Vorrichtung und Verfahren zum automatisierten Steuern eines Betriebsablaufs bei einer technischen Anlage Die vorliegende Erfindung betrifft eine Vorrichtung zum automa- tisierten Steuern eines Betriebsablaufs bei einer technischen Anlage, mit - einer ersten Steuereinheit zum Erzeugen von ersten Steuerbefehlen, die dazu ausgelegt sind, den Betriebs- ablauf zu bewirken, - einer zweiten, vorzugsweise fehlersicheren Steuereinheit zum Erzeugen von zweiten Steuerbefehlen, die dazu ausge- legt sind, Sicherheitsfunktionen auszuführen, - zumindest einem zu steuernden Aktor, und - einer von der ersten und der zweiten Steuereinheit abge- setzten E/A-Einheit, die den Aktor antreibt, wobei die E/A-Einheit über eine erste Schnittstelle mit der ersten Steuereinheit verbunden ist.

Die Erfindung betrifft ferner ein Verfahren zum automatisierten Steuern eines Betriebsablaufs bei einer technischen Anlage, mit den Schritten : Erzeugen von ersten Steuerbefehlen, die dazu ausgelegt sind, den Betriebsablauf zu bewirken, Erzeugen von zweiten Steuerbefehlen, die dazu ausgelegt sind, Sicherheitsfunktionen auszuführen, Übertragen der ersten Steuerbefehle an eine räumlich abge- setzte E/A-Einheit, und Antreiben eines Aktors der technischen Anlage mit Hilfe der E/A-Einheit.

Eine solche Vorrichtung und ein entsprechendes Verfahren sind aus der Praxis bekannt und beispielsweise in dem Artikel Everything for safety during data transfer", erschienen in der DE-Zeitschrift PRAXIS Profiline-SafetyBUS p, VOGEL Industrie Medien GmbH & Co. KG, erste Ausgabe, April 2002 beschrieben.

Bei der Steuerung von technischen Anlagen hat sich seit einigen Jahren die Verwendung von so genannten Feldbussen etabliert.

Der Feldbus ist ein Kommunikationsmedium, der verschiedene an der Steuerung der Anlage beteiligte Komponenten miteinander vernetzt. Insbesondere können über den Feldbus eine Steuer- einheit und räumlich davon abgesetzte E/A-Einheiten kommunizie- ren. Die Steuereinheit, in aller Regel eine SPS (speicher- programmierbare Steuerung) oder auch ein Industriecomputer, arbeitet ein Anwenderprogramm ab, das in Abhängigkeit von Zu- standssignalen der technischen Anlage Steuerbefehle erzeugt.

Die Steuerbefehle werden mit Hilfe der E/A-Einheiten in Steuer- signale umgewandelt, die ihrerseits dann verschiedene Aktoren der Anlage antreiben. Aktoren sind beispielsweise elektrische Antriebe oder auch elektromagnetisch angesteuerte Ventile. Die Zustandssignale der Anlage werden über Sensoren, beispielsweise Drehzahlsensoren, erfasst und ebenfalls über die E/A-Einheiten an die Steuereinheit gemeldet.

Die Verwendung von Feldbussen besitzt den Vorteil, dass eine Vielzahl von räumlich verteilten E/A-Einheiten vergleichsweise einfach mit einer oder sogar mehreren übergeordneten Steuer- einheiten vernetzt werden können.

In vielen Fällen gehen vom Betrieb einer automatisiert gesteu- erten Anlage Gefahren aus, beispielsweise für Personen, die sich im Bereich automatisiert gesteuerter Antriebe aufhalten.

Aus diesem Grund besitzen moderne technische Anlagen über die genannten Komponenten für die Steuerung des eigentlichen Be- triebsablaufs hinaus zusätzliche sicherheitstechnische Kompo- nenten, die Sicherheitsfunktionen zum Schutz vor Gefährdungen ausführen. Ein klassisches Beispiel sind ein oder mehrere räum- lich verteilte Not-Aus-Schalter, bei deren Betätigung die Anla- ge unmittelbar in einen gefährdungslosen Zustand versetzt wird.

Typische weitere Sicherheitsgeber sind Schutztüren/Schutzzäune, Lichtschranken und Lichtgitter, aber auch Sensoren, die typi- sche Prozessgrößen wie Drehzahlen, Spannungen oder Drücke mes- sen. Die Ausgangssignale derartiger Sicherheitsgeber sind bei heutigen technischen Anlagen in aller Regel einer speziellen Sicherheitssteuerung und/oder speziellen Sicherheitsschaltgerä- ten zugeführt, die zusätzlich zu den Steuerungskomponenten für den vorgesehenen Betriebsablauf installiert sind. Anders ausge- drückt sind die sicherheitstechnischen Steuerkreise in aller Regel getrennt von den Betriebssteuerkreisen realisiert. Diese Trennung besitzt den Vorteil, dass eine Änderung im Bereich der Betriebssteuerung der Anlage keinen sicherheitsgefährdenden Einfluss auf die Sicherheitskreise der Anlage nehmen kann.

Andererseits müssen der Betriebssteuerkreis und der Sicher- heitskreis in irgendeiner Weise verknüpft werden, um bei Auf- treten einer Gefahrensituatiön die Anlage zuverlässig abschal- ten zu können. Für diese Verknüpfung sind in der Praxis bislang zwei Alternativen bekannt. Ein erster Ansatz besteht darin, mit dem Sicherheitskreis bei Auftreten einer Gefahrensituation die Stromversorgung der von der Betriebssteuerung angesprochenen E/A-Einheit abzuschalten. Damit werden zwangsläufig sämtliche Ausgangssignale der E/A-Einheit abgeschaltet. Die E/A-Einheit kann folglich auch die angeschlossenen Aktoren nicht mehr an- treiben. Nachteil dieses Verfahrens ist es, dass die übergeord- nete Betriebssteuerung beim Abschalten der Anlage Fehlermeldun- gen aufgrund des"Wegfalls"der E/A-Einheit erhält. Diese Feh- lermeldungen können die erneute Inbetriebnahme der Anlage ver- zögern. Darüber hinaus erfordert diese Art der Kopplung einen gewissen Verkabelungsaufwand.

Ein alternatives Konzept besteht darin, in der ausgangsseitigen Verbindung zwischen E/A-Einheit und angetriebenem Aktor ein weiteres Schaltelement (in aller Regel Schütze) anzuordnen. Das weitere Schaltelement wird dann vom Sicherheitskreis betätigt und kann den Aktor abschalten, ohne der E/A-Einheit die Strom- versorgung zu nehmen. Auch diese Art der Anbindung erfordert jedoch einen gewissen zusätzlichen Verkabelungsaufwand.

Als dritte Möglichkeit zur Kopplung von Betriebskreis und Si- cherheitskreis kommt in Betracht, die Steuerbefehle des Be- triebskreises durch die Steuereinheit des Sicherheitskreises zu schleusen. Die Steuereinheit des Sicherheitskreises hat damit die Möglichkeit, bei Auftreten einer Gefahrensituation die Kom- munikation zwischen Betriebssteuerung und E/A-Einheit zu unter- brechen bzw. Steuerbefehle der Betriebssteuerung zu überstim- men. Dieser Ansatz besitzt jedoch den Nachteil, dass sich die Kommunikation zwischen Betriebssteuerung und E/A-Einheit auf- grund der zwischengeschalteten Sicherheitssteuerung verzögert.

Die Reaktionsschnelligkeit der Betriebssteuerung wird damit herabgesetzt.

Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, ein alternatives Konzept anzugeben, um bei einer Vorrichtung der eingangs genannten Art konventionelle Steuer- vorgänge (Betriebssteuerung) und sicherheitsgerichtete Steuer- vorgänge miteinander zu verknüpfen.

Diese Aufgabe wird gemäß einem Aspekt der vorliegenden Erfin- dung durch eine Vorrichtung der eingangs genannten Art gelöst, bei der die E/A-Einheit eine zweite Schnittstelle zum Anschluss an die zweite Steuereinheit aufweist und bei der die E/A- Einheit dazu ausgebildet ist, den Aktor abhängig von den ersten und den zweiten Steuerbefehlen anzutreiben.

Die Aufgabe wird ferner durch ein Verfahren der eingangs ge- nannten Art gelöst, das weitere Schritte aufweist : - Übertragen der zweiten Steuerbefehle an die räumlich abge- setzte E/A-Einheit, und Verknüpfen der ersten und der zweiten Steuerbefehle in der abgesetzten E/A-Einheit und Treiben des Aktors abhängig von den verknüpften ersten und zweiten Steuerbefehlen.

Gemäß einem weiteren Aspekt der Erfindung wird damit eine E/A- Einheit zur Verwendung in einer gattungsgemäßen Vorrichtung vorgeschlagen, wobei die E/A-Einheit eine erste Schnittstelle zum Aufnehmen von ersten Steuerbefehlen einer ersten Steuer- einheit sowie eine zweite Schnittstelle zum Aufnehmen von zwei- ten Steuerbefehlen einer zweiten Steuereinheit aufweist. Des Weiteren besitzt die E/A-Einheit zumindest einen Ausgang zum Anschließen eines anzutreibenden Aktors, und sie ist dazu aus- gebildet, den Aktor abhängig von den ersten und den zweiten Steuerbefehlen anzutreiben.

Das neue Konzept beruht auf der Idee, eine spezielle E/A- Einheit zur Verfügung zu stellen, die aufgrund einer internen Verknüpfungs-oder Verarbeitungslogik in der Lage ist, Steuer- befehle von einer ersten Steuereinheit (Betriebssteuereinheit) zu verarbeiten und zusätzlich und gleichzeitig unter Kontrolle einer zweiten Steuereinheit Sicherheitsfunktionen auszuführen.

Damit stellt die neue E/A-Einheit-im Gegensatz zu allen übli- chen Ansätzen in der Sicherheitstechnik-erstmals eine Kompo- nente dar, die sowohl von einer Betriebssteuerung als auch von einer Sicherheitssteuerung angesprochen wird. Anders ausge- drückt ist die neue E/A-Einheit eine Baugruppe, die sowohl dem Betriebssteuerkreis als auch dem Sicherheitskreis angehört, so dass die bislang praktizierte Trennung von Betriebskreis und Sicherheitskreis an dieser Stelle aufgegeben ist. Da die E/A- Einheit in einem klassischen Betriebssteuerkreis allerdings nur ein ausführendes Element ist, ist die Aufgabe des Trennungs- prinzips hier entgegen den bisherigen Gepflogenheiten möglich.

Im einfachsten Fall führt die neue E/A-Einheit eine UND- Verknüpfung der Art durch, dass ein Aktor jeweils nur dann in Betrieb sein und genommen werden kann, wenn von keiner der beiden Steuereinheiten ein Stopp-Befehl vorliegt. Anders ausge- drückt sind die Steuerbefehle der Sicherheitssteuerung (der zweiten Steuereinheit in der Terminologie der vorliegenden Anmeldung) eine Art Freigabesignal, welches den Steuerbefehlen der Betriebssteuerung (erste Steuereinheit) überlagert wird.

Die neue E/A-Einheit besitzt eine interne Verarbeitungslogik, die in der Lage ist, Betriebssteuerbefehl und Freigabesignal zu verknüpfen. Damit erhält sie eine bei bislang bekannten E/A- Einheiten nicht erforderliche und nicht vorhandene Intelligenz.

Das neue Konzept besitzt den Vorteil, dass der Verkabelungsauf- wand gegenüber den oben beschriebenen Konzepten deutlich redu- ziert ist. Des Weiteren können zusätzliche externe Sicherheits- schaltelemente entfallen, was auch die Bauteilkosten reduziert.

Da die Verknüpfung von Betriebssteuerung und Sicherheitsfunkti- onen andererseits"im Feld", d. h. in der dezentral angeordneten E/A-Einheit, erfolgt, wird die Betriebssteuerung der Anlage allenfalls geringfügig verzögert.

Insgesamt ermöglicht das neue Konzept damit eine kostengünstige und effiziente Kopplung zwischen Betriebssteuerkreis und Si- cherheitskreis einer technischen Anlage. Die oben genannte Aufgabe ist damit vollständig gelöst.

In einer Ausgestaltung der Erfindung ist die zweite Steuerein- heit fehlersicher (im Sinne der Kategorie 3 oder höher der EN 954-1 oder im Sinne einer vergleichbaren Sicherheitsstufe, also zumindest einfehlersicher) ausgebildet. Bevorzugt ist die erste Steuereinheit demgegenüber eine Standard-Steuereinheit, die also keine hinreichende Fehlersicherheit zum Steuern von si- cherheitskritischen Vorgängen gewährleistet.

Durch diese Ausgestaltung wird die Trennung von sicherheitsre- levanten Steuerabläufen und betriebsmäßigen Steuerabläufen trotz der erfindungsgemäßen Zusammenführung in der E/A-Einheit weitgehend beibehalten. Dadurch können bewährte Sicherheitskon- zepte mit geringem Aufwand übernommen werden und es ist mög- lich, bestehende Anlagen kostengünstig nach-oder umzurüsten.

In einer weiteren bevorzugten Ausgestaltung der Erfindung ist die E/A-Einheit als fehlersichere Baugruppe ausgebildet. Insbe- sondere weist sie mehrkanalig-redundante Ausgangsschaltelemente zum Antreiben des Aktors auf.

In dieser Ausgestaltung ist die E/A-Einheit eine Baugruppe, die bereits von sich aus die im Bereich der Sicherheitstechnik geforderten Kriterien erfüllt."Fehlersicher"bedeutet hier insbesondere, dass die E/A-Einheit zumindest die Kategorie 3, bevorzugt sogar die Kategorie 4, der europäischen Norm EN 954-1 oder eine vergleichbare Sicherheitsnorm erfüllt. Diese Aus- gestaltung besitzt den Vorteil, dass der Verkabelungsaufwand und die Kommunikation zwischen der E/A-Einheit und der zweiten Steuereinheit (Sicherheitssteuerung) reduziert bzw. vereinfacht werden kann, da die zweite Steuereinheit hiernach auf die Ei- genfehlersicherheit der E/A-Einheit vertrauen kann.

In einer weiteren Ausgestaltung weist die E/A-Einheit zumindest ein Ausgangsschaltelement zum Antreiben des Aktors sowie einen Rückführkreis auf, mit dessen Hilfe ein Betriebszustand des Ausgangsschaltelements bestimmbar ist.

Diese Ausgestaltung kann alternativ oder bevorzugt in Ergänzung oder als Bestandteil der zuvor genannten Ausgestaltung reali- siert sein. Sie ermöglicht es, den jeweiligen Schaltzustand des Ausgangsschaltelements und damit verbunden den Betriebszustand des angetriebenen Aktors regelmäßig oder sogar laufend zu über- wachen. Insbesondere ist es damit bei redundanten Ausgangs- schaltelementen möglich, ein Wiedereinschalten der überwachten Anlage zu unterbinden, wenn zwar ein Abschaltvorgang aufgrund von einem Ausgangsschaltelement erfolgreich war, ein anderes Schaltelement jedoch fehlerhaft ist. Die Integration des Rück- führkreises in die neue E/A-Einheit trägt zu einer noch weite- ren Reduzierung des Installationsaufwandes bei. Dies macht die Installation noch einfacher und kostengünstiger. Zudem kann dann allein mit Hilfe der E/A-Einheit ein Wiedereinschalten der Anlage unterbunden werden, ohne dass die zweite (fehlersichere) Steuereinheit involviert sein muss. Dies ist vor allem dann von Vorteil, wenn ein Abschaltvorgang von der ersten (Betriebs-) Steuerung ausgelöst wird, da ein solcher Abschaltvorgang der zweiten Steuereinheit dann nicht"mitgeteilt"werden muss.

In einer weiteren Ausgestaltung weist die E/A-Einheit einen Kopfteil mit der ersten und zweiten Schnittstelle sowie einen E/A-Teil mit einer Vielzahl von E/A-Modulen auf, wobei der Kopfteil dazu ausgebildet ist, mehrere E/A-Module in Abhängig- keit von den ersten und zweiten Steuerbefehlen gemeinsam anzu- steuern. Bevorzugt erfolgt die gemeinsame Ansteuerung über eine logische Adressierung, die vom Kopfteil erzeugt wird und die von der räumlichen Position der einzelnen Modulsteckplätze insoweit unabhängig ist, als dass E/A-Module, die räumlich nicht unmittelbar nebeneinander liegen, gemeinsam ein-oder ausgeschaltet werden können, ohne dass dazwischen liegende E/A- Module zwangsläufig mit angesteuert werden.

Durch den modulartigen Aufbau kann die neue E/A-Einheit sehr einfach an wechselnde Anlagenanforderungen angepasst werden.

Insbesondere kann eine sehr flexible Blockabschaltung von Be- reichen einer größeren Anlage realisiert werden, wie dies wei- ter unten anhand eines bevorzugten Ausführungsbeispiels noch näher erläutert ist. Um eine maximale Flexibilität zu errei- chen, sind in einer besonders bevorzugten Ausgestaltung sämtli- che E/A-Module (ein-) fehlersicher ausgebildet.

In einer weiteren Ausgestaltung sind die E/A-Einheit und die zweite Steuereinheit über eine fehlersichere Kommunikations- verbindung miteinander verbunden.

Eine fehlersichere Kommunikationsverbindung in diesem Sinne ist beispielsweise der von der Anmelderin unter der Bezeichnung SaftetyBUS p vertriebene Feldbus, der speziell für eine Ver- netzung von sicherheitskritischen Komponenten entwickelt wurde.

Durch die Verwendung einer solchen Kommunikationsverbindung wird die neue E/A-Einheit vollständig in den Sicherheitskreis der Anlage integriert. Bei der Installation der E/A-Einheit und auch bei der Zertifizierung durch entsprechende Aufsichtsbehör- den kann daher auf bekannte und akzeptierte Verfahren zurückge- griffen werden, was zu einer weiteren Kostenreduzierung bei- trägt.

In einer weiteren Ausgestaltung sind die E/A-Einheit und die erste Steuereinheit über eine nicht-fehlersichere Kommunikati- onsverbindung miteinander verbunden.

Diese Ausgestaltung zeigt insbesondere in Kombination mit der vorhergehenden Ausgestaltung die"Doppelnatur"der neuen E/A- Einheit. Die Anbindung dieser neuen E/A-Einheit an die erste Steuereinheit über eine nicht-fehlersichere, d. h. konventionel- le, Kommunikationsverbindung vereinfacht die Integration in bekannte und-bestehende Betriebssteuerkreise. Darüber hinaus ist durch diese Ausgestaltung auch die Nachrüstung von vorhan- denen Anlagen vereinfacht.

In einer weiteren Ausgestaltung sind die fehlersichere Kommuni- kationsverbindung und die nicht-fehlersichere Kommunikations- verbindung mit Hilfe von separaten Übertragungsmedien reali- siert. Insbesondere handelt es sich hierbei um separate Bus- verbindungen. Die separaten Kommunikationsverbindungen können in einem Kabel integriert sein oder auch mit Hilfe von zwei getrennten Kabeln realisiert sein. Die Trennung der Übertra- gungsmedien trägt zu einer leichteren Integration in bestehen- den Anlagen bei. Die Kombination der an sich getrennten Über- tragungsmedien in einem gemeinsamen Kabel, beispielsweise in Form von getrennten Adern innerhalb des Kabels, vereinfacht andererseits die Installation, insbesondere bei weitläufigen technischen Anlagen.

In einer weiteren Ausgestaltung sind die erste und die zweite Schnittstelle in Form von zwei physikalisch getrennten An- schlussmöglichkeiten realisiert.

Diese Ausgestaltung besitzt den Vorteil, dass sich die neue E/A-Einheit leichter in bestehenden Anlagen integrieren lässt.

Dies gilt insbesondere, wenn dabei auch getrennte Übertragungs- medien für die Kommunikation zwischen der ersten und zweiten Steuereinheit und der E/A-Einheit zum Einsatz kommen.

In einer anderen Ausgestaltung sind die fehlersichere Kommuni- kationsverbindung und die nicht-fehlersichere Kommunikations- verbindung mit Hilfe eines gemeinsamen Übertragungsmediums realisiert. Dabei ist es bevorzugt, wenn die erste und zweite Schnittstelle als logisch getrennte Schnittstellen mit gemein- samer Hardware realisiert sind.

In dieser Ausgestaltung können die beiden Steuereinheiten bei- spielsweise über eine gemeinsame Ethernet-oder Profibus- Verbindung mit der E/A-Einheit verbunden sein. Aufgabe der logisch getrennten Schnittstellen ist es dann, die über das gemeinsame Übertragungsmedium erhaltenen Telegramme zu trennen und innerhalb der E/A-Einheit jeweils den richtigen Unterein- heiten, vor allem den richtigen Speichern, zuzuordnen. Der Vorteil dieser Ausgestaltung ist die noch einfachere und kos- tengünstigere Realisierung von neuen Anlagen, da der Material- aufwand bei einer physikalisch kombinierten Schnittstelle ge- ringer ist.

In einer weiteren Ausgestaltung weist die E/A-Einheit zumindest einen Ausgangsanschluss zum Anschließen des Aktors auf, wobei der Ausgangsanschluss parallel sowohl von der ersten Steuer- einheit als auch von der zweiten Steuereinheit adressierbar ist.

"Adressierbar"bedeutet in diesem Zusammenhang, dass sowohl die erste als auch die zweite Steuereinheit den entsprechenden Ausgangsanschluss ansprechen können. Bei einer SPS heißt dies konkret, dass der entsprechende Ausgangsanschluss im Prozessab- bild der Ausgänge für beide Steuereinheiten enthalten ist.

Damit ist jede der beiden Steuereinheiten für sich in der Lage, den angeschlossenen Aktor zu deaktivieren, so dass die Be- triebssteuerung an sich unabhängig von der Sicherheitsfunktion ablaufen kann. Dadurch wird die Integration der neuen E/A- Einheit in den Betriebssteuerkreis noch weiter vereinfacht.

In einer weiteren Ausgestaltung weist die E/A-Einheit zumindest einen Eingangsanschluss zum Anschließen eines Meldegerätes auf, wobei der Eingangsanschluss parallel sowohl von der ersten Steuereinheit als auch von der zweiten Steuereinheit adressier- bar ist.

"Adressierbar"bedeutet auch in diesem Zusammenhang, dass so- wohl die erste als auch die zweite Steuereinheit den genannten Eingangsanschluss ansprechen können. Bei einer SPS heißt dies konkret, dass der entsprechende Eingangsanschluss im Prozessab- bild der Eingänge für beide Steuereinheiten enthalten ist.

Dadurch sind beide Steuereinheiten in der Lage, ein am Ein- gangsanschluss anliegendes Sensorsignal einzulesen. Die paral- lele Adressierbarkeit trägt zu einem weiter vereinfachten In- stallationsaufwand bei. Des Weiteren können am Meldegerät bzw.

Sensor zusätzliche Kontakte eingespart werden, und es kann auch eine Parallelverdrahtung entfallen, ohne dass einer der Steuer- einheiten die entsprechende Eingangsinformation vorenthalten bleiben muss.

In einer weiteren Ausgestaltung weist die E/A-Einheit zumindest einen weiteren Eingangsanschluss zum Anschließen eines weiteren Meldegerätes auf, wobei der weitere Eingangsanschluss nur von der ersten Steuereinheit oder nur von der zweiten Steuereinheit adressierbar ist.

Diese Ausgestaltung stellt dedizierte Eingänge zur Verfügung, über die sich Informationen ganz gezielt nur an jeweils eine der Steuereinheiten übermitteln lassen. Vorteil ist, dass sich hierüber gewissermaßen eine"geheime"bzw. abgeschottete Kommu- nikation zwischen der jeweils befugten Steuereinheit und der E/A-Einheit auf einfache Weise realisieren lässt. Infolge des- sen kann die bewährte Trennung von Sicherheitskreis und Stan- dardkreis zuverlässiger beibehalten werden.

Es versteht sich, dass die vorstehend genannten und die nach- stehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Ausführungsbeispiele der Erfindung sind in der Zeichnung darge- stellt und werden in der nachfolgenden Beschreibung näher er- läutert. Es zeigen : Fig. 1 ein vereinfachtes Blockschaltbild einer neuen Vor- richtung zum automatisierten Steuern einer techni- schen Anlage, Fig. 2 ein vereinfachtes Blockschaltbild einer neuen E/A- Einheit in der Vorrichtung aus Fig. 1, und Fig. 3 eine modulartige E/A-Einheit gemäß einem Ausführungs- beispiel der Erfindung.

In Fig. 1 ist ein Ausführungsbeispiel der neuen Vorrichtung in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet.

Die Vorrichtung 10 besitzt eine erste Steuereinheit 12, eine zweite Steuereinheit 14 sowie zwei beispielhaft dargestellte E/A-Einheiten 16 und 18. Die erste Steuereinheit 12 ist mit den beiden E/A-Einheiten 16,18 über einen ersten Feldbus 20 ver- bunden. Die zweite Steuereinheit 14 ist mit den beiden E/A- Einheiten 16,18 über einen zweiten Feldbus 22 verbunden. Die Steuereinheiten 12,14 können mit den E/A-Einheiten 16,18 über die Feldbusse 20,22 Nachrichten in Form von so genannten Bus- telegrammen austauschen, die in Fig. 1 bei den Bezugsziffern 24,26 angedeutet sind. Die Bustelegramme 24,26 transportieren Steuerbefehle von den Steuereinheiten 12,14 zu den E/A-Einhei- ten 16,18 und in umgekehrter Richtung Daten und Zustands- meldungen von den E/A-Einheiten 16,18 zu den Steuereinheiten 12,14. Diese bidirektionale Kommunikation ist in Fig. 1 an Hand der Pfeile 28,30 dargestellt.

Die beiden Feldbusse 20,22 sind in einem Ausführungsbeispiel an sich bekannte Bustechnologien. Beispielsweise ist der Feld- bus 20 ein standardmäßiger CAN-Bus oder auch ein Profibus oder Interbus. Der Feldbus 22 ist in der bevorzugten Ausführung demgegenüber ein Feldbus speziell für sicherheitskritische Anwendungen, wie insbesondere der unter der Bezeichnung Safety- BUS p bekannte Bus der Anmelderin der vorliegenden Erfindung.

Grundsätzlich ist die Erfindung jedoch nicht auf diese speziel- len Kommunikationsmedien beschränkt, d. h. die E/A-Einheiten 16, 18 können grundsätzlich auch auf andere Weise mit den Steuer- einheiten 12 und 14 in Verbindung stehen, beispielsweise über eine gemeinsame Ethernetverbindung oder einen gemeinsamen Pro- fibus.

In einem besonderen Ausführungsbeispiel sind die beiden Feld- busse 20,22 unter Verwendung eines einzigen Kabels realisiert, das von den Steuereinheiten 12,14 zu den E/A-Einheiten 16,18 verlegt ist. Dies ist in Fig. 1 bei der Bezugsziffer 32 symbo- lisiert. Die Erfindung ist jedoch auch auf diese Ausführung nicht beschränkt, d. h. die beiden Feldbusse 20,22 könnten auch mit getrennten Kabeln und mit gänzlich unterschiedlichen Über- tragungsmedien realisiert sein.

Die zweite Steuereinheit 14 ist hier eine fehlersichere Steuer- einheit im Sinne der Kategorie 4 der europäischen Norm EN 954- 1. Sie ist dementsprechend mit einem mehrkanalig-redundanten Aufbau dargestellt, der hier stellvertretend für die übrigen Komponenten mit zwei getrennten Prozessoren 34,36 symbolisiert ist. In einem bevorzugten Ausführungsbeispiel handelt es sich um eine fehlersichere SPS, wie sie von der Anmelderin der vor- liegenden Erfindung unter der Bezeichnung PSSX angeboten wird.

Demgegenüber ist die erste Steuereinheit 12 hier eine standard- mäßige Steuereinheit, konkret eine Standard-SPS. Dies ist in Fig. 1 stellvertretend für die anderen Komponenten mit Hilfe eines einzelnen Prozessors 38 symbolisiert.

Die E/A-Einheiten 16, 18 besitzen gemäß einem Aspekt der vor- liegenden Erfindung eine erste Schnittstelle 40 und eine zweite Schnittstelle 42 (hier der Einfachheit halber nur für die E/A- Einheit 16 dargestellt). In einem bevorzugten Ausführungs- beispiel sind die beiden Schnittstellen 40,42 in Form von physikalisch getrennten Anschlussmöglichkeiten realisiert, und zwar hier einmal als Standardschnittstelle zum Anschluss an den handelsüblichen Feldbus 20 sowie als Schnittstelle zum An- schluss an den SafetyBUS p 22 der Anmelderin.

Mit der Bezugsziffer 44 ist ein Verarbeitungs-und Ausgangs- kreis der E/A-Einheit 16 bezeichnet, der nachfolgend an Hand Fig. 2 noch näher erläutert wird.

Ausgangsseitig sind hier an die E/A-Einheit 16 beispielhaft zwei Antriebe 46,48 sowie ein Ventil 50 angeschlossen. Zu jedem der Antriebe 46,48 gehört ein Drehzahlsensor 52, der ebenfalls an die E/A-Einheit 16 angeschlossen ist. Die Antriebe 46, 48, das Ventil 50 und die Sensoren 52 sind Bestandteil einer technischen Anlage, die hier in ihrer Gesamtheit mit der Bezugsziffer 54 bezeichnet ist. Beispielsweise handelt es sich um einen automatisiert arbeitenden Roboter, eine Transport- oder Förderanlage, eine Pressenstraße oder um eine andere automatisiert arbeitende technische Anlage.

Der vorgesehene Betriebsablauf der Anlage 54 wird anschließend vollständig mit Hilfe der Steuereinheit 12 realisiert, die die Aktoren 46-50 über die E/A-Einheit 16 anspricht und umgekehrt Prozessgrößen mit Hilfe der Sensoren 52 einliest. Da von einer derartig automatisiert arbeitenden Anlage grundsätzlich eine Gefahr ausgeht, sind im Bereich von Gefährdungsstellen Sicher- heitsmaßnahmen installiert. Typische Beispiele beinhalten die Absicherung der Anlage mit Hilfe von Schutzgittern und Schutz- türen 56, das Anordnen von Not-Aus-Schaltern 58 an neuralgi- schen Punkten sowie die Verwendung von Lichtschranken, Licht- gittern oder Laserscannern 60. Diese Sicherheitsgeber 56-60 sind hier ebenfalls an die E/A-Einheit 16 angeschlossen. Die zweite Steuereinheit 14 liest die von den Sicherheitsgebern 56- 60 gelieferten Signale ein, wertet diese aus und erzeugt in Abhängigkeit davon Steuerbefehle, mit denen die Aktoren 46-50 gegebenenfalls so betätigt werden, dass die Anlage 54 in einen gefahrlosen Zustand überführt wird. Abweichend von bisherigen Konzepten ist es aufgrund der neuen E/A-Einheit 16 hier aller- dings nicht mehr erforderlich, separate Schütze zum Abschalten der Aktoren 46-50 vorzusehen, da die zweite Steuereinheit 14 über die neue E/A-Einheit 16 unmittelbar auf die Aktoren 46-50 der Anlage 54 zugreifen kann. Vorteilhaft ist hier, dass die zweite Steuereinheit 14 darüber hinaus auch die Signale der Sensoren 52 einlesen und auswerten kann, um beispielsweise einzelne Antriebe 46,48 bei Wartungs-oder Einrichtarbeiten mit einer reduzierten Geschwindigkeit zu betreiben. Der Betrieb mit reduzierter Geschwindigkeit kann von der Betätigung eines Zustimmschalters (hier nicht dargestellt) abhängig gemacht werden, der ebenfalls ein sicherheitskritisches Meldegerät darstellen würde.

Fig. 2 zeigt in einem schematischen Blockschaltbild wesentliche Bestandteile der neuen E/A-Einheit 16, wobei gleiche Bezugszei- chen dieselben Elemente bedeuten wie bisher.

Die E/A-Einheit 16 besitzt eine Reihe von Ausgangsschaltkreisen 68, die jeweils einen Ausgangsanschluss 70 aufweisen. An die Ausgangsanschlüsse 70 werden die Aktoren 46,48, 50 angeschlos- sen. In bevorzugten Ausführungsbeispielen ist vorgesehen, dass zumindest einige der Ausgangsschaltkreise 68 Hochstromausgänge bereitstellen, so dass auch größere Lasten direkt von der E/A- Einheit 16 angesteuert werden können. Abweichend hiervon ist es jedoch grundsätzlich auch möglich, mit den Ausgängen 70 der E/A-Einheit 16 Schütze zu treiben, über die dann die eigentli- chen Aktoren ein-oder ausgeschaltet werden.

In dem hier dargestellten, bevorzugten Ausführungsbeispiel sind die Ausgangsschaltkreise 68 jeweils mehrkanalig-redundant auf- gebaut, und sie besitzen zudem einen internen Rückführkreis. In Fig. 2 ist dies an Hand von jeweils zwei in Reihe zueinander angeordneten Schließerkontakten 72,74 dargestellt, die jeweils mit einem zwangsgeführten Öffnerkontakt 76,78 gekoppelt sind.

Die Öffnerkontakte 76,78 sind typischerweise in einem Rück- führkreis angeordnet, der aufgrund der zwangsgeführten Kopplung eine Aussage über die Schaltstellung der Schließerkontakte 72, 74 ermöglicht. Eine derartige Verschaltung von Öffner-und Schließerkontakten ist den einschlägigen Fachleuten auf dem Gebiet der Sicherheitstechnik hinreichend bekannt. Abweichend von der hier der Einfachheit halber gewählten Darstellung kön- nen die Ausgangsschaltkreise 68 der E/A-Einheit 16 jedoch auch in Halbleitertechnik realisiert sein, wobei Rückführkreise dann beispielsweise mit Hilfe von Optokopplern realisiert sind. In jedem Fall erfolgt die Ansteuerung der Aktoren 46-50 hier je- doch über fehlersichere Ausgangsschaltkreise 68, die direkt in der neuen E/A-Einheit 16 implementiert sind.

Mit den Bezugsziffern 80,82, 84 sind drei beispielhaft darge- stellte Eingangskreise der E/A-Einheit 16 bezeichnet. Die Ein- gangskreise 80-84 besitzen jeweils einen Anschluss 86 zum An- schließen von Sensoren 52 und/oder Sicherheitsgebern 56-60. In dem hier dargestellten Ausführungsbeispiel ist der Eingangs- kreis 80 derartig ausgebildet, dass er nur von der ersten Steu- ereinheit 12 adressiert werden kann. Dementsprechend kann ein am Eingangskreis 80 angeschlossener Sensor nur von der ersten Steuereinheit 12 aus gelesen werden. Der Eingangskreis 82 kann demgegenüber sowohl von der ersten Steuereinheit 12 als auch der zweiten Steuereinheit 14 adressiert werden, so dass ein hieran angeschlossener Sensor von beiden Steuereinheiten aus gelesen werden kann. Der Eingangskreis 84 kann demgegenüber nur von der zweiten Steuereinheit 14 aus gelesen werden. Es ver- steht sich, dass eine beliebige Kombination der Eingangskreise 80,82, 84 möglich ist, wobei der Eingangskreis 82, der von beiden Steuereinheiten adressiert werden kann, grundsätzlich bevorzugt ist.

Mit der Bezugsziffer 88 sind weitere Ausgangskreise bezeichnet, die insbesondere verschiedene Taktsignale an entsprechenden Anschlüssen 90 liefern. Derartige Taktsignale werden im Bereich der Sicherheitstechnik beispielsweise verwendet, um eine Quer- schlusserkennung zwischen zwei Leitungen zu realisieren.

Die beiden Schnittstellen 40,42 besitzen jeweils einen Ein- gangsspeicher 92,94 und einen Ausgangsspeicher 96,98. Die Eingangsspeicher und Ausgangsspeicher enthalten, wie es für SPS-basierte Steuerungssysteme üblich ist, ein Prozessabbild aller Eingänge (Signalzustände an den Eingangsanschlüssen 86) bzw. ein Prozessabbild aller Ausgänge (Signalzustände an den Ausgangsanschlüssen 70,90). Die erste Steuereinheit 12 kann über die Schnittstelle 40 die Prozessabbilder der Ein-und Ausgänge aus den Speichern 92,96 einlesen und beeinflussen, während die zweite Steuereinheit 14 die Prozessabbilder in den Speichern 94,98 einlesen bzw. beeinflussen kann.

Mit der Bezugsziffer 100 ist ein Logikteil bezeichnet, der hier mit einer Vielzahl von UND-Verknüpfungsgliedern 102 dargestellt ist. In der praktischen Realisierung kann der Logikteil 100 mit Hilfe von (Signal-) Prozessoren, Mikrocontrollern oder auch als FPGA oder ASIC realisiert sein. Der Logikteil 100 ist hier mehrkanalig-redundant aufgebaut, um eine fehlersichere Signal- verarbeitung im Sinne der Kategorie 4 der EN 954-1 zu ermögli- chen. Die Ausgänge der einzelnen UND-Verknüpfungsglieder 102 sind jeweils einem Ausgangsschaltkreis 68 zugeführt. Eingangs- seitig sind die UND-Verknüpfungsglieder 102 einerseits mit dem Ausgangsspeicher 96 und andererseits mit dem Ausgangsspeicher 98 verbunden. Mit Hilfe der UND-Verknüpfungsglieder werden somit die Steuerbefehle der ersten und zweiten Steuereinheit 12 bzw. 14 verknüpft und in Form eines verknüpften Steuersignals an die einzelnen Ausgangsschaltkreise 68 weitergegeben. Im einfachsten Fall übernimmt die zweite Steuereinheit 14 dabei die Funktion eines Freigabe-oder Zustimmelements, das es durch Bereitstellen eines entsprechenden Datenwertes im Ausgangsspei- cher 98 ermöglicht, dass die erste Steuereinheit 12 über die Ausgangsschaltkreise 68 die angeschlossenen Aktoren ansteuern kann. Dabei erfolgt die Auswertung der sicherheitsrelevanten Sensorsignale allerdings exklusiv in der zweiten Steuereinheit.

Erkennt die zweite Steuereinheit 14 einen Gefahrenzustand, beispielsweise aufgrund der Betätigung eines der Sicherheitsge- ber 56-60 oder aufgrund eines Selbsttests, sperrt sie über einen entsprechenden Datenwert im Ausgangsspeicher 98 den Zugriff der ersten Steuereinheit 12 auf die Ausgangsschalt- kreise 68. Durch die UND-Verknüpfung im Logikteil 100 werden damit die Ausgangsschaltelemente 72,74 in den Ausgangsschalt- kreisen 68 geöffnet. Die Aktoren 46-50 werden abgeschaltet.

Darüber hinaus kann die zweite Steuereinheit 14 abweichend von diesem typischen Fall auch andere Maßnahmen auslösen, um einen gefahrlosen Anlagenzustand zu erreichen. Beispielsweise kann eine Abschaltung der Antriebe 46,48 erst mit einer gewissen Zeitverzögerung erfolgen, um bewegte Lasten zunächst in eine sichere Parkposition zu fahren. Zu diesem Zweck kann die zweite Steuereinheit 14 die erste Steuereinheit 12 informieren, dass eine Abschaltung der Antriebe erforderlich ist. Erst nach Ab- lauf einer festgelegten Zeitspanne schaltet die zweite Steue- rung 14 die Stromversorgung der Antriebe 46,48 dann mit Hilfe der E/A-Einheit 16 ab.

In einer besonderen Ausführung sind die beiden Schnittstellen 40,42 der neuen E/A-Einheit mit gemeinsamer Hardware als al- lein logisch getrennte Schnittstellen realisiert. Dies ist in Fig. 2 symbolisch durch den Kasten 104 angedeutet. Konkret handelt es sich hier beispielsweise um eine Schnittstellenhard- ware für einen Ethernet-Anschluß. Ein Zuordnungskreis, der bevorzugt in Form einer geeigneten Adressauswertungssoftware 106 realisiert ist, ordnet die erhaltenen und zu versendenden Telegramme 24,26 jeweils der gewünschten Steuereinheit bzw. dem zugehörigen Speicher 92,96 bzw. 94,98 zu. In dieser Aus- führung kann die neue E/A-Einheit dann über ein gemeinsames Ethernetkabel (oder ein anderes leitungsgebundenes oder draht- loses Übertragungsmedium) an die beiden Steuereinheiten 12,14 angeschlossen werden.

Fig. 3 zeigt in einer vereinfachten Darstellung den konzeptio- nellen Aufbau einer bevorzugten modularen E/A-Einheit 110 nach der vorliegenden Erfindung. Gleiche Bezugszeichen bezeichnen dabei dieselben Elemente wie zuvor.

Die E/A-Einheit 110 besitzt ein Kopfteil 112 mit den Schnitt- stellen 40,42 und dem Verarbeitungsteil 44. Der Verarbeitungs- teil 44 beinhaltet hier zu dem Logikteil 100 noch eine Adress- umsetzung 114, die auch Bestandteil des Logikteils 100 sein kann. An das Kopfteil reihen sich Modulsteckplätze, in die E/A- Module 116,118, 120 wahlweise einsetzbar sind. Die E/A-Module beinhalten die Eingangskreise und Ausgangskreise 68,80, 82, 84,88 gemäß der funktionalen Beschreibung aus Fig. 2. Sie können unterschiedlich aufgebaut sein, also beispielsweise reine Eingangsmodule oder reine Ausgangsmodule, oder auch alle zuvor beschriebenen Funktionen beinhalten.

In einem besonders bevorzugten Ausführungsbeispiel sind alle E/A-Module 116,118, 120 fehlersicher aufgebaut. Gleichwohl ist das E/A-Modul 120 hier zum Anschluss von Standardkomponenten vorgesehen, die in den Betriebssteuerkreis eingebunden sind, wie etwa die Aktoren 46,48, 50 und die Sensoren 52 aus Fig. 2, und die nach konventionellem Konzept nur über ein nicht- fehlersicheres Standardmodul angeschlossen würden. Das E/A- Modul 116 ist ein fehlersicheres Modul und es besitzt hier als Besonderheit noch eine Einspeisung für eine Betriebsspannung für die E/A-Module 116-120. Alternativ könnte die Betriebs- spannungseinspeisung jedoch auch vom Kopfteil 112 erfolgen oder es könnte jedes E/A-Modul eine Betriebsspannungseinspeisung besitzen. Das E/A-Modul 118 ist ein fehlersicheres E/A-Modul, das über die Betriebsspannungseinspeisung des Moduls 116 mit versorgt wird. In einem besonders bevorzugten Ausführungsbei- spiel sind die E/A-Module 116,118 für den Sicherheitskreis farblich gegenüber dem Modul 120 für den Standardkreis abge- setzt.

Die Adressumsetzung 114 ist dazu ausgebildet, die einzelnen E/A-Module 116,118, 120 wahlweise anzusprechen, um die von den Steuereinheiten 12,14 kommenden Steuerbefehle weiterzuleiten.

Dabei wird die logische Verknüpfung zwischen Standardteil und Sicherheitsteil, bspw. in Form der erläuterten UND-Verknüpfung, berücksichtigt. Durch diese Adressumsetzung im Kopfteil 112 kann auf einfache Weise aus eine Blockabschaltung von dezentra- ler Stelle erreicht werden, d. h. es können mehrere E/A-Module gleichzeitig fehlersicher abgeschaltet werden.

In einem besonders bevorzugten Ausführungsbeispiel sind die blockweise adressierbaren E/A-Module nebeneinander gruppiert.

Im gezeigten Ausführungsbeispiel beginnt jede dieser Gruppen mit einem fehlersicheren E/A-Modul mit einer Betriebsspannungs- einspeisung.