Die Erfindung liegt im Gebiet der Sicherheitstechnik und betrifft eine Sicherheitsschaltung zu einer SPS (Speicher Programmierbare Steuerung) gemäss Oberbegriff des Patentanspruchs 1. Die an Hand eines speziellen Ausführungsbeispiels diskutierte Steuerung findet an einer hydraulischen Presse Verwendung. Da jedoch die Sicherheitsschaltung gemäss Erfindung Funktionen zusammen mit einer SPS überwacht, ist sie nur bedingt von einer Applikation abhängig und kann im Zusammenhang mit einer SPS auch in anderen Applikationen Anwendung finden und zwar überall dort, wo hohe Sicherheitsnormen massgeblich sind.
Sicherheitstechnik ist ein umfassender Begriff bei dem es letztlich um die Sicherheit einer oder mehrerer gewünschter Funktionen geht. Um der vorliegenden Sache beziehen sich die Sicherheitsmerkmale auf die Unfallverhütung, die an sich praktisch in jedem Industrieland sehr streng reglementiert ist. Reglemente bedeuten Einschränkung und daraus entstehen Sachzwänge. In den Sicherheitsregeln für Steuerungen an kraftbetriebenen Pressen der Metallbearbeitung (bspw. herausgegeben vom deutschen Hauptverband der gewerblichen Berufsgenossenschaften, Zentralstelle für Unfallverhütung und Arbeitsmedizin, Nr. ZH 1/457, Ausg. 2.1978) wird unter Selbstüberwachung bspw. ausgeführt: "Schütze und Relais können z.B. versagen, wenn sie auf Steuerbefehle (Erregen und Entregen) nicht ansprechen oder nicht rückfallen.
Zur Erfüllung der Forderung müssen die Kontakte von Schützen und Relais "zwangsgeführt" sein. "Zwangsführung" ist dann gegeben, wenn die Kontakte mechanisch so miteinander verbunden sind, dass stets \ffner und Schliesser nicht gleichzeitig geschlossen sein können. Dabei muss auch sichergestellt sein, dass über die gesamte Lebensdauer auch bei gestörtem Zustand Kontaktabstände von mindestens 0,5 mm vorhanden sind."
Im Zusammenhang mit Halbleiter-Schaltelementen wird in der gleichen Schrift festgestellt: "Störungen an diskreten elektronischen Bauelementen (Transistor, Diode, Kondensator, Widerstand) und integrierten logischen Bauelementen können z.B. dadurch auftreten, dass
- Eingangssignale nicht sicher entkoppelt sind,
- Ausgangssignale ohne entsprechende Eingangssignale anstehen,
- Bauelemente unterbrochen oder in sich kurzgeschlossen sind,
- Fremdeinflüsse wirksam sind ... "
Im Gegensatz zu den mechanischen Schaltelementen werden bei den elektronischen Schaltelementen keine Angaben zur Erfüllung der Sicherheitsforderung gemacht, es wird lediglich festgestellt, wie Störungen auftreten können.
Die massgeblichen Zulassungsbehörden stellen sich zudem auf ihren eigenen Sicherheitsstandpunkt und lassen, so die Wahl besteht, nur das aus der Erfahrung bekannte Sicherheitselement, trotz seiner, allerdings bekannten Störanfälligkeit (das ist das vertretbare Restrisiko) zu und lehnen das neue und unbekannte, unter Umständen sogar bessere Sicherheitselement ab. Dies ist nicht unberechtigt, bedeutet aber je nachdem einen enormen Sachzwang, dem man am besten mit erfinderischem Denken begegnet.
Moderne Maschinen sind auf hohe Leistung ausgelegt. Das heisst, möglichst hohe Kadenz und möglichst rund um die Uhr. Und hier versagen nun manche althergebrachten Sicherheitselemente. Bei diesen Belastungen können sie unter Umständen zu eigentlichen Unsicherheitselementen werden.
Ein Beispiel: Bei den oben erwähnten Relais ist die Lebensdauer durch die Anzahl Schaltspiele begrenzt. In modernen Maschinen, die nota bene so sicher sein sollen, wie ihre weniger modernen Vorgänger, kommt im Hochleistungsbetrieb so ein mechanisches Schaltelement mit in der Regel von einer Lebensdauer von 10<7> Schaltspielen sehr bald an die Grenze seiner Lebensdauer, bei einer Kadenz von einer Sekunde sind das lediglich 115 Tage. Der gestörte Betrieb ist somit abzusehen und die Forderung des Kontaktabstandes kann kaum systematisch erfüllt werden. Es liegt auf der Hand, dass mechanische Schaltrelais unerwünscht oft im Risikobereich arbeiten. Dieses bekannte Schaltelement ist für einen solchen Betrieb weder ausgelegt noch geeignet.
Und doch halten die Zulassungs-Behörden am mechanischen Relais als Sicherheitselement "Schalter" fest und vertrauen auf das schon bekannte kalkulierbare Risiko.
Elektronische Schaltelemente, die erheblich besser geeignet wären, erfüllen, als Element per se, die Sicherheitsvorschriften nicht und es ist den Vorschriften auch nicht zu entnehmen, wie den darin aufgezählten Störungen begegnet werden kann. Dies ganz im Gegensatz zu den Relais. Dass die Zulassungsbehörde solchen Bau-Elementen nicht traut, ist aber nur solange verständlich, wie Lösungen zur Erfüllung der rigorosen Sicherheitsmassnahmen fehlen.
Eine solche Sicherheitsmassnahme, die die Vorteile eines mechanischen Schaltelementes, aber nicht deren Nachteile, aufweist, anzugeben, ist Aufgabe der Erfindung. Sie wird durch die in den Patentansprüchen angegebene Massnahme gelöst.
Anhand eines Ausführungsbeispieles an einer hydraulischen Presse wird diese Massnahme mit Hilfe der nachfolgend aufgeführten Figuren nun eingehend diskutiert.
Fig. 1 zeigt in schematischer Darstellungsweise das übergeordnete Prinzip der SPS-Überwachung.
Fig. 2 zeigt in schematischer Darstellungsweise das übergeordnete Prinzip in Form von Funktionskanälen mit oder ohne Vernetzung.
Fig. 3 zeigt teilweise eine beschaltete SPS mit Eingriffspunkten der Sicherheitsschaltung, hier mit Aussenbeschaltung zur Steuerung einer hydraulischen Presse.
Fig. 4 zeigt in Blockschaltung ein Schaltungsbeispiel für eine diversitäre Sicherheitsschaltung unter Einbezug der gemäss Fig. 3 beschalteten SPS.
Zur Überwachung von Funktionen, hier solche an einer hydraulischen Presse, wird eine SPS eingesetzt. Eine SPS, das ist eine Schaltung, die fähig ist, ein Programm abzuarbeiten, eignet sich vorzüglich zur Steuerung von Funktionen deshalb, weil schon im Programmablauf Sicherheitsmerkmale, die nicht die Komponentensicherheit betreffen, gleichsam mit eingebracht werden können. Andererseits hat die SPS auch die Fähigkeit der Rückwirkung auf eine Sicherheitsschaltung, so dass bei einer Selbstüberwachung die Komponente nicht nur ihre inhärente Sicherheit aufweist, sondern zudem noch von der überwachten Schaltung rücküberwacht wird, weil dies in eine SPS einprogrammierbar ist. Diese Rückübewachung geschieht in Wechselwirkung Komponente-Funktion-SPS und kann auf diese Weise zur Erhöhung des Standards mit beitragen.
Dazu ist zu einer SPS noch folgendes zu sagen (aus dem Entwurf der VDI-Richtlinien, VDI 2880): "Beim Einsatz von SPS für Sicherheitsaufgaben sind die Wege zur Erzielung einer ausreichenden Sicherheit die gleichen wie bei den herkömmlichen Sicherheitstechniken. Hierzu gehören beispielsweise Redundanzen, fehlersichere Schaltungstechniken, Auswahlschaltungen und übergeordnete mechanische Verriegelungen. Darüber hinaus können die typischen Eigenschaften und Möglichkeiten programmierbarer Systeme genutzt werden, um durch Kontrollroutinen und Prüfprogramme die Sicherheit zu erhöhen. Es ist nicht möglich, für die unterschiedlichsten Anwendungen allgemeingültige Lösungen anzugeben. Hinzu kommt, dass viele grundlegende Fragen zum Sicherheitsnachweis bei der Hard- und Software derzeit noch nicht ausreichend beantwortet werden können."
Zu den allgemein anerkannten Lösungen gilt unter anderem folgende: Ausgangssignale der SPS mit Sicherheitsfunktion werden über zusätzliche Steuereinrichtungen geführt, die die eigentliche Sicherheitsfunktion übernehmen. So kann verhindert werden, dass gefährliche Fehlinformationen an den Ausgängen der SPS auf die Hauptsteuerorgane durchgreifen können.
Bei SPS können zur Erhöhung der Sicherheit gleichartige oder diversitäre Redundanzen verwendet werden. Vorgeschlagen sind zwei Kanäle und ein nachfolgender Vergleicher, der die gefährliche Funktion nur dann frei gibt, wenn die beiden Kanäle (ob gleichartig oder diversitär) den gleichen "Wert" angeben. In der Regel bezieht sich das auf die Software.
Im hier diskutierten Fall wird der Weg der diversitären Redundanz in Kombination mit einer übergeordneten Schaltung gegangen.
In Fig. 1 wird versucht, rein schematisch den eben diskutierten Zusammenhang aufzuzeigen. Eine SPS steuert an einer Anlage (Maschine etc.) eine Anzahl Funktionen. Die Funktionen F1 bis Fm werden als gefährliche Funktionen überwacht, die Funktionen Fm+1 bis Fn werden als nicht gefährliche Funktionen nicht überwacht. Die Sicherheitsschaltung besteht aus einem Basisteil B (Mutterprint für gemeinsame Funktionen) und einem Diversitätsteil D mit den Kanälen D1 für F1 bis Dm für Fm. Die einzelnen Kanäle weisen eine unabhängige Logik, für die Funktionen F1/F2 bspw. L2 und L3 auf, die ihrerseits mit der Logik L1 der SPS in Beziehung stehen. Die Verknüpfung (L1, L2, L3) ist in einem Mengendiagramm dargestellt, um zu zeigen, wie eine dreikanalig diversitäre Steuerung, bildlich gesehen, auch noch aufgefasst werden kann.
Die beiden Ebenen D und B werden im Zusammenhang mit den Fig. 3 und 4 eingehender diskutiert.
Gemäss der Verhaltens- und Fehlerliste der diskutierten hydraulischen Steuerung gilt folgendes: Bei Steuerungen von kraftbetriebenen Pressen der Metallbearbeitung steht die Schliessbewegung im Mittelpunkt. Diese Funktion ist eine gefährliche Funktion und muss überwacht werden. Bei geringster Betriebsstörung muss sie selbsttätig stillgelegt werden, dies geschieht bspw. durch Ausschalten der ganzen Maschine. Zur Funktionsüberwachung der Schliessbewegung, die durch die SPS gesteuert wird, kann eine Sicherheitsschaltung an deren Steuerung partizipieren und, wenn notwendig, funktionell und massgeblich eingreifen. Eine weitere Funktion, die überwacht werden muss, ist die Ausschaltfunktion, die, wenn sie nicht korrekt durchgeführt werden kann, bspw. bei Kontakthängern, gefährlich ist.
Das heisst, dass in diesem Falle zwei Funktionen diversitär in der Steuerung des SPS mitbeeinflusst werden sollen. Gemäss Fig. 1 bilden F1 (Schalter), F2 (Ventil) und SPS zusammen drei Kanäle mit prinzipverschiedener Redundanz.
