CN107407919B - 安全控制系统和安全控制系统的运行方法 - Google Patents
安全控制系统和安全控制系统的运行方法 Download PDFInfo
- Publication number
- CN107407919B CN107407919B CN201680013710.5A CN201680013710A CN107407919B CN 107407919 B CN107407919 B CN 107407919B CN 201680013710 A CN201680013710 A CN 201680013710A CN 107407919 B CN107407919 B CN 107407919B
- Authority
- CN
- China
- Prior art keywords
- safety
- safety control
- machine
- input
- functionally redundant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 25
- 238000004519 manufacturing process Methods 0.000 claims abstract description 57
- 238000004891 communication Methods 0.000 claims description 21
- 230000003213 activating effect Effects 0.000 claims description 19
- 238000011156 evaluation Methods 0.000 claims description 11
- 125000004122 cyclic group Chemical group 0.000 claims description 4
- 230000004888 barrier function Effects 0.000 claims description 3
- 230000004913 activation Effects 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 66
- 231100001261 hazardous Toxicity 0.000 description 19
- 238000001514 detection method Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 13
- 230000001960 triggered effect Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 230000006378 damage Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000012993 chemical processing Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000002161 passivation Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 208000027418 Wounds and injury Diseases 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012824 chemical production Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 125000001967 indiganyl group Chemical group [H][In]([H])[*] 0.000 description 1
- 208000014674 injury Diseases 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0286—Modifications to the monitored process, e.g. stopping operation or adapting control
- G05B23/0291—Switching into safety or degraded mode, e.g. protection and supervision after failure
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B25—HAND TOOLS; PORTABLE POWER-DRIVEN TOOLS; MANIPULATORS
- B25J—MANIPULATORS; CHAMBERS PROVIDED WITH MANIPULATION DEVICES
- B25J9/00—Programme-controlled manipulators
- B25J9/16—Programme controls
- B25J9/1674—Programme controls characterised by safety, monitoring, diagnostic
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16P—SAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
- F16P3/00—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
- F16P3/12—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
- F16P3/14—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16P—SAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
- F16P3/00—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
- F16P3/12—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
- F16P3/14—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
- F16P3/142—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact using image capturing devices
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16P—SAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
- F16P3/00—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
- F16P3/12—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
- F16P3/14—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
- F16P3/144—Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact using light grids
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/406—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/50—Machine tool, machine tool null till machine tool work handling
- G05B2219/50198—Emergency stop
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Robotics (AREA)
- Human Computer Interaction (AREA)
