-
Die Erfindung betrifft ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors.
-
Um das Bedienpersonal bei der Bedienung von Maschinen oder Maschinenteilen vor körperlichen Schäden schützen zu können, werden in Automatisierungsanlagen Schutzeinrichtungen, beispielsweise Schutzgitter, Schutztüren, Not-Aus-Schalter und dergleichen eingesetzt. Zur Überwachung dieser Schutzeinrichtungen werden Sicherheitsschalteinrichtungen verwendet, die mit Hilfe von Sensoren die Schutzeinrichtungen überwachen.
-
Ein bekannter Sicherheitsschalter wird in der
WO 98/45764 beschrieben. Der Sicherheitsschalter weist eine Vielzahl von Betätigersystemen auf, welche jeweils einen Betätiger, einen Lesekopf und eine mit dem Lesekopf verbundene Betätigerauswertung aufweisen. Information kann zwischen Lesekopf und Betätiger kontaktlos ausgetauscht werden. Über die Betätigerauswertung ist jedes Betätigungssystem an einen Bus angeschlossen, an den ferner eine Gesamtauswerteschaltung angeschlossen ist. Jedem Betätigersystem ist ein Codiersignal eindeutig zugewiesen. Die Codiersignale sind der Gesamtauswerteschaltung bekannt.
-
Um den Zustand des Sicherheitsschalters überprüfen zu können, erzeugt die Gesamtauswerteschaltung ein Fragesignal, das zum Beispiel genau ein Betätigersystem anspricht. Unter Ansprechen auf das empfangene Fragesignal verknüpft die Betätigerauswertung des angesprochenen Betätigersystems das dem Betätigersystem eindeutig zugewiesene Codiersignal mit dem Fragesignal zu einem Antwortsignal. Das Antwortsignal wird dann über den Bus zur Gesamtauswertungsschaltung übertragen und dort unter Verwendung des dem Betätigungssystem zugeordneten Codiersignals überprüft.
-
Aus der
DE 20 2006 000 702 U1 ist ein elektrisches Schaltgerät bekannt, welches ein Transponder-TAG und einen Schreib-Lesespeicher enthält, der mit einer RFID-Schreib-/Leseschaltung ausgelesen oder beschrieben werden kann. Die Schreib-/Leseschaltung weist eine serielle Schnittstelle zum Anschalten an einen Feldbus auf. In den Schreib-/Lesespeicher können Daten eingeschrieben werden, welche am Ende der Gehäusefertigung des elektronischen Schaltgeräts zur Fertigungskontrolle zur Verfügung stehen. Daneben können weitere die Betriebsart und/oder den Betriebszustand betreffende Daten eingeschrieben werden, die für den Anwender des Schaltgeräts beispielsweise bei einem Netzausfall oder bei einem Betriebsstillstand ausgelesen werden können.
-
Der Erfindung liegt die Aufgabe zugrunde, ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern eine Aktors zu schaffen, welches flexibel einsetzbar ist und sicher betrieben werden kann.
-
Ein weiterer Aspekt der Erfindung kann darin gesehen werden, dass die zur Überwachung von Schutzeinrichtungen verwendeten sicherheitsbezogenen Sensoreinrichtungen eindeutig identifizierbar sind und auf Fehler bei der Datenübertragung hin überwacht werden können.
-
Noch ein weiterer Gesichtspunkt der Erfindung kann darin gesehen werden, dass das sicherheitsgerichtete Steuerungssystem einfach konfiguriert werden kann.
-
Das oben genannte technische Problem wird durch die Merkmale des Anspruchs 1 gelöst.
-
Demgemäß wird ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors geschaffen, welches folgende Merkmale aufweist:
eine erste sicherheitsbezogene Sensoreinrichtung, wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten sicherheitsbezogenen Aktor, der zur Auslösung bzw. Ausführung einer ersten sicherheitsgerichteten Aktion ausgebildet ist, und eine sicherheitsbezogene Datenverarbeitungseinrichtung. Die erste sicherheitsbezogene Sensoreinrichtung und die sicherheitsbezogene Datenverarbeitungseinrichtung sind über ein erstes Kommunikationsnetzwerk miteinander verbunden. Die erste sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
eine Netzwerkschnittstelle, über die die erste sicherheitsbezogenen Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit, die dazu ausgebildet ist, die erste sicherheitsbezogenen Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vorbestimmter Weise ändert, zur sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen. Die erste sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert.
-
Die sicherheitsbezogene Datenverarbeitungseinrichtung ist dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um eine fehlerhafte Zusatzinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
-
Dank der Verwendung einer eindeutigen Systeminformation in der ersten sicherheitsbezogenen Sensoreinrichtung kann eine Manipulation beispielsweise durch Verwendung anderer sicherheitsbezogener Sensoren ausgeschlossen werden. Die der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation kann eine Adresse enthalten, die der ersten sicherheitsbezogenen Sensoreinrichtung innerhalb des sicherheitsgerichteten Sicherheitssystems eineindeutig zugeordnet ist. Die Systeminformation kann auch Angaben über die Schutzeinrichtung, welche von der jeweiligen sicherheitsbezogenen Sensoreinrichtung überwacht wird, enthalten.
-
Vorteilhafterweise ist die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der Datenverarbeitungseinrichtung zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden.
-
Unter einem Aktor ist vorzugsweise eine einer Maschine, einem Maschinenteil oder einer Maschinenanlage zugeordnete Sicherheitseinrichtung zu verstehen, die als sicherheitsgerichtete Aktion beispielsweise eine Maschine, einen Maschinenteil oder die gesamte Anlage abschalten, die Drehzahl einer Maschine reduzieren oder die Maschine, den Maschinenteil oder die gesamte Anlage in einen sicheren Zustand fahren kann.
-
Vorzugsweise werden die Eingangsdaten zyklisch in Telegrammen übertragen.
-
Bei der ersten sicherheitsbezogenen Sensoreinrichtung kann es sich beispielsweise um einen Positionsschalter zur Überwachung einer Schutztür, eine Schutzhaube, eine Lichtschranke, einen Lichtvorhang, einen Not-Aus-Schalter, einen Laserscanner oder dergleichen handeln.
-
Die Netzwerkschnittstelle weist vorzugsweise einen Protokollchip auf, welcher insbesondere eine Kommunikation mit der sicherheitsbezogenen Datenverarbeitungseinrichtung über das erste Kommunikationsnetzwerk ermöglicht.
-
Die Sicherheit innerhalb des sicherheitsgerichteten Steuerungssystems wird insbesondere dadurch gewährleistet, dass die der ersten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation der Datenverarbeitungseinrichtung bekannt ist. Auf diese Weise wird eine eineindeutige Erwartungshaltung in der Datenverarbeitungseinrichtung implementiert.
-
Mit Hilfe der sich im fehlerfreien Fall mit jedem Übertragungszyklus in vordefinierter Weise ändernden Zusatzinformation kann die Datenverarbeitungseinrichtung eine fehlerhaft arbeitende sicherheitsbezogene Sensoreinrichtung erkennen, wenn diese beispielsweise sogenannte „eingefrorene Daten“ überträgt.
-
Gemäß einer vorteilhaften Weiterbildung ist die Datenverarbeitungseinrichtung dazu ausgebildet, eine Unterbrechung der zyklischen Übertragung der Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor bereitzustellen, um die erste sicherheitsgerichtete Aktion auszulösen.
-
Eine flexible Konfiguration des sicherheitsgerichteten Steuerungssystems kann dadurch erreicht werden, dass in der Speichereinrichtung der ersten sicherheitsbezogenen Sensoreinrichtung eine erste Sicherheitsidentifikation, welche die erste ausführbare sicherheitsgerichtete Aktion identifiziert und einer vorbestimmten Gruppe von Aktoren zugeordnet ist, gespeichert sind, dass
die Steuereinheit der ersten sicherheitsbezogenen Sensoreinrichtung dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen, und dass
die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet ist, anhand der ersten Sicherheitsidentifikation zu erkennen, dass die Aktoren der vorbestimmten Gruppe der ersten Sensoreinrichtung zugeordnet sind.
-
In vorteilhafter Weise kann in diesem Fall die sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet sein, beim Erkennen einer Unterbrechung der zyklischen Übertragung der Eingangsdaten oder beim Erkennen einer fehlerhaften zyklischen Übertragung ein sicheres Ausgangssignal zu der vorbestimmten Gruppe von Aktoren zu übertragen, so dass die Aktoren der vorbestimmten Gruppe die der ersten Sicherheitsidentifikation zugeordnete erste sicherheitsgerichtete Aktion auszuführen.
-
Gemäß einer vorteilhaften Weiterbildung des Steuerungssystems ist eine zweite sicherheitsbezogene Sensoreinrichtung vorgesehen, die ebenfalls dem wenigstens einen sicherheitsbezogenen Aktor zugeordnet ist, der zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet ist, wobei die zweite sicherheitsbezogene Sensoreinrichtung und die sicherheitsbezogene Datenverarbeitungseinrichtung über das erste Kommunikationsnetzwerk miteinander verbunden sind. Die zweite sicherheitsbezogene Sensoreinrichtung (10, 20) weist folgende Merkmale auf:
eine Netzwerkschnittstelle, über die die zweite sicherheitsbezogene Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation gespeichert ist, und eine Steuereinheit, die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen. Die zweite sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert. Die sicherheitsbezogene Datenverarbeitungseinrichtung ist dazu ausgebildet, zyklisch Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung und der zweiten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die zyklische Übertragung von Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung unterbrochen und in der sicherheitsbezogenen Datenverarbeitungseinrichtung ein vorbestimmter Betriebszustand aktiviert worden ist.
