, mit einer ersten Steuereinheit sowie ein Verfahren zum Überwachen einer Steue- rung.

Als Stand der Technik sind sicherheitsgerichtete Steuerungen (z. B. speicherprogrammierbare Steuerungen wie Simatic S5-95F) bekannt, die jedoch nur einen eingeengten Funktionsumfang und eine geringe Verarbeitungsleistung aufweisen, so daß bei ei- ner Bearbeitung umfangreicher Automatisierungsaufgaben mehre- re Steuerungen eingesetzt werden müssen, um bestimmte gehobe- ne Sicherheitsanforderungen (z. B. Anforderungsklasse AK3 nach DIN V 19250) zu erfüllen.

Der Erfindung liegt die Aufgabe zugrunde, eine Steuereinrich- tung sowie ein Verfahren zum Überwachen einer Steuerung anzu- geben, bei welchen erhöhte Sicherheitsanforderungen (z. B. AK3 nach DIN V 19250) kostengünstig erfüllt werden.

Die Aufgabe wird durch eine Steuereinrichtung, insbesondere für eine Maschine, Anlage oder ein Gerät, mit einer ersten Steuereinheit gelöst, bei der erfindungsgemäß eine mit der ersten Steuereinheit im Signalaustausch stehende zweite Steu- ereinheit zur Uberwachung der ersten Steuereinheit vorgesehen ist, und bei der ein Vergleichsmodul zum Vergleich der Zu- stände der Steuereinheiten vorgesehen ist.

Vorteilhafte Ausführungsformen der Steuereinrichtung werden durch die Unteransprüche 2-10 realisiert.

Für das Verfahren wird die Aufgabe durch ein Verfahren zum Oberwachen einer Steuerung, insbesondere einer Maschine, An- lage oder eines Geräts gelöst, bei dem erfindungsgemäß eine erste Steuereinheit von einer zweiten Steuereinheit überwacht wird, indem die Zustände der Steuereinheiten verglichen wer- den.

Vorteilhafte Verfahrensvarianten finden sich in den Unteran- sprüchen 11-21.

Bei der erfindungsgemäßen Steuereinrichtung ist zusätzlich zu der ersten Steuereinheit eine weitere, zweite Steuereinheit vorgesehen, welche die erste Steuereinheit überwacht, wodurch insgesamt die Sicherheitserfordernisse der Anforderungsklasse 3 (AK3) erfüllt werden können, ohne daß die Steuereinrichtung und die Peripherieelemente nach DIN V 19250 qualifiziert sein müssen.

Die erste Steuereinheit ist beispielsweise eine Modul-und Anlagensteuerung, insbesondere einer Brennstoffzellenanlage, die die Brennstoffzellenanlage und die Abläufe in einem Brennstoffzellenmodul der Brennstoffzellenanlage steuert. Die tatsächliche Regelung, Steuerung und Überwachung des automa- tisierten Prozesses, beispielsweise der Brennstoffzellenanla- ge, erfolgt durch die erste Steuereinheit.

Zur Überwachung der ersten Steuereinheit ist eine zweite Steuereinheit vorgesehen. Beide Steuereinheiten erhalten vor- teilhafterweise identische Eingangssignale von den Periphe- rieelementen der Anlage. Die zweite Steuereinheit überwacht nun die Verarbeitung der Eingangssignale durch die erste Steuereinheit, indem die zweite Steuereinheit die Eingangs- signale identisch verarbeitet.

Im folgenden werden parallel unter Verwendung der Algorithmen für die Steuerung, Regelung und Überwachung sowohl in der er- sten Steuereinheit als auch in der zweiten Steuereinheit die jeweiligen Ausgangssignale für die Peripherieelemente ermit- telt.

Vorteilhafterweise werden diese Ausgangssignale jedoch nur von der ersten Steuereinheit zu den Peripherieelementen ge- sendet.

Nach der Ermittlung der Ausgangssignale sendet die erste Steuereinheit vorteilhafterweise aktuelle Zustandsinformatio- nen zur zweiten Steuereinheit und empfängt bei einer gleich- zeitigen Überwachung der zweiten Steuereinheit durch die er- ste Steuereinheit auch die aktuellen Zustandsinformationen der zweiten Steuereinheit.

In einem Vergleichsmodul, das sich beispielsweise in der er- sten Steuereinheit befindet, werden nun die Zustände der bei- den Steuereinheiten verglichen. Vorteilhaft ist es, wenn ein solches Vergleichsmodul in jeder Steuereinheit vorliegt. Wenn nun beim Zustandsvergleich eine Zustandsidentität festge- stellt wird, wird ein Abschaltbaustein getriggert. Bei Trig- gerung des Abschaltbausteins schaltet dieser nicht ab, so daß die Ablauffunktionen der Steuerung aufrechterhalten bleiben.

Wenn nach einer parametrisierbaren Synchronisationszeit fest- gestellt wird, daß die Zustandsinformationen voneinander ab- weichen, so liegt ein Störfall vor. Das Vergleichsmodul, das mit dem Abschaltbaustein im Signalaustausch steht, also di- rekt oder über weitere Module mit dem Abschaltbaustein in Verbindung steht, sendet nun kein Triggersignal an den oder die Abschaltbausteine. Hierdurch schaltet der Abschaltbau- stein die Anlage ab. Dies geschieht beispielsweise dadurch, daß die Stromversorgung für die Steuerung, und somit die

Steuerung an sich, und/oder die Stromversorgung zu Elementen der Anlage durch den Abschaltbaustein unterbrochen wird.

Bei einer Brennstoffzellenanlage beispielsweise gehen sämtli- che Stellglieder im stromlosen Zustand in einen sicheren Zu- stand : Wasserstoffventile schließen, Pumpen schalten ab und auch Module der Steuereinrichtung gehen durch eine"Reset"in ihre Ausgangskonfiguration zurück.

Der Zustandsvergleich in der ersten Steuereinheit und/oder der zweiten Steuereinheit kann nach der Ermittlung der Aus- gangssignale in der ersten und zweiten Steuereinheit gegebe- nenfalls so häufig wie notwendig auch nach einzelnen Verar- beitungsschritten erfolgen.

In einer vorteilhaften Ausbildung der Erfindung empfängt die erste Steuereinheit ein Triggersignal für den oder die Ab- schaltbausteine von der zweiten Steuereinheit, wenn in der zweiten Steuereinheit beim Zustandsvergleich Identität fest- gestellt wurde.

Dieses empfangene Triggersignal wird von der ersten Steuer- einheit weitergereicht, wenn auch der Zustandsvergleich in der ersten Steuereinheit eine Identität ergeben hat. Darauf- hin ist die gegenseitige Überwachung der beiden Steuereinhei- ten im momentanen Uberwachungszyklus abgeschlossen und es kann ein Triggersignal an den oder die Abschaltbausteine ge- sendet werden, um die Steuerfunktionen weiter aufrechtzuer- halten.

Die Triggerung des Uberwachungsbausteins kann über Digital- ausgänge eines CAN-Moduls erfolgen.

Die erste und die zweite Steuereinheit sind vorteilhafterwei- se über einen Feldbus, insbesondere einen CAN-Bus (Control-

ler-Area-Network-Bus), miteinander und mit den weiteren Ele- menten der Steuerung verbunden.

Zweckmäßigerweise weist die Steuereinrichtung einen zweiten Abschaltbaustein auf. Durch eine solche doppelte Sicherung ist gewährleistet, daß auch bei einem fehlerhaften ersten Ab- schaltbaustin beispielsweise die Stromversorgung bei fehlen- der Triggerung unterbrochen wird.

Mit Vorteil in der erste und-falls vorhanden-auch der zweite Abschaltbaustein ein Drehzahlwächter. Ein Drehzahl- wächter ist besonders billig und als Abschaltbaustein sehr gut tauglich.

Vorteilhafterweise ist mindestens ein Busmodul, insbesondere ein CAN-Modul vorgesehen, welches zwischen der ersten und/oder zweiten Steuereinheit und einem Abschaltbaustein an- geordnet ist. Ein solches Modul wandelt den Triggerpuls von der Steuereinheit in ein für den Abschaltbaustein günstigen Puls, beispielsweise eine positive Flanke, um. Hierdurch ist es nicht notwendig, den Abschaltbaustein direkt an den Feld- bus zu setzen, was mit erheblichem Aufwand verbunden wäre.

Weitere Einzelheiten der erfindungsgemäßen Steuereinrichtung finden sich bei der Beschreibung der Ausführungsbeispiele.

Beim erfindungsgemäßen Verfahren zur Überwachung einer Steue- rung wird die erste Steuereinheit über eine weitere, zweite Steuereinheit überwacht, indem die Zustände der Steuereinhei- ten verglichen werden.

Vorteilhafterweise findet eine gegenseitige Überwachung bei- der Steuereinheiten statt. Durch diese Redundanz wird die Steuerung mit größerer Sicherheit überwacht, da auch ein De- fekt in der zweiten Steuereinheit erkannt wird.

Vorteilhafterweise erfolgt bei Verwendung eines Feldbus, ins- besondere eines CAN-Bus, eine zyklische Oberwachung von CAN- Modulen. Dabei wird von einer Steuereinheit zyklisch ein Aus- gangssignal, ein"Lebenszeichen", von den CAN-Modulen ange- fordert. Wenn dieses Ausgangssignal eintrifft, erfolgt vom Datenbus-Betriebssystem eine Meldung an das Steuerprogramm, woraufhin eine Triggerung eines oder mehrerer Uberwachungs- bausteine veranlaßt wird, wodurch die Steuerfunktion auf- rechterhalten werden.

Dieses Triggersignal des Uberwachungsbausteins wird ausgehend vom Datenbus-Betriebssystem beispielsweise zum CAN-Datenbus- Treiber über eine CAN-Datenbus-Anschaltung, den CAN-Datenbus und gegebenenfalls ein Digitalausgabemodul zum Uberwachungs- baustein übertragen, falls sämtliche Glieder der genannten Ubertragungskette intakt sind.

In einer weiteren Störungssituation können die Geber und Sen- soren der Peripherieelemente aufgrund unzureichender Span- nungsversorgung fehlerhafte Meßwerte in den Steuerablauf ein- speisen. Um dies zu vermeiden, wird vorteilhafterweise durch das erfindungsgemäße Verfahren auch die Spannung der Strom- versorgung überwacht. Bei Unterschreiten eines Spannungs- grenzwertes unterbleibt eine Triggerung der Uberwachungsbau- steine und/oder eine Steuereinheit stellen ihre Arbeit ein.

Weitere Einzelheiten des erfindungsgemäßen Verfahrens finden sich in der Beschreibung der Ausführungsbeispiele.

Die Erfindung ist anhand der folgenden Ausführungsbeispiele in den Zeichnungsfiguren näher erlautert. Es zeigen : FIG 1 eine schematische Darstellung der Elemente einer Steu- ereinrichtung ;

FIG 2 eine schematische Darstellung einer Steuereinheit ; FIG 3 ein Verarbeitungsablauf in einem Vergleichsmodul ; FIG 4 ein Verarbeitungsablauf in einem Uberwachungsmodul.

In Figur 1 ist als erste Steuereinheit S1 eine Modul-und An- lagensteuerung, sowie eine zweite Steuereinheit S2, nämlich die Uberwachungssteuerung dargestellt.

Die erste Steuereinheit S1 umfaßt (nicht abgebildet) eine Zentraleinheit (u. a. Stromversorgung, CPU, Massenspeicherbau- gruppe, Analogausgabebaugruppe z. B. zur Vorgabe eines Dreh- zahlsollwerts und ggf. eine Datenbus-Anschaltung), ein Steu- erprogramm, ein Systemprogramm, Peripherieschaltungen (u. a.

Zellspannungsmeßmodule, Analogeingabemodule, Temperaturerfas- sungsmodule, Digitalein-und ausgabemodule, sämtliche Module ggf. als Datenbusmodule) und ggf. einen Datenbus (CAN-Bus) und einen Datenbustreiber (CAN-Bus-Treiber).

Beide Steuereinheiten SE1, SE2 sind über einen Feldbus, der als ein CAN-Daten-Bus-System, kurz : CAN-Bus, ausgestaltet ist, miteinander verbunden. Der CAN-Bus, in der Figur mit BUS bezeichnet, verbindet des weiteren zwei Busmodule BM1, BM2, die als CAN-Module ausgestaltet sind, sowie einige Periphe- rieelemente PE (z. B. Meßwertgeber, Sensoren, Antriebe, Stell- motoren) mit den Steuereinheiten SE1, SE2. Die Busmodule BM1, BM2 sind über Signalleitungen mit Abschaltbausteinen AB1, AB2 verbunden.

Die Elemente der Steuereinrichtung, nämlich die Steuereinhei- ten SE1, SE2, die Busmodule BM1, BM2 und die Abschaltbaustei- ne AB1, AB2, sowie auch die Peripherieelemente PE, die nicht zur Steuereinrichtung gehören, sind über eine Leitung L mit

der Stromversorgung SV verbunden. Die Leitung kann durch die Abschaltbausteine AB1, AB2, sowie einen Wasserstoffsensor H2 unterbrochen werden. Der Wasserstoffsensor H2 bezieht sich insbesondere auf eine Steuereinrichtung für eine wasserstoff- betriebene Anlage, beispielsweise eine Brennstoffzellenanla- ge. Der Wasserstoffsensor Hs kann im Störungsfall, z. B. beim Austreten von Wasserstoff ebenfalls die Stromversorgung un- terbrechen.

Die erste Steuereinheit SE1 und die zweite Steuereinheit SE2 überwachen sich gegenseitig. Zur gegenseitigen Uberwachung werden sowohl in der ersten Steuereinheit Sl als auch in der zweiten Steuereinheit SE2 in einstellbaren Zeitabständen die Zustände der Steuereinheiten SE1, SE2 ausgetauscht und ver- glichen. Ist nach Ablauf einer einstellbaren Synchronisati- onszeit eine Zustandsidentität festgestellt, so wird jeweils ein Triggerpuls an die Busmodule BM1, BM2 gesendet. Der Trig- gerpuls wird von den Busmodulen BM1, BM2 in veränderter Form, beispielsweise als positive Flanke, an die beiden Abschalt- bausteine AB1, AB2 geschickt. Die als Drehzahlwächter ausge- stalteten Abschaltbausteine AB1, AB2 uberprüfen den regelmä- ßigen Eingang der Triggerpulse. Gehen die Triggerpulse regel- mäßig ein (stimmt also die"Drehzahl"), so findet eine Unter- brechung der Stromversorgung durch die Abschaltbausteine AB1, AB2 nicht statt.

Erst dann, wenn bei einem Zustandsvergleich eine Abweichung festgestellt wird, unterbleiben die Triggerpulse, so daß z. B. die Stromversorgung abgeschaltet und die Steuerung stillge- legt wird.

FIG 2 zeigt eine Steuereinheit 22. Sie umfaßt ein Steuermodul 21 und eine Bus-Anschaltung 23. Das Steuermodul 21 umfaßt seinerseits eine Schnittstelleneinheit 24, ein Steuer-und Regelungsmodul 25, ein Vergleichsmodul 26 und ein Uberwa-

chungsmodul 27. Die Steuereinheit 22 ist eine erste Steuer- einheit und steht mit einer zweiten Steuereinheit über den Feldbus BUS zum Signalaustausch in Verbindung.

Zunächst werden über die Bus-Anschaltung 23 Prozeßeingangs- signale 1, die von den Peripherieelementen der Bus- Anschaltung 23 über den Feldbus BUS übermittelt wurden, über die Schnittstelleneinheit 24 an das Steuer-und Regelungsmo- dul 25 weitergeleitet. Über das Steuer-und Regelungsmodul 25 werden die verfahrenstechnische Abläufe der Anlage oder Ma- schine gesteuert. Das Steuer-und Regelungsmodul 25 verarbei- tet die Prozeßeingangssignale 1 und sendet Prozeßausgangs- signale 4 an die Schnittstelleneinheit 24. Von dort werden sie über die Bus-Anschaltung 23 über den Feldbus BUS an die Peripherieelemente weitergeleitet. Tritt an einem der Peri- pherieelemente ein kritischer Zustand ein, so wird ein Alarm- signal 9 vom Steuer-und Regelungsmodul 25 an das Vergleichs- modul 26 gegeben.

Das Vergleichsmodul 26 empfängt das Alarmsignal 9 vom Steuer- und Regelungsmodul 25, sendet ein Stopsignal 10 an das Über- wachungsmodul 27, das die Triggerung der Abschaltbausteine einstellt und die Stromversorgung der Anlage somit unterbro- chen wird.

Das Vergleichsmodul 26 empfängt auch Fremdzustandssignale 8 der zweiten Steuereinheit. Nach der Verarbeitung sendet das Vergleichsmodul 26 Eigenzustandssignale 7 über die Schnitt- stelleneinheit 24 und die Bus-Anschaltung 23 an die zweite Steuereinheit.

Die beiden Vergleichsmodule 26 der ersten und zweiten Steuer- einheit stehen in Verbindung und tauschen bei jedem Zustands- wechsel Signale aus, welche mit dem jeweils eigenen aktuellen Zustand verglichen werden. Falls nach einer parametrisierba-

ren Synchronisationszeit eine Abweichung der Zustände vonein- ander festgestellt wird, beendet das jeweilige Vergleichsmo- dul 26 die Aktivität des Überwachungsmoduls 27 durch das Stopsignal 10.

Von der Schnittstelleneinheit 24 werden zur Uberwachung des Felsbus und der Busmodule zyklisch Meldeaufforderungen 6 an die Busmodule geschickt. Letztere müssen sich innerhalb einer Überwachungszeit zurückmelden, damit ein Ausgangssignal 2 der Busmodule-ein"Lebenszeichen"-zur Überwachungseinheit 27 geleitet wird.

Damit das Überwachungsmodul 27 einen Triggerpuls für einen Abschaltbaustein ausgibt, müssen drei Bedingungen erfüllt sein : Es muß von jedem Busmodul ein"Lebenszeichen"2 vorlie- gen ; die Zustände der beiden Steuerungen müssen gleich sein ; und es muß der Triggerpuls 3 von der zweiten Steuereinheit beim Uberwachungsmodul 27 angekommen sein. Sind die Bedingun- gen erfüllt, so gibt das Uberwachungsmodul 27 einen Trigger- puls 5 aus, der über die Schnittstelleneinheit 24, die Bus- Anschaltung 23, den Feldbus BUS und ein Busmodul zu einem Ab- schaltbaustein gesendet wird. Beim Triggerpuls hinter dem Busmodul handelt es sich um ein positives Flankensignal.

FIG 3 zeigt einen Verfahrensablauf im Vergleichsmodul einer Steuereinheit mit einer Synchronisationszeit von 100 ms. Der Start des Verfahrensablaufs ist durch S markiert. Im ersten Verfahrensschritt 31 wird ermittelt, ob ein Zustandswechsel erforderlich ist. Falls das nicht der Fall ist (-), so wird im Verfahrensschritt 32 100 ms gewartet, bevor die Abfrage 31 erneut gestartet wird. Bei einem Zustandswechsel (+) wird im Verfahrensschritt 33 der neue Zustand an das Vergleichsmodul der anderen Steuerungseinheit gesendet. Im anschließenden Verfahrensschritt 34 wird der Beginn einer Synchronisations- zeitperiode markiert und dann der Zustand der anderen Steuer-

einheit eingelesen (35). In der Abfrage 36 wird die Identität der beiden Zustände ermittelt. Sind beide Zustände identisch (+) springt das Verfahren zurück zur Abfrage 31. Sind die Zu- stände nicht identisch (-), so wird in der Abfrage 38 ge- prüft, ob die Synchronisationszeitperiode abgelaufen ist. Ist das nicht der Fall (-), so wird als nächstes der Zustand der anderen Steuereinheit im Verfahrensschritt 35 erneut eingele- sen. Ist jedoch die Synchronisationszeitperiode abgelaufen (+), so wird ein Aufruf an das Uberwachungsmodul geschickt, den Triggerpuls nicht weiter zu senden und das Verfahren ist beendet (E).

FIG 4 zeigt den Verarbeitungsablauf im Uberwachungsmodul. Der Start des Verarbeitungsablaufs ist mit S markiert. In einem ersten Verfahrensschritt 41 wird das"Lebenszeichen"eines <BR> <BR> <BR> Busmoduls abgefragt. Liegt das"Lebenseichen"nicht vor (-), so wird anschließend (42) geprüft, ob die Überwachungszeit abgelaufen ist. Ist sie abgelaufen (+), wird das Verfahren beendet (E) und keine Triggerpulse mehr zu einem Abschaltbau- stein geschickt. Ist die Zeit noch nicht abgelaufen (-) wird wieder das"Lebenszeichen"abgefragt (41). Ist das"Lebens- zeichen"da (+) ("CAN-Bus-Flag-gesetzt"), so wird anschließend (43) das entsprechende Daten-Bit zurückgesetzt und die Uber- wachungszeit neu gestartet (44).

Im nächsten Verfahrensschritt 45 wird abgefragt, ob das Ver- fahren in der ersten oder der zweiten Steuereinheit einge- setzt ist. Diese Abfrage ist eingefügt, damit das Programm in beiden Steuereinheiten eingesetzt werden kann. Ist das Ver- fahren in der ersten Steuereinheit eingesetzt (+), so wird das Triggersignal der zweiten Steuereinheit eingelesen (46) und anschließend ein Triggerpuls für die Abschaltbausteine ausgegeben (47). Nach einer Wartezeit von beispielsweise 100ms (48) startet das Verfahren mit dem Verfahrensschritt 41 erneut. Wird das Verfahren jedoch in der zweiten Steuerein-

heit eingesetzt (-), so wird ein Triggersignal invertiert ("getoggelt") (49) und anschließend der ersten Steuereinheit übertragen (50). Nach einer Wartezeit von beispielsweise 500ms (48) startet das Verfahren mit dem Verfahrensschritt 41 erneut.