-
HINTERGRUND DER ERFINDUNG
-
1. TECHNISCHER BEREICH
-
Die
vorliegende Erfindung betrifft eine Sicherheits-Steuerung zum Arbeiten
auf ein Eingabegerät
(Notaus-Schalter, Lichtvorhang usw.), welches an einen vorbestimmten
Sicherheitsstandard angepasst ist, und ein Ausgabegerät (Sicherheits-Schütz, Sicherheits-Relais
usw.), welches an einen vorbestimmten Sicherheitsstandard angepasst
ist, insbesondere eine Sicherheits-Steuerung (im Folgenden als „Sicherheits-Master" bezeichnet), welche
ein Anwenderprogramm zur Realisierung einer Verknüpfungsfunktion
zwischen einer Mehrzahl an Geräten, darin
eingeschlossen die Eingabe/Ausgabe-Geräte, die an einen vorbestimmten
Sicherheitsstandard angepasst sind, enthält.
-
2. STAND DER TECHNIK
-
Ein
Fertigungssystem, welches beispielsweise bei Automobilen oder Halbleitern
angewendet wird, ist im Allgemeinen durch Verbinden einiger Geräte konfiguriert.
Jedes dieser Geräte
ist mit verschiedenen Sicherheitsmaßnahmen ausgestattet, wobei eine
Verknüpfung
der Geräte
vorgesehen ist, so dass Sicherheitsmaßnahmen für das gesamte Fertigungssystem
zur Durchführung
gelangen.
-
Erläuterungsdarstellungen
eines Beispiels für
ein gesamtes Fertigungssystem, welches mit Sicherheitsmaßnahmen
für jedes
Gerät und
mit Sicherheitsmaßnahmen
für das
gesamte Fertigungssystem ausgestattet ist, sind in den 12A und 12B dargestellt.
Wie in 12A dargestellt, wird in diesem
Beispiel das gesamte Fertigungssystem durch n Geräte D1 bis
Dn konfiguriert.
-
Jedes
Gerät D1
bis Dn umfasst ein an einen vorbestimmten Sicherheitsstandard angepasstes Eingabegerät (in diesem
Beispiel ist ein Notaus-Schalter dargestellt) IN1 bis INn und ein
an einen vorbestimmten Sicherheitsstandard angepasstes Ausgabegerät (in dem
Beispiel ist ein Schütz
dargestellt) OUT1 bis OUTn.
-
Jedes
Gerät D1
bis Dn umfasst ferner eine Sicherheits-Steuerung oder ein entlegenes
(dezentrales) Sicherheits-I/O-Endgerät („Remote Terminal”) C1 bis
Cn, welches als „Sicherheits-Slave" fungiert, um die
Eingabegeräte
IN1 bis INn und die Ausgabegeräte
OU1 bis OUTn zu verwalten.
-
Derartige
Sicherheits-Steuerungen oder entlegene Sicherheits-I/O-Endgeräte C1 bis
Cn können über ein
Sicherheits-Feldnetzwerk (nicht dargestellt) mit einer Sicherheits-Steuerung
(Sicherheitscontroller) C0, welcher als „Sicherheits-Master" fungiert, kommunizieren.
-
Der „Sicherheits-Master" und der „Sicherheits-Slave" beziehen sich auf
eine „Master-Servant"-Beziehung in Prozessen
der Erfassung eines Statussignals in Bezug auf Verknüpfung und
Ausgabe eines Operationsbefehlssignals gemäß der vorliegenden Erfindung;
diese unterscheidet sich von der von der „Master"-„Slave"-Beziehung in dem
allgemeinen Feldnetzwerk.
-
Ein
Statussignal, welches anzeigt, ob sich das relevante Gerät in einem „sicheren
Zustand" oder in
einem „unsicheren
Zustand” befindet,
wird zu einem vorbestimmten Zeitpunkt von jeder Sicherheits-Steuerung (d. h., „Sicherheits-Slave") C1 bis Cn jedes
Geräts
D1 bis Dn an die Sicherheits-Steuerung (d. h., „Sicherheits-Master") C0 übermittelt.
In diesem Fall wird der Inhalt des Statussignals als ON („1") definiert, wenn
der „sichere
Zustand" vorliegt,
und als OFF („0"), wenn der „unsichere
Zustand" vorliegt.
-
Wenn
eines der Geräte
D1 bis Dn nicht existent ist, wird der Inhalt des dem nicht existenten
Gerät entsprechenden
Statussignals unter den Statussignalen, die auf einer Seite der
Sicherheits-Steuerung C0 empfangen werden, als OFF („0") definiert, was dem „unsicheren
Zustand" entspricht.
-
Das
Operationsbefehlssignal, welches anweist, ob sich das relevante
Gerät in
einem „In-Betrieb-Zustand” oder in
einem „Halt-Zustand", in dem die Stromversorgung
abgeschirmt ist, befinden soll, wird zu einem vorbestimmten Zeitpunkt
von der Sicherheits-Steuerung C0 an jede Sicherheits-Steuerung oder
jedes entlegene Sicherheits-I/O-Endgerät C1 bis
Cn übermittelt.
-
In
diesem Fall wird der Inhalt des Operationsbefehlssignals als ON
(„1") definiert, wenn
es sich um einen „In-Betrieb-Zustand-Befehl" handelt, und als
OFF („0"), wenn es sich um
einen „Halt-Zustand-Befehl" handelt.
-
In
einem Anwenderspeicher (nicht dargestellt) in der Sicherheits-Steuerung C0 ist
ein Sicherheitssteuerungs-Anwenderprogramm gespeichert, welches
eine Verknüpfungsfunktion
enthält.
Das die Verknüpfungsfunktion
realisierende Anwenderprogramm kann in einem Logiksymboldiagramm
vorliegen, beispielsweise kann es als Mehreingangs-Logikprodukt-UND-Schaltung
(„multi-input
logical product circuit AND")
vorliegen, bei der das Statussignal von jedem Gerät als Eingabe
(Input) und das Operationsbefehlssignal zu jedem Gerät als Ausgabe
(Output) empfangen wird, wie in 12B dargestellt.
-
Gemäß einer
derartigen Konfiguration werden, wenn sämtliche der Mehrzahl an Geräten D1 bis Dn,
welche das Fertigungssystem bilden, existent sind und sich jedes
dieser Geräte
in einem vorbestimmten „sicheren
Zustand" befindet,
die Inhalte der Statussignale der Geräte D1 bis Dn, welche auf der Seite
der Sicherheits-Steuerung C0 empfangen werden, sämtlich ON („1"); somit wird die Ausgabe der logischen
Mehreingangs-Logikprodukt-UND-Schaltung, welche die Verknüpfungsfunktion
bildet, ON („1").
-
Nachfolgend
werden die Inhalte der Operationsbefehlssignale, welche auf den
Geräteseiten empfangen
werden, sämtlich
ON („1"), wobei sich sämtliche
Geräte
D1 bis Dn im „In-Betrieb-Zustand" befinden können, wodurch
der Betrieb des gesamten Fertigungssystems ermöglicht wird.
-
Im
In-Betrieb-Zustand des Fertigungssystems wird, wenn der „unsichere
Zustand” in
einem der Geräte
D1 bis Dn auftritt, der Inhalt des Statussignals, welches z. B.
von der Sicherheits-Steuerung des im „unsicheren Zustand" befindlichen Geräts an die
Sicherheits-Steuerung C0 übermittelt
wird, welcher die Verknüpfungssteuerung
durchführt,
OFF („0"), was den „unsicheren
Zustand" anzeigt;
somit wird die Ausgabe der logischen Mehreingangs-Logikprodukt-UND-Schaltung,
welche die Verknüpfungsfunktion
konfiguriert, die in das Anwenderprogramm eingebaut ist, OFF („0").
-
Nachfolgend
werden die Inhalte der Operationsbefehlssignale, welche auf jeder
Geräteseite empfangen
werden, sämtlich
OFF („0"), wobei sämtliche
Geräte
D1 bis Dn im „Halt-Zustand" vorliegen, und das
gesamte Fertigungssystem befindet sich im „Halt-Zustand", in dem die Stromversorgung
abgeschirmt ist.
-
In
einem Zustand, in dem eines der Geräte D1 bis Dn, welche das Fertigungssystem
konfigurieren, fehlt („abwesend
ist") oder in einem
Zustand vorliegt, in dem z. B. ein Kommunikationsfehler/-ausfall oder
eine Stromunterbrechung in einem der Geräte D1 bis Dn auftritt, wird
ein „keine-Teilnahme-an-der-Kommunikation"-Zustand realisiert,
wobei in einem derartigen „keine-Teilnahme-an-der-Kommunikation"-Zustand der Inhalt
des Statussignals des Geräts,
welches abwesend ist oder in welchem z. B. ein Kommunikationsfehler/-ausfall
oder eine Stromunterbrechung auftritt, was von der Sicherheits-Steuerung
C0, welche die Verknüpfungssteuerung
durchführt,
wahrgenommen wird, OFF („0") wird, was dem „unsicheren
Zustand" entspricht,
wodurch die Ausgabe der logischen Mehreingangs-Logikprodukt-UND-Schaltung,
welche die in dem Anwenderprogramm enthaltene Verknüpfungsfunktion konfiguriert,
OFF („0") wird.
-
Anschließend werden, ähnlich zu
dem Fall, in dem sich eines der Geräte D1 bis Dn im „unsicheren
Zustand" befindet,
die Inhalte der Operationsbefehlssignale, welche auf jeder Gerätseite empfangen werden,
sämtlich
OFF („0"), wobei sich sämtliche
Geräte
D1 bis Dn im „Halt-Zustand" befinden, und das gesamte
Fertigungssystem liegt im Halt-Zustand vor, in dem die Stromversorgung
abgeschirmt ist.
-
ÜBERBLICK
-
In
dem Fertigungssystem, das ein Sicherheitssteuerungssystem vorsieht,
welches durch Verbinden eines Sicherheits-Masters (Sicherheits-Steuerung
C0) und einer Mehrzahl an Sicherheits-Slaves (Sicherheits-Steuerung
oder entlegenen Sicherheits-I/O-Endgeräten („Remote Terminal” C1 bis
Cn) durch ein Sicherheitsfeldnetzwerk gebildet wird, befindet sich,
wie oben beschrieben, das gesamte Fertigungssystem in einem Halt-Zustand,
in dem eine Stromversorgung abgeschirmt wird, wenn eines der Geräte D1 bis
Dn in einem „unsicheren
Zustand” vorliegt,
wenn eines der Geräte
D1 bis Dn, welche das Fertigungssystem konfigurieren, fehlt („abwesend ist"), oder wenn z. B.
ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt,
d. h., in einem Zustand „nicht
an der Kommunikation teilnehmend",
in dem der relevante Sicherheits-Slave nicht an der Kommunikation
teilnimmt.
-
Der
Zustand, in dem eines der Geräte
D1 bis Dn, welche das Fertigungssystem konfigurieren, fehlt („abwesend
ist") tritt beispielsweise
bei einer Neueinstellung/Inbetriebnahme eines Fertigungssystems oder
bei der Instandhaltung auf. Insbesondere im Fall eines Fertigungssystems,
wie beispielsweise für
ein Automobil oder einen Halbleiter, sind im Normalfall der Lieferant
und der Einrichter der Geräte,
welche das Ferti gungssystem konfigurieren, nicht die gleichen; dadurch
tritt ein Problem bei dem Betriebstest der jeweiligen Geräte auf,
wobei es äußerst unbequem
ist, dass der Betrieb des gesamten Fertigungssystems erst durchgeführt werden
kann, wenn sämtliche
Geräte
fertiggestellt sind.
-
Um
den Nachteil zu beheben, dass der Betrieb der Geräte, die
das Fertigungssystem konfigurieren, erst durchgeführt werden
kann, wenn sämtliche
Geräte
fertig gestellt sind, wurden einige (erste bis dritte) Maßnahmen
zur Verknüpfungs-Invalidierung
aus dem Stand der Technik durchgeführt (siehe 13A bis 13C).
-
Als
erste Maßnahme
wurde eine relevante Stelle in dem Anwenderprogramm zur Realisierung der
Verknüpfungsfunktion
temporär
umgeschrieben.
-
Anders
ausgedrückt
wird, wie durch Vergleich eines in 13A dargestellten
Beispiels für ein
Original-Programm mit einem in 13B dargestellten
Beispiel für
ein Programm nach einer Änderung
deutlich wird, ein Überschreibungsprozess
des Anwenderprogramms in einer Sicherheits-Steuerung C0, welcher
die Verknüpfungsfunktion
durchführt,
unter Anwendung eines vorbestimmten Programmierwerkzeugs („Tool”) in einer
ersten Maßnahme
zur Verknüpfungs-Invalidierung
durchgeführt,
wobei das Programm derart umgeschrieben wird, dass anstelle des
Statussignals, welches dem abwesenden Gerät (in diesem Beispiel Gerät D2) entspricht,
konstant ON („1") eingegeben wird,
wodurch temporär
der Einfluss des Statussignals OFF („0"), welches dem Gerät D2 entspricht, eliminiert
wird.
-
Als
zweite Maßnahme
wird das Statussignal, das an die relevante Stelle in dem Anwenderprogramm
der Sicherheits-Steuerung C0, welche die Verknüpfungs-Funktion ausführt, eingegeben
wird, oder das Operationsbefehlssignal, das an die relevante Stelle
ausgegeben wird, durch eine erzwungene Setzfunktion oder eine erzwungene
Rücksetz funktion,
die in dem Programmierwerkzeug („Tool”) enthalten ist, vorübergehend
bei ON („1") fixiert.
-
Anders
ausgedrückt,
wird, wie aus einem Vergleich des in 13A dargestellten
Beispiels für ein
Originalprogramm mit dem in 13C dargestellten
Programmbeispiel nach einer Änderung
deutlich wird, das Statussignal (in diesem Beispiel das Statussignal,
welches dem Gerät
D2 entspricht), welches an der relevanten Stelle in dem Anwenderprogramm zur
Durchführung
der Verknüpfungsfunktion
eingegeben wird, oder das Operationsbefehlssignal (in diesem Beispiel
das von der Logikprodukt-UND-Schaltung ausgegebene Operationsbefehlssignal,
welches an die relevante Stelle auszugeben ist, durch eine erzwungene
Setzfunktion oder Rücksetzfunktion,
mit der das Programmierwerkzeug ausgestattet ist, unter Verwendung
eines vorbestimmten Programmierwerkzeugs in einer zweiten Maßnahme zur
Verknüpfungs-Invalidierung
temporär
fixiert, um den Einfluss des Statussignals, welches dem Gerät D2 entspricht, temporär zu eliminieren.
-
Als
dritte Maßnahme
wird eine „Off-Line-Simulation" der Sicherheits-Steuerung
zur Durchführung
einer Steuerung zur Realisierung der Verknüpfungsfunktion durchgeführt, wobei
eine Überprüfung des
Systembetriebs durch die wirkliche Maschine nicht erfolgt.
-
Da
das Anwenderprogramm selbst, welches mit der Realisierung der Verknüpfungsfunktion
in Beziehung steht, verändert
wird, treten bei der ersten Maßnahme
jedoch Probleme auf, derart, dass die Möglichkeit eines Programmierfehlers
bei der Änderungsoperation
besteht, und es vergessen werden kann, die veränderte Stelle wieder in ihren
Originalzustand zu versetzen. Insbesondere kann, wenn es vergessen
wird, die veränderte
Stelle in dem Anwenderprogramm in ihren Originalzustand zu versetzen, der
extrem gefährliche
Fall eintreten, dass das Fertigungssystem nicht stoppt, auch wenn
eine Sicherheitsvorrichtung (z. B. Notaus-Schalter), welche der veränderten
Stelle entspricht, betätigt
wird.
-
Bei
der zweiten Maßnahme
kann, da das Statussignal, welches an der relevanten Stelle in dem Anwenderprogramm
der Sicherheits-Steuerung
C0 zur Realisierung der Verknüpfungs-Funktion
eingegeben wird, und das Operationsbefehlssignal, welches an die
relevante Stelle auszugeben ist, durch die erzwungene Setzfunktion
oder die erzwungene Rücksetzfunktion,
welche in dem Programmierwerkzeug enthalten sind, temporär fixiert
sind, beim Versuch, das Statussignal oder das Operationsbefehlssignal
zwangsweise auszugeben, durch einen Fehler ein anderes Signal zwangsweise
ausgegeben werden, was zu einer unerwarteten Gefahr führen kann.
-
Bei
der dritten Maßnahme
kann das Programm „debugged" werden; da jedoch
die Überprüfung des
Systembetriebs durch die wirkliche Maschine, welche eine extern
verbundene Vorrichtung, wie beispielsweise einen Sensor oder einen
Motor, umfasst, nicht erfolgt, wird in dem tatsächlichen Maschinensystem eine
unbeabsichtigte Operation angenommen, wodurch die Sicherheit kann
nicht ausreichend gewährleistet
werden kann.
-
Es
wird angenommen, dass die Probleme der ersten bis dritten Maßnahme zu
Verknüpfungs-Invalidierung
gleichermaßen
auftreten, wenn eine Sicherheits-Steuerung vom Baugruppentyp allein
verwendet wird und eine jede lokale Sicherheits-I/O-Einheit zu jedem
Gerät des
Fertigungssystems zugeordnet wird.
-
In
Anbetracht der Probleme aus dem Stand der Technik ist es eine Aufgabe
der vorliegenden Erfindung, eine Sicherheits-Steuerung bereitzustellen, bei
der die Verknüpfung
mit einer einfachen Operation in einen ungültigen (invaliden) Zustand
gebracht werden kann, ohne das Anwenderprogramm selbst zu verändern oder
die spezifischen Eingabesignale oder Ausgabesignale zwangsweise
einzustellen oder zurückzu setzen,
wenn eines der Geräte,
welche das Fertigungssystem bilden, „abwesend" ist oder ein Kommunikationsfehler/-ausfall
oder eine Stromunterbrechung auftritt.
-
Eine
andere Aufgabe der vorliegenden Erfindung ist, eine Sicherheits-Steuerung
bereitzustellen, bei der die Verknüpfung wieder in einen gültigen Zustand
gebracht werden kann, ohne dass eine spezielle Wiederherstellungsoperation
notwendig ist, wenn das Gerät,
welches „nicht
an der Kommunikation teilnimmt" wieder „an der
Kommunikation teilnimmt".
-
Eine
weitere Aufgabe der vorliegenden Erfindung ist, eine Sicherheits-Steuerung
bereitzustellen, durch die verhindert wird, dass, wenn ein Gerät, welches „nicht
an der Kommunikation teilnimmt" wieder „an der
Kommunikation teilnimmt",
die Verknüpfung nachfolgend
nicht fälschlicherweise
ungültig
gemacht (invalidiert) wird.
-
Weitere
Aufgaben und Vorteile der vorliegenden Erfindung können durch
einen einschlägigen Fachmann
anhand der folgenden Beschreibung leicht verstanden werden.
-
Die
oben genannten Probleme werden durch den erfindungsgemäßen Sicherheits-Master
mit folgender Konfiguration gelöst.
-
Der
Sicherheits-Master der vorliegenden Erfindung ist derart konfiguriert,
dass er über
ein Sicherheitsfeldnetzwerk mit einer Mehrzahl an Sicherheits-Slaves
oder mit einer Mehrzahl an lokalen Sicherheits-I/O-Einheiten, die durch
einen Sicherheits-Rückwand-Bus
des Sicherheits-Masters
kommunizieren, wobei jeder aus der Mehrzahl an Sicherheits-Slaves und jede der
lokalen Sicherheits-I/O-Einheiten die Verbindung mit Sicherheits-I/O-Geräten in einer
Mehrzahl an Gerätezellen („cell equipment”) ermöglicht,
kommuniziert.
-
Der
Sicherheits-Master empfängt
von jedem Sicherheits-Slave oder jeder lokalen Sicherheits-I/O-Einheit
ein Statussignal, welches in Bezug auf die Gerätezelle einen „sicheren
Zustand" oder einen „unsiche ren
Zustand" anzeigt,
und steuert den In-Betrieb/Halt der Geräte durch Ausführen eines Verknüpfungsoperationsprogramms,
welches durch den Anwender geschaffen wurde, wobei das empfangene
Statussignal als Eingabe (Input) dient, um ein Operationsbefehlssignal
auszugeben, wobei das Operationsbefehlssignal an das Sicherheits-I/O-Gerät jeder
Gerätezelle über die
Sicherheits-Slaves oder die lokalen Sicherheits-I/O-Einheiten übermittelt wird,
um eine Sicherheitssteuerung in Bezug auf jede Gerätezelle
und eine Sicherheitssteuerung für
die gesamte Gerätezellen-Reihe
(Anlage) durchzuführen.
-
Bei
der vorliegenden Erfindung umfasst ein derartiger Sicherheits-Master eine Einheit
zur Erzeugung einer Invalidierungs-Anforderung, die eine Statussignal-Invalidierungs-Anforderung,
welche die Bezeichnung irgendeiner Gerätezelle enthält, erzeugt; und
eine Einheit zur Invalidierung des Statussignals, welche für jedes
Statussignal aus der Mehrzahl an Gerätezellen, welches die Eingabe
(Input) des Verknüpfungs-Operations-Programms
wird, vorgesehen ist, um das Statussignals in Bezug auf die Gerätezelle,
welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn
die Statussignal-Invalidierungs-Anforderung erzeugt wird, zu invalidieren,
so dass, wenn der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit,
welche(r) einer der Gerätezellen
entspricht, „abwesend" ist oder dort z.
B. ein Kommunikationsfehler/ausfall oder eine Stromunterbrechung
auftritt, eine Invalidierungs-Anforderung
für eine
derartige Gerätezelle
erzeugt wird, um das Statussignal „unsicherer Zustand" der relevanten Gerätezelle
zu invalidieren, so dass der Einfluss des „abwesenden" Sicherheits-Slaves
oder lokalen Sicherheits-I/O-Einheit auf die gesamte Anlage durch
die Ausführung
des Verknüpfungsoperationsprogramms verhindert
werden kann.
-
Gemäß einer
derartigen Konfiguration wird, wenn eines der Geräte, welche
das Fertigungssystem konfigurieren, „abwesend" ist, oder z. B. ein Kommunikationsfehler/-ausfall
oder eine Stromunterbrechung auftritt, die Verknüpfung mit einer einfachen Operation
zu einem ungültigen
Zustand gemacht, ohne das Anwenderprogramm selbst zu verändern und
ohne ein spezifisches Eingabesignal oder Ausgabesignal zwangsweise
einzustellen oder zurückzusetzen;
es wird verhindert, dass die Verknüpfung aufgrund der Abwesenheit
eines Teils der Anlage derart betätigt wird, dass sich das gesamte Fertigungssystem
im Halt-Zustand
befindet; des Weiteren wird das Auftreten einer unerwarteten abnormalen
Operation (abnormalen Betriebs) aufgrund der fehlerhaften Operation
bei der Invalidierung der Verknüpfung
verhindert, wodurch ein z. B. Betriebstest jedes Geräts zum Zeitpunkt
der Installation oder Instandhaltung dieses Fertigungssystem-Typs
ohne Weiteres durchgeführt
werden kann.
-
In
einer bevorzugten Ausführungsform
der vorliegenden Erfindung ist ferner eine Determinationseinheit
angeordnet, die entscheidet, ob der Sicherheits-Slave oder die lokale
Sicherheits-I/O-Einheit, welche jeder aus der Mehrzahl an Gerätezellen entsprechen, „an der
Kommunikation teilnimmt" oder „nicht
an der Kommunikation teilnimmt",
wobei die Einheit zur Invalidierung des Statussignals das Statussignal
der Gerätezelle „nimmt
nicht an der Kommunikation teil" nur
dann invalidiert, wenn es durch die Determinationseinheit als „nicht
an der Kommunikation teilnehmend" bestimmt
wurde, und die Invalidierung des Statussignals löscht, wenn der Sicherheits-Slave
oder die lokale Sicherheits-I/O-Einheit, welche
der Gerätezelle
entspricht, die „nicht
an der Kommunikation teilnimmt" nachfolgend
als „an
der Kommunikation teilnehmend" bestimmt
wird.
-
Gemäß einer
derartigen Konfiguration wird, wenn das Gerät, welches bisher „nicht
an der Kommunikation teilnimmt" wieder „an der
Kommunikation teilnimmt" die
Verknüpfung
automatisch wieder hergesellt, ohne dass eine spezielle Wiederherstellungsoperation
erforderlich ist; somit kann ein Zustand, in dem die Verknüpfung nicht
betätigt
wird, auch nachdem das Gerät
teilnimmt, weil die Wiederherstellungsoperation aus dem ungültigen Verknüpfungszustand
vergessen wurde, soweit wie möglich
verhindert werden.
-
In
einer bevorzugten Ausführungsform
der vorliegenden Erfindung wird, nachdem die Statussignal-Invalidierungs-Einheit
die Invalidierung des Statussignals gelöscht hat, das Statussignal
der Gerätezelle „nicht
an der Kommunikation teilnehmend" nicht noch
einmal invalidiert, auch wenn der Sicherheits-Slave oder die lokale
Sicherheits-I/O-Einheit durch die Determinationseinheit wieder als „nicht
an der Kommunikation teilnehmend" bestimmt
wird.
-
Gemäß einer
derartigen Konfiguration kann, auch wenn versucht wird, die Verknüpfung fälschlich zu
invalidieren, nachdem eine der Gerätezellen an dem System teilnimmt,
eine derartige Anforderung nicht akzeptiert werden, wodurch das
Auftreten eines abnormalen Betriebs durch eine derartige fehlerhafte Operation
verhindert werden kann.
-
In
dem erfindungsgemäßen Sicherheits-Master
ist die „Einheit
zur Erzeugung der Invalidierungs-Anforderung" derart ausgebildet, dass sie (1) wenn
einer aus einer Mehrzahl an Schaltern („Switch"), die den jeweiligen Gerätezellen
entsprechen, die an einen Eingangsschaltkreis des Sicherheits-Masters
angeschlossen sind, betätigt
wird, eine Invalidierungs-Anforderung in Bezug auf das Statussignal
der Gerätezelle,
die dem Schalter entspricht, erzeugt; (2) wenn eine Adresse, die
dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit entspricht,
welche „nicht
an der Kommunikation teilnimmt" durch
eine vorbestimmte Operation an einem programmierbaren Terminal gemeldet
wird, eine Invalidierungs-Anforderung in Bezug auf das Statussignal
der Gerätezelle,
die der Adresse entspricht, erzeugt; (3) wenn durch eine Registrierungstabelle
als interne Kommunikationseinheit gemeldet wird, dass irgendeine
der Sicherheits-Slaves und der lokalen Sicherheits-I/O-Einheiten „nicht
an der Kommunikation teilnimmt",
eine Invalidierungs- Anforderung
in Bezug auf das Statussignal der Gerätezelle, welche der Meldung
entspricht, erzeugt; gleichzeitig zwei oder mehrere aus (1) bis
(3) anwendet.
-
In
der Sicherheits-Steuerung gemäß der vorliegenden
Erfindung ist die „Determinationseinheit" derart ausgebildet,
dass sie (1) eine Änderung
von „nicht
an der Kommunikation teilnehmend" zu „an der Kommunikation
teilnehmend" als
Ergebnis der Wiederherstellung der Kommunikation mit dem Sicherheits-Slave
oder der lokalen Sicherheits-I/O-Einheit auf
der Gerätezellen-Seite
bestimmt; (2) eine Änderung
von „nicht
an der Kommunikation teilnehmend" zu „an der
Kommunikation teilnehmend" als
Ergebnis des Empfangs valider I/O-Daten von dem Sicherheits-Slave
oder der lokalen Sicherheits-I/O-Einheit auf der Gerätezellen-Seite
bestimmt; (3) eine Änderung
von „nicht
an der Kommunikation teilnehmend" zu „an der
Kommunikation teilnehmend" bestimmt, wenn
eine Verknüpfungsbedingung
erfüllt
ist.
-
In
einer bevorzugten Ausführungsform
kann eine Anzeige-Steuereinheit
zur Darstellung einer Meldung, dass eine Verknüpfung im Wesentlichen invalidiert
ist, auf einer vorbestimmten Anzeige-Einheit in der erfindungsgemäßen Sicherheits-Steuerung angeordnet
sein.
-
Gemäß einer
derartigen Konfiguration können
Tests und Überprüfungen zum
Zeitpunkt des Hochfahrens und der Wartung des Systems sicher durchgeführt werden,
wobei Gerätezellen,
die in einem Zustand „nicht
an der Kommunikation teilnehmend" verbleiben,
auf der Anzeige angezeigt werden.
-
Des
Weiteren kann in einer bevorzugten Ausführungsform eine Anzeige-Steuereinheit
in der erfindungsgemäßen Sicherheits-Steuerung
angeordnet sein, um eine Meldung bezüglich einer Kommunikationsabnormalität auf einer
vorbestimmten Anzeige-Einheit lediglich dann darzustellen, wenn
eine Verknüpfung
im Wesentlichen nicht invalidiert ist, und wenn irgendeiner der
Sicherheits-Slaves oder irgendeine der lokalen Sicherheits-I/O-Einheiten „nicht an
der Kommunikation teilnimmt".
-
Gemäß einer
derartigen Konfiguration können
Schwierigkeiten aus der Anzeige von Meldungen einer Kommunikationsabnormalität zum Zeitpunkt der
Durchführung
beispielsweise eines Test-Tasks oder eines Überprüfungs-Tasks, wobei eine der
Gerätezellen
in dem Zustand „nicht
an der Kommunikation teilnehmend" verbleibt,
und die Verknüpfung
invalidiert ist, vermieden werden.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1A bis 1D sind
beispielhafte Ansichten, welche Konfigurationsbeispiele für ein System,
in dem die vorliegende Erfindung angewendet wird, zeigen;
-
2 zeigt
ein Diagramm der Hardware-Konfiguration einer Sicherheits-Steuerung
(Sicherheits-Masters);
-
3 ist
ein allgemeines Flussdiagramm, welches einen Gesamtprozess der Sicherheits-Steuerung
(Sicherheits-Masters) zeigt;
-
4 zeigt
eine Konfigurationsansicht eines gesamten Sicherheitssteuerungssystems,
welches die Sicherheits-Steuerung (Sicherheits-Master) umfasst;
-
5 zeigt
den beispielhaften Betrieb in Bezug auf das Gerät Dn einer Sicherheits-Steuerung (Sicherheits-Masters)
C0 gemäß der vorliegenden Erfindung;
-
6 ist
ein Zeitdiagramm, welches den Betrieb der Sicherheits-Steuerung (Sicherheits-Masters)
C0 gemäß der vorliegenden
Erfindung zeigt;
-
die 7A bis 7C zeigen
erläuternde Darstellungen
einer Einheit (Nr. 1) zur Invalidierung des Statussignals gemäß der vorliegenden
Erfindung;
-
die 8A und 8B zeigen
erläuternde Darstellungen
einer Einheit (Nr. 2) zur Invalidierung des Statussignals gemäß der vorliegenden
Erfindung;
-
die 9A und 9B zeigen
erläuternde Darstellungen
einer Einheit (Nr. 3) zur Invalidierung des Statussignals gemäß der vorliegenden
Erfindung;
-
10 zeigt
eine erläuternde
Darstellung einer Einheit (Nr. 4) zur Invalidierung des Statussignals gemäß der vorliegenden
Erfindung;
-
die 11A bis 11D zeigen
detaillierte erläuternde
Darstellungen des Schaltkreises zur Invalidierung des Statussignals;
-
die 12A und 12B zeigen
erläuternde
Darstellungen einer Sicherheitsmaßnahme jedes Geräts und einer
Sicherheitsmaßnahme
für das
gesamte Fertigungssystem; und
-
die 13A bis 13C zeigen
erläuternde Darstellungen
konventioneller Maßnahmen
zur Verknüpfungs-Invalidierung.
-
DETAILLIERTE BESCHREIBUNG
-
Im
Folgenden wird eine bevorzugte Ausführungsform eines Sicherheits-Masters
gemäß der vorliegenden
Erfindung detailliert mit Bezug auf die begleitenden Zeichnungen
beschrieben.
-
In
den 1A bis 1D sind
erläuternde Darstellungen
gezeigt, welche jeweils ein Konfigurationsbeispiel für ein System,
in dem ein erfindungsgemäßer Sicherheits-Master
angewendet wird, zeigen. Ein erfindungsgemäßer Sicherheits-Master C0 ist mittels
einer Mehrzahl an Sicherheits-Slaves C1 bis Cn, die durch ein Sicherheitsfeldnetzwerk
(NET) verbunden sind, mit einem Sicherheits-I/O-Gerät in einer Mehrzahl
an Gerätezellen,
welche ein Gerätesystem bilden,
wie in den 1A bis 1C dargestellt, oder
mittels einer Mehrzahl an lokalen I/O-Einheiten, die durch einen
Sicherheits-Rückwand-Bus
(BUS) verbunden sind, wie in 1D dargestellt,
verbunden.
-
Insbesondere
zeigt 1A ein Beispiel, in dem eine
Sicherheits-Steuerung
(rechteckiges Symbol in der Fig.) bei sämtlichen Sicherheits-Slaves C1, C2, ...,
Cn angewendet wird. 1B zeigt ein Beispiel, in dem
die Sicherheits-Steuerung (rechteckiges Symbol in der Fig.) und
das entlegene Sicherheits-I/O-Endgerät (kreisförmiges Symbol in der Figur)
koexistieren; und 1C zeigt ein Bespiel, in dem
das entlegene Sicherheits-I/O-Endgerät (kreisförmiges Symbol in der Figur)
für sämtliche
Sicherheits-Slaves C1, C2, ..., Cn übernommen wird.
-
Ein
Statussignal, welches anzeigt, ob sich ein Sicherheits-Eingabe/Ausgabe-Gerät in der
Gerätezelle
unter der Zuständigkeit
des Slaves in einem „sicheren
Zustand" oder einem „unsicheren
Zustand" befindet,
wird von jedem Sicherheits-Slave C1, C2, ..., Cn erzeugt, und ein
derartiges Statussignal wird durch das Sicherheitsfeldnetzwerk zu
dem Sicherheits-Master C0 übermittelt.
-
In
dem in 1D dargestellten Beispiel ist ein
Rückwand-Bus
(BUS) auf einer starren Platte, die als Rückwand bezeichnet wird, angeordnet
und ein Einheitsanschlussstecker ist in einem angemessenen Abstand
auf dem Rückwand-Bus
(BUS) angeordnet, welcher mit einer CPU-Einheit und einer Mehrzahl
an lokalen Sicherheits-I/O-Einheiten verbunden wird, wodurch eine
Sicherheits-Steuerung vom Baugruppentyp gebildet wird, wobei jede
aus der Mehrzahl der lokalen Sicherheits-I/O-Einheiten mit einem Sicherheits-Eingabe/Ausgabe-Gerät in jeder
Gerätezelle,
welche das Fertigungssystem bilden, verbunden ist.
-
Ein
Statussignal, welches anzeigt, ob sich ein Sicherheits-Eingabe/Ausgabe-Gerät in der
Gerätezelle
unter Zuständigkeit
des Slaves in einem „sicheren
Zustand" oder einem „unsicheren
Zustand" befindet,
wird von jeder der lokalen Sicherheits-I/O-Einheiten erzeugt, und
ein derartiges Statussignal wird der CPU-Einheit, welche als Sicherheits-Master
fungiert, durch den Rückwand-Bus (BUS) übermittelt.
-
Das
entlegene Sicherheits-I/O-Endgerät („Remote
Terminal”)
führt Operationen
durch, wie beispielsweise Übermittlung
der Ausgabedaten, die von dem Sicherheits-Master durch Kommunikation empfangen
wurden, zu einem Sicherheits-Ausgabe-Gerät über einen Ausgangsschaltkreis
(nicht dargestellt), und Übermittlung
von Eingabedaten die von einem Sicherheits-Eingangsschaltkreis gewonnen wurden,
an einen Sicherheits-Master durch Kommunikation.
-
In 2 ist
ein Diagramm der Hardware-Konfiguration dargestellt, welches die
schematische Konfiguration der Sicherheits-Steuerung C0, welcher
als Sicherheits-Master fungiert, zeigt. Wie in der Figur dargestellt,
ist die Sicherheits-Steuerung C0 mittels einer Kommunikationsschaltung 13 mit dem
Sicherheitsfeldnetzwerk (NET) verbunden; ebenso ist sie mittels
einer Eingangsschaltung 11 mit den Eingabegeräten IN1
bis INn, die an einen vorbestimmten Sicherheitsstandard angepasst
sind, und mittels einer Ausgangsschaltung 12 mit den Ausgabegeräten OUT1
bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst
sind, verbunden.
-
Die
Sicherheits-Steuerung C0 umfasst intern eine CPU 10 zur
kollektiven Steuerung von Eingangsschaltung 11, Ausgangsschaltung 12,
Kommunikationsschaltung 13, Anzeige-Schaltung 14 und Einstell(Setup-)Schaltung 15.
Die Anzeige-Schaltung 14 wird hier bereitgestellt, um verschiedene
Anzeige-Typen in Bezug auf den Betrieb der Sicherheits-Steuerung
auszuführen;
sie wird beispielsweise von einer Flüssigkristall-Anzeige geeigneter
Größe oder
einer Betriebsanzeigelampe gebildet. Die Einstell-Schaltung 15 wird
bereitgestellt, um verschiedene Einstellungen (Setups) in Bezug
auf den Betrieb der Sicherheits-Steuerung
durchzuführen;
sie wird z. B. von einer Zehnertaste, einer Funktionstaste, einem
Schlüsselschalter
oder Ähnlichem
gebildet.
-
Die
CPU 10 umfasst einen Mikroprozessor (MPU) 10a,
einen RAM-Speicher 10b und
einen ROM-Speicher 10c. Wie nachfolgend beschrie ben, sind
der Mikroprozessor (MPU) 10a, der RAM-Speicher 10b und
der ROM-Speicher 10c doppelt vorhanden, um die Zuverlässigkeit
während
des Betriebs zu gewährleisten.
-
In 3 ist
ein allgemeines Flussdiagramm dargestellt, welches den Gesamtprozess
der CPU in der Sicherheits-Steuerung, welche als Sicherheits-Master
fungiert, zeigt. Wie in der Figur dargestellt, wird die gesamte
CPU durch zwei CPUs (CPU A, CPU B) gebildet, wobei die CPUs konfiguriert
sind, parallel unter Synchronisation zu arbeiten und gleichzeitig
parallel, unmittelbar nach Anschalten (ON) der Stromversorgung einen
Initialisierungsprozess, einen Selbstdiagnoseprozess (Schritte 101a, 101b) und
nachfolgend einen Synchronisationsprozess (Schritte 102a, 102b),
einen Selbstdiagnoseprozess (Schritte 103a, 103b),
einen Peripherie-Prozess (Schritte 104a, 104b),
einen I/O-Auffrisch(„Refresh"-)Prozess (Schritte 105a, 105b)
und einen Betriebsprozess (Schritte 106a, 106b)
durchzuführen.
-
Bei
dem „Initialisierungsprozess" handelt es sich
hierbei beispielsweise um einem Prozess der Initialisierung eines
Geräts
und von Daten oder des Auslesens von gespeicherten Daten; bei dem „Selbstdiagnoseprozess" handelt es sich
um einen Prozess, in dem eine Hardware-Diagnose durchgeführt wird
(Schritte 101a, 101b). Der „Synchronisationsprozess" (Schritte 102a, 102b)
ist ein Prozess, in dem z. B. ein temporärer Synchronisationsprozess (einschließlich eines
Warteprozesses, um die Zykluszeit konstant zu machen) oder ein Überprüfungsprozess
der Datenübereinstimmung
zwischen den beiden CPUs durchgeführt wird. Der Selbstdiagnoseprozess
(Schritte 103a, 103b) ist ein Prozess, in dem beispielsweise
eine Hardware-Diagnose durchgeführt
wird. Der Peripherie-Prozess (Schritte 104a, 104b)
ist ein Prozess, in dem ein Zugriffsprozess auf ein externes Medium
(Speicherkarte, RTC usw.), ein Kommunikationsprozess z. B. mit einer
externen Vorrichtung oder einem Werkzeug („tool") durchgeführt wird. Der I/O-Auffrisch-Prozess (Schritte 105a, 105b) ist
ein Prozess, in dem z. B ein Update-Prozess einer lokalen Eingabe/Ausgabe
(einschließlich
Eingabe-/Ausgabe-Einheit)
oder ein Daten-Update einer entlegenen (Remote-)I/O-Eingabe/Ausgabe durchgeführt wird.
Der Betriebsprozess (Schritte 106a, 106b) ist
ein Prozess, in dem ein Anwenderprogramm (einschließlich des
Anwenderprogramms zur Realisierung der Verknüpfungsfunktion), welches durch
den Anwender frei generiert wurde, durchgeführt wird.
-
Eine
detaillierte Ansicht der Konfiguration des gesamten Sicherheitssteuerungssystems,
welches die erfindungsgemäße Sicherheits-Steuerung C0, welche
als Sicherheits-Master fungiert, enthält, ist in 4 dargestellt.
Wie aus der Figur hervorgeht, umfasst das Sicherheitssteuerungssystem
eine Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung
und eine Mehrzahl an Sicherheits-Slaves C1 bis Cn.
-
Das
Fertigungssystem, welches die Kontrolle über das Sicherheitssteuerungssystem
ausübt,
ist derart konfiguriert, dass es n Gerätezellen umfasst. Jede der
n Sicherheits-Slaves C1 bis Cn ist konfiguriert, die Kontrolle über jede
der n Gerätezellen
D1 bis Dn auszuüben.
-
Insbesondere
umfasst jede der n Gerätezellen
D1 bis Dn den Sicherheits-Slave C1 bis Cn, und ein derartiger Sicherheits-Slave
C1 bis Cn ist konfiguriert, die Eingabegeräte IN1 bis INn, die an einen
vorbestimmten Sicherheitsstandard angepasst sind, und die Ausgabegeräte OUT1
bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst
sind, handzuhaben.
-
In
jeder der Gerätezellen
D1 bis Dn wird, wenn durch die Eingabegeräte IN1 bis INn, die an einen
vorbestimmten Sicherheitsstandard angepasst sind, und die Ausgabegeräte OUT1
bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst sind,
ein „unsicherer
Zustand" in Bezug
auf das relevante Gerät
bestimmt wird, das Statussig nal einer derartigen Meldung an die
Sicherheits-Steuerung C0 übermittelt,
welche die Verknüpfungssteuerung durch
das Sicherheitsfeldnetzwerk (NET) durchführt.
-
Die
Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung
ist in einem Anwenderprogramm zur Durchführung der Verknüpfungsfunktion,
welche im Folgenden durch die Mehreingangs-Logikprodukt-UND-Schaltung dargestellt
wird, enthalten. Das Anwenderprogramm wird auf der Grundlage des
von jeder aus der Mehrzahl an Geräten D1 bis Dn übermittelten
Statussignals ausgeführt und
ist derart ausgelegt, dass es ein Operationsbefehlssignal, welches
entweder den Betriebsbefehl oder den Halt-Befehl ausgibt, erzeugt.
-
Die
Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung
ist intern mit einer Einheit zur Erzeugung der Invalidierungs-Anforderung
zur Erzeugung einer Statussignal-Invalidierungs-Anforderung, welche die Bezeichnung
der Gerätezellen
D1 bis Dn enthält,
und einer Einheit zur Invalidierung des Statussignals, die für jedes
Statussignal jeder Gerätezelle
D1 bis Dn eingerichtet ist, welches die Eingabe des Verrieglungsausführungsprogramms
wird, eingerichtet, um das Statussignal in Bezug auf die Gerätezelle,
welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn
die Statussignal-Invalidierungs-Anforderung
erzeugt wird, zu invalidieren.
-
Die „Einheit
zur Erzeugung der Invalidierungs-Anforderung" kann geeigneterweise derart ausgebildet
sein, dass (1) wenn einer aus der Mehrzahl an Schaltern 401,
welche den mit der Eingangsschaltung verbundenen Gerätezellen
entsprechen, betätigt
wird, die Invalidierungs-Anforderung
in Bezug auf das Statussignal der Gerätezelle, die dem Schalter 401 entspricht,
erzeugt wird; (2) wenn eine Adresse, die dem Sicherheits-Slave oder
der lokalen Sicherheits-I/O-Einheit entspricht, „nicht an der Kommunikation
teilnimmt", z. B.
aufgrund von „Abwesenheit" oder eines Kommunikationsfehlers,
durch eine vorbestimmte Ope ration am Touch-Panel 402 eines programmierbaren
Terminals zur Kenntnis genommen wird, die Invalidierungs-Anforderung
in Bezug auf das Statussignal der Gerätezelle, die der Adresse entspricht,
erzeugt wird; (3) wenn durch eine interne Registrierungstabelle
der Kommunikationseinheit die Meldung erfolgt, dass irgendeiner
der Sicherheits-Slaves
C1 bis Cn (oder der lokalen Sicherheits-I/O-Einheiten) „nicht
an der Kommunikation teilnimmt",
die Invalidierungs-Anforderung in Bezug auf das Statussignal der
entsprechenden Gerätezelle
erzeugt wird; oder zwei oder mehr aus (1) bis (3) durchgeführt werden.
-
Es
können
verschiedene in den 7 bis 11 dargestellte Konfigurationen für die „Einheit
zur Invalidierung des Statussignals" angewendet werden. Anders ausgedrückt, ist
die Einheit zur Invalidierung des Statussignals für jedes
Statussignal jeder Gerätezelle
D1 bis Dn, welches die Eingabe des Verknüpfungsoperationsprogramms wird,
eingerichtet, und invalidiert das Statussignal in Bezug auf die
Gerätezelle,
welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn
die Statussignal-Invalidierungs-Anforderung erzeugt wird.
-
Wie
oben beschrieben, umfasst die Sicherheits-Steuerung (d. h., der „Sicherheits-Master") C0 zur Durchführung der
Verknüpfungssteuerung
die „Einheit
zur Erzeugung der Invalidierungs-Anforderung" und die „Einheit zur Invalidierung
des Statussignals" mit
der obigen Funktion; somit wird, wenn eine der Gerätezellen
D1 bis Dn „nicht
an der Kommunikation teilnimmt",
z. B. aufgrund der Abwesenheit zu Beginn der Neuerstellung des Systems,
die Statussignal-Invalidierungs-Anforderung,
welche die entsprechende Gerätezelle
bezeichnet, erzeugt, so dass das Statussignal in Bezug auf die bezeichnete
Gerätezelle,
wie im Folgenden beschrieben, invalidiert wird. Im Ergebnis wirkt
die Verknüpfung
im Wesentlichen nicht auf die relevante Gerätezelle, wodurch keine Probleme
beim Betrieb der anderen Gerätezellen auftreten,
und z. B. eine Überprüfung vor
der Inbetriebnahme durchgeführt
werden kann, ohne dass irgendein Problem auftritt, auch wenn die
relevante Gerätezelle
aufgrund von beispielsweise Abwesenheit oder eines Kommunikationsfehlers/-ausfalls „nicht
an der Kommunikation teilnimmt".
-
Eine
erläuternde
Darstellung des Betriebs der erfindungsgemäßen Sicherheits-Steuerung (Sicherheits-Masters)
C0 in Bezug auf das Gerät
Dn ist in 5 dargestellt. Wie aus der Figur
hervorgeht, wird der in dem Flussdiagramm von 5 dargestellte
Prozess aktiviert, wenn sich der Sicherheits-Slave Cn in Bezug auf
das Gerät
Dn, beispielsweise aufgrund der Inbetriebnahme des Systems, in einem „abwesenden" Zustand befindet,
die Anlage Dn wird als „nicht
teilnehmend" (NEIN
in Schritt 501) bestimmt, und es wird das Vorliegen der
Anforderung bezüglich
der Invalidierung der Verknüpfung
bestimmt (Schritt 502). Wenn entschieden wird, dass die
Anforderung bezüglich
der Invalidierung der Verknüpfung
(Statussignal-Invalidierungs-Anforderung) „nicht vorliegt" (NEIN in Schritt 502),
wird die Verknüpfung
validiert (Schritt 504), wodurch die Verknüpfungsfunktion
(z. B. im Fall einer logischen Multi-Input-UND-Schaltung) aktiviert
wird und sich sämtliche
Teile der Anlage D1 bis Dn im Halt-Zustand befinden.
-
Wenn
sich das Gerät
im „nicht
teilnehmenden" Zustand
(NEIN in Schritt 501) befindet und die Bestimmung erfolgt,
dass die Anforderung bezüglich der
Invalidierung der Verknüpfung
vorliegt (JA in Schritt 502), wird die Verknüpfung invalidiert
(Schritt 503), wodurch sich sämtliche Teile der Anlage D1
bis Dn im Betriebszustand befinden.
-
Ein
Zeitdiagramm, welches den Betrieb der Sicherheits-Steuerung (Sicherheits-Masters)
C0 gemäß der vorliegenden
Erfindung zeigt, ist in 6 dargestellt. Wie 6 zu
entnehmen ist, befindet sich im Zeitraum von Zeitpunkt 0 bis Zeitpunkt
t1 der Sicherheits-Slave Cn im „nicht an der Kommunikation
teilnehmenden" Zustand
(z. B. „Abwesenheit" oder „Kommunikationsfehler/-ausfall"); somit wird das
Statussignal des Geräts
Dn auf OFF gestellt („0"), was einen „unsicheren
Zu stand" anzeigt,
das Operationsbefehlssignal jedes Geräts wird durch die Ausführung des
Verknüpfungsprogramms „0", was einen „Halt-Befehl" anzeigt, und sämtliche
Teile der Anlage befinden sich im Halt-Zustand.
-
Wenn
die Anforderung bezüglich
der Invalidierung der Verknüpfung
zum Zeitpunkt t1 erfolgt, wird das Statussignal des Geräts Dn („0") invalidiert und
wird „1", das Operationsbefehlssignal
jedes Geräts
wird durch die Ausführung
des Verknüpfungsprogramms „1", was den „Betriebsbefehl" anzeigt, und sämtliche
Teile der Anlage befinden sich im Betriebszustand.
-
Wenn
sich das Gerät
Dn im „an
der Kommunikation teilnehmenden" Zustand
befindet (z. B. „Anwesenheit" oder „Behebung
des Kommunikationsfehlers/-ausfalls”) und die Anforderung bezüglich der Invalidierung
der Verknüpfung
zum Zeitpunkt t2 nicht vorliegt, wird das Operationsbefehlssignal
jedes Geräts „0", was den „Halt-Befehl" angibt, wenn der
Inhalt des Statussignals des Geräts
Dn ein „unsicherer
Zustand" (t2 bis
t3) ist, und das Operationsbefehlssignal jedes Geräts wird „1", was den „Betriebsbefehl" angibt, wenn der
Inhalt des Statussignals des Geräts Dn
ein „sicherer
Zustand" (t3 bis
t4) ist.
-
Ähnlich zu
einer Situation, in der die Anforderung bezüglich der Invalidierung der
Verknüpfung nicht
vorliegt, wird, wenn die Anforderung bezüglich der Invalidierung der
Verknüpfung
zum Zeitpunkt t4 erzeugt wird, das Operationsbefehlssignal jedes
Geräts „0", was den „Halt-Befehl" angibt, wenn der
Inhalt des Statussignals des Geräts
Dn ein „unsicherer
Zustand" (t4 bis
t5) ist, und das Operationsbefehlssignal jedes Geräts wird „1", was den „Betriebsbefehl" angibt, wenn der
Inhalt des Statussignals des Geräts Dn
ein „sicherer
Zustand" ist (t5
-).
-
Erläuternde
Darstellungen einer Einheit (Nr. 1) zur Invalidierung des Statussignals
gemäß der vorliegenden
Erfindung sind in den 7A bis 7C dargestellt.
Die dargestellte „Einheit
zur Invalidierung des Statussignals" enthält das Anwenderprogramm selbst, ähnlich zu
dem normalen Verknüpfungsschaltkreis,
ungeachtet dessen, ob die Verknüpfung invalidiert
wird oder nicht, und die Sicherheits-Steuerung enthält eine
zweckbestimmte Einheit zur Invalidierung (Bestimmung) der Verknüpfung getrennt
von der Einheit zur Ausführung
des Anwenderprogramms. In der Beschreibung der 7 bis 11 wird der „Sicherheits-Slave" als „Kommunikations-Gegenüber" beschrieben, das
Gebilde ist jedoch das gleiche.
-
In
den 7A bis 7C besitzt
eine Operationseinheit 701 die Funktion, das Anwenderprogramm
auszuführen;
sie umfasst einen Grundbefehl („basic command") und einen Anwendungsbefehl („application
command„)
zur Ausführung.
Im Anwenderprogrammspeicher 702 ist ein durch den Anwender
erzeugtes Anwenderprogramm gespeichert. In dem I/O-Speicher 703 sind
Eingabedaten und Ausgabedaten des Anwenderprogramms gespeichert. Eine
Operationseinheit 704 zur Invalidierung der Verknüpfung ist
als Funktionseinbau in Hardware oder Software enthalten. In einem
Invalidierungszielknotenpunktspeicher 705 ist Information
(z. B. Knotenpunkt-Adresse usw.) gespeichert, um das Kommunikations-Gegenüber zur
Invalidierung der Verknüpfung
zu spezifizieren. Es wird automatisch bestimmt, dass eine manuelle
Einstellung oder Kommunikation durch den Anwender nicht erfolgt,
und die Sicherheits-Steuerung ist im Setup-Betrieb.
-
Erläuternde
Darstellungen einer Einheit (Nr. 2) zur Invalidierung des Statussignals
gemäß der vorliegenden
Erfindung sind in den 8A und 8B dargestellt.
Die hierin dargestellte „Einheit
zur Invalidierung des Statussignals” ist natürlich mit einem Anwendungsbefehl
und einem Anwendungsfunktionsblock in dem Bereich der Invalidierung
der Verknüpfung
auf dem Anwenderprogramm eingerichtet, und die Sicherheits-Steuerung
besitzt die Funktion, einen derartigen Anwendungsbefehl und Anwendungsfunktionsblock
auszuführen.
-
In
den 8A und 8B hat
eine Operationseinheit 801 die Funktion, das Anwenderprogramm
auszuführen;
sie umfasst Grundbefehle und Anwendungsbefehle zur Ausführung. Ein
zweckbestimmter Anwendungsbefehl zur Invalidierung der Verknüpfung 801a enthält einen
zweckbestimmten Anwendungsbefehl und einem Anwendungs-FB zur Invalidierung
der Verknüpfung.
Das Programmierwerkzeug kann einen derartigen zweckbestimmten Anwendungsbefel
und Anwendungs-FB verwenden.
-
Erläuternde
Darstellungen einer Einheit (Nr. 3) zur Invalidierung des Statussignals
gemäß der vorliegenden
Erfindung sind in den 9A und 9B gezeigt.
In der dargestellten „Einheit
zur Invalidierung des Statussignals" besitzt die Sicherheits-Steuerung keinen
zweckbestimmten Anwendungsbefehl und keinen zweckbestimmten Anwendungs-FB
zur Invalidierung der Verknüpfung.
Diese Sicherheits-Steuerung ist von dem gleichzeitig verwendeten
Programmierwerkzeug abhängig.
Das bedeutet, in den Beispielen der 9A und 9B benutzt
der Anwender das Programmierwerkzeug, welches den zweckbestimmten
Anwendungsbefehl und den Anwendungs-FB zur Invalidierung der Verknüpfung anwenden
kann, um das Invalidierungsprogramm zu erstellen.
-
In
den 9A und 9B besitzt
eine Operationseinheit 901 die Funktion, das Anwenderprogramm
auszuführen;
sie umfasst einen Grundbefehl und einen Anwendungsbefehl zur Ausführung. In
einem Anwenderprogrammspeicher 902 ist ein Anwenderprogramm
gespeichert. In einem I/O-Speicher 903 sind Eingabedaten
und Ausgabedaten des Anwenderprogramms gespeichert.
-
Eine
erläuternde
Darstellung einer Einheit (Nr. 4) zur Invalidierung des Statussignals
gemäß der vorliegenden
Erfindung ist in 10 gezeigt. In der dargestellten „Einheit
zur Invalidierung des Statussignals" besitzt die Sicherheits-Steuerung keinen zweckbestimmten
Anwendungsbefehl und keinen zweckbestimmten Anwendungs-FB zur In validierung der
Verknüpfung.
Diese Sicherheits-Steuerung ist abhängig von dem gleichzeitig zu
diesem Zweck eingesetzten Programmierwerkzeug („Tool"). Das heißt, in dem Beispiel von 10 verwendet
der Anwender das Programmierwerkzeug, welches keinen zweckbestimmten
Anwendungsbefehl und Anwendungs-FB zur Invalidierung der Verknüpfung aufweist,
um das Invalidierungsprogramm zu erstellen.
-
Detaillierte
erläuternde
Darstellungen des Schaltkreises zur Invalidierung des Statussignals sind
in den 11A bis 11D gezeigt.
Wie in 11A dargestellt, kann der Schaltkreis
zur Invalidierung des Statussignals leicht unter Verwendung eines
logischen Summenoperators erstellt werden; im Fall eines Schaltkreises
zur Invalidierung des Statussignals, welcher lediglich den logischen
Summenoperator verwendet, könnte
die Verknüpfung
jedoch invalidiert werden, wenn die „Anforderung bezüglich der
Invalidierung des Kommuniktaions-Gegenüber n" fälschlicherweise
eingeschaltet („ON") wird, auch wenn
das Kommunikations-Gegenüber
n normal teilnimmt und Kommunikation mit der Sicherheits-Steuerung
durchführt.
Die „Anforderung
zur Invalidierung des Kommunikations-Gegenübers n" kann fälschlicherweise, z. B. durch
einen Bedienfehler des Bedieners, ein Störsignal in dem Kommunikationsweg usw.,
eingeschaltet („ON") werden.
-
Gemäß dem in 11B dargestellten erfindungsgemäßen Schaltkreis
(Nr. 1) zur Invalidierung des Statussignals wird ein Verfahren der
Eingabe der Anforderung zur Invalidierung des Kommunikations-Gegenübers n an
einen der beiden Eingänge des
Logikproduktoperators und Einsetzen einer Verriegelungsschaltung
und eines Umkehroperators in Reihe zu dem anderen Eingang vorgesehen;
somit wird, sobald das Kommunikations-Gegenüber n teilnimmt, die Invalidierung
der Verknüpfung
nachfolgend unmöglich
gemacht, wodurch eine Sicherheit aufrecht erhalten werden kann, ähnlich derjenigen, wenn
keine Invalidierung durchgeführt
wird.
-
Die
Verriegelungsschaltung in 11B kann unter
Verwendung einer in 11C dargestellten RS-Flip-Flop-Schaltung
aufgebaut sein. In diesem Fall wird „0" bevorzugt konstant an einen Resetz-Eingabe-Terminal ausgegeben,
so dass nicht versehentlich zurückgesetzt
wird.
-
Der
Bereich „Verriegelungsschaltung
auf UND" in dem
Schaltkreis der 11B kann unter Verwendung z.
B. eines Komparators, wie in 11D dargestellt,
realisiert werden.
-
Das
Signal „Kommunikations-Gegenüber n nimmt
teil" wird durch
eines der folgenden Signale oder eine Kombination daraus erzeugt:
-
– Die
Sicherheits-Steuerung startet die Kommunikation mit dem Kommunikations-Gegenüber n
-
Dies
kann beispielsweise durch konstanten Empfang des ON-Signals von dem Kommunikations-Gegenüber realisiert
werden. Das Signal scheint vor dem Beginn der Kommunikation ausgeschaltet (OFF)
zu werden, ist jedoch konstant ein ON-Signal bei der Herstellung
der Kommunikation.
-
– Empfang
valider I/O-Daten
-
Dies
kann durch Empfangen eines Merkers („flag"), welcher angibt, ob die I/O-Daten
gültig
oder ungültig
sind, von der Kommunikations-Opponente realisiert
werden.
-
– Verknüpfungsbedingung
erfüllt
-
Dies
kann beispielsweise durch Bestimmen, ob das „Sicherheitssignal des Kommunikations-Gegenübers" eingeschaltet (ON)
ist, realisiert werden.
-
Die „Anforderung
zur Invalidierung des Kommunikations-Gegenübers n” kann durch eines der folgenden
Signale oder eine Kombination derselben erzeugt werden:
- – Meldung
der Invalidierung der Verknüpfung
mit ON/OFF des Schalters, der mit dem Eingangsschaltkreis der Sicherheits-Steuerung
verbunden ist, zur Durchführung
der Verknüpfungssteuerung
- – Spezifizierung
einer Adresse des nicht-teilnehmenden Kommunikations-Gegenübers mit
einer programmierbaren Anzeige-Einheit (auch als programmierbarer
Terminal bezeichnet) und Meldung an die Sicherheits-Steuerung, welche
die Verknüpfungssteuerung
durchführt,
durch das Netzwerk
- – Automatische
Beurteilung des Kommunikations-Gegenübers zur Invalidierung durch
die Registrierungstabelle der Kommunikationseinheit in der Sicherheits-Steuerung
-
In
der obigen Ausführungsform
wird die Meldung, dass die Verknüpfung
im Wesentlichen invalid ist, auf der vorbestimmten Anzeige-Einheit dargestellt,
so dass Tests und Überprüfungen zum
Zeitpunkt der Inbetriebnahme und Wartung des Systems auf der Grundlage
einer derartigen Anzeige sicher durchgeführt werden können, wobei
irgendeine Gerätezelle
nicht an der Kommunikation teilnimmt.
-
Des
Weiteren kann eine Anzeige-Steuereinheit zur Darstellung einer Meldung
einer Kommunikations-Abnormalität
auf einer vorbestimmten Anzeige-Einheit, wenn die Verknüpfung im
Wesentlichen nicht invalidiert ist und irgendeine der Sicherheits-Slaves
und der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation
teilnimmt", vorgesehen
sein. Gemäß einer
derartigen Konfiguration können
Schwierigkeiten aus der Anzeige von Meldungen einer Kommunikationsabnormalität zum Zeitpunkt der
Durchführung
beispielsweise des Test-Tasks oder des Überprüfungs-Tasks, wobei eine der
Gerätezellen
in dem Zustand „nicht
an der Kommunikation teilnehmend" verbleibt
und die Verknüpfung
invalidiert ist, vermieden werden.
-
Gemäß dem Sicherheits-Master
der vorliegenden Erfindung wird, wenn eines der Geräte, welche
das Fertigungssystem bilden, abwesend ist oder ein Kommunikationsfehler/-ausfall
oder eine Stromunterbrechung auftreten, verhindert, dass das Fertigungssystem
mit der Verknüpfung
im invaliden Zustand in den Halt-Zustand gebracht wird, ohne das Anwenderprogramm
in Bezug auf das relevante Gerät
selbst zu verändern
oder das spezifische Eingabesignal oder Ausgabesignal zwangsweise
einzustellen oder zurückzusetzen;
wenn das Gerät,
das abwesend war, wieder teilnimmt, kehrt zudem die Verknüpfung wieder
in einen validen Zustand zurück, ohne
dass eine spezielle Rückstelloperation
erforderlich ist; dadurch wird ein Zustand, in dem aufgrund einer
unerwarteten Abnormalität
durch eine fehlerhafte Operation bei der Invalidierung der Verknüpfung und/oder
des Vergessens der Wiederherstellung aus dem invaliden Verrieglungszustand,
auch nachdem das Gerät
wieder teilnimmt, nicht betätigt
wird, soweit möglich
verhindert.