GEBIET

Die vorliegende Offenbarung bezieht sich auf ein Verfahren zur Quittierung einer Fehlermeldung einer Vorrichtung, welche eine Anlage steuert und bei Auftreten eines Fehlers von einem Betriebszustand in einen sicheren Zustand wechselt, in dem auch bei einem Fortbestehen des Fehlers der sichere Betrieb der Anlage nicht gefährdet wird.

HINTERGRUND

In der Automatisierung werden Vorrichtungen eingesetzt, die sicherheitskritische Anlagen steuern oder überwachen, wodurch von Fehlern (die im Betrieb der Vorrichtung auftreten) eine nicht unerhebliche Gefahr ausgehen kann. Besagte Vorrichtungen können daher über besondere Sicherheitsmechanismen verfügen, die bspw. dafür sorgen, dass die Vorrichtung Fehler, die während des Betriebs der Vorrichtung auftreten, erkennt und bei Auftreten eines Fehlers von einem Betriebszustand in einen sicheren Zustand wechselt, in dem von dem Fehler keine oder zumindest nur eine verringerte Gefahr ausgeht (bspw. indem Zustände, in denen sich der Fehler auf die Anlage auswirken kann, umgangen werden). Tritt der Fehler nicht mehr länger auf, kann die Vorrichtung dann wieder in den Betriebszustand wechseln. Dieses Zurückwechseln in den Betriebszustand kann automatisch erfolgen oder zur Erhöhung der Sicherheit erst nach einer Quittierung einer Fehlermeldung erfolgen, wodurch einem Benutzer ermöglicht wird, zu überprüfen, ob eine sichere Rückkehr in den Betriebszustand möglich ist und ggf. weitere Maßnahmen zu ergreifen.

ZUSAMMENFASSUNG

Ein erfindungsgemäßes Verfahren zur Quittierung einer Fehlermeldung einer Vorrichtung, welche bei Auftreten eines Fehlers von einem Betriebszustand in einen sicheren Zustand wechselt, umfasst ein Empfangen einer Quittierungsaufforderung der Vorrichtung über eine Funkschnittstelle eines ersten Geräts, ein Ableiten von Daten, welche die Vorrichtung identifizieren, aus der Quittierungsaufforderung durch das erste Gerät und ein Senden einer ersten Quittierungsnachricht von dem ersten Gerät an die Vorrichtung über die Funkschnittstelle. In diesem Zusammenhang ist unter dem Begriff „Quittierung“, wie er im Rahmen der vorliegenden Beschreibung und der Ansprüche verwendet wird, insbesondere das Verarbeiten einer Quittierungsnachricht zu verstehen, welches bewirkt, dass die Vorrichtung in den Betriebszustand zurückkehren kann. Ferner ist unter dem Begriff „Fehlermeldung“, wie er im Rahmen der vorliegenden Beschreibung und der Ansprüche verwendet wird, insbesondere eine Nachricht zu verstehen, aus der sich ergibt, dass die Vorrichtung einen Fehler erfasst hat und ggf. Informationen über den Fehler.

Die Nachricht kann von der Vorrichtung zyklisch oder azyklisch gesendet werden und so lange wiederholt werden oder ihre Gültigkeit behalten, bis der Fehler behoben ist. Der Fehler kann bspw. als behoben gelten, wenn er von der Vorrichtung nicht mehr erfasst wird. Dabei kann es gleichgültig sein, ob die Behebung des Fehlers auf einen Benutzereingriff oder eine Behebungsroutine der Vorrichtung oder auf beliebige andere Gründe zurückzuführen ist. Ist der Fehler behoben, kann die Vorrichtung die Quittierungsaufforderung senden. Die Vorrichtung kann ferner eingerichtet sein, trotz der Behebung des Fehlers bis zum Empfang einer validen Quittierungsnachricht in dem sicheren Zustand zu verbleiben.

Des Weiteren ist unter dem Begriff „Funkschnittstelle“, wie er im Rahmen der vorliegenden Beschreibung und der Ansprüche verwendet wird, insbesondere eine Kommunikationsschnittstelle zu verstehen, über die Daten per Funk empfangen und typischerweise auch gesendet werden können. Zudem sind unter der Formulierung „Daten, welche die Vorrichtung identifizieren“, wie sie im Rahmen der vorliegenden Beschreibung und der Ansprüche verwendet wird, insbesondere eine eindeutige Kennung (wie bspw. eine Adresse) zu verstehen, die der Vorrichtung zugeordnet ist.

Die Vorrichtung kann als Kopfstation oder als E/A-Modul eines modularen Feldbusknotens ausgebildet sein. Die Kopfstation bzw. das E/A-Modul kann insbesondere als sicherheitsgerichtete Kopfstation bzw. als sicherheitsgerichtetes E/A- Modul ausgebildet sein, welches besonders entwickelte und/oder getestete und/oder redundante Komponenten aufweist.

In diesem Zusammenhang ist unter dem Begriff „Modul“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere eine Vorrichtung zu verstehen, die zur Erweiterung der Fähigkeiten einer anderen Vorrichtung mit dieser verbunden werden kann, wobei die andere Vorrichtung eingerichtet sein kann, um mehrere Module erweitert zu werden. Ein E/A-Modul kann dazu ein Gehäuse aufweisen, welches zum Anreihen des E/A-Moduls an ein weiteres E/A-Modul oder an die Kopfstation ausgebildet ist. Dabei ist unter dem Begriff „Gehäuse“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere eine aus einem festen Isolierstoff gebildete Struktur zu verstehen, in die leitende Strukturen eingebettet sind, wobei das Gehäuse typischerweise so ausgebildet ist, dass ein versehentliches Berühren stromführender Leiter verhindert wird. Ferner ist unter dem Begriff „Anreihen“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere das Herstellen einer reib- oder formschlüssigen Verbindung zwischen Gehäusen zu verstehen, durch die mehrere Module miteinander seriell verbunden werden können.

Ferner ist unter dem Begriff „E/A-Modul“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein an eine Kopfstation anreihbares bzw. im Betrieb angereihtes Gerät zu verstehen, das eines oder mehrere Feldgeräte mit der Kopfstation und ggf. (über die Kopfstation) mit einer übergeordneten Steuerung verbindet. Dabei ist unter dem Begriff „Kopfstation“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, eine Komponente eines modularen Feldbusknotens zu verstehen, deren Aufgabe es ist, die Daten und/oder Dienste der an der Kopfstation angereihten E/A-Module über den Feldbus, an dem die Kopfstation angeschlossen ist, verfügbar zu machen.

Die Kopfstation und das E/A-Modul können eingerichtet sein, Daten mittels elektrischer Signale über eine leitungsgebundene Übertragungsstrecke (insbesondere einen Lokalbus) auszutauschen. Dabei ist unter dem Begriff „Lokalbus“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein Bus zu verstehen, über den (nur) die an die Kopfstation angereihten E/A-Module miteinander bzw. mit der Kopfstation (unmittelbar) verbunden sind. Das E/A-Modul kann dazu eine leitungsgebundene Schnittstelle aufweisen, die zum Austausch von Daten mit dem weiteren E/A-Modul oder der Kopfstation eingerichtet ist. In diesem Zusammenhang ist unter dem Begriff „leitungsgebundene Schnittstelle“, wie er im Rahmen der vorliegenden Beschreibung und der Ansprüche verwendet wird, insbesondere eine Busschnittstelle zu verstehen, die zum Anschluss an den Lokalbus eingerichtet ist.

Das E/A-Modul kann mehrere Eingänge und/oder Ausgänge aufweisen, die zum Einlesen von Zustandssignalen und/oder zum Ausgeben von Steuersignalen (Steuerspannungen und/oder Steuerströmen) eingerichtet sind. Das E/A-Modul kann hinsichtlich einer Ableitung der Daten aus den Zustandssignalen bzw. einer Ableitung der Steuersignale aus den Daten (durch einen mit dem E/A-Modul verbundenen Rechner) konfigurierbar sein. Das E/A-Modul kann ferner einen Speicher aufweisen, in dem Daten abgelegt werden können, aus denen sich die Konfiguration des E/A-Moduls ableiten lässt. Aus der Konfiguration kann sich bspw. ergeben, wie Prozessabbilder zu erzeugen (bspw. wie aus an den Eingängen des E/A-Moduls eingelesenen Signalen Daten abzuleiten und wie besagte Daten über den Lokalbus an die Kopfstation zu übertragen sind) und/oder wie aus Daten, die von der Kopfstation über den Lokalbus an das E/A- Modul übertragen werden, Steuersignale abzuleiten sind (die bspw. an den Ausgängen des E/A-Moduls ausgegeben werden). Die Fehlermeldung und/oder die Quittierungsaufforderung können Teil eines Prozessabbildes sein.

An den Eingängen und/oder an den Ausgängen können Feldgeräte angeschlossen sein, die Zustandssignale liefern bzw. Steuersignale verarbeiten. In diesem Zusammenhang ist unter dem Begriff „Feldgerät“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein mit dem E/A-Modul (signaltechnisch) verbundener (bspw. an dem E/A-Modul angeschlossener) Sensor oder Aktor zu verstehen. Ferner ist unter dem Begriff „Eingang“ bzw. unter dem Begriff „Ausgang“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein elektrischer Anschluss zu verstehen. Dabei kann vorgesehen sein, dass Spannungen und/oder Ströme an Eingängen eines E/A-Moduls von anderen Geräten erzeugt und Spannungen und/oder Ströme an Ausgängen eines E/A-Moduls vom E/A-Modul selbst erzeugt werden.

Des Weiteren ist unter dem Begriff „Rechner“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein elektronisches Gerät zu verstehen, welches einen Prozessor und einen nichtflüchtigen Speicher aufweist, wobei in dem Speicher Anweisungen gespeichert sind, bei deren Abarbeitung durch den Prozessor ein Programm ausgeführt wird, welches der Darstellung und/oder Verwaltung eines, das E/A-Modul umfassenden Feldbussystems dient. Dabei ist unter dem Begriff „Speicher“, wie er im Rahmen der vorliegenden Beschreibung verwendet wird, insbesondere ein elektronischer Speicher zu verstehen. Der Rechner kann insbesondere zur benutzerseitigen Parametrierung des E/A-Moduls eingerichtet sein. Die Parametrierung kann bspw. im Rahmen der Konfiguration (oder einer Rekonfiguration) des E/A-Moduls erfolgen. Bspw. kann ein Benutzer oder Inbetriebnehmer die Parameter unter Verwendung des Rechners festlegen und über die Kopfstation oder die Funkschnittstelle an das E/A-Modul übertragen.

Der Empfang der ersten Quittierungsnachricht kann die Vorrichtung dazu veranlassen, in den Betriebszustand zurückzukehren. Das Zurückkehren in den Betriebszustand kann bspw. ein Neustarten der Vorrichtung umfassen. Das Neustarten der Vorrichtung kann einer Abarbeitung einer Routine entsprechen, die auch abgearbeitet würde, wenn die Vorrichtung nach einer (ggf. kurzzeitigen) Unterbrechung der Energieversorgung neu gestartet wird.

Die Vorrichtung kann eine weitere Quittierungsaufforderung über eine leitungsgebundene Verbindung an ein zweites Gerät senden und in Reaktion auf den Empfang einer zweiten Quittierungsnachricht von dem zweiten Gerät aus dem sicheren Zustand in den Betriebszustand zurückkehren, wobei die Vorrichtung Quittierungsnachrichten, die empfangen werden, während sie sich im Betriebszustand befindet, ignoriert.

Bspw. kann die Vorrichtung die Quittierungsaufforderung über den Lokalbus an die Kopfstation und/oder über den Feldbus an die übergeordnete Steuerung senden. Die übergeordnete Steuerung kann dann die Fehlermeldung quittieren oder, wenn eine Inspektion notwendig oder sinnvoll erscheint, eine Quittierung über das erste Gerät verlangen.

Das Ableiten von Daten, welche die Vorrichtung identifizieren, kann ein Entschlüsseln der Quittierungsaufforderung umfassen.

Die erste Quittierungsnachricht kann unter Verwendung eines der Vorrichtung zugeordneten Schlüssels verschlüsselt sein.

Das erste Gerät kann als tragbares Gerät ausgebildet sein. Das tragbare Gerät kann bspw. als mobiler Rechner z. B. in der Form eines Mobiltelefons, Tablets oder Laptops ausgebildet sein.

Eine erfindungsgemäße Vorrichtung umfasst eine Funkschnittstelle und eine Schaltung, wobei die Schaltung eingerichtet ist, eine Anlage zu steuern, wobei die Vorrichtung eingerichtet ist, bei Auftreten eines Fehlers von einem Betriebszustand in einen sicheren Zustand zu wechseln, in dem trotz des Vorliegens des Fehlers der sichere Betrieb der Anlage nicht gefährdet wird, wobei die Schaltung ferner eingerichtet ist, bei Behebung des Fehlers eine Quittierungsaufforderung über die Funkschnittstelle zu senden und wobei die Vorrichtung ferner eingerichtet ist, in Reaktion auf den Empfang einer validen Quittierungsnachricht von dem sicheren Zustand in den Betriebszustand zurückzukehren. Dabei ist unter dem Begriff „Schaltung“, wie er im Rahmen der vorliegenden Beschreibung und Ansprüche verwendet wird, insbesondere eine Zusammenstellung elektrischer und elektronischer Bauteile zu einer funktionalen Einheit zu verstehen. Die Bauteile können bspw. auf einem Schaltungsträger angeordnet oder in einem Halbleiterchip ausgebildet sein. Ferner ist unter dem Begriff „valide Quittierungsnachricht“, wie er im Rahmen der vorliegenden Beschreibung und Ansprüche verwendet wird, insbesondere eine Quittierungsnachricht zu verstehen, die mit Informationen versehen ist, welche es erlauben, die Korrektheit der Quittierungsnachricht zu überprüfen. Bspw. kann die Quittierungsnachricht verschlüsselt sein und/oder über redundante Kanäle übertragen werden, so dass die Korrektheit der Quittierungsnachrichten mittels eines Vergleichs überprüft werden kann.

Die Vorrichtung kann ferner eine leitungsgebundene Schnittstelle umfassen, wobei die Schaltung ferner eingerichtet ist, bei Auftreten des Fehlers eine weitere Quittierungsaufforderung über die leitungsgebundene Schnittstelle zu senden und wobei die Vorrichtung ferner eingerichtet ist, in Reaktion auf den Empfang einer validen Quittierungsnachricht über die leitungsgebundene Schnittstelle von dem sicheren Zustand in den Betriebszustand zurückzukehren.

Die Schaltung kann ferner eingerichtet sein, invalide Quittierungsnachrichten und valide Quittierungsnachrichten, die empfangen werden, während sich die Vorrichtung im Betriebszustand befindet, zu ignorieren. Bspw. kann die Schaltung eingerichtet sein zu überprüfen, ob die Quittierungsnachricht von einem Sender empfangen wurde, der in zu einer bestimmten Sendergruppe gehört, und alle Quittierungsnachrichten von Sendern, die nicht zur Gruppe gehören, ignorieren. Zudem kann die Schaltung eingerichtet sein zu überprüfen, ob die Quittierungsnachricht unzulässige Änderungen aufweist, und alle Quittierungsnachrichten, die unzulässige Änderungen aufweisen, ignorieren.

Die Schaltung kann eingerichtet sein, Quittierungsnachrichten mit einem Schlüssel zu entschlüsseln und die Vorrichtung kann ferner eingerichtet sein, nur dann vom sicheren Zustand in den Betriebszustand zurückzukehren, wenn sich eine der Quittierungsnachrichten mit dem privaten Schlüssel entschlüsseln lässt.

Die entschlüsselte Quittierungsnachricht kann bspw. Daten hinsichtlich des Senders und eine Prüfsumme umfassen, mit der sich die Integrität der Quittierungsnachricht überprüfen lässt. Die Vorrichtung kann ferner eingerichtet sein, Kopien der Prozessabbilder über die Funkschnittstelle an das tragbare Gerät zu senden und/oder Steuerdaten von dem tragbaren Gerät zu empfangen. Dabei kann die gesamte Kommunikation zwischen der Vorrichtung und dem tragbaren Gerät verschlüsselt sein.

Ein erfindungsgemäßes tragbares Gerät umfasst eine Funkschnittstelle und eine Schaltung, wobei die Schaltung eingerichtet ist, über die Funkschnittstelle eine Quittierungsaufforderung von einer Vorrichtung zu empfangen, die Quittierungsaufforderung einem Benutzer des tragbaren Geräts anzuzeigen, in Reaktion auf eine Benutzeraufforderung eine Quittierungsnachricht mit einem der Vorrichtung zugeordneten Schlüssel zu verschlüsseln und die verschlüsselte Quittierungsnachricht über die Funkschnittstelle an die Vorrichtung zu senden.

Das tragbare Gerät kann ferner eingerichtet sein, die Quittierungsaufforderung zu entschlüsseln.

Dabei versteht es sich, dass grundsätzlich alle bei der Verwendung der Vorrichtung und des tragbaren Geräts ausgeführten Schritte Merkmale des korrespondierenden Verfahrens sein können und umgekehrt.

KURZBESCHREIBUNG DER ZEICHNUNGEN

Die Erfindung wird nachfolgend in der detaillierten Beschreibung anhand von Ausführungsbeispielen erläutert, wobei auf Zeichnungen Bezug genommen wird, in denen:

Fig. i eine schematische Illustration eines Feldbussystem zeigt;

Fig. 2 eine schematische Illustration eines Feldbusknotens des in Fig. i gezeigten Feldbussystems zeigt;

Fig. 3 die Konfiguration des in Fig. 2 gezeigten Feldbusknotens mittels eines mit dem Feldbusknoten verbundenen Rechners illustriert;

Fig. 4a den Empfang einer Quittierungsaufforderung durch ein tragbares Gerät illustriert;

Fig. 4b das Quittieren einer Fehlermeldung durch das tragbare Gerät illustriert; Fig. 5a den Empfang einer Quittierungsaufforderung durch ein stationäres Gerät illustriert;

Fig. 5b das Quittieren einer Fehlermeldung durch das stationäre Gerät illustriert; und

Fig. 6 ein Ablaufdiagramm eines Verfahrens zur Quittierung einer Fehlermeldung zeigt.

Dabei sind in den Zeichnungen gleiche oder funktional ähnliche Elemente durch gleiche Bezugszeichen gekennzeichnet.

DETAILLIERTE BESCHREIBUNG

Fig. 1 zeigt ein Blockdiagramm von Feldbussystem 1000. Feldbussystem 1000 umfasst Feldbusknoten 100, 200, 300 und 400, die über Feldbus 500 miteinander verbunden sind. Feldbusknoten 400 ist als übergeordnete Steuereinheit ausgebildet und kann sowohl zur Überwachung als auch zur Regelung einer Anlage (nicht gezeigt) dienen, die durch Feldbussystem 1000 gesteuert wird. Wenn übergeordnete Steuereinheit 400 eine Anlage überwacht, kann übergeordnete Steuereinheit 400 von einem oder mehreren von Feldbusknoten 100, 200 und 300 zyklisch oder azyklisch Zustandsdaten empfangen, die den Zustand der Anlage beschreiben und ein Alarmsignal erzeugen, wenn der Zustand der Anlage von einem gewünschten/erlaubten Zustand oder Zustandsbereich (substanziell) abweicht.

Wenn übergeordnete Steuereinheit 400 die Anlage (nicht nur überwacht, sondern auch) regelt, kann übergeordnete Steuereinheit 400 von einem oder mehreren von Feldbusknoten 100, 200 und 300 zyklisch oder azyklisch Zustandsdaten empfangen und unter Berücksichtigung der Zustandsdaten Steuerdaten ermitteln, die zu einem oder mehreren von Feldbusknoten 100, 200 und 300 übertragen werden.

Fig. 2 illustriert hierzu den modularen Feldbusknoten 100, bestehend aus Kopfstation 110 und zwei an Kopfstation 110 angereihten E/A-Modulen 120 und 130, an denen Sensor 140 und Aktor 150 angeschlossen sind. Während des Betriebs liest E/A-Modul 130 über Eingang 134 Sensorsignale ein und erzeugt aus den Sensorsignalen Zustandsdaten, die über Schnittstelle 132, Lokalbus 160 und Schnittstelle 112 an Kopfstation 110 übertragen werden. Kopfstation 110 kann neben (Feldbus-) Schnittstelle 114 einen Prozessor und einen Speicher aufweisen, in dem Informationen hinsichtlich einer Konfiguration von Kopfstation 110 gespeichert sind.

Die Informationen hinsichtlich der Konfiguration von Kopfstation 110 können bspw. angeben, welche oder wie viele E/A-Module an Kopfstation 110 angereiht sind und wie Kopfstation 110 mit den empfangenen Zustandsdaten umgehen soll. Kopfstation 110 kann die Zustandsdaten bspw. lokal verarbeiteten und/oder (ggf. in modifizierter Form) über Schnittstelle 114 und Feldbus 500 an übergeordnete Steuereinheit 400 weiterleiten. Übergeordnete Steuereinheit 400 (oder bei einer lokalen Verarbeitung Kopfstation 110) kann dann unter Berücksichtigung der Zustandsdaten Steuerdaten erzeugen.

Die durch übergeordnete Steuereinheit 400 erzeugten Steuerdaten können dann über Feldbus 160 an Kopfstation 110 übertragen werden. Die zu Kopfstation 110 übertragenen (bzw. die durch Kopfstation 110 erzeugten) Steuerdaten werden dann (ggf. in modifizierter Form) an E/A-Modul 120 weiterg el eitet/ übertragen. E/A-Modul 120 empfängt die Steuerdaten und gibt den Steuerdaten entsprechende Steuersignale an Ausgang 124, an dem Aktor 150 angeschlossen ist, aus. Die Kommunikation von Daten zwischen den Komponenten von Feldbussystem 1000 und die Abbildung der Sensorsignale auf Zustandsdaten und die Abbildung der Steuerdaten auf Steuersignale kann dabei durch eine Konfiguration von Feldbusknoten 100 an unterschiedliche Einsatzszenarien angepasst werden.

Fig. 3 zeigt dazu Feldbusknoten 100 und mit Feldbusknoten 100 verbundenen Rechner 600 (bspw. ein Desktop, ein Laptop, ein Tablet, etc.), der eingerichtet ist, E/A-Modul 120 und E/A-Modul 130 von Feldbusknoten 100 zu konfigurieren. Rechner 600 kann dabei sowohl alleinig oder überwiegend der Konfiguration dienen als auch (neben der Konfiguration) noch andere Aufgaben ausführen. Insbesondere kann Rechner 600 Teil der übergeordneten Steuereinheit 400 sein und neben der Konfiguration auch Überwachungs- und/oder Steueraufgaben wahrnehmen. Bspw. kann Rechner 600 die Anlage überwachen und eingerichtet sein, bei Vorliegen bestimmter Bedingungen von einem ersten Betriebsmodus in einen zweiten Betriebsmodus umzuschalten (und im Zuge der Umschaltung ggf. die Konfiguration zu ändern oder zu aktualisieren).

Fig. 4a zeigt Vorrichtung 2000, die bspw. als Feldbusknoten 100, Kopfstation 110, E/A- Modul 120, E/A-Modul 130, Sensor 140, Aktor 150 oder übergeordnete Steuereinheit 400 ausgebildet sein kann. Vorrichtung 2000 umfasst Funkschnittstelle 2100 und Schaltung 2200. Schaltung 2200 ist eingerichtet, Anlage 3000 zu steuern. Befindet sich Vorrichtung 2000 in einem Betriebszustand und erfasst einen Fehler, wechselt Vorrichtung 2000 von dem Betriebszustand in einen sicheren Zustand, in dem trotz des Vorliegens des Fehlers der sichere Betrieb der Anlage nicht gefährdet wird. Ist Vorrichtung 2000 bspw. als Kopfstation 110 ausgebildet und erfasst, dass Sensor 140 defekt ist, kann Kopfstation 110 anstatt des (möglicherweise falschen) Sensorsignals ein künstlich erzeugtes Sensorsignal bereitstellen oder der Anlage 3000 anzeigen, dass Sensor 140 defekt ist, so dass aus dem Fehler kein Schaden erwachsen kann.

Bei Auftreten des Fehlers gibt Schaltung 2200 eine Fehlermeldung aus. Ferner kann Schaltung 2200 Maßnahmen ergreifen, den Fehler zu beheben. Ist der Fehler behoben (entweder durch Maßnahmen der Vorrichtung, durch Benutzereingriff, oder weil die Fehlerursache vorübergehender Natur war), gibt Schaltung 2200 über Funkschnittstelle 2100 eine Quittierungsaufforderung 2300 aus. Bspw. kann Schaltung 2200 die Quittierungsaufforderung 2300 in Reaktion auf die Herstellung eines Kommunikationskanals mit dem tragbaren Gerät 4000 an das tragbare Gerät 4000 senden. Z. B. kann das tragbare Gerät 4000 einen Funkkanal zu Vorrichtung 2000 auf Basis eines Nahbereichsfunkstandards (wie bspw. standardisiert in IEEE 802.11, IEEE 802.15, etc.) aufbauen und sich im Rahmen des Verbindungsaufbaus identifizieren. Schaltung 2200 kann dann (nach erfolgtem Verbindungsaufbau und ggf. nach erfolgter Identifikation) die (ggf. signierte und/oder verschlüsselte) Quittierungsaufforderung 2300 an das tragbare Gerät 4000 senden.

Das tragbare Gerät 4000 umfasst, wie die Vorrichtung 2000, eine Funkschnittstelle 4100 und eine Schaltung 4200, die es dem tragbaren Gerät 4000 ermöglichen, die Quittierungsaufforderung 2300 zu empfangen und zu verarbeiten. Bspw. kann das tragbare Gerät 4000 eingerichtet sein, die Quittierungsaufforderung 2300 zu entschlüsseln (wenn die Quittierungsaufforderung 2300 verschlüsselt ist), die Signatur der Quittierungsaufforderung 2300 zu überprüfen (wenn die Quittierungsaufforderung 2300 eine Signatur umfasst), die Vorrichtung 2000 zu identifizieren (bspw. unter Verwendung der Signatur oder einer der Quittierungsaufforderung 2300 beigefügten Adresse der Vorrichtung 2000) und die Quittierungsaufforderung 2300 einem Benutzer des tragbaren Geräts 4000 anzeigen. Das Anzeigen der Quittierungsaufforderung 2300 kann bspw. das Anzeigen eines Fehlercodes und einer Identifikation der Vorrichtung 2000 umfassen. Das Anzeigen der Quittierungsaufforderung 2300 kann zudem eine Aufforderung zum Quittieren des Fehlers umfassen. Quittiert der Benutzer des tragbaren Geräts 4000 den Fehler (bspw. über eine Eingabe mittels einer berührungsempfindlichen Anzeige oder einer Taste des tragbaren Geräts 4000), erzeugt Schaltung 4200 Quittierungsnachricht 4300 und sendet Quittierungsnachricht 4300, wie in Fig. 4b illustriert, über Funkschnittstelle 4100 an Vorrichtung 2000. Um die Sicherheit beim Quittieren von Fehlermeldungen zu erhöhen, kann die Quittierungsnachricht 4300 verschlüsselt sein und/oder eine Signatur umfassen. Die Vorrichtung 2000 kann die empfangene Quittierungsnachricht 4300 entschlüsseln und den Absender der Quittierungsnachricht 4300 auf Basis der Signatur überprüfen. Ferner kann die Vorrichtung 2000 die Validität der empfangenen Quittierungsnachricht 4300 mittels einer Prüfsumme überprüfen. Ist die empfangene Quittierungsnachricht 4300 valide , kann die Vorrichtung 2000 in den Betriebszustand zurückkehren. Im Rahmen der Rückkehr in den Betriebszustand kann die Vorrichtung 2000 bspw. (sichere) Standardwerte durch berechnete Werte ersetzen.

Wie in Fig. 5a illustriert, kann Vorrichtung 2000 über eine leitungsgebundene Schnittstelle 2400 mit einem weiteren Gerät 5000 verbunden sein und bei Auftreten des Fehlers eine weitere Quittierungsaufforderung 2500 an das weitere Gerät 5000 senden. Empfängt die Vorrichtung 2000, wie in Fig. 5b illustriert, eine Quittierungsnachricht 5100 von dem weiteren Gerät 5000, kann die Vorrichtung 2000 aus dem sicheren Zustand in den Betriebszustand zurückkehren.

Fig. 6 zeigt ein Ablaufdiagramm des Vorgehens zur Quittierung der Fehlermeldung. Der Prozess beginnt bei Schritt 800 mit dem Empfangen der Quittierungsaufforderung 2300 der Vorrichtung 2000 über die Funkschnittstelle 4100 des tragbaren Geräts 4000. Bei Schritt 810 werden dann aus der Quittierungsaufforderung 2300 Daten abgeleitet, welche die Vorrichtung 2000 identifizieren. Bei Schritt 820 wird eine Quittierungsnachricht 4300 von dem tragbaren Gerät 4000 an die Vorrichtung 2000 gesendet, welche bewirkt, dass die Vorrichtung 2000 aus dem sicheren Zustand in den Betriebszustand zurückkehrt. BEZUGSZEICHENLISTE io Schaltung

12 Speicher

14 Speicher

16 Prozessor

100 Feldbusknoten

110 Kopfstation

112 Busschnittstelle

114 Feldbusschnittstelle

120 E/A-Modul

122 Busschnittstelle

124 Ausgang

130 E/A-Modul

132 Busschnittstelle

134 Eingang

140 Sensor

150 Aktor

160 Lokalbus

200 Feldbusknoten

300 Feldbusknoten

400 übergeordnete Steuereinheit

500 Feldbus

600 Rechner

700 Rechner

800 Schritt

810 Schritt

820 Schritt

1000 Feldbussystem

2000 Vorrichtung

2100 Funkschnittstelle

2200 Schaltung

2300 Quittierungsaufforderung

2400 leitungsgebundene Schnittstelle

2500 Quittierungsaufforderung 3000 Anlage

4000 tragbares Gerät

4100 Funkschnittstelle

4200 Schaltung

4300 Quittierungsnachricht

5000 Gerät

5100 Quittierungsnachricht