-
Die zweite sicherheitsbezogene Sensoreinrichtung kann ein Zustimmschalter sein und bei dem vorbestimmten Betriebszustand kann es sich um eine Prozessbeobachtung handeln. Die zweite sicherheitsgerichtete Aktion kann zum Beispiel bewirken, dass eine Maschine mit einer definierten Geschwindigkeit oder Drehzahl weiter betrieben wird.
-
Dank dieser Maßnahme ist es zum Beispiel möglich, dass eine Maschine, deren Schutztür in einem vorbestimmten Betriebszustand, zum Beispiel im Modus „Prozessbeobachtung“, geöffnet worden ist, nicht abgeschaltet wird, sondern zum Beispiel mit einer reduzierten Geschwindigkeit weiter arbeitet.
-
Eine vorteilhafte Ausbildung sieht vor, dass die Datenverarbeitungseinrichtung eine zentrale sichere Steuerungseinrichtung ist und dass der wenigstens eine Aktor mit dem ersten Kommunikationsnetzwerk verbunden ist.
-
Alternativ kann die Datenverarbeitungseinrichtung eine übergeordnete sichere Steuerungseinrichtung mit mehreren sicheren Ausgängen und wenigstens einer Auswerteeinrichtung aufweisen, welche über das erste Kommunikationsnetzwerk mit der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung und über ein zweites Kommunikationsnetzwerk mit der übergeordneten sicheren Steuerungseinrichtung verbunden ist. Die wenigstens eine Auswerteeinrichtung ist hierbei dazu ausgebildet, Eingangsdaten von der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen, zu verarbeiten und die verarbeiteten Eingangsdaten zur übergeordneten sicheren Steuereinrichtung zu übertragen.
-
Eine weitere vorteilhafte Alternative sieht vor, dass die Datenverarbeitungseinrichtung mehrere sichere Ausgänge zum Anschalten jeweils eines Aktors aufweist.
-
Das oben genannte technische Problem wird ferner durch die Merkmale des Anspruchs 9 gelöst.
-
Demgemäß wird ein sicherheitsgerichtetes Steuerungssystem zum sicheren Ansteuern wenigstens eines Aktors geschaffen, welches folgende Merkmale aufweist:
eine erste sicherheitsbezogene Sensoreinrichtung, wenigstens einen Aktor, der eine sicherheitsbezogene Datenverarbeitungseinrichtung aufweist und dazu ausgebildet ist, eine erste sicherheitsbezogene Aktion auszuführen, wobei die erste sicherheitsbezogene Sensoreinrichtung und der wenigstens eine Aktor über ein Kommunikationsnetzwerk miteinander verbunden sind. Die erste sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
eine Netzwerkschnittstelle, über die erste sicherheitsbezogene Sensoreinrichtung unmittelbar an das Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der ersten Sicherheitsschalteinrichtung eindeutig zugeordnete Systemsinformation gespeichert ist, und
eine Steuereinrichtung, die dazu ausgebildet ist, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der Datenverarbeitungseinrichtung des wenigstens einen Aktors zu übertragen. Die erste sicherheitsbezogene Sensoreinrichtung ist dazu ausgebildet, die Zusatzinformation zu erzeugen. Die Datenverarbeitungseinrichtung des wenigstens einen Aktors ist ferner dazu ausgebildet, Eingangsdaten von der ersten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um eine fehlerhaft übertragene Zusatzinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die erste sicherheitsgerichtete Aktion auszuführen.
-
Vorteilhafterweise ist die Datenverarbeitungseinrichtung des wenigstens einen Aktors dazu ausgebildet, Eingangsdaten von der wenigstens einen sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der jeweiligen Auswerteeinrichtung zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden.
-
An dieser Stelle sei angemerkt, dass es sich bei der in jedem Übertragungszyklus ändernden Zusatzinformation um eine laufende Nummer handeln kann, die im fehlerfreien Betrieb in vorbestimmter Weise, beispielsweise mit jedem Übertragungszyklus um eins inkrementiert wird.
-
Vorteilhafterweise ist die Datenverarbeitungseinrichtung des wenigstens einen Aktors dazu ausgebildet, eine Unterbrechung der zyklischen Übertragung der Eingangsdaten zu erkennen und unter Ansprechen hierauf ein sicheres Ausgangssignal für den wenigstens einen Aktor bereitzustellen, um die erste Sicherheitsaktion auszuführen.
-
Um insbesondere autarke Sicherheitsinseln konfigurieren zu können, kann in der Speichereinrichtung der ersten sicherheitsbezogenen Sensoreinrichtung eine erste Sicherheitsidentifikation, die die erste ausführbare sicherheitsgerichtete Aktion identifiziert und die einer vorbestimmten Gruppe von Aktoren zugeordnet ist, gespeichert sein, wobei
die Steuereinheit dazu ausgebildet sein kann, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils auch die erste Sicherheitsidentifikation enthalten, zu den mehreren Aktoren zu übertragen, und wobei jede sicherheitsbezogene Datenverarbeitungseinrichtung dazu ausgebildet sein kann, anhand der empfangenen ersten Sicherheitsidentifikation zu erkennen, ob der jeweilige Aktor zu der vorbestimmten Gruppe, welche der ersten Sensoreinrichtung zugeordnet ist, gehört.
-
Gemäß einer vorteilhaften Weiterbildung des sicherheitsgerichteten Steuerungssystems ist eine zweite sicherheitsbezogene Sensoreinrichtung vorgesehen, die der ersten sicherheitsbezogenen Sensoreinrichtung zugeordnet ist. Der wenigstens eine Aktor (180, 190) ist zur Ausführung der ersten und einer zweiten sicherheitsgerichteten Aktion ausgebildet, wobei die zweite sicherheitsbezogene Sensoreinrichtung und der wenigstens eine Aktor über das erste Kommunikationsnetzwerk miteinander verbunden sind. Die zweite sicherheitsbezogene Sensoreinrichtung weist folgende Merkmale auf:
eine Netzwerkschnittstelle, über die die zweite sicherheitsbezogene Sensoreinrichtung unmittelbar an das erste Kommunikationsnetzwerk anschaltbar ist, eine Speichereinrichtung, in welcher eine der zweiten sicherheitsbezogenen Sensoreinrichtung eindeutig zugeordnete Systeminformation und eine zweite Sicherheitsidentifikation, welche die zweite ausführbare sicherheitsgerichtete Aktion identifiziert, gespeichert sind, und
eine Steuereinheit), die dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation, die zweite Sicherheitsidentifikation und eine Zusatzinformation, die sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vordefinierter Weise ändert, enthalten, zu der sicherheitsbezogenen Datenverarbeitungseinrichtung zu übertragen, wobei die zweite sicherheitsbezogene Sensoreinrichtung dazu ausgebildet ist, diese Zusatzinformation zu erzeugen. Die sicherheitsbezogene Datenverarbeitungseinrichtung des wenigstens einen Aktors ist dazu ausgebildet, Eingangsdaten von der zweiten sicherheitsbezogenen Sensoreinrichtung zu empfangen und zu verarbeiten, um den wenigstens einen, der ersten sicherheitsbezogenen Sensoreinrichtung und der zweiten sicherheitsbezogenen Sensoreinrichtung zugeordneten Aktor zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, wenn die von der ersten sicherheitsbezogenen Sensoreinrichtung gesteuerte zyklische Übertragung von Eingangsdaten unterbrochen und an der sicherheitsbezogenen Datenverarbeitungseinrichtung des wenigstens einen Aktors ein vorbestimmter Betriebszustand aktiviert worden ist.
-
Eine zweckmäßige Weiterbildung sieht vor, dass die erste sicherheitsbezogene Sensoreinrichtung eine Detektoreinrichtung aufweist, welche dazu ausgebildet ist, zu erkennen, ob die erste sicherheitsbezogene Sensoreinrichtung am Kommunikationsnetzwerk angeschlossen ist. In diesem Fall ist die Steuereinheit dazu ausgebildet, die erste sicherheitsbezogene Sensoreinrichtung zu veranlassen, die zyklische Übertragung von Eingangsdaten zu beginnen, wenn die Detektoreinrichtung erkannt hat, dass die erste sicherheitsbezogene Sensoreinrichtung am Kommunikationsnetzwerk angeschlossen ist, und/oder dass die zweite sicherheitsbezogene Sensoreinrichtung eine Detektoreinrichtung aufweist, welche dazu ausgebildet ist, einen vorbestimmten Schaltzustand zu erkennen, und dass die Steuereinheit dazu ausgebildet ist, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, die zyklische Übertragung der Eingangsdaten zu beginnen, wenn die Detektoreinrichtung den vorbestimmten Schaltzustand der zweiten sicherheitsbezogenen Sensoreinrichtung erkannt hat.
-
Vorteilhafterweise kann die zweite sicherheitsbezogene Sensoreinrichtung dazu ausgebildet sein, einen Schaltzustand der zweiten sicherheitsbezogenen Sensoreinrichtung zu erkennen. In diesem Fall ist die Steuereinheit dazu ausgebildet, die zweite sicherheitsbezogene Sensoreinrichtung zu veranlassen, eine den Schaltzustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen. Jede Datenverarbeitungseinrichtung kann dazu ausgebildet sein, auch die mit den Eingangsdaten übertragene Zustandsinformation zu verarbeiten.
