[0001] Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage mit einer ersten sicheren Signaleinheit und einer zweiten sicheren Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind, wobei die erste sichere Signaleinheit und die zweite sichere Signaleinheit dazu eingerichtet sind, über eine physikalische Verbindung auf einer logischen Ebene sicher miteinander zu kommunizieren, um den sicherheitskritischen Prozess zu steuern.

[0002] Unter einem sicherheitskritischen Prozess wird hier ein Prozess verstanden, von dem beim Auftreten eines Fehlers eine nicht akzeptable Gefahr für Menschen oder materielle Güter ausgeht. Bei einem sicherheitskritischen Prozess muss daher mit im Idealfall 100%iger Sicherheit gewährleistet sein, dass der Prozess bei Auftreten eines Fehlers in einen sicheren Zustand überführt wird. Dies kann bei einer Maschinenanlage beinhalten, dass die Anlage abgeschaltet wird. Bei einem chemischen Produktionsprozess könnte ein Abschalten jedoch eine unkontrollierte Reaktion hervorrufen, so dass in einem solchen Fall der Prozess besser in einen unkritischen Parameterbereich gefahren wird.

[0003] Sicherheitskritische Prozesse können auch Teilprozesse von größeren, übergeordneten Gesamtprozessen sein. Bei einer hydraulischen Presse kann bspw. die Materialzuführung ein nicht-sicherheitskritischer Teilprozess, die Inbetriebnahme des Presswerkzeugs dagegen ein sicherheitskritischer Teilprozess sein. Weitere Beispiele für sicherheitskritische (Teil-) Prozesse sind die Überwachung von Schutzgittern, Schutztüren oder Lichtschranken, die Steuerung von Zwei-Hand-Schaltern oder die Überwachung und Auswertung eines Not-Aus-Schalters. Grundsätzlich umfasst das Steuern eines sicherheitskritischen Prozesses das Abfragen sicherer Sensorik bzw. das Empfangen von sicheren Peripheriesignalen sowie das Auslösen einer sicherheitsgerichteten Reaktion in Abhängigkeit davon.

[0004] Die an der Steuerung eines sicherheitskritischen Prozesses beteiligten Einheiten müssen über ihre eigentliche Funktion hinausgehende, sicherheitsbezogene Einrichtungen aufweisen. Diese dienen vor allem der Fehler- und Funktionsüberwachung. In der Regel sind derartige Einheiten redundant aufgebaut, um eine sichere Funktion auch bei Auftreten eines Fehlers zu gewährleisten. Einheiten mit derartigen sicherheitsbezogenen Maßnahmen werden nachfolgend im Unterschied zu "normalen" Einheiten als sicher bezeichnet. Sichere Einheiten sind insbesondere Sicherheitsbauteile im Sinne der der Maschinenrichtlinie 2006/42/EG oder der Norm DIN EN ISO 13849-1.

[0005] In den Anfängen der Sicherheitstechnik beruht eine Verknüpfung der sicheren Einheiten auf einer dedizierten Verdrahtung. Diese war im Wesentlichen unabhängig von der eigentlichen Steuerung der technischen Anlage realisiert. In der Regel wurden über eine Relaislogik sichere Eingänge, wie Not-Aus-Schalter, Lichtschranken etc. mit sicheren Ausgängen über eine eigenständige, individuelle Verdrahtung verknüpft, um eine Sicherheitsfunktion abzubilden. Bei moderneren Systemen wurde diese Festverdrahtung zunehmend durch ein komplexeres Kommunikationssystem ersetzt mit dem Ziel, die aus der Steuerungs- und Automatisierungstechnik allgemein bekannten Kommunikationsmittel auch für die Sicherheitstechnik wiederzuverwenden. Hierfür wurden entweder die bekannten Kommunikationsmittel für die Übertragung von sicherheitskritischen Daten befähigt (SafetyNET P) oder eine sichere Übertragung über die vorhandenen Kommunikationsmittel durch die Implementierung von Sicherheitsprotokollen gewährleistet (bspw. FailSafe over Ethernet).

[0006] Die von sich aus sicheren Kommunikationsmittel haben den Vorteil, dass diese eine sehr flexible Implementierung von Sicherheitsfunktionen ermöglichen, da Sicherheit der Kommunikation inhärent ist. Sichere Kommunikationsmittel sind jedoch teurer und müssen bei bestehenden Systemen oftmals erst nachgerüstet werden. Die Verwendung von bereits vorhandenen Kommunikationsmitteln, wie bspw. ein für die Steuerung einer technischen Anlage verwendetes Feldbussystem, ist zwar demgegenüber günstiger, schränkt das Abbilden einer Sicherheitsfunktion aber auf die bestehenden Kommunikationsmittel ein. Bestehende Kommunikationsmittel sind jedoch nicht immer an den Orten verfügbar, wo Einrichtungen der Sicherheitstechnik benötigt werden. Beispielsweise muss ein Not-Aus- Schalter nicht unmittelbar an einem Antrieb angeordnet sein, sondern an dem angetriebenen Teil, der für einen Benutzer eine Gefahr darstellt. Nicht selten werden daher einige Sicherheitsfunktionen weiterhin über eine dedizierte Verkabelung abgebildet, da die Kommunikationsmittel für die normale Steuerung der technischen Anlage zwar für die Übertragung von sicheren Daten befähigt werden können, nicht aber immer dort vorhanden sind, wo Eingänge und/oder Ausgänge für die Sicherheitstechnik benötigt werden.