- Manufacturing & Machinery (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
一种安全控制系统(1),包括控制单元(3)、安全传感器(4)和机器组件(5),机器组件(5)可在不同的运行模式(F0,FN,F1,F2)下运行,各运行模式具有机器组件(5)的不同的生产率(P0,PN,P1,P2),其中控制单元(3)激活机器组件(5)的运行模式(F0,FN,F1,F2),其中至少一个安全传感器组件(4)具有两个功能性冗余子系统(6,7),对控制单元(3)的输入包括指示所述子系统(6,7)的可用性的信息(8),在控制逻辑(3)可在所有子系统(6,7)都可用的情况下,激活具有正常生产率(PN)的正常运行模式(FN),在所有子系统(6,7)都不可用时,激活具有零生产率(P0)的失效‑停止运行模式(F0),在至少一个子系统(6,7)可用而至少另一个子系统(6,7)不可用时,激活具有小于正常值的非零生产率的失效‑运行运行模式(F1,F2)。
Description
技术领域
本发明涉及安全控制系统,根据权利要求1的前序,所述系统包括包括安全控制逻辑的控制单元,进一步包括至少一个安全传感器组件,进一步包括至少一个可在不同运行模式下运行的机器组件,其中各运行模式以机器组件的不同生产率为特征,其中控制单元从至少一个安全传感器组件接收输入并评估输入,并且作为对评估的结果反应,激活由安全控制逻辑确定的机器组件的运行模式。
本发明也涉及安全控制系统的运行方法,所述系统包括包括安全控制逻辑的控制单元,进一步包括至少一个安全传感器组件,进一步包括至少一个可在不同运行模式下运行的机器组件,其中各运行模式以机器组件的不同生产率为特征,其中控制单元从至少一个安全传感器组件接收输入并评估输入,并且作为对评估的结果的反应,激活由安全控制逻辑确定的机器组件的运行模式。
背景技术
一般来说,本发明涉及在离散制造环境或制造现场中的安全控制。用语“机器”旨在包括制造现场的任何单独的机器或子系统,例如机器人、装配机、制造基元或甚至是在制造现场内用来在不同的制造基元或子系统之间自动移动的自主导引车(AGV)。
当在制造现场工作或进入制造现场中时,在离散制造中的安全控制具有保护人不受危险的主要目标。基本上,传感器或开关用来通知安全控制装置在特定区域中存在人或他们试图进入这种区域。基于自动制造过程的实际状况,生产线或单独的装置进入使潜在危险降低至或限制在规定的可接受范围内的状态。很多时候,通过停止机器实现这一点,但有时降低运动速度,或限制特定机构(例如工业机器人或机器工具)的移动空间也足以实现这一点。
在大多数情况下,实施停止机器,同时使用具有安全停止功能(STO)的驱动器。在工业机器人的情况下,机器人控制器也进行机器人的安全控制,其中通常实施机器人工具位置和速度的监控。也已知使用提供安全速度或位置控制的驱动器。
在(潜在的)严重危险的情况下,例如经由紧急停止按钮或对应的传感器装置,触发紧急停止。其使机器进入安全停止状态,这需要专门的确认才能重启机器。
用于实现其保护人不受危险的主要目标的安全控制依赖于传感器和开关的正常运行的可用性。
但是例如在内部诊断功能检测到电源失效的情况下,传感器和开关可能失效。或在传感器或开关和控制逻辑之间的通信可能有故障。因此当实施安全控制时,控制逻辑需要具有用于处理当传感器或开关不可用的情形(例如在内部停止的情况下,其也可被称为钝化)时的安全概念。
另一个原因可能在于在传感器和开关与控制逻辑之间的通信处于有故障的状态。传感器或开关的钝化或换句话说不可用性或在传感器或开关和控制逻辑之间的通信被干扰总结为用语“失效情形”,相对于前面解释的“危险情形”截然不同。
控制逻辑还包括在这种失效情形下的预定义反应。
在现有技术已知的状态中,对失效情形的反应与对危险情形的反应相同。因此在检测到对安全传感器的通信有故障或传感器组件本身失效的情况下,即使没有检测到危险情形,仍激活对应的紧急功能模式。这是根据停止类别0或1的机器停止与人工复位/重启机器的组合。机器的生产率降低。
但是通常,失效情形,例如传感器的不可用性仅仅是临时的,且在某个时间内或多或少地自动被解决。在现有技术的状态中,机器不管怎样被停止,都致使不必要的生产损失。
发明内容
因此,本发明的目的是改进安全控制系统和安全控制系统的运行方法,用于控制机器使得在如上所述的失效情形的情况下降低生产损失。
根据本发明通过具有权利要求1的特征的安全控制系统实现关于改进安全控制系统的目的。因此根据本发明,至少一个安全传感器组件具有至少两个功能性冗余子系统,且对控制单元的输入包括指示至少两个功能性冗余子系统的可用性的信息,其中控制逻辑配置成在输入指示所有功能性冗余子系统都可用的情况下激活以正常生产率为特征的正常运行模式,并且配置成在输入指示所有功能性冗余子系统都不可用的情况下激活以零生产率为特征的失效-停止运行模式,并配置成在输入指示功能性冗余子系统中的至少一个的至少临时不可用而其至少另一个可用的情况下激活失效-运行运行模式。
针对这里在本申请中的安全传感器组件的功能性冗余子系统,另外还使用用语第一和第二安全装置。其可为两个或更多个安全传感器装置,例如观察是较危急安全区域的第一安全区域的接近传感器,和观察是不太危急安全区域的第二或第三或第N安全区域的摄像头,其中第一安全区域是第二或第三或第N安全区域的子集。其也可为具有两个或更多个不同观察区域的一个传感器单元,例如配置成以高分辨率观察靠近机器组件的第一安全区域并以较低分辨率观察进一步远离机器组件而向外延伸的第二或第三或第N安全区域的激光扫描仪或摄像头等。因此用语第一和第二安全装置用来描述传感器或传感器系统,或较复杂的传感器或传感器系统的功能子单元。用语“第二安全装置”旨在意味着功能种类,因此第二安全装置旨在意味着除第一传感器装置之外的一个或两个或三个或N个传感器或感测功能。
针对本申请的上下文中的用语“第一或第二失效-运行模式”,此外还使用用语“第一或第二安全功能模式”。
换句话说,本发明提供一种安全控制系统,其具有用于检测在第二安全区域中的第二危险情形的第二安全装置,或备选地,其能够实现某个的临时安全状态(例如具有安全受限速度),通常在某个预定义时间之后必须离开该临时安全状态。在第二安全装置的情形下,控制逻辑与第一和第二安全装置相互作用以检测在一个安全装置中的失效情形并响应于在一个安全装置中的失效情形而切换到另一安全装置或应用失效功能模式中的一个。在第二种情况下,控制逻辑使系统处于某个临时安全状态,通常在某个预定义时间之后必须离开该临时安全状态。
根据一个优选实施例,安全控制系统包括具有标称生产率的机器或机器组件,其进一步包括第一安全区域和第二安全区域,其中第一安全区域为第二安全区域的子集,进一步包括第一功能性冗余子系统,其配置为用于检测在第一安全区域中的第一危险事件,进一步包括第二功能性冗余子系统,其配置为用于检测在第二安全区域中的第二危险事件,其中,第一失效-运行模式导致大于零但小于正常生产率的第一降低的机器生产率,且第二失效-运行模式导致大于零但小于标称生产率且高于第一降低的机器生产率的第二降低的机器生产率,其中控制逻辑在对控制逻辑的输入指示两个功能性冗余子系统都可用并指示在第二安全区域中有第二危险事件而在第一安全区域中没有危险事件的情况下激活第二失效-运行模式,且其中控制逻辑在对控制逻辑的输入指示第一功能性冗余子系统临时不可用而第二功能性冗余子系统可用并指示在第二安全区域中有第二危险事件的情况下激活第一失效-运行模式。
根据另一优选实施例,控制逻辑在对控制逻辑的输入指示第一功能性冗余子系统可用和第二冗余子系统至少临时不可用并指示在第一安全区域中没有第一危险事件的情况下激活第二失效-运行模式。
根据另一优选实施例,控制逻辑在对控制逻辑的输入指示第二冗余子系统至少临时不可用并指示在第一安全区域中有第一危险事件的情况下激活第一失效-运行模式。
根据另一优选实施例,控制逻辑在对控制逻辑的输入指示第一和第二冗余子系统二者都可用并指示在第一和第二安全区域二者中有第一和第二危险事件的情况下激活第一失效-运行模式。
根据另一优选实施例,控制逻辑在对控制逻辑的输入指示第二冗余子系统可用和第一冗余子系统临时不可用且在第二安全区域中没有危险事件的情况下激活正常运行模式。
根据另一优选实施例,机器或机器组件为机器人或自主导引车(AGV)或离散制造系统或制造基元。
根据另一优选实施例,机器或机器组件的生产率为机器或机器组件的活动部分的速度。
根据另一优选实施例,第一或第二冗余子系统为接近传感器或挡光板或激光扫描仪或摄像头。
根据另一优选实施例,由临时的通信错误如循环冗余错误 (CRC错误)或看门狗(watchdog)错误致使功能性冗余子系统的临时不可用。