-
Gemäß einer vorteilhaften Ausgestaltung weist die erste sicherheitsbezogene Sensoreinrichtung eine Betätigungseinrichtung und eine separate Leseeinrichtung auf. Die Leseeinrichtung ist zum berührungslosen Auslesen der Speichereinrichtung ausgebildet. Die Speichereinrichtung, die Steuereinheit und eine Nahfeld-Kommunikationsschnittstelle sind in der Betätigungseinrichtung angeordnet, welche dazu ausgebildet ist, die Zusatzinformation zu erzeugen, die sich mit jedem Übertragungszyklus im fehlerfreien Betrieb in vordefinierter Weise ändert. Die Netzwerkschnittstelle und eine weitere Nahfeld-Kommunikationsschnittstelle sind in der Leseeinrichtung angeordnet. Die Nahfeld-Kommunikationsschnittstellen können in sich bekannterweise einen NFC-Chip und eine Antenne, wie zum Beispiel Folienantenne aufweisen. Das zyklische Auslesen der Speichereinrichtung und die zyklische Übertragung von Eingangsdaten beginnt erst dann, wenn die Leseeinrichtung und die Betätigungseinrichtung einen definierten Abstand zueinander aufweisen.
-
Handelt es sich bei der ersten sicherheitsbezogenen Sensoreinrichtung beispielsweise um einen Positionsschalter, welcher eine Schutztür oder eine Schutzhaube überwacht, so wird im ordnungsgemäßen Betrieb ein definierter Abstand zwischen der Leseeinrichtung und der Betätigungseinrichtung der Sensoreinrichtung eingenommen, sobald die Schutztür bzw. die Schutzhaube geschlossen ist. Mit anderen Worten: Die erste sicherheitsbezogene Sensoreinrichtung überträgt in diesem Beispiel Eingangsdaten zyklisch, solange die Schutzhaube bzw. die Schutztür geschlossen ist.
-
Um die Sicherheit des Systems zu erhöhen, kann die Steuereinheit der ersten und/oder zweiten sicherheitsbezogenen Sensoreinrichtung dazu ausgebildet sein, die zyklisch zu übertragende Eingangsdaten fehlersicher zu kodieren. In diesem Fall kann die jeweilige Datenverarbeitungseinrichtung jeweils dazu ausgebildet sein, die codierten Eingangssignale zu decodieren, um eine fehlerhafte Übertragung Eingangsdaten erkennen zu können.
-
Die Erfindung wird nachfolgend anhand einiger Ausführungsbeispiele in Verbind mit den beiliegenden Zeichnungen näher erläutert. Es zeigen:
-
1 ein schematisches Blockschaltbild einer beispielhaften sicherheitsbezogenen Sensoreinrichtung,
-
2 ein schematisches Blockschaltbild einer alternativen sicherheitsbezogenen Sensoreinrichtung,
-
3 ein beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen sowie einer Auswerteeinrichtung, die getrennt von einer sicheren Steuerung angeordnet ist,
-
4 ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in den 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen und einer zentralen sicheren Steuerung,
-
5 ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen und einer zentralen sicheren Auswerteeinrichtung,
-
6 noch ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem mit den in 1 und 2 gezeigten sicherheitsbezogenen Sensoreinrichtungen sowie mehreren sicheren Aktoren, die jeweils eine sichere Auswerteeinrichtung enthalten, und
-
7 ein beispielhaftes Telegramm zur Übertragung von Eingangsdaten.
-
In 1 ist eine beispielhafte sicherheitsbezogene Sensoreinrichtung 10 dargestellt, die zum Beispiel in einer Automatisierungsanlage zur Überwachung einer Schutzeinrichtung verwendet werden kann. Die sicherheitsbezogene Sensoreinrichtung 10 kann zum Beispiel als Abstandssensor, Positionsschalter, Not-Aus-Schalter, Zustimmschalter, Zweihandschalter oder dergleichen ausgebildet sein.
-
Die sicherheitsbezogene Sensoreinrichtung 10 weist eine Netzwerkschnittstelle 18 auf, über die sie unmittelbar an ein Kommunikationsnetzwerk angeschlossen werden kann. Die Netzwerkschnittstelle 18 weist vorzugsweise einen nicht dargestellten Protokollchip auf, der eine Kommunikation der sicherheitsbezogenen Sensoreinrichtung 10 über das Kommunikationsnetzwerk ermöglicht. Weiterhin enthält die sicherheitsbezogene Sensoreinrichtung 10 eine Speichereinrichtung 12, in der eine Systeminformation, welche der sicherheitsbezogenen Sensoreinrichtung 10 eindeutig zugeordnet ist, gespeichert ist. In der Speichereinrichtung kann ferner eine Sicherheitsidentifikation zur Identifizierung einer sicherheitsgerichteten Aktion gespeichert werden. Ferner wird mit der Sicherheitsidentifikation eine Gruppe von Aktoren identifiziert. Vorzugsweise handelt es sich bei der Systeminformation um eine Adresse, die innerhalb eines sicherheitsgerichteten Steuerungssystems der sicherheitsbezogenen Sensoreinrichtung 10 eineindeutig zugeordnet ist. Diese Adresse kann bei der Herstellung der sicherheitsbezogenen Sensoreinrichtung 10 oder auch später vom Anwender in die Speichereinrichtung 12 geschrieben werden. In der Speichereinrichtung 12 sei beispielsweise eine Sicherheitsidentifikationen abgelegt, die in 1 mit Safety ID1 bezeichnet ist.
-
Jeder Sicherheitsidentifikation ist eine bestimmte sicherheitsgerichtete Aktion zugeordnet, welche von einem Aktor ausgelöst bzw. ausgeführt werden kann. Eine sicherheitsgerichtete Aktion kann beispielsweise das Abschalten eines Maschinenteils, einer Maschine oder einer Maschinenanlage, oder eine Reduzierung der Drehzahl eines Motors oder das Fahren eines Maschinenteils, einer Maschine oder einer Maschinenanlage in einen sicheren Zustand betreffen.
-
Weiterhin weist die sicherheitsbezogene Sensoreinrichtung 10 eine Steuereinheit 14 auf, welche als Mikrocontroller ausgebildet sein kann. Die Steuereinheit 14 ist dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 10 zu veranlassen, zyklisch Eingangsdaten, welche jeweils die eindeutige Systeminformation, wenn vorhanden, eine Sicherheitsidentifikation, und eine sich im fehlerfreien Betrieb mit jedem Übertragungszyklus in vorbestimmter Weise ändernde Zusatzinformation enthält, über die Netzwerkschnittstelle 18 und über ein Kommunikationsnetzwerk zu einer Datenverarbeitungseinrichtung zu übertragen. Die Zusatzinformation wird von der sicherheitsbezogenen Sensoreinrichtung 10 erzeugt. Bei der sich zyklisch ändernden Zusatzinformation kann es sich um eine laufende Nummer handeln, welche beispielsweise der Mikrocontroller 14 mit jedem Übertragungszyklus um 1 inkrementiert. Vorzugsweise werden Eingangsdaten der Sensoreinrichtung 10 zyklisch jeweils in einem Datentelegramm übertragen.
-
Ein beispielhaftes Telegramm zur zyklischen Übertragung von Eingangsdaten ist in der 7 dargestellt. In jedem Telegramm werden zum Beispiel eine Sicherheitsidentifikationen Safety ID, die der sicherheitsbezogenen Sensoreinrichtung 10 eindeutig zugeordnete Systeminformation, eine laufende Nummer, welche beispielsweise der Nummer des aktuellen Übertragungszyklus entspricht, und eine Zustandsinformation, welche beispielsweise den Betriebszustand oder Schaltzustand der sicherheitsbezogenen Sensoreinrichtung 10 beschreibt, übertragen. Diese Daten können zusätzlich noch mit einer Prüfsumme (CRC) abgesichert oder durch eine andere Codierung gesichert werden, die ebenfalls mit übertragen werden kann. Wichtig ist darauf hinzuweisen, dass in jedem Telegramm zumindest die eindeutige Systeminformation und die sich zyklisch ändernde Zusatzinformation übertragen werden.
-
Die sicherheitsbezogene Sensoreinrichtung 10 weist optional eine Detektoreinrichtung 16 auf, welche dazu ausgebildet ist, zu erkennen, ob die sicherheitsbezogene Sensoreinrichtung 10 über die Netzwerkschnittstelle 18 mit einem Kommunikationsnetzwerk verbunden ist. Hierzu kann die Detektoreinrichtung 16 mit dem Mikrocontroller 14 und der Netzwerkschnittstelle 18 verbunden sein. Der Mikrocontroller 14 ist in diesem Fall dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 10 zu veranlassen, die zyklische Übertragung von Eingangsdaten vorzugsweise in Form von Eingangsdatentelegrammen zu beginnen, wenn die Detektoreinrichtung 16 erkannt hat, dass die sicherheitsbezogene Sensoreinrichtung 10 an einem Kommunikationsnetzwerk angeschlossen ist.
-
Handelt es sich bei der Sensoreinrichtung 10 um einen Zustimmschalter, so kann die Detektoreinrichtung 16 ferner dazu ausgebildet sein, zu erkennen, ob der Zustimmschalter ein- oder ausgeschaltet ist. In diesem Fall kann die Sensoreinrichtung 10, d. i. vorzugsweise der Mikrocontroller 14 dazu ausgebildet sein, einen den Schaltzustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen.
-
Die Zustandsinformation kann alternativ oder zusätzlich beispielsweise anzeigen, dass die sicherheitsbezogene Sensoreinrichtung 10 ordnungsgemäß an einem Kommunikationsnetzwerk angeschlossen ist oder dass die sicherheitsbezogene Sensoreinrichtung 10 sich beispielsweise in der Betriebsart „Prozessbeobachtung“ befindet.
-
2 zeigt eine alternative Ausführungsform einer sicherheitsbezogenen Sensoreinrichtung 20, die zum Beispiel in einer Automatisierungsanlage zur Überwachung einer Schutzeinrichtung verwendet werden kann. Die sicherheitsbezogene Sensoreinrichtung 20 kann vorzugsweise als Abstandssensor oder Positionsschalter ausgebildet sein.