[0007] Es ist daher eine Aufgabe der vorliegenden Erfindung eine Vorrichtung und ein Verfahren zum Steuern eines sicherheitskritischen Prozesses anzugeben, die eine flexible Ausgestaltung einer Sicherheitsfunktion ermöglichen. Ferner ist es eine Aufgabe eine Vorrichtung und ein Verfahren anzugeben, welche sich kostengünstig realisieren und sich einfach in bestehende Systeme integrieren lassen.

[0008] Gemäß einem Aspekt der vorliegenden Erfindung wird diese Aufgabe durch eine Vorrichtung der eingangs genannten Art gelöst, wobei die physikalische Verbindung ein Stromnetz ist.

[0009] Ferner wird diese Aufgabe gelöst durch ein Verfahren zum Steuern eines sicherheitskritischen Prozesses an einer technischen Anlage, umfassend: Bereitstellen einer ersten si- cheren Signaleinheit und einer zweiten Signaleinheit, die über E/A-Kanäle mit dem sicherheitskritischen Prozess verbunden sind; Verbinden der ersten sicheren Signaleinheit mit der zweiten sicheren Signaleinheit über eine physikalische Verbindung; Implementieren eines Sicherheitsprotokolls zur Absicherung eines Datenaustauschs auf einer logischen Ebene; Austauschen von Daten zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit, um den sicherheitskritischen Prozess zu steuern, wobei die physikalische Verbindung über ein Stromnetz realisiert ist.

[0010] Es ist somit eine Idee der vorliegenden Erfindung eine Verknüpfung zwischen sicheren Einheiten über ein Stromnetz zu realisieren und nicht über ein Kommunikationsnetz der technischen Anlage. Ein Stromnetz im Sinne der vorliegenden Offenbarung ist ein Netzwerk, welches dazu eingerichtet ist, elektrische Energie zu übertragen und zu verteilen. Es umfasst elektrische Leitungen, die für eine Übertragung von elektrischer Energie eingerichtet sind, um einen elektrischen Verbraucher anzutreiben. In Abgrenzung hierzu ist ein Kommunikationsnetz ein Netzwerk, das als primäre Aufgabe das Übertragen von Daten hat.

[0011] Die Verwendung eines Stromnetzes zur Verknüpfung von sicheren Signaleinheiten ermöglicht es einem Anwender, die Sicherheitstechnik unabhängig von einer bestehenden Vernetzung für die Steuerung einer technischen Anlage zu realisieren. Die Kommunikation für die Sicherheitstechnik muss folglich nicht über die gleiche Kommunikationsinfrastruktur erfolgen, wie die Kommunikation für die Steuerung der technischen Anlage, an der die Sicherheitsfunktion zu realisieren ist. Gleichzeitig muss der Anwender für die Realisierung der Sicherheitsfunktion aber auch keine Neuverkabelung vornehmen, da er auf eine üblicherweise vorhandene Verkabelung eines Stromnetzes zurückgreifen kann.

[0012] Während eine Kommunikationsinfrastruktur für die Steuerung einer technischen Anlage primär steuerungstechnische Aspekte der technischen Anlage berücksichtigt, ist ein Stromnetz regelmäßig universeller eigerichtet und somit auch an Stellen verfügbar, an denen keine Steuerung der technischen Anlage stattfindet, die jedoch für die Sicherheitstechnik relevant sein können. So sind einige sichere Signaleinheiten gerade nicht unmittelbar in der Nähe von Antrieben einer Maschine angeordnet, sondern in Bereichen, in denen ein Anwender die Maschine bedient. An diesen Stellen ist oftmals keine Verkabelung für die Anlagensteuerung vorgesehen, jedoch kann eine Verkabelung des Stromnetzes zugänglich sein, bspw. von einer Beleuchtung, die an diesem Abschnitt angeordnet ist.

[0013] Die Verwendung des Stromnetzes für die Verknüpfung von sicheren Signaleinheiten erfordert zudem nur geringen Entwicklungsaufwand, der sowohl Verfahren zur Datenübertragung über Stromnetze, sog. Trägerfrequenzanlagen, als auch entsprechende Protokolle zur Absicherung der Übertragung bekannt sind. Beispielsweise kann eine Kommunikation über das Stromnetz mittels der unter dem Namen PowerLAN oder Powerline Communications (PLC) zusammengefassten Verfahren zum Beispiel nach einem der Standards IEEE-1901-FFT, IEEE-1901-wavelet oder ITU G.hn erfolgen.

[0014] Die Absicherung der Kommunikation kann auf logischer Ebene nach dem sog. "Black Channel' -Prinzip erfolgen. Beim "Black Channel"-Prinzip setzt die Sicherheitsfunktion als eigene Sicherheitsebene (safety layer) auf dem eigentlichen Übertragungsmedium auf. Dieses Prinzip ist mit Zertifizierern, wie bspw. dem deutschen TÜV, gemeinsam ausgearbeitet, wissenschaftlich fundiert untersucht und gut abgesichert. Das "Black Channel' - Prinzip wurde bereits zur Absicherung von Standard-Feldbussen oder industriellen Ethernet-Lösungen angewandt.

[0015] Insgesamt stellt die vorgeschlagene Vorrichtung somit eine einfache, flexible und kostengünstige Möglichkeit dar, eine Sicherheitsfunktion an einer technischen Anlage zu implementieren. Die eingangs genannte Aufgabe ist damit vollständig gelöst.

[0016] In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die technische Anlage bereitstellen.

[0017] Gemäß dieser Ausgestaltung ist das Stromnetz über das die sicheren Einheiten miteinander kommunizieren dasselbe Netz, welches die elektrische Energie für die Energieversorgung der technischen Anlage bereitstellt. Eine bestehende Verkabelung kann somit die zusätzliche sichere Kommunikation zwischen sicheren Signaleinheiten bereitstellen, wodurch Verkabelungs- und Installationskosten eingespart werden können. [0018] In einer weiteren Ausgestaltung kann das Stromnetz eine Versorgungsspannung für die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit bereitstellen.

[0019] Gemäß dieser Ausgestaltung versorgen sich die erste sichere Signaleinheit und/oder die zweite sichere Signaleinheit über das Stromnetz mit elektrischer Energie. Mit anderen Worten ein Anwender kann aus einer bestehenden Verdrahtung einerseits eine Versorgungsspannung abgreifen sowie andererseits Signale auf die Leitungen der Versorgungsspannung übertragen. Das Stromnetz kann die Spannungsversorgung auch unabhängig von der Spannung oder Frequenz bereitstellen. Dies kann bspw. über Weitspannungsnetzteile oder universale Spannungsversorgung mit hoher Bandbreite der Eingangsspannung und Frequenz erfolgen. Diese Ausgestaltung trägt insgesamt weiter zu einer vereinfachten Verkabelung bei, da für die Spannungsversorgung und für die Datenübertragung nur ein Anschluss notwendig ist.

[0020] In einer weiteren Ausgestaltung kann das Stromnetz zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit mindestens einen Abschnitt aufweisen, der durch einen Gleitkontakt, insbesondere eine Schleifleiste oder ein Schleifring realisiert ist.

[0021] Gemäß dieser Ausgestaltung kann die Kommunikation auch über sich zueinander bewegende Komponenten auf einfache Weise realisiert werden. Dies ermöglicht auch ein Nachrüsten bei Geräten, bei denen eine separate Kommunikationsverkabelung nachteilig oder nicht realisierbar ist. Bei einem Roboter bspw. kann eine Kommunikation über die einzelnen Gelenke hinweg realisiert werden, ohne dass zusätzlich Kabel verlegt werden müssen, die den Roboter in seine Bewegung einschränken. Bei Windkrafträder, bei denen Kuppel und Mast drehbarbar zueinander gelagert sind und eine Stromübertragung über Schleifringe erfolgt, kann diese Ausgestaltung ebenfalls vorteilhaft angewandt werden.

[0022] In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit an einer beweglichen Einrichtung der technischen Anlage angeordnet sein und relativ zu der zweiten sicheren Signaleinheit beweglich sein. [0023] Gemäß dieser Ausgestaltung können die Signaleinheiten mit Einrichtungen gekoppelt sein, die sich zueinander bewegen. Beispielsweise kann eine Signaleinheit bei einer Hallenkrananlage an dem laufenden Kranelement angeordnet sein oder bei einem führungsgebundenen Transportsystem an dem jeweiligen Transportmittel. Wenn das jeweilige Element mit Strom versorgt wird, kann über dieselbe Leitung auch die sichere Kommunikation zwischen dieser sicheren Signaleinheit und einer weiteren sicheren Signaleinheit, die an dasselbe Stromnetz angeschlossen ist, erfolgen. Diese Ausgestaltung trägt somit zu einer weiteren Vereinfachung der Verkabelung bei.

[0024] In einer weiteren Ausgestaltung können die erste sichere Signaleinheit und die zweite sichere Signaleinheit je Kommunikationsmittel aufweisen, die ein Sicherheitskommunikationsprotokoll für die Kommunikation auf der logischen Ebene und ein Standardkommunikationsprotokoll zur Kommunikation über die physikalische Verbindung implementieren.

[0025] Gemäß dieser Ausgestaltung implementieren die sicheren Signaleinheiten jeweils ein Sicherheitskommunikationsprotokoll und ein Standardkommunikationsprotokoll. Das Standardkommunikationsprotokoll kann ein Feldbus- oder ein auf Ethernet-basierendes Kommunikationsprotokoll sein. Das Kommunikationsprotokoll sollte wenigstens die OSI-Refe- renzmodellschichten 1 und 2 (Netzzugriff) abdecken. In verschiedenen Ausführungsbeispielen kann das Standardkommunikationsprotokoll die Schichten 1 bis 7 des OSI-Refe- renzmodells umfassen. Das Sicherheitskommunikationsprotokoll setzt auf den Schichten des Standardkommunikationsprotokolls auf und richtet eine sichere Kommunikationsverbindung auf logischer Ebene zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit ein. Bei der Implementierung des Standardkommunikationsprotokolls kann auf generische Lösung zurückgegriffen werden. Verfügbare Lösungen sind auf Basis von FPGAs, ASICs, Stacks und Modulen implementiert, auf denen die komplette Hard- und Software für die Standardkommunikation integriert ist. Auch für die Implementierung des Sicherheitskommunikationsprotokolls sind generische Lösungen bekannt, wenn auch nicht so zahlreich. Die Zweiteilung in Standard- und Sicherheitskommunikation hat neben der Modularisierung den Vorteil, dass gemäß dem "Black Channel' -Prinzip nur die Sicherheitskommunikation eine gesonderte Zertifizierung durchlaufen muss. Kapselt man zudem die Implementierung des Sicherheitskommunikationsprotokolls in einer Hard- und Softwarekomponente mit entsprechenden Schnittstellen, muss nur diese Komponen- te den aufwändigen Zertifizierungsprozess durchlaufen. Die Zweiteilung trägt somit zu einer kostengünstigen und flexiblen Ausgestaltung der Vorrichtung bei.

[0026] In einer weiteren Ausgestaltung kann das Stromnetz ein Gleichspannungsnetz, insbesondere ein 24/48VDC-Netz, sein.

[0027] Gemäß dieser Ausgestaltung erfolgt die Kommunikation über ein Gleichspannungsnetz, wie es im industriellen Umfeld regelmäßig vorzufinden ist. Die Vorrichtung kann somit auf eine im industriellen Umfeld häufig anzutreffende Verkabelung zurückgreifen. Zudem können sich die sicheren Signaleinheiten einfach aus dem Gleichspannungsnetz speisen, ohne dass eine Gleichrichtung stattfinden muss.

[0028] In einer weiteren Ausgestaltung kann das Stromnetz ein Wechselspannungsnetz, insbesondere ein 230/400VAC-Netz, sein.

[0029] Ein Wechselspannungsnetz ist Bestandteil nahezu jeder Liegenschaft und regelmäßig großflächig über diese verteilt. Zudem sind für gängige Wechselspannungsnetze eine Vielzahl von Trägerfrequenzanlagen mit ausreichender Übertragungskapazität und - qualität verfügbar.

[0030] In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Steuereinheit aufweisen, welche dazu eingerichtet ist, die Kommunikation zwischen der ersten sicheren Signaleinheit und der zweiten sicheren Signaleinheit zu koordinieren.

[0031] Gemäß dieser Ausgestaltung ist eine weitere sichere Einheit als Steuereinheit vorgesehen. Die Steuereinheit verfügt über dieselben Kommunikationseinrichtungen wie die erste sichere Signaleinheit und die zweite sichere Signaleinheit. Die Steuereinheit kann mit den beiden Signaleinheiten kommunizieren und deren Kommunikation koordinieren. Beispielsweise kann die Steuereinheit als Kommunikationsmaster fungieren, während die sicheren Signaleinheiten als Slaves arbeiten. Eine Kommunikation zwischen den sicheren Signaleinheiten kann dann indirekt über die Steuereinheit ausgeführt werden. Die Steuereinheit kann auch eine Adressierung der ersten und zweiten Signaleinheiten sowie weiterer Kommunikationsteilnehmer einrichten, um auch komplexe Kommunikationsstrukturen abbilden zu können. Die Steuereinheit kann als eigenständige Kommunikationseinheit an das Stromnetz angeschlossen sein oder als Teilkomponente einer der ersten oder zweiten Signaleinheit ausgebildet sein. Denkbar ist auch, dass die Funktion der Steuereinheit flexibel und dynamisch einer sicheren Einheit zugeordnet werden kann. Über die Steuereinheit können komplexe Szenarien oder Kommunikationsstrukturen abgebildet werden, wodurch die Vorrichtung insgesamt flexibler eingesetzt werden kann.

[0032] In einer weiteren Ausgestaltung kann die Vorrichtung ferner eine Vermittlungseinheit aufweisen, welche dazu eingerichtet ist, eine sichere Kommunikation zwischen der ersten sicheren Signaleinheit und/oder der zweiten sicheren Signaleinheit und einem System einzurichten, das nicht über eine Datenschnittstelle mit dem Stromnetz verbunden ist.

[0033] Gemäß dieser Ausgestaltung umfasst die Vorrichtung somit eine Vermittlungseinheit, die eine sichere Kommunikation zwischen zwei (sicheren) Systemen vermitteln kann. Beispielsweise kann die Vermittlungseinheit eine Brücke zwischen zwei Netzen bilden, wobei das erste Netz das Stromnetz ist und das zweite Netz ein Datenkommunikationsnetzwerk, wie bspw. ein Feldbus oder ein industrielles Ethernet-Netzwerk. Über die Vermittlungseinheit kann ein bestehendes Netzwerk um die in dem Stromnetz kommunizierenden Einheiten erweitert werden. Die Ausgestaltung erhöht somit die Einsatzmöglichkeiten der Vorrichtung und trägt zur Integrationsfähigkeit bei.

