DE10325263B4 - Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen - Google Patents

Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen Download PDF

Info

Publication number
DE10325263B4
DE10325263B4 DE10325263A DE10325263A DE10325263B4 DE 10325263 B4 DE10325263 B4 DE 10325263B4 DE 10325263 A DE10325263 A DE 10325263A DE 10325263 A DE10325263 A DE 10325263A DE 10325263 B4 DE10325263 B4 DE 10325263B4
Authority
DE
Germany
Prior art keywords
data
subscriber
time
actuality
master
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10325263A
Other languages
English (en)
Other versions
DE10325263A1 (de
Inventor
Dipl.-Ing. Meyer-Gräfe Karsten
Dipl.-Ing. Kalhoff Johannes
Dipl.-Ing. Horn Steffen
Dipl.-Ing. Oster Viktor
Dipl.-Ing. Stallmann Oliver
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE10325263A priority Critical patent/DE10325263B4/de
Priority to EP04011340.9A priority patent/EP1484679B1/de
Priority to US10/848,629 priority patent/US7802150B2/en
Priority to CN2004100473355A priority patent/CN1574848B/zh
Priority to JP2004165368A priority patent/JP4247791B2/ja
Publication of DE10325263A1 publication Critical patent/DE10325263A1/de
Application granted granted Critical
Publication of DE10325263B4 publication Critical patent/DE10325263B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs

Abstract

Verfahren zur Sicherstellung der Einhaltung von vorgegebenen oder vorgebbaren maximalen Reaktionszeiten in einem Datenverarbeitungssystem mit im System eingebundenen Teilnehmern, wobei während jedem Datenzyklus eingangsseitig an im System eingebundenen Teilnehmern (11, 13, 14, 21, 22, 23, M, TN1, TN2) anliegende Daten synchron eingelesen werden, wobei zur Synchronisation des Einlesens zumindest zeitweise ein Synchronisierungssignal an alle Teilnehmer gesendet wird, wobei von einem ersten Teilnehmer ausgegebene und von einem zweiten Teilnehmer während eines Datenzyklus eingelesene Daten (IN, OUT) zusammen mit einem ausgehenden zugeordneten Aktualitätsparameter (123) übertragen werden, wobei eine Überprüfung erfolgt, ob eine teilnehmerspezifische Datenverarbeitung und/oder -weiterleitung innerhalb einer vorgegebenen oder vorgebbaren maximalen Zeit erfolgt, indem der zweite Teilnehmer den den eingelesenen Daten zugeordneten Aktualitätsparameter (123) überprüft und bei Erreichen einer definierten Abweichung gegenüber einer definierten Aktualitätsschwelle einen Fehler erkennt, und wobei unter Ansprechen auf die Fehlererkennung eine definierte Funktion ausgelöst wird.

Description

  • Die Erfindung betrifft ein Verfahren und ein System zur Sicherstellung von maximalen Reaktionszeiten in einem Datenverarbeitungssystem, insbesondere zwischen einem sicheren Eingangssignal und korrespondierendem sicheren Ausgangssignal.
  • Die DE 199 09 091 A1 offenbart ein Bussystem mit einem Master und mehreren Slaves, welche durch eine Busleitung miteinander verbunden sind, und betrifft die Überwachung einer Reaktionszeit zwischen einem Aussenden eines Master-Aufrufs und einem Empfang einer Slave-Antwort, wobei weder dem Master-Aufruf noch der Slave-Antwort irgendein Aktualitätsparameter zugeordnet wird.
  • Die Veröffentlichung von Kopetz, H. u. Grunsteidl, G. in Computer, IEEE Service Center, Los Alamitos, CA, US 1994, Vol. 27, 1, S. 14–23, ISSN 0018-9162 unter dem Titel ”TTP – A PROTOCOL FOR FAULT-TOLERANT REAL-TIME SYSTEMS” ist auf eine zeitgesteuerte Echtzeitsysteme gerichtet, die auf TDMA-Basis arbeiten (TDMA: Time Domain Multiple Access), wobei zur Fehlererkennung CRC (Cyclic Redundancy Check) eingesetzt wird. Die Daten werden im Zeitmultiplex und nicht etwa synchron eingelesen, wobei kein Aktualitätsparameter, der den eingelesenen Daten in Bezug auf wenigstens einen Datenzyklus zugeordnet ist offenbart wird.
  • In kommunizierenden Datenverarbeitungssystem bzw. -anlagen, sind daher Daten einer Nachricht in der Regel nur zu einer bestimmten Zeit oder für eine bestimmte Zeit gültig, da, insbesondere im Falle sicherheitsrelevanter Ein-/Ausgangssignale, festgelegte Reaktionszeiten einzuhalten sind.
  • Gemäß Stand der Technik wird hierfür üblicherweise eine Laufzeitüberwachung zwischen Sender und Empfänger durchgeführt. Für eine empfangsseitige Laufzeitüberwachung, hängt der Sender eine entsprechende Zeitinformation an die Daten an, wobei sowohl der Sender als auch der Empfänger die Zeit verfolgen müssen. Für eine senderseitige Überwachung wird der Empfang der Daten durch Rücksenden eines Quittungssignals an den Sender bestätigt, wobei dieses zusätzlich eine Überwachung der richtigen Datenfolge ermöglicht.
  • Unter der Annahme, dass sich die Datenübertragung aus fortlaufenden und zeitfolgerichtig übertragenen Signalen zusammensetzt, offenbart die deutsche Patentschrift DE-101 02 435-C2 ferner ein Verfahren, welches zum Einen die Prüfung einer sicheren Datenübertragung als auch eine maximal mögliche oder vertretbare Verzögerung des Sendens eines Nachfolgesignals gewährleistet. Hierzu ist im Einzelnen vorgeschlagen, zur Datenübertragung zwischen miteinander kommunizierenden Datenverarbeitungseinheiten, das Absenden eines nachfolgenden Signals erst unter Ansprechen auf den Ablauf einer Mindestzeit zwischen zwei aufeinanderfolgenden Signalen sowie auf das senderseitige Empfangen eines Quittungssignals der Empfangseinheit auszulösen.
  • Aufgabe der Erfindung ist es einen gegenüber dem bekannten Stand der Technik neuen und wesentlich verbesserten Weg zur flexiblen und vielseitig anwendbaren Ermittlung, Prüfung und/oder Einhaltung von maximalen Reaktionszeiten in Datenverarbeitungssystemen, einschließlich komplexen oder verteilten, sicheren und/oder nicht sicheren Systemen, insbesondere zwischen einem sicheren Eingangssignal und korrespondierendem sicheren Ausgangssignal, bereitzustellen und insbesondere zur Sicherstellung von maximalen Reaktionszeiten in einem Datenverarbeitungssystem die Aktualität der Eingangs- und/oder Ausgangsdaten zu überwachen.
  • Die erfindungsgemäße Lösung der Aufgabe ist auf höchst überraschende Weise bereits durch die Gegenstände mit den Merkmalen der anhängenden unabhängigen Patentansprüche gegeben.
  • Vorteilhafte und/oder bevorzugte Ausführungsformen bzw. Weiterbildungen sind Gegenstand der jeweiligen abhängigen Ansprüche.
  • Basierend auf dem erfindungsgemäß vorgeschlagenen Verfahren, eingangsseitig an im System eingebundenen Teilnehmern anliegende Eingangs- und/oder Ausgangsdaten während jedes Datenzyklus synchron einzulesen, eingelesene Eingangs- und/oder Ausgangsdaten in Bezug auf wenigstens einen Datenzyklus basierten, den eingelesenen Eingangs- und/oder Ausgangsdaten zugeordneten oder zuzuordnenden Aktualitätsparameter zu überprüfen, unter Ansprechen auf das Erreichen einer definierten Abweichung wenigstens eines Aktualitätsparameters gegenüber einer definiertenden Aktualitätsschwelle auf einen Fehler zu erkennen und unter Ansprechen auf eine Fehlererkennung eine definierte Funktion, insbesondere eine sicherheitsgerichtete Funktion, auszulösen, ist folglich erstmals eine unmittelbare Überwachung einer Systemspezifisch fortlaufenden und/oder zeitfolgerichtigen Ein-/Ausgangs-Informationsbearbeitung und eine hierauf basierte Sicherstellung von maximalen Reaktionszeiten selbsttätig von Teilnehmern durchführbar.
  • Die Erfindung findet somit insbesondere bei Systemen Anwendung, bei denen es wichtig ist sicherzustellen, dass bestimmte Ausgänge einen definierten Zustand einnehmen, wenn keine korrespondierenden aktuellen Eingangsinformationen vorliegen, beispielsweise bei der Zeitkritischen Überwachung eines sicheren Eingangssignals für die Reaktion eines korrespondierenden sicheren Ausgangssignals.
  • In bevorzugter Ausbildung ist vorgesehen, eine Überprüfung eingelesener Ein- und/oder Ausgangsdaten während jedes Datenzyklus durchzuführen, um auf besonders effektive Weise Reaktionszeiten gemäß anwendungsspezifischem Transport von Daten, insbesondere in festen bzw. bestimmbaren Intervallen, Abständen und/oder Zeiten, auch über Grenzen von Systemen, intelligenten Einheiten und/oder innerhalb von Netzwerken, flexibel sicherzustellen.
  • Zur Synchronisation des Einlesens sieht die Erfindung bevorzugt das zumindest zeitweise Übertragen eines Broadcast- und/oder Latchsignals an alle Teilnehmer vor. Zur dauerhaften Gewährleistung einer in festen Grenzen und/oder zu einem Zeitpunkt definierten Transport-Beziehung auf dem Datenweg in Sende- und/oder Empfangs-Richtung mit allen im insbesondere sicheren Datenstrom liegenden beeinflussenden Einheiten ermöglicht die Erfindung für die praktische Umsetzung somit in vorteilhafter Weise den Einsatz von systemspezifischen Mechanismen, die sicherstellen können, dass alle Teilnehmer zum gleichen Zeitpunkt einen TAKT/IMPULS erhalten.
  • Bei einer Weiterbildung der Erfindung, erfolgt die Synchronisation bei einem (Bus-)Start und/oder nach einem Fehler durch einen bestimmten Teilnehmer, in bevorzugter Ausführung durch den Master.
  • Wird die synchrone Datenübernahme gemäß bevorzugter Ausführungsformen unter Verwendung eines Ringschieberegisters durchgeführt, erhält somit, insbesondere unter Ausnutzung der Eigenschaften des Interbus, in zweckmäßiger Weise jeder Teilnehmer nach dem Schieben der Daten synchron zu allen Teilnehmern einen TAKT/IMPULS, dass der Teilnehmer die Ausgabe-Daten übernehmen kann und die Eingabe-Daten eingelesen werden.
  • Um auf besonders einfache und für das Übertragungsprotokoll in Bit-sparender Weise eine Aktualitätsverifizierung eingelesener Eingangs- und/oder Ausgangsdaten durchzuführen, ist wenigstens eine intelligente Einheit mit treiberartigen Mitteln vorgesehen, die den einzulesenden Daten eindeutige und/oder festen Zeit- und/oder Zyklusstrukturen zuordenbare Aktualitätsparamter zuweist.
  • Eine bevorzugte Weiterbildung sieht hierbei vor, in jedem Datenzyklus mit von einem bestimmten Teilnehmer, z. B. dem Master, ausgehenden Aktualitätsparameter, beispielsweise Zyklus basierte Werte, wie eine wiederkehrend laufende Nummer, an alle einlesenden Teilnehmer, z. B. den Slaves, zu übertragen, welche der Master in einem folgenden Datenzyklus wieder von den Slaves nach Bearbeitung der eingelesenen Daten zur Verifikation zurück erhält.
  • Gemäß einer weiteren bevorzugten Weiterbildung zählt jeder Teilnehmer die (gültigen) Datenzyklen bezogen auf die Zeit des Einlesens mit. Ein wesentlicher Vorteil hierbei ist, dass eine Weitergabe von auf eingelesenen Eingangs- und/oder Ausgangsdaten basierten Daten auf einfache Weise nur bis zu einer definierten Anzahl von gezählten Datenzyklen erfolgt und andernfalls auf Fehler erkannt wird. Hierbei ist bevorzugt vorgesehen, dass jeder Teilnehmer, der Daten wieder weitergibt, seine eigene (Datenzyklus-)Zeit des Einlesens auf eine über den Aktualitätsparameter bereits erhaltene Einlesezeit addiert.
  • Die Erfindung umfasst somit bevorzugt Ausführungsformen, bei welchen ein Wert oder Datum als Aktualitätsparameter nach einer Teilnehmerspezifischen Datenverarbeitung und/oder -weiterleitung an den Wert oder Datum erzeugenden Teilnehmer rückübersandt wird oder eine Aktualitätsauswertung durch den einlesenden Teilnehmer, insbesondere einen Ausgangsteilnehmer, selbst durchgeführt wird.
  • Da die Aktualitätsauswertung somit insbesondere auf die für eine Bearbeitung von eingelesenen Daten benötigte Zeit bezogen ist, wird auf äußerst effizient Weise eine Überprüfung ermöglicht, ob eine Teilnehmerspezifische Datenverarbeitung und/oder -weiterleitung innerhalb einer vorgegebenen/vorgebbaren maximalen Zeit erfolgt, einschließlich einer Verarbeitung von Eingabe-Daten in Ausgabe-Daten durch den Master.
  • Applikationsspezifisch ist somit ferner bevorzugt vorgesehen, dass das Einleiten einer definierten Maßnahme, insbesondere einer Sicherheitsmaßnahme, unter Ansprechen auf eine erkannte maximale Reaktionsschwellzeit entsprechend durch den Aktualitätsparameter erzeugenden Teilnehmer und/oder durch den jeweils einlesenden Teilnehmer, insbesondere durch einen Ausgangsteilnehmer oder einen Teilnehmer mit zugeordnetem Ausgangsmodel, erfolgt.
  • Ist beispielsweise bei der Durchführung der Erfindung sichergestellt, dass eine Verarbeitung von Eingabedaten in Ausgabedaten durch einen ausgewählten Teilnehmer, bevorzugt durch den Master innerhalb einer vorgegebenen/vorgebbaren maximalen Zeit erfolgt, ermöglicht dies aufgrund der synchronen Übernahme von Informationen einem Ausgangsteilnehmer selbstständig eine Bestimmung und/oder Überwachung der maximalen zulässigen Alterungszeit einer eingelesenen Eingangsinformation durchführen.
  • Folglich kann ein Teilnehmer, der weiß, dass seine eingelesenen Daten, die er mit einem bestimmten Zyklus erhalten hat, aus Eingangsdaten, die aus dem vorhergehenden Datenzyklus stammen, berechnet wurden, eine dem Teilnehmer zugeordnete Watchdog auf die Zeit des letzten Datenzyklus zurücksetzen.
  • Da die Teilnehmer Eingangsteilnehmer und Ausgangsteilnehmer und/oder Master und Slaves umfassen können, ist die Erfindung folglich für im Wesentlichen jedes Datenverarbeitungssystem einsetzbar, wobei Masterfunktionen auch z. B. ähnlich einem Tokenring-System weitergegeben werden können.
  • Zur Durchführung der Erfindung weist folglich zumindest ein Teilnehmer eine Auswerteeinheit und Reaktions-Vergleichseinrichtung auf, in bevorzugter Ausführung der oder die Teilnehmer mit Aktualitätsparameter erzeugenden Treiber-artigen Mitteln.
  • Umfasst ein erfindungsgemäß adaptiertes Datenverarbeitungssystem auch Systemkoppler, werden dem Systemkoppler zugeordnete Watchdogzeiten aufgeteilt, da dieser sowohl die Funktion des Masters eines unterlagerten Systems als auch eines Slaves des überlagerten Systems wahrnimmt.
  • Die Erfindung ist somit aufgrund der äußerst flexiblen Variationsmöglichkeiten bevorzugt bei Datenverarbeitungsystemen einsetzbar, bei welchen die Kommunikation zur Weiterleitung der Daten von einem Slave zu einem anderen und/oder zur Veränderung der Daten über einen Master erfolgt oder ohne einen Master direkt zwischen zwei Slaves erfolgt.
  • Als weitere bevorzugte Ausführungsformen umfasst die Erfindung insbesondere Applikationen, bei denen der Master eine sichere Steuerung ist und/oder die Slaves sichere digitale/analoge Eingänge und/oder sichere digitale/analoge Ausgänge besitzen und/oder welche eine Mischung von sicheren und/oder normalen Teilnehmer mit und/oder ohne Zeitinformation auch am gleichen Bus aufweisen.
  • Die Erfindung wird nachfolgend anhand bevorzugter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen beispielhaft beschrieben. In den Zeichnungen zeigen:
  • 1 zur Darstellung einer ersten bevorzugten Ausführungsform der Erfindung eine stark vereinfachte Prinzipskizze eines Systems zum Betreiben einer Automatisierungsanlage, umfassend mehrere erfindungsgemäße Teilnehmerkomponenten, die jeweils eine zugeordnete intelligente Einheit aufweisen,
  • 2 ein stark schematisiertes Master-Slave-System zur Darstellung weiterer bevorzugter Ausführungsformen der Erfindung,
  • 3 ein vereinfachtes Ablaufschema von Datenzyklen gemäß einer erfindungsgemäßen Master-Slave-basierten Ausbildungsform.
  • Nachfolgend wird zunächst auf 1 Bezug genommen, welches für die Erfindung wesentliche Elemente eines Standardnetzwerksystems zum Betreiben einer Automatisierungsanlage in stark vereinfachter Weise dargestellt.
  • Basierend auf einem derartigen Datenverarbeitungssystem werden bevorzugt von wenigstens einem Eingangsteilnehmer oder einem, einem Teilnehmer zugeordneten Eingangsmodul, Eingangsdaten eingelesen. Diese Daten werden nach Verarbeitung von einem Ausgangsteilnehmer oder einem, einem Teilnehmer zugeordneten Ausgangsmodul, als Ausgangsdaten ausgegeben. Eine Verarbeitung kann im gleichen Teilnehmer erfolgen oder nach Weitergabe der Eingangsdaten durch einen anderen, der nach Verarbeitung der Eingangsdaten zu Ausgangsdaten diese ausgibt oder einem anderen Teilnehmer zur Ausgabe übergibt.
  • Im Einzelnen zeigt 1 eine Anzahl von im Standardnetzwerksystem eingebundenen Teilnehmern 11, 12, 13, 14 und 15, die jeweils über eine intelligente Einheit 1, 2, 3, 4 bzw. 5 verfügen, welche für definierte Applikationen und/oder an definierten Positionen des Netzwerkes vorgesehen sind.
  • Die den Teilnehmern 11, 12, 13, 14 und 15 zugeordneten intelligenten Einheiten 1, 2, 3, 4 und 5 umfassen somit bevorzugt anlagenspezifische Anlagenkomponenten, wie beispielsweise Sensoren und/oder Aktoren, und weisen ferner eine zugeordnete, nicht näher dargestellte Logik zum entsprechenden teilnehmerspezifischen Verarbeiten von Daten auf.
  • Bei der in 1 beispielhaft dargestellten Applikation umfasst zumindest die dem Teilnehmer 12 zugeordnete intelligente Einheit 2 Treiber-artige Mittel 122, welche wechselnde Werte 123 erzeugen, die eindeutig und in festen Zeitrastern über einen längeren Zeitraum zur Verfügung stehen.
  • Zur Überwachung und/oder Feststellung von Reaktionszeiten zwischen sicheren Eingangsdaten und korrespondierenden sicheren Ausgangsdaten übermittelt der Teilnehmer 12 die Werte 123, wie mit den Pfeilen A gekennzeichnet, synchron an alle intelligenten Einheiten, welche sichere Daten weiterleiten und/oder verarbeiten, im vorliegenden Beispiel an die intelligenten Einheiten 1, 3, und 4.
  • Die übermittelten Werte 123 werden daraufhin von den zur Bearbeitung sicherer Daten vorgesehenen Teilnehmer 11, 13, und 14 zusammen mit aktuell im entsprechenden Datenzyklus anliegenden sicheren Eingabe- und/oder Ausgabedaten eingelesen. Nach Weiterverarbeitung und/oder Weiterleitung dieser eingelesenen Daten durch die jeweiligen intelligenten Einheiten 1, 3 und 4 wird der entsprechend zuvor zugeordnete Wert 123 an den Wert-Erzeugenden-Teilnehmer 11 zurückgemeldet, wie mit den Pfeilen B gekennzeichnet. Mittels einer Auswerteeinheit 124 der intelligenten Einheit 2 wertet der Teilnehmer 11 die jeweils zurück gesandten Werte 123 zur Ermittlung der jeweiligen Reaktionszeit betreffend Bearbeitung der eingelesenen sicheren Daten in korrespondierende ausgegebene sichere Daten aus.
  • Je nach ermittelter Reaktionszeit kann der Teilnehmer 12 eine entsprechende Maßnahmen einleiten. Insbesondere wird nach Überschreiten einer vorgegebenen oder vorgebbaren maximal zulässigen Reaktionszeit das Auslösen einer sicherheitsgerichteten Maßnahme eingeleitet.
  • Zusätzlich ist bevorzugt vorgesehen, dass der Teilnehmer 12 Fehler erkennt, sofern zumindest einer der übermittelten Werte 123 nach der maximal zulässigen Reaktionszeit noch nicht zurück übertragen worden ist.
  • Die erfindungsgemäßen Mechanismen des gemäß 1 bereitgestellte Netzwerksystems, mittels denen die, insbesondere Datenzyklus und/oder Bearbeitungszyklus basierten, Werte 123 generiert und übermittelt werden, stellen hierbei folglich ein synchronisierendes Broadcast-Verhalten sicher, mit welchem hinsichtlich allen im sicheren Datenstrom liegenden beeinflussenden Teilnehmern eine in festen Grenzen und/oder zu einem bestimmten Zeitpunkt definierte Transport-Beziehung auf dem Datenweg in Sende- und/oder Empfangsrichtung gewährleistet wird.
  • Wie nachfolgend in alternativer Ausführung ferner anhand der 2 und 3 beschrieben, ist der erfindungsgemäße Ansatz somit zur Überprüfung, Feststellung und/oder Einhaltung von Reaktionszeiten an eine Vielzahl von unterschiedlichen Datenverarbeitungsnetzwerken und/oder Systemen applikationsspezifisch anpassbar bzw. entsprechend der jeweiligen sicheren und/oder nicht sicheren Struktur mit zentraler Ausbildung, beispielsweise innerhalb von Rechnersystemen und deren Aufbau, dezentraler Ausbildung, beispielsweise bei Bussystemen, oder dezentral gekoppelter Ausbildung, beispielsweise mittels Systemkoppler, Übertrager und/oder Router über Systemgrenzen hinweg, adaptierbar.
  • 2 skizziert einen Master-Slave-Ringeschiebebus mit einem als Master fungierenden Teilnehmer 21 und zwei Teilnehmern 22 und 23 als Slaves. Der Teilnehmer 22 ist hierbei ein Eingangsteilnehmer, der Eingangs- oder Eingabedaten aus der Peripherie, wie mit dem Pfeil IN angezeigt, einliest und an den Master 21 entsprechende Eingabe- bzw. IN-Daten zur sicheren und/oder nicht sicheren Verarbeitung in Ausgabe- bzw. OUT-Daten weiterleitet. Nach Verarbeitung der IN-Daten in OUT-Daten durch den Master 21 werden diese an die Slave 22 und 23 gesendet, woraufhin der Ausgangsteilnehmer 23 nach Einlesen der OUT-Daten korrespondierende Daten an die entsprechende Peripherie, wie mit dem Pfeil OUT angezeigt, ausgibt.
  • An alle zur Datenverarbeitung im System eingebundenen Teilnehmer 21, 22 und 23 werden die zu verarbeitenden Daten unter Verwendung eines Ringschieberegisters R in einem Datenzyklus übergeben, wobei Netzwerk- und/oder Systemspezifisch alle Teilnehmer 21, 22, 23 zur synchronen Datenübernahme angewiesen werden.
  • Die Synchronisation kann Netzwerkspezifisch auch auf andere Weise erfolgen. So kann beispielsweise unter Verwendung eines ETHERNET basierten Systems ein Broadcastsignal als eine Art Latchsignal oder TAKT/IMPULS zur Anweisung der Datenübernahme eingesetzt werden.
  • Unter der Annahme, dass bei fehlerfreiem Betrieb jeweilige Datenbearbeitungen, d. h. im Wesentlichen Teilnehmer spezifische Datenverarbeitungen und/oder Datenweiterleitungen, innerhalb einer vorgegebenen/vorgebbaren maximalen Zeit, also insbesondere auch die Verarbeitung der IN-Daten in OUT-Daten durch den Master 21 innerhalb einer vorgegebenen/vorgebbaren maximalen Zeit erfolgt, ermöglicht die Erfindung somit, dass grundsätzlich durch jeden Teilnehmer 21, 22 und 23, in bevorzugter Weise insbesondere durch den Ausgangsteilnehmer 23 eine Bestimmung der maximalen Zeit des Alters eingelesener Information und folglich eine Überwachung deren Aktualität durchführbar ist. Die Reaktionszeit bildet somit bereits einen unmittelbaren zeitlichen Bezug der OUT-Daten und zu den IN-Daten ohne, dass zusätzliche Information im Übertragungsprotokoll übertragen werden muss.
  • Werden zusätzliche Informationen, beispielsweise zur Applikationsspezifischen Überwachung einzelner Teilnehmer, der Übertragung über Systemgrenzen, von einzelnen Busstörungen und/oder von Fehlsynchronisationen benötigt, kann es notwendig sein, ein oder mehrere Bits hierfür im Übertragungsprotokoll bereitzustellen.
  • Erkennt der Teilnehmer somit, dass eingelesene Daten, beispielsweise basierend auf einer Unterbrechung eines Buskabels, nicht mehr gültig sind, also ein Ablauf der maximalen Zeit hinsichtlich der Datenaktualität vorliegt, wird ein bestimmter Ausgang in den sicheren Zustand geschaltet. Das Einleiten spezifischer, insbesondere sicherheitsgerichter Maßnahmen innerhalb vorgegebener Reaktionszeit ist folglich sichergestellt.
  • Bei einer ersten hierauf basierten bevorzugten Ausführungsform zählt jeder Teilnehmer 21, 22 und 23 die (gültigen) Datenzyklen mit. Bei einem (Bus-)Start und/oder nach einem Fehler erfolgt die Synchronisation durch einen bestimmten Teilnehmer, wie z. B. durch den Master 21 bevorzugt durch ein entsprechendes Signal. Jeder Teilnehmer 21, 22 und 23 gibt die Zeit des Lesens der eingehenden Daten bezogen auf den vorangegangenen (gültigen) Datenzyklus an, wodurch im Wesentlichen ein relativer Zeitbezug eingestellt wird. Zweckmäßiger Weise werden für die Lesezeiten Zeitdimensionen verwendet, die der Länge zwischen den vergangenen Datenzyklen entsprechen.
  • Stammt z. B. das Eingangsdatum eines Teilnehmers aus dem vorhergehendem Datenzyklus, so gibt er eine 1 zurück, stammen die Daten aus dem vor-vorhergehendem Datenzyklus eine 2. Dies ist jedoch nur bis zu einer maximalen Größe zulässig, so dass ab einer vorgegebenen bzw. vorgebbaren Größe eines Eingangsdatum dieses als zu alt erkannt wird.
  • Wird gemäß einer bevorzugten Ausbildung z. B. bei einem Aktualitätswert von 7 automatisch davon ausgegangen, dass die Daten zu alt sind, rechen 3 Bits für die Zeitinformation aus und jeder Teilnehmer 21, 22 und 23 kann genau berechnen, wie alt die Daten sind bzw. ob die Daten noch ausreichend aktuell sind. Hieraus folgt, dass maximal 6 Datenzyklen alte Daten weitergereicht werden, wobei jeder Teilnehmer, der Daten wieder weitergibt, z. B. der Master 21, der die Eingangsdaten zu Ausgangsdaten verarbeitet, seine eigene Verarbeitungszeit auf die über den Aktualitätswert erhaltene Lesezeit addiert und daraus einen entsprechend neuen Aktualitätswert weitergibt.
  • Bei einer zweiten auf 2 basierten bevorzugten Ausführungsform überträgt der Master 21 mit jedem Satz von OUT-Daten einen Aktualitätswert an die Slaves 22 und 23 mit. Im gleichen Zyklus erhält der Master 21 von den Slaves 22 und 23 Eingangsinformationen mit Angabe des Aktualitätswertes. Bei fehlerfreiem Betrieb müssen demnach die von den Slaves 22 und 23 mit diesen Eingangsinformationen übertragenen Aktualitätswerte identisch mit dem Aktualitätswert sein, den der Master im vorherigen Zyklus an die Slaves 22 und 23 übertragen hat.
  • Bei einer weiteren bevorzugten Ausführungsform, insbesondere unter Ausnutzung der Eigenschaften des Interbus, erhält jeder Slave 22 und 23 nach dem Schieben der Daten ein Signal, dass die Teilnehmer 22 und 23 die Out-Daten übernehmen können und die IN-Daten vom Master 21 eingelesen werden. Dieses Signal erhalten alle Teilnehmer synchron, also in Form eines Ziel unabhängigen Signals (TIC-Target Independent Code).
  • Unter zusätzlicher Bezugnahme auf das in 3 skizzierte Ablaufschema von aufeinanderfolgenden Datenzyklen sendet der Master M im ersten Datenzyklus D1 und/oder nach einem Identitäts-(ID)-Zyklus an alle Slave-Teilnehmer TN1 und TN2 eine Null. Diese Null dient der Synchronisation. Die Slaves TN1 und TN2 senden in diesem Datenzyklus D1 eine Null bzw. ihren letzten Zählerstand, wenn es sich bei dem Datenzyklus D1 um ein Zyklus nach einem ID-Zyklus im laufenden Busbetrieb handelt.
  • Im nächsten Datenzyklus D2, also nachdem die Slaves TN1 und TN2 von dem Master M die Null erhalten haben, senden die Slaves TN1 und TN2 die Null zurück. Der Master M sendet in D2 den ersten Zeitwert 01.
  • Die DATA Werte in dem Telegramm mit dem der Zeitwert oder -stempel Null übertragen wird sind Statusinformationen und keine Werte, die zu den Peripherie-Ein- und/oder Ausgängen der Slaves TN1 und TN2 gehören. Folglich ist es möglich, bei jeder Fehlsynchronisation bzw. nach einem Fehler Fehlerinformationen mit zu übertragen.
  • Im nächsten Datenzyklus D3, also nachdem die Slaves TN1 und TN2 von dem Master M den ersten Zeitwert 01 erhalten haben, senden auch die Slaves TN1 und TN2 diesen ersten Zeitwert 01 mit gültigen Daten (gD) zurück. Der Master M sendet in D3 den zweiten Zeitwert 02 für jeden Slave TN1 bzw. TN2. Ferner werden in diesem Zyklus D3 von den sicheren Slaves TN1 und TN2 deren zu diesem Zeitpunkt gültigen Eingangsinformationen mit übertragen. Folglich merkt sich jeder Teilnehmer, also alle Slaves TN1 und TN2 und der Master M im Bus diese Zeit.
  • Bis zum nächsten Zyklus D4 hat der Master M alle Ausgangsinformationen aus den letzten Eingangsinformationen gewonnen. Im nächsten Zyklus D4 werden dann somit diese Ausgangsinformationen mit der nächsten Zeitinformation 03 zu jedem Slave TN1 und TN2 gesendet. Da der Slave TN1 bzw. TN2 im Bus weiß, dass seine eingelesene Ausgangsinformation, die er mit diesem Zyklus D4 erhalten hat, aus Eingangsinformationen, die aus dem letzten Datenzyklus D3 stammen, berechnet wurden, kann er seine Watchdog WD auf die Zeit des letzten Datenzyklus D3 zurücksetzen.
  • Gehen zwischendurch Zyklen defekt oder reagiert ein Teilnehmer nicht rechtzeitig, so sendet wenigstens ein Slave oder der Master eine Null oder ein FF oder einen anderen definierbaren Wert, damit erst wieder eine Synchronisation gefahren wird, und alle Teilnehmer M, TN1 und TN2 in Folge wissen, dass ihre Ausgangsinformationen aus veralteten Eingangsinformationen stammen. Werden diese Ausgangsinformationen älter als für einen Ausgangsteilnehmer bzw. dessen zugeordnetes -modul erlaubt ist, schaltet dieser selbstständig sicher ab oder führt eine sicherheitsgerichtete Funktion durch.
  • Jeder Teilnehmer M, TN1 und TN2 erhält also seine eigene Watchdogzeit. Diese müssen nicht von dem Master M zentral überwacht werden. Auch ist es nicht notwendig, eine Zeit im Protokoll mit zu versenden.
  • In Abwandlung zu vorstehend beschriebenen Beispiel zählt gemäß einer weiteren bevorzugten Ausführung jeder TN1 und TN2 für sich.
  • Insbesondere ist hierzu vorgeschlagen, dass nach der Überprüfung der Initialisierung jeder Slave TN1 und TN2 mit 1 als Aktualitätsparameter TIME anfängt und dieser pro Zyklus hoch zählt, wohingegen der Master M erst mit 1 anfängt, nachdem er die ersten Daten von den Slaves TN1 und TN2 verarbeitet hat, also einen Zyklus nachdem die Slaves die 1 gesendet haben. Jeder Teilnehmer M, TN1 und TN2 lässt somit einen Versatz von 1 zu.
  • TIME = 0 bedeutet somit, dass die anderen Daten im Telegramm nicht für IN-Daten oder OUT-Daten verwendet werden dürfen, wohingegen TIME <> 0 bedeutet, dass die anderen Daten im Telegramm als IN-Daten oder OUT-Daten zu interpretieren sind.
  • Werden hierbei wiederum bevorzugt die Eigenschaften des Interbus genutzt, erhält somit jeder Teilnehmer M, TN1 und TN2 nach dem Schieben der Daten ein Signal, dass der Teilnehmer jetzt die OUT-Daten übernehmen kann und/oder die IN-Daten eingelesen werden.
  • Im ersten Datenzyklus nach einem ID-Zyklus sendet der Master M somit die für die Slaves TN1 und TN2 gültigen Aktualitätsparameter, welche jeweils einem wiederholt auftretendem Zählerstand entsprechen. Die Slaves TN1 und TN2 senden im ersten Datenzyklus nach dem ID-Zyklus ihre jeweils gültigen Zählerstände als Aktualitätsparameter.
  • Nach einem (erneuten) Einschalten des Systems, d. h. insbesondere nach dem Einschalten (POWER ON) oder einem Neustart (RESET) des Masters M, sendet der Master M an alle Slaves TN1, TN2 eine 0 zur Synchronisation. Die Slaves senden ebenfalls im ersten Datenzyklus nach dem Einschalten, im Falle eines Einschaltens (POWER ON) oder eines Neustarts (RESET) der Slaves TN1, TN2 eine Null. Haben die Slaves TN1, TN2 keine Einschalt- oder Neustartanweisung erhalten, senden sie ihren letzten Zählerstand als Aktualitätsparameter.
  • Nachdem die Slaves TN1, TN2 die Null von dem Master M erhalten haben, senden die Slaves TN1, TN2 im nächsten Datenzyklus die Null zurück.
  • Sind vom Master M oder einem Slave TN1, TN2 eine Null gesendet worden, befinden sich beide solange in einer Initialisierungsphase, bis diese von beiden als gültig abgeschlossen wurde.
  • Der Master M sendet in diesem Zyklus den ersten Aktualitätsparameter an jeden Slave TN1 und TN2. Die DATA-Werte in dem Telegramm, in dem der Zeitstempel Null übertragen wird, sind Statusinformationen und keine Werte für die Peripherieeingänge oder -ausgänge. Somit ist es wiederum möglich bei jedem Fehler oder bei einer Fehlsynchronisation Fehlerinformationen mit zu übertragen.
  • In dem nächsten Datenzyklus werden dann von den Slaves TN1 und TN2 die ersten Aktualitätsparameter, die sie vorher von dem Master M erhalten haben, an diesen zurückgesendet. Der Master M sendet danach entsprechend den zweiten Aktualitätsparameter für jeden Slave TN1 und TN2. Von dem Slave TN1 bzw. TN2 werden in diesem Zyklus seine zu diesem Zeitpunkt gültigen Eingangsinformationen mit übertragen.
  • Deshalb merkt sich jeder Slave TN1 und TN2 im Bus den zum Aktualitätsparameter zugehörigen Zeitpunkt.
  • Bis zum nächsten Zyklus hat der Master M wiederum alle Ausgangsinformationen aus den letzten Eingangsinformationen gewonnen. Im nächsten Datenzyklus werden dann diese Ausgangsinformationen mit dem nächsten Aktualitätsparameter zu jedem Slave TN1 und TN2 gesendet. Da der Slave TN1, TN2 weiß, dass seine Ausgangsinformation, die er mit diesem Zyklus erhalten hat, aus den Eingangsinformationen, die aus dem letzten Datenzyklus stammen, berechnet wurden, kann er seine Watchdog auf den Zeitpunkt des letzten Datenzyklus zurücksetzen.
  • Gehen zwischendurch Zyklen defekt oder reagiert ein Teilnehmer nicht rechtzeitig, so sendet der entsprechende Slave oder der Master als Aktualitätsparameter beispielsweise eine Null oder ein FF oder einen anderen definierbaren Wert, damit erst wieder eine Synchronisation gefahren wird, und alle Teilnehmer in Folge wissen, dass ihre Ausgangsinformationen aus veralteten Eingangsinformationen stammen. Werden diese Ausgangsinformationen älter als für einen Ausgangsteilnehmer bzw. dessen zugeordnetes -modul erlaubt, schaltet dieser selbstständig sicher ab oder führt eine sicherheitsgerichtete Funktion durch.
  • Jeder Slave TN1 und TN2 erhält also seine eigene Watchdogzeit. Diese muss nicht von der sicheren Steuerung überwacht werden. Auch ist es nicht notwendig, eine absolute Zeitinformation im Protokoll mit zu versenden.
  • Ein fehlerfreier Betrieb ist somit bei beiden vorstehend beschriebenen Applikationen grundsätzlich gewährleistet, dass, solange der Master M das Protokoll für den nächsten Zyklus synchron abarbeitet, die neuen Ausgangsinformationen im nächsten Zyklus zur Verfügung stehen und alle Eingangsteilnehmer bzw. -module ihre Eingangsinformation synchron zur Verfügung stellen.
  • Wie aus 3 ersichtlich ist, findet die Erfindung auch Anwendung bei Gesamtsystemen, bei denen der Master M eine sichere Steuerung ist und/oder ein Systemkoppler eingesetzt ist, wobei die Watchdogzeit in diesem Fall aufgeteilt wird, da der Systemkoppler in diesem Fall sowohl Master M eines unterlagerten Systems als auch Slave des überlagerten Systems ist.
  • Der Systemkoppler erhält folglich je eine Watchdogzeit für die Ausgänge des unterlagerten Systems und eine Watchdogzeit für die Eingänge des unterlagerten Systems. Die Watchdogzeiten auf den Ausgangsteilnehmern bzw. deren Ausgangsmodulen des unterlagerten Systems müssen dann entsprechend verkleinert werden. Dies ist jedoch von der Zeit her im Wesentlichen unkritisch, da sichere Eingänge aus überlagerten oder unterlagerten Systemen herkömmlicher Weise immer langsamer sind, als direkt am Bus angeschlossene Eingänge.
  • Auch wenn die vorstehende Beschreibung der Erfindung auf einigen bevorzugten Ausführungsformen basiert, ist es für einen Fachmann ersichtlich, dass Modifikationen innerhalb des durch die anhängenden Ansprüche definierten Schutzbereichs erfasst sind.
  • So deckt die Erfindung insbesondere ferner Weiterbildungen ab, bei denen sichere und/oder normale Teilnehmer mit und/oder ohne Zeitinformation am gleichen Bus gemischt vorliegen, eine Verarbeitung der Daten im Master und/oder in einem oder mehren Slaves erfolgt und/oder es sich nicht um ein Master-Slave-System sonder um ein System, bei dem z. B. die Masterfunktion ähnlich einem Tokenring-Ansatz weitergegeben wird.
  • Ferner ist es nicht zwingend, dass die Kommunikation immer über einen Master erfolgt. Alternativ kann für die Anwendung der Erfindung die Kommunikation auch ohne Master direkt zwischen Slaves und/oder über einen Master erfolgen, der die Daten lediglich von einem Slave zu einem anderen weiterleitet, ohne diese zu verändern. Ferner können Slaves für die Anwendung der Erfindung sichere digitale/analoge Eingänge und/oder sichere digitale/analoge Ausgänge besitzen.
  • Die Erfindung ist somit im Wesentlichen bei allen Datenverarbeitungssystemen einsetzbar, bei denen gewährleistbar ist, dass alle Teilnehmer zum gleichen Zeitpunkt einen Art ”Takt” oder ”Impuls” erhalten und insbesondere, bei denen es wichtig ist sicherzustellen, dass die Ausgänge einen definierten Zustand einnehmen, wenn keine aktuellen Eingangsinformationen vorliegen.

Claims (20)

  1. Verfahren zur Sicherstellung der Einhaltung von vorgegebenen oder vorgebbaren maximalen Reaktionszeiten in einem Datenverarbeitungssystem mit im System eingebundenen Teilnehmern, wobei während jedem Datenzyklus eingangsseitig an im System eingebundenen Teilnehmern (11, 13, 14, 21, 22, 23, M, TN1, TN2) anliegende Daten synchron eingelesen werden, wobei zur Synchronisation des Einlesens zumindest zeitweise ein Synchronisierungssignal an alle Teilnehmer gesendet wird, wobei von einem ersten Teilnehmer ausgegebene und von einem zweiten Teilnehmer während eines Datenzyklus eingelesene Daten (IN, OUT) zusammen mit einem ausgehenden zugeordneten Aktualitätsparameter (123) übertragen werden, wobei eine Überprüfung erfolgt, ob eine teilnehmerspezifische Datenverarbeitung und/oder -weiterleitung innerhalb einer vorgegebenen oder vorgebbaren maximalen Zeit erfolgt, indem der zweite Teilnehmer den den eingelesenen Daten zugeordneten Aktualitätsparameter (123) überprüft und bei Erreichen einer definierten Abweichung gegenüber einer definierten Aktualitätsschwelle einen Fehler erkennt, und wobei unter Ansprechen auf die Fehlererkennung eine definierte Funktion ausgelöst wird.
  2. Verfahren nach vorstehendem Anspruch, ferner gekennzeichnet dadurch, dass der Schritt der Überprüfung während jedes Datenzyklus durchgeführt wird.
  3. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass das Synchronisierungssignal durch einen ausgewählten Teilnehmer an alle Teilnehmer, insbesondere durch einen Master an alle Slaves, gesendet wird.
  4. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass das Synchronisierungssignal bei einem Systemstart und/oder nach einem System- und/oder Teilnehmer basierten Fehler gesendet wird.
  5. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass zur Synchronisation des Einlesens mit jedem Datenzyklus ein Broadcast- oder Latchsignal an alle Teilnehmer gesendet wird.
  6. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass eine Datenweitergabe unter Verwendung von Ringschieberegistern (R) erfolgt.
  7. Verfahren nach vorstehendem Anspruch, ferner gekennzeichnet dadurch, dass jeder Teilnehmer die (gültigen) Datenzyklen mitzählt und/oder ein ausgewählter Teilnehmer zusammen mit einzulesenen Daten Aktualitätsparameter überträgt.
  8. Verfahren nach vorstehendem Anspruch, ferner gekennzeichnet dadurch, dass jeder Teilnehmer, der Daten weitergibt, zur Erkennung von Fehlern seine eigene Zeit des Einlesens auf eine über den Aktualitätsparameter erhaltene Zeit des Einlesens addiert.
  9. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass der Aktualitätsparameter erzeugende Teilnehmer oder ein Ausgangsteilnehmer eine Auswertung des Aktualitätsparameters durchführt, insbesondere zur Bestimmung und/oder Überwachung der maximalen Zeit einer Eingangsinformation und/oder in Bezug einer auf der Eingangsinformation basierten Reaktionszeit.
  10. Verfahren nach einem der vorstehenden Ansprüche, wobei Eingangsdaten in Ausgangsdaten innerhalb einer vorgegebenen/vorgebbaren maximalen Zeit von einem ausgewähltem Teilnehmer verarbeitet werden.
  11. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass ein von einem Teilnehmer zuzuordnender Aktualitätsparameter, insbesondere ein Zähler und/oder eine Watchdogzeit, unter Ansprechen auf das Einlesen einer Ausgangsinformation, die auf einer zeitfolgerichtigen Eingangsinformation basiert, zurückgesetzt wird.
  12. Verfahren nach einem der vorstehenden Ansprüche, ferner gekennzeichnet dadurch, dass die Überwachung von Aktualitätsparametern, zentral oder dezentral erfolgt.
  13. Datenverarbeitungssystem, welches zur Durchführung eines Verfahrens nach einem der vorstehenden Ansprüche angepasst ist.
  14. Datenverarbeitungssystem nach vorstehendem Anspruch 13, wobei die Teilnehmer sichere und/oder nicht sichere Eingangsteilnehmer, Ausgangsteilnehmer, Teilnehmer mit zugeordneten Ein- und/oder Ausgangsmodulen umfassen und sichere digitale/analoge Eingänge und/oder sichere digitale/analoge Ausgänge besitzen.
  15. Datenverarbeitungssystem nach einem der vorstehenden Ansprüche 13 bis 14, wobei die Teilnehmer wenigstens einen Master und Slaves umfassen, zur Verarbeitung von Eingangs- zu Ausgangsdaten eine Kommunikation zwischen zwei Slaves direkt oder über einen Master erfolgt und/oder Daten ohne Veränderung über einen Master von einem Slave zu einem anderen Weiterleitbar sind und/oder eine Masterfunktion übergebbar ist.
  16. Datenverarbeitungssystem nach vorstehendem Anspruch 15, wobei ein Master eine sichere Steuerung und/oder Teil eines Systemkopplers ist.
  17. Datenverarbeitungssystem nach einem der vorstehenden Ansprüche 13 bis 16, ferner gekennzeichnet dadurch, dass jeder Teilnehmer wenigstens eine Watchdogzeit erhält.
  18. Datenverarbeitungssystem nach einem der vorstehenden Ansprüche 13 bis 17, wobei Teilnehmer mit und ohne Zeitinformation am gleichen Bus, insbesondere einem Ringbus, gemischt vorliegen.
  19. Datenverarbeitungssystem nach einem der vorstehenden Ansprüche 13 bis 18, wobei wenigstens einem Teilnehmer eine intelligente Einheit mit Treiber-artigen Mitteln zur Erzeugung wechselnder Aktualitätsparameter zugeordnet ist, die eindeutig und/oder in festen Zeit- und/oder Zyklusstrukturen über einen defininierbaren Zeitraum zur Verfügung stehen.
  20. Datenverarbeitungssystem nach einem der vorstehenden Ansprüche 13 bis 19, wobei zumindest ein Aktualtitätaparameter erzeugender Teilnehmer und/oder Ausgangsteilnehmer eine den Aktualitätsparameter auswertende Einheit aufweist.
DE10325263A 2003-03-06 2003-06-03 Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen Expired - Fee Related DE10325263B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE10325263A DE10325263B4 (de) 2003-06-03 2003-06-03 Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
EP04011340.9A EP1484679B1 (de) 2003-06-03 2004-05-13 Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
US10/848,629 US7802150B2 (en) 2003-03-06 2004-05-19 Ensuring maximum reaction times in complex or distributed safe and/or nonsafe systems
CN2004100473355A CN1574848B (zh) 2003-06-03 2004-06-02 用于确保最长容许反应时间的方法和数据处理系统
JP2004165368A JP4247791B2 (ja) 2003-06-03 2004-06-03 複雑なまたは分散式の安全および/または非安全システムの最大反応時間の保証

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10325263A DE10325263B4 (de) 2003-06-03 2003-06-03 Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen

Publications (2)

Publication Number Publication Date
DE10325263A1 DE10325263A1 (de) 2004-12-30
DE10325263B4 true DE10325263B4 (de) 2013-09-19

Family

ID=33154544

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10325263A Expired - Fee Related DE10325263B4 (de) 2003-03-06 2003-06-03 Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen

Country Status (5)

Country Link
US (1) US7802150B2 (de)
EP (1) EP1484679B1 (de)
JP (1) JP4247791B2 (de)
CN (1) CN1574848B (de)
DE (1) DE10325263B4 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007016917B4 (de) * 2007-04-05 2009-12-17 Phoenix Contact Gmbh & Co. Kg Verfahren sowie System zur sicheren Übertragung von zyklischen zu übertragenden Prozessdaten
US9372744B2 (en) * 2011-11-15 2016-06-21 Anywire Corporation Method for detecting failure and slave station for use in same
CN104126311B (zh) * 2012-02-22 2019-01-01 株式会社爱霓威亚 故障检测方法及使用于该方法的子站终端站
DE102013005579B3 (de) 2013-04-03 2014-03-20 Phoenix Contact Gmbh & Co. Kg Verfahren für einen fehlersicheren Betrieb eines netzwerksfähigen Steuerungssystems
CN103455408B (zh) * 2013-09-05 2016-05-25 华为技术有限公司 一种评估文件系统输入输出处理稳定性的方法及装置
DE102017109886A1 (de) * 2017-05-09 2018-11-15 Abb Ag Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen mit Master-Slave-Funktionalität

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19909091A1 (de) * 1999-03-02 2000-09-14 Siemens Ag Bussystem mit verbesserter Datenübertragungssicherheit

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4633039A (en) * 1980-12-29 1986-12-30 Gte Communication Systems Corp. Master-slave microprocessor control circuit
FR2526249A1 (fr) * 1982-04-30 1983-11-04 Labo Electronique Physique Procede et dispositif de calage temporel automatique de stations dans un multiplex temporel pour bus optique et systeme de transmission et de traitement de donnees comprenant un tel dispositif
DE3576262D1 (de) * 1985-11-21 1990-04-05 Thomson Csf Verfahren zur synchronen und dezentralen nachrichtenuebertragung und netzwerk zur nachrichtenuebertragung unter verwendung des verfahrens.
US5157780A (en) * 1990-06-12 1992-10-20 Advanced Micro Devices, Inc. Master-slave checking system
FR2692379B1 (fr) * 1991-10-04 1996-08-14 Aerospatiale Ste Nat Indle Procede de detection et de passivation de pannes dans un systeme de traitement de donnees, et systeme de traitement de donnees adapte a sa mise en oeuvre
WO1994011820A1 (en) * 1992-11-06 1994-05-26 University Of Newcastle Upon Tyne Efficient schemes for constructing reliable computing nodes in distributed systems
CA2145854A1 (en) * 1992-11-30 1994-06-09 Alan J. Eisenberg A safety critical processor and processing method for a data processing system
EP0852034A1 (de) * 1996-07-24 1998-07-08 Hewlett-Packard Company, A Delaware Corporation Geordneter nachrichtenempfang in einem verteilten datenverarbeitungssystem
US6141630A (en) * 1997-08-07 2000-10-31 Verisity Design, Inc. System and method for automated design verification
US6055660A (en) * 1997-10-02 2000-04-25 International Business Machines Corporation Method for identifying SMP bus transfer errors
TW436671B (en) * 1998-03-25 2001-05-28 Siemens Ag Automation system
DE19840562B4 (de) 1998-09-07 2007-06-28 Phoenix Contact Gmbh & Co. Kg Sicherheitsbezogenes Steuer- und Datenübertragungssystem
DE19925693B4 (de) * 1999-06-04 2007-05-16 Phoenix Contact Gmbh & Co Schaltungsanordnung zur gesicherten Datenübertragung in einem ringförmigen Bussystem
DE19928517C2 (de) * 1999-06-22 2001-09-06 Pilz Gmbh & Co Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
US6631476B1 (en) * 1999-12-22 2003-10-07 Rockwell Automation Technologies, Inc. Safety network for industrial controller providing redundant connections on single media
DE10102435C2 (de) 2001-01-19 2002-11-21 Siemens Ag Verfahren zur Datenübertragung
JP3748077B2 (ja) 2001-05-31 2006-02-22 オムロン株式会社 安全ネットワークシステム及び安全スレーブ並びに安全コントローラ及び通信方法並びに安全ネットワークシステムにおける情報収集方法及びモニタ方法
EP1276262A1 (de) 2001-07-10 2003-01-15 Lucent Technologies Inc. Kommunikationsringnetzwerk mit Datentrennung in den Knoten
US6915444B2 (en) * 2001-09-12 2005-07-05 Rockwell Automation Technologies, Inc. Network independent safety protocol for industrial controller using data manipulation techniques
US7107358B2 (en) * 2001-09-12 2006-09-12 Rockwell Automation Technologies, Inc. Bridge for an industrial control system using data manipulation techniques
DE10158853A1 (de) * 2001-11-30 2003-06-12 Univ Braunschweig Tech Carolo Wilhelmina Verfahren zur Analyse des Zeitverhaltens komplexer verteilter Systeme
US7610119B2 (en) * 2003-07-08 2009-10-27 Omron Corporation Safety controller and system using same
US7213168B2 (en) * 2003-09-16 2007-05-01 Rockwell Automation Technologies, Inc. Safety controller providing for execution of standard and safety control programs
US7287184B2 (en) * 2003-09-16 2007-10-23 Rockwell Automation Technologies, Inc. High speed synchronization in dual-processor safety controller
US7117048B2 (en) * 2003-09-30 2006-10-03 Rockwell Automation Technologies, Inc. Safety controller with safety response time monitoring

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19909091A1 (de) * 1999-03-02 2000-09-14 Siemens Ag Bussystem mit verbesserter Datenübertragungssicherheit

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KOPETZ, H.; GRUNSTEIDL, G.: TTP - A PROTOCOL FOR FAULT-TOLERANT REAL-TIME SYSTEMS. In: COMPUTER, IEEE SERVICE CENTER, LOS ALAMITOS, CA, US 1994, Vol. 27, 1, S. 14-23. ISSN: 0018-9162 *

Also Published As

Publication number Publication date
US7802150B2 (en) 2010-09-21
JP4247791B2 (ja) 2009-04-02
EP1484679A2 (de) 2004-12-08
EP1484679B1 (de) 2018-07-25
EP1484679A3 (de) 2008-01-02
JP2005045772A (ja) 2005-02-17
DE10325263A1 (de) 2004-12-30
CN1574848A (zh) 2005-02-02
US20040243728A1 (en) 2004-12-02
CN1574848B (zh) 2011-12-28

Similar Documents

Publication Publication Date Title
DE19939568C1 (de) Verfahren zur Einstellung einer Datenübertragungsrate in einem Feldbussystem
EP1648117B1 (de) Verfahren zur Synchronisation in einem redundanten Kommunikationssystem
EP2204014B1 (de) Kommunikationsverfahren und Master-Slave-System für einen nach dem AS-Interface Standard ausgeführten Feldbus
WO2006029899A1 (de) Datenübertragungsverfahren und automatisierungssystem zum einsatz eines solchen datenübertragungsverfahrens
WO2020244983A1 (de) Fehlererkennung-testeinrichtung für eine teilnehmerstation eines seriellen bussystems und verfahren zum testen von mechanismen zur fehlererkennung bei einer kommunikation in einem seriellen bussystem
DE10361178A1 (de) Datenalterungsüberwachungsvorrichtung für Sicherheitsnetzwerke
EP1368728A2 (de) Synchrones, getaktetes kommunikationssystem mit relativuhr und verfahren zum aufbau eines solchen systems
EP1686732B1 (de) Verfahren und System zur Übertragung von Telegrammen
EP1365543B1 (de) Verfahren und Vorrichtung zur Übertragung von Information und Fehlererkennung in einem ringförmigen Netzwerk
DE10325263B4 (de) Sicherstellung von maximalen Reaktionszeiten in komplexen oder verteilten sicheren und/oder nicht sicheren Systemen
EP3042472B1 (de) Verfahren zum überwachen eines ersten teilnehmers in einem kommunikationsnetzwerk und überwachungssystem
DE10393614B4 (de) Folgeregeleinheit
EP3725042B1 (de) Teilnehmer eines bussystems, verfahren zum betrieb und ein bussystem
DE102004044764B4 (de) Datenübertragungsverfahren und Automatisierungssystem zum Einsatz eines solchen Datenübertragungsverfahrens
WO2009087090A1 (de) Vorrichtung und verfahren zur wahlweisen umschaltung zweier master für zugeordnete slaves in einer logischen ringschaltung
EP1121785B1 (de) Netzwerk sowie koppelgerät zur verbindung zweier segmente in einem derartigen netzwerk
EP2750310A1 (de) Verfahren zur Synchronisierung lokaler Uhren in einem Kommunikationsnetz eines industriellen Automatisierungssystems und Netzinfrastrukturgerät
EP2965560B1 (de) Verfahren und netzwerkinfrastruktur zum redundanten übertragen von nachrichten in einem verteilten echtzeitsystem
EP1729433B1 (de) Verfahren zur Laufzeitkorrektur in einer Kommunikationsstruktur
DE69928977T2 (de) Verfahren und Anordnung zur Verbindung von Fibre-Channel-Netzen und ATM-Netzen
EP3435179B1 (de) Verfahren zum gemäss einer sicherheitsnorm funktional sicheren austausch von informationen
WO2014191390A2 (de) Verfahren zum erfassen einer senderortszeit in einem empfänger
DE19511178C2 (de) Datenübertragungssystem mit Diagnosefunktion zur Fehlerortbestimmung
EP1780923A1 (de) Übertragung von Datentelegrammen
DE2020666C3 (de) Schaltung zum Feststellen von Fehlerort und -art von Übertragungsfehlern in einem seriellen Nachrichtenübertragungssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE, 65187 WIESBADEN, DE

Representative=s name: BLUMBACH ZINNGREBE, DE

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE, DE

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE , DE

R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20131220

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee