Um bei Automatisierungsvorhaben, die von einem gattungsgemä- ßen Automatisierungssystem gesteuert und/oder überwacht wer- den, in Notsituationen ein schnelles Abschalten der automati- sierten Prozesse oder einzelner Vorgängen zur erreichen, ist bisher eine Not-Aus-Behandlung in Form einer Not-Aus-Kette vorgesehen.

In eine derartige Not-Aus-Kette werden Not-Aus-Schalter, Lichtgitter, Tretmatten oder Ähnliches integriert. Aufgrund der an eine Not-Aus-Behandlung zu stellenden Anforderungen ist es üblich, die Not-Aus-Behandlung in herkömmlicher Ver- drahtung auszuführen. Als Beispiel sei hier ein Tunnelofen genannt, der bezüglich des Automatisierungsprozesses in meh- rere Segmente unterteilt ist. An für den Benutzer zugängli- chen Positionen an der Außenseite des Tunnelofens sind für die Not-Aus-Behandlung z. B. Not-Aus-Taster vorgesehen, wobei die Betätigung eines Not-Aus-Tasters je nach Auslegung der automatisierten Gesamtanlage, z. B. das definierte Herunter- fahren des gesamten Prozesses nach sich zieht.

Die Not-Aus-Taster sind Feldgeräte mit einer Eingabefunktion.

Die Geräte, die das Herunterfahren des Prozesses bewirken, sind entsprechend Geräte mit einer Ausgabefunktion zur An-

steuerung externer Peripherie, z. B. also Ausgabegeräte, die einen Motor für Transportprozesse, einen Motor für Ventilai- on, ein Hydraulikaggregat zur Positionierung o. a. steuern.

Im Falle einer Not-Aus-Situation ist das unmittelbare Ab- schalten der externen Peripherie erforderlich. Zu diesem Zweck ist zwischen den Eingabegeräten, also den Not-Aus- Tastern, und den Ausgabegeräten, wie den Motoren oder den Ag- gregaten, eine Not-Aus-Kette aufgebaut, die bisher in konven- tioneller Verdrahtung auszuführen war und die beim Betätigen eines Not-Aus-Tasters ein unmittelbares Abschalten des Motors bzw. ein unmittelbares Abschalten des Hydraulikaggregates be- wirkt. Die konventionelle Verdrahtung ist dabei bisher auf- grund der Sicherheitsanforderungen, die an eine Not-Aus- Behandlung zu stellen sind, erforderlich.

Dabei ist es jedoch nachteilig, bei großflächigen Automati- sierungsprojekten wie z. B. bei den beschriebenen Tunnelöfen, die konventionelle Verdrahtung im gesamten Prozeßfeld vorzu- sehen.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Betrieb eines Automatisierungssystems anzugeben, bei dem zur Behandlung von Not-Aus-Situationen auf die konventionelle Verdrahtung verzichtet werden kann und statt dessen eine kom- munikative Verbindung zwischen den Komponenten der Not-Aus- Kette über den Bus des Automatisierungssystems besteht.

Erfindungsgemäß ist daher vorgesehen, für die Not-Aus- Behandlung auf die konventionelle Verdrahtung zu verzichten und sämtliche Feldgeräte, d. h. also auch die Not-Aus-Taster und die in die Not-Aus-Kette einzubindenden Motoren oder Ag- gregate, über den Prozeßbus kommunikativ zu verbinden.

Diese Aufgabe wird für ein Verfahren zum Betrieb eines Auto- matisierungssystems, wobei das Automatisierungssystem minde- stens eine Eingabeeinheit zur Aufnahme von Prozeßsignalen und mindestens eine Ausgabeeinheit zum Ansteuern externer Peri- pherie aufweist, wobei die mindestens eine Eingabeeinheit und die mindestens eine Ausgabeeinheit kommunikativ über einen Bus miteinander verbunden sind, dadurch gelöst, daß zumindest eine der Eingabeeinheiten und zumindest eine der Ausgabeein- heiten als fehlersichere Eingabeeinheit bzw. fehlersichere Ausgabeeinheit ausgebildet sind, daß die fehlersichere Einga- beeinheit der fehlersicheren Ausgabeeinheit zu vorgegebenen Zeitpunkten ein Datum übermittelt, daß das Datum zumindest ein Nutzinformation, eine die adressierte Ausgabeeinheit be- zeichnende Zielkennung und eine die sendende Eingabeeinheit bezeichnende Ursprungskennung aufweist, daß die Ausgabeein- heit den kontinuierlichen Empfang des Datums als Indiz für eine intakte Kommunikationsbeziehung auswertet und andern- falls die angeschlossene Peripherie in einen sicheren Zustand überführt.

Die an eine Not-Aus-Behandlung zu stellenden Sicherheitsan- forderungen werden gemäß der Erfindung erfüllt, wenn die Ein- gabegeräte, also z. B. die Not-Aus-Taster und die in die Not- Aus-Kette einzubindenden Ausgabegeräte, die zur Ansteuerung der Motoren oder Aggregate vorgesehen sind, jeweils fehlersi- cher ausgeführt sind. Im Falle einer Not-Aus-Situation ergibt sich dann in der automatisierten Anlage folgender Ablauf : Beim Betätigen eines Not-Aus-Tasters wird durch das Datenein- gabegerät ein Datum auf den Bus gelegt. Das zu übermittelnde Datum weist gemäß den Spezifikationen des für die physikali- sche Kommunikationsverbindung verwendeten Busprotokolls zu- mindest ein Nutzinformation, in diesem Falle also die Infor- mation, ob der Not-Aus-Taster gedrückt ist oder nicht, zumin- dest eine Zieladresse, also die Adresse des Kommunikation-

steilnehmers, an die die Nachricht gesendet wird-wobei eine spezielle Kennung ein Versenden der Nachricht an alle Kommu- nikationsteilnehmer ermöglicht-sowie schließlich die Ur- sprungskennung, die den Absender des Datums identifiziert, auf.

Die Erfindung kann nun einmal so eingesetzt werden, daß das Datum an einen ganz bestimmten Kommunikationsteilnehmer ver- sendet wird, wobei der Adressat anhand der im Datum enthalte- nen Zieladresse erkennt, daß das Datum für ihn bestimmt ist, oder daß das Datum an alle Kommunikationteilnehmer versendet wird, wobei jeder einzelne Kommunikationsteilnehmer anhand der Ursprungsadresse des Datums ermittelt, ob das Datum, also die Nutzinformation des Datums von ihm auszuwerten ist.

Andererseits kann das Datum auch an eine übergeordnete Ein- heit des Automatisierungssystems, z. B. die Zentraleinheit ei- ner speicherprogrammierbaren Steuerung, versendet werden, wo- bei diese wiederum an der Ursprungskennung des Datums er- kennt, daß eine Nachricht, z. B. von einem Not-Aus-Taster ein- getroffen ist, die einer unmittelbaren Behandlung bedarf, so daß die Zentraleinheit unmittelbar nach Detektion des Datums dieses an die Ausgabegeräte weiterleitet, so daß diese ein Herunterfahren bzw. Abschalten der an die Ausgabegeräte ange- schlossenen Motoren oder Aggregate auslösen bzw. selbst ein weiteres Datum an die Ausgabegeräte absetzen, das zum glei- chen Resultat führt.

Die Ausgabeeinheit wertet dabei den kontinuierlichen Empfang des Datums von der Eingabeeinheit als Indiz für eine intakte Kommunikationsbeziehung. Für den Fall, daß die Ausgabeeinheit das Ausbleiben eines Datums von einer Eingabeeinheit während einer Zeitspanne, die größer als eine vorgebbare Zeitspanne ist, feststellt, überführt die Ausgabeeinheit die angeschlos- sene Peripherie in einem sicheren Zustand und sorgt damit

wieder für das Herunterfahren der angeschlossenen Motoren oder Aggregate.

Zum Einsatz im Rahmen des erfindungsgemäßen Verfahrens zum Betrieb eines Automatisierungssystems ist ferner ein fehler- sicheres Dateneingabegerät mit mindestens einem Eingabekanal zum Anschluß peripherer Sensorik vorgesehen, für das eine Prüfschaltung vorgesehen ist, die zu vorgegebenen Zeiten ei- nen Prüfvorgang auslöst und dabei für mindestens einen der Eingabekanäle des fehlersicheren Eingabegerätes einen Status- wechsel bewirkt, wobei eine interne Logik den Statuswechsel überwacht und ggfs. eine Fehlermeldung ausgibt, wobei der durch die Prüfschaltung bewirkte Statuswechsel am Ende des Prüfvorgangs wieder rückgängig gemacht wird und wobei der Prüfvorgang für das Auslesen des betroffenen Eingabekanals vollkommen tran- sparent ist.

Für den Einsatz im Rahmen des erfindungsgemäßen Verfahrens zum Betrieb eines Automatisierungssystems ist ferner oder al- ternativ ein fehlersicheres Dateneingabegerät mit mindestens einem Eingabekanal zum Anschluß peripherer Sensorik vorgese- hen, bei dem der mindestens eine Eingabekanal antivalent aus- gelegt ist.

Die gemäß der obenstehenden Beschreibung ausgeführten fehler- sicheren Eingabegeräte werden durch die genannten Maßnahmen, d. h. durch die antivalente Auslegung des Eingabekanals bzw. durch die Überwachung des Eingabekanals mittels einer Prüf- schaltung zu fehlersicheren Dateneingabegeräten, wobei die beiden Maßnahmen auch kombinierbar sind.

Zum Einsatz im Rahmen des erfindungsgemäßen Verfahrens zum Betrieb eines Automatisierungssystems ist ferner eine fehler- sicheres Ausgabegerät ausgebildete Ausgabeeinheit vorgesehen.

Wenn für das fehlersichere Datenausgabegerät eine Verarbei- tungseinheit zur Verarbeitung benutzer-projektierbarer logi- scher Verknüpfungen vorgesehen ist, wobei die Verarbeitungs- einheit das Nutzinformation eines empfangenen Datums auswer- tet, das Nutzinformation der benutzerprojektierbaren logi- schen Verknüpfung unterwirft und entsprechend dem Ergebnis der logischen Verknüpfung den mindestens einen Ausgabekanal ansteuert, sind Softwarekomponenten, die bisher üblicherweise in einem übergeordneten Automatisierungsgerät, z. B. der Zen- traleinheit einer speicherprogrammierbaren Steuerung, vorge- sehen waren, auch in das fehlersichere Ausgabegerät verlager- bar, so daß hier eine besonders schnelle und effektive Verar- beitung und Auswertung der logischen Verknüpfungen möglich ist.

Wenn für das fehlersichere Datenausgabegerät die Verarbei- tungseinheit ferner oder alternativ die zeitliche Abfolge der mit dem Nutzinformation übermittelten Prozeßdaten überwacht, und dem mindestens Ausgabekanal nur dann ansteuert, wenn die zeitliche Abfolge der zur Ansteuerung des Ausgabekanals er- forderlichen Daten innerhalb vorgebbarer Toleranzen liegt, ist ein sog. Muting möglich, das zur Erhöhung der Sicherheit des automatisierten Prozesses beiträgt. Als Beispiel sei die Absicherung einer Fahrbühne mittels eines induktiven End- schalters und einer Lichtschranke genannt. Die Fahrbühne löst bei ihrer Bewegung sowohl den induktiven Endschalter als auch die Lichtschranke in einer gewissen, durch die Geschwindig- keit der Fahrbühne bestimmten zeitlichen Abfolge aus.

Wenn die zeitliche Abfolge des Eingangs der zugehörigen Si- gnale innerhalb der vorgebenen Toleranzen liegt, kann die Verarbeitung fortgesetzt werden. Eine Person dagegen löst nur die Lichtschranke aus, während das zusätzliche Signal des in- duktiven Endschalters während der vorgegebenen Toleranzzeit ausbleibt. Eine solche Konstellation ist als Alarmkonstella-

tion auswertbar, auf die mit einer Not-Aus-Behandlung rea- giert werden kann.

Wenn für das fehlersichere Datenausgabegerät eine als watchdog ausgebildete und die Verarbeitungseinheit überwa- chende Überwachungsschaltung vorgesehen ist, welche den min- destens einen Ausgabekanal in einen sicheren Zustand über- führt, sobald eine Fehlfunktion der Verarbeitungseinheit festgestellt ist, ist über die als watchdog ausgebildete Überwachungsschaltung ein zweiter Abschaltweg etabliert. Wenn z. B. die Verarbeitungseinheit nicht mehr in der Lage ist, ei- nen speziellen Ausgang abzuschalten, würde ohne die Überwa- chungsschaltung ein Motor oder ein Aggregat z. B. permanent aktiviert bleiben. Die als watchdog ausgebildete Überwa- chungsschaltung erkennt derartige Zustände und schaltet beim Erkennen eines solchen Zustands die Ausgänge in einen siche- ren Zustand.

Wenn bei dem fehlersicheren Datenausgabegerät, der durch die Verarbeitungseinheit ansteuerbare Ausgabekanal als rücklesba- rer Ausgabekanal ausgebildet ist, das dem Ausgabekanal zu- führbare Signal auch der Überwachungsschaltung zuführbar ist, die Überwachungsschaltung das ihr zugeführte und das vom Aus- gabekanal zurückgelesene Signal vergleicht und bei Abweichun- gen den betroffenen Ausgabekanal oder auch sämtliche Ausgabe- kanäle bzw. die daran angeschlossene Peripherie in einen si- cheren Zustand überführt, werden Diskrepanzen der Ansteuerung der jeweiligen Ausgabekanäle erkannt und diese unmittelbar in einen sicheren Zustand überführt.

Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich aus den Unteransprüchen der nachfolgenden Beschreibung von Ausführungsbeispielen an- hand der Zeichnung und der Zeichnung selbst. Dabei bilden al- le beschriebenen und/oder bildlich dargestellten Merkmale für

sich oder in beliebiger Kombination den Gegenstand der vor- liegenden Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung. Dabei zeigen : FIG 1 ein vereinfachtes Blockschaltbild eines Automati- sierungssystem, FIG 2 ein Blockschaltbild eines fehlersicheren Datenein- gabegerätes und FIG 3 ein Blockschaltbild eines fehlersicheren Datenaus gabegerätes.

In FIG 1 ist exemplarisch ein Blockschaltbild eines einfachen Automatisierungssystemes mit einem fehlersicheren Dateneinga- begerät 2, einem fehlersicheren Datenausgabegerät 3, und ei- nem übergeordneten Automatisierungsgerät 1, z. B. der Zen- traleinheit 1 einer speicherprogrammierbaren Steuerung darge- stellt. Die Geräte sind über einen Bus 4, vorzugsweise über einen zum Einsatz in Industrieumgebungen geeigneten Bus 4, insbesondere den Profibus 4, kommunikativ miteinander verbun- den.

An das fehlersichere Dateneingabegerät 2 ist ein Not-Aus- Taster 1'angeschlossen. An das fehlersichere Datenausgabege- rät 3 ist ein Motor 2'angeschlossen. Wenn der Not-Aus-Taster 1'betätigt wird, nimmt das Dateneingabegerät 2 dieses Signal auf, übermittelt es über den Bus 4 an das Datenausgabegerät 3, der daraufhin das Abschalten des Motors 2'bewirkt.

In FIG 2 ein Blockschaltbild ist einer ersten Ausgestaltung eines fehlersicheren Dateneingabegerätes 2 dargestellt. Das fehlersichere Dateneingabegerät 2 ist über den Bus 4 kommuni- kativ mit anderen an den Bus 4 angeschlossenen Geräten 1,2, 3, verbunden, dabei ist die Busanschaltung durch ein Bus-

ASICs 5 bewirkt. Die Funktionen des Datenausgabegerätes 3 werden durch eine Verarbeitungseinheit 6, die z. B. ein ASIC oder einen Mikroprozessor ist, bewirkt. Der Verarbeitungsein- heit 6 werden direkt oder indirekt die Eingangskanäle 7-0,7- 1... 7-7 zugeführt.

Ferner ist im Dateneingabegerät 2 eine Prüfschaltung 8 vorge- sehen, die gleichfalls durch die Verarbeitungseinheit 6 kon- trolliert wird und zu vorgegebenen Zeitpunkten einen Prüfvor- gang auslöst und dabei für mindestens einen der Eingabekanäle 7-0,7-1... 7-7 des fehlersicheren Dateneingabegeräts 2 einen Statuswechsel bewirkt. Dieser Statuswechsel wird von einer internen Logik 9 überwacht, wobei die interne Logik 9 eine Fehlermeldung ausgibt, wenn der von der Prüfschaltung 8 aus- gelöste Statuswechsel sich nicht auf den Status des jeweili- gen Eingangskanal 7-0,7-1... 7-7 auswirkt. Am Ende des Prüf- vorgangs wird der durch die Prüfschaltung 8 bewirkte Status- wechsel wieder rückgängig gemacht. Für das Auslesen der be- troffenen Eingabekanäle 7-0,7-1... 7-7 während des normalen Betriebs des fehlersicheren Dateneingabegeräts 2 ist der Prüfvorgang dabei vollkommen transparent.

Wenn die Eingänge 7-0,7-1... 7-7 der Verarbeitungseinheit 6 zusätzlich auch in negierter Form 7-0', 7-1'... 7-7'zuge- führt werden, sind die Eingangskanäle antivalent ausgelegt.

Die Verarbeitungseinheit 6 liest dann für den betreffenden Eingangskanal, z. B. 7-2 dessen Status, z. B. logisch 0, und für den antivalenten korrespondierenden Eingang 7-2'als ne- gierten Status das entsprechende Komplement, in diesem Falle also logisch 1. Fehlfunktionen bei der Weiterleitung der Sta- ti der jeweiligen Eingangskanäle können durch die Verarbei- tungseinheit 6 dann einfach und sicher erkannt werden, indem jeweils überprüft wird, ob auf dem jeweiligen Eingangskanal und auf dem dazu antivalenten Eingangskanal komplementare Stati vorliegen.

In FIG 3 ist ein Blockschaltbild eines fehlersicheren Daten- ausgabegerätes 3 dargestellt, das mittels eines als Busan- schaltung 14 ausgebildeten Bus-ASICs 14 an den Prozeßbus 4 angeschlossen ist. Das fehlersichere Datenausgabegerät 3 weist eine Verarbeitungseinheit 10 zur Verarbeitung benutzer- projektierbarer logischer Verknüpfungen auf, wobei die Verar- beitungseinheit 10 das Nutzinformation TN eines über den Pro- zeßbus 4 empfangenen Telegramms auswertet, das Nutzinformati- on TN der benutzerprojektierbaren logischen Verknüpfung un- terwirft, und entsprechend dem Ergebnis der logischen Ver- knüpfung den mindestens einen Ausgabekanal 11-0,11-1... 11-7 ansteuert.

In der Darstellung gemäß FIG 3 weist das fehlersichere Daten- ausgabegerät 3 eine als watchdog 12 ausgebildete, und die Verarbeitungseinheit 10 überwachende Überwachungsschaltung 12 auf, welche den mindestens einen Ausgabekanal 11-0, 11-1... 11-7 in einen sicheren Zustand überführt, sobald eine Fehlfunktion der Verarbeitungseinheit 10 festgestellt ist. Zu diesem Zweck überwacht die Überwachungsschaltung 12 die Funk- tion der Verarbeitungseinheit 10, wobei im Falle einer Fehl- funktion der Verarbeitungseinheit 10 die Stati der jeweiligen Ausgabekanäle 11-0,11-1... 11-7 durch die Überwachungsschal- tung 12 bestimmt werden, wozu eine Treiberschaltung 13 vorge- sehen ist, die sowohl von der Verarbeitungseinheit 10 als auch von der Überwachungsschaltung 12 ansteuerbar ist.

Für den Fall einer Fehlfunktion der Verarbeitungseinheit 10, überschreibt die durch die Überwachungsschaltung 12 ausgege- bene Ansteuerung der jeweiligen Ausgabekanäle 11-0, 11-1... 11-7 die jeweilige Ansteuerung der Verarbeitungsein- heit 10, die zu diesem Zeitpunkt bereits als fehlerhaft er- kannt wurde.

In der Darstellung gemäß FIG 3 ist das fehlersichere Daten- ausgabegerät 3 ferner derartig ausgebildet, daß der durch die Verarbeitungseinheit ansteuerbare Ausgabekanal 11-0, 11-1... 11-7 als rücklesbarer Ausgabekanal 11-0', 11-1'...

11-7'ausgebildet ist, daß das dem Ausgabekanal 11-0, 11-1... 11-7 zuführbare Signal auch der Überwachungsschaltung 12 zuführbar ist, daß die Überwachungsschaltung 12 das ihr zugeführte und das vom Ausgabekanal zurückgelesene Signal 11-0', 11-1'... 11-7' vergleicht und bei Abweichungen den be- troffenen Ausgabekanal 11-0,11-1... 11-7 in einen sicheren Zustand überführt.

In der vorstehenden Beschreibung wird stets von Eingabe-bzw.

Ausgabegeräten 2,3 mit jeweils acht Eingabe-bzw. Ausgabeka- nälen ausgegangen. Selbstverständlich kann die Anzahl der Ka- näle auch größer oder kleiner als acht, z. B. 16 oder 32, sein.