因此根据本发明,通过对安全控制引入失效切换(fail-over)的概念实现目的,失效切换在安全装置中存在失效情形的情况下避免不必要的机器停止。失效切换意味着当专门的装置或功能失效时,切换至冗余装置或功能。
在根据本发明的分级安全控制系统中,按照第二或第三或(一般情况下)第N不太危急安全区域的顺序给出在危急性方面依次增加的层级,不太危急安全区域由第二安全装置监控,且检测在第二或第三或(一般情况下)第N安全区域中的第二或第三或(一般情况下)第N危险情形,触发不停止机器的第二或第三或(一般情况下)第N安全功能模式,且接着的第一危急安全区域由第一安全装置监控并检测第一危急安全区域中的第一危险情形,触发优选停止机器的第一安全功能模式。因此,根据本发明,分级布置的第一和第二安全装置如同它们是冗余装置一样被使用。
当说到安全控制系统对在一个安全装置(即传感器或开关等)中的失效模式的反应时,根据本发明的安全控制系统的优势,控制逻辑在失效模式时不会触发紧急功能模式,而是切换到另一安全装置并应用失效功能模式(而不是严重的紧急功能模式),从两个失效功能模式中选择仍然符合安全要求的不太危急模式。从本发明可以看出,在第二安全装置处于失效情形的情况下,使用第一安全装置而不是第二安全装置,但应用不太危急的第二安全功能模式。这是令人惊讶的发现,因为正常的方式是将较危急的第一安全功能与第一安全装置一起应用。本发明的优势是,比较于应用危急的第一安全功能,通过使用不太危急的第二安全功能,机器的生产率降低地更少,但仍保持高度合理的安全水平。
换句话说,典型的危险事件为人进入运行机器可能严重伤害人的限定的区域。传统上,如果检测到这种事件,则机器停止。
分级安全控制的概念考虑到这种危险的严重性可不同,使得有时机器可以安全降低的速度运行而不是停止,使得可提高整个机器的生产率。
例如,可在工业机器人周围限定“区域1”,其中该区域的违规导致立即停止机器人,但是如果人在该区域外附近,则机器人可以降低的速度运行,使得当人进入“区域1”时机器人能够停止。这是根据本发明的分级控制结构的示例。
另一示例可为AGV,如果障碍物或工作人员处于一定的但较大范围内,其可以降低的速度运行,并且当距离变得危急,如在以上示例中的“区域1”时,其停止。
以更一般的方式,安全反应还可取决于对人或障碍物的位置、大小和速率的更精确的感测。且安全反应还可停止生产线的某个部分、变速运行生产线的一部分等。
第一或第二安全装置可具有第一或第二安全危险检测设备,其例如可以为传感器或开关,它们用来通知安全逻辑(也被称为安全控制装置)在特定区域中存在人或他们试图进入这种区域。例如,在机器(例如机器人或AGV)周围的附近范围的环境可被限定为第一危急安全区域,因为当人进入此第一区域时,存在其受到机器严重伤害的危急的危险。因此,在这种第一危急区域中存在人是根据本发明的危险事件的示例。
在机器(例如机器人或AGV)周围的较宽范围的环境被限定为第二不太危急的安全区域。当人在此区域内,这里仍然存在人受到伤害的某种风险,但是其不太可能,且存在到机器的危险部分较大的安全距离和较多反应时间。因此,在这种第二安全区域中人的存在也被认为是根据本发明的危险事件,但是将具有不太严重的后果。
第一安全区域通常是第二安全区域的子集。
基于自动制造过程的实际状况,在检测到危险事件时,触发生产线或单独的装置,用于执行第一或第二安全功能。这意味着,例如,使它们处于将潜在危险降低至或限制在规定的可接受范围内的状态。很多时候,通过停止机器实现一点,但有时降低运动速度或限制特定机构(例如工业机器人或机器工具)的移动空间也足以实现这一点。
第一安全功能意味着例如运动速度的相当急剧的降低或移动空间的限制,并且将在检测到人处于第一安全区域内的情况下被触发。
第二安全功能意味着例如运动速度的不太急剧的降低或移动空间的限制,并且将在检测到人处于第二不太危急安全区域内的情况下被触发。
根据本发明的另一优选实施例,安全控制逻辑与机器组件相互作用,以在第一安全装置出现失效且第二安全装置没有检测到危险情形的情况下将机器组件触发到正常功能模式。
根据本发明的另一优选实施例,安全控制逻辑与机器相互作用,以在第一安全装置出现失效情形且第二安全装置检测到有危险情形的情况下将机器触发到第一功能模式。
根据本发明的另一优选实施例,控制逻辑与机器相互作用,以在第二安全装置出现失效情形且第一安全装置检测到有危险情形的情况下将机器触发到第一安全功能模式。
根据本发明的另一优选实施例,控制逻辑与机器相互作用,以在第一和第二安全装置出现失效情形的情况下将机器触发到紧急安全功能模式。
根据本发明的另一优选实施例,控制逻辑与第一和第二安全装置相互作用,以检测与第一和第二安全装置的通信错误,其中在一个安全装置中的失效情形是通信错误,例如CRC或循环冗余校验错误或看门狗错误。
根据本发明,一种安全控制系统的运行方法,所述系统包括包括安全控制逻辑的控制单元,进一步包括至少一个安全传感器组件,进一步包括可在不同的运行模式下运行的至少一个机器组件,其中各运行模式以机器组件的不同生产率为特征,其中控制单元从至少一个安全传感器组件接收输入并评估输入,并且作为对评估的结果的反应,激活由安全控制逻辑确定的机器组件的运行模式,其中至少一个安全传感器组件具有至少两个功能性冗余子系统,其中对控制单元的输入包括指示至少两个功能性冗余子系统的可用性的信息,其特征在于以下步骤:在输入指示所有功能性冗余子系统都可用的情况下激活以正常生产率为特征的正常运行模式;和在输入指示所有功能性冗余子系统都不可用的情况下激活以零生产率为特征的失效-停止运行模式;以及在输入指示功能性冗余子系统中的至少一个至少临时不可用和其至少另一个可用的情况下激活以小于正常值但大于零的生产率为特征的失效-运行运行模式。
因此,关于用于控制机器的安全控制系统的运行方法,所述系统具有:带有控制逻辑的分级安全控制结构;第一安全装置,其用于检测在第一安全区域中的第一危险情形,且响应于检测而触发第一安全功能模式;第二安全装置,其用于检测在第二安全区域中的第二危险情形,并响应于检测而触发第二安全功能模式,本发明教导方法包括以下步骤:
- 控制逻辑检测在一个安全装置中是否存在失效情形;
- 如果在一个安全装置中存在失效情形,则控制逻辑切换到另一安全装置或应用失效功能模式之一。
根据本发明的另一优选实施例,机器至少可在正常功能模式和紧急功能模式下运行,安全控制系统具有:通信联接到机器的控制逻辑;通信联接到控制逻辑的第一安全装置,控制逻辑使用第一安全装置以检测在第一危急安全区域中的第一危险情形;通信联接到控制逻辑的第二安全装置,控制逻辑与机器相互作用以在没有危险情形时在正常功能模式下运行,具有进一步的步骤:
- 在第一安全装置被检测到有失效情形的情况下,控制逻辑使用第二安全装置代替第一安全装置,以及在第二安全装置被检测到有失效情形且第一安全装置没有检测到危险情形的情况下,控制逻辑触发第二安全功能模式。
根据本发明的另一优选实施例,方法包括进一步的步骤:在第一安全装置被检测到有失效情形并且第二安全装置没有检测到危险情形的情况下,安全控制逻辑触发正常功能模式。
根据本发明的另一优选实施例,方法还包括进一步的步骤:在第一安全装置被检测到有失效情形且第二安全装置检测到有危险情形的情况下,控制逻辑触发第一功能模式。
根据本发明的另一优选实施例,方法包括进一步的步骤:在第二安全装置被检测到有失效情形且第一安全装置检测到有危险情形的情况下,控制逻辑触发第一安全功能模式。
根据本发明的另一优选实施例,方法包括进一步的步骤:在第一和第二安全装置被检测到有失效情形的情况下,控制逻辑触发紧急安全功能模式。
附图说明
将参照附图通过对三个实施例的描述来更详细地描述本发明,其中
图1是根据本发明的安全控制系统的示范性和示意性图,
图2是根据本发明的安全控制系统的另一实施例的示范性和示意性图,
图3示出机器人基元的分层安全区域的示例,
图4示出AGV的分级安全区域的示例,
图5示意性地示出具有基础安全逻辑的安全控制系统的一般情况,
图6示出CRC错误的失效切换和恢复方案,
图7a-c示出了在不同失效情形下本发明的实施例的示意性图。
具体实施方式
图1示出根据本发明的安全控制系统的示范性和示意性图。安全控制系统1包括包括安全控制逻辑的控制单元3。控制单元3经由过程传感器组件4接收来自过程的输入。过程可以是任何技术过程,例如制造基元、机器人或具有若干机器人的机器人系统、或自主导引车(AGV)、或化学处理工厂或化学处理工厂的子系统等。因而用语过程在本发明的背景下也用于描述机器。
过程或机器具有由安全传感器组件4监视的某些安全危急区域。下面将在图2、3、4和7a-c的背景下更详细地解释这一点。
控制单元3从安全传感器组件4接收包含信息的信号,并评估所接收的输入。为此,控制单元3包括至少一个输入/输出单元(I/O单元)。安全控制逻辑布置成用于评估在输入处接收到的信息并生成给过程或机器(这里在图1中示意性地表示为机器组件5)的包含相应输出信息的相应输出信号。机器装置5或机器或过程可在不同的运行模式下运行。例如,如果机器组件为AGV,则不同的运行模式可以是不同的速度,其范围为:零或停止、慢速、稍快的速度、正常速度。如果机器组件是具有至少一个机器人手臂的机器人,同样如此。在这里,不同的运行模式也可以是一个或多个机器人手臂的移动速度或甚至是一个或多个机器人手臂所覆盖的范围,其范围为从静止,仅经由一小节段、较大节段到完整的运行区域。各运行模式与机器或机器组件或过程的某个生产率相关联。因此,例如,如果机器人静止不动,则生产率为零。如果其只是缓慢移动,则生产率会很低。如果其以正常速度移动,则生产率正常。
以上以机器人或AGV给出的示例仅用于示范性的示例。要理解,对于所有种类的过程,包括但不限于用多种其他类型的机器或化学生产过程的制造过程,可以以相当的方式限定具有指定的不同生产率的不同运行模式。
在图1中,上述解释的内容以概要的方式示出为机器组件5,运行模式示意性地指示为具有标号11的功能块或子系统F0,具有标号12的功能块或子系统FN,具有标号13的功能块或子系统F1,具有标号14的功能块或子系统F2。各功能块或子系统被指定规定的生产率。功能块或子系统F0以生产率P0为特征,功能块或子系统FN以生产率PN为特征,功能块或子系统F1以生产率P1为特征,功能块或子系统F2以生产率P2为特征。生产率PN为正常的生产率。生产率P0为零生产率,相当于系统停止。生产率P1低于正常生产率PN,但大于零。生产率P2大于P1,但小于正常生产率PN。
安全传感器组件4具有两个功能性冗余子系统6、7。其甚至可不止两个。安全传感器组件4的功能是监视在过程中或在机器或机器组件5附近的安全区域。监视意味着具有功能性冗余子系统6、7的安全传感器组件4检测在安全区域中的潜在危险的事件H1、H2。危险事件可以是例如在鞣革AGV的路径中的障碍物或人机器人或机器人系统的在一个或多个机器人手臂到达的范围内的运行区域内。功能冗余意味着两个子系统6、7可以冗余地用于这种危险事件的安全监视或检测。这可能例如意味着在机器5周围存在两个安全区域,一个危急安全区域和一个不太危急区域。危急安全区域例如特征在于,如果障碍物在该区域内,则对于机器存在高的潜在威胁,或者对于潜在地位于该区域内的人存在高的潜在安全风险。
因此,功能性冗余子系统可例如是各自监视不同安全区域的两个子系统。这可以通过一个对于不同区域具有两个或更多个监视模式的传感器或通过两个不同的传感器(一个用于第一区域,一个用于另一区域)来实现。
功能性冗余子系统6、7中的各个使用第一信号输入线路15、16将关于在其监视区域内存在或不存在危险事件的信息发送到控制单元3。并且另外,各功能性冗余子系统6、7使用可用性指示输入线路8、8'将关于其可用性的信息发送到控制单元3。传感器组件4的功能性冗余子系统的可用性可由于子系统6、7本身的故障或由于在子系统6、7和控制单元3之间的干扰通信而受到限制或缺乏。
缺乏安全传感器子系统的可用性是潜在的安全风险。因此,在传统的安全控制系统中,一旦不再给出安全传感器组件或安全传感器子系统的可用性,在机器组件中相关的功能块或子系统将被设置为紧急停止(意味着零生产率)。在大量情况下,这不是必需的,因为相应的安全传感器或安全传感器子系统的可用性在短时间之后自动恢复。
因此,在示于图1中的的根据本发明的安全控制系统1中,控制逻辑3配置成在输入指示所有功能性冗余子系统6、7都可用的情况下激活以正常生产率PN为特征的正常运行模式FN,并且配置成在输入8指示所有功能性冗余子系统6、7都不可用的情况下激活以零生产率P0为特征的失效-停止运行模式F0,并且进一步配置成在输入8指示功能性冗余子系统6、7中的至少一个临时不可用和其至少另一个可用的情况下激活以小于正常值但高于零的生产率为特征的失效-运行运行模式F1、F2。因此只有在所有子系统都不可用的情况下,才激活零生产率的停止模式。在一个子系统临时不可用的情况下,只要冗余子系统中的至少一个可用,则机器组件将设置成仅生产率降低而不为零的状态,这在很大程度上增加了安全受控制的机器组件5的整体可用性。
现在观察图2,这示出根据本发明的安全控制系统1'的另一实施例的示范性和示意性图。图2示意性地示出用于控制机器2的安全控制系统1'。机器2可以是机器人、AGV或在离散制造系统或制造基元中使用的任何其它机器。与机器2相关的是限定了第一危急安全区域Z1和第二不太危急安全区域Z2。第一安全区域Z1比第二安全区域Z2更靠近机器2。第一危急安全区域Z1是第二不太危急安全区Z2的子集。
安全控制系统1进一步包括包括安全逻辑并通信链接到机器2的控制单元3。进一步存在第一安全装置D1(参考标号6),其与安全逻辑3通信链接。其具有配置为用于检测在第一安全区域Z1中的危险事件H1的第一危险检测设备。进一步存在第二安全装置D2 (参考标号7),其与安全逻辑3通信链接。其具有配置为用于检测在第二安全区域Z2中的危险事件H2的第二危险检测设备。具有危险检测设备的安全装置6、7可以是已知用于此目的的任何种类的传感器,例如接近传感器、挡光板、激光扫描仪等。安全装置6、7是更为一般和抽象的用语“安全传感器组件4的功能冗余传感器子系统6、7”所表示的示例,这里在图2中,第一和第二个危险检测设备6、7一起形成一种虚拟安全传感器组件4。
机器2进一步包括具有第一安全功能设备的第一促动器系统,该第一安全功能设备配置成由安全逻辑3触发用于执行第一安全功能。
机器2进一步包括具有第二安全功能设备的第二促动器系统,该第二安全功能设备配置成由安全逻辑3触发用于执行第二安全功能。
第一和第二促动器系统可以是例如用于机器人轴的驱动器或用于驱动AGV的驱动器等。那么在该示例中的安全功能将是例如不同的驱动速度,紧急功能在该示例中将是驱动器的停止。
控制单元3进一步具有输入评估设备10,其配置成确定第一和第二安全装置6、7的功能状况和/或可用性。控制单元3进一步具有激活设备9,其配置为用于在第一和第二安全装置6、7运行和可用的情况下,在检测到在第一安全区域Z1中有危险事件时,触发或激活用于执行第一安全功能的第一促动器系统,在检测到在第二安全区域Z2中有危险事件时,触发或激活用于执行第二安全功能的第二促动器系统。输入评估设备10和激活设备9可例如实施为I/O装置和作为在存储器中存储的控制运行程序的部分的相关联的程序例程,控制运行程序在作为控制单元3和其控制逻辑的一部分的微信计算机内并由微型计算机执行。
激活设备9配置为用于在确定第一安全装置6出故障和/或不可用以及第二安全装置7运行和可用时并且在检测到在第二安全区域Z2中有危险事件时,触发或激活用于执行第一安全功能F1的第一促动器系统。
激活设备9进一步配置为用于在输入评估设备10确定第二安全装置7出故障和/或不可用和确定第一安全装置6运行和可用的情况下,只要第一安全设备或危险检测设备6在第一安全区域Z1中未检测到有危险,就触发或激活用于执行第二安全功能F2的第二促动器系统。
激活设备9进一步配置为用于在输入评估设备10确定第二安全装置7出故障和/或不可用和第一安全装置6运行和可用的情况下,如果第一危险检测设备或第一安全装置6在第一安全区域Z1中未检测到有危险,就触发或激活用于执行第二安全功能F2的第二促动系统。
激活设备9进一步配置为用于在输入评估设备10确定第一和第二安全装置6、7出故障和/或不可用的情况下,对机器2进行逻辑触发,以用于过渡到安全状态(即,例如紧急停止)。
以下,将解释如在根据本发明的安全控制系统中应用的分层安全控制的概念。
典型的危险事件是人进入其中运行机器可能严重伤害人的限定区域。传统上,如果检测到这种事件,机器停止。然而,这种危险的严重性可不同,使得有时候机器可以降低的速度运行而不是停止,使得显著提高机器的整体生产率。
例如,参见图2或图3,可以在机器2或机器组件5(例如工业机器人)周围限定第一危急安全区域Z1,其中该区域的违规导致机器人立即停止,但是如果人是在该区域Z1外附近范围,机器人可以降低的速度运行,使得当人进入区域Z1时机器人能够停止。
另一个示例可以是AGV,参见图4,如果障碍物或工作人处于一定但较大的范围Z2内,则其可以较低的速度运行,并且当距离变得危急(如在图4中示出的在上述示例中的区域Z1)时,其停止。
以更一般的方式,安全反应也可取决于对人或障碍物的位置、尺寸和速率的更精确的感测。且安全反应也可以是停止生产线的某个部分、变速运行生产线的部分等。
所有这些都导致了分层安全控制方案,其在提高生产率同时确保相同的安全水平方面是有益的。
以简化和一般的方式,我们假设以下情况:
D1=安全装置1
H1=要由D1检测的局部化的危险事件,
F1=(安全)功能1(例如安全停止)
P1=以F1运行时的生产率
D2=安全装置2
H2=要由D2检测的不太局部化的危险事件,
F2=(安全)功能2(例如降低的速度)
P2=以F2运行时的生产率
以及
100%= PN> P2> P1> P0 = 0
且
H1是H2的子集
这意味着H1与H2是同一种类,并且H1被H2覆盖,但是H1更局部化或更详细。
在机器人示例图3或图2中,D1是保护机器人的工作空间的局部传感器,且D2是观察附近范围的传感器。并且对于AGV示例,D1可以是在感测前面的前方区域的局部传感器(例如,激光扫描仪),且D2是观察工作基元的远程摄像头。
安全控制逻辑将是:
If H1 then
F1 // 生产率 P1
Else
If H2 then F2// 生产率 P2
End If 。
图5示出该具有对应的基础安全逻辑的一般情况,其中任何检测到或隐含的安全装置故障导致紧急停止。对应的安全控制实施可遵循以下规则:
NOK意味着安全装置由于任何原因(包括临时通信错误)而导致的故障或不可用性。
在下文中,将解释如在根据本发明的安全控制系统中应用的失效切换的概念。
一般来说,失效切换意味着在专用装置或功能失效时切换到冗余设备或功能。
如上所述,在由于D1的故障或其它原因(例如,通讯错误)不能检测到H1的情况下,其会致使紧急停止Fe的激活,以P0运行机器。
在Fe之后,系统必须进行错误诊断和恢复,并且必须重新启动。此过程的平均时间段为Te。
但在装置临时不可用的情况下,因而如果装置的功能在可接受的时间段之后恢复,而无需人工修复和重新启动系统,则可尝试通过使用冗余装置或功能来渡过该时间段。
假设H1间接地由H2覆盖,因而H1是H2的子集。那么通过使用D2作为D1的失效切换装置而改变逻辑是可行的,如下所示:
If (D1 is OK) then
If H1 then
F1 // 生产率 P1
Else
If H2then
F2 // 生产率 P2
End If
Else
If H2 then
F1 // 生产率 P1
End IF。
在这种情况下,如果没有检测到安全区域违规,机器将以100%运行。因此,如果D1不工作,则通过(H2隐含F1)切换为(H2隐含F1)而使安全控制保持原样,如果没有安全区域违规,则以100%运行,或在H2时至少以P1运行。生产率低于D1工作时的生产率,如果D1不工作,则与经常停止机器时的生产率相比较高。
在D2至少临时不可用的情况下,则情形略有不同:H2仅部分被H1覆盖,并且D1不能用作失效切换装置来检测H2。然而,我们可结合H1则F1而使用F2作为失效切换功能用于(D2is NOK),从而一旦D2为NOK,激活F2,且在H1被D1检测到时激活F1。由于H1为H2的子集,所以H2被该失效切换策略充分地考虑。
所产生的安全控制实施方式遵循以下规则:
在下文中,描述了其中失效情形是CRC(循环冗余校验)错误的样本情况。
在样本情况中,假设安全装置D1经由PROFINET(使用PROFIsafe协议)远程连接,可能会出现临时通信错误如CRC或看门狗错误,这在当前的实践中导致系统的紧急停止。在下文中,描述了失效切换概念可如何应用于这种情况中。
实际上,失效切换只是保持机器运行直到部分失效恢复的临时解决方案。通常,如果安全装置失效,则需要人工干预以恢复失效,例如,更换装置并重新启动安全控制。但在某些情况下,失效只是临时的。
在该情况中,仔细观察CRC错误,CRC错误是至安全装置的通信的临时失效的典型示例。CRC错误可由安全控制器检测。根据本发明之前的现有技术的状态,如果在安全协议实施方案中没有实施另外的措施来覆盖该情形,偶尔出现的单次CRC错误将致使紧急停止。
但在大多数情况下,CRC错误在短时间段后消失,并且再次建立与装置的稳定通信。在这种情形下,当应用上述的失效切换概念时,系统不必由于单个CRC错误而停止,因为存在冗余安全装置,并且当下一电报变为有效时可以通过切换回正常的安全功能而本身自动恢复(见图6)。
在限定的时间间隔内的多个CRC错误被解释为严重失效,在这种情况下,机器必须停止(也参见图6)。检测CRC错误累积的常用时间间隔目前为100小时。
可以通过检验校验和来检测CRC错误。因此,安全控制器记录通信失效,且如果CRC错误重复出现,则将其解释为对应的安全装置的故障。
在安全装置本身失效的情况下,不幸无法自动恢复。安全控制必须被重新启动。
在下文中,描述了其中失效为看门狗错误的样本情况。
临时通信错误的另一典型示例是看门狗错误。这些错误每分钟都可能发生甚至更频繁,这取决于所使用的参数。看门狗时间限定在安全功能响应时间和可用性之间的折衷。看门狗时间设置的越小,越接近黑色通道(black channel)的性能,由于突然的黑色通道性能缺陷,人可能必须停止机器的概率越高。
在进行本发明之前实践的现有技术的当前状态中,看门狗错误的出现频率没有限制。但是,与CRC故障相似,如果在应用程序级别上没有做任何事情以处理该错误的话,机器随时可能停止。
根据本发明的看门狗错误的失效切换的概念对于在自动存储处理系统中的自主导引车(AGV)特别有利。这种AGV很多时候通过无线网络连接并从中央位置进行控制。
在由于干扰或阻挡的墙壁削弱数据传递等导致无线连接突然太慢的情况下,则因为经由无线连接的通信太慢,AGV控制系统就会与中央站失去通信,并标记看门狗错误。在看门狗错误的情况下,可以启动计时器而不是停止AGV。如果在例如3秒钟内通信不恢复和运行,则停止AGV。否则,其使用局部安全传感器例如激光扫描仪作为失效切换装置。
在这种情况中,局部传感器为D1,相当于第一安全装置6,其检测车辆紧靠的前方中障碍物或人的存在,并且触发受控停止。此外,与第二安全装置7相当的D2观察较大的区域并经由无线通信连接到局部AGV控制器。如果D2临时不可用,局部AGV可以切换到降低的速度,并在可接受的时间段内依靠局部传感器。
当然,以装置或功能的失效切换具体实施安全控制必须考虑会影响达到的安全等级的所有方面。
图7a-c示出在不同失效情形中本发明的实施例的示意性图,作为根据本发明的控制系统的优选实施例的示例。
类似于在图1中所示的安全控制系统,图7a以示意性和示范性的方式示出了安全控制系统1。图7a-c示出根据本发明的安全控制系统的运行方法。图7a示出其中两个安全传感器子系统6、7都可用并且运行的情形。
在第一安全传感器子系统6, D1检测到在区域Z1(较危急的安全区域)中的危险情形H1的情况下,则在控制单元3中的安全逻辑激活机器组件5(相应的促动器)进入具有大大降低的生产率P1的第一运行模式F1,F1和P1如上述所限定和解释。
在第二安全传感器子系统7, D2检测到在区域Z2(区域Z2包括Z1,因为Z1是Z2的子单元,Z2为不太危急的安全区域)中的危险情形H2的情况下,则在控制单元中的安全逻辑3激活机器组件5(相应的促动器)进入具有降低不大的生产率P2第二运行模式F2,F2和P2如上述所限定和解释。
图7b示出其中安全传感器子系统6不可用(以虚线表示)但是安全传感器子系统7可用的情形。在这种情况中,应用D1到D2的失效切换,以及从F2到F1的失效切换。这意味着,在第二安全传感器子系统7, D2检测到危险事件的情况下,在控制单元3中的安全逻辑激活机器组件5(相应的促动器)进入具有大大降低的生产率P1的第一运行模式F1。这是一种为了安全起见的切换切换,更为严格的安全功能F1被应用于由子系统D2检测到的危险情形,子系统D2观察不太危急的安全区Z2。但是由于Z2包括Z1,可能由D2检测到的危险情形已发生在安全区域Z1中,且因此在安全控制的意义上激活更为严格的安全功能F1是有用的。因此作为失效切换,组合子系统1.2-2.3.1或7-F1就位。
图7c示出其中安全传感器子系统7, D2不可用(以虚线表示)但安全传感器子系统6, D1可用的情形。在D2不可用的情况下,装置功能没有明确的失效切换。相反,对于H2的安全功能被看作一般的失效切换功能,即,如果(D2NOK)则触发F2。换句话说,如果D2为NOK,则触发F2,即使D1未检测到危险情形,出于安全和预防的原因,减低速度并使生产率从P0降低到P2。如果另外D1检测到在Z1区域中的危险情形,则触发F1,进一步降低速度和进一步降低生产率至P1。
附图标记列表
1安全控制系统
1' 安全控制系统
3控制单元
4安全传感器组件
5机器组件
6第一安全传感器子系统D1
7第二安全传感器子系统D2
8指示子系统可用性的信息
8'指示子系统可用性的信息
9激活设备
10输入评估设备
11功能块/功能子系统
12功能块/功能子系统
13功能块/功能子系统
14功能块/功能子系统
15第一信号输入线路
16第二信号输入线路
Z1第一危急安全区域
Z2第二不太危急安全区域。
Claims (10)
1.一种安全控制系统(1),所述安全控制系统(1)包括:
a)控制单元(3),其包括安全控制逻辑;
b)至少一个安全传感器组件(4);
c)至少一个机器组件(5),其可在不同的运行模式(F0,FN,F1,F2)下运行,其中各运行模式以所述机器组件(5)的不同生产率(P0,PN,P1,P2)为特征,其中所述至少一个机器组件(5)具有标称生产率;由此
d)所述控制单元(3)从所述至少一个安全传感器组件(4)接收输入且评估所述输入;和
e)作为对所述评估的结果的反应,激活由所述安全控制逻辑确定的所述机器组件(5)的运行模式(F0,FN,F1,F2),
其特征在于
(1)所述至少一个安全传感器组件(4)具有至少两个功能性冗余子系统(6,7),
(2)对所述控制单元(3)的输入包括指示所述至少两个功能性冗余子系统(6,7)的可用性的信息(8),
(3)所述安全控制逻辑配置成
i.在所述输入指示所有功能性冗余子系统(6,7)都可用的情况下,激活以正常生产率(PN)为特征的正常运行模式(FN),
ii.在所述输入指示所有功能性冗余子系统(6,7)都不可用的情况下,激活以零生产率(P0)为特征的失效-停止运行模式(F0),
iii.在所述输入指示所述功能性冗余子系统(6,7)中的至少一个至少临时不可用而其至少另一个可用的情况下,激活以小于正常值但高于零的生产率为特征的失效-运行运行模式;且其中,
所述安全控制系统(1)还包括:
- 第一安全区域(Z1)和第二安全区域(Z2),由此所述第一安全区域(Z1)是所述第二安全区域(Z2)的子集,
且所述至少两个功能性冗余子系统(6,7)包括:第一功能性冗余子系统(D1,6),其配置为用于检测在所述第一安全区域(Z1)中的第一危险事件(H1),和- 第二功能性冗余子系统(D2,7),其配置为用于检测在所述第二安全区域(Z2)中的第二危险事件(H2),
其中第一失效-运行模式(F1)导致大于零但小于所述正常生产率(PN)的第一降低的机器生产率(P1),且第二失效-运行模式(F2)导致大于零但小于所述标称生产率并高于所述第一降低的机器生产率(P1)的第二降低的机器生产率(P2),
其中所述安全控制逻辑在对所述安全控制逻辑的输入指示两个功能性冗余子系统(D1,6;D2,7)都可用并指示在所述第二安全区域(Z2)中有第二危险事件(H2)而在所述第一安全区域(Z1)中没有第一危险事件的情况下激活所述第二失效-运行模式(F2),且其中所述安全控制逻辑在对所述安全控制逻辑的输入指示所述第一功能性冗余子系统(D1,6)临时不可用而第二功能性冗余子系统(D2,7)可用并指示在所述第二安全区域(Z2)中有第二危险事件(H2)的情况下激活所述第一失效-运行模式(F1)。
2.根据权利要求1所述的安全控制系统(1),其特征在于,所述安全控制逻辑在对所述安全控制逻辑的输入指示所述第一功能性冗余子系统(D1,6)可用而所述第二功能性冗余子系统(D2,7)至少临时不可用并指示在第一安全区域(Z1)中没有第一危险事件(H1)的情况下激活所述第二失效-运行模式(F2)。
3.根据权利要求1所述的安全控制系统(1),其特征在于,所述安全控制逻辑在对所述安全控制逻辑的输入指示所述第二功能性冗余子系统(D2,7)至少临时不可用并指示在第一安全区域(Z1)中有第一危险事件(H1)的情况下激活所述第一失效-运行模式(F1)。
4.根据权利要求1所述的安全控制系统(1),其特征在于,所述安全控制逻辑在对所述安全控制逻辑的输入指示所述第一和第二功能性冗余子系统(D1,6;D2,7)二者都可用并指示在所述第一和第二安全区域(Z1,Z2)二者中有第一和第二危险事件(H1,H2)的情况下激活所述第一失效-运行模式(F1)。
5.根据前述权利要求中的任一项所述的安全控制系统(1),其特征在于,所述机器组件(5)为机器人或自主导引车或离散制造系统或制造基元。
6.根据权利要求1-4中的任一项所述的安全控制系统(1),其特征在于,所述机器组件(5)的生产率为所述机器组件(5)的活动部分的速度。
7.根据权利要求1-4中的任一项所述的安全控制系统(1),其特征在于,所述第一或所述第二功能性冗余子系统(D1,6;D2,7)为接近传感器或挡光板或激光扫描仪或摄像头。
8.根据权利要求1-4中的任一项所述的安全控制系统(1),其特征在于,由临时的通信错误引起功能性冗余子系统的临时的不可用性。
9.根据权利要求8所述的安全控制系统(1),其特征在于,所述临时的通信错误为循环冗余错误或看门狗错误。
10.一种安全控制系统(1)的运行方法,所述安全控制系统(1)包括
- 控制单元(3),其包括安全控制逻辑,
- 至少一个安全传感器组件(4),
- 第一安全区域(Z1)和第二安全区域(Z2),由此所述第一安全区域(Z1)是所述第二安全区域(Z2)的子集,
- 至少一个机器组件(5),其可在不同的运行模式(F0,FN,F1,F2)下运行,其中各运行模式以所述机器组件(5)的不同生产率(P0,PN,P1,P2)为特征,其中所述至少一个机器组件(5)具有标称生产率,且其中,第一失效-运行模式(F1)导致大于零但小于正常生产率(PN)的第一降低的机器生产率(P1),且第二失效-运行模式(F2)导致大于零但小于所述标称生产率并高于所述第一降低的机器生产率(P1)的第二降低的机器生产率(P2),由此
- 所述控制单元(3)从所述至少一个安全传感器组件(4)接收输入和评估所述输入,和
- 作为对所述评估的结果的反应,激活由所述安全控制逻辑确定的所述机器组件(5)的运行模式(F0,FN,F1,F2),
- 所述至少一个安全传感器组件(4)具有至少两个功能性冗余子系统(6,7),其中,所述至少两个功能性冗余子系统(6,7)包括:第一功能性冗余子系统(D1,6),其配置为用于检测在所述第一安全区域(Z1)中的第一危险事件(H1),和- 第二功能性冗余子系统(D2,7),其配置为用于检测在所述第二安全区域(Z2)中的第二危险事件(H2),
- 对所述控制单元(3)的输入包括指示所述至少两个功能性冗余子系统(6,7)的可用性的信息(8),
其特征在于以下步骤
- 在所述输入指示所有功能性冗余子系统(6,7)可用的情况下激活以正常生产率(PN)为特征的正常运行模式(FN),
- 在所述输入指示所有功能性冗余子系统(6,7)不可用的情况下激活以零生产率(P0)为特征的失效-停止运行模式(F0),
- 在输入指示所述功能性冗余子系统(6,7)中的至少一个至少临时不可用而其至少另一个可用的情况下激活生产率小于正常值但是大于零的失效-运行运行模式;
- 在对所述安全控制逻辑的输入指示两个功能性冗余子系统(D1,6;D2,7)都可用并指示在所述第二安全区域(Z2)中有第二危险事件(H2)而在所述第一安全区域(Z1)中没有第一危险事件的情况下激活所述第二失效-运行模式(F2);以及
- 在对所述安全控制逻辑的输入指示所述第一功能性冗余子系统(D1,6)临时不可用而第二功能性冗余子系统(D2,7)可用并指示在所述第二安全区域(Z2)中有第二危险事件(H2)的情况下激活所述第一失效-运行模式(F1)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15157511 | 2015-03-04 | ||
| EP15157511.5 | 2015-03-04 | ||
| PCT/EP2016/054097 WO2016139147A1 (en) | 2015-03-04 | 2016-02-26 | Safety control system and method of operation of a safety control system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107407919A CN107407919A (zh) | 2017-11-28 |
| CN107407919B true CN107407919B (zh) | 2020-08-25 |
Family
ID=52598639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680013710.5A Active CN107407919B (zh) | 2015-03-04 | 2016-02-26 | 安全控制系统和安全控制系统的运行方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10599137B2 (zh) |
| CN (1) | CN107407919B (zh) |
| DE (1) | DE112016000264T5 (zh) |
| WO (1) | WO2016139147A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016107564A1 (de) | 2016-04-22 | 2017-10-26 | Kuka Systems Gmbh | Sicherheitseinrichtung und Sicherheitsverfahren |
| US10635758B2 (en) | 2016-07-15 | 2020-04-28 | Fastbrick Ip Pty Ltd | Brick/block laying machine incorporated in a vehicle |
| DK201700203A1 (en) * | 2017-03-23 | 2018-11-27 | Mrr | Safety system for collaborative robot |
| CN109291935B (zh) * | 2017-07-25 | 2020-07-03 | 大陆泰密克汽车系统(上海)有限公司 | 用于分析车辆的电子控制系统中的信号链的安全性的方法 |
| JP6687573B2 (ja) * | 2017-09-07 | 2020-04-22 | ファナック株式会社 | ロボットシステム |
| DE102018206109B4 (de) * | 2018-04-20 | 2021-01-07 | Lenze Automation Gmbh | Elektrisches Steuergerät und Steuergerätesystem |
| CN208673079U (zh) * | 2018-06-14 | 2019-03-29 | 西门子股份公司 | 工业机器人的安全控制系统以及工业机器人 |
| CN112703092A (zh) * | 2018-07-16 | 2021-04-23 | 快砖知识产权私人有限公司 | 交互系统的备份跟踪 |
| EP3640522B1 (de) * | 2018-10-17 | 2023-01-04 | Leuze electronic GmbH + Co. KG | Überwachungsvorrichtung |
| US11592376B2 (en) * | 2018-11-30 | 2023-02-28 | Illinois Tool Works Inc. | Safety systems and material testing systems including safety systems |
| US11879871B2 (en) * | 2018-11-30 | 2024-01-23 | Illinois Tool Works Inc. | Safety systems requiring intentional function activation and material testing systems including safety systems requiring intentional function activation |
| US11726018B2 (en) * | 2018-11-30 | 2023-08-15 | Illinois Tool Works Inc. | Safety system interfaces and material testing systems including safety system interfaces |
| DE102019103643A1 (de) * | 2019-02-13 | 2020-08-13 | Telegärtner Elektronik GmbH | Arbeitsmaschine zum Durchführen wenigstens eines Arbeitsvorgangs |
| DE102019114854B4 (de) * | 2019-06-03 | 2021-06-24 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zur energieeffizienten Ausführung einer Sicherheitsfunktion |
| DE102019117972B4 (de) * | 2019-07-03 | 2023-05-25 | Kriwan Industrie-Elektronik Gmbh | Verfahren und Vorrichtung zur Überwachung einer Anlage |
| WO2021008721A1 (de) | 2019-07-15 | 2021-01-21 | Sew-Eurodrive Gmbh & Co. Kg | Verfahren zum betreiben eines mobilen systems und eines alarm-gateways als teilnehmer in einem drahtlosen netzwerk |
| DE102019123581A1 (de) * | 2019-09-03 | 2021-03-04 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zur Ausführung einer Sicherheitsfunktion |
| JP2021070124A (ja) * | 2019-11-01 | 2021-05-06 | 株式会社Ihi | 分散制御システム |
| CN113119098B (zh) * | 2019-12-30 | 2022-12-02 | 深圳市优必选科技股份有限公司 | 机械臂控制方法、机械臂控制装置及终端设备 |
| CN112078630B (zh) * | 2020-08-25 | 2022-10-18 | 通号城市轨道交通技术有限公司 | 一种列车控制系统 |
| US20220171396A1 (en) | 2020-11-30 | 2022-06-02 | Yandex Self Driving Group Llc | Systems and methods for controlling a robotic vehicle |
| EP4070920A1 (de) * | 2021-04-08 | 2022-10-12 | Siemens Aktiengesellschaft | Autonomes mobiles robotersystem und verfahren zum betrieb |
| CN115529830A (zh) * | 2021-04-27 | 2022-12-27 | 华为技术有限公司 | 智能驾驶控制方法、装置以及智能驾驶控制系统 |
| CN113655705B (zh) * | 2021-07-21 | 2024-07-19 | 上海外高桥造船有限公司 | 一种安全装置及其配置方法、配置系统 |
| DE102021133582A1 (de) | 2021-12-17 | 2023-06-22 | Kuka Deutschland Gmbh | Verfahren zum Zuordnen einer Not-Halt-Funktionalität und Automatisierungsanlage |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101490283A (zh) * | 2006-07-17 | 2009-07-22 | 西门子公司 | 具有涉及安全的区域的工业设备 |
| DE102009051146A1 (de) * | 2008-10-29 | 2011-04-28 | Sms Siemag Ag | Automatisierungskonzept für ein Hütten- oder Walzwerk |
| CN103249530A (zh) * | 2010-12-16 | 2013-08-14 | 罗伯特·博世有限公司 | 用于运行搬运装置用的防护装置的方法,用于搬运装置的防护装置,和搬运装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7367244B2 (en) * | 2003-10-29 | 2008-05-06 | Calsonic Kansei Corporation | Operating position select device for automatic transmission |
| DE102005003827B4 (de) * | 2005-01-26 | 2007-01-04 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Vorrichtung und Verfahren zur Interaktion zwischen einem Menschen und einer Robotereinheit an einem Roboterarbeitsplatz |
| JP4137932B2 (ja) * | 2005-10-28 | 2008-08-20 | ファナック株式会社 | ロボット制御装置 |
| JP5035768B2 (ja) * | 2006-04-18 | 2012-09-26 | 独立行政法人産業技術総合研究所 | 人間ロボット共存作業用安全装置 |
| JP2007293450A (ja) * | 2006-04-21 | 2007-11-08 | Fujikura Ltd | センサケーブル敷設部材 |
| DE102007046706A1 (de) * | 2007-09-28 | 2009-04-16 | Autoliv Development Ab | Steuervorrichtung für Fahrzeuge |
| DE102010063214A1 (de) * | 2010-12-16 | 2012-06-21 | Robert Bosch Gmbh | Sicherungseinrichtung für eine Handhabungsvorrichtung, insbesondere einen Industrieroboter, sowie Verfahren zum Betreiben der Sicherungseinrichtung |
| EP2637068A1 (en) * | 2012-03-06 | 2013-09-11 | Siemens Aktiengesellschaft | Conveyor safety management system and method thereof |
| DE102012102236A1 (de) * | 2012-03-16 | 2013-09-19 | Pilz Gmbh & Co. Kg | Verfahren und Vorrichtung zum Absichern eines gefährlichen Arbeitsbereichs einer automatisiert arbeitenden Maschine |
| JP5768828B2 (ja) * | 2013-03-15 | 2015-08-26 | 株式会社安川電機 | ロボットシステム、及び、ロボットシステムの制御方法 |
| DE102013104265A1 (de) * | 2013-04-26 | 2014-10-30 | Pilz Gmbh & Co. Kg | Vorrichtung und Verfahren zum Absichern einer automatisiert arbeitenden Maschine |
-
2016
- 2016-02-26 WO PCT/EP2016/054097 patent/WO2016139147A1/en active Application Filing
- 2016-02-26 CN CN201680013710.5A patent/CN107407919B/zh active Active
- 2016-02-26 DE DE112016000264.5T patent/DE112016000264T5/de active Pending
-
2017
- 2017-08-01 US US15/665,470 patent/US10599137B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101490283A (zh) * | 2006-07-17 | 2009-07-22 | 西门子公司 | 具有涉及安全的区域的工业设备 |
| DE102009051146A1 (de) * | 2008-10-29 | 2011-04-28 | Sms Siemag Ag | Automatisierungskonzept für ein Hütten- oder Walzwerk |
| CN103249530A (zh) * | 2010-12-16 | 2013-08-14 | 罗伯特·博世有限公司 | 用于运行搬运装置用的防护装置的方法,用于搬运装置的防护装置,和搬运装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE112016000264T5 (de) | 2017-09-28 |
| CN107407919A (zh) | 2017-11-28 |
| WO2016139147A1 (en) | 2016-09-09 |
| US20170329321A1 (en) | 2017-11-16 |
| US10599137B2 (en) | 2020-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107407919B (zh) | 安全控制系统和安全控制系统的运行方法 | |
| WO2021128974A1 (zh) | 一种自动驾驶控制系统、控制方法及设备 | |
| EP2372478B1 (en) | Motor driving system and motor controller | |
| US7252180B2 (en) | Situation-dependent reaction in the case of a fault in the region of a door of an elevator system | |
| JP4334346B2 (ja) | エレベータドア用安全回路 | |
| US6170614B1 (en) | Electronic overspeed governor for elevators | |
| CN107614212B (zh) | 工业机器人及其故障判断方法 | |
| WO2017056688A1 (ja) | 監視システム及び車両用制御装置 | |
| US20030050735A1 (en) | Safety circuit with automatic recovery | |
| JPH08501611A (ja) | 電動モータによって駆動されるドアのための制御及び調整ユニット | |
| CN106054852A (zh) | 集成式故障沉默和故障运转系统中的可量容错的构造 | |
| EP1403010B1 (en) | Robot system comprising an operator detection unit | |
| CN107399303B (zh) | 换电站及其保护系统 | |
| JPWO2015079976A1 (ja) | エレベータの安全システム | |
| JP5271499B2 (ja) | ロボットシステム | |
| US9745169B2 (en) | Safety system for an elevator, elevator system, and method for operating such a safety system | |
| WO2020110652A1 (ja) | 電磁ブレーキ制御装置及び制御装置 | |
| JP3486747B2 (ja) | 自動車制御装置及びこれに組込まれる単一プロセッサシステム | |
| CN113894778B (zh) | 一种用于灵巧手伺服系统及其故障检测、控制保护方法 | |
| CN104285067B (zh) | 流体系统和用于运行流体系统的方法 | |
| CN116569019A (zh) | 用于控制扭转材料测试系统的系统和方法 | |
| SG180072A1 (en) | Elevator equipped with an electronic safety system | |
| KR101820538B1 (ko) | 복수의 제어시스템을 구비한 건설장비용 제어기 안전 시스템 | |
| WO2016113895A1 (ja) | エレベータ安全制御装置およびエレベータ安全制御方法 | |
| CN114967575A (zh) | 逻辑控制方法及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |