Die Erfindung betrifft ein Verfahren zum Konfigurieren eines fehlersicheren Mo- duls, nachfolgend abgekürzt auch FS-Modul genannt, das über einen Subbus an einen Feldbuskoppler einer industriellen Automatisierungsanlage angeschlossen ist, zur Übertragung von sicherheitsrelevanten Daten des FS-Moduls über einen Feldbus. Die Erfindung betrifft weiterhin einen Feldbuskoppler und ein System aus einem Feldbuskoppler und einem FS-Modul, der bzw. das zur Durchführung des Verfahrens geeignet ist.

In industriellen Automatisierungsanlagen werden Feldbusse zur Übertragung von Steuerdaten und/oder Messwerten zwischen einem oder mehreren zentralen Steuerungsrechnern, auch Leitrechner oder speicherprogrammierbare Steuerung (SPS) genannt, und Feldgeräten eingesetzt. Die Feldgeräte können beispielsweise Sensoren und/oder Aktoren sein, die der industriellen Automatisierungsanlage zugeordnet sind. Häufig wird dabei nicht jedes einzelne Feldgerät unmittelbar an den Feldbus angekoppelt, sondern über einen eingangs genannten Feldbuskoppler, der eine Schnittstelle zwischen dem Feldbus einer- seits und einem häufig proprietären Subbus andererseits bildet, wobei eine Mehrzahl von busfähigen Modulen an diesen Subbus angekoppelt werden kann.

Die Module sind in einer Vielzahl verschiedener Ausgestaltungen bekannt, bei- spielsweise können die Module digitale und/oder analoge Ein- und/oder Ausgabekanäle bereitstellen, als Signalwandler oder Relaisbausteine, Zählerbausteine oder Interface-Module zu anderen Bussen ausgebildet sein. Zusammenfassend wird das System aus Feldbuskoppler und angeschlossenen Modulen auch als modulare, dezentrale Ein- und Ausgabestation oder auch kurz als „Remote I/O" bezeichnet.

Zur Verarbeitung von sicherheitsrelevanten Daten sind in industriellen Automatisierungsanlagen besondere Sicherheitsvorkehrungen gefordert, die von den üblicherweise auf dem Feldbus und/oder dem Subbus verwendeten Protokollen nicht gewährleistet werden können. Um eine gesicherte Datenübertragung zu erzielen, die beispielsweise ein ausreichend hohes Redundanzniveau der Daten aufweist und die Überwachungsmechanismen zur Erkennung fehlender und/oder fehlerhafter Daten vorsieht, sind spezielle Protokolle für sicherheitsrelevante Daten entwickelt worden. Derartige Protokolle für eine funktional siche- re Übertragung werden auch als fehlersichere Protokolle oder Sicherheitspro- tokolle bezeichnet. Beispielhaft sind hier die Protokolle„PROFIsafe" oder„Fail Safe over EtherCAT (FSoE)" oder„OpenSAFETY" genannt.

Da Sicherheitsprotokolle daten- und verarbeitungsintensiv sind, wird üblicher- weise nicht die gesamte Feldbuskommunikation mit diesen Protokollen abgewickelt. Stattdessen werden die sicherheitsrelevanten Daten gemäß eines Sicherheitsprotokolls in Datenpakete (Container) umgesetzt, die dann mithilfe des „normalen Feldbusprotokolls" transportiert werden. Dabei sorgen beispielsweise Prüfsummen des Sicherheitsprotokolls dafür, dass eine versehentlich Ver- fälschung der Container während des Transports über den Feldbus oder den Subbus ausgeschlossen ist bzw. nicht unerkannt bleibt.

