DE102015116100A1 - Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors - Google Patents

Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors Download PDF

Info

Publication number
DE102015116100A1
DE102015116100A1 DE102015116100.1A DE102015116100A DE102015116100A1 DE 102015116100 A1 DE102015116100 A1 DE 102015116100A1 DE 102015116100 A DE102015116100 A DE 102015116100A DE 102015116100 A1 DE102015116100 A1 DE 102015116100A1
Authority
DE
Germany
Prior art keywords
safety
sensor device
related sensor
actuator
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015116100.1A
Other languages
English (en)
Inventor
Karsten Meyer-Gräfe
Viktor Oster
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE102015116100.1A priority Critical patent/DE102015116100A1/de
Publication of DE102015116100A1 publication Critical patent/DE102015116100A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Es wird ein sicherheitsgerichtetes Steuerungssystem (5, 5’, 5’’) zum sicheren Ansteuern wenigstens eines Aktors geschaffen, welches aufweist: eine erste sicherheitsbezogene Sensoreinrichtung (10, 20), wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten sicherheitsbezogenen Aktor (70, 72; 90, 92; 110, 112) und eine sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100). Die erste sicherheitsbezogene Sensoreinrichtung (10, 20) weist eine Netzwerkschnittstelle (18, 43), eine Speichereinrichtung (12, 31), in welcher eine der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) eindeutig zugeordnete Systeminformation, gespeichert ist, und eine Steuereinheit (14, 32) auf, die dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung (50, 60; 80; 100) zu übertragen. Die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) ist dazu ausgebildet ist, die Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen und zu verarbeiten, um eine fehlerhaft übertragene Zusatzinformation erkennen zu können.

Description

  • Die Erfindung betrifft ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors.
  • Um das Bedienpersonal bei der Bedienung von Maschinen oder Maschinenteilen vor körperlichen Schäden schützen zu können, werden in Automatisierungsanlagen Schutzeinrichtungen, beispielsweise Schutzgitter, Schutztüren, Not-Aus-Schalter und dergleichen eingesetzt. Zur Überwachung dieser Schutzeinrichtungen werden Sicherheitsschalteinrichtungen verwendet, die mit Hilfe von Sensoren die Schutzeinrichtungen überwachen.
  • Ein bekannter Sicherheitsschalter wird in der WO 98/45764 beschrieben. Der Sicherheitsschalter weist eine Vielzahl von Betätigersystemen auf, welche jeweils einen Betätiger, einen Lesekopf und eine mit dem Lesekopf verbundene Betätigerauswertung aufweisen. Information kann zwischen Lesekopf und Betätiger kontaktlos ausgetauscht werden. Über die Betätigerauswertung ist jedes Betätigungssystem an einen Bus angeschlossen, an den ferner eine Gesamtauswerteschaltung angeschlossen ist. Jedem Betätigersystem ist ein Codiersignal eindeutig zugewiesen. Die Codiersignale sind der Gesamtauswerteschaltung bekannt.
  • Um den Zustand des Sicherheitsschalters überprüfen zu können, erzeugt die Gesamtauswerteschaltung ein Fragesignal, das zum Beispiel genau ein Betätigersystem anspricht. Unter Ansprechen auf das empfangene Fragesignal verknüpft die Betätigerauswertung des angesprochenen Betätigersystems das dem Betätigersystem eindeutig zugewiesene Codiersignal mit dem Fragesignal zu einem Antwortsignal. Das Antwortsignal wird dann über den Bus zur Gesamtauswertungsschaltung übertragen und dort unter Verwendung des dem Betätigungssystem zugeordneten Codiersignals überprüft.
  • Aus der DE 20 2006 000 702 U1 ist ein elektrisches Schaltgerät bekannt, welches ein Transponder-TAG und einen Schreib-Lesespeicher enthält, der mit einer RFID-Schreib-/Leseschaltung ausgelesen oder beschrieben werden kann. Die Schreib-/Leseschaltung weist eine serielle Schnittstelle zum Anschalten an einen Feldbus auf. In den Schreib-/Lesespeicher können Daten eingeschrieben werden, welche am Ende der Gehäusefertigung des elektronischen Schaltgeräts zur Fertigungskontrolle zur Verfügung stehen. Daneben können weitere die Betriebsart und/oder den Betriebszustand betreffende Daten eingeschrieben werden, die für den Anwender des Schaltgeräts beispielsweise bei einem Netzausfall oder bei einem Betriebsstillstand ausgelesen werden können.
  • Der Erfindung liegt die Aufgabe zugrunde, ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eine Aktors zu schaffen, welches flexibel einsetzbar ist und sicher betrieben werden kann.
  • Ein weiterer Aspekt der Erfindung kann darin gesehen werden, dass die zur Überwachung von Schutzeinrichtungen verwendeten sicherheitsbezogenen Sensoreinrichtungen eindeutig identifizierbar sind und auf Fehler bei der Datenübertragung hin überwacht werden können.
  • Noch ein weiterer Gesichtspunkt der Erfindung kann darin gesehen werden, dass das sicherheitsgerichtete Steuerungssystem einfach konfiguriert werden kann.
  • Das oben genannte technische Problem wird durch die Merkmale des Anspruchs 1 gelöst.
  • Demgemäß wird ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors geschaffen, welches folgende Merkmale aufweist:
    eine erste sicherheitsbezogene Sensoreinrichtung, wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten sicherheitsbezogenen Aktor, der zur Auslösung bzw. Ausführung einer ersten sicherheitsgerichteten Aktion ausgebildet ist, und eine sicherheitsbezogene Datenverarbeitungseinrichtung. Die erste sicherheitsbezogene Sensoreinrichtung und die sicherheitsbezogene Datenverarbeitungseinrichtung sind über ein erstes Kommunikationsnetzwerk miteinander verbunden. Die erste sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
    eine Netzwerkschnittstelle, über die die erste sicherheitsbezogenen Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit, die dazu ausgebildet ist, die erste sicherheitsbezogenen Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vorbestimmter Weise ändert, zur sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen. Die erste sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert.
  • Die sicherheitsbezogene Datenverarbeitungseinrichtung ist dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um eine fehlerhafte Zusatzinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
  • Dank der Verwendung einer eindeutigen Systeminformation in der ersten sicherheitsbezogenen Sensoreinrichtung kann eine Manipulation beispielsweise durch Verwendung anderer sicherheitsbezogener Sensoren ausgeschlossen werden. Die der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation kann eine Adresse enthalten, die der ersten sicherheitsbezogenen Sensoreinrichtung innerhalb des sicherheitsgerichteten Sicherheitssystems eineindeutig zugeordnet ist. Die Systeminformation kann auch Angaben über die Schutzeinrichtung, welche von der jeweiligen sicherheitsbezogenen Sensoreinrichtung überwacht wird, enthalten.
  • Vorteilhafterweise ist die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der Datenverarbeitungseinrichtung zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden.
  • Unter einem Aktor ist vorzugsweise eine einer Maschine, einem Maschinenteil oder einer Maschinenanlage zugeordnete Sicherheitseinrichtung zu verstehen, die als sicherheitsgerichtete Aktion beispielsweise eine Maschine, einen Maschinenteil oder die gesamte Anlage abschalten, die Drehzahl einer Maschine reduzieren oder die Maschine, den Maschinenteil oder die gesamte Anlage in einen sicheren Zustand fahren kann.
  • Vorzugsweise werden die Eingangsdaten zyklisch in Telegrammen übertragen.
  • Bei der ersten sicherheitsbezogenen Sensoreinrichtung kann es sich beispielsweise um einen Positionsschalter zur Überwachung einer Schutztür, eine Schutzhaube, eine Lichtschranke, einen Lichtvorhang, einen Not-Aus-Schalter, einen Laserscanner oder dergleichen handeln.
  • Die Netzwerkschnittstelle weist vorzugsweise einen Protokollchip auf, welcher insbesondere eine Kommunikation mit der sicherheitsbezogenen Datenverarbeitungseinrichtung über das erste Kommunikationsnetzwerk ermöglicht.
  • Die Sicherheit innerhalb des sicherheitsgerichteten Steuerungssystems wird insbesondere dadurch gewährleistet, dass die der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation der Datenverarbeitungseinrichtung bekannt ist. Auf diese Weise wird eine eineindeutige Erwartungshaltung in der Datenverarbeitungseinrichtung implementiert.
  • Mit Hilfe der sich im fehlerfreien Fall mit jedem Übertragungszyklus in vordefinierter Weise ändernden Zusatzinformation kann die Datenverarbeitungseinrichtung eine fehlerhaft arbeitende sicherheitsbezogene Sensoreinrichtung erkennen, wenn diese beispielsweise sogenannte „eingefrorene Daten“ überträgt.
  • Gemäß einer vorteilhaften Weiterbildung ist die Datenverarbeitungseinrichtung dazu ausgebildet, eine Unterbrechung der zyklischen Übertragung der Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor bereitzustellen, um die erste sicherheitsgerichtete Aktion auszulösen.
  • Eine flexible Konfiguration des sicherheitsgerichteten Steuerungssystems kann dadurch erreicht werden, dass in der Speichereinrichtung der ersten sicherheitsbezogenen Sensoreinrichtung eine erste Sicherheitsidentifikation, welche die erste ausführbare sicherheitsgerichtete Aktion identifiziert und einer vorbestimmten Gruppe von Aktoren zugeordnet ist, gespeichert sind, dass
    die Steuereinheit der ersten sicherheitsbezogenen Sensoreinrichtung dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen, und dass
    die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet ist, anhand der ersten Sicherheitsidentifikation zu erkennen, dass die Aktoren der vorbestimmten Gruppe der ersten Sensoreinrichtung zugeordnet sind.
  • In vorteilhafter Weise kann in diesem Fall die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet sein, beim Erkennen einer Unterbrechung der zyklischen Übertragung der Eingangsdaten oder beim Erkennen einer fehlerhaften zyklischen Übertragung ein sicheres Ausgangssignal zu der vorbestimmten Gruppe von Aktoren zu übertragen, so dass die Aktoren der vorbestimmten Gruppe die der ersten Sicherheitsidentifikation zugeordnete erste sicherheitsgerichtete Aktion auszuführen.
  • Gemäß einer vorteilhaften Weiterbildung des Steuerungssystems ist eine zweite sicherheitsbezogene Sensoreinrichtung vorgesehen, die ebenfalls dem wenigstens einen sicherheitsbezogenen Aktor zugeordnet ist, der zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet ist, wobei die zweite sicherheitsbezogene Sensoreinrichtung und die sicherheitsbezogene Datenverarbeitungseinrichtung über das erste Kommunikationsnetzwerk miteinander verbunden sind. Die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) weist folgende Merkmale auf:
    eine Netzwerkschnittstelle, über die die zweite sicherheitsbezogene Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit, die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen. Die zweite sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert. Die sicherheitsbezogene Datenverarbeitungseinrichtung ist dazu ausgebildet, zyklisch Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung und der zweiten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die zyklische Übertragung von Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung unterbrochen und in der sicherheitsbezogenen Datenverarbeitungseinrichtung ein vorbestimmter Betriebszustand aktiviert worden ist.
  • Die zweite sicherheitsbezogene Sensoreinrichtung kann ein Zustimmschalter sein und bei dem vorbestimmten Betriebszustand kann es sich um eine Prozessbeobachtung handeln. Die zweite sicherheitsgerichtete Aktion kann zum Beispiel bewirken, dass eine Maschine mit einer definierten Geschwindigkeit oder Drehzahl weiter betrieben wird.
  • Dank dieser Maßnahme ist es zum Beispiel möglich, dass eine Maschine, deren Schutztür in einem vorbestimmten Betriebszustand, zum Beispiel im Modus „Prozessbeobachtung“, geöffnet worden ist, nicht abgeschaltet wird, sondern zum Beispiel mit einer reduzierten Geschwindigkeit weiter arbeitet.
  • Eine vorteilhafte Ausbildung sieht vor, dass die Datenverarbeitungseinrichtung eine zentrale sichere Steuerungseinrichtung ist und dass der wenigstens eine Aktor mit dem ersten Kommunikationsnetzwerk verbunden ist.
  • Alternativ kann die Datenverarbeitungseinrichtung eine übergeordnete sichere Steuerungseinrichtung mit mehreren sicheren Ausgängen und wenigstens einer Auswerteeinrichtung aufweisen, welche über das erste Kommunikationsnetzwerk mit der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung und über ein zweites Kommunikationsnetzwerk mit der übergeordneten sicheren Steuerungseinrichtung verbunden ist. Die wenigstens eine Auswerteeinrichtung ist hierbei dazu ausgebildet, Eingangsdaten von der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen, zu verarbeiten und die verarbeiteten Eingangsdaten zur übergeordneten sicheren Steuereinrichtung zu übertragen.
  • Eine weitere vorteilhafte Alternative sieht vor, dass die Datenverarbeitungseinrichtung mehrere sichere Ausgänge zum Anschalten jeweils eines Aktors aufweist.
  • Das oben genannte technische Problem wird ferner durch die Merkmale des Anspruchs 9 gelöst.
  • Demgemäß wird ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors geschaffen, welches folgende Merkmale aufweist:
    eine erste sicherheitsbezogene Sensoreinrichtung, wenigstens einen Aktor, der eine sicherheitsbezogene Datenverarbeitungseinrichtung aufweist und dazu ausgebildet ist, eine erste sicherheitsbezogene Aktion auszuführen, wobei die erste sicherheitsbezogene Sensoreinrichtung und der wenigstens eine Aktor über ein Kommunikationsnetzwerk miteinander verbunden sind. Die erste sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
    eine Netzwerkschnittstelle, über die erste sicherheitsbezogene Sensoreinrichtung unmittelbar an das Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der ersten Sicherheitsschalteinrichtung eindeutig zugeordnete Systemsinformation gespeichert ist, und
    eine Steuereinrichtung, die dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der Datenverarbeitungseinrichtung des wenigstens einen Aktors zu übertragen. Die erste sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen. Die Datenverarbeitungseinrichtung des wenigstens einen Aktors ist ferner dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um eine fehlerhaft übertragene Zusatzinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
  • Vorteilhafterweise ist die Datenverarbeitungseinrichtung des wenigstens einen Aktors dazu ausgebildet, Eingangsdaten von der wenigstens einen sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der jeweiligen Auswerteeinrichtung zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden.
  • An dieser Stelle sei angemerkt, dass es sich bei der in jedem Übertragungszyklus ändernden Zusatzinformation um eine laufende Nummer handeln kann, die im fehlerfreien Betrieb in vorbestimmter Weise, beispielsweise mit jedem Übertragungszyklus um eins inkrementiert wird.
  • Vorteilhafterweise ist die Datenverarbeitungseinrichtung des wenigstens einen Aktors dazu ausgebildet, eine Unterbrechung der zyklischen Übertragung der Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen Aktor bereitzustellen, um die erste Sicherheitsaktion auszuführen.
  • Um insbesondere autarke Sicherheitsinseln konfigurieren zu können, kann in der Speichereinrichtung der ersten sicherheitsbezogenen Sensoreinrichtung eine erste Sicherheitsidentifikation, die die erste ausführbare sicherheitsgerichtete Aktion identifiziert und die einer vorbestimmten Gruppe von Aktoren zugeordnet ist, gespeichert sein, wobei
    die Steuereinheit dazu ausgebildet sein kann, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu den mehreren Aktoren zu übertragen, und wobei jede sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet sein kann, anhand der empfangenen ersten Sicherheitsidentifikation zu erkennen, ob der jeweilige Aktor zu der vorbestimmten Gruppe, welche der ersten Sensoreinrichtung zugeordnet ist, gehört.
  • Gemäß einer vorteilhaften Weiterbildung des sicherheitsgerichteten Steuerungssystems ist eine zweite sicherheitsbezogene Sensoreinrichtung vorgesehen, die der ersten sicherheitsbezogenen Sensoreinrichtung zugeordnet ist. Der wenigstens eine Aktor (180, 190) ist zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet, wobei die zweite sicherheitsbezogene Sensoreinrichtung und der wenigstens eine Aktor über das erste Kommunikationsnetzwerk miteinander verbunden sind. Die zweite sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
    eine Netzwerkschnittstelle, über die die zweite sicherheitsbezogene Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation und eine zweite Sicherheitsidentifikation, welche die zweite ausführbare sicherheitsgerichtete Aktion identifiziert, gespeichert sind, und
    eine Steuereinheit), die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation, die zweite Sicherheitsidentifikation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen, wobei die zweite sicherheitsbezogene Sensoreinrichtung dazu ausgebildet ist, diese Zusatzinformation zu erzeugen. Die sicherheitsbezogene Datenverarbeitungseinrichtung des wenigstens einen Aktors ist dazu ausgebildet, Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung und der zweiten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die von der ersten sicherheitsbezogenen Sensoreinrichtung gesteuerte zyklische Übertragung von Eingangsdaten unterbrochen und an der sicherheitsbezogenen Datenverarbeitungseinrichtung des wenigstens einen Aktors ein vorbestimmter Betriebszustand aktiviert worden ist.
  • Eine zweckmäßige Weiterbildung sieht vor, dass die erste sicherheitsbezogene Sensoreinrichtung eine Detektoreinrichtung aufweist, welche dazu ausgebildet ist, zu erkennen, ob die erste sicherheitsbezogene Sensoreinrichtung am Kommunikationsnetzwerk angeschlossen ist. In diesem Fall ist die Steuereinheit dazu ausgebildet, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, die zyklische Übertragung von Eingangsdaten zu beginnen, wenn die Detektoreinrichtung erkannt hat, dass die erste sicherheitsbezogene Sensoreinrichtung am Kommunikationsnetzwerk angeschlossen ist, und/oder dass die zweite sicherheitsbezogene Sensoreinrichtung eine Detektoreinrichtung aufweist, welche dazu ausgebildet ist, einen vorbestimmten Schaltzustand zu erkennen, und dass die Steuereinheit dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, die zyklische Übertragung der Eingangsdaten zu beginnen, wenn die Detektoreinrichtung den vorbestimmten Schaltzustand der zweiten sicherheitsbezogenen Sensoreinrichtung erkannt hat.
  • Vorteilhafterweise kann die zweite sicherheitsbezogene Sensoreinrichtung dazu ausgebildet sein, einen Schaltzustand der zweiten sicherheitsbezogenen Sensoreinrichtung zu erkennen. In diesem Fall ist die Steuereinheit dazu ausgebildet, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, eine den Schaltzustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen. Jede Datenverarbeitungseinrichtung kann dazu ausgebildet sein, auch die mit den Eingangsdaten übertragene Zustandsinformation zu verarbeiten.
  • Gemäß einer vorteilhaften Ausgestaltung weist die erste sicherheitsbezogene Sensoreinrichtung eine Betätigungseinrichtung und eine separate Leseeinrichtung auf. Die Leseeinrichtung ist zum berührungslosen Auslesen der Speichereinrichtung ausgebildet. Die Speichereinrichtung, die Steuereinheit und eine Nahfeld-Kommunikationsschnittstelle sind in der Betätigungseinrichtung angeordnet, welche dazu ausgebildet ist, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert. Die Netzwerkschnittstelle und eine weitere Nahfeld-Kommunikationsschnittstelle sind in der Leseeinrichtung angeordnet. Die Nahfeld-Kommunikationsschnittstellen können in sich bekannterweise einen NFC-Chip und eine Antenne, wie zum Beispiel Folienantenne aufweisen. Das zyklische Auslesen der Speichereinrichtung und die zyklische Übertragung von Eingangsdaten beginnt erst dann, wenn die Leseeinrichtung und die Betätigungseinrichtung einen definierten Abstand zueinander aufweisen.
  • Handelt es sich bei der ersten sicherheitsbezogenen Sensoreinrichtung beispielsweise um einen Positionsschalter, welcher eine Schutztür oder eine Schutzhaube überwacht, so wird im ordnungsgemäßen Betrieb ein definierter Abstand zwischen der Leseeinrichtung und der Betätigungseinrichtung der Sensoreinrichtung eingenommen, sobald die Schutztür bzw. die Schutzhaube geschlossen ist. Mit anderen Worten: Die erste sicherheitsbezogene Sensoreinrichtung überträgt in diesem Beispiel Eingangsdaten zyklisch, solange die Schutzhaube bzw. die Schutztür geschlossen ist.
  • Um die Sicherheit des Systems zu erhöhen, kann die Steuereinheit der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung dazu ausgebildet sein, die zyklisch zu übertragende Eingangsdaten fehlersicher zu kodieren. In diesem Fall kann die jeweilige Datenverarbeitungseinrichtung jeweils dazu ausgebildet sein, die codierten Eingangssignale zu decodieren, um eine fehlerhafte Übertragung Eingangsdaten erkennen zu können.
  • Die Erfindung wird nachfolgend anhand einiger Ausführungsbeispiele in Verbind mit den beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 ein schematisches Blockschaltbild einer beispielhaften sicherheitsbezogenen Sensoreinrichtung,
  • 2 ein schematisches Blockschaltbild einer alternativen sicherheitsbezogenen Sensoreinrichtung,
  • 3 ein beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen sowie einer Auswerteeinrichtung, die getrennt von einer sicheren Steuerung angeordnet ist,
  • 4 ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in den 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen und einer zentralen sicheren Steuerung,
  • 5 ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen und einer zentralen sicheren Auswerteeinrichtung,
  • 6 noch ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen sowie mehreren sicheren Aktoren, die jeweils eine sichere Auswerteeinrichtung enthalten, und
  • 7 ein beispielhaftes Telegramm zur Übertragung von Eingangsdaten.
  • In 1 ist eine beispielhafte sicherheitsbezogene Sensoreinrichtung 10 dargestellt, die zum Beispiel in einer Automatisierungsanlage zur Überwachung einer Schutzeinrichtung verwendet werden kann. Die sicherheitsbezogene Sensoreinrichtung 10 kann zum Beispiel als Abstandssensor, Positionsschalter, Not-Aus-Schalter, Zustimmschalter, Zweihandschalter oder dergleichen ausgebildet sein.
  • Die sicherheitsbezogene Sensoreinrichtung 10 weist eine Netzwerkschnittstelle 18 auf, über die sie unmittelbar an ein Kommunikationsnetzwerk angeschlossen werden kann. Die Netzwerkschnittstelle 18 weist vorzugsweise einen nicht dargestellten Protokollchip auf, der eine Kommunikation der sicherheitsbezogenen Sensoreinrichtung 10 über das Kommunikationsnetzwerk ermöglicht. Weiterhin enthält die sicherheitsbezogene Sensoreinrichtung 10 eine Speichereinrichtung 12, in der eine Systeminformation, welche der sicherheitsbezogenen Sensoreinrichtung 10 eindeutig zugeordnet ist, gespeichert ist. In der Speichereinrichtung kann ferner eine Sicherheitsidentifikation zur Identifizierung einer sicherheitsgerichteten Aktion gespeichert werden. Ferner wird mit der Sicherheitsidentifikation eine Gruppe von Aktoren identifiziert. Vorzugsweise handelt es sich bei der Systeminformation um eine Adresse, die innerhalb eines sicherheitsgerichteten Steuerungssystems der sicherheitsbezogenen Sensoreinrichtung 10 eineindeutig zugeordnet ist. Diese Adresse kann bei der Herstellung der sicherheitsbezogenen Sensoreinrichtung 10 oder auch später vom Anwender in die Speichereinrichtung 12 geschrieben werden. In der Speichereinrichtung 12 sei beispielsweise eine Sicherheitsidentifikationen abgelegt, die in 1 mit Safety ID1 bezeichnet ist.
  • Jeder Sicherheitsidentifikation ist eine bestimmte sicherheitsgerichtete Aktion zugeordnet, welche von einem Aktor ausgelöst bzw. ausgeführt werden kann. Eine sicherheitsgerichtete Aktion kann beispielsweise das Abschalten eines Maschinenteils, einer Maschine oder einer Maschinenanlage, oder eine Reduzierung der Drehzahl eines Motors oder das Fahren eines Maschinenteils, einer Maschine oder einer Maschinenanlage in einen sicheren Zustand betreffen.
  • Weiterhin weist die sicherheitsbezogene Sensoreinrichtung 10 eine Steuereinheit 14 auf, welche als Mikrocontroller ausgebildet sein kann. Die Steuereinheit 14 ist dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 10 zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation, wenn vorhanden, eine Sicherheitsidentifikation, und eine sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vorbestimmter Weise ändernde Zusatzinformation enthält, über die Netzwerkschnittstelle 18 und über ein Kommunikationsnetzwerk zu einer Datenverarbeitungseinrichtung zu übertragen. Die Zusatzinformation wird von der sicherheitsbezogenen Sensoreinrichtung 10 erzeugt. Bei der sich zyklisch ändernden Zusatzinformation kann es sich um eine laufende Nummer handeln, welche beispielsweise der Mikrocontroller 14 mit jedem Übertragungszyklus um 1 inkrementiert. Vorzugsweise werden Eingangsdaten der Sensoreinrichtung 10 zyklisch jeweils in einem Datentelegramm übertragen.
  • Ein beispielhaftes Telegramm zur zyklischen Übertragung von Eingangsdaten ist in der 7 dargestellt. In jedem Telegramm werden zum Beispiel eine Sicherheitsidentifikationen Safety ID, die der sicherheitsbezogenen Sensoreinrichtung 10 eindeutig zugeordnete Systeminformation, eine laufende Nummer, welche beispielsweise der Nummer des aktuellen Übertragungszyklus entspricht, und eine Zustandsinformation, welche beispielsweise den Betriebszustand oder Schaltzustand der sicherheitsbezogenen Sensoreinrichtung 10 beschreibt, übertragen. Diese Daten können zusätzlich noch mit einer Prüfsumme (CRC) abgesichert oder durch eine andere Codierung gesichert werden, die ebenfalls mit übertragen werden kann. Wichtig ist darauf hinzuweisen, dass in jedem Telegramm zumindest die eindeutige Systeminformation und die sich zyklisch ändernde Zusatzinformation übertragen werden.
  • Die sicherheitsbezogene Sensoreinrichtung 10 weist optional eine Detektoreinrichtung 16 auf, welche dazu ausgebildet ist, zu erkennen, ob die sicherheitsbezogene Sensoreinrichtung 10 über die Netzwerkschnittstelle 18 mit einem Kommunikationsnetzwerk verbunden ist. Hierzu kann die Detektoreinrichtung 16 mit dem Mikrocontroller 14 und der Netzwerkschnittstelle 18 verbunden sein. Der Mikrocontroller 14 ist in diesem Fall dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 10 zu veranlassen, die zyklische Übertragung von Eingangsdaten vorzugsweise in Form von Eingangsdatentelegrammen zu beginnen, wenn die Detektoreinrichtung 16 erkannt hat, dass die sicherheitsbezogene Sensoreinrichtung 10 an einem Kommunikationsnetzwerk angeschlossen ist.
  • Handelt es sich bei der Sensoreinrichtung 10 um einen Zustimmschalter, so kann die Detektoreinrichtung 16 ferner dazu ausgebildet sein, zu erkennen, ob der Zustimmschalter ein- oder ausgeschaltet ist. In diesem Fall kann die Sensoreinrichtung 10, d. i. vorzugsweise der Mikrocontroller 14 dazu ausgebildet sein, einen den Schaltzustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen.
  • Die Zustandsinformation kann alternativ oder zusätzlich beispielsweise anzeigen, dass die sicherheitsbezogene Sensoreinrichtung 10 ordnungsgemäß an einem Kommunikationsnetzwerk angeschlossen ist oder dass die sicherheitsbezogene Sensoreinrichtung 10 sich beispielsweise in der Betriebsart „Prozessbeobachtung“ befindet.
  • 2 zeigt eine alternative Ausführungsform einer sicherheitsbezogenen Sensoreinrichtung 20, die zum Beispiel in einer Automatisierungsanlage zur Überwachung einer Schutzeinrichtung verwendet werden kann. Die sicherheitsbezogene Sensoreinrichtung 20 kann vorzugsweise als Abstandssensor oder Positionsschalter ausgebildet sein.
  • Die sicherheitsbezogene Sensoreinrichtung 20 weist eine Betätigungseinrichtung 30 und eine Leseeinrichtung 40 auf, die zum berührungslosen Auslesen eines Speichers 31 ausgebildet sind. Betätigungseinrichtung 30 und Leseeinrichtung 40 sind als separate Einheiten ausgebildet, die relativ zueinander bewegt werden können. Auf diese Weise ist es möglich, die Betätigungseinrichtung 30 und die Leseeinrichtung 40 an verschiedenen Stellen einer Schutzeinrichtung, beispielsweise an einer Schutztür anzubringen, um zu erkennen, ob eine Schutztür geöffnet oder geschlossen ist.
  • Die Leseeinrichtung 40 ist zum berührungslosen Auslesen des Speichers 31 ausgebildet, der in der Betätigungseinrichtung implementiert ist. Angemerkt sei, dass die Leseeinrichtung 40 auch eine Schreibfunktionalität aufweisen kann, mit deren Hilfe, der Speicher 31 der Betätigereinrichtung 30 beschrieben werden kann. In der Speichereinrichtung 31 kann eine Sicherheitsidentifikation zur Identifizierung einer sicherheitsgerichteten Aktion und eine Systeminformation gespeichert werden kann, welche der sicherheitsbezogenen Sensoreinrichtung 20 eindeutig zugeordnet ist. Vorzugsweise handelt es sich bei der Systeminformation um eine Adresse, die innerhalb eines sicherheitsgerichteten Steuerungssystems der sicherheitsbezogenen Sensoreinrichtung 20 eineindeutig zugeordnet ist. Diese Adresse kann bei der Herstellung der sicherheitsbezogenen Sensoreinrichtung 20 oder auch später vom Anwender in der Speichereinrichtung 31 geladen werden. In der Speichereinrichtung 31 ist beispielsweise ferner eine Sicherheitsidentifikation Safety ID2 gespeichert. Der Sicherheitsidentifikation Safety ID2 ist eine bestimmte sicherheitsgerichtete Aktion zugeordnet, welche von einer Gruppe von Aktoren, die durch die Sicherheitsidentifikation adressiert werden, ausgelöst werden kann. Eine sicherheitsgerichtete Aktion kann beispielsweise das Abschalten eines Maschinenteils, einer Maschine oder einer Maschinenanlage, oder eine Reduzierung der Drehzahl eines Motors oder das Fahren eines Maschinenteils, einer Maschine oder einer Maschinenanlage in einen sicheren Zustand betreffen.
  • Weiterhin weist die Betätigungseinrichtung 30 der sicherheitsbezogenen Sensoreinrichtung 20 eine Steuereinheit 32 auf, die mit einem NFC(Near Field Communication)-Chip 33 verbunden ist, der wiederum mit einer Antenne 34 verbunden ist. Die Steuereinheit 32 kann wiederum ein Mikrocontroller sein. Der NFC-Chip 33 und die Antenne 34 bilden eine Nahfeld-Kommunikationsschnittstelle der Betätigungseinrichtung 30.
  • Die Steuereinheit 32 ist dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, zyklisch Eingangsdaten, welche die eindeutige Systeminformation, die Sicherheitsidentifikation Safety ID2 und eine sich im fehlerfreien Betrieb mit jedem Übertragungszyklus ändernde Zusatzinformation enthält, über Antennen 34 und 41, die Netzwerkschnittstelle 43 und über ein Kommunikationsnetzwerk zu einer Datenverarbeitungseinrichtung zu übertragen. Bei der sich zyklisch ändernden Zusatzinformation kann es sich um eine laufende Nummer handeln, welche beispielsweise der Mikrocontroller 32 oder ein Generator 35 mit jedem Übertragungszyklus um 1 inkrementiert. Vorzugsweise werden Eingangsdaten der Sensoreinrichtung 10 zyklisch jeweils in einem Datentelegramm übertragen. Angemerkt sei, dass zumindest die eindeutige Systeminformation und die sich zyklisch ändernde Zusatzinformation in jedem Telegramm übertragen werden. Ein beispielhaftes Telegramm zur zyklischen Übertragung von Eingangsdaten ist in der 7 dargestellt.
  • Die Leseeinheit 40 weist ebenfalls eine Nahfeld-Kommunikationsschnittstelle auf, die vorzugsweise aus einem NFC-Chip 42 und der Antenne 41 gebildet wird. Der NFC-Chip 42 der Leseeineinrichtung 40 ist mit einer Netzwerkschnittstelle 43 verbunden, die vorzugsweise in der Leseeinrichtung 40 angeordnet ist. Die Netzwerkschnittstelle 43 kann ähnlich der Netzwerkschnittstelle 18 einen Protokollchip aufweisen, der eine Kommunikation der sicherheitsbezogenen Sensoreinrichtung 20 über ein Kommunikationsnetzwerk ermöglicht. Das Kommunikationsnetzwerk kann beispielsweise ein Feldbus, insbesondere ein IO-Link, Profibus, Profinet, Interbus oder ein anderes bekanntes Netzwerk sein.
  • Die Leseeinrichtung 40 weist optional eine Detektoreinrichtung 45 auf, welche dazu ausgebildet ist, zu erkennen, ob die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 über die Netzwerkschnittstelle 43 mit einem Kommunikationsnetzwerk verbunden ist. Hierzu kann die Detektoreinrichtung 45 mit der Netzwerkschnittstelle 43 verbunden sein. Über die Antennen 34 und 41 kann die Detektoreinrichtung 45 mit dem Mikrocontroller 32 kommunizieren. Der Mikrocontroller 32 ist in diesem Fall dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, die zyklische Übertragung von Eingangsdaten vorzugsweise in Form von Eingangsdatentelegrammen zu beginnen, wenn die Detektoreinrichtung 45 erkannt hat, dass die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 an einem Kommunikationsnetzwerk angeschlossen ist.
  • Die sicherheitsbezogenen Sensoreinrichtung 20, vorzugsweise der Mikrocontroller 32, kann ferner dazu ausgebildet sein, den Zustand der sicherheitsbezogenen Sensoreinrichtung 20 zu erkennen, wobei dann der Mikrocontroller 32 dazu ausgebildet ist, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, auch eine den Zustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen. Zusätzlich oder alternativ zur Zustandsinformation kann ein Sicherheitsdatum bzw. Sicherheitssignal mit den Eingangsdaten übertragen werden, welches eine vorbestimmte sicherheitsgerichtete Aktion auslösen kann. Die vorbestimmte sicherheitsgerichtete Aktion kann zum Beispiel das Abschalten einer Maschine, eines Maschineteils oder dergleichen betreffen. Das Sicherheitsdatum veranlasst somit eine Maschinensteuerung. Die Zustandsinformation kann signalisieren, dass, wenn die sicherheitsbezogene Sensoreinrichtung 20 zum Beispiel ein Zustimmschalter ist, der Zustimmschalter gedrückt oder nicht gedrückt oder, wenn die sicherheitsbezogene Sensoreinrichtung 20 als Zweihandschalter ausgebildet ist, dass der Zweihandschalter gleichzeitig oder nicht gleichzeitig gedrückt worden ist.
  • Die Zustandsinformation kann alternativ oder zusätzlich beispielsweise anzeigen, dass die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 ordnungsgemäß an einem Kommunikationsnetzwerk angeschlossen ist oder dass die sicherheitsbezogene Sensoreinrichtung 20 sich beispielsweise in der Betriebsart „Prozessbeobachtung“ befindet.
  • Die Antenne 34 der Betätigungseinrichtung 30 und die Antenne 41 der Leseeinheit 40 sind derart zueinander angeordnet, dass das Auslesen des Speichers 31 und die zyklische Übertragung von Eingangsdaten über die Netzwerkschnittstelle 43 erst dann beginnen, wenn die Leseeinrichtung 40 und die Betätigungseinrichtung 30 bzw. die Antennen 34 und 41 einen vorbestimmten Abstand zueinander aufweisen. Handelt es sich bei der sicherheitsbezogenen Sensoreinrichtung 20 beispielsweise um einen Positionsschalter, der den geschlossenen Zustand einer Schutztür überwacht, so wird dieser vorbestimmte minimale Abstand erzielt, wenn die Schutztür geschlossen ist. Mit dem vorbestimmten Abstand wird somit der Abstand definiert, bei dem eine Nahfeldkommunikation über die Antennen 34 und 41 möglich wird. Wird dieser vorbestimmte Abstand überschritten, besteht keine Funkverbindung mehr zwischen den Antennen 34 und 41 und die Speichereinrichtung 31 kann nicht mehr ausgelesen werden, so dass auch die zyklische Übertragung von Eingangsdaten nicht mehr möglich ist.
  • Die Anordnung der NFC-Antenne 34 und der NFC-Antenne 41 ist daher derart gewählt, dass die Datenübertragung zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 nur möglich ist, wenn der Abstand dazwischen dem vorgegebenen bzw. gewünschten Abstand entspricht. Der vorgegebene Abstand kann auch dadurch eingestellt werden, dass die NFC-Antennen 34 und 41 einen bestimmten Formfaktor aufweisen und/oder eine gezielte Abschirmung für die Antennen 34 und 41 gewählt wird. Über die NFC-Antennen 34 und 41 kann die Betätigungseinrichtung 30, je nach Implementierung, auch mit Energie versorgt werden.
  • 3 zeigt ein beispielhaftes sicherheitsgerichtetes Steuerungssystem 5 zum sicheren Ansteuern von wenigstens einem Aktor, wobei in 3 beispielsweise zwei Aktoren 70 und 72 dargestellt sind. Das Steuerungssystem 5 kann Teil einer Automatisierungsanlage sein.
  • Lediglich beispielhaft sei angenommen, dass das sicherheitsgerichtete Steuerungssystem 5 eine sicherheitsbezogene Sensoreinrichtung 10 und eine sicherheitsbezogene Sensoreinrichtung 20 aufweist. Die sicherheitsbezogene Sensoreinrichtung 10 ist entsprechend der in 1 gezeigten sicherheitsgerichteten Sensoreinrichtung 10 ausgebildet ist. Deshalb erhält sie das Bezugszeichen 10. Die sicherheitsbezogene Sensoreinrichtung 20 ist entsprechend der in 2 gezeigten sicherheitsbezogenen Sensoreinrichtung 20 ausgebildet ist und erhält deshalb das Bezugszeichen 20.
  • Weiterhin sei angenommen, dass die sicherheitsbezogenen Sensoreinrichtungen 10 und 20 über ein erstes Kommunikationsnetzwerk 120, 122 mit einer Auswerteeinrichtung 50 verbunden sind. Das erste Kommunikationsnetzwerk 120, 122 kann beispielsweise das standardisierte IO-Link-Anbindungsnetzwerk sein. Angemerkt sei, dass das sicherheitsgerichtete Steuerungssystem 5 weitere sicherheitsbezogene Sensoreinrichtungen aufweisen kann, welche über das IO-Link-Netzwerk mit derselben Auswerteeinrichtung 50 oder wenigstens einer separaten Auswerteeinrichtung (nicht dargestellt) verbunden sein können.
  • Die Auswerteeinrichtung 50 ist über ein zweites Kommunikationsnetzwerk 130 mit einer sicheren Steuerungseinrichtung 60, auch sichere Steuerung genannt, verbunden. Das zweite Kommunikationsnetzwerk 130 kann ein bekannter Feldbus, zum Beispiel Profinet oder auch ein Ethernet-basiertes Kommunikationsnetzwerk sein.
  • Die sichere Steuerungseinrichtung 60 kann mehrere sichere Ausgänge aufweisen, wobei lediglich zwei sichere Ausgänge 61 und 62 in 3 dargestellt sind, an die jeweils ein Aktor angeschlossen ist. Ein Aktor 70 ist über einen Ausgangskanal 141 mit dem sicheren Ausgang 61 verbunden, während ein weiterer Aktor 72 über einen Ausgangskanal 140 mit dem anderen sicheren Ausgang 62 verbunden ist. Die Ausgangskanäle können als ein weiteres Kommunikationsnetzwerk betrachtet werden. Angenommen sei, dass der Aktor 70 einer Drehmaschine (nicht dargestellt) zugeordnet ist, während der Aktor 72 einer Bohrmaschine (nicht dargestellt) zugeordnet ist.
  • Gemäß einem ersten Szenario sei angenommen sei, dass die sicherheitsbezogenen Sensoreinrichtungen 10 und 20 jeweils als eine erste sicherheitsbezogene Sensoreinrichtung fungieren, wobei die Sensoreinrichtung 10 beispielsweise als Positionsschalter ausgebildet ist, mit dem beispielsweise eine Schutzhaube (nicht dargstellt) der Drehmaschine überwacht werden soll, und dass die sicherheitsbezogene Sensoreinrichtung 20 ebenfalls als Positionsschalter ausgebildet ist, mit dem beispielsweise eine Schutztür (nicht dargstellt) der Bohrmaschine überwacht werden soll.
  • Die Auswerteeinrichtung 50 und die sichere Steuerungseinrichtung 60 bilden zusammen eine sicherheitsbezogene Datenverarbeitungseinrichtung. Die Auswerteeinrichtung 50 ist dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das erste Kommunikationsnetzwerk 120, 122 zu empfangen und zu verarbeiten, um eine fehlerhafte Zustandsinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den der Sensoreinrichtung 10 zugeordneten Aktor 70 und/oder den der Sensoreinrichtung 20 zugeordneten Aktor 72 zu veranlassen, eine erste vorbestimmte Sicherheitsfunktion auszuführen. Hierzu können dann die verarbeiteten Eingangsdaten zu der übergeordneten sicheren Steuerungseinrichtung 60 über das zweite Kommunikationsnetzwerk 130 übertragen werden, die die Aktoren 70 und 72 entsprechend ansteuert, um die ihnen zugeordnete erste Sicherheitsfunktion gegebenenfalls auszulösen.
  • Vorteilhafterweise ist die Auswerteeinrichtung 50 dazu ausgebildet, Eingangsdaten von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der Auswerteeinrichtung 50 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
  • Die Auswerteeinrichtung 50 kann gemäß einer vorteilhaften Ausgestaltung ferner dazu ausgebildet sein, anhand einer in mit Eingangsdaten übertragenen Sicherheitsidentität zu erkennen, welche Gruppe von Aktoren der sicherheitsbezogenen Sensoreinrichtung 10 und welche Gruppe von Aktoren der Sensoreinrichtung 20 zugeordnet sind, welche sicherheitsgerichtete Aktion von der jeweiligen Gruppe von Aktoren bei Erkennen eines Fehlers der jeweiligen sicherheitsbezogenen Sensoreinrichtung oder eines sicherheitskritischen Systemzustands oder eines definierten Systemzustands auszuführen ist, und ob der jeweilige Aktor oder die jeweiligen Aktoren die entsprechende sicherheitsgerichtete Aktion ausführen sollen.
  • Die Auswerteeinrichtung 50 erkennt einen Fehler hinsichtlich einer sicherheitsbezogenen Sensoreinrichtung beispielsweise daran, dass entweder die zyklische Datenübertragung von der jeweiligen Sensoreinrichtung unterbrochen worden ist, oder die übertragenen Eingangsdaten verfälscht worden sind, oder die mit den Eingangsdaten übertragene laufende Nummer sich nicht mehr verändert oder nicht mehr in der vorbestimmten Weise ändert. Einen sicherheitskritischen Systemzustand, wie zum Beispiel das Öffnen der Schutztür erkennt die Auswerteeinrichtung daran, dass die zyklische Datenübertragung von der jeweiligen Sensoreinrichtung unterbrochen worden ist. Einen definierten Systemzustand, wie zum Beispiel die Betriebsart „Prozessbeobachtung“, erkennt die Auswerteeinrichtung 50 beispielsweise anhand einer speziellen Information, welche zum Beispiel im Feld „Zustandsinformation“ eines jeden Eingangsdaten-Telegramms übertragen werden kann, oder welche von der Bedienperson der Auswerteeinrichtung 50 und/oder der sicheren Steuerung 60 mitgeteilt wird. Im fehlerfreien Betrieb einer sicherheitsbezogenen Sensoreinrichtung kann die Auswerteeinrichtung 50 der sicheren Steuerung 60 signalisieren, dass der der sicherheitsbezogenen Sensoreinrichtung zugeordnete Aktor keine sicherheitsgerichtete Aktion ausführen soll.
  • Erkennt die Auswerteeinrichtung 50 hinsichtlich der sicherheitsbezogenen Sensoreinrichtung und/oder der sicherheitsbezogenen Sensoreinrichtung 20 einen Fehler oder einen sicherheitskritischen Zustand, so kann die Auswerteeinrichtung 50 der sicheren Steuerung 60 signalisieren, welche sicherheitsbezogene Sensoreinrichtung betroffen ist, indem sie beispielsweise die entsprechende Sicherheitsidentifikation und/oder die Adresse der betroffenen sicherheitsbezogenen Sensoreinrichtung zur sicheren Steuerung 60 überträgt.
  • In der sicheren Steuerung 60 kann eine Liste hinterlegt sein, die definiert, welche sicherheitsbezogene Sensoreinrichtung welchem Aktor oder welchen Aktoren zugeordnet ist und welche sicherheitsgerichtete Aktion oder welche sicherheitsgerichteten Aktionen der oder die Aktoren ausführen sollen. Hierzu können die eindeutigen Systeminformationen der Sensoreinrichtungen 10 und 20, gegebenenfalls die in den Sensoreinrichtungen 10 und 20 gespeicherten Sicherheitsidentifikationen und die Adressen der Aktoren entsprechend verknüpft werden.
  • Nachfolgend wird ein erstes beispielhaftes Szenario des in 3 gezeigten sicherheitsgerichteten Steuerungssystems 5 näher erläutert.
  • Angenommen sei, dass vor Inbetriebnahme des Steuerungssystems 5 in der Speichereinrichtung 12 der Sensoreinrichtung 10 eine systemweit eindeutige Adresse abgelegt worden ist und in der Speichereinrichtung 31 der Sensoreinrichtung 20 eine systemweit eindeutige Adresse abgelegt worden ist.
  • Ferner ist, wie oben bereits erwähnt, die sicherheitsbezogene Sensoreinrichtung 10 dem Aktor 70 und die sicherheitsbezogene Sensoreinrichtung 20 dem Aktor 72 zugeordnet.
  • Um diese Zuordnung zu implementieren, können beispielsweise in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerungseinrichtung 60 die Adressen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 den Adressen der Aktoren 70 und 72 entsprechend zugeordnet werden. Zudem ist in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerungseinrichtung 60 hinterlegt, welche sicherheitsgerichtete Aktion welcher Aktor ausführen soll. Angenommen sei, dass bei einem erkannten Fehler hinsichtlich der Sensoreinrichtung 10 der Aktor 70 abgeschaltet werden soll, während bei einem erkannten Fehler hinsichtlich der Sensoreinrichtung 209 der Aktor 72 abgeschaltet werden soll. Die sichere Steuerungseinrichtung 60 weiß zudem, dass der Aktor 70 am Ausgang 61 angeschlossen ist, während der Aktor 72 am Ausgang 62 angeschlossen ist.
  • Nunmehr sei der Fall angenommen, dass eine Bedienperson die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 an das erste Kommunikationsnetzwerk 120, 122 anschließt, die Schutztür der Drehmaschine und Schutztür der Bohrmaschine geschlossen sind, keine Fehler und kein sicherheitskritischer Zustand vorliegen. Sobald die Detektoren 16 und 45 dem Mikrocontroller 14 bzw. dem Mikrokontroller 32 signalisieren, dass die Sensoreinrichtung 10 bzw. die Sensoreinrichtung 20 ordnungsgemäß am Kommunikationsnetzwerk 120, 122 angeschlossen sind, sorgen die Mikrocontroller 14 und Mikrocontroller 32 dafür, dass die im Speicher 12 bzw. im Speicher 31 hinterlegten Adressen ausgelesen und zusammen mit einer sich zyklisch ändernden laufenden Nummer zyklisch über das Kommunikationsnetzwerk 120, 122 zur Auswerteeinrichtung 50 übertragen werden.
  • Hinsichtlich der Sensoreinrichtung 10 wird die laufende Nummer vorzugsweise vom Mikrocontroller 14 erzeugt, während die laufende Nummer hinsichtlich der Sensoreinrichtung 20 vom Mikrocontroller 34 oder dem Generator 35 erzeugt werden kann. Um eine sichere Datenübertragung zu ermöglichen, kann der Inhalt jedes Telegramms vom Mikrocontroller 14 bzw. vom Mikrocontroller 32 beispielsweise durch eine CRC-Prüfsumme abgesichert werden, die über der Adresse, der laufenden Nummer und gegebenenfalls über eine Zustandsinformation gebildet wird. Die Zusatzinformation kann beispielsweise den aktuellen Zustand der jeweiligen sicherheitsbezogenen Sensoreinrichtung und/oder eine Kennung enthalten, welche die von der jeweiligen Sensoreinrichtung überwachte Schutzeinrichtung identifiziert.
  • Die Auswerteinrichtung 50 erkennt anhand der zyklisch empfangenen Telegramme, dass das sicherheitsgerichtete Steuerungssystem 5 fehlerfrei und in einem sicherheitsunkritischen Zustand arbeitet. Je nach Implementierung kann die Auswerteinrichtung 50 der sicheren Steuerung 60 diesen Zustand signalisieren, so dass die Aktoren 70, 72 keine sicherheitsgerichteten Aktionen ausführen.
  • Angenommen sei nunmehr, dass die von der sicherheitsbezogenen Sensoreinrichtung 20 überwachte Schutztür geöffnet wurde. Dadurch wird die Funkübertragung der zyklisch zu übertragenden Telegramme zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 unterbrochen, so dass keine Telegramme mehr von der Leseeinrichtung 40 der Sensoreinrichtung 20 zur Auswerteeinrichtung 50 übertragen werden können. Zudem sei angenommen, dass der Mikrocontroller 14 der Sensoreinrichtung 10 keine sich ändernde laufende Nummer mehr erzeugt.
  • Die Auswerteinrichtung 50 erkennt folglich hinsichtlich der sicherheitsbezogenen Sensoreinrichtung 20 eine Unterbrechung der zyklischen Übertragung und hinsichtlich der von der sicherheitsbezogenen Sensoreinrichtung 10 übertragenen Telegramme, dass die laufende Nummer nicht mehr inkrementiert wird. Unter Ansprechen hierauf überträgt die Auswerteeinrichtung 50 die Adresse der sicherheitsbezogenen Sensoreinrichtung 10 sowie die Adresse der sicherheitsbezogenen Sensoreinrichtung 20 zur sicheren Steuerung 60. Die sichere Steuerung 60 weiß nunmehr, dass die Drehmaschine und die Bohrmaschine abgeschaltet werden müssen. Unter Ansprechen hierauf stellt die sichere Steuerung 60 an ihren sicheren Ausgängen 60 und 62 sichere Ausgangssignale bereit, welche dafür sorgen, dass der Aktor 70 die Drehmaschine und der Aktor 72 die Bohrmaschine abschaltet.
  • Nunmehr wird ein zweites Szenario betrachtet. Angenommen sei zunächst, dass die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 nur dem Aktor 70 zugeordnet sind. Hierbei fungiert die Sensoreinrichtung 20 als eine erste sicherheitsbezogene Sensoreinrichtung, und zwar als Positionsschalter, der die Schutztür der Drehmaschine überwacht, während die sicherheitsbezogene Sensoreinrichtung 10 als zweite Sensoreinrichtung, und zwar als Zustimmschalter fungiert. Diese Zuordnung ist in der Auswerteeinrichtung 50 und/oder der sicheren Steuerung 60 hinterlegt, indem zum Beispiel die Adressen der Sensoreinrichtungen 10 und 20 mit der Adresse des Aktors 70 verknüpft werden. Der Aktor 70 ist dazu ausgebildet, sowohl die erste der sicherheitsbezogenen Sensoreinrichtung 20 zugeordnete sicherheitsgerichtete Aktion, nämlich im Bedarfsfall die Drehmaschine abzuschalten, als auch eine zweite der sicherheitsbezogenen Sensoreinrichtung 10 zugeordnete sicherheitsgerichtete Aktion, zum Beispiel die Drehmaschine während eines vorbestimmten Betriebszustands mit reduzierter Drehzahl weiter zu betreiben, auszuführen. Hierzu wird in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerung 60 eine Liste hinterlegt, die die erste sicherheitsgerichtete Aktion der Sensoreinrichtung 20 und die zweite sicherheitsgerichtete Aktion der Sensoreinrichtung 10 zuordnet.
  • Angenommen sei weiter, dass eine Bedienperson die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 an das erste Kommunikationsnetzwerk 120, 122 angeschlossen hat, die Schutzhaube der Drehmaschine geschlossen ist, der Zustimmschalter deaktiviert ist, keine Fehler und kein sicherheitskritischer Zustand vorliegt. Folglich übertragen die Sensoreinrichtungen 10 und 20 zyklisch Telegramme zur Auswerteeinrichtung 50, die zumindest eine sich in vorbestimmter Weise zyklisch ändernde Zusatzinformation und die eindeutige Systeminformation der Sensoreinrichtung 10 bzw. der Sensoreinrichtung 20 enthalten. Je nach Implementierung kann die Sensoreinrichtung 10 zyklisch Telegramme übertragen, die zudem eine Zustandsinformation enthält, welche den Zustand „Zustimmschalter ist deaktiviert“ oder „Zustimmschalter ist aktiviert“ bezeichnet.
  • Nunmehr sei angenommen, dass die Bedienperson einen definierten Systemzustand, beispielsweise die Betriebsart „Prozessbeobachtung“ zum Beispiel an der Auswerteeinrichtung 50 eingibt, um den Prozess, beispielsweise die Funktionsweise der Drehmaschine beobachten zu können.
  • Anschließend öffnet eine Bedienperson die Schutztür der Drehmaschine und betätigt den Zustimmschalter, d.h. die Sensoreinrichtung 10. Gemäß einem Ausführungsbeispiel unterbrechen daraufhin beide Sensoreinrichtungen 10 und 20 die zyklische Übertragung von Eingangsdaten. Unteransprechen auf die Unterbrechung der Datenübertragung und dem eingestellten Betriebszustand „Prozessbeobachtung“ veranlassen die Auswerteeinrichtung 50 und die sichere Steuerung 60, welche als sicherheitsbezogene Datenverarbeitungseinrichtung fungieren, den Aktor 70, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird. So kann beispielsweise die Auswerteeinrichtung 50 anhand der abgelegten Zuordnungstabelle erkennen, dass bei Unterbrechung der Übertragung der von den Sensoreinrichtungen 10 und 20 kommenden Daten und der Betriebsart „Prozessbeobachtung“ die zweite sicherheitsgerichtete Aktion vom Aktor 70 ausgeführt werden soll. Hierüber kann die Auswerteeinrichtung 50 die sichere Steuerung 60 entsprechend informieren, die daraufhin am Ausgang 61 ein entsprechendes den Aktor 70 steuerndes Ausgangssignal bereitstellt.
  • Gemäß einer alternativen Ausführungsform wird bei Betätigung bzw. Aktivierung der als Zustimmschalter fungierenden Sensoreinrichtung 10 nicht die Datenübertragung unterbrochen. Stattdessen überträgt die Sensoreinrichtung 10 weiterhin zyklisch Eingangsdaten, die nunmehr auch eine Zustandsinformation „Zustimmschalter ist aktiviert“ enthalten. Die Auswerteeinrichtung 50 und die sichere Steuerung 60 sind dann dazu ausgebildet, unter Ansprechen auf die Unterbrechung der Übertragung der von der Sensoreinrichtung 20 kommenden Daten, der zyklisch empfangenen Zustandsinformation “Zustimmschalter ist aktiviert“ und dem eingestellten Betriebsmodus „Prozessbeobachtung“ den Aktor 70 zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird.
  • Nunmehr wird ein drittes Szenario betrachtet, bei dem die Sensoreinrichtung 20 einer Gruppe von Aktoren, beispielsweise den Aktoren 70 und 72 zugeordnet worden ist. Hierzu wird in der Speichereinrichtung 31 neben der eindeutigen Systeminformation, welche eine systemweit eindeutige Adresse sein kann, auch eine Sicherheitsidentifikation Safety ID2 gespeichert. Die Sicherheitsidentifikation Safety ID2 signalisiert der Auswerteeinrichtung 50, dass die Sensoreinrichtung 20 den beiden Aktoren 70 und 72 zugeordnet ist und dass beide Aktoren 70 und 72 eine bestimmte sicherheitsgerichtete Aktion ausführen sollen, wenn von der Sensoreinrichtung 20 keine Daten mehr empfangen werden, oder die mit den Eingangsdaten übertragene Zusatzinformation nicht mehr in vorgegebener Weise zyklisch verändert wird, oder eine fehlerhafte Datenübertragung erkannt worden ist. Wird einer dieser drei Fälle erkannt, veranlassen die Auswerteeinrichtung 50 und die sichere Steuerung 60 die Aktoren 70 und 72, die zugeordnete sicherheitsgerichtet Aktion auszuführen. Zum Beispiel schaltet der Aktor 70 die Drehmaschine ab, während der Aktor 72 die Bohrmaschine abschaltet.
  • Das sicherheitsgerichtete Steuerungssystem kann somit auch dazu genutzt werden, das Anschalten und Abschalten von Teilsystemen zu erkennen.
  • Angemerkt sei, dass dieser Betrieb auch mit mehreren sicherheitsbezogenen Sensoreinrichtungen, denen jeweils verschiedene Gruppen von Aktoren zugeordnet sind, von der Auswerteinrichtung 50 und der sicheren Steuerung 60 gesteuert werden kann. Auf diese Weise lassen sich autarke Sicherheitsinseln betreiben.
  • 4 zeigt ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem , das sich insbesondere dadurch von dem in 3 dargestellten sicherheitsgerichteten Steuerungssystem 5 unterscheidet, dass eine zentrale sichere Steuerung 80 als Datenverarbeitungseinrichtung fungiert, welche an ein Kommunikationsnetzwerk 150, beispielsweise einen Feldbus oder ein Ethernet basiertes Netzwerk angeschlossen ist. An das Kommunikationsnetzwerk 150 sind wenigstens eine sicherheitsbezogene Sensoreinrichtung 10, wenigstens eine sicherheitsbezogene Sensoreinrichtung 20 sowie wenigstens zwei sichere Aktoren 90 und 92 angeschlossen. Selbstverständlich können an das Kommunikationsnetzwerk 150 auch nur sicherheitsbezogene Sensoreinrichtungen 10 gemäß der in 1 gezeigten Variante oder nur sicherheitsbezogene Sensoreinrichtungen 20 gemäß der in 2 gezeigten Variante angeschlossen werden.
  • Angenommen sei wiederum, dass vor Inbetriebnahme des Steuerungssystems 5’ in der Speichereinrichtung 12 eine systemweit eindeutige Adresse der Sensoreinrichtung 10 und in der Speichereinrichtung 31 eine systemweit eindeutige Adresse der Sensoreinrichtung 20 abgelegt worden ist.
  • Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 90 und die Sensoreinrichtung 20 dem Aktor 92 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 90 und 92 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 90 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass in der als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Steuerung 80 die entsprechenden Zuordnungen programmiert werden müssen, wie dies hinsichtlich der Auswerteeinrichtung 50 bereits erläutert worden ist. Die Programmierung der Steuerung 80 kann über eine Kommunikationsschnittstelle 82 erfolgen.
  • Die Zuordnung kann beispielsweise dadurch realisiert werden, dass in der sicheren Steuerung 80 die Adresse der Sensoreinrichtung 10 einer Adresse des Aktors 90 und die Adresse der Sensoreinrichtung 20 einer Adresse des Aktors 92 zugeordnet wird.
  • Die sichere Steuerung 80 ist ähnlich der Auswerteeinrichtung 50 und sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 150 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 90 und/oder 92 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen. Im Unterschied zum Steuerungssystem 5 müssen die Sensoreinrichtungen 10 und 20 die Adresse der zentralen sicheren Steuerung 80 kennen, um Daten dorthin übertragen zu können. Die Adresse der Steuerung 80 wird dann als Zieladresse in jedes zu versendende Telegramm eingefügt. In ähnlicher Weise muss die sichere Steuerung 80 die Adressen der Aktoren 90 und 92 kennen, um Ausgangssignale gezielt zu den Aktoren 90 und 92 übertragen zu können. Im fehlerfreien Betrieb einer sicherheitsbezogenen Sensoreinrichtung kann die sichere Steuerung 80 dem jeweiligen Aktor signalisieren, dass er keine sicherheitsgerichtete Aktion ausführen soll.
  • Vorteilhafterweise ist die sichere Steuerung 80 dazu ausgebildet, Eingangsdaten von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der sicheren Steuerung 80 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
  • Gemäß einem Ausführungsbeispiel sei vereinfachend angenommen, dass lediglich die sicherheitsgerichtete Sensoreinrichtung 20 an das Kommunikationsnetzwerk 150 angeschlossen ist und im Speicher 32 eine Sicherheitsidentifikation Safety ID2 gespeichert ist, welche signalisiert, dass die Sensoreinrichtung 20 den beiden Aktoren 90 und 92 zugeordnet ist. Eine solche Gruppenzuordnung ist vorteilhaft, wenn zum Beispiel mit einer einzigen Schutztür zwei Maschinen oder Maschinenteile, zum Beispiel eine Drehmaschine und eine Bohrmaschine gesichert werden sollen.
  • Wird nunmehr die Schutztür geöffnet, wird die NFC-Übertragung zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 und somit die zyklische Datenübertragung zu sicheren Steuerung 80 unterbrochen. Unter Ansprechen hierauf und dem Wissen, dass die Sensoreinrichtung 20 den Aktoren 90 und 92 zugeordnet ist, überträgt die sichere Steuerung 80 entsprechende Ausgangssignale über das Kommunikationsnetzwerk 150 zu den Aktoren 90 und 92, die unter Ansprechen auf die an sie gerichteten Ausgangssignale die Drehmaschine bzw. die Bohrmaschine abschalten.
  • In 5 ist ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem 5’’ dargestellt, welches sich insbesondere dadurch von dem in 4 gezeigten sicherheitsgerichteten Steuerungssystem 5’ unterscheidet, dass an Stelle der zentralen sicheren Steuerung 80 eine sichere Auswerteeinrichtung 100 als sicherheitsbezogene Datenverarbeitungseinrichtung verwendet wird.
  • Wenigstens eine sicherheitsbezogene Steuereinrichtung 10 und wenigstens eine sicherheitsbezogene Sensoreinrichtung 20 sind über ein erstes Kommunikationsnetzwerk 160 mit Eingängen der sicheren Auswerteeinrichtung 100 verbunden.
  • Die sichere Auswerteeinrichtung 100 weist mehrere sichere Ausgänge 105 auf, die jeweils über einen Ausgangskanal mit einem Aktor verbunden sind. Die Ausgangskanäle können als ein zweites Kommunikationsnetzwerk 200 betrachtet werden. Im vorliegenden Beispiel sind lediglich zwei Aktoren 110 und 112 angeschlossen.
  • Angenommen sei wiederum, dass vor Inbetriebnahme des Steuerungssystems 5’’ in der Speichereinrichtung 12 eine systemweit eindeutige Adresse der Sensoreinrichtung 10 und in der Speichereinrichtung 31 eine systemweit eindeutige Adresse der Sensoreinrichtung 20 abgelegt worden ist.
  • Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 110 und die Sensoreinrichtung 20 dem Aktor 112 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 110 und 112 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 110 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass in der als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Auswerteeinrichtung 100 die entsprechenden Zuordnungen programmiert werden müssen, wie dies hinsichtlich der Auswerteeinrichtung 50 bereits erläutert worden ist. Die Programmierung der Auswerteeinrichtung 100 kann über eine Kommunikationsschnittstelle 102 erfolgen.
  • Die Zuordnung kann beispielsweise dadurch realisiert werden, dass in der sicheren Auswerteeinrichtung 100 die Adresse der Sensoreinrichtung 10 einer Adresse des Aktors 110 und die Adresse der Sensoreinrichtung 20 einer Adresse des Aktors 112 zugeordnet wird.
  • Die sichere Auswerteeinrichtung 100 ist ähnlich der Auswerteeinrichtung 50 und der sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 160 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 110 und/oder 112 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen.
  • In 6 ist ein weiteres beispielhaftes Steuerungssystem 5’’’ gezeigt, bei welchem wenigstens eine sicherheitsbezogene Sensoreinrichtung 10 und wenigstens eine Sensoreinrichtung 20 an ein Kommunikationsnetzwerk 170 angeschlossen sind. An das Kommunikationsnetzwerk 170 sind beispielsweise zwei sichere Aktoren 180 und 190 geschaltet. Jeder sichere Aktor 180 und 190 enthält eine Datenverarbeitungseinrichtung, die als sichere Auswerteeinrichtung 185 bzw. als sicher Auswerteeinrichtung 195 ausgebildet ist. Jede sichere Auswerteeinrichtung 185, 195 ist dazu ausgebildet, beispielsweise die in 7 dargestellten Datentelegramme, welche von den sicherheitsbezogenen Sensoreinrichtungen 10 und 120 im fehlerfreien Betrieb zyklisch übertragen werden, zu empfangen, zu verarbeiten und dann gegebenenfalls die entsprechenden Steuersignale für die sicheren Aktoren zu erzeugen. Vorteilhafterweise ist jede Auswerteeinrichtung 185 und 195 dazu ausgebildet, Eingangsdaten von der wenigstens einen sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der jeweiligen Auswerteeinrichtung 185, 195 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
  • Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 180 und die Sensoreinrichtung 20 dem Aktor 190 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 180 und 190 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 180 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass jede als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Auswerteeinrichtung 185 und 195 wissen muss, welche Sensoreinrichtung oder welche Sensoreinrichtungen ihr zugeordnet sind. Um zum Beispiel Telegramme von der Sensoreinrichtung 10 empfangen und identifizieren zu können, kann in der sicheren Auswerteeinrichtung 185 die im Speicher 12 gespeicherte Sicherheitsidentifikation und/oder die eindeutige Adresse verwendet werden, welche dann in den Telegrammen mit geschickt werden. Die entsprechende Programmierung der Auswerteeinrichtung 185 kann über eine Kommunikationsschnittstelle 182 erfolgen, während die entsprechende Programmierung der sicheren Auswerteeinrichtung 195 über eine Kommunikationsschnittstelle 192 erfolgen kann.
  • Die sichere Auswerteeinrichtungen 185 und 195 sind jeweils ähnlich der Auswerteeinrichtung 50 und der sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von wenigstens einer der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 170 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 180 bzw. 190 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen.
  • Einen definierten Systemzustand, wie zum Beispiel die Betriebsart „Prozessbeobachtung“, erkennt die jeweilige sichere Auswerteeinrichtung 185, 195 anhand einer speziellen Information, welche zum Beispiel im Feld „Zustandsinformation“ eines jeden Eingangsdaten-Telegramms übertragen werden kann. Alternativ kann die Betriebsart „Prozessbeobachtung“ auch über die Kommunikationsschnittstellen 182 und 192 der Auswerteeinrichtung 185 bzw. 195 aktiviert werden.
  • Es sei nunmehr ein Szenario angenommen ist, nach dem der sicherheitsbezogenen Sensoreinrichtung 10 dem Aktor 180 und die sicherheitsbezogene Sensoreinrichtung 20 dem Aktor 190 zugeordnet wurde. Um diese Zuordnung zu realisieren, kann im Aktor 180 sowohl die Adresse der sicherheitsbezogenen Sensoreinrichtung 10 als auch ein Information gespeichert werden, die der sicheren Auswerteeinrichtung 185 mitteilt, welche sicherheitsgerichtete Aktion im Bedarfsfall ausgeführt werden soll. In ähnlicher Weise kann im Aktor 190 sowohl die Adresse der sicherheitsbezogenen Sensoreinrichtung 20 als auch ein Information gespeichert werden, die der sicheren Auswerteeinrichtung 195 mitteilt, welche sicherheitsgerichtete Aktion im Bedarfsfall ausgeführt werden soll.
  • Angenommen sei nunmehr, dass die Schutztür der Drehmaschine geöffnet worden ist. Unter Ansprechen hierauf unterbricht die Sensoreinrichtung 10 die zyklische Datenübertragung. Die Unterbrechung der Datenübertragung wird von der sicheren Auswerteeinrichtung 185 erkannt, die daraufhin den Aktor 180 veranlasst, die vorbestimmte sicherheitsgerichtete Aktion, nämlich das Abschalten der Drehmaschine, auszuführen. In der gleichen Weise arbeitet die sichere Auswerteeinrichtung 195, wenn die Sensoreinrichtung 20 die zyklische Datenübertragung unterbricht.
  • Nunmehr sei ein Szenario angenommen, nach dem die beiden Sensoreinrichtungen 10 und 20 dem Aktor 180 zugeordnet worden sind, und die Sensoreinrichtung 10 als Zustimmschalter fungiert. Zudem sei in der Auswerteeinrichtung 185 die Betriebsart „Prozessbeobachtung“ aktiviert worden. Ferner weiß die sichere Auswerteeinrichtung 185, dass der Sensoreinrichtung 20 eine erste sicherheitsgerichtete Aktion zugeordnet ist, welche bei Ausführung durch den Aktor 180 die Drehmaschine abschaltet, und dass der Sensoreinrichtung 10 eine zweite sicherheitsgerichtete Aktion zugeordnet worden ist, die bei Ausführung durch den Aktor 180 dafür sorgt, dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird. Wird nunmehr die Schutztür geöffnet und der Zustimmschalter 10 gedrückt, werden keine Telegramme mehr von den Sensoreinrichtungen 10 und 20 zum Aktor 180 übertragen. Unter Ansprechen auf die unterbrochene Datenübertragung und auf die aktivierte Betriebsart „Prozessbeobachtung“ veranlasst die sichere Auswerteeinrichtung 185 den Aktor 180, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird.
  • Der Vollständigkeit halber sei erwähnt, dass die sicherheitsgerichteten Steuerungssystemen 5’, 5’’ und 5’’’ jeweils dazu ausgebildet sind, die hinsichtlich der 3 detailliert erläuterten Szenarien bzw. Prozessabläufe entsprechend durchzuführen.
  • Bezugszeichenliste
    • 5–5’’’
    sicherheitsgerichtetes Steuerungssystem
    10
    sicherheitsbezogene Sensoreinrichtung, z. B. Zustimmschalter oder Positionsschalter
    12
    Speichereinrichtung
    14
    Steuereinheit, Mikrocontroller
    16
    Detektor
    18
    Netzwerkschnittstelle
    20
    sicherheitsbezogene Sensoreinrichtung, z. B. berührungsloser Positionsschalter
    30
    Betätigungseinrichtung
    31
    Speichereinrichtung
    32
    Steuereinheit, z. B. Mikrocontroller
    33
    NFC-Chip
    34
    Nahfeld-Kommunikationsschnittstelle, z. B. NFC-Antenne
    35
    Generator zur Erzeugung einer laufenden Nummer
    40
    Leseeinrichtung
    41
    Nahfeld-Kommunikationsschnittstelle, z. B. NFC-Antenne
    42
    NFC-Chip
    43
    Netzwerkschnittstelle
    45
    Detektor
    50
    Auswerteeinrichtung
    52
    Kommunikationsschnittstelle
    60
    sichere Steuerung
    61, 62
    sicherer Ausgang
    70, 72
    Aktor
    80
    sichere Steuerung
    82
    Kommunikationsschnittstelle
    90, 92
    Aktor
    100
    sichere Auswerteeinrichtung
    102
    Kommunikationsschnittstelle
    105
    sichere Ausgänge
    110, 112
    Aktor
    120, 122
    erstes Kommunikationsnetzwerk
    130
    zweites Kommunikationsnetzwerk
    140
    Ausgangskanal
    141
    Ausgangskanal
    150
    erstes Kommunikationsnetzwerk
    160, 162
    erstes Kommunikationsnetzwerk
    170
    erstes Kommunikationsnetzwerk
    180
    sicherer Aktor
    182
    Kommunikationsschnittstelle
    185
    sicherheitsbezogene Datenverarbeitungseinrichtung,
    190
    sicherer Aktor
    192
    Kommunikationsschnittstelle
    195
    sicherheitsbezogene Datenverarbeitungseinrichtung
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 98/45764 [0003]
    • DE 202006000702 U1 [0005]

Claims (16)

  1. Sicherheitsgerichtetes Steuerungssystem (5, 5’, 5’’) zum sicheren Ansteuern wenigstens eines Aktors, aufweisend: eine erste sicherheitsbezogene Sensoreinrichtung (10, 20), wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten sicherheitsbezogenen Aktor (70, 72; 90, 92; 110, 112), der zur Ausführung einer ersten sicherheitsgerichteten Aktion ausgebildet ist, und eine sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100), wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) und die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) über ein erstes Kommunikationsnetzwerk (120; 150; 160) miteinander verbunden sind, wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) folgende Merkmale aufweist: eine Netzwerkschnittstelle (18, 43), über die die erste sicherheitsbezogene Sensoreinrichtung (10, 20) unmittelbar an das erste Kommunikationsnetzwerk (120; 150; 160; 170) anschaltbar ist, eine Speichereinrichtung (12, 31), in welcher eine der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) eindeutig zugeordnete Systeminformation, gespeichert ist, und eine Steuereinheit (14, 32), die dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung (50, 60; 80; 100) zu übertragen, wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) dazu ausgebildet ist, die Zusatzinformation zu erzeugen, wobei die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) dazu ausgebildet ist, die Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen und zu verarbeiten, um eine fehlerhaft übertragene Zusatzinformation erkennen zu können, und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten Aktor (70, 72) zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
  2. Sicherheitsgerichtetes Steuerungssystem nach Anspruch 1, dadurch gekennzeichnet, dass die Datenverarbeitungseinrichtung (50, 60; 80; 100) dazu ausgebildet ist, eine Unterbrechung der zyklischen Übertragung der Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten Aktor (70, 72; 90, 92; 110, 112) bereitzustellen, um die erste sicherheitsgerichtete Aktion auszulösen.
  3. Sicherheitsgerichtetes Steuerungssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in der Speichereinrichtung (12, 31) der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) eine erste Sicherheitsidentifikation, welche die erste ausführbare sicherheitsgerichtete Aktion identifiziert und einer vorbestimmten Gruppe von Aktoren (70, 72; 90, 92; 110, 112) zugeordnet ist, gespeichert sind, dass die Steuereinheit (14, 32) dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung (50, 60; 80; 100) zu übertragen, und dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) dazu ausgebildet ist, anhand der ersten Sicherheitsidentifikation zu erkennen, dass die Aktoren der vorbestimmten Gruppe der ersten Sensoreinrichtung (10, 20) zugeordnet sind.
  4. Sicherheitsgerichtetes Steuerungssystem nach Anspruch 3 dadurch gekennzeichnet, dass dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) dazu ausgebildet ist, beim Erkennen einer Unterbrechung der zyklischen Übertragung der Eingangsdaten oder einer fehlerhaften zyklischen Übertragung ein sicheres Ausgangssignal zu der vorbestimmten Gruppe von Aktoren 70, 72; 90, 92; 110, 112) zu übertragen, so dass die Aktoren (70, 72; 90, 92; 110, 112) der vorbestimmten Gruppe die der ersten Sicherheitsidentifikation zugeordnete erste sicherheitsgerichtete Aktion auszuführen.
  5. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, gekennzeichnet durch eine zweite sicherheitsbezogene Sensoreinrichtung (10, 20), die ebenfalls dem wenigstens einen sicherheitsbezogenen Aktor (70, 72; 90, 92; 110, 112) zugeordnet ist, der zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet ist, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) und die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) über das erste Kommunikationsnetzwerk (120; 150; 160) miteinander verbunden sind, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) folgende Merkmale aufweist: eine Netzwerkschnittstelle (18, 43), über die die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) unmittelbar an das erste Kommunikationsnetzwerk (120; 150; 160; 170) anschaltbar ist, eine Speichereinrichtung (12, 31), in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit (14, 32), die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich mit jedem Übertragungszyklus in vordefinierter Weise ändern soll, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung (50, 60; 80; 100) zu übertragen, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) dazu ausgebildet ist, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus in vordefinierter Weise ändern soll, wobei die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) dazu ausgebildet ist, zyklisch Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) und der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten Aktor (70, 72) zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die zyklische Übertragung von Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung unterbrochen und in der sicherheitsbezogenen Datenverarbeitungseinrichtung ein vorbestimmter Betriebszustand aktiviert worden ist.
  6. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) eine zentrale sichere Steuerungseinrichtung (80) ist und dass der wenigstens eine Aktor (90, 92) mit dem ersten Kommunikationsnetzwerk (150) verbunden sind.
  7. Sicherheitsgerichtetes Steuerungssystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) eine übergeordnete sichere Steuereinrichtung (60) mit mehreren sicheren Ausgängen (61, 62) und wenigstens eine Auswerteeinrichtung (50) aufweist, die über das erste Kommunikationsnetzwerk (120) mit der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) und über ein zweites Kommunikationsnetzwerk (130) mit der übergeordneten sicheren Steuereinrichtung (60) verbunden ist, wobei die wenigstens eine Auswerteeinrichtung (50) dazu ausgebildet ist, Eingangsdaten von der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen, zu verarbeiten und die verarbeiteten Eingangsdaten zur übergeordneten sicheren Steuereinrichtung (60) zu übertragen.
  8. Sicherheitsgerichtetes Steuersystem nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die sicherheitsbezogene Datenverarbeitungseinrichtung (100) mehrere sichere Ausgänge (105) zum Anschalten jeweils eines der Aktoren (110, 112) aufweist.
  9. Sicherheitsgerichtetes Steuerungssystem (5’’’) zum sicheren Ansteuern wenigstens eines Aktors, aufweisend: eine erste sicherheitsbezogene Sensoreinrichtung (10, 20), wenigstens einen Aktor (180, 190), der eine sicherheitsbezogene Datenverarbeitungseinrichtung (185, 195) aufweist und dazu ausgebildet ist, eine erste sicherheitsgerichtete Aktion auszuführen, wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) und der wenigstens eine Aktor (180, 190) über ein Kommunikationsnetzwerk (170) miteinander verbunden sind, wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) folgende Merkmale aufweist: eine Netzwerkschnittstelle (18, 43), über die die erste sicherheitsbezogene Sensoreinrichtung (10, 20) unmittelbar an das Kommunikationsnetzwerk (170) anschaltbar ist, eine Speichereinrichtung (12, 31), in welcher eine der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) eindeutig zugeordnete Systeminformation, gespeichert ist, eine Steuereinheit (14, 32), die dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche die Systeminformation und eine Zusatzinformation, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert, enthalten, zu der Datenverarbeitungseinrichtung des wenigstens einen Aktors (180, 190) zu übertragen, wobei die erste sicherheitsbezogene Sensoreinrichtung (10, 20) dazu ausgebildet ist, die Zusatzinformation zu erzeugen wobei die Datenverarbeitungseinrichtung (185, 195) des wenigstens einen Aktors (180, 190) dazu ausgebildet ist, die Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen und zu verarbeiten, um eine fehlerhaft übertragene Zusatzinformation erkennen zu können, und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten Aktor (180, 190) zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
  10. Sicherheitsgerichtetes Steuerungssystem nach Anspruch 9, dadurch gekennzeichnet, dass die Datenverarbeitungseinrichtung (185, 195) des wenigstens einen Aktors (180, 190) dazu ausgebildet ist, eine Unterbrechung der zyklischen Übertragung der sicheren Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen Aktor (180, 190) bereitzustellen, um die erste Sicherheitsaktion auszulösen.
  11. Sicherheitsgerichtetes Steuerungssystem nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass in der Speichereinrichtung (12, 31) der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) eine erste Sicherheitsidentifikation, die die erste ausführbare sicherheitsgerichtete Aktion identifiziert und die einer vorbestimmten Gruppe von Aktoren (180, 190) zugeordnet ist, gespeichert ist, dass die Steuereinheit (14, 32) dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu den mehreren Aktoren (180, 190) zu übertragen, und dass jede sicherheitsbezogene Datenverarbeitungseinrichtung (185, 195) dazu ausgebildet sind, anhand der empfangenen ersten Sicherheitsidentifikation zu erkennen, ob der jeweilige Aktor zu der vorbestimmten Gruppe, welche der ersten Sensoreinrichtung (10, 20) zugeordnet ist, gehört.
  12. Sicherheitsgerichtetes Steuerungssystem nach einem der Ansprüche 9 bis 11, gekennzeichnet durch eine zweite sicherheitsbezogene Sensoreinrichtung (10, 20), die der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordnet ist, wobei der wenigstens eine Aktor (180, 190) zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet ist, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) und der wenigstens eine Aktor (180, 190) über das erste Kommunikationsnetzwerk (120; 150; 160) miteinander verbunden sind, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) folgende Merkmale aufweist: eine Netzwerkschnittstelle (18, 43), über die die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) unmittelbar an das erste Kommunikationsnetzwerk (120; 150; 160; 170) anschaltbar ist, eine Speichereinrichtung (12, 31), in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit (14, 32), die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung (50, 60; 80; 100) zu übertragen, wobei die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) dazu ausgebildet ist, die Zusatzinformation zu erzeugen, wobei die sicherheitsbezogene Datenverarbeitungseinrichtung (185, 195) des wenigstens einen Aktors (180, 190) dazu ausgebildet ist, Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung (10, 20) und der zweiten sicherheitsbezogenen Sensoreinrichtung (10, 20) zugeordneten Aktor (70, 72) zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die von der ersten sicherheitsbezogenen Sensoreinrichtung gesteuerte zyklische Übertragung von Eingangsdaten unterbrochen und an der sicherheitsbezogenen Datenverarbeitungseinrichtung des wenigstens einen Aktors (180, 190) ein vorbestimmter Betriebszustand aktiviert worden ist.
  13. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die erste sicherheitsbezogene Sensoreinrichtung (10, 20) eine Detektoreinrichtung (16, 45) aufweist, welche dazu ausgebildet ist, zu erkennen, ob die erste sicherheitsbezogene Sensoreinrichtung (10, 20) am Kommunikationsnetzwerk (120, 150, 160, 170) angeschlossen ist, und dass die Steuereinheit (14, 32) dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, die zyklische Übertragung der Eingangsdaten zu beginnen, wenn die Detektoreinrichtung (16, 45) erkannt hat, dass die sicherheitsbezogene Sensoreinrichtung (10, 20) am Kommunikationsnetzwerk (120, 150, 160, 170) angeschlossen ist.
  14. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) dazu ausgebildet ist, einen Schaltzustand der zweiten Sensoreinrichtung (10, 20) zu erkennen, dass die Steuereinheit (14, 32) dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) zu veranlassen, eine den Schaltzustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen, und dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) und/oder die sicherheitsbezogenen Datenverarbeitungseinrichtungen (185, 195) des wenigstens einen Aktors (180, 190) jeweils dazu ausgebildet sind, auch die mit den Eingangsdaten übertragene Zustandsinformation zu verarbeiten.
  15. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die erste sicherheitsbezogene Sensoreinrichtung (20) eine Betätigungseinrichtung (30) und eine Leseeinrichtung (40) aufweist, die zum berührungslosen Auslesen der Speichereinrichtung (31) ausgebildet ist, wobei die Speichereinrichtung (31), die Steuereinheit (32) und eine Nahfeld-Kommunikationsschnittstelle (33, 34) in der Betätigungseinrichtung (30) angeordnet sind, welche dazu ausgebildet ist, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert, wobei die Netzwerkschnittstelle (43) und eine Nahfeld-Kommunikationsschnittstelle (41, 42) in der Leseeinrichtung (40) angeordnet sind, und dass das Auslesen der Speichereinrichtung (31) und die zyklische Übertragung von Eingangsdaten erst beginnt, wenn die Leseeinrichtung (40) und die Betätigungseinrichtung (30) einen vorbestimmten Abstand zueinander aufweisen.
  16. Sicherheitsgerichtetes Steuerungssystem nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Steuereinheit (14, 32) der ersten und/oder zweiten Sensoreinrichtung (10, 20) dazu ausgebildet ist, die zyklisch zu übertragenden Eingangsdaten fehlersicher zu codieren, und dass die sicherheitsbezogene Datenverarbeitungseinrichtung (50, 60; 80; 100) und/oder die sicherheitsbezogene Datenverarbeitungseinrichtung (185, 195) des wenigstens einen Aktors (180, 190) jeweils dazu ausgebildet ist, die codierten Eingangssignale zu decodieren, um eine fehlerhafte Übertragung der codierten Eingangsdaten erkennen zu können.
DE102015116100.1A 2015-09-23 2015-09-23 Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors Pending DE102015116100A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015116100.1A DE102015116100A1 (de) 2015-09-23 2015-09-23 Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015116100.1A DE102015116100A1 (de) 2015-09-23 2015-09-23 Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors

Publications (1)

Publication Number Publication Date
DE102015116100A1 true DE102015116100A1 (de) 2017-03-23

Family

ID=58224495

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015116100.1A Pending DE102015116100A1 (de) 2015-09-23 2015-09-23 Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors

Country Status (1)

Country Link
DE (1) DE102015116100A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187847A (zh) * 2019-07-03 2021-01-05 克利万工业-电子有限公司 用于监视设备的方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998045764A1 (de) 1997-04-07 1998-10-15 Euchner Gmbh & Co. Sicherheitsschalter
DE202006000702U1 (de) 2005-12-12 2007-04-26 Moeller Gmbh Elektrisches Schaltgerät
DE102009042368A1 (de) * 2009-09-23 2011-03-31 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998045764A1 (de) 1997-04-07 1998-10-15 Euchner Gmbh & Co. Sicherheitsschalter
DE202006000702U1 (de) 2005-12-12 2007-04-26 Moeller Gmbh Elektrisches Schaltgerät
DE102009042368A1 (de) * 2009-09-23 2011-03-31 Phoenix Contact Gmbh & Co. Kg Steuerungssystem zum Steuern von sicherheitskritischen Prozessen

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187847A (zh) * 2019-07-03 2021-01-05 克利万工业-电子有限公司 用于监视设备的方法和装置
CN112187847B (zh) * 2019-07-03 2024-04-05 克利万工业-电子有限公司 用于监视设备的方法和装置

Similar Documents

Publication Publication Date Title
EP1738383B1 (de) Meldegerät für eine sicherheitsschaltung
EP1192511B1 (de) Sicherheitsbezogenes automatisierungsbussystem
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP1866712B1 (de) Verfahren sowie vorrichtung zur sicheren, verwechslungsfreien und ausschliesslichen zuordnung der befehlsgewalt einer bedienperson zu einer steuerbaren technischen einrichtung
DE19928517C2 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2637067B1 (de) Sensoranordnung zum Detektieren eines sicheren Anlagenzustandes einer automatisiert betriebenen Anlage
EP1738382B2 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
EP2302472B1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
EP2981868B1 (de) Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
DE102013112488A1 (de) Sicherheitssteuerung mit konfigurierbaren Eingängen
EP3173884A1 (de) Verfahren zum programmieren einer sicherheitssteuerung
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP1619565B1 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP2685660B1 (de) Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE102015116100A1 (de) Sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eines Aktors
EP3133447A1 (de) Sicherheitsschalter
EP2767877B1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
EP4089312A1 (de) Sicherheitseinrichtung und verfahren zum betrieb einer sicherheitseinrichtung
DE102019109753A1 (de) Industrieanlage

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication