操作现场总线系统的现场总线模块和方法与流程

本专利申请主张国际优先权案为德国专利申请号102016110641.0，所述案说明书的全部内容以回溯引用的方式被包含于本案的公开之中。

本发明涉及一种现场总线模块。本发明还涉及一种现场总线系统。本发明更涉及一种用于操作现场总线系统的方法。

背景技术：

在自动化工程中，现场总线系统被用于控制具有分散式安排的组件的设施中的自动化过程。现场总线系统包括总线，所述现场总线大多情况下将中央控制单元连接于分散式安排的多个输入/输出模块。输入/输出模块的输入具有连接到它们的传感系统，并且输入/输出模块的输出具有连接到它们的现场总线系统的致动系统。在这种情况下，传感系统包括感测受控制的自动化过程状态的所有传感器。致动系统包括可以改变要控制的过程状态的所有致动器。

现场总线通常包括数据传输媒介，例如网络连接，藉由所述数据传输媒介，数据在控制单元和输入/输出模块之间互换。为了控制自动化过程，输入/输出模块使用它们的输入来读取来自传感系统的输入信号，输入信号代表传感器捕获的测量值。输入/输出模块将输入信号转换为输入数据，输入数据随后通过现场总线传输到控制单元。控制单元对输入数据执行逻辑功能，以便通过致动系统产生用于控制自动化过程的输出数据。输出数据通过现场总线从控制单元被传输到输入/输出模块，并由输入/输出模块转换为输出信号，输出信号通过输入/输出模块的输出被输出，以致动所述致动器。

当现场总线系统是在安全关键型设施的情况下，经常需要能够将输入/输出模块的输出置于安全状态。在这种情况下，安全状态是确保由致动器驱动的设施部件不会危及操作人员或损坏设施的这样一种状态。在大多数情况下，安全状态是“失能”或“零电压”或“零电流”状态，其中致动器不再被供应驱动电力。

在安全关键型设施的情况下，将输出置于安全状态的控制过程本身必须以安全的方式实施。特别是，特殊保护措施需要确保安全状态被实际的采用，并且随后不再被留下。通常，致动系统通过特定的安全输入/输出模块而被置入安全状态。

技术实现要素：

本发明的一个目的是提供一种用于操作具有安全关键部件的现场总线系统的改进的方法。本发明的另一个目的是提供一种用于控制安全关键过程的改进的现场总线系统。本发明的另一个目的是提供一种用于现场总线系统的改进的现场总线模块。

依据第一观点，所述目的通过现场总线系统而被达成，所述现场总线系统具有：

-切换装置，用以切换第一电力供应电压和第二电力供应电压，

-控制装置，用以利用所述切换装置来控制这些电力供应电压的所述切换，其中所述控制装置通过线接触系统而被连接到所述现场总线系统的资料总线，和

-现场总线模块，通过埠可连接于所述第一电力供应电压、所述第二电力供应电压，和所述现场总线系统的所述资料总线，其中

-利用所述现场总线模块而通过所述资料总线，所述第一电力供应电压的值是可确定的，而且可被传输到所述控制装置，其中

-所述第一电力供应电压的可确定的所述值和所述第一电力供应电压的预定值可以利用所述控制装置来相比较，其中

-若被传输到所述控制装置的所述第一电力供应电压的所述值和所述第一电力供应电压的所述预定值不一致，通过所述控制装置而利用所述切换装置，所述第二电力供应电压的停用是可启动的。

用于确定第一供应电压值的现场总线模块有利地允许现场总线系统中部件的电力供应故障可被安全地检测并使现场总线系统被置入安全状态。举例来说，这允许导致第一供应电压停用失效的故障被检测到，例如在两个电力供应电压被旁路，而由第一供应电压供电的组件仍然有电力供应，尽管第一电压供应停用的情况下。

举例来说，现场总线系统的致动器可以被从第一电力供应电压供应电能，并且现场总线系统的通信单元和/或传感器可以被从第二电力供应电压供应电能。特别地，致动器可以是现场总线系统的安全关键部件。当在一侧的通信单元和/或传感器和在另一侧的致动器被分开地供应电能时，这带来了技术优势，特别是，对致动器的电能供应可以被修整以安全地停用所述致动系统，其自动将输出置于安全状态。同时，分开的能量供应意味着传感系统的功能和/或通过数据总线的通信的功能可以被维持，结果所述设施的非安全关键剩余部分可以被移转到一个合适的状态。

有利的是，因此可行的是用于现场总线系统中传感器和/或致动器连接的输入/输出模块是不被装配用于安全工程目的的标准组件，且所述标准组件允许安全关键现场总线系统的廉价实现。而且，在标准组件的情况下，输入/输出模块的可用产品范围通常更加广泛。

依据第二观点，所述目的通过现场总线系统的现场总线模块而被达成，所述现场总线系统包含控制装置，其具有：

-用以使所述现场总线模块可连接于第一电力供应电压、第二电力供应电压、和所述现场总线系统的资料总线的埠，其中

-所述第一电力供应电压的值是可以用所述现场总线模块确定的，且其中

-所述第一电力供应电压的所述经确定的值通过所述资料总线而可被传输到所述现场总线系统的所述控制装置。

所述第一电力供应电压的值到所述控制装置的传输带来技术优势，特别是所述控制装置可以检测到故障已经发生，例如以旁路两个电力供应电压的形式。在这种情况下，所述控制装置可以启动所有电力供应电压的完全停用，从而可以将整个现场总线系统置于安全状态。

依据第三观点，所述目的通过一种用来操作现场总线系统的方法而被达成，包含下列步骤：

-利用第一电力供应电压和第二电力供应电压，提供电力给所述现场总线系统的至少输入/输出模块，

-利用所述现场总线系统的控制装置，停用所述第一电力供应电压，

-利用现场总线模块，确定所述第一电力供应电压的值，

-将所述第一电力供应电压的所述经确定的值从所述现场总线模块传输到所述控制装置，和

-当所述第一电力供应电压的所述被传输值和所述第一电力供应电压的预定值不一致，利用所述控制装置停用所述第二电力供应电压。

这带来的优点尤其在于所述第一电力供应电压的停用可以安全地被验证。如果所述第一电力供应电压的停用导致故障发生，例如以来自所述第二电力供应电压的第一电力供应电压的导体的互馈(crossfeed)的形式，则所述故障可以通过对从所述第一电力供应电压之被报告回来的值而被安全地检测到，且第二个电力供应电压同样地可以被停用。

优选的实施例可以从附属权利要求而被获得。

现场总线系统的一个实施例具有输入/输出模块，其中所述输入/输出模块具有用于连接到第一和第二电力电压供应以及用于连接到数据总线的埠。此外，所述输入/输出模块具有用以致动致动器的输出。所述输入/输出模块被配置为数据通信经由数据总线提供来自所述第二电力电压供应的能量给通信装置，并且提供来自所述第一电力电压供应的能量给所述致动器。所述输入/输出模块被安排于所述控制装置和所述现场总线模块之间，并且所述第一和第二电力电压供应接着通过所述输入/输出模块从所述切换装置被承载到所述现场总线模块。所述数据总线接着从所述控制装置通过所述输入输出模块被路由到所述现场总线模块。

作为输入/输出模块，所述致动器和所述通信装置的每一个从分开的供应电压而被供应能量，所述致动器可以有利地通过停用所述第一电力供应电压而被隔离，同时所述输入/输出模块的所述通信装置继续被供应来自第二电力电压供应的电能。即使没有电流流过所述致动器，这仍然可以让所述数据总线上的数据通信被维持。

由于所述输入/输出模块是被安排在具有切换装置的所述控制装置和所述现场总线模块之间，并且所述第一和第二电压供应从所述切换装置经由所述输入/输出模块接着被承载到所述现场总线模块，所述输入/输出模块的电压供应可以有利地被电压现场总线模块安全地监测。

如果多个输入/输出模块被连接到所述数据总线，则所述现场总线模块可被连接到所述输入/输出模块下游的数据总线，作为例如最后的总线组件。在这种情况下，所有输入/输出模块都位于所述切换装置和所述现场总线模块之间，并且第一和第二电压供应接着从所述切换装置经由所述输入/输出模块被承载到所述现场总线模块。因此，可以通过被安排在所述数据总线末端的所述现场总线模块监测以所述第一电力供应电压的所有输入/输出模块的供应。

在所述现场总线系统的实施例中，所述第一和第二电力电压供应被一起于所述切换装置和所述现场总线模块之间于电力线中被承载。这有利地减少了在所述切换装置和所述现场总线模块之间被路由的线路数量。

在所述现场总线系统的实施例中，由所述切换装置将所述第一电力供应电压停用后，所述控制装置被配置以进行由所述现场总线模块所确定的所述第一电力供应电压的所述值和所述第一电力供应电压的所述预定值之间的比较。控制装置可以有利地获取所述第一电力供应电压的被传输值作为基础，以确定是否这些现场总线组件(被供以所述第一电力供应电压)特别是被安排在所述切换装置和所述现场总线模块之间的输入/输出模块，也实际上在所述第一电力供应电压被停用后，没有电流流过它们。

在所述现场总线系统的实施例中，若由所述现场总线模块所确定的所述第一电力供应电压的所述值没有在由所述切换装置将所述第一电力供应电压停用后的潜伏期之中被所述控制装置所接收到，所述控制装置被配置以停用所述第二电力供应电压。这有利地确保即使在所述现场总线模块和所述控制装置之间的数据通信被扰乱的故障情况下第二电力供应电压的停用。

在所述现场总线系统的实施例中，所述现场总线模块和所述控制装置被配置以通过所述资料总线通过安全数据通道，传输由所述现场总线模块所确定的所述第一电力供应电压的所述值。这带来技术优势，特别是整个现场总线系统的安全水准更进一步提高。

在所述现场总线系统的实施例中，所述现场总线模块被配置为安全组件，以在安全的方式里捕获所述第一电力供应电压的所述值。以这种方式，尤其可以凭借所述第一电力供应电压的所述值的确定被冗余地执行，让整个系统的抗干扰性再次被增加。举例来说，这可以通过确定组件的数量增加来执行，例如计算机装置、电压测量装置等等。

术语“安全”和“安全性”，例如关联于“安全组件”、“安全数据通道”、“以安全方式捕获”，用以下方式被用于在安全性概念中，其中它们被定义在适用的机器指南中，特别是eniec62061：2013-09和eniso13849-1：2008。特别地，所述术语用于确保事件或状态的可检测性(例如，传感器是否适当的工作，电压是否接通或停用等)并且安全地执行过程。特别地，术语“安全”和“安全性”涵盖检测故障发生的装置和措施，例如当捕获测量值，输出控制值或传输和处理所述值，并于故障事件时采取适当措施来保护系统，也就是说当发生故障时。这些措施尤其可以包括停用驱动能量。

在此文中，术语“两通道系统”可被视为实现安全的一种方式。两通道系统和冗余可以理解为术语“安全操作”和“安全性”的子集。举例来说，两通道系统藉由两个并行通道捕获、传输或处理数据、测量值或控制值。随后，两通道的结果可以被比较，结果中的差异指示故障。

在所述现场总线模块的实施例中，所述现场总线模块的所述埠被配置以连接到将所述第一和第二供应电压一起承载的线路。

在所述现场总线模块的实施例中，所述第一电力供应电压的所述经确定的值通过安全数据通道通过所述资料总线而可被传输到所述控制装置。

在所述现场总线模块的实施例中，所述第一电力供应电压的所述值是以安全的方式被确定。

所述方法的一个发展包括以来自所述第一电力供应电压的能量来提供连接于所述输入/输出模块的致动器，以及为数据通讯通信而通过所述资料总线提供来自所述第二电力电压供应的能量给所述输入/输出模块的通讯通信装置。结果，可以通过停用所述第一电力电压供应来有利地隔离所述致动器，同时通信装置继续被供应电流。这允许即使在所述致动器已经停用或没有电流流过它们时也能维持通过所述数据总线的通信，并例如允许所述输入/输出模块捕获的测量值通过所述数据总线被传输到上级的控制单元。

所述方法的一个发展包括若由所述现场总线模块所确定的所述第一电力供应电压的所述值未在所述第一电力供应电压的所述停用后的潜伏期之中被传输到所述控制装置，利用所述控制装置停用所述第二电力供应电压。

在所述方法的一个发展中，所述第一电力供应电压的所述值的所述确定和所述第一电力供应电压的所述经确定的值到所述控制装置的所述传输是在周期性的间隔中被所述现场总线模块所重复。这有利地连续地为控制装置提供所述第一电力供应电压的当前值，使得控制装置可以迅速地对被应用到所述现场总线模块的第一电力供应电压中的不期待的差异作出反应。

附图说明

本发明在示例性实施例的基础上参考以下附图更详细地被解释，其中：

图1显示出具有根据本发明的现场总线模块的实施例，根据本发明的现场总线系统的高度简化的基本方块图，和

图2显示出依据本发明的方法的实施例，基本的高度简化的循环。

具体实施方式

本发明的核心概念被认为是用在安排于现场总线系统的安全关键部分末端的现场总线模块旨在被用于确保向所述部份所有部件的电力供应是以安全的方式来被提供。这是通过评估正在执行并且或多或少地即时被传输到控制装置的电力供应电压来实现的。所述控制装置使用实际被请求和所预定的值来执行传输值的监测和评估。结果，所述控制装置可以启动必要的步骤。特别是，在所述现场总线系统的安全关键部件的电压供应的停用后，例如对于安全关键的致动器，所述现场总线模块可以安全地监测致动器中电压的不存在。

图1显示根据本发明的现场总线系统100的实施例的基本整体方块图。现场总线系统100包括控制装置20，数据总线70，定义数量的输入/输出模块50和现场总线模块10。数据总线70使用线性拓扑或开环拓扑来配置。在这种情况下，控制装置20被安排在数据总线70的头部或开头，使得数据总线70在控制装置20处开始。随后，输入/输出模块50接着连接到数据总线70。。在数据总线70的末端，现场总线模块10连接到数据总线70。

输入/输出模块50具有一个或多个输入54，用于连接图1中未示出的传感器，并且具有一个或多个用于连接致动器的输出53，其同样未被示出。在现场总线系统100的替代性实施例中，输入/输出模块50也可以仅具有一个或多个输入而没有输出，或者仅具有一个或多个输出而没有输入。例如，输入54和/或输出53可以被配置为读入并提供电压的数位或类比式输入和输出。输出53还可以配置为电动机致动单元，其为电动机提供经调节的电流，例如以产生高驱动电力。

传感器可以是温度、压力或接触传感器，或者可以是例如光障。传感器还可以感测自动化过程的安全关键状态。在这种情况下，它们可以感测例如受控设施的防护门是否已被打开，或者设施的紧急关闭开关是否已经被操作了。

例如，致动器可以是继电器、电控阀或可以是电动机。致动器还可以移动可能出现安全风险的设施部件，例如操作人员的风险或损坏设施的风险。举例来说，致动器可以操作机器人或按压或控制加热元件。

输入/输出模块50被配置为使用数据总线70将输入数据传输到未示出的上级控制单元，并从所述上级控制单元接收输出数据。输入和输出数据一起形成用于控制自动化过程的过程数据。

数据总线70可以配置作为现场总线。数据总线70可以基于或建立在以太网络协议上。数据总线70可以被配置为实际的时间相容数据总线，对于所述数据总线，在连接到数据总线70的两个单元或模块之间的数据传输发生并且在所规定的时间间隔内被结束。特别地，数据总线70可以基于ethercat协议，profibus协议或interbus协议。

为了数据交换的目的，数据分组可以经由数据总线70从控制装置20被传输，其包含用于输入/输出模块50的输出数据。数据分组可以接着通过数据总线70上的多个输入/输出模块50，每个输入/输出模块50从所述数据分组中获取用于它的输出数据，并将由其产生的输入数据插入所述数据分组中。一旦所述数据分组到达安排在数据总线70末端的现场总线模块10，它就可以用相反的顺序通过数据总线70上的多个输入/输出模块50返回到控制装置20。

图1中所描绘的现场总线系统100可以是较大控制系统的一部分。所述控制系统可以包括用于控制自动化过程的上级控制单元。作为控制的一部分，所述上级控制单元可以逻辑地组合输入数据并产生输出数据。所述上级控制单元可以与控制装置20交换输入和输出数据，例如通过未示出的另外的数据总线。在这种情况下，所述另外的数据总线和数据总线70也可以形成共用或连续的数据总线。

举例来说，所述上级控制单元可以产生数据分组，所述数据分组首先被传输到控制装置20并且随后被传输到输入/输出模块50和现场总线模块10。或者，控制装置20也可以被配置以产生用于传输输入和输出数据的数据分组。替代地或另外地，控制装置20还可以被配置为通过逻辑地组合输入数据和产生输出数据来完全或部分地控制自动化过程。在这种情况下，所述上级控制单元可以被安排在控制装置20中。

控制装置20被功能上地连接到切换装置40。电力供应装置30使用输出31向现场总线系统100的多个部件供应两个不同的电力供应电压up、us。在这种情况下，第一电力供应电压up和第二电力供应电压us从供应装置30的输出31被依序承载到切换装置40，输入/输出模块50和现场总线模块10。

现场总线模块10具有用于连接到第一电力供应电压up，第二电力供应电压us和数据总线70的埠15。埠15包括总线接触系统14和电压接触系统13，通过所述总线接触系统14，数据总线70的信号被传输，通过所述电压接触系统13，第一和第二电力供应电压up、us被传输。

电压接触系统13将现场总线模块10连接到承载第一电力供应电压up和第二电力供应电压us的电力线60。电力线60可包括彼此绝缘的多个电导体。举例来说，导体可以组合在共用的壳体中。可选地或另外地，电力线60和埠15、55也可以使用输入/输出模块50和现场总线模块10之间的插头连接器来实现。举例来说，插头连接器可以被安排在每个输入/输出模块50和现场总线模块10的外部上，使得当模块被安排成彼此连续时，插头连接器之间彼此导电连接，例如在顶帽导轨或终端条上。电力线60也可以使用各自模块之间不同的连接技术来实现，例如使用组合在共用壳体中的导体和使用插头连接器。

第一和第二电力供应电压up、us的每一个可以在电力线60的分开导体或导线上被传输。举例来说，第一和第二电力供应电压up、us的每一个可以在dc绝缘的导体对上被传输，每个导体对的一个导体是接地导体。为了连接到线路60，电压接触系统13可以包括每个导体的一个触点，例如四个触点。

总线接触系统14将现场总线模块10连接到数据总线70。为了数据传输，数据总线70可包括多个导体。特别地，数据总线70可以包括用于数据传输的一个或多个导体对。举例来说，数据总线70可以包括两个差分导体对，例如可以称为rx+/rx-和tx+/tx-。总线接触系统14每个导体可以具有一个触点，例如总线接触系统14可以具有总共四个触点用于连接两个导体对。

埠15的电压接触系统13和埠15的总线接触系统14的触点的每一个可以被安排在现场总线模块10上的分开的接触单元中，例如在分开的插头连接器中。在另一个现场总线系统100和埠15的实施例中，用于第一电力供应电压up的电压接触系统13的触点、用于第二电力供应电压us的电压接触系统13的触点和总线接触系统14的触点的每一个也可以设置在分别的接触单元中。在现场总线系统100和现场总线模块10的另一替代实施例中，埠15的触点，即电压接触系统13的触点和总线接触系统14的触点也都可以是在现场总线模块10上的接触单元中的组合中被配置。作为示例，电力线60和数据总线70的导体可以在共用壳体中被带着并且被连接到共用接触单元。

在现场总线系统100和现场总线模块10的另一个实施例中，线路的相同导体可用于数据总线70和电力线60。举例来说，数据总线70可包括两个导体对，例如(rx+/rx)导体对和(tx+/tx)导体对，用于数据传输，并且第一供应电压up可以通过其中一个导体对而被传输，第二电力供应电压us可以通过导体对中另一个而被传输。在这种情况下，现场总线模块的埠15可以包括具有四个触点的接触单元，两个导体对中的四个导体连接到所述四个触点。

在现场总线模块10内，施加到这些触点的数据总线70的信号以及同样施加到这些触点的第一和第二电压供应up、us可以被彼此隔离，例如通过用于数据总线70的信号的高通滤波器和用于第一和第二电压供应up、us的低通滤波器。数据总线70的信号以及第一和第二供应电压up、us可以例如基于ethercatp标准一起被承载在共用线路的导体上，所述共用线路具有包括数据总线70和线路60的共用壳体。

输入/输出模块50具有埠55，埠55将它们连接到数据总线70，连接到第一电压供应up和第二电压供应us。输入/输出模块50的埠55被配置为类似于现场总线模块的埠15。特别地，埠55包括电压接触系统51，其被配置为类似于现场总线模块10的电压接触系统13，以及总线接触系统52，其被配置为类似于现场总线模块10的总线接触系统14。电压接触系统51和总线接触系统52可以特别的包括一个或多个接触单元，每个接触单元具有一个或多个触点。

控制装置20经由总线接触系统21而被连接到数据总线70。控制装置20的总线接触系统21可以被配置为类似于输入/输出单元50和/或现场总线模块10的总线接触系统52、14。切换装置40通过电压接触系统41而被连接到供应装置30的输出31和线路60。切换装置40的电压接触系统41可以被配置成类似于输入/输出单元50和/或现场总线模块10的电压接触系统51、13。

控制装置20和切换装置40可以被安排在共用壳体中。切换装置40的电压接触系统41和控制装置20的总线接触系统21可以被配置成一起像输入/输出单元50的埠51、52和/或现场总线模块10的埠15。

为了通过数据总线70传输数据，输入/输出模块50、现场总线模块10和控制装置20具有通过总线接触系统21、52、14被连接到数据总线70的通信装置。举例来说，所述通信装置可以包括用于执行现场总线上通信的协议的协议芯片。举例来说，通信装置可以包括ethercat协议芯片。

第一电力供应电压up是被提供用于向连接到输入/输出模块50的输出53的致动系统供应电力，并且第二电力供应电压us是被提供用于向连接到输入/输出模块50的输入54的感测系统供应电力。另外或可选地，控制经由数据总线70的过程数据的交换的输入/输出模块50的通信装置，和/或执行输入和输出信号与过程数据之间的转换的输入/输出模块50的计算机单元，尤其，也可以从第二电力供应电压us被提供电能。第二电力供应电压us也可仅馈送通信装置和/或计算机单元，而传感系统被来自另一电压源的电力所供应。

对于电力供应电压up、us，具有小于150v的电压位准的低电力安全电压可以被使用，例如48v或24v用于两个电力供应电压up、us的每一个，或48v用于第一电力供应电压up而24v用于第二电力供应电压us。

输入/输出模块50的输出53被用于致动安全关键的致动器，例如在第一电力供应电压up下，具有防护门的机器或生产机器于设施的操作过程中必须始终关闭防护门。因此，图1中所描绘的位于具有切换装置40的控制装置20和现场总线模块10之间的数据总线70的部分一起形成现场总线系统100的安全关键部分。当安全关键事件发生时，例如当保护所述设施的防护门被打开或当紧急关闭开关被操作时，必须确保安全关键的制动器被转移到安全，例如零电流，的状态。

举例来说，控制装置20可以被配置为安全控制装置，并且因此是现场总线系统100的安全部件。特别地，控制装置20可以被配置以检测被传输到它的数据中的故障，以确保数据的正确处理和输出。为此目的，控制装置20可以具有多个冗余处理通道，例如，其结果彼此之间被互相比较。特别地，控制装置20可以符合iec62061，iso13849-1和/或iec61508标准。

控制装置20被用于以安全的方式控制切换装置40，并且电力供应电压up、us的安全接通和停用被执行。这可以涉及停用通过安全部件而被控制，特别是例如通过多个冗余处理通道。用于停用供应电压up、us的切换位置也可能被感测并且例如通过冗余处理和信号通道而被报告回控制装置20。

电力供应电压up、us的安全接通和停用预防了安全相关事件(例如，生产机器的一个受保护门的打开)的发生而首先导致系统的致动器的第一电力供应电压up被停用。在这种情况下，传感器的第二电力供应电压us仍然保持接通，以便能够通过连接的传感系统(未示出)继续观察和监测现场总线系统100的系统响应。

在这种情况下，第一电力供应电压up的停用可以被触发，作为对显示安全关键事件发生的过程数据的反应。过程数据可以由被安排在图1中所描绘的现场总线系统100的部分中的输入/输出模块50所产生，或者在现场总线系统100的未在图1所示出的部分中被产生。

第一电力供应电压up的所述停用隔离输入/输出模块50的多个输出53和连接到这些输出53的多个致动器。通过现场总线系统100控制的设施可以被配置成使得所述设施的安全状态是致动器的零电流状态。在这种情况下，通过第一电力供应电压up的安全停用，基本上将所述设施转移到安全状态。

因此，通过控制装置20和切换装置40的第一电力供应电压up的安全停用也可靠地导致设施的安全状态，然而，必须确保在第一电力供应电压up的停用后，承载第一电力供应电压up的线路60的部分也实际上没有电压。

在现场总线系统100的操作期间，线路60的损坏可能在第一电力供应电压up的停用之前或之后发生，然而，这导致已经被停用的第一电力供应电压up被第二电力供应电压us以不希望的方式电短路或互馈，这可能是由于线路60上的外部机械动作的受损的线路60的情况。

多个输入/输出模块50中的故障或损坏也可能导致线路60的承载第一电力供应电压up的部分即使在第一电力供应电压up已经被停用时也有电压被施加于它们，例如，藉由线路60的相关部分从第二电力供应电压us互馈。在这些情况下，尽管第一电力供应电压up已经被停用，但是第一电力供应电压up的导体上仍然存在电压位准，这会对被连接的致动系统产生不期望的和安全关键的影响。

为了检测这些故障，现场总线模块10是被在现场总线系统100的安全关键部分的末端连接到系统，并且对所述第一电力供应电压up执行监测功能，更详细地如下文所说明。现场总线模块10是被用于检测和确定第一电力供应电压up的当前值。现场总线模块10具有电压测量装置12，所述电压测量装置12被配置以测量施加到现场总线模块10的电压接触系统13的第一电力供应电压up的值。电压测量装置12可以被配置为类比/数位转换器或例如作为比较器。

现场总线模块10还被配置以将由电压测量装置12所确定的第一电力供应电压up的值回报给控制装置20。现场总线模块10具有计算机装置11，例如以微处理器的形式，或fpga，其接收由电压测量装置12所传输的信号并将其转换为表示所确定的电压值的信息数据。

由现场总线模块10所确定的第一电力供应电压up的值经由数据总线70被传输到控制装置20。为此，现场总线模块10包括通信装置(图1中未示出)，其完成到数据总线70的连接。现场总线模块10的所述通信装置可以被配置为类似于输入/输出单元50的通信装置。所述通信装置和现场总线模块10用于确定第一电力供应电压up的值，换句话说例如计算机装置11和电压测量装置12，被供应从施加到电压接触系统13的第二电力供应电压us的电能。

举例来说，所述通信装置可以被配置以将表示第一电力供应电压的所确定的值的信息数据插入在数据总线70上循环的数据分组中。举例来说，数据分组可以是数据报文，例如ethercat数据报文。举例来说，所述通信装置可以包括ethercat协议芯片。

控制装置20被配置以将由现场总线模块10所传输的第一电力供应电压up的值与第一电力供应电压up的预定值进行比较。特别地，控制装置20可以被配置以验证第一电力供应电压up的被传输值是否与第一电力供应电压up的所述预定值一致。在这种情况下，第一电力供应电压up的所述预定值可以特别地取决于切换装置40的切换状态。当停用被执行时，因此预期第一电力供应电压up不再被施加到现场总线模块10的电压接触系统13，也就是说所述预定值为零。

在切换装置40的开路位置，所述预定值可以是由电力供应装置30所提供的第一电力供应电压up的电压值。在这种情况下，预定值也可以比电力供应装置30提供的电压值低一个差量，例如为了允许由于电力供应装置30和现场总线模块10之间的线路电阻而导致的电压损失。

如果现场总线模块10所传输的值与第一电力供应电压up的预定值不一致，例如在第一电力供应电压up的停用之后，上述用于线路60的第一电力供应电压up的导体的互馈形式可能出现的故障则被假设。在发生故障的情况下，控制装置20启动第二电力供应电压us的停用，使得它不能继续对用于第一电力供应电压up的导体进行互馈。结果，这停用了现场总线系统100的所有输入/输出模块50的整个电力供应，这使系统进入安全的，即断能或零电流或零电压状态。

如果相反的，在第一电力供应电压up被切换装置40停用之后由数据总线70传输的第一电力供应电压up的值与第一电力供应电压up的所预期值相同，那么也就是说，第一电力供应电压up的正确停用已经发生，那么对现场总线系统100的电力馈送没有被改变。这意味着即使在第一电力供应电压up由切换装置40停用后，第二电力供应电压us仍继续保持接通。

现场总线模块10可以被配置以固定的时间间隔周期性地将第一电力供应电压up的值传输到控制装置20。可替代地，现场总线模块10还可以被配置以在事件控制下将第一电力供应电压up的值传输到控制装置20，例如在第一电力供应电压up下降到低于预定的限制值之后。

第一电力供应电压up的值可以用安全的方式传输到控制装置20，从而可以安全地检测在向控制装置20传输第一电力供应电压up的值期间的故障。在这种情况下，第一电力供应电压up的值可以通过例如在数据总线70上所实现的安全传输通道而被传输。

举例来说，现场总线模块10和控制装置20每一者可以具有实现安全传输通道的安全组件。举例来说，安全组件可以执行用于通过数据总线70检测第一电力供应电压up的值的故障或不存在传输的安全协议。举例来说，安全协议可以是failsafeoverethercat(fsoe)协议或profisafe协议。可替代地或附加地，由现场总线模块10所确定的值也可以通过分别被路由的数据电缆而不是通过数据总线70而被传输。

控制装置20可以被配置以当第一电力供应电压up被接通时，将由现场总线模块10传输的第一电力供应电压up的值和所述预定值进行比较。在这种情况下，举例来说，控制装置20可以验证第一电力供应电压up不低于值，当低于所述值时，连接到输入/输出模块50的致动器不再能够安全或可靠地被操作。控制装置20可以被配置以，如果所述比较导致第一电力供应电压up的这类的低值，则停用第一电力供应电压up和/或第二电力供应电压us。

现场总线模块10可以被配置以不仅测量第一电力供应电压up而且测量第二电力供应电压us，并且将其值传输到控制装置20。结果，控制装置20还可以检测在第二电力供应电压us中的掉落。如果第二电力供应电压us掉落到临界值以下，例如不再确保传感器可靠的操作和/或数据总线70的可靠的数据通信所在的值，则控制装置20可以通过使用切换装置40来停用第一和/或第二电力供应电压up、us，将致动器置于安全状态。

结果，因此可以廉价标准模块不需要复杂安全的升级而被用于输入/输出模块50。

因此，这支持安全关键的现场总线系统部分的廉价实现。

结果，这允许整个安全关键现场总线系统100和/或包括现场总线系统100的更大现场总线系统的不同安全级别。

借助于现场总线模块10还可以用安全的方式执行第一电力供应电压up的所述确定，进一步提高的安全水平可以被实现。举例来说，这可以通过现场总线模块10被配置为现场总线系统100的安全组件来被生效，举例来说，具有冗余安排的多个计算机装置11和/或用于测量第一电力供应电压up的电压测量装置12。或者，现场总线模块10内的冗余也可以通过冗余的多通道软件架构(用于处理测量值和产生要被传输到控制装置20的数据)来被实现。

结果，第一电力供应电压up的安全确定值可以安全地被捕获并以最大可能的安全水平被传输到控制装置20。

可以有被定义或被作成可变的潜伏期的规定，其中所确定的第一电力供应电压up的所述值需要已经从现场总线模块10被传输到控制装置20(自第一电力供应电压up的停用起)。如果控制装置20在第一电力供应电压up的停用后的预定潜伏期内没有接收到被现场总线模块10确定的第一电力供应电压up的值，则控制装置20可以促使切换装置40也安全地停用第二电力供应电压us。

举例来说，潜伏期可以基于认证准则来被规定，所述认证准则规定系统可以匹配的时间规格。举例来说，潜伏期可以按比例调成大于或等于通过数据总线70将现场总线模块10中所确定的第一电力供应电压up的值传输到控制装置20的时段。以这种方式，根据本发明的系统的弹性可用度是可能的。

如果现场总线系统100是具有用于控制自动化过程的上级控制单元的较大现场总线系统的一部分，则在控制装置20开始的现场总线系统100可以形成子系统，所述子系统特别的具有整个现场总线系统内的安全关键输出。控制装置20、电力供应装置30和切换装置40可以一起被安排在连接在所述上级控制单元和具有安全关键输出53的输入/输出模块50之间的中间或馈送模块中，以提供电力供应电压up和us给输入/输出模块50。可选择地，这种中间模块也可仅包括控制装置20和切换装置40，但不包括电力供应装置30。在这种情况下，第一和第二电力供应电压up和us分别被供应给馈送模块，例如，在单独电缆中与数据总线70一起到所述上级控制单元。

在现场总线系统100的另一替代实施例中，电力供应装置30和切换装置40的功能也可以在一个装置中一起被实现。举例来说，用于停用第一电力供应电压up的控制装置20还可以安全地停用产生第一电力供应电压up的电力供应装置30的部分。

在现场总线系统100的替代实施例中，控制装置20和切换装置40也可以通过数据总线70在功能上彼此连接，例如通过数据总线70上的安全数据通道。在现场总线系统100的另一替代实施例中，一些输入/输出模块50还可以具有非安全关键输出，其不需要被转移到断能状态，也就是说可以在故障的情况下继续被操作。在现场总线系统100中，第三电力电压供应可以被提供，其向输入/输出模块50的非安全关键输出提供电能，并且在故障的情况下，即使在第一电力供应电压up的停用之后也继续供电。

图2显示出用于操作现场总线系统100的方法的实施例的流程图的基本概要图像。

在步骤200中，使用两个电力供应电压up和us，到现场总线系统100的至少一个输入/输出模块50的电力供应被执行。

在步骤210中，第一电力供应电压up的停用被执行。举例来说，第一电力供应电压up可被用于向现场总线系统100的致动系统提供电能。

在步骤220中，通过现场总线模块10，第一电力供应电压up值的确定被执行。

在步骤230中，第一电力供应电压up的被确定的值到控制装置20的传输被执行。

在步骤240中，第一电力供应电压up的被传输的值与第一电力供应电压up的预定值的比较被执行。例如，所述预定值可以是0v。

如果在步骤240中第一电力供应电压up的传输值与第一电力供应电压up的预定值不一致被确立，则在步骤250中第二电力供应电压us的停用被执行。例如，第二电力供应电压us可用于向现场总线系统100的传感系统提供电能和/或向输入/输出模块50或现场总线模块10的通信装置提供电能。

如果在步骤240中第一电力供应电压up的传输值与第一电力供应电压up的预定值一致被确立，则在步骤260中向现场总线系统100的第二电力供应电压us的供应被执行。

在用于操作现场总线系统100的方法的一个发展中，所述方法可以包括，在用于停止第一电力供应电压up的步骤210之后，验证是否预定的潜伏期已经过去。如果在潜伏期已经过去时，而用于接收第一电力供应电压up的被确定的值的步骤230尚未被执行，则可以直接执行用于停用第二电力供应电压us的步骤250作为进一步的步骤。

总之，本发明提供了一种“诊断盒”，其允许电力供应电压的状态被检测并被传输到自动化工程的安全关键应用中的控制装置。响应于所述诊断盒的报告，控制装置20可以启动合适的步骤并因此允许安全关键应用的安全操作，因为在两个电力供应电压之间的无干扰被提供。