Um eine einwandfreie Übertragung der sicherheitsrelevanten Daten zu ermöglichen, ist bei der Einrichtung und Konfiguration einer industriellen Automatisie- rungsanlage dafür Sorge zu tragen, dass alle sicherheitsrelevanten Komponenten, also die FS-Module ebenso wie die die sicherheitsrelevanten Daten auswertenden Steuerungsrechner, z.B. eine speicherprogrammierbare Steuerung (SPS), ein einheitliches Sicherheitsprotokoll verwenden, das zudem von dem verwendeten Feldbusprotokoll unterstützt werden muss und in diesem Sinne kompatibel zu dem verwendeten Feldbusprotokoll sein muss.

Es ist eine Aufgabe der vorliegenden Erfindung, möglichst einfach und umfassend eine Anordnung nicht kompatibler sicherheitsrelevanter Komponenten zu verhindern und so die Funktionssicherheit der industriellen Automatisierungs- anläge zu steigern. Es ist eine weitere Aufgabe, einen Feldbuskoppler bzw. ein System aus Feldbuskoppler und angeschlossenen FS-Modulen zu schaffen, der bzw. das zu einer erhöhten Sicherheit der industriellen Automatisierungsanlage beiträgt. Diese Aufgabe wird gelöst durch ein Verfahren, einen Feldbuskoppler sowie ein System aus Feldbuskoppler und mindestens einem angeschlossenen FS- Modul mit den jeweiligen Merkmalen der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen sind Gegenstand der abhängigen Ansprüche.

Ein erfindungsgemäßes Verfahren zum Konfigurieren eines FS-Moduls der eingangs genannten Art weist die folgenden Schritte auf: Es wird durch den Feldbuskoppler ein Typ eines Sicherheitsprotokolls ermittelt, das mit dem Feldbus kompatibel ist. Anschließend werden Konfigurationsanweisungen von dem Feld- buskoppler an das mindestens eine FS-Modul übertragen, um bei dem FS-Modul die Nutzung des ermittelten Typs des Sicherheitsprotokolls einzustellen.

Der Feldbuskoppler setzt das Feldbusprotokoll in das auf dem Subbus benutzte Protokoll um bzw. verpackt es in protokollkonforme Container wenn - wie bei Sicherheitsprotokollen - sichergestellt werden muss, dass der Inhalt nicht kompromittiert wird. Der Feldbuskoppler stellt somit das Bindeglied zwischen dem Feldbus und den FS-Modulen dar. Die Ermittlung des benutzten Sicherheitsprotokolls durch den Feldbuskoppler und die nachfolgende Konfiguration angeschlossener FS-Module hat den Vorteil, dass nicht jedes FS-Modul selbst eine solche Auswertung vornehmen muss bzw. auch gar nicht zwingend dafür eingerichtet sein muss, eine solche Auswertung vornehmen zu können.

Erfindungsgemäß wird so eine automatische Konfiguration des mindestens ei- nen FS-Moduls zur Nutzung des korrekten Sicherheitsprotokolls erzielt. Auf diese Weise wird automatisiert und damit weniger fehlerträchtig die korrekte Konfiguration des Sicherheitsprotokolls am FS-Modul sichergestellt.

