CN106164787A - 用于安全关断电力负载的方法和装置 - Google Patents
用于安全关断电力负载的方法和装置 Download PDFInfo
- Publication number
- CN106164787A CN106164787A CN201580017302.2A CN201580017302A CN106164787A CN 106164787 A CN106164787 A CN 106164787A CN 201580017302 A CN201580017302 A CN 201580017302A CN 106164787 A CN106164787 A CN 106164787A
- Authority
- CN
- China
- Prior art keywords
- unit
- output
- signal
- processing unit
- enable signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/32—Means for saving power
- G06F1/3203—Power management, i.e. event-based initiation of a power-saving mode
- G06F1/3234—Power saving characterised by the action undertaken
- G06F1/3287—Power saving characterised by the action undertaken by switching off individual functional units in the computer system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14012—Safety integrity level, safety integrated systems, SIL, SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/10—Plc systems
- G05B2219/14—Plc safety
- G05B2219/14014—Redundant processors and I-O
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24003—Emergency stop
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24184—Redundant I-O, software comparison of both channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/26—Power supply means, e.g. regulation thereof
- G06F1/32—Means for saving power
- G06F1/3203—Power management, i.e. event-based initiation of a power-saving mode
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
一种用于安全关断电力负载(32)的方法,在该方法中,多通道控制单元(12)借助于单通道数据传输部分(22)从安全开关(例如,紧急关断件26、保护门24、光栅28)读入输入信号,并且生成借助于单通道数据传输部分(22)传送至输出单元(16)的使能信号(38)。输出单元(16)包括不同结构的两个处理单元(50、58),其中,第一处理单元(50)生成第一输出信号(63),并且第二处理单元(58)生成取决于使能信号(38)的动态时钟信号(60)。仅当第一输出信号(63)和动态时钟信号(60)两者信号都存在时,连接安全输出(52)。
Description
本发明涉及安全关断电力负载的方法以及用于该目的的相应装置。
本发明总体上涉及安全自动化领域,特别地涉及安全至上(safety-critical)过程的控制和监视。从本发明的意义上说,安全至上过程为在其期间必须确保无错误操作以避免对人或有价值的材料对象的任何风险的技术序列、关系和/或事件。特别地,这包括在机械和设备工程领域中以自动化方式进行的操作的监视和控制以便避免意外。典型的示例为冲压设备的保护、以自动化方式操作的机器人的保护或者对于技术设备的维护工作的无害状态的安全防护。
对于这样的过程,EN ISO 13839-1和EN/IEC 62061标准设定了以下等级:一方面,指定在可预见的条件下执行安全功能的控制器的安全相关部件的能力,以及另一方面,指示被分配给过程的安全功能的安全完整性。前者为所谓的性能等级(PL),其具有从a至e的等级,其中,e为最高等级。关于安全完整性的规格,指定了具有等级1至等级3的安全完整性等级(SIL),其中SIL3为最高等级。本发明涉及必须符合至少性能等级d和安全完整性等级2的安全关至上过程。
具有空间远程输入和输出(I/O)单元的控制器(其经由数据传输路径,特别是经由所谓的现场总线彼此连接)越来越多地被用于过程控制。用于记录过程数据的传感器和用于执行控制操作的致动器连接至输入和输出单元。安全技术领域中典型的传感器为紧急关断开关、防护门、双手开关、转速计或挡光板装置。例如,典型的致动器为可以用于关断被监视的设备的驱动的接触器。在这样的装置中,输入和输出单元被主要用作空间分布信号传感器和信号输出站,然而过程数据实际被处理,并且用于致动器的控制信号由例如可编程逻辑控制器(PLC)的上级控制单元来生成。
为了能够使用基于总线的系统控制安全至上过程,必须使从输入和输出单元至控制单元的数据的传输具有失效保护。特别地,必须确保在整个设备中不能出现由于所传送的过程数据丢失、重复、毁坏、插入或改变和/或由于远程输入和输出单元中的故障导致的危险状态。
