许多年来，现场总线系统已经越来越频繁地应用到自动控制领域中，所 述现场总线系统被连接到输入/输出设备和高级控制设备。这样的一个例子是 基于EN 50254标准的旁路总线。
这样的现场总线系统典型地包括连接到要被控制的处理过程的多个信号 单元或者多总线用户，以及包括一个通过现场总线利用“现场总线消息”控制基 于帧通信的总线主控制器(bus master)。
由于可以节省铜线，现场总线系统允许电缆布线的复杂性显著减小。然 而，设计串行现场通信系统遇到了相关安全需要的问题。作为例子这样的相关 安全功能可以是，停止功能或者允许现场总线系统进入一种安全状态的紧急事 故关闭功能。
在早期的现场总线系统中，这个目的所需的控制信号在控制器和总线用 户之间通过分离的线路而不是通过现场总线本身分别传输。
其他已知的方案涉及用来通过一定合适程度的冗余执行被设计的安全功 能的所有装置。DE 40 32 033 A1涉及到这方面，例如它公开了一种至少部分 冗余设计的电子自动控制系统(用于技术设备)。在这种系统中，相关安全信 号被多次触发并在至少两个相互独立的信号路径上向分析相关安全信号的至 少部分冗余的用户发送。
DE 37 06 325 C2描述了一种控制和数据网络，其中为了能够彼此进行通 信，相关安全设备被连接到一个单独的紧急事故停止控制线上。
这些已知技术有着伴随的缺点，它们需要大量的冗余元件或者为了发送 附加的控制信号而需要并行信号线。
专利DE 197 42 716 C2公开了一种控制和数据传输设备，其中相关安全 装置能够通过现场总线互相通信，以及每一个输出通过一个开关连接到一个总 线接口装置，并且直接连接到各总线用户和/或一个主控制装置的相关安全装 置。
尽管这些设备已经具有了利用现场总线实现安全控制的优点，下面描述 的本发明将进行进一步改进。
专利DE 199 28 517 C2中提出了另外一种用来控制临界安全处理过程的 控制系统，其中一个安全控制单元连接到现场总线。然而这个系统在许多方面 存在缺点。
寻址到一个信号单元的消息数据必须首先被生成，然后通过安全控制单 元必须再被防故障消息所取代。这个过程看起来是无效率的。
另外，数据能够仅仅通过激活的现场总线在总线主控制器和安全控制单 元间传输，因此控制单元能够实现处理。只有当现场总线被激活时这种通信才 有可能实现，这是不利的。
而且，通过现场总线的传输是相当慢的，即使有诊断选项的话，在非常 大的限制下它也是不可利用的。

因此本发明基于这样的目的：改进用于临界安全处理过程的控制系统， 以能够实现安全控制单元和总线主控制器之间高效率的通信。
本发明另一个目的是提供一种能够实现改进的诊断和反应选项的控制系 统，尤其是在发生错误事件时。
本发明的另外一个目的是提供一种能够保证高安全级别的控制系统。
本发明另一个发明目的是提供一种能够避免以上提到的缺点的控制系 统，利用能在系统中简单和廉价地集成相关安全设备的能力增加该系统的灵活 性。
本发明的目的仅仅通过独立权利要求的主题内容就可以以惊人的简单方 式实现。本发明的进一步的优点在从属权利要求中限定。
和本发明一致，用来控制临界安全处理过程的控制和数据传输系统包括 一条现场总线，尤其是一条串行现场总线，和一个连接到现场总线通过现场总 线来控制通信的总线主控制器。
本系统还包括至少一个安全信号单元或者一个安全总线用户，在操作期 间，它通过I/O通道链接或者连接到至少一个临界安全处理过程。
优选地，系统包括多个信号单元，特别是安全和非安全信号单元。安全 信号单元链接到临界安全处理过程，非安全信号单元链接到非安全处理。
另外，总线主控制器和信号单元相互连接，尤其是通过现场总线串行连 接。现场总线用来实现总线主控制器和信号单元之间的周期通信或者消息业 务。
并且，包括一个安全第一控制单元，尤其是集成了安全控制器，用来控 制临界安全处理过程。为了这样的目的，安全信号单元和安全控制单元每个都 有相关安全装置。
这就为控制临界安全处理过程提供了防故障通信。本领域技术人员很清 楚，绝对的防故障是不可能实现的，因此防故障通信被理解为与不安全通信相 比保证增加了防故障性的通信。
与本发明一致，安全控制单元或者安全控制装置，尤其是安全控制单元 中的相关安全装置，独立于现场总线或者不通过现场总线连接到总线主控制 器，并且独立于现场总线与所述总线主控制器进行通信，尤其是双向的通信。
因为第一控制单元没有直接连接到现场总线，而是连接到总线主控制器， 优选地直接借助于第一接口连接到总线主控制器。防故障数据可以通过第一接 口从第一控制单元发送到总线主控制器，最好是现有的“多端口存储器接口”。 这个接口可以包括一个或多个以太网接口，尤其是快速以太网接口。
然后，为了将数据发送到信号单元，总线主控制器将防故障数据插入到 现场总线消息或者现场总线通信的总计帧中。因此，相关安全数据在数据层被 发送到合适的信号单元，从而使得原先不安全的总线协议在数据层是“安全” 的。
安全控制单元和总线主控制器之间通过并行的或者非串行的多端口存储 器接口的通信变得更加有效率和易于负担，作为示例，比通过现场总线通信有 更多的诊断选项。
换句话说，安全控制单元产生面向安全性的协议并将其发送到总线主控 制器。然后现场总线上的通信被处理，尤其是通过总线主控制器，将面向安全 性的协议做为用户数据直接地和/或没有专用的相关安全功能插入到现场总线 消息中，并被发送到安全信号单元。
因此，与文件DE 199 28 517 C2中的解决方案比较，采用了完全相反的 方法，也就是不通过现场总线直接将安全控制单元连接到总线主控制器。本发 明从而避免了上述系统中的缺点。
显然本发明不允许类似DE 199 28 517 C2通过将安全控制单元连接到现 场总线对一个已有的控制系统进行容易实现的改进，这意味着在乍看之下可能 获得相比较而言有退步的印象。
然而，对本领域技术人员来说可能令人吃惊的是，通过这个解决方案能 够获得远远超过现有的缺点的其它基本优点。
尤其是，使在安全控制单元和总线主控制器之间更加牢靠和更加快速的 通信成为可能。
因此，根据本发明的一个具体实施例，通过一个以太网连接，尤其是一 个具有匹配接口的快速以太网连接，在安全控制单元和总线主控制器之间建立 连接。
而且，控制单元和总线主控制器之间的实际通信是安全的。
此外，在一定程度上对错误的灵活反应是可能的。不是每个错误都会直 接导致系统被切断，如果发生预定的错误，系统能够利用一个紧急状况程序继 续进行操作。
这个方法与现场总线或者网络无关，因此使得安全工程系统比先前已知 的控制系统更加有效率和更加安全。
在通过现场总线基于帧的传输中，作为举例，为了将数据发送到信号单 元，总线主控制器将防故障数据从安全控制单元插入到现场总线帧中。
这种安全控制单元和总线主控制器之间的独立于现场总线的通信同时具 有许多优点。
首先，有利的是，当通过现场总线的通信未启动时，安全控制单元和总 线主控制器之间的数据交换也能够发生。例如这可以被用于使安全控制单元控 制总线主控制器，使得后者仅仅在当一个安全控制单元的预定功能，例如一个 安全操作条件，确定的时候(只能在之后)开始操作。
作为举例，直到安全控制单元已经成功完成了一个自测试，总线主控制 器才开始工作。当安全控制单元已经启动(“启动”)时自测试开始执行，尤其 是自动执行。优选地总线主控制器在自检测期间被安全控制单元无效或者被切 换到一个不可操作状态，例如复位状态。
可选地或者另外，总线主控制器在启动之后可以同样地执行一个自检测， 也就是说特别在控制单元自检测之后，这意味着系统的安全脚步加强了。
换句话说，直到第一控制单元和/或者总线主控制器中的自检测成功完成 后，总线主控制器才会切换到一个操作条件。所达到的效果是如果总线主控制 器或者安全控制单元出了故障，通过现场总线的通信实际上并不会启动。一个 进一步的优点是只有当第一控制单元启动时总线主控制器才启动。
优选地，总线主控制器和第一控制单元是通过第一现场总线独立接口互 相连接的单独的部件。根据一个优选实施例，总线主控制器和第一控制单元通 过一个以太网协议通信。尤其是，一个以太网或快速以太网连接使得将第一控 制单元和/或总线主控制器集成到另一个现有的或者将要建立的网络中成为可 能。同样，与普通的现场总线相比，通过以太网协议通信，尤其是利用快速以 太网可能更快。
串行现场总线最好是旁路总线，总线主控制器最好是标准G4总线主控制 器，也就是说一个基于EN 50254标准的非安全总线主控制器。
如上面已经描述过的，这种类型的G4总线主控制器有一个用来将安全控 制单元连接到总线主控制器的“多端口存储器接口”。因此，在总线主控制器和 安全控制单元之间的数据传输通过可能还包括一个以太网接口的多端口存储 器接口来进行，而不是通过现场总线进行。
在这种情况下，尤其是第一控制单元为安全通信提供了安全控制数据和 安全协议，并且将安全控制数据和安全协议发送到总线主控制器。总线主控制 器依次将安全控制数据和安全性协议，尤其是对这些信息不作任何改变，做为 用户数据插入到正确的现场总线消息中。为了连接到现场总线，总线主控制器 具有一个用于通过现场总线发送数据的第二接口，第一和第二接口最好是互相 隔离的。
上面描述的系统的特征优选地允许使用一个标准的普通非安全总线控制 器，用于各种相关安全控制器。
根据本发明的另一个优选实施例，现场总线被做为一个以太网总线设计， 尤其有利的是做为一个快速以太网总线。利用这样的总线，非常高的数据传送 速率-通过快速以太网传输大约可达到100Mbit/s-是可以实现的。一个进一 步的优点尤其是易于集成到现有的网络中。
另一个优先选择是在一个实施例中安全控制单元连接到现场总线的上游 总线主控制器，这意味着相关安全数据被预先进行处理。
根据特别的优选选择，总线主控制器和安全控制单元被集成在一个共同 的接口模块中。换句话说，通过安全控制单元提供的安全工程系统被集成到总 线主控制器接口中。这就允许尤其是安全控制单元在包括总线主控制器的接口 模块中测试软件，并且只有当测试结果是肯定时启动安全控制单元或者临界安 全处理过程的控制。为此总线主控制器能够由安全控制单元来控制。
旁路总线通过现场总线周期性地执行通信。优选地，每个周期被分成一 个在安全控制单元中的处理周期和一个总线周期，在总线周期内数据通过现场 总线发送到信号单元。另一个优先选择是处理周期和总线周期连续同步地执 行。
由于许多的应用涉及控制多种处理，并且处理过程还包括非临界安全处 理过程，因此系统最好不仅包括安全控制单元而且还包括至少一个第二非安全 控制单元，用来对非临界安全处理过程进行非安全控制。这种非安全控制最好 也同步发生。
在这种情况下，总线主控制器例如用一个第三接口与第二控制单元通信， 第一、第二和/或第三接口互相之间是各自分离的。关于这点，可为第一和第 二控制单元互相之间交换数据提供准备，尤其是，如果适当的话，当总线主控 制器已经无效时。第三接口也包括一个以太网接口，它最好是例如用于由一个 总线主控制器通过以太网协议与第二控制单元进行通信的快速以太网接口。此 外，如果第一控制单元也配置了一个以太网接口，第二控制单元和第一控制单 元通过一个以太网连接互相通信。
本发明具有特别的优点的原因是：在预定的先决条件下，即使有故障出 现系统仍然可以继续进行操作。作为示例，最好定义至少两个操作条件，即第 一安全操作条件和第二操作条件，其中第二操作条件的安全级别比第一操作条 件的安全级别低。第二操作条件例如是一个紧急状况操作程序。当提供了预定 的安全信息时，涉及由安全控制单元转换到第二操作条件的系统。
另一方面，预定的安全信息可通过现场总线由安全信号单元来发送，并 且由安全控制单元进行分析。如果安全控制单元确定有一个故障，就将系统转 换到第二操作条件。
另一方面，可选地，预定安全信息也可以在安全控制单元本身中产生。 作为举例，安全控制单元具有至少两个处理器(CPU)，它们为了增加安全级 别而相互协调一致。如果两个处理器中的一个发生故障，系统仍然能够在一个 较低安全级别下继续运行，也就是在第二操作条件下。例如，这就允许系统利 用一个紧急状况操作模式，尤其是有一定时间限制的操作模式，使得系统可以 在控制下停止，或者一个有故障的元件可以在改变切换的第一时间被更换。
为避免在第二运行条件下持久地运行，控制系统通过第一控制单元自动 地无效或者切换到一个不可运行状态，最好是在预定的时间周期过去之后。
本发明还涉及到在本发明的控制系统中使用的安全控制单元，以及具有 总线主控制器和安全控制单元的接口模块。
本发明通过以下的示范性具体实施例并参考附图中得到更加详细的解 释。

附图中：
图1示出了本发明控制系统的示意概要图；
图2示出了本发明控制系统的框图；
图3示出了通过旁路总线进行传输时多个周期的示意图；
图4示出了图3中旁路总线周期的更加详细的示意图。

图1示出了具有一个总线主控制器2的控制系统1，总线主控制器2通过 现场总线4控制与多个信号单元进行的通信，多个信号单元也叫做总线用户。
信号单元包括安全和非安全信号单元5、7，安全信号单元5被一个具有 安全功能的控制单元8(简称为安全控制单元8)所控制，非安全信号单元7 被一个没有安全功能的控制单元10(简称为非安全控制单元10)所控制。
安全和非安全控制单元都没有直接连接到现场总线4上，而是通过与现 场总线分离的接口12、14直接连接到总线主控制器2。
图2通过3个示例性的信号单元更详细地说明控制系统1。
总线主控制器2是一个标准G4总线主控制器，与安全控制单元8一起集 成在接口模块16中，接口模块16是一个推入式模块的形式。在该实施例中， 接口模块16是一个IBS S7 400 ETH S DSC/I-T旁路总线接口模块。因此，串 行现场总线是一个基于EN50254标准或者基于DIN 19258的旁路总线形式。 因此，安全工程系统做为一个旁路总线接口的集成部件来组成。根据图2中的 控制系统的另外一个具体实施例，现场总线4被设计为一个以太网总线。特别 的是，以太网总线可以是一个快速以太网总线。
G4总线主控制器2具有一个多端口存储器接口，这个接口被功能性划分 成用于一个有安全功能的控制单元8的接口12和用于一个没有安全功能的控 制单元10的接口14。这些接口12、14一方面允许在安全控制单元8和总线 主控制器2之间、另一方面允许在非安全控制单元10和总线主控制器2之间 分别进行双向通信18、20。因此，依据该具体实施例的扩展，通信可以通过 以太网协议实现，这里的接口12、14在这种情况下是以太网接口。
与本发明一致，控制单元8、10的处理最初预先独立于现场总线，因为 控制单元8、10被连接到现场总线连接22的上游的现场总线主控制单元2。
进一步参考图2，总线主控制器2具有一个旁路总线协议主芯片(IPMS) 24。IPMS协议芯片24具有一个RS422驱动器28，现场总线信号通过DC绝 缘，例如，一个光耦合器26，连接到驱动器28。
接口模块16还包括两个连接点，以一个远程旁路总线接口22的形式用 于循环串行现场总线4，在这种情况下远程旁路总线接口22是DSUB插入连 接器的形式。
在安全控制单元8和非安全控制单元10之间也有一个可参数化的旁路或 连接(未在附图中表示出来)。
这个旁路允许非安全控制单元10和安全控制单元8不需要IPMS协议芯 片24的功能就能交换数据。
因此，在一个紧急状况或者故障事件中，安全控制单元可以用旁路来承 担非安全控制单元的任务或者非安全处理的控制。一个安全断开策略(停止键 1或者2)或者一个紧急状态操作功能也可以利用该系统实现。
这种包括现场总线主控制器2、安全控制单元8和非安全控制单元10的 元件的紧密同步有利于实现更高效率的执行和高级别的诊断。
安全信号单元6，另一个安全信号单元32和一个非安全信号单元34串行 连接到现场总线4。信号单元6、32、34还链接到处理过程40、42、44，这些 处理过程通过现场总线4由控制单元8、10和相应的信号单元6、32、34控制 并监控。
关于这点，处理过程40和42是临界安全处理过程，处理过程44是一个 非临界安全处理过程。作为举例，安全信号单元6、32是安全从属模块SDIO4/4， 它们分别有一个相关安全没备46、48，用于处理临界安全处理过程40、42的 安全控制。
例如，一个临界安全处理过程可能是一个紧急状况关闭功能或者是一个 安全罐笼的监视。显然地其他信号单元和处理过程也可连接到现场总线。
再次参考接口模块16，后者具有下面的机构。
现场总线4和安全控制器8的启动包括一个依据以下的顺序执行的互易 检查：
-安全控制单元8在启动后执行一个自测试，在此期间，由接口12执行 通信18，例如使用一个复位线，保持总线主控制器2处于复位状态。
-只有当安全控制单元8已经成功完成了测试时，总线主控制器2开始 进行操作。因此如果安全控制单元8被移除或者出现了错误，总线主控制器2 被禁止启动。当安全控制单元8已经成功完成了检测时，总线主控制器2自身 实现一个自检测。
-在总线主控制器2中成功进行自检测之后，总线主控制器2将它的版 本标识符发送到安全控制单元。然后接口模块16中固件的输出级通过安全控 制单元8中的适当的检测装置进行检测。
另外，安全控制单元8被启动，它承担了包括安全能力功能在内的总线 主控制器的行为。
此外，只有当安全控制单元8启动时现场总线4才被激活。
由于确保了对安全功能的多次检查，这本身就达到了相当的安全性效果。
参考附图3和4，解释了根据本发明在实现安全和反应速度方面额外的改 进。
其原因是，在系统的运行期间，现场总线周期和安全控制周期被同步执 行，这意味着现场总线4在没有与安全控制单元8保持持续或连续的同步的情 况下不能运行。
图3示出了多个现场总线周期50，每个现场总线周期被分成一个用于安 全控制单元的处理周期52和一个旁路总线I/O周期54。在旁路总线I/O周期 54中，数据被发送到信号单元6、32、34。
图4示出了一个现场总线周期50或者更确切地说详细示出了旁路总线周 期。关于这点，处理周期52包括字段106，132、134，每个字段分别与信号 单元6、32、34中的一个相联系，并且包括各自信号单元的控制或用户数据。 每个字段或者用户数据字段依次从多个总线消息，例如从各别为一比特的三个 总线消息来构造。
因此，安全控制单元8在数据层提供用户数据和相关安全协议数据，经 由现场总线，相关安全协议数据做为用户数据从总线主控制器2被传输。因此， 尤其是总线主控制器2本身并没有与安全相关的解释。其优点是能够使用“非 安全”标准G4总线主控制器。
对于字段的序列和设计，同一申请人的专利说明书DE 197 42 716 C1可 做为参考。通过利用，这个专利说明书的全部范围作为公开的内容。
与本发明一致，与安全控制器8相似的同步也可作用于非安全控制器10。 这个功能可以用从非安全控制器到安全控制器的“冗余(dead man)”信号(例 如触发比特)来执行。这种类型的级联增加了系统1的传输速度和确定性。
另外，在运行期间还可以提供安全控制器8的个别程序重调。随着直接 集成并连接到非安全控制器10或者一个重叠网络结构，可以在所有的操作阶 段扩展或执行安全控制器8，尤其是当现场总线4不能运行时。因此，可以通 过程序重调在运行期间或者当网络停止时简化对诊断数据的访问。与文件DE 199 28 517 C2建议的系统一致，只有当现场总线能够运行或者能够利用一个连 接到安全控制器的辅助网络时这才是可能的。
另外，本发明允许其他技术安全性功能的结构，这些功能只能用在采用 安全工程系统的有限范围内，所述安全工程系统通过网络的级联或者总线主 控制器2和安全控制器8从接口模块16断开耦合。
再次参考图2，安全控制器包括两个处理器或者CPU 62和64，每个处理 器与一个特别的临界安全处理过程相关联。在这种情况下，处理器62控制处 理过程40和42，处理器64同样控制处理过程40和42。如果安全控制器8中 的两个处理器62和64中的一个发生故障，或者安全工程系统被干扰，安全控 制器8被设置为使得它能够继续操作对临界安全处理过程40、42进行控制， 可能是与总线主控制器进行交互作用，在一种低安全级别的操作条件下，一个 “紧急状况操作程序”。
尤其是，在处理器62和64之间或其他处理器之间进行相互调整，如果 处理器62或64中的一个出现故障，系统1在一个紧急状况操作程序下能够继 续运行。
为此，作为举例，利用参数化来允许安全控制单元8对系统中的错误做 出反应。以下解释了三种可能的错误，以及通过例子说明在这一点上系统的反应 或功能。
错误A：非安全控制器10故障或者不正常工作。
系统1会对错误A做出这样的反应，利用安全控制器8来分担非安全控 制器10的控制功能的至少一部分。
为此，有关错误或者故障的信息从非安全控制单元10发送到安全控制单 元8。然后一个反应程序承担所要求的动作。
错误B：安全控制单元8中的CPU62出现故障。
安全控制单元8从第一操作条件转换到第二操作条件，并且继续在一个 低安全级下进行操作。
另外，信息被发送到由操作CPU 64所控制的临界安全处理过程42，表 明一个错误发生了。例如在一个预期的时间内，一个反应程序承担所要求的动 作。
错误C：安全控制单元8中的CPU 64发生故障。
安全控制单元8从第一操作条件切换到第二操作条件，并且继续在一个 低安全级下进行操作。
控制系统1的操作与错误B中的操作相同。
因此，在安全工程系统部分故障时，总线主控制器2和安全工程系统的 其余部分操作能够继续运行系统1。甚至当安全工程系统只在一个低安全级下 可运行时，系统1也能继续操作。
以下用一个实际例子来解释利用这种紧急状况程序或者利用在具有不同 安全级别的两种操作杂件下操作的安全控制系统的优点。
系统1用来控制一架空中索道。
到目前为止，安全工程系统的故障导致悬空缆车吊舱传输停止。正在被 传送的人们必须通过地面或空中从吊舱救回。这种营救具有危险性，例如当天 气恶劣时的霜冻和长时间的等待，由直升飞机进行试图营救的危险性在这种情 况下会不成比例地增高。
本发明的方案减少了整体故障的可能性。这是由于具有接口模块16或如 上描述的有两种操作条件的网卡的本发明所述系统允许在一个低安全级的第 二条件下继续运行，这意味着至少可以卸载空中索道。因此为这种在低安全级 下的操作提供准备，以具有一定时间期限。
对本领域的技术人员来说，通过以上例子描述可以很清楚地理解具体实 施例。本发明并不限制于此，在不背离本发明的精神的基础上可以进行各种不 同的变化。