-
Die
vorliegende Erfindung betrifft das Gebiet der Steuerung von Funktionsbausteinen
in Automatisierungssystemen.
-
In
komplexen Automatisierungssystemen werden oft Funktionsbausteine
wie beispielsweise Schutzeinrichtungen, Ein- bzw. Ausgabegeräte, Überwachungseinrichtungen
oder Notausschalter eingesetzt, welche unter Verwendung komplexer Steuerungen
gesteuert werden. Zur Steuerung derartiger Funktionsbausteine steht
beispielsweise eine Mehrzahl von Funktionsbefehlen zur Verfügung, welche
beispielsweise mittels eines Softwareprogramms ausgeführt werden
können.
Handelt es sich bei den Funktionsbausteinen um sicherheitsrelevante
Funktionsbausteine, so ist die mit einer komplexen Funktionssteuerung
einhergehende Zeit- bzw. Projektverzögerung oft zeitkritisch und
nicht tolerierbar.
-
Es
ist die Aufgabe der vorliegenden Erfindung, ein einfacheres und
schnelleres Steuerungskonzept für
sicherheitsrelevante Funktionsbausteine zu schaffen.
-
Diese
Aufgabe wird durch die Merkmale der abhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungsformen
sind in den abhängigen
Ansprüchen
beschrieben.
-
Die
Erfindung basiert auf der Erkenntnis, dass sicherheitsrelevante
Funktionsbausteine effizient mittels der Kleinsteuerung gesteuert
werden können.
Dabei wird ausschließlich
eine vorbestimmte Untermenge von allen möglichen Funktions- bzw. Steuerungsbefehlen
eingesetzt, beispielsweise nur der Aktivierungs- bzw. Deaktivierungsbefehl.
Durch die Beschränkung
der realisierbaren Steuerungsbefehle auf einige wenige, für die Systemsicherheit wichtigen
Befehle, können
sicherheitsrelevante Funktionsbausteine insbesondere im Fehlerfall
mittels der Kleinsteuerung gesteuert werden, ohne dass komplexe
Steuerungsroutinen ausgeführt
werden müssen.
-
Die
Erfindung betrifft ein Verfahren zur Kleinsteuerung eines sicherheitsrelevanten
Funktionsbausteins eines Automatisierungssystems, wobei zur Kleinsteuerung
ausschließlich
eine Untermenge von Funktionsbefehlen aus einer Menge von Funktionsbefehlen
zur Steuerung des sicherheitsrelevanten Funktionsbausteins verwendet
wird und wobei die Untermenge von Funktionsbefehlen das Aktivieren oder
das Deaktivieren des sicherheitsrelevanten Funktionsbausteins aufweist.
-
Gemäß einer
Ausführungsform
wird der sicherheitsrelevante Funktionsbaustein im Rahmen der Kleinsteuerung
aktiviert oder deaktiviert.
-
Gemäß einer
Ausführungsform
wird die Kleinsteuerung des sicherheitsrelevanten Funktionsbausteins
mittels einer Steuerungseinrichtung durchgeführt.
-
Gemäß einer
Ausführungsform
enthält
die Untermenge von Funktionsbefehlen nur die Aktivierung und Deaktivierung
oder nur die Aktivierung oder nur die Deaktivierung des sicherheitsrelevanten Funktionsbausteins.
-
Gemäß einer
Ausführungsform
wird die Kleinsteuerung des sicherheitsrelevanten Funktionsbausteins
ausschließlich
ansprechend auf ein konstantes Spannungs- oder Stromsignal durchgeführt.
-
Die
Erfindung betrifft ferner eine Steuerungsvorrichtung zur Kleinsteuerung
eines sicherheitsrelevanten Funktionsbausteins eines Automatisierungssystems
auf der ausschließlichen
Basis einer Untermenge von Funktionsbefehlen aus einer Menge von Funktionsbefehlen
zur Steuerung des sicherheitsrelevanten Funktionsbausteins, wobei
die Steuerungsvorrichtung ausgebildet ist, den sicherheitsrelevanten
Funktionsbaustein im Rahmen der Kleinsteuerung zu Aktivieren oder
zu Deaktivieren.
-
Gemäß einer
Ausführungsform
enthält
die Untermenge von Funktionsbefehlen nur die Aktivierung und Deaktivierung
oder nur die Aktivierung oder nur die Deaktivierung des sicherheitsrelevanten Funktionsbausteins.
-
Gemäß einer
Ausführungsform
ist die Steuerungsvorrichtung ausgebildet, die Kleinsteuerung des
sicherheitsrelevanten Funktionsbausteins ausschließlich ansprechend
auf ein „True”-Signal und/oder
auf ein „False”-Signal
durchzuführen.
-
Gemäß einer
Ausführungsform
umfasst die Steuerungsvorrichtung einen Schalter zum Aktivieren
und/oder zum Deaktivieren des sicherheitsrelevanten Bausteines.
-
Die
Erfindung betrifft ferner eine programmtechnisch eingerichtete Vorrichtung
mit einem Programmcode zum Durchführen des erfindungsgemäßen Verfahrens
zur Kleinsteuerung eines sicherheitsrelevanten Funktionsbausteins.
-
Weitere
Ausführungsbeispiele
werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es
zeigen:
-
1 eine
Steuerungsvorrichtung zur Kleinsteuerung eines sicherheitsrelevanten
Funktionsbausteins;
-
2 eine
Steuerungsvorrichtung zur Kleinsteuerung eines sicherheitsrelevanten
Funktionsbausteins; und
-
3 eine
Steuerungsvorrichtung zur Kleinsteuerung eines sicherheitsrelevanten
Funktionsbausteins.
-
1 zeigt
eine Steuerungsvorrichtung mit zwei Steuerungseinrichtungen 101 und 103,
welche beispielsweise unterschiedlichen Funktionsbausteinen zugeordnet
sein können.
-
Die
Steuerungseinrichtung 101 umfasst einen Eingang ACT, einen
Eingang ESTOP, einen Eingang RESET sowie die Ausgänge OUT
und ERR. Darüber
hinaus können über S_RES
und A_RES konstante Signale, beispielsweise FALSE oder TRUE, angelegt
werden, um die Steuerungseinrichtung mittels eines Reset zurückzusetzen.
Die Signale TRUE und FALSE sind beispielsweise durch konstante Signale,
welche eine logische ”1” und eine
logische ”0”, repräsentieren,
darstellbar.
-
Die
Steuerungseinrichtung 103 umfasst im Unterschied zu der
Steuerungseinrichtung 101 die Eingänge S_1 und S_2. Darüber hinaus
kann mittels DT (Diskrepanzzeit) eine Wirkdauer, beispielsweise 3s,
der Steuereinrichtung 103 bestimmt werden.
-
Die
Funktionsbausteine können
beispielsweise mit den Ausgängen
OUT verbunden sein, wobei die Steuereinrichtungen 101 und 103 in
dem in 1 dargestellten Ausführungsbeispiel auf unterschiedliche
Funktionsbausteine bzw. Schutzeinrichtungen, welche von unterschiedlichen
sicheren Bausteinen ausgewertet werden können, auf verschiedene sichere
Steuerungsausgänge
wirken. So ist beispielsweise ein Not-Halt-Funktionsbaustein (Emergency
Stop) über
den Ausgang OUT mit beispielsweise einem Signal 0_O0 steuerbar.
Die Steuereinrichtung 103 kann beispielsweise auf einen Überwachungs-Funktionsbaustein
(Guard Monitoring), welcher mit deren OUT-Ausgang verbunden sein
kann, mittels eines Signals 0_O1 einwirken. Somit steuern die Ausgänge OUT
der Steuereinrichtungen 101 und 103 unterschiedliche
Sicherheitsbereiche.
-
Die
Aktivierung bzw. die Deaktivierung der Funktionsbausteine kann über den
jeweiligen Eingang ACT über
unterschiedliche Signale bzw. Steuerungseingänge durchgeführt werden.
So kann beispielsweise zur dauerhaften Aktivierung des jeweiligen
Funktionsbausteins der jeweilige Eingang ACT für jeden der Funktionsbausteine
mit der Signalkonstanten TRUE beschaltet werden. In diesem Zusammenhang
wird unter Einzelaktivierung bzw. Abschaltung von Funktionsbausteinen
wie Schutzeinrichtungen verstanden, dass unterschiedliche und voneinander
unabhängige
Sicherheitsbereiche mit zumindest einem Funktionsbaustein automatisch
oder manuell an- und/oder abgeschaltet werden können. So kann die Deaktivierung
eines sicheren Funktionsbausteins über den Eingang ACT zur Abschaltung
des jeweiligen Ausgangs bzw. Sicherheitsbereichs führen, wobei
abgeschaltete Sicherheitsbereiche nicht betrieben werden können.
-
Gemäß einer
Ausführungsform
kann eine Gruppenaktivierung bzw. eine Gruppenabschaltung von Funktionsbausteinen
wie Schutzeinrichtungen mittels eines Steuersignals durchgeführt werden. Darunter
wird verstanden, dass unterschiedliche und voneinander unabhängige Schutzbereiche über ein gemeinsames
Signal automatisch oder manuell an- bzw. abgeschaltet werden können, wobei
sie in abgeschaltetem Zustand beispielsweise nicht betrieben werden
können.
-
2 zeigt
eine Steuerungsvorrichtung mit einer ersten Steuerungseinrichtung 201 und
einer zweiten Steuerungseinrichtung 203. Die Strukturen der
Steuerungseinrichtungen 201 und 203 entsprechen
den Strukturen der Steuerungseinrichtungen 101 und 103 aus 1.
Im Unterschied zu dem in 1 dargestellten Ausführungsbeispiel
sind die Eingänge
ACT der Steuerungseinrichtungen 201 und 203 miteinander
verbunden, wodurch eine gemeinsame, einkanalige Aktivierung oder
Deaktivierung unterschiedlicher Funktionsbausteine durchgeführt werden
kann.
-
In
dem in 2 dargestellten Ausführungsbeispiel wirken unterschiedliche
Schutzeinrichtungen, welche von unterschiedlichen sicheren Bausteinen
ausgewertet werden, auf verschiedene sichere Steuerungsausgänge. So
kann beispielsweise über den
Steuerungsausgang 0_O0 der Not-Halt-Funktionsbaustein
(Emergency Stop) gesteuert werden. Über den Ausgang 0_O1 kann hingegen
ein Überwachungsfunktionsbaustein
(Guard Monitoring) gesteuert werden. Diese Ausgänge steuern daher unterschiedliche
und voneinander abhängige
Sicherheitsbereiche, welche jeweils zumindest einen Funktionsbaustein
aufweisen.
-
Die
Aktivierung bzw. die Deaktivierung der sicheren Funktionsbausteine
kann über
den Eingang ACT über
das gleiche Signal durchgeführt
werden. Dabei führt
die Deaktivierung eines Funktionsbausteins über den Eingang ACT zu einer
Abschaltung aller voneinander abhängigen Sicherheitsbereiche.
-
Das
erfindungsgemäße Konzept
ist ebenfalls bei modular aufgebauten Automatisierungsanlagen mit
Schutzeinrichtungen einsetzbar, welche einzelne Anlagenmodule mit
Schutzeinrichtungen aufweisen, die beispielsweise prozessbedingt
an- bzw. abgekoppelt werden können.
Im angekoppelten Zustand eines Maschinenmoduls ist dessen Schutzeinrichtung sicherheitsrelevant
und wirkt auf den Gefahrenbereich. Befindet sich das Maschinenmodul
im abgekoppelten Zustand, so steht die modulspezifische Schutzeinrichtung
der jeweiligen Anwendung nicht zur Verfügung, da sie zu diesem Zeitpunkt
nicht sicherheitsrelevant ist.
-
3 zeigt
eine Steuerungsvorrichtung für modulare
Funktionsbausteine wie beispielsweise Schutzeinrichtungen in einkanaliger
Ausführung.
In dem in 3 dargestellten Ausführungsbeispiel
wirken mehrere sichere Funktionsbausteine gemeinsam auf den Steuerungsausgang
O0.
-
Die
in 3 dargestellte Steuerungsvorrichtung umfasst Steuerungseinrichtungen 301 und 303, welche
wie in den 1 und 2 dargestellten
Sicherheitseinrichtungen aufgebaut sind. Darüber hinaus sind Anschlüsse 305, 307, 309 sowie 311 vorgesehen,
wobei der Ausgangsanschluss OUT der Steuerungseinrichtung 301 mit
dem Anschluss 307 verbunden ist. An dem Anschluss 305 ist
beispielsweise ein Rückmeldesignal
einer Meldeeinrichtung erfassbar. Über den Anschluss 311 wird
ein Signal zur Abschaltung eines sicherheitsrelevanten Funktionsbausteins,
wie beispielsweise einer Maschine, angelegt oder empfangen oder
detektiert.
-
Darüber hinaus
ist eine sichere Funktion unter Verwendung eines RS-Flip-Flops realisiert,
um ein vorrangiges Rücksetzen
zu ermöglichen,
vorgesehen, welcher die Anschlüsse
SET, RESET und OUT zugeordnet sind. Weiterhin ist ein Element 313 vorgesehen,
beispielsweise ein Trigger, ein Detektor oder ein Taster, welcher
die Anschlüsse
IN und OUT aufweist, wobei der Anschluss OUT des Elementes 313 mit
dem Anschluss SET der sicheren Funktion RS verbunden ist. Der Eingangsanschluss
ACT der Steuerungseinrichtung 303 ist mit dem RESET-Anschluss
der sicheren Funktion RS verbunden. Deren Ausgangsanschluss OUT
sowie der Anschluss OUT der Sicherheitseinrichtung sind mit einem
Vergleichsglied 314 verbunden, welches beispielsweise eine ODER-Verknüpfung realisiert,
dessen Ausgang mit dem Anschluss 309 gekoppelt ist. Die
Anschlüsse 305, 307 und 309 sowie
der Ausgang 311 beschalten äußerlich ein UND-Verknüpfungsglied,
das ein Signal zur Abschaltung des Funktionsbausteins generiert, falls
die an den Anschlüssen 305, 307 und 309 anliegenden
Signale gleich sind.
-
Nach
Abschalten des Anschlusses ACT kann eine Anlaufsperre vorgesehen
sein, welche nur dann wirkt, wenn der Eingang ACT der Sicherheitseinrichtung 303,
welche beispielsweise für
das Guard-Monitoring eingesetzt wird, auf FALSE gesetzt wird, und
wenn der OUT-Ausgang der sicheren Funktion RS auf TRUE gesetzt wird.
Deren Ausgang kann ferner beispielsweise mit einer Meldeeinrichtung
zur Signalisierung einer überbrückten Schutzeinrichtung verbunden
sein.
-
Bevorzugt
ist beispielsweise an die erste Schutzeinrichtung ein Not-Haltbefehlsgerät beispielsweise über einen
Steuerungseingang I7, welches mit einem Signal 0_I7 verbunden ist,
anschließbar
und auswertbar durch einen Not-Halt-Funktionsbaustein
(Emergency Stop), welcher an einer Maschine permanent vorhanden
sein kann. Die zweite Schutzeinrichtung ist beispielsweise eine
Schutztür, welche
an den Steuerungseingang I4, welcher mit dem Signal 0_I4 verbunden
ist, angeschlossen werden kann. Die Auswertung erfolgt durch den Überwachungs-Funktionsbaustein
(Guard Monitoring), der temporär
an die gesamte Applikation ankoppelbar und von dieser abkoppelbar
ist.
-
Im
abgekoppelten Zustand steht die zweite Schutzeinrichtung der Applikation
nicht zur Verfügung,
weil das Modul nicht mehr Bestandteil einer Maschine ist. Zu diesem
Zeitpunkt ist die zweite Schutzeinrichtung nicht mehr sicherheitsrelevant.
-
Um
die zweite Schutzeinrichtung abzukoppeln, steuert die Anwendung
beispielsweise durch das Signal 0_I0 den Parameter ACT des Überwachungs-Funktionsbausteines
auf FALSE, woraufhin der Ausgang OUT ebenfalls auf FALSE gesetzt
wird.
-
Um
nach der durchgeführten
Bausteinabschaltung den verbleibenden Anlageteil wieder in Betrieb
zu nehmen und einen automatischen Anlauf zu verhindern, wird beispielsweise über die
sicheren Funktionen 313 (F_TRIG) und RS eine optionale
Anlaufsperre realisiert. Die Aufhebung der Anlaufsperre kann beispielsweise
mit einem an den Steuerungseingang I5 angeschlossenen Schlüsseltaster
mittels eines Signals 0_I5 realisiert werden.
-
Zur
Realisierung des RESET-Signals am Takteingang IN der sicheren F_TRIG-Funktion
kann am Steuerungseingang I5 ein Taster verschaltet werden.
-
Das
Signal der vorgenannten Anlaufsperre kann beispielsweise mit weiteren
sicheren Funktionen und einem Rückführsignal
der Meldeeinrichtung verknüpft
werden. Das Verknüpfungsergebnis
steuert den Steuerungsausgang O0 über das Signal 0_O0.
-
Die
beispielsweise überbrückte zweite Schutzeinrichtung
wird beispielsweise der Meldeeinrichtung über das Signal 0_O1 angezeigt.
Durch die in 3 dargestellte Verschaltung
kann die Applikation auch dann weiter betrieben werden, wenn der Überwachungs-Funktionsbaustein
deaktiviert ist. Dabei kann die erste Schutzeinrichtung weiterhin
auf den sicheren Ausgang 0_O0 einwirken.
-
Zur
Fehlerüberprüfung kann
beispielsweise die gesamte Sicherheitsfunktion validiert bzw. überprüft werden.
Dabei kann beispielsweise die Überbrückung oder
die Abkopplung der Schutzeinrichtung beispielsweise nur durch vorbestimmte,
autorisierte Benutzer durchgeführt
werden, wenn die Schutzeinrichtungen nicht mehr sicherheitsrelevant
sind. Dadurch wird sichergestellt, dass die Schutzeinrichtungen
nicht fälschlicherweise überbrückt oder
abgekoppelt werden können.
Daher ist bevorzugt eine eindeutige Kennzeichnung der An- und Abkopplungseinrichtungen
von Schutzeinrichtungen vorzusehen.
-
Darüber hinaus
kann die Überbrückung der abgekoppelten
Schutzeinrichtungen durch eine beispielsweise optische und/oder
akustische Meldeeinrichtung mit einem Rückführsignal wie vorstehend beschrieben
signalisiert werden.
-
Erfindungsgemäß können somit
einzelne oder in Gruppen geschaltete Funktionsbausteine beispielsweise
per Hardwaresignale ein- und ausgeschaltet werden. Das erfindungsgemäße Konzept kann
beispielsweise in Maschinen angewendet werden, an denen einzelne
Module prozessbedingt an- und abgekoppelt werden, wobei die sicherheitsrelevanten
Funktionsbausteine wie Schutzeinrichtungen beispielsweise Bestandteile
dieser koppelbaren Maschinenmodule sind. Im angekoppelten Zustand
ist die Schutzeinrichtung beispielsweise sicherheitsrelevant und
wirkt auf den Gefahrenbereich. Im abgekoppelten Zustand hingegen
steht die abgekoppelte Schutzeinrichtung der jeweiligen Anwendung
nicht zur Verfügung,
weil sie zu diesem Zeitpunkt nicht sicherheitsrelevant ist.