DE 197 42 716 A1公开了一种系统,在该系统中借助于存在于上级控制单元和远程输入和输出单元两者中的所谓的安全相关装置来保护传输路径。这涉及例如所有信号接收、信号处理和信号输入路径的冗余设计。因此,安全关断可以由上级控制单元和远程单元两者来引发,因此使得可以确保不依赖于数据传输的具有失效保护的关断。因此,安全功能不依赖于所使用的传输技术或总线系统的结构。然而,由于输入和输出单元自身借助于安全相关装置承担控制功能,因此这些单元是复杂并且昂贵的,并且不适合于其中必须安全控制多个致动器的系统。另外,采用该方法,在批准程序的范围内必须针对远程输入和输出单元证明完全真正的具有失效保护。这因此是复杂并昂贵的。
替选方法涉及将远程输入和输出单元配置成“非具有失效保护”并且相反的采用两个通道(即,采用两个单独信号路径)来实现数据传输路径。在该情况下,具有失效保护设计的上级控制单元具有访问处理数据和执行两个通道中的必要错误检查的可能性。输入和输出单元自身在该方法中可以具有单通道设计,但是由于针对用于数据传输路径的冗余设计的每个I/O单元需要附加单独的线,因此增加了线缆的量。
替选地,关于机器安全的安全传输还可以经由使用适当协议的单通道数据传输路径来实现。该协议的一个示例为由申请人开发的用于失效保护现场总线通信的SafetyBUSp标准。SafetyBUS p技术上基于CAN现场总线系统,在该情况下,用于保护传输的附加机制被加入OSI参考系统的层2和层7中。在SafetyBUS p网络中,仅使用安全相关装置。因此,除了安全多通道控制之外,还使用了多通道输入和输出单元,其中多通道在逻辑层冗余处理从安全控制器接收的数据。
EP 1 620 768 B1描述了上述方法的中间路线,EP 1 620 768 B1公开了经由单通道传输路径从输入单元至控制单元的处理数据的多重传输。多样化传输旨在至少对于传输路径的输入信号确保失效保护读取。在该情况下,使用用于传输的可变、恒定改变关键字来编码处理数据,从而生成确定的动态处理数据,这使得可以借助于上级控制单元冗余地评估输入信号。这使得可以无需输入单元的完全冗余设计。然而,在输出侧仍然需要未经由现场总线选定线路的单独关断路径以确保不依赖于传输中错误的安全关断。因此,至少对于具有安全输出的输出仍需要附加线。
DE 199 27 635 B4公开了实现上述的中间路线的另一可能方式。因此,收听传输路径上的控制单元与远程单元之间的数据流并且被设计成执行安全相关功能的另外的安全分析器被插入用于保护具有远程输入和输出单元的控制器的目的。通过监视,安全分析器可以同时通过传感器读取所需要的数据并且可以借助于内部逻辑单元来处理所述数据。为了控制致动器的目的,安全分析器可以从控制单元重写入旨在用于致动器的数据消息,并且对于致动器插入其自身控制数据。以该方式,安全分析器可以控制所连接的致动器。然而,当使用安全分析器以便获得高安全类别时,还提供了另外的关断路径。通过被本地布置在安全分析器上的另外的安全输出来提供该另外的关断路径。因此,安全分析器被设计成在没有与远程输出单元交换控制数据的情况下能够独立地关断被监视的装置以用于该目的。这使得可以无需经由输出单元路由的另外的关断路径,因此没有减少线缆的量,更确切地,由于本地安全输出还必须经由另外的线被连接至被监视的装置而使线缆转移。
例如,在AS-i SAFETY AT WORK中已经实现了在先描述构思的安全分析器。AS接口(对于致动器/传感器接口缩写为AS-i)为用于开发成连接致动器和传感器的现场总线通信的标准,目的在于减少并行布线。安全导向型(safety-oriented)部件可以使用AS-iSAFETY AT WORK被合并在AS-i网络中。然后,安全和标准部件在同一线缆上以并行方式操作,在该情况下,附加安全监视器监视安全导向型部件。安全监视器具有用于安全导向型关断的两通道使能电路。因此,在没有安全分析器上的附加本地安全输出的情况下,采用AS-iSAFETY AT WORK,经由远程输出单元的安全关断也是不可能的。
针对该背景,目的是指定用于安全控制远程周边设备的替代方法,该方法更简单并且更有成本效率,并且可以在没有附加布线和/或附加安全导向型装置的情况下被管理。
根据本发明的一个方面,本目的是借助于用于安全关断电力负载的方法来实现,该方法包括步骤:
-提供多通道控制单元、单通道数据传输路径以及具有第一处理单元和第二处理单元并且具有安全输出的输出单元,
-由多通道控制单元接收并且评估输入信号,并且基于评估来生成使能信号,
-经由单通道数据传输路径将使能信号传送至输出单元,
-由第一处理单元接收使能信号,并且基于使能信号生成输出信号,
-由第一处理单元提供使能信号的至少一部分以由第二处理单元进行评估,
-基于使能信号由第二处理单元生成动态时钟信号,以及
-基于输出信号和动态时钟信号控制安全输出。
根据本发明的另一方面,该目的是借助于用于安全关断电力负载的装置来实现,该装置具有用于接收和评估输入信号的多通道控制单元、单通道数据传输路径以及具有第一处理单元和第二处理单元以及安全输出的输出单元,其中,多通道控制单元经由单通道数据传输路径连接至输出单元,其中,多通道控制单元被配置成基于输入信号生成使能信号,其中,单通道数据传输路径被配置成将使能信号从控制单元传送至输出单元,其中,第一处理单元被配置成基于使能信号生成输出信号,并且还至少部分地提供使能信号至第二处理单元以进行评估,其中,第二处理单元基于使能信号生成动态时钟信号,并且其中,输出单元被配置成基于输出信号和动态时钟信号控制安全输出。
根据本发明的另一方面,该目的是借助于具有第一处理单元和第二处理单元以及安全输出的输出单元来实现,第一处理单元被配置成基于使能信号生成输出信号并且还至少部分地提供使能信号至第二处理单元以进行评估,其中,第二处理单元基于使能信号生成动态时钟信号,并且其中,输出单元还被配置成基于输出信号和动态时钟信号驱动安全输出。
因此,本发明的构思是使得可以经由同样远程的输出单元从中央控制单元安全关断空间远程周边设备。在该情况下,远程输出单元经由单通道数据传输路径连接至多通道控制单元。然而不过可以在原则上对于实现另外的关断路径,不需要附加关断路径或控制单元上的本地安全输出。此外,有利的是,不需要设计具有完全多通道冗余的输出单元。更确切地,本发明提出能够适合于在由安全控制器提供的使能信号的输出单元内的信号处理的安全关断。对于此所需要的部件所强加的要求低于被设计用于完全多通道冗余的输出单元的情况。因此,根据本发明的输出单元可以以更有成本效率的方式被制造。
特别地,与具有完全互控的完全两通道输出单元相比,不存在处理单元之间任何广泛协商和同步的需要。处理单元仅处理与其相关的信息,使得两个处理单元不需要被提供有所有信息。另外,在以下情况下是足够的:如果仅一个处理单元经由数据传输路径与控制单元通信,同时第二处理单元接收来自第一处理单元的相关数据。除了对硬件部件较低的要求之外,还可以有利地简化软件结构,因此还可以采用低性能处理单元来实现高性能。
与完全两通道解决方案相比,根据本发明对软件和硬件减少的要求还有利地减少输出单元的能耗。减少的能耗以及与此相关的更低的热辐射是非常重要的,特别是对于例如IP 67的必须具有高国际保护打分(marking)的远程输出单元。
另外,根据本发明的方法有利地不需要对单通道数据传输路径的任何附加要求,使得可以使用所有公共总线系统。以这种方式,可以容易地改造或扩展现有系统。
总的来说,该新颖方法与现有解决方案相比减少了成本,这是由于安全关断可以在一开始确保所提及的高安全等级标准而不必使用冗余布线、具有本地安全输出的附加安全导向型装置或具有完全多通道冗余的输出单元。
因此,完全实现了上述目的。
在另一改进中,使能信号包括可变代码,并且第二处理单元基于可变代码生成动态时钟信号。
根据该另一改进,可变代码形式的信息的附加项经由使能信号被传送。可变代码可以优选地对可以被第二处理单元检测的至少两个状态进行编码。取决于由可变代码指示的状态,第二处理单元被配置成生成动态时钟信号。以该方式,控制单元可以有利地通知第二处理单元的独立于第一处理单元的安全输出应当采取哪个状态。
在一个特别优选的改进中,可变代码为具有指定顺序的预定代码序列的一部分。
该改进具有使能信号以单独代码的连续序列被传送的优点。在该情况下,例如,可以由递增计数器来实现顺序,其中,采用可变代码来传送递增计数器并且递增计数器指示代码序列内的布置代码的位置。代码序列的中断或顺序的改变可以由第二处理单元来检测,并且导致通过暂停动态时钟信号由第二处理单元来关断输出。以该方式,安全输出的激活可以链接至另一条件。
在另一改进中,第二处理单元基于可变代码提供动态时钟信号达预定时间段。
根据该改进,进一步增加了针对提供动态时钟信号的要求。仅当代码规律地(即,在预定间隔内)到达第二处理单元时,由第二处理单元生成动态时钟信号。以这种方式,使能信号必须被上级控制单元连续确认。如果不存在确认,则由于没有动态时钟信号被生成,输出单元关断安全输出。
不言而喻,在没有偏离本发明的范围的情况下,上述的特征和下面将说明的特征不仅可以在各所述的组合中使用,而且可以在其他组合中使用或单独使用。
在附图中图示了本发明的示例性实施方式,并且在下面的描述中更详细地说明了本发明的示例性实施方式。在附图中:
图1以框图形式示出了根据本发明的装置的示意图,
图2示出了控制单元的优选示例性实施方式的示意图,
图3示出了输出单元的优选示例性实施方式的示意图,
图4示出了用于传送使能信号的代码序列的优选实施方式的示意图,以及
图5示出了连接模块的示例性实施方式的透视图。
在图1中,根据本发明的装置的示例性实施方式整体上使用附图标记10来表示。
装置10具有控制单元12,本文中通过示例的方式将四个I/O单元14、16、18、20连接至控制单元12。例如,控制单元为失效保护PLC,如以名义本发明的申请人所销售的失效保护PLC。
I/O单元14-20空间上远离控制单元12,并且经由单通道数据传输路径22连接至后者。数据传输路径22可以是常规现场总线。就此而论,单通道表示数据传输路径22本身不具有任何冗余硬件组件,特别是不具有冗余布线,这使得可以以安全至上方式传送信号。数据传输路径22优选为基于商业上可用的以太网协议的以太网数据连接。
与多通道控制单元12相比,I/O单元14-20为具有被基本上用于接收和/或输出信号的输入和/或输出的简单单元,即,读出传感器和控制致动器。多个防护门24、紧急关断开关26以及光栅28被图示作为用于典型应用的传感器的示例。通常可以中断向被监视的机器32的电流供给的接触器30在本文中被示出为致动器。根据根据图1的示例性实施方式,为输出和输入提供分离单元。然而,与该简化的图示相比,I/O单元14-20还可以为组合的输入和输出单元。
I/O单元14-20的输入和输出状态被称为过程数据。过程数据优选地在I/O单元14-20与控制单元12之间循环地交换。在本示例性实施方式中,例如,控制单元12评估经由输入单元14、18、20从传感器24、26、28接收的输入信号34,并且经由输出单元16提供相应的输出信号36用于控制致动器30。除了在本文中所示出的输出单元16之外,在其他示例性实施方式中,还可以多个输出单元连接至单通道数据传输路径。I/O单元布置的顺序同样仅是示例性的。输入信号34被分配至控制单元12中的输出。
对于安全至上应用,必须确保经由单通道数据传输路径22的过程数据的无错误传输。特别地,必须避免诸如丢失、重复、毁坏、插入以及顺序的修改的错误,以确保从传感器接收的信号在制动器处产生相应的改变。在根据图1的示例性实施方式中,控制单元12和I/O单元14-20以以下方式被相互调整用于该目的:在数据传输路径22上有错误的情况下,被监视的机器32也被安全地关断。
为了该目的,例如通过多样化多重传输的方式在输入侧将信号34从I/O单元14-20传送至控制单元12,也就是说,在优选的示例性实施方式中,数据第一次以纯文本传送,并且第二次以由控制单元12预定的编码形式传送。由于控制单元12指定了本示例性实施方式中的编码,因此可以以该方式使能够进行经由数据传输路径22的来自传感器的输入信号的失效保护读入。以该方式,可以至少在输入侧控制传输期间的上述错误。然而,替选地,还可以使用不同安全类型的传输用于经由单通道数据传输路径22读入输入信号34。
根据本发明的一个方面,仅经由单通道数据传输路径22在本文中在输出侧同样控制致动器30。为了该目的,控制单元12基于一个或更多个输入信号34生成数字控制指令形式的使能信号38,其经由单通道数据传输路径被传送至输出单元16。输出单元16具有执行彼此不同的信号处理步骤的第一处理单元和第二处理单元。第一处理单元按逻辑电平处理使能信号38的数字控制指令,并且基于使能信号38生成可以用于将接触器30(更一般地为致动器)接通或关断的输出信号。在一些示例性实施方式中,第一处理单元40可以在来自使能信号38的控制指令的逻辑处理期间考虑另外的控制信号,例如,来自装置10的另一控制单元(本文中未图示)的另一控制指令或本地生成的控制指令。另外,第一处理单元40向第二处理单元42提供使能信号38。如下面更详细地描述的,如果使能信号38在时间方面最新,则第二处理单元生成预定时间段的动态时钟信号。在有利的示例性实施方式中,第二处理单元未评估使能信号38中的控制指令的内容,而是仅检查经由数据传输路径22接收的使能信号38的最新程度。针对用于致动器30,来自第一处理单元40的输出信号和来自第二处理单元42的动态时钟信号两者必须存在以能够接通危险装置。因此,仅当两种信号存在时,输出单元的安全输出被激活。由于从使能信号生成两个独立的输出信号,因此可以控制关于安全关断的上述传输错误。不需要各自的附加关断路径和本地安全输出。
下面使用图2、图3和图4更详细说明本发明意义下的控制单元12、输出单元16和使能信号38的优选示例性实施方式。在该情况下,如在根据图1的示例性实施方式中,相同的附图标记表示相同的部件。
图2示意性示出了控制单元12的示例性实施方式。在本文中,控制单元12被设计有多通道冗余,并且以完全冗余方式处理来自传感器24、26、28的所有输入数据,以便确保所需要的固有失效安全。通过两个微控制器40、42在本文中以简单的方式来表示冗余信号处理通道,这两个微控制器40、42基本上执行相同的处理步骤、经由连接件44交换结果,因此相互控制彼此。例如,连接44可以被实现为双端口RAM,但是连接件44也可以以任何其他方式来实现。在一个优选的示例性实施方式中,如在本文中通过第二微控制器42的斜体标记所指示的,微控制器40、42具有不同的设计。由于不同的设计,可以排除具有相同功能的各处理通道中的系统误差。
控制单元12还具有通信接口46,微控制器40、42可以经由通信接口46访问数据传输路径22。通信接口46优选为实现用于经由单通道数据传输路径周期地(cyclically)传送数据的相应协议的协议芯片。
控制单元12被设计成经由单通道数据传输路径22连续读入输入信号并且使用微控制器40、42采用多通道冗余来评估这些输入信号。微控制器40、42两者基于评估而周期地生成用于致动器的控制指令。如果来自传感器24、26、28的输入信号指示安全状态,则这样的控制指令可以表示用于接通机器32的危险移动的使能信号。像常规的过程数据一样,使能信号38经由单通道数据传输路径被传送至输出单元。在一个优选的示例性实施方式中,使能信号为具有限定比特数的数据字,并且以周期地循环的方式被传送至输出单元16。
在根据图2的优选示例性实施方式中,控制单元12还具有编码单元48,编码单元48被设计成以以下方式采用每个处理周期操纵使能信号38:可以由输出单元16非常快速并且容易地检查其最新程度。例如,第一比特序列可以指示第一状态,并且与第一比特序列不同的第二位序列可以指示第二状态。替选地或另外地,编码单元48可以例如通过递增地增大被包括在数据消息中的计数器在周期地传送的使能信号上施加预定顺序。优选地,包括使能信号的每个数据消息与包括使能信号的在先传送的数据消息不同,其中,预定顺序由各使能信号来确定。如图2中所示,编码单元48可以被集成在两个微控制器中的一个中作为软件或硬件部件。替选地,也可以在两个微控制器中或者由单独的部件来执行编码。
图3示出了基于I/O单元16的输出单元16的有利示例性实施方式。正如控制单元12,本文中的输出单元具有通信接口46,经由通信接口46第一处理单元50可以访问数据传输路径22。替选地,通信接口46还可以被集成在第一处理单元50中。在优选的示例性实施方式中,输出单元16中的仅一个处理单元被直接连接至数据传输路径22并且与控制单元12通信。
在本示例性实施方式中,例如,可以为微控制器、ASIC或FPGA形式的第一处理单元50周期地接收使能信号38并且评估其内容。即,第一处理单元50逻辑上解释包含在使能信号38中的控制指令,并且基于其以及可能的另外的信息生成用于控制输出52的模拟输出信号36。该另外的信息可以是来自整个装置中的另外的控制单元(本文中未图示)的有利的控制指令。此外,在有利的示例性实施方式中,该另外信息可以是来自本地存在于输出单元16的区域中的传感器的输入信息。特别地,如果输出单元16为从传感器和控制致动器两者读入输入信号的组合输入/输出单元时,则可以是这种情况。
另外,第一处理单元50本文中经由本文中的内部连接件56向第二处理单元58提供使能信号38。内部连接56为其中数据仅从第一处理单元50被传送至第二处理单元58的单向连接。因此,在优选示例性实施方式中,第二处理单元不能经由数据传输路径传送任何数据。第二处理单元58优选同样为微控制器、ASIC、FPGA或另一信号处理模块,然而,其与第一处理单元50相比具有减少的功能集。在一个优选实施方式中,其为具有仅一个输入、CPU和一个输出的最小化的控制器。输入可以是简单UART接口,经由简单UART接口第二处理单元58接收来自第一处理单元50的使能信号38,同时输出可以是简单数字输出,经由简单数字输出提供动态时钟信号60。在一个特定优选示例性实施方式中,仅针对接收使能信号38之后的有限的限定时间段61生成动态时钟信号60。如果第二处理单元58在该限定时间段中未接收到另外有效使能信号38,则动态时钟信号被暂停。这种方式确保了使能信号必须被控制单元12连续确认。在优选示例性实施方式中,限定时间段61有些大于周期时间T并小于两倍的周期时间T,控制单元12使用周期时间T读入输入信号并且生成周期性使能信号38。
因此,第二处理单元58大体上检查使能信号38的最新程度。然而,在优选示例性实施方式中,第二处理单元58没有评估包括在使能信号38中的控制指令。因此,第二处理单元58独立于大体上逻辑评估使能信号38并且特别地逻辑上处理包括在使能信号38中的控制指令的第一处理单元50而运行。如果存在最新使能信号并且因此存在有效使能信号,则第二处理单元58针对限定时间段61生成动态时钟信号60。
第二处理单元58优选评估与使能信号38一起传送的来自控制单元12的元数据,并且可以包含运行计数器的状态或其他周期地改变的数据。因此,在本示例性实施方式中,仅当使能信号38表示限定状态并且对应于第二处理单元58的预定期望时,使能信号38从而是有效的。仅在最新使能信号38为经由转换器元件62生成并链接至第一输出信号36的动态时钟信号60,如本文中由逻辑AND符号所指示的。转换器元件62优选地为整流器,其使用动态时钟信号60生成从第一处理单元50链接至输出信号63的恒定模拟信号。
经由来自第一处理单元50和第二处理单元58的链接信号来激活安全输出52。在本示例性实施方式中,链接信号控制将电源53连接至安全输出52的两个开关元件54。如果开关元件关闭,即,来自第一处理单元的输出信号与来自第二处理单元的动态时钟信号两者均存在,则给安全输出52以能量并且所连接的致动器激活。在图1中,仅示出了一个安全输出52。替选地,也可以以该方式控制多个并联输出。
在该优选的示例性实施方式中,输出单元16还被设计成提供所生成的输出信号的反馈。优选地,这由第一处理单元50来单独地执行。在示例性实施方式中,一方面,第一处理单元50的输入经由第一反馈线64连接至安全输出52,另一方面,经由第二反馈线66连接至转换器元件62的输出。在一些示例性实施方式中,已经被反馈的值被传送至控制单元12,如输入信号。在这些示例性实施方式中,控制单元12可以使用已经被反馈的值以检查输出单元16内的各部件的功能。为了该目的,控制单元12优选地通过简单地改变或暂停使能信号38来执行周期性关断测试。控制单元12使用已经被反馈的值来确定在两个使能路径中是否发生相应的状态改变。
替选地或另外地,第一处理单元50自身可以评估反馈信号64、66,特别地,可以将它们从周期地传送的使能信号38逻辑上链接至相应控制指令。
图4示意性示出了以周期地重复的方式传送的使能信号38的示例性实施方式。使能信号38优选为在一个或更多个包中周期地被传送至输出单元16的数据消息。在优选示例性实施方式中,该传输没有与其他处理数据的传输不同。对于周期性传输,在本文中以数据字的序列来图示使能信号38。在本示例性实施方式中,数据字68包括第一部分70和第二部分72。在本示例性实施方式中,第一部分70包含随每个数据消息递增式增加的计数器的状态。这生成了预定顺序,其可以在接收器端被容易地重建和检查,特别是在第二处理单元58中。在本示例性实施方式中,第二部分72在输出单元16处对用于致动器的控制指令进行编码。在本文中,控制指令在第一消息中为开(ON)并且在第四消息中为关(OFF)。
图5最终示出了其中输入单元14和输出单元16在功能组件74中被组合的I/O单元的特定优选示例性实施方式。输入和输出单元在本文中根据国际保护打分IP 67被集成在防水壳体76中。用于输入和输出的相应连接件经由插座78接出。另外的连接80、82被提供用于至数据传输路径的连接。
传感器和致动器优选地经由预制造的线缆连接至功能组件74。数据传输路径22经由第一总线连接80和第二总线连接82环通,结果是多个连接模块74可以串联连接至数据传输路径22。功能组件74尺寸上特别紧凑,并且由于国际保护打分IP 67,其优选地适合安装在控制柜的外部的现场中。例如,LED形式的附加指示器84可以直接指示功能组件74处的输入和输出的各自的状态。
Claims (7)
1.一种用于安全关断电力负载的方法,包括步骤:
-提供多通道控制单元(12)、单通道数据传输路径(22)以及具有第一处理单元(50)和第二处理单元(58)并且具有安全输出(52)的输出单元(16),
-由所述多通道控制单元(12)接收并且评估输入信号(34),并且基于所述评估来生成使能信号(38),
-经由所述单通道数据传输路径(22)将所述使能信号(38)传送至所述输出单元(16),
-由所述第一处理单元(50)接收所述使能信号(38),并且基于所述使能信号(38)生成输出信号(63),
-将所述使能信号(38)的至少一部分从所述第一处理单元(50)提供至所述第二处理单元(58),以使用所述至少一部分进行评估,
-由所述第二处理单元(58)基于所述使能信号(38)生成动态时钟信号(60),以及
-基于所述输出信号(63)和所述动态时钟信号(60)控制所述安全输出(52)。
2.根据权利要求1所述的方法,还包括步骤:
-由所述第一处理单元(50)基于所述输出信号和所述动态时钟信号(60)生成反馈消息,
-经由所述单通道数据传输路径(22)将所述反馈消息传送至所述多通道控制单元(12)。
3.根据权利要求1和2中任一项所述的方法,其中,所述使能信号(38)包括可变代码(70),并且所述第二处理单元(58)基于所述可变代码(70)生成所述动态时钟信号(60)。
4.根据权利要求3所述的方法,其中,所述可变代码(70)为具有指定顺序的预定代码序列的一部分。
5.根据权利要求3和4中任一项所述的方法,其中,所述第二处理单元(58)基于所述可变代码(70)提供所述动态时钟信号(60)达预定时间段(61)。
6.一种用于安全关断电力负载的装置(10),包括
多通道控制单元(12),用于接收和评估输入信号(34),
单通道数据传输路径(22),以及
输出单元(16),具有第一处理单元(50)和第二处理单元(58)以及安全输出(52),
其中,所述多通道控制单元(12)经由所述单通道数据传输路径(22)连接至所述输出单元(16),
其中,所述多通道控制单元(12)被配置成基于所述输入信号(34)生成使能信号(38),
其中,所述单通道数据传输路径(22)被配置成将所述使能信号(38)从所述控制单元(12)传送至所述输出单元(16),
其中,所述第一处理单元(50)被配置成基于所述使能信号(38)生成输出信号(63),并且还至少部分地提供所述使能信号(38)至所述第二处理单元(58),以使用所述至少一部分进行评估,
其中,所述第二处理单元(58)基于所述使能信号(38)生成动态时钟信号(60),并且
其中,所述输出单元(16)被配置成基于所述输出信号(63)和所述动态时钟信号(60)控制所述安全输出(52)。
7.一种用于在根据权利要求6所述的装置中使用的输出单元(16),所述输出单元具有第一处理单元(50)和第二处理单元(58)以及安全输出(52),其中,所述第一处理单元(50)被配置成基于使能信号(38)生成输出信号(63),并且还至少部分地提供所述使能信号(38)至所述第二处理单元(58),以使用所述至少一部分进行评估,其中,所述第二处理单元(58)基于所述使能信号(38)生成动态时钟信号(60),并且其中,所述输出单元(16)还被配置成基于所述输出信号(63)和所述动态时钟信号(60)控制所述安全输出(52)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014100970.3 | 2014-01-28 | ||
| DE102014100970.3A DE102014100970A1 (de) | 2014-01-28 | 2014-01-28 | Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last |
| PCT/EP2015/051674 WO2015113994A1 (de) | 2014-01-28 | 2015-01-28 | Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106164787A true CN106164787A (zh) | 2016-11-23 |
| CN106164787B CN106164787B (zh) | 2019-06-28 |
Family
ID=52434798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580017302.2A Active CN106164787B (zh) | 2014-01-28 | 2015-01-28 | 用于安全关断电力负载的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10126727B2 (zh) |
| EP (1) | EP3100121B1 (zh) |
| JP (1) | JP6576936B2 (zh) |
| CN (1) | CN106164787B (zh) |
| DE (1) | DE102014100970A1 (zh) |
| WO (1) | WO2015113994A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109696877A (zh) * | 2017-10-23 | 2019-04-30 | 欧姆龙株式会社 | 输出单元、输入单元及输入输出系统 |
| CN112740123A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10503491B2 (en) * | 2016-09-16 | 2019-12-10 | Honeywell International Inc. | On-process migration of non-redundant input/output (I/O) firmware |
| CN208673079U (zh) * | 2018-06-14 | 2019-03-29 | 西门子股份公司 | 工业机器人的安全控制系统以及工业机器人 |
| DE102019110066A1 (de) * | 2019-04-16 | 2020-10-22 | Sick Ag | Sicherheitsschaltvorrichtung mit einer Vielzahl von Schalterelementen zum Einstellen mindestens eines Betriebsparameters |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020180278A1 (en) * | 1999-12-23 | 2002-12-05 | Richard Veil | Circuit arrangement and device for safely disconnecting an element in an installation, in particular a machine installation |
| US20060190101A1 (en) * | 2003-05-02 | 2006-08-24 | Dietmar Seizinger | Method and apparatus for controlling a safety-critical process |
| US20110045857A1 (en) * | 2007-11-27 | 2011-02-24 | Ineichen Alois | Method for transmitting data between a control unit and a plurality of remote i/o units of an automated installation |
| WO2014012976A1 (de) * | 2012-07-20 | 2014-01-23 | Pilz Gmbh & Co. Kg | Verfahren zum synchronisieren von anzeigeelementen |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19742716C5 (de) | 1997-09-26 | 2005-12-01 | Phoenix Contact Gmbh & Co. Kg | Steuer- und Datenübertragungsanlage und Verfahren zum Übertragen von sicherheitsbezogenen Daten |
| DE19927635B4 (de) | 1999-06-17 | 2009-10-15 | Phoenix Contact Gmbh & Co. Kg | Sicherheitsbezogenes Automatisierungsbussystem |
| DE10016712C5 (de) * | 2000-04-04 | 2004-09-16 | Pilz Gmbh & Co. | Sicherheitsschaltgerät und Verfahren zur Einstellung einer Betriebsart eines Sicherheitsschaltgeräts |
| DE10108962A1 (de) | 2001-02-20 | 2002-09-12 | Pilz Gmbh & Co | Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung |
| DE102004058472B4 (de) * | 2004-11-24 | 2006-12-14 | Pilz Gmbh & Co. Kg | Sicherheitseinrichtung und Verfahren zum Bestimmen eines Nachlaufweges bei einer Maschine |
| DE102005055325C5 (de) * | 2005-11-11 | 2013-08-08 | Pilz Gmbh & Co. Kg | Sicherheitsschaltvorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers |
| DE102008007672B4 (de) * | 2008-01-25 | 2016-09-22 | Pilz Gmbh & Co. Kg | Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk |
| JP5348499B2 (ja) * | 2009-03-12 | 2013-11-20 | オムロン株式会社 | I/oユニット並びに産業用コントローラ |
| DE102010015650A1 (de) * | 2010-04-14 | 2011-10-20 | Pilz Gmbh & Co. Kg | Vorrichtung zur drahtlosen Vernetzung von Geräten der Automatisierungstechnik |
| DE102010025675B3 (de) * | 2010-06-25 | 2011-11-10 | Pilz Gmbh & Co. Kg | Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage |
| DE102010035771A1 (de) * | 2010-08-19 | 2012-02-23 | Pilz Gmbh & Co. Kg | Verfahren zur Vergabe von Teilnehmeradressen an Busteilnehmer eines busbasierten Steuerungssystems |
| DE102010054386B3 (de) * | 2010-12-06 | 2012-02-23 | Pilz Gmbh. & Co. Kg | Sicherheitsschaltgerät zum fehlersicheren Abschalten eines elektrischen Verbrauchers |
| US9625894B2 (en) * | 2011-09-22 | 2017-04-18 | Hamilton Sundstrand Corporation | Multi-channel control switchover logic |
| JP6032391B2 (ja) * | 2012-02-28 | 2016-11-30 | 富士電機株式会社 | 安全制御装置 |
| DE202012101654U1 (de) * | 2012-05-04 | 2012-05-23 | Chr. Mayr Gmbh & Co. Kg | Kompaktsteuergerät zum fehlersicheren Ansteuern eines elektrischen Aktors |
| DE102012107717B3 (de) * | 2012-08-22 | 2013-09-12 | Bernstein Ag | Berührungslos arbeitender Sicherheitsschalter |
| US9772615B2 (en) * | 2013-05-06 | 2017-09-26 | Hamilton Sundstrand Corporation | Multi-channel control switchover logic |
-
2014
- 2014-01-28 DE DE102014100970.3A patent/DE102014100970A1/de not_active Withdrawn
-
2015
- 2015-01-28 JP JP2016548704A patent/JP6576936B2/ja active Active
- 2015-01-28 WO PCT/EP2015/051674 patent/WO2015113994A1/de active Application Filing
- 2015-01-28 EP EP15701770.8A patent/EP3100121B1/de active Active
- 2015-01-28 CN CN201580017302.2A patent/CN106164787B/zh active Active
-
2016
- 2016-07-26 US US15/219,626 patent/US10126727B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020180278A1 (en) * | 1999-12-23 | 2002-12-05 | Richard Veil | Circuit arrangement and device for safely disconnecting an element in an installation, in particular a machine installation |
| US20060190101A1 (en) * | 2003-05-02 | 2006-08-24 | Dietmar Seizinger | Method and apparatus for controlling a safety-critical process |
| EP1620768B1 (de) * | 2003-05-02 | 2008-05-07 | Pilz GmbH & CO. KG | Verfahren und vorrichtung zum steuern eines sicherheitskritischen prozesses |
| US20110045857A1 (en) * | 2007-11-27 | 2011-02-24 | Ineichen Alois | Method for transmitting data between a control unit and a plurality of remote i/o units of an automated installation |
| WO2014012976A1 (de) * | 2012-07-20 | 2014-01-23 | Pilz Gmbh & Co. Kg | Verfahren zum synchronisieren von anzeigeelementen |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109696877A (zh) * | 2017-10-23 | 2019-04-30 | 欧姆龙株式会社 | 输出单元、输入单元及输入输出系统 |
| CN112740123A (zh) * | 2018-08-21 | 2021-04-30 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
| CN112740123B (zh) * | 2018-08-21 | 2024-03-19 | 皮尔茨公司 | 用于监视安全关键过程的自动化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106164787B (zh) | 2019-06-28 |
| JP6576936B2 (ja) | 2019-09-18 |
| DE102014100970A1 (de) | 2015-07-30 |
| US10126727B2 (en) | 2018-11-13 |
| EP3100121A1 (de) | 2016-12-07 |
| EP3100121B1 (de) | 2020-12-30 |
| US20160334775A1 (en) | 2016-11-17 |
| WO2015113994A1 (de) | 2015-08-06 |
| JP2017504907A (ja) | 2017-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106164787B (zh) | 用于安全关断电力负载的方法和装置 | |
| JP7326233B2 (ja) | 工業制御システムケーブル回路 | |
| CN1834838B (zh) | 通用安全性i/o模块 | |
| CN104364720B (zh) | 用于控制安全装置的控制装置,和io链路的用于将安全协议传输至安全装置的用途 | |
| JP4691490B2 (ja) | 安全重視プロセスを制御する方法と装置 | |
| US8509927B2 (en) | Control system for controlling safety-critical processes | |
| CN102725700B (zh) | 用于控制多个安全关键及非安全关键进程的控制系统 | |
| CN102460397A (zh) | 用于创建安全控制装置的应用程序的方法和装置 | |
| US7844865B2 (en) | Bus module for connection to a bus system and use of such a bus module in an AS-i bus system | |
| US20110313580A1 (en) | Method and platform to implement safety critical systems | |
| RU2665890C2 (ru) | Система управления и передачи данных, шлюзовой модуль, модуль ввода/вывода и способ управления процессами | |
| US10567191B2 (en) | Fieldbus module and method for operating a fieldbus system | |
| CN100576790C (zh) | 安全处理信息的单一信号传输 | |
| JP2008146659A (ja) | 安全モジュール及び自動化システム | |
| US8559300B2 (en) | Redundant communications network | |
| CN105103061A (zh) | 控制和数据传输设备、处理装置和具有分散冗余的用于冗余的过程控制的方法 | |
| US20150169493A1 (en) | Field Unit and a Method for Operating an Automation System | |
| CN108604084B (zh) | 用于监控安全系统的安全链中的数据处理和传输的方法和设备 | |
| KR20180032531A (ko) | 원자력 발전소용 안전제어시스템 | |
| WO2011158120A2 (en) | Method and platform to implement safety critical systems | |
| CA3000640A1 (en) | A valve manifold serially mounted to a distributed control system assembly | |
| EP1936455B1 (en) | Method and system for diagnosing external signal input/output units | |
| DE202012000084U1 (de) | Sicherheitsgerichtete fehlertolerante Thermoprozesssteuerung | |
| US10067573B2 (en) | Device for control/command of a plurality of man-machine dialogue facilities | |
| RU2574837C2 (ru) | Система логического управления (варианты) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |