DE102008044318B4 - Sicherheits-Master - Google Patents

Sicherheits-Master Download PDF

Info

Publication number
DE102008044318B4
DE102008044318B4 DE102008044318.2A DE102008044318A DE102008044318B4 DE 102008044318 B4 DE102008044318 B4 DE 102008044318B4 DE 102008044318 A DE102008044318 A DE 102008044318A DE 102008044318 B4 DE102008044318 B4 DE 102008044318B4
Authority
DE
Germany
Prior art keywords
security
status signal
communication
safety
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102008044318.2A
Other languages
English (en)
Other versions
DE102008044318A1 (de
Inventor
Keiichi TERANISI
Naoaki Ikeno
Toshiyuki Nakamura
Takehiko Hioka
Yasuki YODA
Isao Yamashita
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Omron Corp
Original Assignee
Omron Corp
Omron Tateisi Electronics Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Omron Corp, Omron Tateisi Electronics Co filed Critical Omron Corp
Publication of DE102008044318A1 publication Critical patent/DE102008044318A1/de
Application granted granted Critical
Publication of DE102008044318B4 publication Critical patent/DE102008044318B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/13Plc programming
    • G05B2219/13075User program, then interlock program to override certain conditions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24054Self diagnostic

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Programmable Controllers (AREA)

Abstract

Sicherheits-Master, welcher zur Kommunikation mit einer Mehrzahl an Sicherheits-Slaves über ein Sicherheitsfeldnetzwerk oder mit einer Mehrzahl an lokalen Sicherheits-I/O-Einheiten, die durch einen Sicherheits-Rückwand-Bus des Sicherheits-Masters miteinander verbunden sind, konfiguriert ist, wobei jeder/jede aus der Mehrzahl an Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten eine Verbindung mit Sicherheits-I/O-Geräten in einer Mehrzahl an Gerätezellen ermöglicht, und wobei der Sicherheits-Master von jedem/jeder aus der Mehrzahl an entsprechenden Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten ein Statussignal empfängt, welches einen „sicheren Zustand” oder einen „unsicheren Zustand” in Bezug auf die Gerätezelle kennzeichnet, und den Betriebszustand In-Betrieb/Halt der Gerätezelle durch Ausführen eines Verknüpfungsoperationsprogramms mit dem empfangenen Statussignal als Eingabe zur Ausgabe eines Operationsbefehlssignals steuert, und das Operationsbefehlssignal an die Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten übermittelt, um eine Sicherheitssteuerung in Bezug auf jede aus der Mehrzahl an Gerätezellen und die gesamte Zellenanlage zu realisieren, wobei der Sicherheits-Master umfasst: eine Einheit zur Erzeugung einer Invalidierungs-Anforderung, die dazu eingerichtet ist, eine Statussignal-Invalidierungs-Anforderung, welche die Bezeichnung irgendeiner der Gerätezellen enthält, zu erzeugen; und eine Einheit zur Invalidierung des Statussignals, die dazu eingerichtet ist, für jedes Statussignal aus der Mehrzahl an Gerätezellen, welches die Eingabe des Verknüpfungsoperationsprogramms wird, das Statussignal in Bezug auf die Gerätezelle, die durch die Invalidierungs-Anforderung bezeichnet wird, zu invalidieren, wenn die Statussignal-Invalidierungs-Anforderung erzeugt wird; wobei durch die Invalidierung eines einen „unsicheren Zustand” einer Gerätezelle kennzeichnenden Statussignals deren Einfluss auf die gesamte Anlage durch die Ausführung des Verknüpfungsoperationsprogramms verhindert wird.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. TECHNISCHER BEREICH
  • Die vorliegende Erfindung betrifft eine Sicherheits-Steuerung zum Arbeiten auf ein Eingabegerät (Notaus-Schalter, Lichtvorhang usw.), welches an einen vorbestimmten Sicherheitsstandard angepasst ist, und ein Ausgabegerät (Sicherheits-Schütz, Sicherheits-Relais usw.), welches an einen vorbestimmten Sicherheitsstandard angepasst ist, insbesondere eine Sicherheits-Steuerung (im Folgenden als „Sicherheits-Master” bezeichnet), welche ein Anwenderprogramm zur Realisierung einer Verknüpfungsfunktion zwischen einer Mehrzahl an Geräten, darin eingeschlossen die Eingabe/Ausgabe-Geräte, die an einen vorbestimmten Sicherheitsstandard angepasst sind, enthält.
  • 2. STAND DER TECHNIK
  • Ein Fertigungssystem, welches beispielsweise bei Automobilen oder Halbleitern angewendet wird, ist im Allgemeinen durch Verbinden einiger Geräte konfiguriert. Jedes dieser Geräte ist mit verschiedenen Sicherheitsmaßnahmen ausgestattet, wobei eine Verknüpfung der Geräte vorgesehen ist, so dass Sicherheitsmaßnahmen für das gesamte Fertigungssystem zur Durchführung gelangen.
  • Erläuterungsdarstellungen eines Beispiels für ein gesamtes Fertigungssystem, welches mit Sicherheitsmaßnahmen für jedes Gerät und mit Sicherheitsmaßnahmen für das gesamte Fertigungssystem ausgestattet ist, sind in den 12A und 12B dargestellt. Wie in 12A dargestellt, wird in diesem Beispiel das gesamte Fertigungssystem durch n Geräte D1 bis Dn konfiguriert.
  • Jedes Gerät D1 bis Dn umfasst ein an einen vorbestimmten Sicherheitsstandard angepasstes Eingabegerät (in diesem Beispiel ist ein Notaus-Schalter dargestellt) IN1 bis INn und ein an einen vorbestimmten Sicherheitsstandard angepasstes Ausgabegerät (in dem Beispiel ist ein Schütz dargestellt) OUT1 bis OUTn.
  • Jedes Gerät D1 bis Dn umfasst ferner eine Sicherheits-Steuerung oder ein entlegenes (dezentrales) Sicherheits-I/O-Endgerät („Remote Terminal”) C1 bis Cn, welches als „Sicherheits-Slave” fungiert, um die Eingabegeräte IN1 bis INn und die Ausgabegeräte OU1 bis OUTn zu verwalten.
  • Derartige Sicherheits-Steuerungen oder entlegene Sicherheits-I/O-Endgeräte C1 bis Cn können über ein Sicherheits-Feldnetzwerk (nicht dargestellt) mit einer Sicherheits-Steuerung (Sicherheitscontroller) C0, welcher als „Sicherheits-Master” fungiert, kommunizieren.
  • Der „Sicherheits-Master” und der „Sicherheits-Slave” beziehen sich auf eine „Master-Servant”-Beziehung in Prozessen der Erfassung eines Statussignals in Bezug auf Verknüpfung und Ausgabe eines Operationsbefehlssignals gemäß der vorliegenden Erfindung; diese unterscheidet sich von der von der „Master”-„Slave”-Beziehung in dem allgemeinen Feldnetzwerk.
  • Ein Statussignal, welches anzeigt, ob sich das relevante Gerät in einem „sicheren Zustand” oder in einem „unsicheren Zustand” befindet, wird zu einem vorbestimmten Zeitpunkt von jeder Sicherheits-Steuerung (d. h., „Sicherheits-Slave”) C1 bis Cn jedes Geräts D1 bis Dn an die Sicherheits-Steuerung (d. h., „Sicherheits-Master”) C0 übermittelt. In diesem Fall wird der Inhalt des Statussignals als ON („1”) definiert, wenn der „sichere Zustand” vorliegt, und als OFF („0”), wenn der „unsichere Zustand” vorliegt.
  • Wenn eines der Geräte D1 bis Dn nicht existent ist, wird der Inhalt des dem nicht existenten Gerät entsprechenden Statussignals unter den Statussignalen, die auf einer Seite der Sicherheits-Steuerung C0 empfangen werden, als OFF („0”) definiert, was dem „unsicheren Zustand” entspricht.
  • Das Operationsbefehlssignal, welches anweist, ob sich das relevante Gerät in einem „In-Betrieb-Zustand” oder in einem „Halt-Zustand”, in dem die Stromversorgung abgeschirmt ist, befinden soll, wird zu einem vorbestimmten Zeitpunkt von der Sicherheits-Steuerung C0 an jede Sicherheits-Steuerung oder jedes entlegene Sicherheits-I/O-Endgerät C1 bis Cn übermittelt.
  • In diesem Fall wird der Inhalt des Operationsbefehlssignals als ON („1”) definiert, wenn es sich um einen „In-Betrieb-Zustand-Befehl” handelt, und als OFF („0”), wenn es sich um einen „Halt-Zustand-Befehl” handelt.
  • In einem Anwenderspeicher (nicht dargestellt) in der Sicherheits-Steuerung C0 ist ein Sicherheitssteuerungs-Anwenderprogramm gespeichert, welches eine Verknüpfungsfunktion enthält. Das die Verknüpfungsfunktion realisierende Anwenderprogramm kann in einem Logiksymboldiagramm vorliegen, beispielsweise kann es als Mehreingangs-Logikprodukt-UND-Schaltung („multi-input logical product circuit AND”) vorliegen, bei der das Statussignal von jedem Gerät als Eingabe (Input) und das Operationsbefehlssignal zu jedem Gerät als Ausgabe (Output) empfangen wird, wie in 12B dargestellt.
  • Gemäß einer derartigen Konfiguration werden, wenn sämtliche der Mehrzahl an Geräten D1 bis Dn, welche das Fertigungssystem bilden, existent sind und sich jedes dieser Geräte in einem vorbestimmten „sicheren Zustand” befindet, die Inhalte der Statussignale der Geräte D1 bis Dn, welche auf der Seite der Sicherheits-Steuerung C0 empfangen werden, sämtlich ON („1”); somit wird die Ausgabe der logischen Mehreingangs-Logikprodukt-UND-Schaltung, welche die Verknüpfungsfunktion bildet, ON („1”).
  • Nachfolgend werden die Inhalte der Operationsbefehlssignale, welche auf den Geräteseiten empfangen werden, sämtlich ON („1”), wobei sich sämtliche Geräte D1 bis Dn im „In-Betrieb-Zustand” befinden können, wodurch der Betrieb des gesamten Fertigungssystems ermöglicht wird.
  • Im In-Betrieb-Zustand des Fertigungssystems wird, wenn der „unsichere Zustand” in einem der Geräte D1 bis Dn auftritt, der Inhalt des Statussignals, welches z. B. von der Sicherheits-Steuerung des im „unsicheren Zustand” befindlichen Geräts an die Sicherheits-Steuerung C0 übermittelt wird, welcher die Verknüpfungssteuerung durchführt, OFF („0”), was den „unsicheren Zustand” anzeigt; somit wird die Ausgabe der logischen Mehreingangs-Logikprodukt-UND-Schaltung, welche die Verknüpfungsfunktion konfiguriert, die in das Anwenderprogramm eingebaut ist, OFF („0”).
  • Nachfolgend werden die Inhalte der Operationsbefehlssignale, welche auf jeder Geräteseite empfangen werden, sämtlich OFF („0”), wobei sämtliche Geräte D1 bis Dn im „Halt-Zustand” vorliegen, und das gesamte Fertigungssystem befindet sich im „Halt-Zustand”, in dem die Stromversorgung abgeschirmt ist.
  • In einem Zustand, in dem eines der Geräte D1 bis Dn, welche das Fertigungssystem konfigurieren, fehlt („abwesend ist”) oder in einem Zustand vorliegt, in dem z. B. ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung in einem der Geräte D1 bis Dn auftritt, wird ein „keine-Teilnahme-an-der-Kommunikation”-Zustand realisiert, wobei in einem derartigen „keine-Teilnahme-an-der-Kommunikation”-Zustand der Inhalt des Statussignals des Geräts, welches abwesend ist oder in welchem z. B. ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt, was von der Sicherheits-Steuerung C0, welche die Verknüpfungssteuerung durchführt, wahrgenommen wird, OFF („0”) wird, was dem „unsicheren Zustand” entspricht, wodurch die Ausgabe der logischen Mehreingangs-Logikprodukt-UND-Schaltung, welche die in dem Anwenderprogramm enthaltene Verknüpfungsfunktion konfiguriert, OFF („0”) wird.
  • Anschließend werden, ähnlich zu dem Fall, in dem sich eines der Geräte D1 bis Dn im „unsicheren Zustand” befindet, die Inhalte der Operationsbefehlssignale, welche auf jeder Gerätseite empfangen werden, sämtlich OFF („0”), wobei sich sämtliche Geräte D1 bis Dn im „Halt-Zustand” befinden, und das gesamte Fertigungssystem liegt im Halt-Zustand vor, in dem die Stromversorgung abgeschirmt ist.
  • Eine Vorrichtung zur verteilten Steuerung von Anlagen über Eingabe- und Ausgabesignale ist aus US 2006/0030951 A1 bekannt.
  • ