GEBIET

[0001] Die vorliegende Erfindung bezieht sich auf ein System und Verfahren zur Steuerung eines Prozesses.

HINTERGRUND

[0002] In sicherheitsgerichteten Systemen, wie bspw. Systemen gemäß Kategorie 4 nach DIN EN ISO 13849, sind Steuervorrichtungen bzw. deren Elemente oftmals redundant ausgeführt. Um den erforderlichen Diagnosedeckungsgrad zum Erkennen möglicher Fehler zu erreichen, muss zwischen den Steuervorrichtungen eine Kreuzkommunikation zum Datenabgleich erfolgen.

[0003] Der Austausch von Daten über die Kreuzkommunikation ist insbesondere bei Steuervorrichtungen erforderlich, in denen ein sicherheitsgerichteter Protokoll-Stack die Eingangsdaten verarbeitet und an eine übergeordnete sichere Steuerung versendet. Werden in beiden Steuervorrichtungen Daten durch den gleichen Protokollstack verarbeitet, müssen gleiche Daten verarbeitet werden, um zu gleichen Ergebnissen kommen zu können.

[0004] Abweichende Ergebnisse können entweder durch die Steuervorrichtungen selbst oder eine übergeordnete Steuereinheit aufgedeckt werden und führen in der Regel dazu, dass eine durch die Steuereinheit gesteuerte Anlage in einen sicheren Züstand gebracht wird. In diesem Zustand kann die Anlage ihrer eigentlichen Aufgabe jedoch typischerweise nicht mehr entsprechen.

[0005] Da die Steuervorrichtungen niemals zu 100% synchron arbeiten, kann es speziell bei Eingängen zu unterschiedlichen Einlesezeitpunkten kommen, die bereits im Bereich von wenigen Nanosekunden zu unterschiedlichen Eingangsdaten führen können. Weiterhin können unvermeidbare Toleranzen in den Eingangsschaltkreisen auch bei gleichzeitiger Abtastung zu unterschiedlichen Eingangsdaten führen.

[0006] Nach dem Einlesen werden die Eingangsdaten daher oftmals bereits vor der weiteren Verarbeitung durch die Steuervorrichtungen über die Kreuzkommunikation ausgetauscht und abgeglichen (siehe bspw. die Lehre der Druckschrift EP 1 302 826 Ai). Dies kostet jedoch zusätzliche Prozessorzeit und führt zu einer verlängerten Reaktionszeit des Systems.

ZUSAMMENFASSUNG ,

[0007] Die Erfindung bereichert diesbezüglich den Stand der Technik, als die Steuervorrichtungen in einem erfindungsgemäßen System/ Verfahren die - Eingangsdaten zeitgleich erhalten. Dadurch kann die Notwendigkeit eines Abgleiche der Eingangsdaten über die Kreuzkommunikation vermieden werden.

[0008] Insbesondere wird von den Steuervorrichtungen der Eingangs- Datenstrom der jeweils anderen Steuervorrichtung zusätzlich zum eigenen Eingangs-Datenstrom eingelesen, was dadurch erreicht wird, dass beide Steuervorrichtungen zwei Schnittstellen parallel betreiben. Auf diese Weise erhalten beide Steuervorrichtungen die gleiche zweikanalige Datenbasis, ohne die Notwendigkeit einer Kreuzkommunikation. Stattdessen kann der Datenabgleich zwischen den zwei Eingangs-Datenströmen unmittelbar nach dem Ende der Datenübertragung im Speicher der beiden Steuervorrichtungen erfolgen. Eine zusätzliche Übertragung der Daten über die Kreuzkommunikation vor der weiteren Verarbeitung durch den sicherheitsgerichteten Protokoll-Stack ist somit nicht erforderlich.

[0009] Ein erfindungsgemäßes System zur Steuerung eines Prozesses umfasst eine erste Steuervorrichtung, welche einen ersten Prozessor, eingerichtet zum Verarbeiten von ersten Daten, und eine erste Kommunikationsschnittstelle einer ersten Kommunikationseinheit, eingerichtet zum Empfangen der ersten Daten, umfasst. Das System umfasst ferner eine zweite Steuervorrichtung, welche einen zweiten Prozessor, eingerichtet zum Verarbeiten von zweiten Daten, und eine zweite Kommunikationsschnittstelle einer zweiten- Kommunikationseinheit, eingerichtet zum Empfangen der zweiten Daten, umfasst.

[0010] Die erste Kommunikationseinheit umfasst eine dritte Kommunikationsschnittstelle und die zweite Kommunikationseinheit umfasst eine vierte Kommunikationsschnittstelle, wobei die dritte Kommunikationsschnittstelle an der zweiten Kommunikationsschnittstelle angeschlossen und der erste Prozessor eingerichtet ist, die durch die dritte Kommunikationsschnittstelle empfangenen zweiten Daten und die durch die erste Kommunikationsschnittstelle empfangenen ersten Daten zu verarbeiten, insbesondere miteinander zu vergleichen.

[0011] Die vierte Kommunikationsschnittstelle ist an der ersten Kommunikationsschnittstelle angeschlossen und der zweite Prozessor ist eingerichtet, die durch die zweite Kommunikationsschnittstelle empfangenen zweiten Daten und die durch die vierte Kommunikationsschnittstelle empfangenen ersten Daten zu verarbeiten, insbesondere miteinander zu vergleichen.

[0012] Dabei ist unter dem Begriff „Steuervorrichtung", wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere ein Mikrocontroller zu verstehen, welcher bspw. zur Steuerung einer Anlage bzw. zur Verwendung als Teil einer Anlagensteuerung ausgebildet ist. Ferner ist unter dem Begriff„Kommunikationsschnittstelle", wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine Hardware- oder Netzwerkschnittstelle zu verstehen, die zum Anschluss einer oder mehrerer Drahtleitungen ausgebildet ist.

[0013] Des Weiteren sind unter dem Begriff „Daten", wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere aus elektrischen Signalen abgeleitete digitale Daten zu verstehen. Ferner ist unter dem Begriff „Prozessor", wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere eine elektronische Schaltung zu verstehen, die eingerichtet ist, Daten auf Basis von in einem Speicher gespeicherten Anweisungen zü verarbeiten. [0014] Vorzugsweise umfasst das Verarbeiten durch den ersten Prozessor ein Vergleichen der ersten Daten mit den zweiten Daten, und/oder umfasst das Verarbeiten durch den ersten Prozessor ein Weiterleiten der ersten Daten und/oder der zweiten Daten und/oder eines Vergleichsergebnisses.

[0015] Vorzugsweise umfasst das Verarbeiten durch den zweiten Prozessor ein Vergleichen der ersten Daten mit den ⁵ zweiten Daten und/ oder umfasst das Verarbeiten durch den zweiten Prozessor ein Weiterleiten der ersten Daten und/oder der zweiten Daten und/oder eines Vergleichsergebnisses.

[0016] Vorzugsweise ist der erste Prozessor eingerichtet, wenn die durch die dritte Kommunikationsschnittstelle empfangenen zweiten Daten mit den durch die erste Kommunikationsschnittstelle empfangenen ersten Daten übereinstimmen, auf Basis der empfangenen ersten Daten und/oder der empfangenen zweiten Daten erste Ausgangsdaten zu bestimmen und der zweite Prozessor eingerichtet, wenn die durch die zweite Kommunikationsschnittstelle empfangenen zweiten Daten mit den durch die vierte Kommunikationsschnittstelle empfangenen ersten Daten übereinstimmen, auf Basis der empfangenen ersten Daten und/oder der empfangenen zweiten Daten zweite Ausgangsdaten zu bestimmen.

[0017] Vorzugsweise ist das System eingerichtet, die ersten Ausgangsdaten und die zweiten Ausgangsdaten zu vergleichen und, wenn die ersten Ausgangsdaten und die zweiten Ausgangsdaten übereinstimmen, die ersten Ausgangsdaten und/oder die zweiten Ausgangsdaten an eine Steuereinheit zu übertragen oder, wenn die ersten Ausgangsdaten und die zweiten Ausgangsdaten nicht übereinstimmen, ein Fehlersignal oder aus den nicht übereinstimmenden ersten und zweiten Ausgangsdaten gemäß einer logischen oder arithmetischen Operation bestimmte dritte Ausgangsdaten (bei analogen Werten z. B. Mittelwerte, Minimalwerte, Maximalwerte, oder auch Ersatzwerte) an die Steuereinheit zu übertragen.

[0018] Vorzugsweise umfasst das System ferner eine Steuereinheit; wobei die erste Steuervorrichtung eingerichtet ist, die ersten Ausgangsdaten an die Steuereinheit zu übertragen, und die zweite Steuervorrichtung eingerichtet ist, die zweiten Ausgangsdaten an die Steuereinheit zu übertragen und die Steuereinheit eingerichtet ist, die ersten Ausgangsdaten und die zweiten Ausgangsdaten zu vergleichen und die ersten Ausgangsdaten und die zweiten Ausgangsdaten zu verwerfen, wenn die ersten Ausgangsdaten und die zweiten Ausgangsdaten nicht übereinstimmen.

[0019] Vorzugsweise sind die erste Kommunikationsschnittstelle und die zweite Kommunikationsschnittstelle als Serial Peripheral Interface, SPI, Master-Kommunikationsschnittstellen und die dritte

Kommunikationsschnittstelle und die vierte Kommunikationsschnittstelle als SPI-Slave-Kommunikationsschnittstellen ausgebildet.

[0020] Ein erfindungsgemäßes Verfahren umfasst ein gleichzeitiges Senden erster Prozesssignale an eine Serial Peripheral Interface, SPI, Master- Kommunikationsschnittstelle einer ersten Steuervorrichtung und an eine SPI- Slave- Kommunikationsschnittstelle einer zweiten Steuervorrichtung, ein gleichzeitiges Senden zweiter Prozesssignale an eine SPI-Master- Kommunikationsschnittstelle der zweiten Steuervorrichtung Und an eine SPI- Slave-Kommunikationsschnittstelle der ersten Steuervorrichtung.

[0021] Das erfindungsgemäße Verfahren umfasst ferner ein Überprüfen der empfangenen Prozesssignale auf Übereinstimmung, insbesondere durch die erste Steuervorrichtung, ein Überprüfen der empfangenen Prozesssignale auf Übereinstimmung, insbesondere durch die zweite Steuervorrichtung, ein Steüern des Prozesses auf Basis der empfangenen Prozesssignale, wenn eine Übereinstimmung zwischen den empfangenen Prozesssignalen festgestellt wurde und ein Überführen des Prozesses in einen vorbestimmten Zustand, wenn keine Übereinstimmung zwischen den empfangenen Prozesssignalen festgestellt wurde.

[0022] Dabei sind unter dem Begriff „Prozesssignale", wie er in der Beschreibung und den Ansprüchen verwendet wird, insbesondere digitale Messoder Zustandsdaten zu verstehen, welche den Prozess charakterisieren. [0023] Vorzugsweise umfasst das Empfangen der ersten Prozesssignale durch die zweite Steuervorrichtung ein Abhören der Kommunikation der SPI-Master- Kommunikationsschnittstelle der ersten Steuervorrichtung durch die SPI-Slave- Kommunikationsschnittstelle der zweiten Steuervorrichtung und das Empfangen der zweiten Prozesssignale durch die erste Steuervorrichtung ein Abhören der Kommunikation der SPI-Master-Kommunikationsschnittstelle der zweiten Steuervorrichtung durch die SPI-Slave-Kommunikationsschnittstelle der ersten Steuervorrichtung.

[0024] Vorzugsweise umfasst das Senden der ersten Prozesssignale an die SPI- Slave-Kommunikationsschnittstelle der zweiten Steuervorrichtung ein Abwandeln und insbesondere ein Invertieren der ersten Prozesssignale.

[0025J Vorzugsweise umfasst das Verfahren ferner ein Überprüfen, durch die zweite Steuervorrichtung, der abgewandelten ersten Prozesssignale und der zweiten Prozesssignale auf Übereinstimmung und ein Überführen des Prozesses in einen vorbestimmten Zustand, wenn durch die zweite Steuervorrichtung eine Übereinstimmung zwischen den abgewandelten ersten Prozesssignalen und den zweiten Prozesssignalen festgestellt wurde.

[0026] Vorzugsweise umfasst das Verfahren ferner ein Ableiten von Prozessdaten aus den empfangenen Prozesssignalen, ein Bestimmen, durch die erste Steuervorrichtung und die zweite Steuervorrichtung, von Steuerungsdaten auf Basis der Prozessdaten, ein Durchführen eines Kreuzvergleichs hinsichtlich der Steuerungsdaten der ersten Steuervorrichtung und , der zweiten Steuervorrichtung, ein Ableiten von Steuerungssignalen aus den Steuerungsdaten und ein Ausgeben der Steuerungssignale.

KURZBESCHREIBUNG DER ZEICHNUNGEN

[0027] Die Erfindung wird nachfolgend in der detaillierten Beschreibung anhand von Ausführüngsbeispielen erläutert, wobei auf Zeichnungen Bezug genommen wird, in denen:

Fig. 1 ein Blockdiagramm eines beispielhaften Systems; Fig. 2 einen beispielhaften Signalverlauf in dem System der Fig. l;

Fig. 3 ein Blockdiagramm des beispielhaften Systems der Fig. ι mit weiteren Elementen; und

Fig. 4 ein Ablaufdiagramm eines beispielhaften Verfahrens zeigt.

[0028] Dabei sind in den Zeichnungen gleiche Elemente durch gleiche Bezugszeichen gekennzeichnet.

DETAILLIERTE BESCHREIBUNG

[0029] Fig. 1 zeigt ein Blockdiagramm eines beispielhaften Systems 10, Das System 10 umfasst eine erste Steuervorrichtung 12 und eine zweite Steuervorrichtung 14 (bspw. Mikrocontroller). Die erste Steuervorrichtung 12 umfasst einen ersten Prozessor Pi und eine erste Kommunikationseinheit 16, und die zweite Steuervorrichtung 14 umfasst einen zweiten Prozessor P2 und eine zweite Kommunikationseinheit 18. Dabei können die erste Steuervorrichtung 12 und die zweite Steuervorrichtung 14 gleiche Bauelemente aufweisen.

[0030] Die Kommunikationseinheiten 16, 18 umfassen jeweils zwei Kommunikationsschnittstellen Si und S3 bzw. S2 und S4. Die erste Kommunikationsschnittstelle Si ist mit einer ersten E/A-Einheit 20 verbunden und die zweite Kommunikationsschnittstelle S2 ist mit einer zweiten E/A- Einheit 22 verbunden. Die E/A- Einheiten 20, 22 können bspw. als (8-Bit, 16- Bit, 32-Bit, etc.) E/A- Portexpander ausgebildet sein.

[0031] Die erste Kommunikationsschnittstelle Si und die zweite Kommunikationsschnittstelle S2 können als SPI-Master-Schnittstellen ausgebildet sein, die ein Einlesen von ersten und zweiten Daten Di, D2 von SPI- Slave-Schnittstellen der E/A-Einheiten 20, 22 Taktsignal-basiert steuern. Dabei können die E/A- Einheiten 20, 22 eingerichtet sein, die ersten und zweiten Daten Di, D2 an einem MISO-Ausgang auszugeben, wenn an einem Taktsignaleingäng der E/A-Einheiten 20, 22 ein Taktsignal SCLK anliegt. [0032] Ferner können die ersten Daten Dl und die zweiten Daten D2. auf einer gemeinsamen Datenbasis fußen, so dass die ersten Daten Dl den zweiten Daten D2 entsprechen, wenn das System 10 fehlerfrei funktioniert. Somit kann durch einen Vergleich der ersten Daten Di und der zweiten Daten D2, bzw. durch einen Vergleich von aus den der ersten Daten Di bzw. den zweiten Daten D2 abgeleiteten Daten, das System 10 auf Fehler überprüft werden.

[0033] Um die zweiten Daten D2 der ersten Kommunikationseinheit 16 ohne Zeitverzögerung zur Verfügung stellen zu können, ist die dritte Kommunikationsschnittstelle S3 an der zweiten Kommunikationsschnittstelle S2 angeschlossen. Bspw. kann die dritte Kommunikationsschnittstelle S3 als SPI-Slave-Schnittstelle ausgebildet sein, wobei der MOSI (Master-Out-Slave-In) Eingang der dritten Kommunikationsschnittstelle S3 mit dem MISO (Master- In-Slave-Out) Eingang der zweiten Kommunikationsschnittstelle S2 bzw. dem MISO (Master-In-Slave-Out) Ausgang der zweiten E/A-Einheit 22 verbunden ist.

[0034] Ebenso ist, um die ersten Daten Di der zweiten Kommunikationseinheit 18 ohne Zeitverzögerung zur Verfügung stellen zu können, die vierte Kommunikationsschnittstelle S4 an der ersten Kommunikationsschnittstelle Si angeschlossen. Bspw. kann die vierte Kommunikationsschnittstelle S4, wie die dritte Kommunikationsschnittstelle S3, als SPI-Slave-Schnittstelle ausgebildet sein, wobei der MOSI-Eingang der vierten Kommunikationsschnittstelle S4 mit dem MISO-Eingang der ersten Kommunikationsschnittstelle Si bzw. dem MISO-Ausgang der ersten E/A-Einheit 20 verbunden ist.

[0035] Fig. 2 zeigt dazu einen beispielhaften Signalverlauf an Ausgängen/ Eingängen des Systems · 10. Wird durch die erste Kommunikationsschnittstelle Si (SPI-Master-Schnirtstelle) an dem Ausgang 1.1 ein Taktsignal SCLK ausgegeben, gibt die erste E/A- Einheit 20 die ersten Daten Di aus, welche von der ersten Kommunikationsschnittstelle Si über den Eingang 1.3 (MISO) eingelesen werden. Die ersten Daten Dl werden zudem durch die vierte Kommunikationsschnittstelle S4 über den Eingang 2.6 (MOSI) eingelesen, da das durch die erste Kommunikationsschnittstelle Si erzeugte Taktsignal SCLK am Eingang 2,5 der vierten Kommunikationsschnittstelle S4 (SPI-Slave-Schnittstelle) anliegt.

[0036] Ebenso gibt, wenn durch die zweite Kommunikationsschnittstelle S2 (SPI-Master-Schnittstelle) an dem Ausgang 2.1 ein Taktsignal SCLK ausgegeben wird, die zweite E/A- Einheit 22 die zweiten Daten D2 aus, welche von der zweiten Kommunikationsschnittstelle S2 über den Eingang 2.3 (MISO) eingelesen werden. Die zweiten Daten D2 werden zudem durch die dritte Kommunikationsschnittstelle S3 über den Eingang 1.6 (MOSI) eingelesen, da das durch die zweite Kommunikationsschnittstelle S2 erzeugte Taktsighal SCLK am Eingang 1.5 der dritten Kommunikationsschnittstelle S3 (SPI-Slave- Schnittstelle) anliegt.

[0037] Dabei spielt es keine Rolle, wenn die Taktsignale SCLK der ersten und zweiten Kommunikationsschnittstellen Si, S2 nicht vollständig synchron sind, da die Daten bis zur nächsten Übertragung gespeichert werden können. Somit wird nur eine Synchronisation zwischen den Kommunikationsschnittstellen Si und S4 bzw. S2 und S3 benötigt, um die ersten und zweiten Daten Di, D2 an die erste und vierte Kommunikationsschnittstelle Si, S4 bzw. die zweite und dritte Kommunikationsschnittstelle S2, S3 korrekt zu übertragen. Dies wird jedoch bereits durch die gemeinsamen Taktleitungen erreicht.

[0038] Der erste Prozessor Pi ist eingerichtet, die durch die dritte Kommunikationsschnittstelle S3 empfangenen zweiten Daten D2 und die durch die erste Kommunikationsschnittstelle Si empfangenen ersten Daten Di zu verarbeiten. Das Verarbeiten kann einen Vergleich der ersten Daten Di mit den zweiten Daten D2 einschließen und die weitere Verarbeitung kann von dem Ergebnis des Vergleichs abhängen. Bspw. kann, wenn der Vergleich der ersten Daten Dl mit den zweiten Daten D2 ergibt, dass diese nicht identisch sind, die weitere Verarbeitung abgebrochen werden und stattdessen ein Fehlersignal erzeugt/ausgegeben werden.

[0039] Ebenso ist der zweite Prozessor P2 eingerichtet, die durch die vierte Kommunikationsschnittstelle S4 empfangenen ersten Daten Dl und die durch die zweite Kommunikationsschnittstelle S2 empfangenen zweiten Daten D2 zu verarbeiten. Das Verarbeiten kann einen Vergleich der zweiten Daten D2 mit den ersten Daten Di einschließen und die weitere Verarbeitung kann von dem Ergebnis des Vergleichs abhängen. Bspw. kann, wenn der Vergleich der zweiten Daten D2 mit den ersten Daten Di ergibt, dass diese nicht identisch sind, die weitere Verarbeitung abgebrochen werden und stattdessen ein Fehlersignal erzeugt/ausgegeben werden.

[0040] Fig. 3 zeigt ein Blockdiagramm des beispielhaften Systems 10 der Fig. 1 mit weiteren Elementen. So umfasst das in Fig. 3 gezeigte System 10a eine Sensorschaltung 24, eine Aktorschaltung 26 und eine übergeordnete Steuerung (Steuereinheit) 28. Die Sensorschaltung 24, welche einen oder mehrere Sensoren umfassen kann, stellt Messwerte bereit, die den Zustand einer Anlage charakterisieren. Die Messwerte werden an die E/A- Einheiten 20, 22 übertragen, welche die Messwerte als erste Daten Di und zweite Daten D2 and die Kommunikationsschnittstellen Si, S4 bzw. die Kommunikationsschnittstellen S2, S3 übertragen. Die Übertragung der Messwerte and die E/A-Einheiten 20, 22 kann dabei seriell oder parallel erfolgen, wobei die E/A-Einheiten 20, 22 bspw. Seriell-Parallel-Wandler umfassen können. -,

[0041] Die Prozessoren Pi, P2 der Steuervorrichtungen 12, 14 vergleichen die empfangenen Daten Di, D2, um Mess- und/oder Übertragungsfehler zu erkennen. Wird kein Fehler festgestelh bestimmen die Steuervorrichtungen 12, 14 Steuersignale oder leiten die empfangenen Daten Di, D2 an die übergeordnete Steuerung 28 weiter, die aus den empfangenen Daten Di, D2 Steuerdaten bestimmt und den Steuervorrichtungen 12, 14 bereitstellt. Die Steuervorrichtungen 12, 14 gleichen die bestimmten Steuerdaten mittels einer Kreuzkommunikation der Steuerdaten oder aus den Steuerdaten abgeleiteter Daten ab.

[0042] Die Kreuzkommunikation kann, wie in Fig. 3 angedeutet, über die Kommunikationsschnittstellen Si, S4 bzw. die Kommunikationsschnittstellen S2, S3 durchgeführt werden. Bspw. können, wenn die Kommunikationsschnittstellen Si, S2 als SPI-Master-Schnittstellen ausgebildet sind, die SPI-Slave-Schnittstellen S3, S4 über die„Slave-Select" Ausgänge 1.7, 2.7 angesprochen werden, so dass an den MOSI-Ausgängen 1.2, 2.2 ausgegebene Daten nur an den Eingängen 1.8, 2.8 eingelesen werden.

[0043] Ist der Abgleich erfolgreich, können die .Steuerdaten bzw. aus den Steuerdaten abgeleitete Steuersignale über die MOSI-Ausgänge 1.2, 2.2 bei entsprechender Ansprache der E/A-Einheiten 20, 22 mittels der„Slave-Select" Ausgänge 1.4, 2.4 an die E/A-Einheiten 20, 22 übertragen werden, welche die Steuerdaten/-signale an die Aktorschaltung 26 überträgt. Die Aktorschaltung 26 kann einen oder mehrere Aktoren umfassen und diese auf Basis der empfangenen Steuerdaten/-signale steuern, wobei der eine oder die mehreren Aktoren zur Steuerung eines Zustande der Anlage dienen.

[0044] Wird hingegen ein Mess- und/oder Übertragungsfehler erkannt oder scheitert der Abgleich der Steuerdaten, kann eine der Steuervorrichtungen 12, 14 oder die übergeordnete Steuerung 28 ein Fehlersignal erzeugen/ausgeben. Das Fehlersignal kann bspw. bewirken, dass die Aktorschaltung 26 das System 10a oder die Anlage in einen sicheren Zustand überführt:

[0045] Fig. 4 zeigt ein Ablaufdiagramm eines beispielhaften Verfahrens. Bei Schritt 30 werden erste Prozesssignale Di gleichzeitig an die Serial Peripheral Interface, SPI, Master-Kommunikationsschnittstelle Si der ersten Steuervorrichtung 12 und an die SPI-Slave-Kommunikationsschnittstelle S4 der zweiten Steuervorrichtung 14 gesendet.

[0046] Bei Schritt 32 werden zweite Prozesssignale D2 an die SPI-Master- Kommunikationsschnittstelle S2 der zweiten Steuervorrichtung 14 und an die SPI-Slave-Kommunikationsschnittstelle S3 der ersten Steuervorrichtung 12 gesendet.

[0047] Bei Schritt 34 werden die empfangenen Prozesssignale auf Übereinstimmung überprüft, bspw. durch die erste Steuervorrichtung 12 oder die übergeordnete Steuerung 28. [0048] Bei Schritt 36 werden die empfangenen Prozesssignale auf Übereinstimmung überprüft, bspw. durch die zweite Steuervorrichtung 14 oder die übergeordnete Steuerung 28.

[0049] Bei Schritt 38 wird der Prozesses auf Basis der empfangenen Prozesssignale D1/D2 gesteuert, wenn eine Übereinstimmung zwischen den empfangenen Prozesssignalen festgestellt würde.

[0050] Bei Schritt 40 wird der Prozesses in einen vorbestimmten Zustand überführt, wenn keine Übereinstimmung zwischen- den empfangenen Prozesssignalen Di, D2 festgestellt wurde. _fi ^"

[0051] Das Verfahren basiert, wie in Fig. 1 bis Fig. 3 gezeigt, darauf, dass die beiden Steuervorrichtungen 12, 14 voneinander unabhängige serielle Schnittstellen Si, S2 betreiben, die bspw. zur Ansteuerung von Port-Expandern verwendet werden. Bspw. können die SPI-Schnittstellen Si, S2 dazu verwendet werden, Seriell-Parallel- Wandler und auch Parallel-Seriell-Wandler anzusteuern.

[0052] Die Steuervorrichtungen 12, 14 können durch den Betrieb der seriellen synchronen Schnittstellen die Eingänge abtasten und außerdem unabhängig voneinander Ausgangsansteuersignale schalten. Dabei ist vorgesehen, dass beide Steuervorrichtungen 12, 14 bereits während des Einlesens der Eingangsdaten Dl, D2 von den Ein- und Ausgängen (Daten von digitalen Eingängen, analogen Eingängen, Rücklesesignale von Ausgängen, etc.) zeitgleich die E/A- Daten erhalten. Dies ermöglicht eine Vermeidung des ersten Kreuzabgleichs der Eingangsdaten Di, D2 über die Kreuzkommunikation.

[0053] Zur Optimierung der Software-Zykluszeiten wird daher von den zwei Steuervorrichtungen 12, 14 der Eingangs-Datenstrom des jeweils anderen I/o- Kanals zusätzlich zum eigenen Eingangs-Datenstrom eingelesen. Beide Steuervorrichtungen 12, 14 betreiben somit zwei Schnittstellen. Bspw. betreibt eine Steuervorrichtung 12, 14 eine SPI-Schnittstelle als SPI-Master- Schnittstelle und eine weitere SPl-Schnittstelle zum„mitlauschen" der SPl- Schnittstelle der anderen Steuervorrichtung 12, 14 als SPl-Slave. [0054] Auf diese Weise erhalten beide Steuervorrichtungen 12, 14 die gleiche zweikanalige Datenbasis . ohne einen zusätzlichen Datenaustausch. Der Datenabgleich zwischen den zwei Eingangsdatenströmen kann ferner unmittelbar nach dem Ende der Datenübertragung in einem Speicher (nicht gezeigt) der beiden Steuervorrichtungen 12, 14 erfolgen. Eine zusätzliche Übertragung der Informationen über die Kreuzkommunikation ist vor der weiteren Verarbeitung bspw. durch einen sicherheitsgerichteten Protokoll-Stack nicht erforderlich.

[0055] Ferner kann einer der beiden Eingangsdatenströme invertiert eingelesen werden. Dies kann z. B. helfen, Kurzschlüssen zwischen den Datenleitungen der SPI-Schnittstellen zu erkennen. Ferner werden Kommunikationszyklen für die Kreuzkommunikation eingespart, die Reaktionszeit, insbesondere die Sicherheitsreaktionszeit verringert, und es können einfachere und langsamere Steuervorrichtungen 12, 14 eingesetzt werden.

BEZUGSZEICHENLISTE

10 System

12 Steuervorrichtung

14 Steuervorrichtung

16 Kommunikationseinheit

18 Kommunikationseinheit

20 E/A-Einheit

22 E/A-Einheit

24 Sensorschaltung

26 Aktorschaltung

28 Übergeordnete Steuerung/ Steuereinheit

30-40 Schritte

Di Daten

D2 Daten

Pi Prozessor

P2 Prozessor

51 Schnittstelle

52 Schnittstelle

53 Schnittstelle \

54 Schnittstelle

SCLK Taktsignal