特許 7602563 自動化システムを制御するための制御装置および方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-12-10

(45)【発行日】2024-12-18

(54)【発明の名称】自動化システムを制御するための制御装置および方法

(51)【国際特許分類】

   G05B 19/05 20060101AFI20241211BHJP

   G05B 19/048 20060101ALI20241211BHJP

【ＦＩ】

G05B19/05 S

G05B19/048

【請求項の数】 17

【外国語出願】

(21)【出願番号】P 2023001654

(22)【出願日】2023-01-10

(65)【公開番号】P2023107211

(43)【公開日】2023-08-02

【審査請求日】2023-05-12

(31)【優先権主張番号】10 2022 101 436.3

(32)【優先日】2022-01-21

(33)【優先権主張国・地域又は機関】DE

(73)【特許権者】

【識別番号】501493037

【氏名又は名称】ピルツ ゲーエムベーハー アンド コー．カーゲー

(74)【代理人】

【識別番号】110002310

【氏名又は名称】弁理士法人あい特許事務所

(72)【発明者】

【氏名】フランク フォン ハオクヴィッツ

(72)【発明者】

【氏名】クリスティアン アダムス

(72)【発明者】

【氏名】シュテファン ヴェールレ

【審査官】影山 直洋

(56)【参考文献】

【文献】特開２０１２－０６８８５６（ＪＰ，Ａ）

【文献】特開２０２１－０６８２００（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０５Ｂ １９／０５

Ｇ０５Ｂ １９／０４８

(57)【特許請求の範囲】

【請求項1】

自動化システムを制御するための制御装置（10）であって、当該制御装置は、
第1の制御モジュール（12）と、第2の制御モジュール（14）と、通信チャネルであって、前記通信チャネルを介して前記第1の制御モジュール（12）および前記第2の制御モジュール（14）が前記自動化システムのプロセスデータを交換する、通信チャネルとを備え、
前記第1の制御モジュール（12）は、第1の時間t1でプロセスデータを作成し、前記プロセスデータを前記通信チャネルを介して前記第2の制御モジュール（14）に送り、前記プロセスデータへの応答を前記第2の制御モジュール（14）から受信し、かつ、第4の時間t4で前記プロセスデータを処理するよう構成されており、
前記第2の制御モジュール（14）は、前記第1の制御モジュール（12）から前記プロセスデータを受信し、第2の時間t2で前記プロセスデータを処理し、第3の時間t3で前記応答を生成し、かつ、前記応答を前記第1の制御モジュール（12）に送信するよう構成されており、
前記時間t1、t2、t3およびt4は時系列とされており、
前記第1の制御モジュール（12）および前記第2の制御モジュール（14）は、互いに通信する際に、選択されたイベントの間に定義された最小持続時間を確保するよう構成されており、これにより2つのイベントの間に、所定の最小の時間間隔を保証でき、
次の（A）および（B）のいずれか一方または両方が構成されている、制御装置、
（A）前記第1の制御モジュール（12）および前記第2の制御モジュール（14）は、連携して前記第1の時間t1と前記第2の時間t2との間に、第1の所定の最小持続時間Δ1、および／または、前記第３の時間t3と前記第４の時間t4との間に、第３の所定の最小持続時間Δ3を保証するよう構成されている、
（B）前記第2の制御モジュール（14）は、前記第2の時間t2と前記第3の時間t3との間の第2の所定の最小持続時間Δ2を保証するよう構成されている。

【請求項2】

前記第1の制御モジュール（12）および前記第2の制御モジュール（14）は、冗長に前記プロセスデータを送信し、かつ特定の時間特性を確保するように構成され、これより前記第1の所定の最小持続時間Δ1および/または前記第3の所定の最小持続時間Δ3を保証する、請求項１に記載の制御装置。

【請求項3】

前記第1の制御モジュール（12）は、前記プロセスデータの第1のインスタンスを、第1の時点taで前記通信チャネルの第１の制御モジュールの送信バッファ（84）へとシフトし、かつ、前記プロセスデータの第2のインスタンスを、第2の時点tbで前記通信チャネルの第１の制御モジュールの前記送信バッファ（84）へとシフトするように構成され、これにより、プロセスデータを冗長に送信し、
前記第1の制御モジュール（12）は、前記時点taおよびtbの間の第1の時間間隔を判定するため第1の時間監視を開始し、かつ、前記判定された第1の時間間隔が規定の最小値を超えた場合にのみ、前記プロセスデータの前記第2のインスタンスを前記第１の制御モジュールの送信バッファ（84）へとシフトするように構成される、請求項２に記載の制御装置。

【請求項4】

前記第2の制御モジュール（14）は、前記応答の第1のインスタンスを、第3の時点taで前記通信チャネルの前記第2の制御モジュール（14）の送信バッファ（84）へとシフトし、かつ、前記応答の第2のインスタンスを、第4の時点tbで前記通信チャネルの前記第2の制御モジュール（14）の送信バッファ（84）へとシフトするように構成され、これにより、前記プロセスデータへの応答を冗長に送信し、
前記第2の制御モジュール（14）は、前記第３の時点taおよび前記第４の時点tbの間の第2の時間間隔を判定する第2の時間監視を開始し、かつ、前記判定された第2の時間間隔が規定の最小値を超えた場合にのみ、前記応答の前記第2のインスタンスを前記第2の制御モジュール（14）の送信バッファ（84）へとシフトするように構成されている、請求項２に記載の制御装置。

【請求項5】

前記第2の制御モジュール（14）は、当該第2の制御モジュール（14）が前記プロセスデータの第1のインスタンスを受信したときにのみ、前記プロセスデータの第1のインスタンスの受信と前記プロセスデータの第2のインスタンスの受信との間の時間間隔を判定する第3の時間監視を開始するように構成され、これにより前記特定の時間特性を確保する、請求項２に記載の制御装置。

【請求項6】

前記第1の制御モジュール（12）は、当該第1の制御モジュール（12）が前記応答の第1のインスタンスを受信したときにのみ、前記応答の第1のインスタンスの受信と前記応答の第2のインスタンスの受信との間の時間間隔を判定する第4の時間監視を開始するように構成され、これにより前記時間特性を確保する、請求項２に記載の制御装置。

【請求項7】

前記プロセスデータの第1のインスタンスおよび前記プロセスデータの第2のインスタンスは、前記プロセスデータの冗長なデータ電信とされており、
前記第1の制御モジュール（12）は、前記プロセスデータの前記第1のインスタンスおよび前記プロセスデータの前記第2のインスタンスに、連続したインスタンス番号を付与するように構成されている、請求項２に記載の制御装置。

【請求項8】

前記応答の第1のインスタンスおよび前記応答の第2のインスタンスは、前記応答の冗長なデータ電信とされており、
前記第2の制御モジュール（14）は、前記応答の前記第1のインスタンスおよび前記応答の前記第2のインスタンスに、連続したインスタンス番号を付与するように構成されている、請求項２に記載の制御装置。

【請求項9】

前記第2の制御モジュール（14）は、前記第3の時間t3に対する時間間隔を判定するために、前記第2の時間t2に第5の時間監視を開始するように構成され、
前記第2の制御モジュール（14）は、前記第2の所定の最小持続時間Δ2が経過したのちにのみ、前記第3の時間t3に前記応答を生成するように構成されている、請求項１に記載の制御装置。

【請求項10】

前記第1の制御モジュール（12）は、前記プロセスデータを周期的に送受信し、前記第1の時間t1と前記第4の時間t4との間の複数の周期を一回り時間として監視し、かつ、前記一回り時間が規定の値を超えた場合に安全関連の動作を発動するように構成されている、請求項１に記載の制御装置。

【請求項11】

前記第1の制御モジュール（12）は、第1の局所周期に従って前記プロセスデータを処理するように構成され、
前記第2の制御モジュール（14）は、第2の局所周期に従って前記プロセスデータを処理するように構成され、
前記第1の局所周期および前記第2の局所周期は、同一の期間を有しており、
前記第1の所定の最小持続時間Δ1、前記第2の所定の最小持続時間Δ2および前記第3の所定の最小持続時間Δ3はそれぞれ、前記期間よりも短くされている、請求項１に記載の制御装置。

【請求項12】

前記第1の制御モジュール（12）は、前記プロセスデータの第1のインスタンスおよび少なくとも第2のインスタンスを、前記第1の局所周期内に前記第2の制御モジュール（14）に送るように構成されている、請求項１１に記載の制御装置。

【請求項13】

前記第2の制御モジュール（14）は、前記プロセスデータの前記応答の第1のインスタンスおよび少なくとも第2のインスタンスを、前記第2の局所周期内に前記第1の制御モジュール（12）に送信するように構成されている、請求項１１に記載の制御装置。

【請求項14】

前記第1の制御モジュール（12）および前記第2の制御モジュール（14）はそれぞれ、ユーザプログラムのフェールセーフな実行および/または前記プロセスデータのフェールセーフな入力/出力を可能にする、フェールセーフに実施される処理ユニット（38）を有している、請求項１に記載の制御装置。

【請求項15】

フェールセーフに実施される処理ユニット（38）はそれぞれ、前記通信チャネルの設計にかかわらず、前記通信チャネルを介したフェールセーフな通信を確保するよう構成されている、請求項１４に記載の制御装置。

【請求項16】

フェールセーフに実施される処理ユニット（38）はそれぞれ、前記第1および第2の制御モジュール（12、14）それぞれにおいて、フェールセーフな時間監視を提供するよう構成されている、請求項１４に記載の制御装置。

【請求項17】

自動化システムを制御するための方法であって、
前記自動化システムのプロセスデータを交換するために、通信チャネルを通して第1の制御モジュール（12）および第2の制御モジュール（14）を接続することと、
前記第1の制御モジュール（12）が、第1の時間t1にプロセスデータを作成し、前記プロセスデータを前記通信チャネルを介して前記第2の制御モジュール（14）に送信し、前記プロセスデータへの応答を前記第2の制御モジュール（14）から受信し、かつ、第4の時間t4に前記プロセスデータを処理することと、
前記第2の制御モジュール（14）が、前記第1の制御モジュール（12）から前記プロセスデータを受信し、第2の時間t2にそれを処理し、第3の時間t3に前記応答を生成し、かつ、その応答を前記第1の制御モジュール（12）に送信すること、とを含み、
前記時間t1、t2、t3およびt4は時系列とされ、
前記第1の制御モジュール（12）および前記第2の制御モジュール（14）は、2つのイベント間の所定の最小時間間隔を保証するために、互いに通信する際に、選択されたイベント間に定義された最小継続時間を確保し、
次の（A）および（B）のいずれか一方または両方の工程を含む、方法、
（A）前記第1の制御モジュール（12）および前記第2の制御モジュール（14）が、第1の時間t1と第2の時間t2との間の第1の所定の最小継続時間Δ1および／または第3の時間t3と第4の時間t4との間の第3の所定の最小継続時間Δ3を共同で保証すること、
（B）前記第2の制御モジュール（14）が、第2の時間t2と第3の時間t3との間の第2の所定の最小継続時間Δ2を保証すること。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、自動化システムを制御するための制御装置および対応する方法に関する。

【背景技術】

【0002】

制御装置は一般に、自動化技術の分野で公知である。それらの役目は、技術システムを制御および調整することである。技術システムは、機械であっても処理であってもよい。制御装置は、その各々が異なる役目を果たす、個々の構成要素で構成されている場合、モジュールと呼ばれる。個々の構成要素も制御モジュールと呼ばれ、それらは組み合わされてハウジングまたはハウジングフレーム内でユニットを形成する。一般に、このようなユニットは、中央処理ユニットとしての少なくとも1つのヘッドモジュールと、技術システムの周辺部への接続用の1つまたはそれ以上のモジュールとを有している。後者は、入力/出力（I/Ｏ）モジュールと呼ばれる場合がある。

【0003】

入力モジュールは、モジュールの入力部に取り付けられたセンサまたは入力装置からの信号を取得することにより、技術システムの状態を取得する。中央処理ユニットは、取得した入力信号を評価し、入力信号および所望の制御または調整作業に応じて、出力モジュールを介して出力される出力信号を生成する。出力信号を介して、アクチュエータが制御されて、技術システムの所望の反応を生じさせる。

【0004】

特別な制御装置として、安全コントローラまたはフェールセーフ（FS）コントローラとも呼ばれる、安全制御装置がある。これらのコントローラは、通常の制御装置と同じ機能を果たすが、安全関連の作業を追加的に行えるという点で異なっている。安全関連の作業は、技術システムの安全関連の反応につながる場合がある。この目的のために、安全コントローラは内部に、安全関連の機能の実行を可能にする、追加のハードウェアおよびソフトウェアを備えている。安全関連の機能により、機械の安全についての関連する基準（特にEN 61508、EN 62061および/またはISO 13849-1）に係る技術システムの安全な作動を保証する。

【0005】

安全制御装置用の本質的な品質基準は、その反応時間である。反応時間とは、安全関連の事象の検知から、対応する安全志向の反応の実行までに必要な時間を指している。ゆえに、反応時間は例えば、緊急停止ボタンの始動と、その結果としての危険な駆動の停止との間のタイムスパンを表現する。反応時間が短くなるほど、安全制御装置の品質は高くなる。反応時間を算定すると、最も好ましくない時間的な挙動が推定される。そのため、モジュール間の通信が決定的な役割を果たすことになる。

【0006】

通信に関し、制御装置の個々のモジュールが、通信チャネルを介して互いにリンクされており、そのために、フェールセーフな通信（FS通信）を提供するための特定の要求を満たさなければならない。しかし、フェールセーフな通信のための特定の要求は、反応時間に悪影響を与える場合がある。例えば、フェールセーフな通信に関し、送信されるべきデータが一様に冗長に送信されて、電磁妨害に対する、フェールセーフな通信の無感応性（insensitivity）が増加する。しかし、冗長な送信は、いかなる時間特性も保証できない。安全機能の反応時間の算定に関し、最も好ましくない時間挙動を推定せねばならない。ゆえに、冗長な送信は、応答時間がより長くなることにつながる。これは、冗長な第2の送信に必要な時間を考慮に入れる必要があるためである。

【0007】

安全制御システムの応答時間を向上させる1つのやり方は、安全な通信用に特別に設計された通信チャネルを介して通信を行わせることである。さらには、規定の時間特性をモジュール内およびモジュール間で保証できるように、個々の制御モジュールの安全に同期されたクロックを提供することが選択肢となる。しかし、いずれの選択肢も相当の労力を要し、かつ実施するのに費用がかかる。

【発明の概要】

【発明が解決しようとする課題】

【0008】

この背景に照らして、本発明の目的は、フェールセーフな通信装置またはフェールセーフな同期クロックを使用せずに、応答時間のより良好な考察を可能にする、制御装置および方法を提供することである。

【課題を解決するための手段】

【0009】

本開示の一局面によれば、本目的は、自動化システムを制御するための制御装置であって、
a. 第1の制御モジュールと、
b. 第2の制御モジュールと、
c. それを介して前記第1の制御モジュールおよび前記第2の制御モジュールが前記自動化システムの処理データを交換する、通信チャネルとを備え、
当該制御装置は、
d. 前記第1の制御モジュールは、第1の時間t₁に処理データを作成し、前記処理データを前記通信チャネルを介して前記第2の制御モジュールに送り、前記処理データへの応答を前記第2の制御モジュールから受信し、かつ、第4の時間t₄に前記処理データを処理するよう構成されており、
e. 前記第2の制御モジュールは、前記第1の制御モジュールから前記処理データを受信し、第2の時間t₂に前記処理データを処理し、第3の時間t₃に前記応答を生成し、かつ、前記応答を前記第1の制御モジュールに送るよう構成されており、
f. 前記時間t₁、t₂、t₃およびt₄は時系列とされている、という特徴を有し、
当該制御装置はさらに、
g. 前記第1の制御モジュールおよび前記第2の制御モジュールは連帯して、前記第1の時間t₁と前記第2の時間t₂との間の第1の最小の持続時間Δ1を保証するよう構成されており、
h. 前記第2の制御モジュールは、前記第2の時間t₂と前記第3の時間t₃との間の第2の最小の持続時間Δ2を保証するよう構成されており、
i. 前記第1の制御モジュールおよび前記第2の制御モジュールは連帯して、前記第3の時間t₃と前記第4の時間t₄との間の第3の最小の持続時間Δ3を保証するよう構成されている
という特徴の少なくとも1つを備えている、制御装置により解決される。

【0010】

本開示の別の局面によれば、本目的は、自動化システムを制御するための制御装置であって、
a. 第1の制御モジュールと、
b. 第2の制御モジュールと、
c. それを介して前記第1の制御モジュールおよび前記第2の制御モジュールが前記自動化システムの処理データを交換する、通信チャネルとを備え、
当該制御装置は、
d. 前記第1の制御モジュールは、第1の時間t₁に処理データを作成し、前記処理データを前記通信チャネルを介して前記第2の制御モジュールに送り、前記処理データへの応答を前記第2の制御モジュールから受信し、かつ、第4の時間t₄に前記処理データを処理するよう構成されており、
e. 前記第2の制御モジュールは、前記第1の制御モジュールから前記処理データを受信し、第2の時間t₂に前記処理データを処理し、第3の時間t₃に前記応答を生成し、かつ、前記応答を前記第1の制御モジュールに送るよう構成されており、
f. 前記時間t₁、t₂、t₃およびt₄は時系列とされており、
g. 前記第1の制御モジュールは、第1の局所周期に従って前記処理データを処理し、
h. 前記第1の制御モジュールは、前記処理データの第1のインスタンスおよび少なくとも第2のインスタンスを、前記第1の局所周期内に前記第2の制御モジュールに送る
という特徴を有する、制御装置によっても解決される。

【0011】

本開示の別の局面によれば、本目的は、自動化システムを制御するための方法であって、
a. 通信チャネルが、前記自動化システムの処理データを交換するために、第1の制御モジュールおよび第2の制御モジュールを接続し、
b. 前記第1の制御モジュールは、第1の時間t₁に処理データを作成し、それを前記通信チャネルを介して前記第2の制御モジュールに送り、前記処理データへの応答を前記第2の制御モジュールから受信し、かつ、第4の時間t₄にそれを処理し、
c. 前記第2の制御モジュールは、前記第1の制御モジュールから前記処理データを受信し、第2の時間t₂にそれを処理し、第3の時間t₃に前記応答を作成し、かつ、それを前記第1の制御モジュールに送り、
d. 前記時間t₁、t₂、t₃およびt₄は時系列とされている、という特徴を備え、
当該方法は、
e. 前記第1の制御モジュールおよび前記第2の制御モジュールは連帯して、前記第1の時間t₁と前記第2の時間t₂との間の第1の最小の持続時間Δ1を保証し、
f. 前記第2の制御モジュールは、前記第2の時間t₂と前記第3の時間t₃との間の第2の最小の持続時間Δ2を保証し、
g. 前記第1の制御モジュールおよび前記第2の制御モジュールは連帯して、前記第3の時間t₃と前記第4の時間t₄との間の第3の最小の持続時間Δ3を保証する
という特徴の少なくとも1つを備えている、方法によっても解決される。

【0012】

本開示の別の局面によれば、本目的は、自動化システムを制御するための方法であって、
a. 通信チャネルが、前記自動化システムの処理データを交換するために、第1の制御モジュールおよび第2の制御モジュールを接続し、
b. 前記第1の制御モジュールは、第1の時間t₁に処理データを作成し、それを前記通信チャネルを介して前記第2の制御モジュールに送り、前記処理データへの応答を前記第2の制御モジュールから受信し、かつ、第4の時間t₄にそれを処理し、
c. 前記第2の制御モジュールは、前記第1の制御モジュールから前記処理データを受信し、第2の時間t₂にそれを処理し、第3の時間t₃に前記応答を作成し、かつ、それを前記第1の制御モジュールに送り、
d. 前記時間t₁、t₂、t₃およびt₄は時系列とされており、
g. 前記第1の制御モジュールは、第1の局所周期に従って前記処理データを処理し、
h. 前記第1の制御モジュールは、前記処理データの第1のインスタンスおよび少なくとも第2のインスタンスを、前記第1の局所周期内に前記第2の制御モジュールに送る
という特徴を備えている、方法によっても解決される。

【0013】

ゆえに、制御モジュールを、互いに通信する際に、選択した事象の間に一定の最小の持続時間を確保するよう構成することが本発明の着想である。すなわち、制御モジュールは、2つの事象の間に、所定の最小の時間間隔を保証できる。これらの最小の間隔を特定することにより、実際の応答時間は低減できないが、確保された時間特性が、最悪状況の時間的な挙動の算定に確実に影響することが示されるであろう。

【0014】

上記最小の時間間隔を規定せずに、送信器から受信器を介して送信器へと戻る処理データの全一回り時間よりも短い、機能的に安全な保障された時間間隔は存在しない。一方、最小の時間間隔を特定することで、最悪状況の分析において考慮に入れることができ、かつ、全一回り時間よりも優れた前提につなげられる、処理データの一回りにおける、一定の時間特性が保証される。

【0015】

制御モジュールがその間で最小の時間間隔を保証する事象は、制御モジュールがこの最小の間隔のみを保証できる仕方、または、2つの制御モジュールが、この目的のため時間中に同期することなく、互いに間隔を保証できる仕方で選択される。ゆえに、両方の変形例は、モジュール間の機能的に安全な同期を必要としない。同様に、両方の変形例は、追加のハードウェア機器を必要とせず、ソフトウェア中で完全に実施できる。ゆえに、改善された最悪状況の分析を、簡単で費用効果の高い仕方で実施される装置により、または後付けのシステムにより、実現できる。このようにして、冒頭で言及した目的は完全に解決される。

【0016】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールおよび前記第2の制御モジュールは、冗長に前記処理データを送信し、かつ特定の時間特性を確保することにより、前記第1の最小の持続時間Δ1および/または前記第3の最小の持続時間Δ3を保証する、というさらなる特徴を有している。

【0017】

この実施形態によれば、制御モジュールは、処理データを冗長に送信することにより、たがいに通信する。さらには、冗長な送信に加えて、冗長な送信の特定の時間特性が、それぞれのモジュールにより保証される。このようにして、2つの異なる制御モジュールにおける処理データの作成および処理の間の最小の時間間隔を、容易に確保できる。

【0018】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールは、前記処理データの第1のインスタンスを、時点t_aで前記通信チャネルの送信バッファに移動することにより、かつ、前記処理データの第2のインスタンスを、時点t_bで前記通信チャネルの前記送信バッファに移動することにより、処理データを冗長に送信し、
b. 前記第1の制御モジュールは、前記時点t_aおよびt_bの間の時間間隔を判定し、かつ、前記時間間隔が規定の最小値を超えた場合にのみ、前記処理データの前記第2のインスタンスを前記送信バッファへと移動する時間監視を開始することにより、前記特定の時間特性を確保する、というさらなる特徴を有している。

【0019】

この改良形態によれば、第1の制御モジュールは、処理データの第1のインスタンスを送ることと、処理データの第2のインスタンスを送ることとの間の最小の時間間隔を、時間監視により時間間隔を監視して最小の時間間隔が満たされているときにのみ処理データの第2のインスタンスを送ることにより、確保する。それにより、第1の制御モジュールは、対応して設計された第2の制御モジュールと相互作用して、異なる制御モジュール上で、処理データの作成と処理データの処理との間の最小の時間間隔（最小の持続時間Δ1またはΔ3）を保証でき、その際、異なる制御モジュールの機能的に安全な同期は必要とされない。

【0020】

第2の制御モジュールも、処理データの送信器であれば、同様に設計されてよいことが理解される。ゆえに、さらなる改良形態によれば、制御装置は、
a. 前記第2の制御モジュールは、前記応答の第1のインスタンスを、時点t_aで前記通信チャネルの前記送信バッファへとシフトし、かつ、前記応答の第2のインスタンスを、時点t_bで前記通信チャネルの前記送信バッファへとシフトすることにより、前記処理データへの応答を冗長に送信し、
b. 前記第2の制御モジュールは、前記時点t_aおよびt_bの間の時間間隔を判定する時間監視を開始することにより、かつ、前記時間間隔が規定の最小値を超えた場合にのみ、前記応答の前記第2のインスタンスを前記送信バッファへと移動することにより、前記時間特性を確保する、というさらなる特徴を有していてもよい。

【0021】

この実施形態によれば、このようにして回答も冗長に送ることができる。

【0022】

さらなる改良形態によれば、制御装置は、
a. 前記第2の制御モジュールは、当該第2の制御モジュールが前記処理データの第1のインスタンスを受信したときにのみ、前記処理データの第1のインスタンスの受信と前記処理データの第2のインスタンスの受信との間の時間間隔を判定する時間監視を開始することにより、前記時間特性を確保する、というさらなる特徴を有している。

【0023】

この改良形態によれば、第2の制御モジュールは、さらなる時間監視装置を有しており、これは、第1の制御モジュールの時間監視装置から独立して設計されていてもよい。第2の制御モジュールが処理データの第1のインスタンスを受信しているときにのみ、この時間監視を開始することにより、第2の制御モジュールは、対応して設計されている第1の制御モジュールと相互作用して、異なる制御モジュールが時間について安全関連で同期されることなしに、異なる制御モジュール上での処理データの作成と処理データの処理との間の最小の時間間隔（最小の持続時間Δ1またはΔ3）を保証することを可能にされる。この場合、第1の制御モジュールも、処理データの受信器であれば、同様に設計することができる。

【0024】

送信された処理データへの応答も、上述した仕方でこのようにして送信できる。ゆえに、さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールは、当該第1の制御モジュールが前記応答の第1のインスタンスを受信したときにのみ、前記応答の第1のインスタンスの受信と前記応答の第2のインスタンスの受信との間の時間間隔を判定する時間監視を開始することにより、前記時間特性を確保する、というさらなる特徴を有していてもよい。

【0025】

さらなる改良形態によれば、制御装置は、
a. 前記処理データの前記第1のインスタンスおよび前記処理データの前記第2のインスタンスは、前記処理データの冗長なデータ電信とされており、
b. 前記第1の制御モジュールは、前記処理データの前記第1のインスタンスおよび前記処理データの前記第2のインスタンスに、連続したインスタンス番号を付与する、というさらなる特徴を有している。

【0026】

さらに、別の改良形態によれば、
a. 前記応答の前記第1のインスタンスおよび前記応答の前記第2のインスタンスは、前記応答の冗長なデータ電信とされており、
b. 前記第2の制御モジュールは、前記応答の前記第1のインスタンスおよび前記応答の前記第2のインスタンスに、連続したインスタンス番号を付与する。

【0027】

これらの改良形態によれば、インスタンス番号は、冗長なデータパケットの送信用に導入される。インスタンス番号は、冗長に送信される処理データの特定の処理データオブジェクトの冗長なインスタンスまたは冗長なパケットを指す。インスタンス番号は、インスタンスを区別可能かつ分類可能とするために使用される。インスタンス番号を使用することにより、制御モジュールは、第1のインスタンスまたは続くインスタンスの処理データが受信されているかを容易に判断できる。本発明が第1および第2のインスタンスに限定されず、最小の間隔を確保するために対または全体で使用される、3つまたはそれ以上のインスタンスを送信できることが理解される。

【0028】

さらなる改良形態によれば、制御装置は、
a. 前記第2の制御モジュールは、前記第3の時間t₃に対する時間間隔を判定する前記第2の時間t₂に時間監視を開始し、
b. 前記第2の制御モジュールは、前記第2の最小の持続時間Δ2が経過したのちにのみ、前記第3の時間t₃に前記応答を生成する、というさらなる特徴を有している。

【0029】

この改良形態によれば、第2の制御モジュールは、第2の最小の持続時間Δを容易に保証できる。この目的のためには、第2の制御モジュールが、第2の制御モジュールの影響範囲内にある2つの事象の間の時間間隔を監視するだけで十分である。ゆえに、この期間の時間監視を、特に容易に、かつ、他のモジュールから独立して実現できる。この実施形態は、容易な仕方で規定の時間特性を確保することにさらに貢献する。

【0030】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールは、前記処理データを周期的に送りかつ受信し、前記第1の時間t₁と前記第4の時間t₄との間の複数の周期を一回り時間として監視し、かつ、前記一回り時間が規定の値を超えた場合に安全関連の動作を発動する、というさらなる特徴を有している。

【0031】

このように、第1の制御モジュールは、一回り時間を監視し、かつ、処理データが規定の一回り時間内に処理されなかった場合に、対応する安全関連の反応を発動することができる。

【0032】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールは、第1の局所周期に従って前記処理データを処理し、
b. 前記第2の制御モジュールは、第2の局所周期に従って前記処理データを処理し、
c. 前記第1の局所周期および前記第2の局所周期は、同一の期間を有しており、
d. 前記第1の最小の持続時間Δ1、前記第2の最小の持続時間Δ2および前記第3の最小の持続時間Δ3はそれぞれ、前記期間よりも短くされている、というさらなる特徴を有している。

【0033】

この改良形態によれば、最小の持続時間Δ1～Δ3はそれぞれ、それぞれの処理周期の期間よりも短くされており、それゆえに、固定の時間特性として、処理周期に容易に組み込むことができる。

【0034】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールは、前記処理データの第1のインスタンスおよび少なくとも第2のインスタンスを、前記第1の局所周期内に前記第2の制御モジュールに送る、というさらなる特徴を有している。

【0035】

この改良形態によれば、第1の制御モジュールは、単一の局所周期内に少なくとも2回、処理データを送信する。それにより、最小の間隔を、受信モジュールとともに容易に実現できる。

【0036】

さらなる改良形態によれば、制御装置は、
a. 前記第2の制御モジュールは、前記処理データの前記応答の第1のインスタンスおよび少なくとも第2のインスタンスを、前記第2の局所周期内に前記第1の制御モジュールに送る、というさらなる特徴を有している。

【0037】

この改良形態によれば、第2の制御モジュールは、単一の局所周期内に少なくとも2回、応答をも送信する。それにより、最小の間隔をここでも、受信モジュールとしての第1の制御モジュールとともに容易に実現できる。

【0038】

さらなる改良形態によれば、制御装置は、
a. 前記第1の制御モジュールおよび前記第2の制御モジュールはそれぞれ、ユーザプログラムのフェールセーフな実行および/または前記処理データのフェールセーフな入力/出力を可能にする、フェールセーフに実施される処理ユニットを有している、というさらなる特徴を有している。

【0039】

フェールセーフに実施される処理ユニットは、例えば、ユーザーが生成したユーザプログラムのフェールセーフな実行を可能にする制御装置のヘッドモジュールのIEC61131 PLCリソース（IEC61131 PLC resource）であってもよい。入力/出力モジュールに関し、フェールセーフに実施される処理ユニットは、処理データのフェールセーフな入力および出力を確保できる。

【0040】

さらなる改良形態によれば、制御装置は、
a. フェールセーフに実施される処理ユニットはそれぞれ、前記通信チャネルの設計を問わず、前記通信チャネルによるフェールセーフな通信を確保するよう構成されている、というさらなる特徴を有している。

【0041】

この改良形態によれば、第1の制御モジュールおよび第2の制御モジュールは、フェールセーフでない通信チャネルを介したフェールセーフな通信を可能にするよう構成されている（ブラックチャネル原理）。同時に、規定の時間特性を確保するための措置を、上述したように、この原理を適用する際に使用することもできる。

【0042】

さらなる改良形態によれば、制御装置は、
a. フェールセーフに実施される処理ユニットはそれぞれ、前記第1および第2の制御モジュールそれぞれにおいて、フェールセーフな時間監視を提供するよう構成されている、というさらなる特徴を有している。

【0043】

この改良形態によれば、制御モジュールは、例えば、互いの結果を比較および監視する2つの別体の処理ユニットによる時間監視を冗長に行うことにより、フェールセーフな時間監視を提供できる。このようにして、規定の時間特性を簡単な仕方で提供できる。

【0044】

上記特徴および以下に説明する特徴は、本発明の範囲を逸脱することなく、各場合に示す組み合わせにおいてだけでなく、他の組み合わせでも、またはそれら独自でも使用できることが理解される。

【0045】

本発明の実施形態を図面に示し、かつ、より詳細に以下の記載において説明する。

【図面の簡単な説明】

【0046】

【図1】第1の制御モジュールおよび第2の制御モジュールを有する制御モジュールの実施形態の模式図を示す。

【図2】第1の局面に係る2つの制御モジュールの間の通信の模式図を示す。

【図3】第2の局面に係る2つの制御モジュールの間の通信の模式図を示す。

【図4】第3の局面に係る制御モジュール内のデータ処理の模式図を示す。

【図5】第1のインスタンスおよび第2のインスタンスの処理データの冗長な送信のシーケンス図を示す。

【図6】第1のインスタンスの処理データが失われた場合の、図5に係る冗長な送信のシーケンス図を示す。

【図7】第2のインスタンスの処理データが失われた場合の、図5に係る冗長な送信のシーケンス図を示す。

【発明を実施するための形態】

【0047】

図1は、本発明の実施形態に係る制御装置の模式図を示している。ここで、制御装置全体を参照番号10により示す。

【0048】

制御装置10は、ここに示す実施形態において、3つの個別のモジュールを備えるモジュール式の制御装置とされている。第1の制御モジュール12は、制御装置10（ヘッドモジュール）の中央処理ユニットである。第2の制御モジュール14および第3の制御モジュール16は、それを介して制御装置10が技術システムに接続される、入力/出力モジュールである。

【0049】

モジュール12～16は、ハウジング18またはハウジングフレーム中に一緒に配置された、個別のアセンブリである。通常、モジュールは、制御装置10を形成するために一緒にプラグ接続された、個別のユニットである。それにより、制御装置10を個別に組み立てて、それぞれの制御および調整作業に適合させることができる。ここで、拡張性を、追加のモジュール用のプレースホルダとしての、別のモジュールスロット20により示す。このように、制御装置10は、ここで示す数のモジュールに限定されず、追加のモジュールにより拡張することができる。

【0050】

通常、この種の制御装置10は、制御キャビネット（ここには図示せず）内に収容され、入力/出力モジュール14、16は、技術システムの周辺部22に、直接または（例えばフィールドバスを介して）間接的に接続されている。周辺部22は、光バリア24または緊急停止ボタン26などの入力装置と、アクチュエータとして機能する出力装置とを含んでいてもよい。アクチュエータは、例えばモータ28または接触器30であってもよい。本発明はここに示す特定の周辺要素に限定されないことが理解される。

【0051】

本実施形態では、第2の制御モジュール14および第3の制御モジュール16は、入力装置および出力装置への接続をそれぞれ有している。換言すれば、ここで制御モジュール14、16の両方は、モジュールがそれを通じて周辺部22に接続される、それぞれの入力および出力32を有している。他の実施形態において、制御モジュールは入力のみまたは出力のみを有している場合のあることが理解される。モジュールの入力および出力32は好ましくは、別体のモジュール部（接続モジュール部34）中に配置される。

【0052】

入力および出力32に印加された入力および出力信号の処理が、制御モジュールのロジックモジュール部36において行われる。好ましい実施形態では、ロジックモジュール部36は、例えば2つの別体の処理ユニット40aおよび40bを備える、フェールセーフな処理ユニット38を含んでいる。処理ユニット40a、40bは、好ましくは多様な種類のマイクロコントローラ、ASICまたはFPGAとされていてもよい。くわえて、ロジックモジュール部36は、通信バス44へのインターフェース42を有している。処理ユニット40a、40bと同様に、インターフェース42は冗長であってもよい。原則として、制御モジュール12～16は、EN 61508に従ってSIL2以上および/またはISO 13849-1に従ってPL ｄ以上という意味で、フェールセーフな設計を有している。

【0053】

通信バス44は、制御装置10の制御モジュールが、互いに通信チャネルを確立することを可能にする。特に、制御モジュール14、16は、入力/出力モジュールとして機能するが、通信バス44を介してヘッドモジュールと通信してもよい。通信バス44は、個々の制御モジュール12～16に属するバスモジュール部46により形成されていてもよい。一列に配置されたバスモジュール部46は、いわゆるモジュール式のバックプレーンを形成していてもよい。あるいは、通信バス44はまた、制御装置10のハウジング18の固定された後部パネルにより形成されていてもよい。

【0054】

第1の制御モジュール12は、本実施形態ではヘッドモジュールとして働き、入力/出力モジュールとして、類似のロジックモジュール部36を有している。ヘッドモジュールのフェールセーフに実施される処理ユニット38は、ユーザプログラムを処理するよう構成されている。ユーザプログラムは、例えばロジックモジュール部36のメモリ48に保存されていてもよい。ユーザプログラムは、インプット・プロセス・アウトプット（IPO）原理（input-process-output (IPO) principle）に従って処理することができる。第1のステップでは、フェールセーフに実施される処理ユニット38はインプットの処理画像（PII）を生成し、次いでPIIに基づいてユーザプログラムの命令を順次実行する。最後に、ヘッドモジュールのフェールセーフに実施される処理ユニット38は、出力の処理画像（PIO）を書き込み、それに基づいて出力が制御される。

【0055】

入力は入力モジュールを介して読み込まれ、出力は出力モジュールを介してセットされる。入力/出力モジュールに関し、フェールセーフに実施される処理ユニット38は、フェールセーフな仕方で入力および出力を提供するよう構成されている。モジュール間の通信は、通信バス44により実現される。ゆえに、本実施形態では、第1の制御モジュール12は、周辺部への入力および出力32を直接的に設けられておらず、それゆえに、それ自体の接続モジュール部34無しで済ませることができる。しかし、第1の制御モジュール12は、他の制御装置または診断機器への接続を確立するのに使用できる、追加のインターフェース50を有していてもよい。

【0056】

図2を例として使用し、2つの制御モジュールの間の通信について以下に説明する。図2は、通信バス44を介した、ヘッドモジュール（第1の制御モジュール12）と入力/出力モジュール（第2の制御モジュール14）との間の入力の処理画像の送信の例を、略図で示している。図2は特に、PII（FS-PII）のフェールセーフな送信の最悪状況の分析（worst-case analysis）を示している。

【0057】

図2に係る流れ図において、時間tは長手方向にプロットされている。第1の制御モジュール12（上）および第2の制御モジュール14（下）は、規定の周期時間を有する固定の局所周期52により作動する。周期時間とは、すべての通信作業を含む周期を処理するための時間である。この文脈における「局所」とは、第1の制御モジュール12および第2の制御モジュール14の周期が必ずしも同期する必要のないことを意味している。特に、周期は機能的に安全な仕方で同期する必要はない。換言すれば、周期は一様に同期してもよいが、これは、本開示に係る方法を実行するためにフェールセーフな仕方で必ずしもなされる必要はない。一般に、個別の制御モジュール12、14の局所周期52の間に、一定の時間オフセット54が存在すると考えられる。

【0058】

ここに参照番号56で示すように、制御モジュール12は、処理データフレームを作成して、それを送信用に整える。次いで、処理データフレームは、通信バス44により提供される通信チャネルの出力バッファへと移動され、それにより通信バス44の管轄区域へと転送される（時間t₁）。続いて、通信バス44を介した第2の制御モジュール14への送信が起きる。ここで、データの受信を参照番号58により示す。時間t₂が、第2の制御モジュール14による処理データの処理の開始（すなわち、受信したフレームからの処理データの読み取りおよびその評価）を指し示している。第1の制御モジュール12および第2の制御モジュール14は連帯して、2つの時間t₁およびt₂の間の最小の持続時間Δ1を供給するよう構成されている。これは、例えば制御モジュール12からの処理データを、局所周期内に一度だけでなく二度、整えて送ることにより実現できる。このような処理は、図5～図7を参照して、さらに詳細に説明されるであろう。

【0059】

第2の制御モジュール14は、受信したデータに対する応答を生成し、時間t₃に、通信バス44により提供される通信チャネルの出力バッファに応答を配置する。応答を生成することには、第2の制御モジュール14の入力を読み込むことと、発送用のフレームに適切な状態を書き込むこととが含まれる。第1の制御モジュール12により受信されたのち、応答は、時間t₃に、第1の制御モジュール12により処理される。第1の制御モジュール12および第2の制御モジュール14も、応答に関し、2つの時間t₃およびt₄の間の最小の持続時間Δ3を保証する。これは、処理データを送ることに関するのと同じ仕方で、すなわち、応答が、第2の制御モジュールの局所周期内に数回（少なくとも二回）、第2の制御モジュール14により整えられて送られて、実現することができる。

【0060】

最悪状況の分析に関し、図2の事象60を以下（ここで矢印により示す）で分析する。事象60は例えば緊急停止ボタンの始動であってもよく、それにより第2の制御モジュール14の入力の状態が変化する。本分析に関し、事象60は、事象の処理（ここで参照番号62により示す）が時間t₃での応答についてもはや考慮され得ず、それゆえに、続く周期（参照番号62’）で完全に起きるような仕方で時間調整される。この前提は許容可能である。なぜなら、信号が、少なくとも2つの局所周期時間について、入力に存在していなくてはならないからである。ゆえに、本事例において、続く周期まで事象60は考慮されず、処理データ58’に応答して、入力の対応する状態が保存されて送られる。次いで、この応答も第1の制御モジュール12に送信され、それによって時間t₄に処理される。

【0061】

FS-PII送信時間の最悪状況の分析において、事象60の発生から第1の制御モジュール12による（保証された）処理までの持続時間が考慮される。冗長な送信を考慮に入れると、本図における後者の時間は時間t₄’となる。送信または処理の追加の保証された時間特性なしに、時間t₁から時間t₄’までの全一回り64が、最悪状況の分析に関して使用されることになる。

【0062】

より良好な最悪状況の分析に関し、制御モジュール12、14は上述したように、個別の作動の間の一定の最小の間隔（最小の持続時間）を、連帯してまたは個別に保証するよう構成されている。本事例において、第1の制御モジュール12および第2の制御モジュール14は、時間t₁と時間t₂との間の最小の持続時間Δ1および時間t₃と時間t₄（またはt₃’とt₄’）との間の最小の持続時間Δ3を連帯して保証するよう構成されている。さらには、第2の制御モジュール14はそれ自体で、時間t₂と時間t₃との間の最小の持続時間Δ2を保証できる。

【0063】

最小の間隔を上述したように設定することにより、送信および処理の追加の時間特性が既知となって保証され、その結果、それらを最悪状況の分析において考慮できる。本事例において、これは、分析に際して期間65（時間t₁～時間t₃）を無視できるという意味である。なぜなら、この期間は、少なくとも応答が生成されるまでは必要であって、それゆえに固定されるからである。処理データを複数回送信することによりこれらの最小の間隔を保証する一つの方法を、図5～図7を参照して、より詳細に以下に説明する。

【0064】

しかし、その前に、ヘッドモジュール（第1の制御モジュール12）と入力/出力モジュール（第2の制御モジュール14）との間の出力PIO（FS-PIO）の処理画像の送信の例について、図3を参照しながら説明する。図2におけると同じく、図3の流れ図も、長手方向にプロットされた時間tを示している。図2と同様、ここで参照番号66により示すように、制御モジュール12は処理データフレームを作成して、それを送信に向けて整える。次いで、処理データフレームは、通信バス44により提供される通信チャネルの出力バッファへと移動され、そのようにして通信バス44の管轄区域へと転送される（時間t₁）。

【0065】

第2の制御モジュール14による処理データの受信68後に、第2の制御モジュール14は、第2の時間t₂に処理データの処理を開始する。出力部で生成される出力を、参照番号70により示す。出力70に続いて、機械の停止などの所望の状態72が、機械により推定される。第3の時間t₃に、第2の制御モジュール14は対応する応答を生成して、それを送信74に向けて整える。第1の制御モジュール12による応答の受信76後に、応答は第4の時間t₄に評価される。

【0066】

FS-PIO送信持続時間の最悪状況の分析に関し、処理データを送ってから、対応する応答の受信までの持続時間は、他の時間特性を確保できない場合に、関係する。換言すれば、一回り全体78は当初、ここでの分析に関係する。

【0067】

より良好な最悪状況の分析に関し、個々の作動の間の最小の間隔も、ここでは保証される。ここで、第2の時間t₂と第3の時間t₃との間の第2の最小の持続時間Δ2は、図2を参照して先に示した第2の最小の持続時間Δ2に対応する。さらには、第3の最小の持続時間Δ3を、第1の制御モジュール12および第2の制御モジュール14の相互作用により保証できる。第3の最小の持続時間Δ3は、第3の時間t₃と第4の時間t₄との間のタイムスパンに関連する。

【0068】

これまでと同様に、これらの最小の間隔を保証することにより、より良好な最悪状況の分析を、出力の処理画像に送信に関して実現できる。これらの確保された時間特性ゆえに、第2の時間t₂に開始し第4の時間t₄へと向かうタイムスパン79を、分析において無視できる。

【0069】

PIIおよびPIOの送信持続時間についての最悪状況の分析に対する最小の間隔の有益な効果を上に示したので、以下に、上記最小の間隔を確保するために制御モジュールをどのように構成するかを示すことにする。

【0070】

上に示すように、3つの最小の間隔Δ1～Δ3は関連している。最小の間隔Δ2は単一の制御モジュールにより確保できる。他方、最小の持続時間Δ1および最小の持続時間Δ3は、2つのモジュールの相互作用によってのみ確保できる。後者は、最小の間隔を保証するために、処理データの冗長な（複数の）送信を利用できる。以下で、図4を参照し、どのように最小の持続時間Δ2を単一の制御モジュールにより保証できるかを検討することにする。

【0071】

図4は、図2または図3の詳細図であって、第2の制御モジュール14のみを示している。同一の引用符号は、図2および図3の同じ部分を指している。

【0072】

この詳細図は、第2の制御モジュール14の2つの局所周期52を示している。上述したように、処理データを別の制御モジュールから受信したのち、第2の制御モジュール14は、データの処理を時間t₂に開始する。同時に、制御モジュール14は、時間監視用のタイマを始動する。時間監視により、制御モジュール14が処理データの送信（すなわち、受信した処理データに対する応答）を防止する期間が規定される。特定の期間が経過したのちにのみ、制御モジュール14は、応答を生成して他の制御モジュールに送り返すことができるようになる。第2の制御モジュール14が応答を送れないようにされている期間は、第2の最小の持続時間Δ2に対応する。

【0073】

時間監視は、固定の持続時間を有するタイマにより実現できる。このようなタイマは、制御モジュール内に設けられたフェールセーフに実施される処理ユニット38により容易に実施できる。この点に関し、フェールセーフに実施される処理ユニット38の冗長な設計も、タイマがフェールセーフな仕方でセットアップされることを可能にする。例えば、第2の制御モジュールの各処理ユニットは、それぞれタイマを実行して、最小の持続時間を確保してもよい。タイマは通常、共通のマイクロコントローラ内にすでに組み込まれており、または、ソフトウェアにおいて容易にエミュレートできる。ゆえに、時間監視の実施用に追加のハードウェアは必要でなく、その結果、ソフトウェアの更新により、これを既存の制御モジュールに後付けすることもできる。

【0074】

図5～図7を参照して、個々の作動の間に最小の間隔を確保するために、2つのモジュールがどのように相互作用できるかを、以下に説明することにする。1つの可能性は、周期時間内に処理データを複数回送ることであり、その結果、処理データの第1のインスタンスおよび少なくとも第2のインスタンスが、単一の周期内に常に送信される。

【0075】

これらのインスタンスを認識可能、区別可能かつ分類可能とするために、連続したインスタンス番号を冗長なインスタンス（すなわち、特定の処理データオブジェクト（PDO）の冗長なパケット）に付与するよう、制御モジュールを構成できる。インスタンス番号は、冗長なインスタンスを区別可能にするよう機能し、かつ、その結果、処理データの既存の連番への追加とできる。この弁別性を実現するために、他の措置を取ってもよいことが理解される。

【0076】

個々のインスタンスの区別可能性の助けがあり、かつ、冗長な送信を利用することにより、より詳細に以下に説明するように、最小の持続時間を、1つの制御モジュールでの処理データの作成と、別の制御モジュールでのその処理との間で、保証することができる。

【0077】

図5は、第1の制御モジュール12から第2の制御モジュール14への、冗長な処理データの送信のシーケンス図を示している。制御モジュール12は、フェールセーフな処理画像生成装置82および送信バッファ84を含んでいる。制御モジュール14は、受信バッファ86およびフェールセーフな処理画像消費装置88を含んでいる。処理画像生成装置82が送信用の処理画像を生成するのに対し、処理画像消費装置88は受信した処理画像を評価する。処理画像生成装置82および処理画像消費装置88はフェールセーフな装置である。他方、送信バッファ84および受信バッファ86は、通信バスのフェールセーフでない装置（標準装置とも呼ばれる）であってもよい。

【0078】

制御モジュール12は、制御モジュール14と同様に、受信バッファおよび処理画像消費装置を含んでいてもよいと理解される。同様に、制御モジュール14は、送信バッファおよび処理画像生成装置を含んでいてもよい。このようにして、2つのモジュールの間の双方向の通信を実現できる。しかし、簡潔にするために、これらの構成要素をここでは省いている。

【0079】

図5は、処理データの第1のインスタンスおよび第2のインスタンスの冗長な送信を示している。より詳しくは、図5は、第1のインスタンスの処理データオブジェクト（FS-PDOインスタンス1）の送信と、それに続く第2のインスタンスの処理データオブジェクト（FS-PDOインスタンス2）の送信とを示している。第1の処理データオブジェクトおよび第2の処理データオブジェクトは、同じ制御関連のコンテンツを有しているが、上述したインスタンスの番号付けにより区別される。

【0080】

以下では、最小の時間間隔をこのような送信においてどのように維持できるかを説明することとする（図2および図3：最小の持続時間Δ1および最小の持続時間Δ3と比較）。図5は、すべての処理データオブジェクトが受信器（第2の制御モジュール14）に届き、かつ、冗長な処理データオブジェクトのいずれも失われていない場合を示している。

【0081】

ステップS100において、フェールセーフな処理画像生成装置82は、第1のインスタンスの処理データオブジェクトを作成し、オブジェクトをステップS102で時点t_aにおいて送信バッファに保存する。続いて、処理データオブジェクトは送りバッファ84に存在しており（S103）、通信バス44を介して送ることができる。この時点から、フェールセーフな処理画像生成装置82は、通信バス44を通じて、いつおよびどのように処理データオブジェクトを送るかにもはや影響を与えることはできなくなる。したがって、第1のインスタンスの処理データオブジェクト（FS-PDOインスタンス1）を送信バッファ84に保存したのち、第1の制御モジュール12は、第2の処理データオブジェクト（FS-PDOインスタンス2）の作成のための最小の間隔を確保するために、時間監視を開始する。時間監視は、規定の期間（タイマ実行時）に設定されたタイマにより実施できる。くわえて、第1の制御モジュール12は、規定の期間がまだ終了していない場合に、別の処理データオブジェクトを作成しないよう、または、このようなオブジェクトを送信バッファに移動しないよう構成されている。ゆえに、第2のインスタンスの処理データオブジェクトは、タイマが終了している場合に（すなわち、時間の未消化が検知されていないときに）のみ、送信バッファ84に置かれる。好ましくは、第2のインスタンスの処理データオブジェクトはまた、タイマが終了したあとにのみ作成される（S106）。

【0082】

ゆえに、第2のインスタンスの処理データオブジェクトは、ステップS108で最小の間隔を維持し、次いで送信の用意ができた状態（S109）とされながら、送信バッファ84に置かれる。このようにして、第1の制御モジュール12は、最小の間隔Δaが、第1のインスタンスの処理データオブジェクトの作成と第2のインスタンスの処理データオブジェクトの作成との間に維持されることを保証する。

【0083】

処理データオブジェクトのいずれも、送信中に失われない場合、第2の制御モジュール14はまず、受信バッファ86に保存されている第1のインスタンスの処理データオブジェクトを受信し、これはステップS110において処理画像消費装置88により準備されている。続いて、処理データオブジェクトはステップS112において評価される。

【0084】

次いで、第2の制御モジュール14は、第2のインスタンスの処理データオブジェクトの処理および評価のための最小の間隔を確保するために、時間監視を開始する（S114）。時間監視は、第1の制御モジュールの時間監視と同様に構成することができ、それにより、タイマ実行時に処理データオブジェクトの送信ではなく、その処理および評価が防止される。このことは、第2の制御モジュール14が、受信バッファ86中に配置された第2のインスタンスの処理データオブジェクトを読み出すよう構成されているものの、このオブジェクトの処理および評価については、時間の未消化が検知されておらず、それゆえに最小の間隔Δbを確保できる場合にのみ、実行するよう構成されていることにより、実現できる。換言すれば、第2のインスタンスの処理データオブジェクトの評価は、タイマが終了しているかどうかに応じて（S115）、ステップS116において条件付きで行われる。

【0085】

2つの制御モジュール12、14それぞれに最小の間隔ΔaおよびΔbを保証させることにより、第1の制御モジュール12中の処理画像生成装置82および第2の制御モジュール14中の処理画像消費装置88が連帯して、処理データの作成（S100）および処理（S116）の間に最小の時間間隔があるのを保証することが可能となる。この最小の時間間隔は、図2および図3を参照して説明したように、最小の持続時間Δ1およびΔ3に対応する。冗長な送信を利用して、必要な最小の持続時間（最小の持続時間Δ1およびΔ3）を、個々の制御モジュール内の作動の間に規定のタイムスパンを確保することにより、このように容易に確保できる。

【0086】

以下に示すように、これらの最小の持続時間も、2つの処理データオブジェクトの一方が失われた場合でさえ、保証することができる。図6は、第1のインスタンスの処理データオブジェクトが送信中に失われた場合を描いている。図７は続いて、第2のインスタンスの処理データオブジェクトがその宛先に届かなかった場合を示している。

【0087】

図6および図7において、第1の制御モジュール12での作動は、図5に係る第1の制御モジュール12におけるものと同じであり、第1の制御モジュール12は、先に言及したステップS100～S108に従って、冗長な処理データを送信する。したがって、これらのステップを改めて記載することは省略する。

【0088】

しかし、図5と異なり、第1のインスタンスの処理データオブジェクト（FS-PDOインスタンス1）の送信は、図6に係る事例では失われている。ゆえに、第1のインスタンスの処理データオブジェクトは、第2の制御モジュール14の受信バッファ86に届かず、または、処理画像消費装置88は、第1のインスタンスの処理データオブジェクトを、受信バッファ86から読み取れない。この場合、第1のインスタンスの処理データオブジェクトは、処理画像消費装置88により、処理および評価されない。同様に、時間監視は開始されない。一方で、第2の制御モジュール14は第2のインスタンスの処理データオブジェクトを受信する。第2のインスタンスの処理データオブジェクトは、ステップS118で処理画像消費装置88により読み出されて、ステップS120で直接処理される。処理画像消費装置88は、第2のインスタンスの処理データオブジェクトを処理していることを認識するので、時間監視は開始されない。

【0089】

この処理によれば、第1のインスタンスの処理データオブジェクトが失われた場合でさえ、作成と処理との間の最小の時間間隔を保証できる。

【0090】

第2のインスタンスの処理データオブジェクトが失われた場合についても、同じ結果となる。この事例を図7に描いている。ここでも、第1の制御モジュール12により行われるステップは当初、図5の第1の制御モジュール12のものと同一である。

【0091】

ゆえに、第2の制御モジュール14は、図5を参照してすでに説明したように、第1のインスタンスの処理データオブジェクトを受信してステップS110～S114を実行する。したがって、処理画像消費装置88は、第1のインスタンスの処理データオブジェクトを評価したのち（S112）、時間監視を開始する（S114）が、次いで、特定の期間が経過したのちに、別の処理データオブジェクトを受信することはない（S122）。ゆえに、処理画像消費装置88は、処理データ評価を完了する（S124）ために、時間監視が終了したのちに、第1のインスタンスの処理データオブジェクトを再評価する。第1のインスタンスの処理データオブジェクトの新たな評価も最小の持続時間Δbだけ遅延し、処理データの作成（S100）と処理データの最終的な評価（S124）との間の最小の間隔が再び確保される。

【0092】

送信の間に最小の間隔を確立するための上記の手法は単なる例であると理解されるべきこと、かつ、この目的のために他の変形例が考えられることが理解される。ゆえに、本開示の主題は、本説明により限定されない。むしろ、本発明の主題は、以下の請求項によってのみ規定される。

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】