-
Die sicherheitsbezogene Sensoreinrichtung 20 weist eine Betätigungseinrichtung 30 und eine Leseeinrichtung 40 auf, die zum berührungslosen Auslesen eines Speichers 31 ausgebildet sind. Betätigungseinrichtung 30 und Leseeinrichtung 40 sind als separate Einheiten ausgebildet, die relativ zueinander bewegt werden können. Auf diese Weise ist es möglich, die Betätigungseinrichtung 30 und die Leseeinrichtung 40 an verschiedenen Stellen einer Schutzeinrichtung, beispielsweise an einer Schutztür anzubringen, um zu erkennen, ob eine Schutztür geöffnet oder geschlossen ist.
-
Die Leseeinrichtung 40 ist zum berührungslosen Auslesen des Speichers 31 ausgebildet, der in der Betätigungseinrichtung implementiert ist. Angemerkt sei, dass die Leseeinrichtung 40 auch eine Schreibfunktionalität aufweisen kann, mit deren Hilfe, der Speicher 31 der Betätigereinrichtung 30 beschrieben werden kann. In der Speichereinrichtung 31 kann eine Sicherheitsidentifikation zur Identifizierung einer sicherheitsgerichteten Aktion und eine Systeminformation gespeichert werden kann, welche der sicherheitsbezogenen Sensoreinrichtung 20 eindeutig zugeordnet ist. Vorzugsweise handelt es sich bei der Systeminformation um eine Adresse, die innerhalb eines sicherheitsgerichteten Steuerungssystems der sicherheitsbezogenen Sensoreinrichtung 20 eineindeutig zugeordnet ist. Diese Adresse kann bei der Herstellung der sicherheitsbezogenen Sensoreinrichtung 20 oder auch später vom Anwender in der Speichereinrichtung 31 geladen werden. In der Speichereinrichtung 31 ist beispielsweise ferner eine Sicherheitsidentifikation Safety ID2 gespeichert. Der Sicherheitsidentifikation Safety ID2 ist eine bestimmte sicherheitsgerichtete Aktion zugeordnet, welche von einer Gruppe von Aktoren, die durch die Sicherheitsidentifikation adressiert werden, ausgelöst werden kann. Eine sicherheitsgerichtete Aktion kann beispielsweise das Abschalten eines Maschinenteils, einer Maschine oder einer Maschinenanlage, oder eine Reduzierung der Drehzahl eines Motors oder das Fahren eines Maschinenteils, einer Maschine oder einer Maschinenanlage in einen sicheren Zustand betreffen.
-
Weiterhin weist die Betätigungseinrichtung 30 der sicherheitsbezogenen Sensoreinrichtung 20 eine Steuereinheit 32 auf, die mit einem NFC(Near Field Communication)-Chip 33 verbunden ist, der wiederum mit einer Antenne 34 verbunden ist. Die Steuereinheit 32 kann wiederum ein Mikrocontroller sein. Der NFC-Chip 33 und die Antenne 34 bilden eine Nahfeld-Kommunikationsschnittstelle der Betätigungseinrichtung 30.
-
Die Steuereinheit 32 ist dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, zyklisch Eingangsdaten, welche die eindeutige Systeminformation, die Sicherheitsidentifikation Safety ID2 und eine sich im fehlerfreien Betrieb mit jedem Übertragungszyklus ändernde Zusatzinformation enthält, über Antennen 34 und 41, die Netzwerkschnittstelle 43 und über ein Kommunikationsnetzwerk zu einer Datenverarbeitungseinrichtung zu übertragen. Bei der sich zyklisch ändernden Zusatzinformation kann es sich um eine laufende Nummer handeln, welche beispielsweise der Mikrocontroller 32 oder ein Generator 35 mit jedem Übertragungszyklus um 1 inkrementiert. Vorzugsweise werden Eingangsdaten der Sensoreinrichtung 10 zyklisch jeweils in einem Datentelegramm übertragen. Angemerkt sei, dass zumindest die eindeutige Systeminformation und die sich zyklisch ändernde Zusatzinformation in jedem Telegramm übertragen werden. Ein beispielhaftes Telegramm zur zyklischen Übertragung von Eingangsdaten ist in der 7 dargestellt.
-
Die Leseeinheit 40 weist ebenfalls eine Nahfeld-Kommunikationsschnittstelle auf, die vorzugsweise aus einem NFC-Chip 42 und der Antenne 41 gebildet wird. Der NFC-Chip 42 der Leseeineinrichtung 40 ist mit einer Netzwerkschnittstelle 43 verbunden, die vorzugsweise in der Leseeinrichtung 40 angeordnet ist. Die Netzwerkschnittstelle 43 kann ähnlich der Netzwerkschnittstelle 18 einen Protokollchip aufweisen, der eine Kommunikation der sicherheitsbezogenen Sensoreinrichtung 20 über ein Kommunikationsnetzwerk ermöglicht. Das Kommunikationsnetzwerk kann beispielsweise ein Feldbus, insbesondere ein IO-Link, Profibus, Profinet, Interbus oder ein anderes bekanntes Netzwerk sein.
-
Die Leseeinrichtung 40 weist optional eine Detektoreinrichtung 45 auf, welche dazu ausgebildet ist, zu erkennen, ob die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 über die Netzwerkschnittstelle 43 mit einem Kommunikationsnetzwerk verbunden ist. Hierzu kann die Detektoreinrichtung 45 mit der Netzwerkschnittstelle 43 verbunden sein. Über die Antennen 34 und 41 kann die Detektoreinrichtung 45 mit dem Mikrocontroller 32 kommunizieren. Der Mikrocontroller 32 ist in diesem Fall dazu ausgebildet, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, die zyklische Übertragung von Eingangsdaten vorzugsweise in Form von Eingangsdatentelegrammen zu beginnen, wenn die Detektoreinrichtung 45 erkannt hat, dass die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 an einem Kommunikationsnetzwerk angeschlossen ist.
-
Die sicherheitsbezogenen Sensoreinrichtung 20, vorzugsweise der Mikrocontroller 32, kann ferner dazu ausgebildet sein, den Zustand der sicherheitsbezogenen Sensoreinrichtung 20 zu erkennen, wobei dann der Mikrocontroller 32 dazu ausgebildet ist, die sicherheitsbezogene Sensoreinrichtung 20 zu veranlassen, auch eine den Zustand repräsentierende Zustandsinformation zyklisch mit den Eingangsdaten zu übertragen. Zusätzlich oder alternativ zur Zustandsinformation kann ein Sicherheitsdatum bzw. Sicherheitssignal mit den Eingangsdaten übertragen werden, welches eine vorbestimmte sicherheitsgerichtete Aktion auslösen kann. Die vorbestimmte sicherheitsgerichtete Aktion kann zum Beispiel das Abschalten einer Maschine, eines Maschineteils oder dergleichen betreffen. Das Sicherheitsdatum veranlasst somit eine Maschinensteuerung. Die Zustandsinformation kann signalisieren, dass, wenn die sicherheitsbezogene Sensoreinrichtung 20 zum Beispiel ein Zustimmschalter ist, der Zustimmschalter gedrückt oder nicht gedrückt oder, wenn die sicherheitsbezogene Sensoreinrichtung 20 als Zweihandschalter ausgebildet ist, dass der Zweihandschalter gleichzeitig oder nicht gleichzeitig gedrückt worden ist.
-
Die Zustandsinformation kann alternativ oder zusätzlich beispielsweise anzeigen, dass die sicherheitsbezogene Sensoreinrichtung 20 bzw. die Leseeinrichtung 40 ordnungsgemäß an einem Kommunikationsnetzwerk angeschlossen ist oder dass die sicherheitsbezogene Sensoreinrichtung 20 sich beispielsweise in der Betriebsart „Prozessbeobachtung“ befindet.
-
Die Antenne 34 der Betätigungseinrichtung 30 und die Antenne 41 der Leseeinheit 40 sind derart zueinander angeordnet, dass das Auslesen des Speichers 31 und die zyklische Übertragung von Eingangsdaten über die Netzwerkschnittstelle 43 erst dann beginnen, wenn die Leseeinrichtung 40 und die Betätigungseinrichtung 30 bzw. die Antennen 34 und 41 einen vorbestimmten Abstand zueinander aufweisen. Handelt es sich bei der sicherheitsbezogenen Sensoreinrichtung 20 beispielsweise um einen Positionsschalter, der den geschlossenen Zustand einer Schutztür überwacht, so wird dieser vorbestimmte minimale Abstand erzielt, wenn die Schutztür geschlossen ist. Mit dem vorbestimmten Abstand wird somit der Abstand definiert, bei dem eine Nahfeldkommunikation über die Antennen 34 und 41 möglich wird. Wird dieser vorbestimmte Abstand überschritten, besteht keine Funkverbindung mehr zwischen den Antennen 34 und 41 und die Speichereinrichtung 31 kann nicht mehr ausgelesen werden, so dass auch die zyklische Übertragung von Eingangsdaten nicht mehr möglich ist.
-
Die Anordnung der NFC-Antenne 34 und der NFC-Antenne 41 ist daher derart gewählt, dass die Datenübertragung zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 nur möglich ist, wenn der Abstand dazwischen dem vorgegebenen bzw. gewünschten Abstand entspricht. Der vorgegebene Abstand kann auch dadurch eingestellt werden, dass die NFC-Antennen 34 und 41 einen bestimmten Formfaktor aufweisen und/oder eine gezielte Abschirmung für die Antennen 34 und 41 gewählt wird. Über die NFC-Antennen 34 und 41 kann die Betätigungseinrichtung 30, je nach Implementierung, auch mit Energie versorgt werden.
-
3 zeigt ein beispielhaftes sicherheitsgerichtetes Steuerungssystem 5 zum sicheren Ansteuern von wenigstens einem Aktor, wobei in 3 beispielsweise zwei Aktoren 70 und 72 dargestellt sind. Das Steuerungssystem 5 kann Teil einer Automatisierungsanlage sein.
-
Lediglich beispielhaft sei angenommen, dass das sicherheitsgerichtete Steuerungssystem 5 eine sicherheitsbezogene Sensoreinrichtung 10 und eine sicherheitsbezogene Sensoreinrichtung 20 aufweist. Die sicherheitsbezogene Sensoreinrichtung 10 ist entsprechend der in 1 gezeigten sicherheitsgerichteten Sensoreinrichtung 10 ausgebildet ist. Deshalb erhält sie das Bezugszeichen 10. Die sicherheitsbezogene Sensoreinrichtung 20 ist entsprechend der in 2 gezeigten sicherheitsbezogenen Sensoreinrichtung 20 ausgebildet ist und erhält deshalb das Bezugszeichen 20.
-
Weiterhin sei angenommen, dass die sicherheitsbezogenen Sensoreinrichtungen 10 und 20 über ein erstes Kommunikationsnetzwerk 120, 122 mit einer Auswerteeinrichtung 50 verbunden sind. Das erste Kommunikationsnetzwerk 120, 122 kann beispielsweise das standardisierte IO-Link-Anbindungsnetzwerk sein. Angemerkt sei, dass das sicherheitsgerichtete Steuerungssystem 5 weitere sicherheitsbezogene Sensoreinrichtungen aufweisen kann, welche über das IO-Link-Netzwerk mit derselben Auswerteeinrichtung 50 oder wenigstens einer separaten Auswerteeinrichtung (nicht dargestellt) verbunden sein können.
-
Die Auswerteeinrichtung 50 ist über ein zweites Kommunikationsnetzwerk 130 mit einer sicheren Steuerungseinrichtung 60, auch sichere Steuerung genannt, verbunden. Das zweite Kommunikationsnetzwerk 130 kann ein bekannter Feldbus, zum Beispiel Profinet oder auch ein Ethernet-basiertes Kommunikationsnetzwerk sein.
-
Die sichere Steuerungseinrichtung 60 kann mehrere sichere Ausgänge aufweisen, wobei lediglich zwei sichere Ausgänge 61 und 62 in 3 dargestellt sind, an die jeweils ein Aktor angeschlossen ist. Ein Aktor 70 ist über einen Ausgangskanal 141 mit dem sicheren Ausgang 61 verbunden, während ein weiterer Aktor 72 über einen Ausgangskanal 140 mit dem anderen sicheren Ausgang 62 verbunden ist. Die Ausgangskanäle können als ein weiteres Kommunikationsnetzwerk betrachtet werden. Angenommen sei, dass der Aktor 70 einer Drehmaschine (nicht dargestellt) zugeordnet ist, während der Aktor 72 einer Bohrmaschine (nicht dargestellt) zugeordnet ist.
-
Gemäß einem ersten Szenario sei angenommen sei, dass die sicherheitsbezogenen Sensoreinrichtungen 10 und 20 jeweils als eine erste sicherheitsbezogene Sensoreinrichtung fungieren, wobei die Sensoreinrichtung 10 beispielsweise als Positionsschalter ausgebildet ist, mit dem beispielsweise eine Schutzhaube (nicht dargstellt) der Drehmaschine überwacht werden soll, und dass die sicherheitsbezogene Sensoreinrichtung 20 ebenfalls als Positionsschalter ausgebildet ist, mit dem beispielsweise eine Schutztür (nicht dargstellt) der Bohrmaschine überwacht werden soll.
-
Die Auswerteeinrichtung 50 und die sichere Steuerungseinrichtung 60 bilden zusammen eine sicherheitsbezogene Datenverarbeitungseinrichtung. Die Auswerteeinrichtung 50 ist dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das erste Kommunikationsnetzwerk 120, 122 zu empfangen und zu verarbeiten, um eine fehlerhafte Zustandsinformation erkennen zu können und, wenn eine fehlerhafte Zusatzinformation erkannt worden ist, den der Sensoreinrichtung 10 zugeordneten Aktor 70 und/oder den der Sensoreinrichtung 20 zugeordneten Aktor 72 zu veranlassen, eine erste vorbestimmte Sicherheitsfunktion auszuführen. Hierzu können dann die verarbeiteten Eingangsdaten zu der übergeordneten sicheren Steuerungseinrichtung 60 über das zweite Kommunikationsnetzwerk 130 übertragen werden, die die Aktoren 70 und 72 entsprechend ansteuert, um die ihnen zugeordnete erste Sicherheitsfunktion gegebenenfalls auszulösen.
-
Vorteilhafterweise ist die Auswerteeinrichtung 50 dazu ausgebildet, Eingangsdaten von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der Auswerteeinrichtung 50 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
-
Die Auswerteeinrichtung 50 kann gemäß einer vorteilhaften Ausgestaltung ferner dazu ausgebildet sein, anhand einer in mit Eingangsdaten übertragenen Sicherheitsidentität zu erkennen, welche Gruppe von Aktoren der sicherheitsbezogenen Sensoreinrichtung 10 und welche Gruppe von Aktoren der Sensoreinrichtung 20 zugeordnet sind, welche sicherheitsgerichtete Aktion von der jeweiligen Gruppe von Aktoren bei Erkennen eines Fehlers der jeweiligen sicherheitsbezogenen Sensoreinrichtung oder eines sicherheitskritischen Systemzustands oder eines definierten Systemzustands auszuführen ist, und ob der jeweilige Aktor oder die jeweiligen Aktoren die entsprechende sicherheitsgerichtete Aktion ausführen sollen.
-
Die Auswerteeinrichtung 50 erkennt einen Fehler hinsichtlich einer sicherheitsbezogenen Sensoreinrichtung beispielsweise daran, dass entweder die zyklische Datenübertragung von der jeweiligen Sensoreinrichtung unterbrochen worden ist, oder die übertragenen Eingangsdaten verfälscht worden sind, oder die mit den Eingangsdaten übertragene laufende Nummer sich nicht mehr verändert oder nicht mehr in der vorbestimmten Weise ändert. Einen sicherheitskritischen Systemzustand, wie zum Beispiel das Öffnen der Schutztür erkennt die Auswerteeinrichtung daran, dass die zyklische Datenübertragung von der jeweiligen Sensoreinrichtung unterbrochen worden ist. Einen definierten Systemzustand, wie zum Beispiel die Betriebsart „Prozessbeobachtung“, erkennt die Auswerteeinrichtung 50 beispielsweise anhand einer speziellen Information, welche zum Beispiel im Feld „Zustandsinformation“ eines jeden Eingangsdaten-Telegramms übertragen werden kann, oder welche von der Bedienperson der Auswerteeinrichtung 50 und/oder der sicheren Steuerung 60 mitgeteilt wird. Im fehlerfreien Betrieb einer sicherheitsbezogenen Sensoreinrichtung kann die Auswerteeinrichtung 50 der sicheren Steuerung 60 signalisieren, dass der der sicherheitsbezogenen Sensoreinrichtung zugeordnete Aktor keine sicherheitsgerichtete Aktion ausführen soll.
-
Erkennt die Auswerteeinrichtung 50 hinsichtlich der sicherheitsbezogenen Sensoreinrichtung und/oder der sicherheitsbezogenen Sensoreinrichtung 20 einen Fehler oder einen sicherheitskritischen Zustand, so kann die Auswerteeinrichtung 50 der sicheren Steuerung 60 signalisieren, welche sicherheitsbezogene Sensoreinrichtung betroffen ist, indem sie beispielsweise die entsprechende Sicherheitsidentifikation und/oder die Adresse der betroffenen sicherheitsbezogenen Sensoreinrichtung zur sicheren Steuerung 60 überträgt.
-
In der sicheren Steuerung 60 kann eine Liste hinterlegt sein, die definiert, welche sicherheitsbezogene Sensoreinrichtung welchem Aktor oder welchen Aktoren zugeordnet ist und welche sicherheitsgerichtete Aktion oder welche sicherheitsgerichteten Aktionen der oder die Aktoren ausführen sollen. Hierzu können die eindeutigen Systeminformationen der Sensoreinrichtungen 10 und 20, gegebenenfalls die in den Sensoreinrichtungen 10 und 20 gespeicherten Sicherheitsidentifikationen und die Adressen der Aktoren entsprechend verknüpft werden.
-
Nachfolgend wird ein erstes beispielhaftes Szenario des in 3 gezeigten sicherheitsgerichteten Steuerungssystems 5 näher erläutert.
-
Angenommen sei, dass vor Inbetriebnahme des Steuerungssystems 5 in der Speichereinrichtung 12 der Sensoreinrichtung 10 eine systemweit eindeutige Adresse abgelegt worden ist und in der Speichereinrichtung 31 der Sensoreinrichtung 20 eine systemweit eindeutige Adresse abgelegt worden ist.
-
Ferner ist, wie oben bereits erwähnt, die sicherheitsbezogene Sensoreinrichtung 10 dem Aktor 70 und die sicherheitsbezogene Sensoreinrichtung 20 dem Aktor 72 zugeordnet.
-
Um diese Zuordnung zu implementieren, können beispielsweise in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerungseinrichtung 60 die Adressen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 den Adressen der Aktoren 70 und 72 entsprechend zugeordnet werden. Zudem ist in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerungseinrichtung 60 hinterlegt, welche sicherheitsgerichtete Aktion welcher Aktor ausführen soll. Angenommen sei, dass bei einem erkannten Fehler hinsichtlich der Sensoreinrichtung 10 der Aktor 70 abgeschaltet werden soll, während bei einem erkannten Fehler hinsichtlich der Sensoreinrichtung 209 der Aktor 72 abgeschaltet werden soll. Die sichere Steuerungseinrichtung 60 weiß zudem, dass der Aktor 70 am Ausgang 61 angeschlossen ist, während der Aktor 72 am Ausgang 62 angeschlossen ist.
-
Nunmehr sei der Fall angenommen, dass eine Bedienperson die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 an das erste Kommunikationsnetzwerk 120, 122 anschließt, die Schutztür der Drehmaschine und Schutztür der Bohrmaschine geschlossen sind, keine Fehler und kein sicherheitskritischer Zustand vorliegen. Sobald die Detektoren 16 und 45 dem Mikrocontroller 14 bzw. dem Mikrokontroller 32 signalisieren, dass die Sensoreinrichtung 10 bzw. die Sensoreinrichtung 20 ordnungsgemäß am Kommunikationsnetzwerk 120, 122 angeschlossen sind, sorgen die Mikrocontroller 14 und Mikrocontroller 32 dafür, dass die im Speicher 12 bzw. im Speicher 31 hinterlegten Adressen ausgelesen und zusammen mit einer sich zyklisch ändernden laufenden Nummer zyklisch über das Kommunikationsnetzwerk 120, 122 zur Auswerteeinrichtung 50 übertragen werden.
-
Hinsichtlich der Sensoreinrichtung 10 wird die laufende Nummer vorzugsweise vom Mikrocontroller 14 erzeugt, während die laufende Nummer hinsichtlich der Sensoreinrichtung 20 vom Mikrocontroller 34 oder dem Generator 35 erzeugt werden kann. Um eine sichere Datenübertragung zu ermöglichen, kann der Inhalt jedes Telegramms vom Mikrocontroller 14 bzw. vom Mikrocontroller 32 beispielsweise durch eine CRC-Prüfsumme abgesichert werden, die über der Adresse, der laufenden Nummer und gegebenenfalls über eine Zustandsinformation gebildet wird. Die Zusatzinformation kann beispielsweise den aktuellen Zustand der jeweiligen sicherheitsbezogenen Sensoreinrichtung und/oder eine Kennung enthalten, welche die von der jeweiligen Sensoreinrichtung überwachte Schutzeinrichtung identifiziert.
-
Die Auswerteinrichtung 50 erkennt anhand der zyklisch empfangenen Telegramme, dass das sicherheitsgerichtete Steuerungssystem 5 fehlerfrei und in einem sicherheitsunkritischen Zustand arbeitet. Je nach Implementierung kann die Auswerteinrichtung 50 der sicheren Steuerung 60 diesen Zustand signalisieren, so dass die Aktoren 70, 72 keine sicherheitsgerichteten Aktionen ausführen.
-
Angenommen sei nunmehr, dass die von der sicherheitsbezogenen Sensoreinrichtung 20 überwachte Schutztür geöffnet wurde. Dadurch wird die Funkübertragung der zyklisch zu übertragenden Telegramme zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 unterbrochen, so dass keine Telegramme mehr von der Leseeinrichtung 40 der Sensoreinrichtung 20 zur Auswerteeinrichtung 50 übertragen werden können. Zudem sei angenommen, dass der Mikrocontroller 14 der Sensoreinrichtung 10 keine sich ändernde laufende Nummer mehr erzeugt.
-
Die Auswerteinrichtung 50 erkennt folglich hinsichtlich der sicherheitsbezogenen Sensoreinrichtung 20 eine Unterbrechung der zyklischen Übertragung und hinsichtlich der von der sicherheitsbezogenen Sensoreinrichtung 10 übertragenen Telegramme, dass die laufende Nummer nicht mehr inkrementiert wird. Unter Ansprechen hierauf überträgt die Auswerteeinrichtung 50 die Adresse der sicherheitsbezogenen Sensoreinrichtung 10 sowie die Adresse der sicherheitsbezogenen Sensoreinrichtung 20 zur sicheren Steuerung 60. Die sichere Steuerung 60 weiß nunmehr, dass die Drehmaschine und die Bohrmaschine abgeschaltet werden müssen. Unter Ansprechen hierauf stellt die sichere Steuerung 60 an ihren sicheren Ausgängen 60 und 62 sichere Ausgangssignale bereit, welche dafür sorgen, dass der Aktor 70 die Drehmaschine und der Aktor 72 die Bohrmaschine abschaltet.
-
Nunmehr wird ein zweites Szenario betrachtet. Angenommen sei zunächst, dass die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 nur dem Aktor 70 zugeordnet sind. Hierbei fungiert die Sensoreinrichtung 20 als eine erste sicherheitsbezogene Sensoreinrichtung, und zwar als Positionsschalter, der die Schutztür der Drehmaschine überwacht, während die sicherheitsbezogene Sensoreinrichtung 10 als zweite Sensoreinrichtung, und zwar als Zustimmschalter fungiert. Diese Zuordnung ist in der Auswerteeinrichtung 50 und/oder der sicheren Steuerung 60 hinterlegt, indem zum Beispiel die Adressen der Sensoreinrichtungen 10 und 20 mit der Adresse des Aktors 70 verknüpft werden. Der Aktor 70 ist dazu ausgebildet, sowohl die erste der sicherheitsbezogenen Sensoreinrichtung 20 zugeordnete sicherheitsgerichtete Aktion, nämlich im Bedarfsfall die Drehmaschine abzuschalten, als auch eine zweite der sicherheitsbezogenen Sensoreinrichtung 10 zugeordnete sicherheitsgerichtete Aktion, zum Beispiel die Drehmaschine während eines vorbestimmten Betriebszustands mit reduzierter Drehzahl weiter zu betreiben, auszuführen. Hierzu wird in der Auswerteeinrichtung 50 und/oder in der sicheren Steuerung 60 eine Liste hinterlegt, die die erste sicherheitsgerichtete Aktion der Sensoreinrichtung 20 und die zweite sicherheitsgerichtete Aktion der Sensoreinrichtung 10 zuordnet.
-
Angenommen sei weiter, dass eine Bedienperson die beiden sicherheitsbezogenen Sensoreinrichtungen 10 und 20 an das erste Kommunikationsnetzwerk 120, 122 angeschlossen hat, die Schutzhaube der Drehmaschine geschlossen ist, der Zustimmschalter deaktiviert ist, keine Fehler und kein sicherheitskritischer Zustand vorliegt. Folglich übertragen die Sensoreinrichtungen 10 und 20 zyklisch Telegramme zur Auswerteeinrichtung 50, die zumindest eine sich in vorbestimmter Weise zyklisch ändernde Zusatzinformation und die eindeutige Systeminformation der Sensoreinrichtung 10 bzw. der Sensoreinrichtung 20 enthalten. Je nach Implementierung kann die Sensoreinrichtung 10 zyklisch Telegramme übertragen, die zudem eine Zustandsinformation enthält, welche den Zustand „Zustimmschalter ist deaktiviert“ oder „Zustimmschalter ist aktiviert“ bezeichnet.
-
Nunmehr sei angenommen, dass die Bedienperson einen definierten Systemzustand, beispielsweise die Betriebsart „Prozessbeobachtung“ zum Beispiel an der Auswerteeinrichtung 50 eingibt, um den Prozess, beispielsweise die Funktionsweise der Drehmaschine beobachten zu können.
-
Anschließend öffnet eine Bedienperson die Schutztür der Drehmaschine und betätigt den Zustimmschalter, d.h. die Sensoreinrichtung 10. Gemäß einem Ausführungsbeispiel unterbrechen daraufhin beide Sensoreinrichtungen 10 und 20 die zyklische Übertragung von Eingangsdaten. Unteransprechen auf die Unterbrechung der Datenübertragung und dem eingestellten Betriebszustand „Prozessbeobachtung“ veranlassen die Auswerteeinrichtung 50 und die sichere Steuerung 60, welche als sicherheitsbezogene Datenverarbeitungseinrichtung fungieren, den Aktor 70, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird. So kann beispielsweise die Auswerteeinrichtung 50 anhand der abgelegten Zuordnungstabelle erkennen, dass bei Unterbrechung der Übertragung der von den Sensoreinrichtungen 10 und 20 kommenden Daten und der Betriebsart „Prozessbeobachtung“ die zweite sicherheitsgerichtete Aktion vom Aktor 70 ausgeführt werden soll. Hierüber kann die Auswerteeinrichtung 50 die sichere Steuerung 60 entsprechend informieren, die daraufhin am Ausgang 61 ein entsprechendes den Aktor 70 steuerndes Ausgangssignal bereitstellt.
-
Gemäß einer alternativen Ausführungsform wird bei Betätigung bzw. Aktivierung der als Zustimmschalter fungierenden Sensoreinrichtung 10 nicht die Datenübertragung unterbrochen. Stattdessen überträgt die Sensoreinrichtung 10 weiterhin zyklisch Eingangsdaten, die nunmehr auch eine Zustandsinformation „Zustimmschalter ist aktiviert“ enthalten. Die Auswerteeinrichtung 50 und die sichere Steuerung 60 sind dann dazu ausgebildet, unter Ansprechen auf die Unterbrechung der Übertragung der von der Sensoreinrichtung 20 kommenden Daten, der zyklisch empfangenen Zustandsinformation “Zustimmschalter ist aktiviert“ und dem eingestellten Betriebsmodus „Prozessbeobachtung“ den Aktor 70 zu veranlassen, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird.
-
Nunmehr wird ein drittes Szenario betrachtet, bei dem die Sensoreinrichtung 20 einer Gruppe von Aktoren, beispielsweise den Aktoren 70 und 72 zugeordnet worden ist. Hierzu wird in der Speichereinrichtung 31 neben der eindeutigen Systeminformation, welche eine systemweit eindeutige Adresse sein kann, auch eine Sicherheitsidentifikation Safety ID2 gespeichert. Die Sicherheitsidentifikation Safety ID2 signalisiert der Auswerteeinrichtung 50, dass die Sensoreinrichtung 20 den beiden Aktoren 70 und 72 zugeordnet ist und dass beide Aktoren 70 und 72 eine bestimmte sicherheitsgerichtete Aktion ausführen sollen, wenn von der Sensoreinrichtung 20 keine Daten mehr empfangen werden, oder die mit den Eingangsdaten übertragene Zusatzinformation nicht mehr in vorgegebener Weise zyklisch verändert wird, oder eine fehlerhafte Datenübertragung erkannt worden ist. Wird einer dieser drei Fälle erkannt, veranlassen die Auswerteeinrichtung 50 und die sichere Steuerung 60 die Aktoren 70 und 72, die zugeordnete sicherheitsgerichtet Aktion auszuführen. Zum Beispiel schaltet der Aktor 70 die Drehmaschine ab, während der Aktor 72 die Bohrmaschine abschaltet.
-
Das sicherheitsgerichtete Steuerungssystem kann somit auch dazu genutzt werden, das Anschalten und Abschalten von Teilsystemen zu erkennen.
-
Angemerkt sei, dass dieser Betrieb auch mit mehreren sicherheitsbezogenen Sensoreinrichtungen, denen jeweils verschiedene Gruppen von Aktoren zugeordnet sind, von der Auswerteinrichtung 50 und der sicheren Steuerung 60 gesteuert werden kann. Auf diese Weise lassen sich autarke Sicherheitsinseln betreiben.
-
4 zeigt ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem 5´, das sich insbesondere dadurch von dem in 3 dargestellten sicherheitsgerichteten Steuerungssystem 5 unterscheidet, dass eine zentrale sichere Steuerung 80 als Datenverarbeitungseinrichtung fungiert, welche an ein Kommunikationsnetzwerk 150, beispielsweise einen Feldbus oder ein Ethernet basiertes Netzwerk angeschlossen ist. An das Kommunikationsnetzwerk 150 sind wenigstens eine sicherheitsbezogene Sensoreinrichtung 10, wenigstens eine sicherheitsbezogene Sensoreinrichtung 20 sowie wenigstens zwei sichere Aktoren 90 und 92 angeschlossen. Selbstverständlich können an das Kommunikationsnetzwerk 150 auch nur sicherheitsbezogene Sensoreinrichtungen 10 gemäß der in 1 gezeigten Variante oder nur sicherheitsbezogene Sensoreinrichtungen 20 gemäß der in 2 gezeigten Variante angeschlossen werden.
-
Angenommen sei wiederum, dass vor Inbetriebnahme des Steuerungssystems 5’ in der Speichereinrichtung 12 eine systemweit eindeutige Adresse der Sensoreinrichtung 10 und in der Speichereinrichtung 31 eine systemweit eindeutige Adresse der Sensoreinrichtung 20 abgelegt worden ist.
-
Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 90 und die Sensoreinrichtung 20 dem Aktor 92 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 90 und 92 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 90 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass in der als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Steuerung 80 die entsprechenden Zuordnungen programmiert werden müssen, wie dies hinsichtlich der Auswerteeinrichtung 50 bereits erläutert worden ist. Die Programmierung der Steuerung 80 kann über eine Kommunikationsschnittstelle 82 erfolgen.
-
Die Zuordnung kann beispielsweise dadurch realisiert werden, dass in der sicheren Steuerung 80 die Adresse der Sensoreinrichtung 10 einer Adresse des Aktors 90 und die Adresse der Sensoreinrichtung 20 einer Adresse des Aktors 92 zugeordnet wird.
-
Die sichere Steuerung 80 ist ähnlich der Auswerteeinrichtung 50 und sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 150 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 90 und/oder 92 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen. Im Unterschied zum Steuerungssystem 5 müssen die Sensoreinrichtungen 10 und 20 die Adresse der zentralen sicheren Steuerung 80 kennen, um Daten dorthin übertragen zu können. Die Adresse der Steuerung 80 wird dann als Zieladresse in jedes zu versendende Telegramm eingefügt. In ähnlicher Weise muss die sichere Steuerung 80 die Adressen der Aktoren 90 und 92 kennen, um Ausgangssignale gezielt zu den Aktoren 90 und 92 übertragen zu können. Im fehlerfreien Betrieb einer sicherheitsbezogenen Sensoreinrichtung kann die sichere Steuerung 80 dem jeweiligen Aktor signalisieren, dass er keine sicherheitsgerichtete Aktion ausführen soll.
-
Vorteilhafterweise ist die sichere Steuerung 80 dazu ausgebildet, Eingangsdaten von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der sicheren Steuerung 80 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
-
Gemäß einem Ausführungsbeispiel sei vereinfachend angenommen, dass lediglich die sicherheitsgerichtete Sensoreinrichtung 20 an das Kommunikationsnetzwerk 150 angeschlossen ist und im Speicher 32 eine Sicherheitsidentifikation Safety ID2 gespeichert ist, welche signalisiert, dass die Sensoreinrichtung 20 den beiden Aktoren 90 und 92 zugeordnet ist. Eine solche Gruppenzuordnung ist vorteilhaft, wenn zum Beispiel mit einer einzigen Schutztür zwei Maschinen oder Maschinenteile, zum Beispiel eine Drehmaschine und eine Bohrmaschine gesichert werden sollen.
-
Wird nunmehr die Schutztür geöffnet, wird die NFC-Übertragung zwischen der Betätigungseinrichtung 30 und der Leseeinrichtung 40 und somit die zyklische Datenübertragung zu sicheren Steuerung 80 unterbrochen. Unter Ansprechen hierauf und dem Wissen, dass die Sensoreinrichtung 20 den Aktoren 90 und 92 zugeordnet ist, überträgt die sichere Steuerung 80 entsprechende Ausgangssignale über das Kommunikationsnetzwerk 150 zu den Aktoren 90 und 92, die unter Ansprechen auf die an sie gerichteten Ausgangssignale die Drehmaschine bzw. die Bohrmaschine abschalten.
-
In 5 ist ein weiteres beispielhaftes sicherheitsgerichtetes Steuerungssystem 5’’ dargestellt, welches sich insbesondere dadurch von dem in 4 gezeigten sicherheitsgerichteten Steuerungssystem 5’ unterscheidet, dass an Stelle der zentralen sicheren Steuerung 80 eine sichere Auswerteeinrichtung 100 als sicherheitsbezogene Datenverarbeitungseinrichtung verwendet wird.
-
Wenigstens eine sicherheitsbezogene Steuereinrichtung 10 und wenigstens eine sicherheitsbezogene Sensoreinrichtung 20 sind über ein erstes Kommunikationsnetzwerk 160 mit Eingängen der sicheren Auswerteeinrichtung 100 verbunden.
-
Die sichere Auswerteeinrichtung 100 weist mehrere sichere Ausgänge 105 auf, die jeweils über einen Ausgangskanal mit einem Aktor verbunden sind. Die Ausgangskanäle können als ein zweites Kommunikationsnetzwerk 200 betrachtet werden. Im vorliegenden Beispiel sind lediglich zwei Aktoren 110 und 112 angeschlossen.
-
Angenommen sei wiederum, dass vor Inbetriebnahme des Steuerungssystems 5’’ in der Speichereinrichtung 12 eine systemweit eindeutige Adresse der Sensoreinrichtung 10 und in der Speichereinrichtung 31 eine systemweit eindeutige Adresse der Sensoreinrichtung 20 abgelegt worden ist.
-
Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 110 und die Sensoreinrichtung 20 dem Aktor 112 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 110 und 112 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 110 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass in der als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Auswerteeinrichtung 100 die entsprechenden Zuordnungen programmiert werden müssen, wie dies hinsichtlich der Auswerteeinrichtung 50 bereits erläutert worden ist. Die Programmierung der Auswerteeinrichtung 100 kann über eine Kommunikationsschnittstelle 102 erfolgen.
-
Die Zuordnung kann beispielsweise dadurch realisiert werden, dass in der sicheren Auswerteeinrichtung 100 die Adresse der Sensoreinrichtung 10 einer Adresse des Aktors 110 und die Adresse der Sensoreinrichtung 20 einer Adresse des Aktors 112 zugeordnet wird.
-
Die sichere Auswerteeinrichtung 100 ist ähnlich der Auswerteeinrichtung 50 und der sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von den sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 160 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 110 und/oder 112 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen.
-
In 6 ist ein weiteres beispielhaftes Steuerungssystem 5’’’ gezeigt, bei welchem wenigstens eine sicherheitsbezogene Sensoreinrichtung 10 und wenigstens eine Sensoreinrichtung 20 an ein Kommunikationsnetzwerk 170 angeschlossen sind. An das Kommunikationsnetzwerk 170 sind beispielsweise zwei sichere Aktoren 180 und 190 geschaltet. Jeder sichere Aktor 180 und 190 enthält eine Datenverarbeitungseinrichtung, die als sichere Auswerteeinrichtung 185 bzw. als sicher Auswerteeinrichtung 195 ausgebildet ist. Jede sichere Auswerteeinrichtung 185, 195 ist dazu ausgebildet, beispielsweise die in 7 dargestellten Datentelegramme, welche von den sicherheitsbezogenen Sensoreinrichtungen 10 und 120 im fehlerfreien Betrieb zyklisch übertragen werden, zu empfangen, zu verarbeiten und dann gegebenenfalls die entsprechenden Steuersignale für die sicheren Aktoren zu erzeugen. Vorteilhafterweise ist jede Auswerteeinrichtung 185 und 195 dazu ausgebildet, Eingangsdaten von der wenigstens einen sicherheitsbezogenen Sensoreinrichtung sicher zu empfangen und sicher zu verarbeiten. Mit dem Adverb „sicher“ soll beispielsweise ausgedrückt werden, dass Eingangsdaten beispielsweise einer mehrkanaligen Eingangsstufe der jeweiligen Auswerteeinrichtung 185, 195 zugeführt und dann von einer mehrkanaligen Verarbeitungseinrichtung, die beispielsweise mehrere parallel arbeitende Mikrocontroller aufweist, ausgewertet bzw. verarbeitet werden. Insbesondere soll „sicher“ bedeuten, dass die Verarbeitung von Eingangssignalen der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 einer von mehreren Sicherheitsstufen, -kategorien, SILs oder Performance-Leveln genügen.
-
Je nach Implementierung kann zum Beispiel die Sensoreinrichtung 10 dem Aktor 180 und die Sensoreinrichtung 20 dem Aktor 190 zugeordnet sein; oder die Sensoreinrichtung 20 kann einer bestimmten Gruppe, welche zum Beispiel die Aktoren 180 und 190 umfasst, zugeordnet sein, oder es können die Sensoreinrichtungen 10 und 20 zum Beispiel dem Aktor 180 zugeordnet sein. Diese Szenarien wurden ausführlich in Verbindung mit der 3 erläutert und bedürfen somit an dieser Stelle keiner Wiederholung. Angemerkt sei lediglich, dass jede als sicherheitsbezogene Datenverarbeitungseinrichtung fungierenden sicheren Auswerteeinrichtung 185 und 195 wissen muss, welche Sensoreinrichtung oder welche Sensoreinrichtungen ihr zugeordnet sind. Um zum Beispiel Telegramme von der Sensoreinrichtung 10 empfangen und identifizieren zu können, kann in der sicheren Auswerteeinrichtung 185 die im Speicher 12 gespeicherte Sicherheitsidentifikation und/oder die eindeutige Adresse verwendet werden, welche dann in den Telegrammen mit geschickt werden. Die entsprechende Programmierung der Auswerteeinrichtung 185 kann über eine Kommunikationsschnittstelle 182 erfolgen, während die entsprechende Programmierung der sicheren Auswerteeinrichtung 195 über eine Kommunikationsschnittstelle 192 erfolgen kann.
-
Die sichere Auswerteeinrichtungen 185 und 195 sind jeweils ähnlich der Auswerteeinrichtung 50 und der sicheren Steuerung 60 dazu ausgebildet, Eingangsdaten, welche zum Beispiel in Form von Telegramme von wenigstens einer der sicherheitsbezogenen Sensoreinrichtungen 10 und 20 übertragen werden, über das Kommunikationsnetzwerk 170 zu empfangen, zu verarbeiten, um eine fehlerhafte Zusatzinformation, welche jeweils von den Sensoreinrichtungen 10 und 20 im fehlerfreien Betrieb zyklisch in vorbestimmter Weise verändert wird, oder optional eine Unterbrechung der Datenübertragung oder optional eine fehlerhafte Datenübertragung zu erkennen, um dann den jeweiligen Aktor 180 bzw. 190 zu veranlassen, die der Sensoreinrichtung 10 bzw. 20 zugeordnete sicherheitsgerichtete Aktion auszuführen.
-
Einen definierten Systemzustand, wie zum Beispiel die Betriebsart „Prozessbeobachtung“, erkennt die jeweilige sichere Auswerteeinrichtung 185, 195 anhand einer speziellen Information, welche zum Beispiel im Feld „Zustandsinformation“ eines jeden Eingangsdaten-Telegramms übertragen werden kann. Alternativ kann die Betriebsart „Prozessbeobachtung“ auch über die Kommunikationsschnittstellen 182 und 192 der Auswerteeinrichtung 185 bzw. 195 aktiviert werden.
-
Es sei nunmehr ein Szenario angenommen ist, nach dem der sicherheitsbezogenen Sensoreinrichtung 10 dem Aktor 180 und die sicherheitsbezogene Sensoreinrichtung 20 dem Aktor 190 zugeordnet wurde. Um diese Zuordnung zu realisieren, kann im Aktor 180 sowohl die Adresse der sicherheitsbezogenen Sensoreinrichtung 10 als auch ein Information gespeichert werden, die der sicheren Auswerteeinrichtung 185 mitteilt, welche sicherheitsgerichtete Aktion im Bedarfsfall ausgeführt werden soll. In ähnlicher Weise kann im Aktor 190 sowohl die Adresse der sicherheitsbezogenen Sensoreinrichtung 20 als auch ein Information gespeichert werden, die der sicheren Auswerteeinrichtung 195 mitteilt, welche sicherheitsgerichtete Aktion im Bedarfsfall ausgeführt werden soll.
-
Angenommen sei nunmehr, dass die Schutztür der Drehmaschine geöffnet worden ist. Unter Ansprechen hierauf unterbricht die Sensoreinrichtung 10 die zyklische Datenübertragung. Die Unterbrechung der Datenübertragung wird von der sicheren Auswerteeinrichtung 185 erkannt, die daraufhin den Aktor 180 veranlasst, die vorbestimmte sicherheitsgerichtete Aktion, nämlich das Abschalten der Drehmaschine, auszuführen. In der gleichen Weise arbeitet die sichere Auswerteeinrichtung 195, wenn die Sensoreinrichtung 20 die zyklische Datenübertragung unterbricht.
-
Nunmehr sei ein Szenario angenommen, nach dem die beiden Sensoreinrichtungen 10 und 20 dem Aktor 180 zugeordnet worden sind, und die Sensoreinrichtung 10 als Zustimmschalter fungiert. Zudem sei in der Auswerteeinrichtung 185 die Betriebsart „Prozessbeobachtung“ aktiviert worden. Ferner weiß die sichere Auswerteeinrichtung 185, dass der Sensoreinrichtung 20 eine erste sicherheitsgerichtete Aktion zugeordnet ist, welche bei Ausführung durch den Aktor 180 die Drehmaschine abschaltet, und dass der Sensoreinrichtung 10 eine zweite sicherheitsgerichtete Aktion zugeordnet worden ist, die bei Ausführung durch den Aktor 180 dafür sorgt, dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird. Wird nunmehr die Schutztür geöffnet und der Zustimmschalter 10 gedrückt, werden keine Telegramme mehr von den Sensoreinrichtungen 10 und 20 zum Aktor 180 übertragen. Unter Ansprechen auf die unterbrochene Datenübertragung und auf die aktivierte Betriebsart „Prozessbeobachtung“ veranlasst die sichere Auswerteeinrichtung 185 den Aktor 180, die zweite sicherheitsgerichtete Aktion auszuführen, so dass die Drehmaschine mit reduzierter Drehzahl weiter betrieben wird.
-
Der Vollständigkeit halber sei erwähnt, dass die sicherheitsgerichteten Steuerungssystemen 5’, 5’’ und 5’’’ jeweils dazu ausgebildet sind, die hinsichtlich der 3 detailliert erläuterten Szenarien bzw. Prozessabläufe entsprechend durchzuführen.
-
Bezugszeichenliste
-
- 5–5’’’
- sicherheitsgerichtetes Steuerungssystem
- 10
- sicherheitsbezogene Sensoreinrichtung, z. B. Zustimmschalter oder Positionsschalter
- 12
- Speichereinrichtung
- 14
- Steuereinheit, Mikrocontroller
- 16
- Detektor
- 18
- Netzwerkschnittstelle
- 20
- sicherheitsbezogene Sensoreinrichtung, z. B. berührungsloser Positionsschalter
- 30
- Betätigungseinrichtung
- 31
- Speichereinrichtung
- 32
- Steuereinheit, z. B. Mikrocontroller
- 33
- NFC-Chip
- 34
- Nahfeld-Kommunikationsschnittstelle, z. B. NFC-Antenne
- 35
- Generator zur Erzeugung einer laufenden Nummer
- 40
- Leseeinrichtung
- 41
- Nahfeld-Kommunikationsschnittstelle, z. B. NFC-Antenne
- 42
- NFC-Chip
- 43
- Netzwerkschnittstelle
- 45
- Detektor
- 50
- Auswerteeinrichtung
- 52
- Kommunikationsschnittstelle
- 60
- sichere Steuerung
- 61, 62
- sicherer Ausgang
- 70, 72
- Aktor
- 80
- sichere Steuerung
- 82
- Kommunikationsschnittstelle
- 90, 92
- Aktor
- 100
- sichere Auswerteeinrichtung
- 102
- Kommunikationsschnittstelle
- 105
- sichere Ausgänge
- 110, 112
- Aktor
- 120, 122
- erstes Kommunikationsnetzwerk
- 130
- zweites Kommunikationsnetzwerk
- 140
- Ausgangskanal
- 141
- Ausgangskanal
- 150
- erstes Kommunikationsnetzwerk
- 160, 162
- erstes Kommunikationsnetzwerk
- 170
- erstes Kommunikationsnetzwerk
- 180
- sicherer Aktor
- 182
- Kommunikationsschnittstelle
- 185
- sicherheitsbezogene Datenverarbeitungseinrichtung,
- 190
- sicherer Aktor
- 192
- Kommunikationsschnittstelle
- 195
- sicherheitsbezogene Datenverarbeitungseinrichtung
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- WO 98/45764 [0003]
- DE 202006000702 U1 [0005]