Im Rahmen der Anmeldung kann dabei der Feldbuskoppler eine eigenständige Komponente sein, die über den Feldbus mit einem Steuerungsrechner oder einem Sicherheitssteuerungsrechner verbunden ist. Der Feldbuskoppler kann jedoch auch in den Steuerungsrechner oder den Sicherheitssteuerungsrechner integriert sein, wie dieses beispielsweise bei Kompakt-Steuerungen der Fall ist. Kompakt-Steuerungen stellen unmittelbar einen Subbus bereit, an den Ein- bzw. Ausgabemodule und Sicherheitsmodule anschließbar sind. Intern erfolgt dabei zumindest auf physikalischer Ebene, in der Regel auch auf logischer Ebene eine Umsetzung des Feldbusprotokolls in das Subbusprotokoll durch den integrierten Feldbuskoppler. In einer vorteilhaften Ausgestaltung des Verfahrens wird der Typ des Sicherheitsprotokolls anhand einer Auswertung einer über den Feldbus und den Subbus an das fehlersichere Modul gesendeten Nachricht ermittelt. Hierbei wird ausgenutzt, dass nach einem Systemstart üblicherweise Nachrichten z.B. von dem Steuerungsrechner oder dem Sicherheitssteuerungsrechner an eventuell vorhandene FS-Module gesendet werden, um diese zu erfassen oder zu konfigurieren. Diese Nachrichten können von dem Feldbuskoppler ausgewertet werden, um den Typ des verwendeten Sicherheitsprotokolls zu ermitteln. Bevorzugt können dabei zur Auswertung Prüfsummen zu der Nachricht auf verschiedene vorgegebene Arten, die charakteristisch für den Typ eines Sicherheitsprotokolls sind, gebildet werden. Anhand eines Vergleichs mit einer in der Nachricht enthaltenen Prüfsumme kann dann der Typ des Sicherheitspro- tokolls bestimmt werden. Diese macht sich zunutze, dass sich die verschiedenen bekannten Arten von Sicherheitsprotokollen unterschiedlicher Algorithmen zur Festlegung der Prüfsumme bedienen. Durch Ausprobieren („trial-and-error" - Verfahren) kann die verwendete Art der Prüfsummenbildung ermittelt werden und daraus auf das verwendete Sicherheitsprotokoll geschlossen werden.

In einer weiteren vorteilhaften Ausgestaltung des Verfahrens wird zunächst der Typ des an den Feldbuskoppler angeschlossenen oder anzuschließenden Feldbusses von dem Feldbuskoppler ermittelt. Aus dieser Information wird dann der Typ des Sicherheitsprotokolls bestimmt. Bestimmte verwendete Typen von Feld- bussen gehen in der Regel oder in einigen Fällen auch zwingend mit bestimmten zu verwendenden Sicherheitsprotokollen einher. Nachdem der Feldbuskoppler den Typ des zu verwendenen Sicherheitsprotokoll erkannt hat, werden bevorzugt Konfigurationsanweisungen von dem Feldbuskoppler über den Subbus an das mindestens eine fehlersichere Modul übertragen, um bei dem fehlersicheren Mo- dul die Nutzung des ermittelten Typs des Sicherheitsprotokolls einzustellen. Der Feldbuskoppler, der bereits an einem Feldbus angeschlossen ist oder zum An- schluss an einen Feldbus ausgelegt ist, ist aufgrund seiner Anordnung zwischen dem Feldbus und dem FS-Modul besonders geeignet, sowohl den Typ des angeschlossenen oder anzuschließenden Feldbusses zu ermitteln und entsprechend das geeignete Sicherheitsprotokoll auszuwählen, als auch über den Subbus das FS-Modul zu konfigurieren.

In einer weiteren vorteilhaften Ausgestaltung des Verfahrens wird das genannte Konfigurationsverfahren für mehrere, bevorzugt alle am Subbus angeschlosse- nen fehlersicheren Module durchgeführt, wenn mehr als ein FS-Modul angeschlossen ist.

In einer weiteren vorteilhaften Ausgestaltung des Verfahrens wird festgestellt, ob eines der fehlersicheren Module prinzipiell nicht zur Verwendung mit dem geforderten Sicherheitsprotokoll geeignet ist. Entweder kann beispielsweise ein FS-Modul nur zur Verwendung mit einem bestimmten, nicht passenden Sicherheitsprotokoll geeignet sein und nicht rekonfigurierbar sein. Auch ist denkbar, dass ein FS-Modul zwar grundsätzlich rekonfigurierbar ist und mit verschiedenen Sicherheitsprotokollen betrieben werden kann, jedoch nicht mit dem ge- wünschten. Wird ein derartiges nicht kompatibles FS-Modul identifiziert, kann beispielsweise das Konfigurationsverfahren abgebrochen werden und ein Warnsignal unmittelbar an den Feldbuskoppler ausgegeben werden oder es kann eine Warnmeldung vom Feldbuskoppler über den Feldbus an den Steuerungsrechner, einen speziellen Sicherheitssteuerungsrechner oder ein Überwachungssystem der industriellen Automatisierungsanlage ausgegeben werden.

Ein erfindungsgemäßer Feldbuskoppler der eingangs genannten Art bzw. ein System aus einem solchen Feldbuskoppler und mindestens einem angeschlossenen fehlersicheren Modul ist zur Durchführung des zuvor beschriebenen Verfahrens eingerichtet. Es ergeben sich die im Zusammenhang mit dem Verfahren genannten Vorteile.

Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen mithilfe von Figuren näher erläutert. Die Figuren zeigen:

Fig. 1 ein Blockschaltbild einer industriellen Automatisierungsanlage mit einem Feldbuskoppler und fehlersicheren Modulen; und

Fig. 2 ein Flussdiagramm eines Verfahrens zur Konfiguration eines an einem Feldbuskoppler angeschlossenen fehlersicheren-Moduls.

Fig. 1 zeigt in einer schematischen Darstellung einen möglichen Aufbau einer industriellen Automatisierungsanlage zur Steuerung einer hier nicht dargestellten Industrieanlage.

Die Automatisierungsanlage weist einen Steuerungsrechner 1 auf, der über einen Feldbus 3 mit einer entfernten Ein- und Ausgabestation 10 („Remote I/O") verbunden ist. Der Feldbus 3 kann dabei gemäß einem bekannten Standard wie beispielsweise„PROFIBUS",„PROFINET", Modbus oder„EtherCAT" ausgebildet sein und ein entsprechendes Feldbusprotokoll 4 verwenden. Das Feldbusprotokoll 4 ist beispielhaft unterhalb in der Fig. 1 des Feldbusses 3 durch ausgetauschte Daten symbolisiert.

Die Ein- und Ausgabestation 10 umfasst einen Feldbuskoppler 1 1 , der an den Feldbus 3 angeschlossen ist. Der Feldbuskoppler 1 1 setzt über den Feldbus 3 ausgetauschte Daten auf einen bevorzugt seriellen Subbus 12 um, über den verschiedene Module an den Feldbuskoppler 1 1 angekoppelt sind. Neben dem Subbus 1 2, der in diesem Ausführungsbeispiel nur einer Übertragung von Daten dient, kann bei der Ein-und Ausgabestation 1 0 ein weiterer, hier nicht gezeigter Bus zur Stromversorgung der Module und/oder des Feld- buskopplers 1 1 vorhanden sein. Zur Einspeisung von Versorgungsstrom sind zusätzlich Stromversorgungsmodule vorgesehen, die an einem Ende der dargestellten Anordnung der Module oder zwischen den Modulen mit dem Feldbuskoppler und den Modulen angeordnet sein können.

Unter den Modulen der Ein- und Ausgabestation 1 0 sind beispielhaft zwei Ein- und Ausgabemodule 13 dargestellt, über deren Anschlüsse Mess- und Steuersignale als Ein- bzw. Ausgabesignale 14 mit der zu steuernden Anlage ausgetauscht werden.

Weiterhin sind beispielhaft zwei Module 15, nachfolgend auch abgekürzt FS- Module 1 5 genannt, vorhanden, die sicherheitsrelevante Signale 1 6 entgegennehmen oder ausgeben.

Die Ein- und Ausgabemodule 1 3 werden vom Feldbuskoppler 1 1 über den Subbus 12 angesprochen. Eingabewerte, die die Ein- und Ausgabemodule 1 3 aus eingehenden der Ein- bzw. Ausgabesignale 14 bestimmen, werden vom Feldbuskoppler 1 1 in Datenpakete gemäß dem Feldbusprotokoll 4 umgesetzt und an den Steuerungsrechner 1 gesendet. Umgekehrt werden vom Steuerungsrechner 1 empfangene Ausgabe- oder Konfigurationswerte für die Ein- und Ausgabemodule 13 vom Feldbuskoppler 1 1 entgegengenommen und über den Subbus 1 2 an das Ein- und Ausgabemodul 1 3 weitergeleitet.

In ähnlicher weise werden die sicherheitsbezogenen Signale 1 6, wenn es sich um eingehende Signale beispielsweise von Lichtschranken oder Lichtgattern, von Türkontakten oder Notausknöpfen oder ähnlichen handelt, von dem ent- sprechenden FS-Modul 1 5 umgesetzt und in einen Datencontainer gemäß einem Sicherheitsprotokoll 5 verpackt. Dieser Datencontainer wird vom FS-Modul 1 5 über den Subbus 1 2 zum Feldbuskoppler 1 1 gesendet, wo er ohne Manipulation in Pakete gemäß dem Feldbusprotokoll 4 eingepackt und über den Feldbus 3 versendet wird. Die sicherheitsrelevanten Daten gemäß dem Sicher- heitsprotokoll 5 können in dem Steuerungsrechner 1 ausgewertet werden. Alternativ kann, wie im vorliegenden Fall, eine Sicherheits- Steuerung 2 vorgesehen sein, die ein eigenständiges Steuerungssystem für sicherheitsrelevante Belange darstellt. Der Sicherheits- und Steuerungsrechner 2 ist ebenfalls an den Feldbus 3 angebunden und steht im Datenaustausch mit dem Steuerungsrechner 1 .

Das Sicherheitsprotokoll 5 berücksichtigt sicherheitsrelevante Belange und ist zur Gewährleistung einer sicheren Datenübertragung beispielsweise mit Verschlüsselungsmechanismen und mit redundanter Übertragung versehen. Zusätzlich sind Überwachungsmechanismen vorgesehen, über die ein fehlender oder fehlerhafter Datenaustausch festgestellt werden kann. Das Sicherheitsprotokoll 5 kann beispielsweise ein bekanntes Protokoll wie beispielsweise PRO- Flsafe oder OpenSAFETY sein.

Die soeben dargestellte Funktionsweise des industriellen Automatisierungssystems einschließlich der FS-Module 1 5 setzt voraus, dass die FS-Module 1 5 in der Lage sind, das geeignete Sicherheitsprotokoll 5 zu verwenden und korrekt für den Einsatz dieses Sicherheitsprotokolls 5 konfiguriert sind.

Anmeldungsgemäß wird dieses durch eine automatische Konfiguration der FS- Module 1 5 erzielt. Ein dafür geeignetes Verfahren zum Konfigurieren von FS- Modulen 1 5 einer Ein- und Ausgabestation 1 0 wird nachfolgend anhand des Flussdiagramms der Fig. 2 erläutert. Das Verfahren kann beispielsweise von dem in Fig. 1 dargestellten industriellen Automatisierungssystem ausgeführt werden. Es wird nachfolgend beispielhaft mit Verweis auf die Merkmale und Bezugszeichen der Fig. 1 erläutert. Das dargestellte Konfigurationsverfahren wird von dem System aus Feldbuskoppler 1 1 und FS-Modulen 1 5 beispielsweise durchgeführt, sobald sich in der Zusammenstellung der mit dem Feldbuskoppler 1 1 verbundenen Module 1 3, 1 5 Änderungen ergeben. Das Verfahren kann auch bei jedem Neustart des Feldbuskopplers 1 1 , zum Beispiel nach Anlegen einer Versorgungsspannung, erfolgen. Bei Ein- und Ausgabestationen 1 0, deren Zusammenstellung im Betrieb geändert werden kann, kann jede Änderung der Zusammenstellung zu dem Durchführen des Konfigurationsverfahrens führen. Eine Änderung der Zusammenstellung kann dabei beispielsweise durch ein regelmäßiges Abfragen angeschlossener Module („Polling") erfolgen.

Nach dem Start des Verfahrens wird in einem ersten Schritt S1 von dem Feldbuskoppler 1 1 das zu verwendende Feldbusprotokoll 4 ermittelt. Für den Fall, dass der Feldbuskoppler 1 1 nur zur Verwendung mit einem Feldbusprotokoll 4 geeignet ist, liegt das zu verwendende Feldbusprotokoll 4 inhärent fest. Falls der Feldbuskoppler 1 1 zur Verwendung mit unterschiedlichen Feldbusprotokollen geeignet ist, kann die Information über das zu verwendende Feldbusprotokoll 4 aus Konfigurationsdaten des Feldbuskopplers 1 1 entnommen werden. In einem nächsten Schritt S2 ermittelt der Feldbuskoppler 1 1 anhand der Informationen über das zu verwendende Feldbusprotokoll 4 den Typ des gewünschten Sicherheitsprotokolls 5. Hierfür stehen gegebenenfalls wiederum verschiedene Möglichkeiten zur Verfügung. Bei bestimmten Feldbusprotokollen ist ein einziger, spezieller Typ des Sicherheitsprotokolls 5 erforderlich. In die- sem Fall ergibt sich der Typ des gewünschten Sicherheitsprotokolls 5 unmittelbar aus dem verwendeten Feldbusprotokoll 4. In Fällen, bei denen prinzipiell unterschiedliche Sicherheitsprotokolle 5 mit dem verwendeten Feldbustyp einsetzbar sind, ist das gewünschte Sicherheitsprotokolls 5 üblicherweise in Konfigurationsdaten des Feldbuskopplers 1 1 hinterlegt oder wird automatisch de- tektiert.

In alternativen Ausgestaltungen des Verfahrens kann vorgesehen sein, den Typ des gewünschten Sicherheitsprotokolls 5 aus einer (ersten) Nachricht, die von dem Steuerungsrechner 1 oder dem Sicherheitssteuerungsrechener 2 an das FS-Modul 1 5 gesendet wird, zu ermitteln. Beispielsweise werden häufig nach einem Systemstart Nachrichten von dem Steuerungsrechner 1 oder einem Sicherheitssteuerungsrechner 2 an eventuell vorhandene FS-Module 1 5 gesendet, beispielsweise als sogenannte„broadcasf'-Nachricht, die alle vorhandenen FS-Module 1 5 erreicht, um diese zu erfasssen oder zu konfigurieren. Diese Nachricht kann - entweder vom FS-Modul 15 selbst oder von dem Feldbuskoppler 1 1 - ausgewertet werden, um den Typ des verwendeten Sicherheitsprotokolls zu ermitteln.

Zur Auswertung können z.B. Prüfsummen zu der Nachricht auf verschiedene vorgegebene Arten, die charakteristisch für den Typ eines Sicherheitsprotokolls sind, gebildet werden. Anhand eines Vergleichs mit einer in der Nachricht enthaltenen Prüfsumme kann dann der Typ des von dem Steuerungsrechner 1 oder dem Sicherheitssteuerungsrechner 2 bereits benutzten Sicherheitsprotokolls 6 bestimmt werden. Die verschiedenen bekannten Arten von Sicherheits- Protokollen verwenden in der Regel unterschiedliche Algorithmen zur Festlegung der Prüfsumme. Durch Ausprobieren (,,thal-and-error"-Verfahren) wird dann die verwendete Art der Prüfsummenbildung ermittelt und daraus auf das verwendete Sicherheitsprotokoll geschlossen. Nachfolgend durchläuft das Verfahren eine Schleifenstruktur zwischen den Schritten S3 und S7. Im Rahmen dieser Schleife werden sukzessive alle angeschlossenen Module 13, 1 5 angesprochen und im Rahmen der in der Schleife ausgeführten Schritte S4 bis S6 abgehandelt. Es versteht sich, dass in alterna- tiven Ausgestaltungen des Verfahrens vorgesehen sein kann, dass das Verfahren nicht alle angeschlossenen Module berücksichtigt, sondern gezielt einzelne oder eine Gruppe bestimmter Module betrifft.

In einem ersten Durchlauf der Schritte S4 bis S6 wird dann zunächst im Schritt S4 für das erste Modul ermittelt, ob es sich um ein rekonfigurierbares FS-Modul handelt. Falls es sich nicht um ein rekonfigurierbares FS-Modul handelt, werden die Schritte S5 und S6 übersprungen und die Schleifenstruktur zwischen den Schritten S3 und S7 wird mit dem nächsten Modul, das am Subbus 1 2 angeschlossen ist, durchlaufen.

Wird in dem Schritt S4 festgestellt, dass das aktuell behandelte Modul ein rekonfigurierbares FS-Modul ist, beispielsweise eines der FS-Module 1 5 gemäß Fig. 1 , wird in dem Schritt S5 abgefragt, ob das Modul aktuell zur Verwendung des gewünschten Sicherheitsprotokolls 5 eingerichtet ist. Falls es bereits ent- sprechend eingerichtet ist, wird wiederum der Schritt S6 übersprungen und die Schleifenstruktur der Schritte S4-S6 für das nächste Modul ausgeführt.

Falls im Schritt S5 festgestellt wurde, dass das aktuell betrachtete FS-Modul 1 5 nicht zur Verwendung des gewünschten Sicherheitsprotokolls 5 eingerichtet ist, wird das Verfahren mit dem Schritt S6 fortgeführt, in dem vom Feldbuskoppler 1 1 über den Subbus 1 2 eine Konfigurationsanweisung an das FS-Modul 1 5 gesendet wird, um das FS-Modul 1 5 zur Verwendung mit dem gewünschten Sicherheitsprotokoll 5 einzurichten. Die von den Schritten S3 und S7 gesteuerte Schleife der Schritte S4 bis S6 wird so für alle Module abgearbeitet.

In einem nachfolgenden Schritt S8 wird gegebenenfalls anschließend der Subbus 12 neu gestartet, das heißt es werden beispielsweise Adressierungsrouti- nen und/oder Routinen zum Einlesen der aktuellen Konfigurationen der angeschlossenen Module 13, 1 5 in einen Konfigurationsspeicher des Feldbuskopp- lers 1 1 ausgeführt. Dieser Schritt ist jedoch nur erforderlich, wenn der entsprechende Konfigurationsspeicher des Feldbuskopplers 1 1 nicht bereits parallel zum Konfigurationsschritt S6 entsprechend aktualisiert wird. Nach dem Schritt S8 endet das anmeldungsgemäße automatische Konfigurationsverfahren für die FS-Module 15 am Subbus 12.

In alternativen Ausgestaltungen des Verfahrens kann zusätzlich zu der automa- tischen Konfiguration der FS-Module 15 vorgesehen sein, nicht korrekt konfigurierbare FS-Module zu erkennen. Beispielsweise kann innerhalb der Schritte S4 bis S6 ebenfalls abgefragt werden, ob eines der FS-Module 15 nicht für das gewünschte Sicherheitsprotokoll eingerichtet werden kann, beispielsweise weil es das gewünschte Sicherheitsprotokoll nicht unterstützt. Auch ist denkbar, dass eines der FS-Module prinzipiell nur ein bestimmtes Sicherheitsprotokoll unterstützt, dass aber gerade nicht mit dem gewünschten übereinstimmt.

Eine aufgefundene und nicht durch ein Rekonfigurieren behebbare Inkompatibilität kann entweder am Feldbuskoppler 1 1 signalisiert werden oder aber vom Feldbuskoppler 1 1 an den Steuerungsrechner 1 bzw. den Sicherheitssteue- rungsrechner 2 als eine Warnmeldung übermittelt werden.

Bezugszeichen Steuerungsrechner

Sicherheitssteuerungsrechner

Feldbus

Feldbusprotokoll

Sicherheitsprotokoll Ein- und Ausgabestation

Feldbuskoppler

Feldbus

Ein- und Ausgabemodul

Ein- bzw. Ausgabesignal

fehlersicheres Modul (FS-Modul)

sicherheitsrelevantes Signal