Fig. 2 zeigt eine dreikanalig Sicherheitsschaltung mit den Funktionen F1, F2 und F3, die mit der Logik L1, L2 und L3 der SPS in Beziehung stehen, wobei einer der Kanäle, bspw. der Kanal, der die Funktion F1 überträgt, die SPS selber ist. Jede dieser Funktionen F1 bis F3 ist sicherheitsrelevant wobei bspw. zwei Funktionen durch den gleichen Typ Schaltung (einfache Redundanz) übertragen werden können, wobei dieser Typ Schaltung zur SPS diversitär ist. Im Zusammenhang mit Fig. 4 ist das direkt ersichtlich.
Die drei Kanäle können untereinander vernetzt sein oder nicht. Im Falle von Fig. 2 führen die Ausgänge zweier einfach redundanter Kanäle auf den Eingang der SPS zurück, so dass die beiden Kanäle durch die SPS überwacht und in die Steuerfunktion miteinbezogen werden können. Dies hat Vorteile, da das Funktionieren der Schaltungen, die ja nur bei Fehlbetrieb aktiv werden und über längere Zeit nicht benutzt unbemerkt ausfallen können, mitüberwacht werden kann. Fällt eine fehlerrelevante Funktion der SPS aus, so wird die Maschine stillgelegt.
Diese Form von Überwachung, jedoch ohne Rückführung, wird hier nun anhand von Fig. 3 diskutiert. Gezeigt ist eine typische SPS mit Ein- und Ausgängen, Eingänge von 400-413 und Ausgänge 430-437, sowie einem Ein- und Ausschalter (RUN, STOP). Die sicherheitsrelevanten Teile der Steuerung sind (wie schon gesagt) dreikanalig prinzipverschieden redundant (diversitär) ausgelegt, eine SPS (als Kanal zur Übertragung sicherheitsrelevanter Funktionen) und zwei entkoppelte Sicherheitsschaltungen (als Kanäle zur Übertragung sicherheitsrelevanter Funktionen) mit zwei Abschaltwegen für Motor und Ventile, letztere, weil es sich um eine hydraulische Presse handelt, deren Funktion überwacht wird.
Von den Ventilen ist das Senkventil dasjenige, das seinerseits im Mittelpunkt steht. Die zweikanalige Schaltung wirkt so, dass auch bei Handbetätigung des Senkventils (der akzidentell überwundene Kanal) der Motor alleine (der andere Kanal) den Pressstempel stillsetzen kann. Bei fehlerhafter Ansteuerung wird von der Sicherheitsschaltung ein Not-AUS bewirkt, was wie bei Betätigung des Not-AUS-Schlagtasters dazu führt, dass der Hauptschalter ausgelöst wird, auch wenn er in Stellung EIN abgeschlossen ist.
Der Normalbetrieb erfolgt (hier) über zwei Handtaster S4, S5, die innerhalb einer halben Sekunde gleichzeitig betätigt sein müssen (von der SPS überwacht), siehe die Eingriffspunkte A16, A8. Bei einem Defekt an dem Pressdruck-Sicherheitsschalter oder wenn die Zweihand-Schaltung ständig betätigt wird, ist ein erneutes Senken nicht mehr möglich. Eine automatische Nachholeinrichtung hält den Stempel auch bei Leckagen oder undichten Ventilen in oberster Stellung.
Durch die Verwendung nur einer SPS in Verbindung mit zwei entkoppelten Hardware-Sicherheitsschaltungen, ist die Redundanz 100% entkoppelt, also diversitär, wodurch eine grössere Fehlersicherheit erreicht wird, als wenn zwei SPS in üblicher Redundanz verwendet würden. Eine solche Lösung schützt wohl gegen Zufallsausfälle, nicht jedoch gegen systematische Fehler oder Störungen, die in beiden Kanälen zu gleichen Ausfällen führen können und von einer nachfolgenden Auswertung nicht erkannt werden können.
Die hier gezeigte Sicherheitsschaltung schaltet bei einem gefährlichen Zustand sofort die Pressensteuerung sowie den Hydraulikmotor ab. Das geschieht dann, wenn die Funktion "Kolben senken" ungewollt aktiviert wird oder wenn der Druckschalter nach dem Loslassen nicht ausschaltet. Die einzelnen Kanäle der Sicherheitsschaltung und die SPS reagieren bei Ausfall einer Funktion jeder für sich selber. Die Sicherheitsschaltung ist aus Sicherheitsgründen doppelt ausgeführt.
In Fig. 3, dem Schaltschema der SPS mit seiner äusseren Beschaltung, beziehen sich die Eingänge A1 bis A16 auf die Interventions- und/oder Verknüpfungsstellen der Sicherheitsschaltung. Die Gruppierung in Interventionsstellen, wie zum Beispiel A2/A10; A3/A9 (die Kanäle) und in Verknüpfungsstellen (der Basisprint), wie zum Beispiel A14 bis A16 ist schaltungstechnisch bedingt, die Zweikanaligkeit der Sicherheitsschaltung ist durch die beiden "Schaltstellen" zur Unterbrechung zweier Funktionen manifestiert. Auf dem Basisprint sind die gegenüber der SPS externen Verknüpfungen realisiert und auf dem Sicherheitsprint sind die Funktionen der Eingriffe in die durch die SPS gesteuerte Maschine realisiert. Der Interventionskanal überwacht zwei Funktionen (atypische Kolbenaktivierung und atypisches AUS).
Fig. 4 zeigt nun ein Beispiel einer Gesamtschaltung. Man erkennt im wesentlichen drei Kanäle, eine SPS im oberen Teil und zwei Überwachungsschaltungen im linken Teil der Figur. Die beiden Überwachungsschaltungen sind im wesentlichen identisch, bzw. bezüglich der Übertragung fehlerrelevanter Funktionen identisch. Sie wirken auf die Funktion "Kolben senken" und auf die Funktion "Unterspannung" und bewachen in Serieschaltung diese beiden von der SPS gesteuerten Funktionen, welche von der SPS selber auch noch überwacht sind. Die Überwachungsschaltungen 1 und 2 überwachen: die Zweihandschaltung und Signal zum Senken des Kolbens; das Ventil, welches das Senken des Kolbens auslöst; den Pressdruckschalter und greifen bei Nichtfunktion einer dieser Funktionen über elektronische Schalter (statt mechanische Relais) direkt in den Schaltzweig der SPS ein.
Mit einer Parallelführung von je zwei Schaltern und einem Umschalter (hier nicht dargestellt), kann eine SPS gesteuerte Funktionsprüfung der Schalter (bspw. vor jedem Anschalten) durchgeführt werden, sodass diese Schalter nicht unbemerkt ausfallen können. Dies wäre dann ein Vernetzungszweig zur SPS, wie in Fig. 2 prinzipiell dargestellt, die SPS würde die Umschaltung von einem zum anderen Schalter übernehmen.
So funktionieren im Prinzip die Überwachungsschaltungen, die die beiden Funktionen "Kolbenaktivierung" und "AUS" auf korrektes Funktionieren überwachen und bei atypischem Verhalten "eingreifen". Damit sind diese beiden Funktionen von zwei diversitären Schaltkreisen abhängig, von der SPS und von den Überwachungsschaltungen. Der Unterspannungsauslöser wird von S1 "Not-AUS" über einen Schalt-Transistor angesteuert. Bei einem Fehler sperrt dieser Transistor und die Pressensteuerung schaltet ab. Das Ventil Y1 "Kolben senken" wird von der SPS und einem Power-FET geschaltet. Der FET leitet, wenn am Eingang der SPS ein Befehl "Kolben senken" anliegt, ausser, wenn die 2-Hand-Tasten in mehr als einem Halbsekunden-Intervall betätigt werden. Diese Schaltung ist, wie gesagt, aus Sicherheitsgründen zweimal vor handen.
Dabei sind auf den beiden Prints die beiden Schalt-Transistoren und die beiden FET in Serie geschaltet. Mit Hilfe eines Pull-Up-Widerstandes kann die SPS die richtige Funktion des FET kontrollieren. Bei einem Fehler, bspw. der FET leitet dauernd, kann man bspw. eine Error-Lampe aufleuchten lassen, zusätzlich muss natürlich die Steuerung intern gesperrt werden.
The invention is in the field of safety technology and relates to a safety circuit for a PLC (programmable logic controller) according to the preamble of claim 1. The control discussed using a special embodiment is used on a hydraulic press. However, since the safety circuit according to the invention monitors functions together with a PLC, it is only dependent on an application to a certain extent and can also be used in connection with a PLC in other applications, wherever high safety standards are relevant.
Security technology is a comprehensive term that ultimately refers to the security of one or more desired functions. In relation to the present case, the safety features relate to accident prevention, which is strictly regulated in practically every industrial country. Regulations mean restrictions and this results in constraints. In the safety rules for controls on power-operated presses in metalworking (for example, published by the German Federation of Commercial Professional Associations, Central Office for Accident Prevention and Occupational Medicine, No. ZH 1/457, Issue 2.1978), self-monitoring states, for example: "Contactors and relays can eg fail if they do not respond to control commands (excitation and de-excitation) or do not relapse.
To meet the requirement, the contacts of contactors and relays must be "positively driven". "Forced operation" is given when the contacts are mechanically connected to one another in such a way that the opener and closer cannot always be closed at the same time. It must also be ensured that there are contact distances of at least 0.5 mm over the entire service life even in the event of a fault. "
In connection with semiconductor switching elements, the same document states: "Disruptions to discrete electronic components (transistor, diode, capacitor, resistor) and integrated logic components can occur, for example, in that
- input signals are not safely decoupled,
- output signals are pending without corresponding input signals,
- components are interrupted or short-circuited,
- external influences are effective ... "
In contrast to the mechanical switching elements, no information is given on the electronic switching elements to meet the safety requirement, it is only determined how faults can occur.
The relevant licensing authorities also take their own security standpoint and, depending on the choice, only allow the security element known from experience, in spite of its, however, known susceptibility to faults (this is the justifiable residual risk) and even reject the new and unknown, under certain circumstances better security element. This is not unjustified, but depending on the case, it means an enormous constraint that can best be countered with inventive thinking.
Modern machines are designed for high performance. That means high cadence and around the clock if possible. And here some traditional security elements fail. Under these loads, they can become actual elements of uncertainty.
An example: With the relays mentioned above, the service life is limited by the number of switching cycles. In modern machines, which should nota bene be as safe as their less modern predecessors, such a mechanical switching element with a service life of 10 <7> switching cycles will soon reach the limit of its service life, with a cadence of in a second, that's just 115 days. The disrupted operation is therefore foreseeable and the requirement of the contact distance can hardly be met systematically. It is obvious that mechanical switching relays work undesirably often in the risk area. This known switching element is neither designed nor suitable for such operation.
And yet the approval authorities are sticking to the mechanical relay as a "switch" security element and relying on the known, calculable risk.
Electronic switching elements, which would be considerably more suitable, than element per se, do not meet the safety regulations and it is also not clear from the regulations how the faults listed therein can be countered. This is in complete contrast to the relays. The fact that the approval authority does not trust such construction elements is only understandable as long as solutions to meet the rigorous safety measures are lacking.
To provide such a safety measure, which has the advantages of a mechanical switching element, but not the disadvantages, is the object of the invention. It is solved by the measure specified in the claims.
Using an exemplary embodiment on a hydraulic press, this measure is now discussed in detail with the aid of the figures listed below.
1 shows a schematic representation of the higher-level principle of PLC monitoring.
2 shows a schematic representation of the overriding principle in the form of functional channels with or without networking.
Fig. 3 partially shows a connected PLC with points of intervention of the safety circuit, here with external circuit for controlling a hydraulic press.
FIG. 4 shows in block circuit a circuit example for a diverse safety circuit including the PLC connected according to FIG. 3.
A PLC is used to monitor functions, here those on a hydraulic press. A PLC, which is a circuit that is capable of executing a program, is particularly suitable for controlling functions because safety features that do not affect component safety can be incorporated as it were during the program run. On the other hand, the PLC also has the ability to react to a safety circuit, so that during self-monitoring, the component not only has its inherent safety, but is also back-monitored by the monitored circuit, because this can be programmed into a PLC. This back-monitoring takes place in interaction between component-function-PLC and can thus contribute to raising the standard.
The following should also be said about a PLC (from the draft of the VDI guidelines, VDI 2880): "When using PLCs for safety tasks, the ways to achieve sufficient safety are the same as with conventional safety technologies. These include, for example, redundancies, fail-safe circuit technologies, selection circuits and higher-level mechanical interlocks. In addition, the typical properties and possibilities of programmable systems can be used to increase safety through control routines and test programs. It is not possible to provide general solutions for the most varied of applications. In addition, many fundamental questions regarding the security verification of hardware and software cannot yet be adequately answered. "
The following applies to the generally recognized solutions, among others: Output signals of the PLC with safety function are routed via additional control devices that take over the actual safety function. This can prevent dangerous misinformation from reaching the main control units at the outputs of the PLC.
Similar or diverse redundancies can be used with PLC to increase security. Two channels and a subsequent comparator are proposed, which only release the dangerous function if the two channels (whether similar or diversified) indicate the same "value". As a rule, this refers to the software.
In the case discussed here, the path of diverse redundancy is used in combination with a higher-level circuit.
In Fig. 1 an attempt is made to show the relationship just discussed purely schematically. A PLC controls a number of functions on a system (machine etc.). The functions F1 to Fm are monitored as dangerous functions, the functions Fm + 1 to Fn are not monitored as non-dangerous functions. The safety circuit consists of a base part B (motherboard for common functions) and a diversity part D with the channels D1 for F1 to Dm for Fm. The individual channels have an independent logic, for the functions F1 / F2, for example L2 and L3, which are in turn related to the logic L1 of the PLC. The link (L1, L2, L3) is shown in a quantity diagram to show how a three-channel, diversified control can, figuratively speaking, also be understood.
The two levels D and B are discussed in more detail in connection with FIGS. 3 and 4.
According to the behavior and error list of the hydraulic control system discussed, the following applies: For control systems of power-operated presses in metalworking, the focus is on the closing movement. This function is a dangerous function and must be monitored. In the event of the slightest malfunction, it must be shut down automatically, for example by switching off the entire machine. To monitor the function of the closing movement, which is controlled by the PLC, a safety circuit can participate in its control and, if necessary, intervene functionally and significantly. Another function that must be monitored is the switch-off function, which, if it cannot be carried out correctly, for example with contact hangers, is dangerous.
This means that in this case two functions should be influenced diversely in the control of the PLC. 1, F1 (switch), F2 (valve) and PLC together form three channels with different redundancy in principle.
Fig. 2 shows a three-channel safety circuit with the functions F1, F2 and F3, which are related to the logic L1, L2 and L3 of the PLC, one of the channels, for example the channel which transmits the function F1, the PLC itself is. Each of these functions F1 to F3 is safety-relevant, for example two functions can be transmitted by the same type of circuit (simple redundancy), this type of circuit being diverse to the PLC. This can be seen directly in connection with FIG. 4.
The three channels may or may not be networked with each other. In the case of FIG. 2, the outputs of two simply redundant channels lead back to the input of the PLC, so that the two channels can be monitored by the PLC and included in the control function. This has advantages, since the functioning of the circuits, which are only active in the event of malfunction and which cannot go unnoticed over a long period of time, can also be monitored. If an error-relevant function of the PLC fails, the machine is shut down.
This form of monitoring, but without feedback, is now discussed here with reference to FIG. 3. A typical PLC with inputs and outputs, inputs from 400-413 and outputs 430-437, as well as an on and off switch (RUN, STOP) is shown. As already mentioned, the safety-relevant parts of the control are designed with three different redundancies (diverse), a PLC (as a channel for the transmission of safety-relevant functions) and two decoupled safety circuits (as channels for the transmission of safety-related functions) with two shutdown paths for the motor and valves, the latter because it is a hydraulic press whose function is monitored.
Of the valves, the lowering valve is the one that is itself the focus. The two-channel circuit works in such a way that even when the lowering valve is actuated manually (the accidentally overcome channel), the motor alone (the other channel) can stop the press ram. In the event of incorrect activation, the safety circuit causes an emergency stop, which, like when the emergency stop push button is pressed, triggers the main switch even if it is closed in the ON position.
Normal operation takes place (here) via two hand switches S4, S5, which must be pressed simultaneously within half a second (monitored by the PLC), see the intervention points A16, A8. If the press pressure safety switch is defective or if the two-hand control is operated continuously, lowering is no longer possible. An automatic catch-up device keeps the punch in the top position even in the event of leaks or leaky valves.
By using only one PLC in conjunction with two decoupled hardware safety circuits, the redundancy is 100% decoupled, i.e. diversified, which means greater error safety than if two PLCs were used in the usual redundancy. Such a solution protects against accidental failures, but not against systematic errors or faults that can lead to the same failures in both channels and cannot be recognized by a subsequent evaluation.
The safety circuit shown here immediately switches off the press control and the hydraulic motor in the event of a dangerous condition. This happens if the "lower piston" function is activated unintentionally or if the pressure switch does not switch off after being released. If a function fails, the individual channels of the safety circuit and the PLC react individually for themselves. The safety circuit is duplicated for safety reasons.
In Fig. 3, the circuit diagram of the PLC with its external wiring, the inputs A1 to A16 relate to the intervention and / or linking points of the safety circuit. The grouping in intervention agencies, such as A2 / A10; A3 / A9 (the channels) and in connection points (the basic print), such as A14 to A16, is circuit-related, the two-channel nature of the safety circuit is manifested by the two "switching points" to interrupt two functions. The links to the PLC that are external to the PLC are implemented on the basic print and the functions of the interventions in the machine controlled by the PLC are implemented on the security print. The intervention channel monitors two functions (atypical piston activation and atypical OFF).
4 now shows an example of an overall circuit. There are essentially three channels, a PLC in the upper part and two monitoring circuits in the left part of the figure. The two monitoring circuits are essentially identical, or identical with regard to the transmission of error-relevant functions. They act on the "lower piston" function and on the "undervoltage" function and, in series connection, guard these two functions controlled by the PLC, which are also monitored by the PLC itself. Monitoring circuits 1 and 2 monitor: the two-hand control and signal to lower the piston; the valve that causes the piston to lower; the pressure switch and, if one of these functions does not function, directly intervene in the switching branch of the PLC via electronic switches (instead of mechanical relays).
With a parallel guidance of two switches and one changeover switch (not shown here), a PLC-controlled function test of the switches (e.g. before each switch on) can be carried out so that these switches cannot fail to go unnoticed. This would then be a network branch to the PLC, as shown in principle in FIG. 2, the PLC would switch over from one switch to the other.
In principle, this is how the monitoring circuits work, which monitor the two functions "piston activation" and "OFF" for correct functioning and "intervene" in the case of atypical behavior. These two functions are therefore dependent on two diverse circuits, the PLC and the monitoring circuits. The undervoltage release is controlled by S1 "emergency stop" via a switching transistor. In the event of an error, this transistor blocks and the press control switches off. Valve Y1 "lower piston" is switched by the PLC and a power FET. The FET conducts when there is a "lower piston" command at the input of the PLC, except when the 2-hand buttons are pressed in more than a half-second interval. As already mentioned, this circuit is used twice for safety reasons.
The two switching transistors and the two FETs are connected in series on the two prints. With the help of a pull-up resistor, the PLC can check the correct function of the FET. In the event of an error, e.g. the FET conducts continuously, an error lamp can be lit, for example, of course the control must also be locked internally.