[0034] In einer weiteren Ausgestaltung kann die erste sichere Signaleinheit ein Eingangsmodul, insbesondere ein Not-Halt-Modul, sein.

[0035] Gemäß dieser Ausgestaltung ist die erste sichere Signaleinheit ein Eingangsmodul, welches Signale eines oder mehrerer Signalgeber (Sensoren) empfängt. Die Signale können mit oder ohne weitere Signalverarbeitung bspw. als Not-Halt-Signal sicher über die physikalische Verbindung übertragen werden. Die Signalgeber können bspw. Lichtschranken, Türschalter, Not-Aus-Taster oder andere sichere Sensoren aus der Sicherheitstechnik sein. Die Verwendung von Eingangsmodulen in Kombination mit einer Datenübertragung über ein Stromnetz erlaubt eine flexible Positionierung der sicheren Sensoren für die Implementierung einer Sicherheitsfunktion.

[0036] In einer weiteren Ausgestaltung kann das Eingangsmodul zusätzlich eine Logikeinheit aufweisen.

[0037] Gemäß dieser Ausgestaltung kann das Eingangsmodul nicht nur Daten von Signalgebern entgegennehmen, sondern diese mit einer Verarbeitungslogik verarbeiten. Beispielsweise kann eine Verarbeitungslogik Signale mehrerer Signalgeber miteinander verknüpfen und ein Not-Halt-Signal generieren, das auf dieser Verknüpfung basiert. Auf diese Weise lassen sich auch komplexe Sicherheitsfunktionen auf einfache Weise implementieren.

[0038] In einer weiteren Ausgestaltung kann die zweite sichere Signaleinheit ein Ausgangsmodul, insbesondere ein Ausgangsmodul mit Ausgängen auf Relais- oder Halbleiterbasis, sein.

[0039] Gemäß dieser Ausgestaltung ist die zweite sichere Signaleinheit ein Ausgangsmodul, welches den Prozess über Aktoren steuert. Die Aktoren können bspw. Schütze in einer Stromversorgung eines Antriebs einer technischen Anlage sein, die einen Betrieb nur dann erlauben, wenn ein entsprechendes Ausgangssignal von dem Ausgangsmodul bereitgestellt wird. Das Ausgangssignal kann sich bspw. aus der Stromversorgung speisen, welche durch das Stromnetz zur Verfügung gestellt wird. Gleichzeitig kann auch das Signal, bspw. das Not-Halt-Signal, welches ursächlich für das Ausgangssignal des Ausgangsmoduls ist, über das Stromnetz empfangen werden. Die Ausgestaltung erlaubt daher eine sehr einfache Verkabelung auf der Ausgangsseite.

[0040] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. [0041] Ausführungsbeispiele sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung noch nähert erläutert. Es zeigen:

Fig. 1 ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind,

Fig. 2 ein weiteres Ausführungsbeispiel mit zusätzlichen Komponenten, die an der sicheren Kommunikation über das Stromnetz beteiligt sein können, und

Fig. 3 eine schematische Darstellung eines Ausführungsbeispiels eines Verfahrens gemäß der vorliegenden Offenbarung.

[0042] Fig. 1 zeigt ein Ausführungsbeispiel gemäß der vorliegenden Offenbarung, bei dem zwei sichere Signaleinheiten über ein Stromnetz miteinander verbunden sind. Die Vorrichtung ist hier in der Gesamtheit mit der Bezugsziffer 10 bezeichnet und umfasst mindestens eine erste sichere Signaleinheit 12 und eine zweite sichere Signaleinheit 14.

[0043] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander gekoppelt, wie in der nachfolgenden Beschreibung noch näher erläutert ist.

[0044] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 weisen jeweils einen oder mehrere E/A-Kanäle 18 auf, über die sie mit einem sicherheitskritischen Prozess 20 verbunden sind. Über die E/A-Kanäle 18 lesen die Signaleinheiten 12, 14 Signale und/oder Daten des sicherheitskritischen Prozesses 20 ein. Derartige Signale bzw. Daten sind bspw. die aktuelle Drehzahl einer Maschinenwelle oder die Schalterstellung eines Not-Aus-Schalters. Andererseits können die Signaleinheiten 12, 14 über die E/A-Kanäle 18 auf Aktoren einwirken, mit denen der sicherheitskritische Prozess 20 beeinflusst werden kann.

[0045] In einem Ausführungsbeispiel kann es sich bei dem sicherheitskritischen Prozess 20 um eine Not-Aus-Funktion handeln. In diesem Fall kann die erste Signaleinheit 12 mit einem Not-Aus-Schalter verbunden sein und als ein Eingangsmodul über die E/A-Kanäle 18 ein Signal, welches die Schalterstellung des Not-Aus-Schalters repräsentiert, empfangen. Die zweite Signaleinheit 14 kann über die E/A-Kanäle 18 als ein Ausgangsmodul ein Ausgangssignal an den sicherheitskritischen Prozess 20 abgeben. Das Ausgangssignal kann ein Freigabesignal sein, welches einen Betrieb der technischen Anlage nur dann erlaubt, wenn dieses Signal vorhanden ist. Beispielsweise kann das Freigabesignal auf einen Aktor wirken, mit dem die Hauptstromversorgung der technischen Anlage abgeschaltet werden kann.

[0046] Die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 sind über ein Stromnetz 16 miteinander verbunden. Das heißt, die erste und die zweite sichere Signaleinheit 12, 14 stehen in Kontakt mit einem oder mehreren Leitern 22 eines für die Energieübertragung eingerichteten Stromnetzes 16. Die Leiter können bspw. einzelne Außenleiter (Phasen) eines 230/400V-Wechselstromnetzes sein oder alternativ die Drähte eines Gleichstromnetzes, bspw. eines 24V-Gleichstromnetzes, wie es regelmäßig im industriellen Umfeld vorzufinden ist. Die erste und die zweite sichere Signaleinheit 12, 14 können über das Stromnetz 16 eine Versorgungsspannung beziehen.

[0047] Ferner können die erste und die zweite sichere Signaleinheit 12, 14 als sog. Trägerfrequenzanlagen eingerichtet sein oder mit einer solchen gekoppelt werden, um Daten über den bezeichneten Kontakt auf das Stromnetz 16 zu übertragen. Trägerfrequenzanlagen verwenden eine Trägerfrequenztechnik um Daten über bereits vorhandene, oftmals für einen anderen Zweck eingerichtete Übertragungswege auszutauschen. Hierzu werden die zu übertragenden Signale über eine oder mehrere Trägerfrequenzen auf einen Leiter 22 des Stromnetzes 16 moduliert. Die Trägerfrequenztechnik wird bei Stromnetzen auch als PowerLAN oder als Powerline Communications bezeichnet und ist in diversen Standards beschrieben.

[0048] Die Kommunikation zwischen der ersten Signaleinheit 12 und der zweiten Signaleinheit 14 ist als sichere Kommunikation 24 (auch als Failsafe-FS-Kommunikation bezeichnet) eingerichtet. Sichere Kommunikation bedeutet gemäß dieser Offenbarung, dass Daten im Sinne der Maschinensicherheit übertragen werden können. Da eine solche Kommunikation in der Regel nicht von der zuvor beschriebenen Datenkommunikation über das Strom- netz 16 abgebildet werden kann, findet die sichere Kommunikation 24 zwischen den Signaleinheiten 12, 14 auf einer logischen Ebene oberhalb der eigentlichen Kommunikationsschicht unter Anwendung eines "Black Channel' -Prinzips statt.

[0049] "Black Channel" bezeichnet in der Kommunikationstechnik einen Kommunikationskanal mit ungesicherten oder nicht zur Anwendung passenden Eigenschaften. Das "Black Channel' -Prinzip ermöglicht es, die Anforderung einer Anwendung bezüglich der Kommunikation zu erfüllen, ohne dass der Kommunikationskanal dieses sicherstellt. Hierfür wird bspw. zwischen einer Sicherheitsanwendung und dem nichtsicheren Kommunikationskanal ein Sicherheitsprotokoll integriert, welches dem gewünschten Sicherheitsniveau eines sicherheitsgerichteten Systems entspricht und Übertragungsfehler der darunterliegenden Kommunikationsschichten erkennt und beherrscht.

[0050] Für die Implementierung des Sicherheitsprotokolls können die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils sicherheitsgerichtete Einrichtungen 26 aufweisen, mittels derer das Protokoll implementiert wird. Im dargestellten Ausführungsbeispiel gemäß Fig. 1 sind die sicherheitsgerichteten Einrichtungen 26 durch zwei Verarbeitungseinheiten 28a, 28b angedeutet. Die beiden Verarbeitungseinheiten 28a, 28b führen sicherheitsrelevante Aufgaben redundant zueinander aus. Dabei können sie sich gegenseitig kontrollieren, was in der Fig. 1 durch den Doppelpfeil zwischen den Verarbeitungseinheiten 28a, 28b angedeutet ist. Neben der Implementierung des Sicherheitsprotokolls können die sicherheitsgerichteten Einrichtungen 26 weitere sicherheitsrelevante Aufgaben wahrnehmen, wie bspw. eine sichere Verknüpfung von Signalen oder das Ausführen eines sicherheitsbezogenen Anwenderprogramms.

[0051] Die Hard- und Software für die Implementierung des Sicherheitsprotokolls kann zu einem Modul gekapselt sein. Dieses Modul kann getrennt von einem Kommunikationsmodul 30, welches die "unsichere" Kommunikation über das Stromnetz 16 realisiert, implementiert werden. Bei dem Kommunikationsmodul 30 kann es sich um eine Standardkomponente handeln, welche die zuvor beschriebene Trägerfrequenztechnik implementiert. [0052] Fig. 2 zeigt ein Ausführungsbeispiel, bei dem zusätzliche Komponenten das zuvor beschriebene System ergänzen und erweitern.

[0053] Neben der ersten sicheren Signaleinheit 12 und der zweiten sicheren Signaleinheit 14 umfasst die Vorrichtung gemäß dem Ausführungsbeispiel nach Fig. 2 zwei weitere Signaleinheiten 32, 36, eine Vermittlungseinheit 34 sowie eine Steuereinheit 38. Alle Einheiten 12, 14, 32, 34, 36, 38 sind in der zuvor beschriebenen Weise über das Stromnetz 16 miteinander gekoppelt und dazu eingerichtet, hierüber Daten sicher auszutauschen. Die Einheiten haben somit jeweils ein Kommunikationsmodul 30 für die "unsichere" Kommunikation über das Stromnetz 16 sowie sicherheitsgerichtete Einrichtungen 26 für die Implementierung eines Sicherheitsprotokolls, welches die Übertragung über den unsicheren Kommunikationskanal absichert.

[0054] Die erste und zweite sichere Signaleinheit 12, 14, die bereits im Zusammenhang mit dem Ausführungsbeispiel gemäß Fig. 1 erläutert wurden, werden im Folgenden nicht erneut beschrieben. Gleiches gilt für die übrigen Komponenten, die in Bezug auf Fig. 1 bereits beschrieben worden sind. Diese sind auch in der Fig. 2 mit denselben Bezugszeichen versehen.

[0055] Die sichere Signaleinheit 32 entspricht im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich darin, dass sie sowohl Eingänge als auch Ausgänge zu einem Prozess 40 aufweist. Die Signaleinheit 32 kombiniert somit die Funktionen der Signaleinheiten 12, 14 und integriert diese in einer einzelnen Einheit. Ergänzend kann die sichere Signaleinheit 32 eine Logikeinheit aufweisen, welche eine sichere Verknüpfung der Ein- und Ausgangssignale realisiert.

[0056] Die weitere sichere Signaleinheit 36 entspricht ebenfalls im Wesentlichen den zuvor beschriebenen Signaleinheiten 12, 14. Sie unterscheidet sich lediglich in ihrem Anschluss an das Stromnetz 16. Dieser ist hier als eine separate Anschlusseinheit 42 ausgebildet. Die Anschlusseinheit 42 kann ein handelsüblicher PowerLAN-Adapter sein, der bspw. eine auf Ethernet-basierende Kommunikation für eine Übertragung über das Stromnetz 16 umwandelt. Die sichere Signaleinheit 36 kann dementsprechend mit einem Kommunikations- modul 44 ausgestattet sein, das eine gewöhnliche Netzwerkschnittstelle implementiert. Beispielsweise kann es sich bei dem Kommunikationsmodul 44 um eine Ethernet-Schnittstelle handeln. Auf diese Weise kann eine bereits vorhandene Hardware einer sicheren Signaleinheit weiterverwendet werden, da lediglich das Sicherheitsprotokoll implementiert werden muss. Dies kann auf Basis einer Softwareänderung erfolgen.

[0057] Die Vermittlungseinheit 34 stellt einen weiteren Kommunikationsteilnehmer dar, der dazu eingerichtet ist, zwischen zwei Netzen zu vermitteln. Exemplarisch ist hier neben dem Stromnetz 16 ein Feldbus 46 als ein zweites Netz angedeutet. Die Vermittlungseinheit 34 vermittelt zwischen den beiden Netzen 16, 46 wie eine Brücke. Hierfür weist sie das zuvor beschriebene Kommunikationsmodul 30 für die Kommunikation über das Stromnetz 16 auf und zusätzlich ein Kommunikationsmodul 48 für eine Kommunikation über den Feldbus 46. Ferner erweitert die Vermittlungseinheit 34 des Sicherheitsprotokolls dahingehend, dass über das Kommunikationsmodul 30 empfangene Datentelegramme oder Signale über das Kommunikationsmodul 48 an Einheiten weitergeleitet werden, die an den Feldbus 46 angeschlossen sind, oder umgekehrt.

[0058] Neben einer Verknüpfung zweier unterschiedlicher Netzwerke kann eine Vermittlungseinheit 34 in einem anderen Ausführungsbeispiel auch dazu eingerichtet sein, zwei verschiedene Arten von Stromnetzen für die Datenkommunikation zu koppeln. Auf diese Weise können Signaleinheiten, die bspw. über ein 24VDC-Netz gekoppelt sind, mit Einheiten, die in einem 230/400 VAC- Netz miteinander gekoppelt sind, kommunizieren.

[0059] Grundsätzlich kann die Vorrichtung noch weitere Koppelelemente umfassen, die weitere Übertragungswege bereitstellen. Beispielsweise kann ein Phasenkoppler vorgesehen sein, der zwei Außenleiter für die Übertragung der Trägersignale miteinander verbindet. Als Außenleiter bezeichnet man allgemein die Leiter in einem Stromnetz, die im üblichen Betrieb unter Spannung stehen und zur Übertragung oder Verteilung elektrischer Energie beitragen. Der Phasenkoppler verbindet die Außenleiter derart, dass die Spannungen getrennt bleiben, jedoch das hochfrequente Trägersignal, welches die Datenkommunikation ermöglicht, von einem Außenleiter auf den anderen übertragen wird. Auf diese Weise lässt sich bspw. bei einem Dreiphasen-Wechselstromnetz jeder Leiter für die Übertragung von Daten nutzbar machen. [0060] Fig. 2 zeigt ferner eine Steuereinheit 38, die dazu eingerichtet ist, eine Kommunikation innerhalb des Stromnetzes 16 zu koordinieren. Beispielsweise kann die Steuereinheit 38 als eine Masterstation eingerichtet sein und die weiteren Einheiten jeweils als Slave. Auf diese Weise lassen sich verschiedene Kommunikationsmodi abbilden. Die Steuereinheit 38 kann zudem weitere aus der Kommunikationstechnik bekannte Koordinierungsaufgaben wahrnehmen. Beispielsweise kann die Steuereinheit 38 eine zentrale Adressvergabe und Adresszuordnung koordinieren.

[0061] Die Steuereinheit 38 verfügt wie die übrigen Signaleinheiten 12, 14 über ein Kommunikationsmodul 30 sowie über sicherheitsgerichtete Einrichtungen 26 zur Implementierung des Sicherheitsprotokolls.

[0062] Die sicherheitsgerichteten Einrichtungen 26 der Steuereinheit 38 können ferner dazu verwendet werden, ein (sicheres) Anwenderprogramm auszuführen, um eine gewünschte Sicherheitsfunktion zu realisieren. In diesem Fall können die anderen Signaleinheiten als einfache Ein- und Ausgangsmodule eingerichtet sein, die abgesetzt von der Steuereinheit 38 diese mit dem Prozess verbinden. Die Verarbeitung der über das Stromnetz 16 sicher übertragenen Daten kann dann zentral durch die Steuereinheit 38 erfolgen.

[0063] Während die Steuereinheit 38 und die Vermittlungseinheit 34 hier als eigenständige Einheiten dargestellt sind, können deren Funktion in jeder der zuvor beschriebenen Signaleinheit integriert werden. Im Falle der Steuereinheit 38 ist sogar denkbar, dass deren Aufgabe dynamisch beim Einrichten des Netzwerks an eine Signaleinheit delegiert wird. Denkbar ist auch, dass eine dynamische Neukonfiguration stattfindet, sobald sich die Teilnehmer im Netz verändern.

[0064] Grundsätzlich ist das in Fig. 2 gezeigte Netzwerk exemplarisch zu verstehen. Dem Fachmann ist bewusst, dass hier mögliche Bausteine dem Prinzip nach dargestellt sind, die sich auch in anderer Weise und in anderer Anzahl kombinieren lassen, um eine Sicherheitsfunktion abzubilden. Ferner erkennt der Fachmann, dass das Netzwerk nicht nur für sicherheitsgerichtete Aufgaben eingerichtet ist, sondern auch Standardautomati- sierungsaufgaben parallel hierzu abarbeiten kann, indem die entsprechenden Komponenten in das Netzwerk integriert werden.

[0065] Mit den vorgeschlagenen Vorrichtungen können bestehende Einrichtungen auf einfache Weise erweitert werden. Insbesondere können Bereiche, die bisher nur über das Stromnetz erreichbar sind, mit der neuen Vorrichtung abgedeckt werden.

[0066] Fig. 3 zeigt in einer schematischen Darstellung ein Verfahren nach einem Ausführungsbeispiel der vorliegenden Offenbarung.

[0067] Das Verfahren 100 steuert einen sicherheitskritischen Prozess 20 und umfasst zunächst das Bereitstellen einer ersten sicheren Signaleinheit 12 und einer zweiten sicheren Signaleinheit 14, die über E/A-Kanäle 18 mit dem sicherheitskritischen Prozess 20 verbunden sind (S102).

[0068] Die sicheren Signaleinheiten 12, 14 werden über eine physikalische Verbindung miteinander gekoppelt. Die physikalische Verbindung ist über ein Stromnetz 16 realisiert (S104). Die Kopplung mit dem Stromnetz 16 kann bspw. durch Einstecken der Signaleinheiten 12, 14 in einen Auslass des Stromnetzes 16 (Steckdose) erfolgen. Neben dem Anschluss an das Stromnetz 16 können für die sichere Signaleinheit 12, 14 nur noch Anschlüsse für die Peripherie vorgesehen sein.

[0069] Ferner implementieren die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 jeweils ein Sicherheitsprotokoll zur Absicherung eines Datenaustauschs auf einer logischen Ebene zwischen den beiden Signaleinheiten (S106).

[0070] Basierend auf dem Sicherheitsprotokoll tauschen die erste sichere Signaleinheit 12 und die zweite sichere Signaleinheit 14 Daten miteinander aus, um den sicherheitskritischen Prozess 20 zu steuern (S108).

[0071] Es versteht sich, dass die hier wiedergegebenen Verfahrensschritte nur die wesentlichen Elemente des Verfahrens wiedergeben. Weitere Schritte zwischen den genannten Verfah- rensschritten sind denkbar. Darüber hinaus lässt sich auch ein komplexeres Netzwerk durch weitere Verfahrensschritte abbilden, wie es zuvor in Bezug auf der Fig. 2 beschrieben worden ist.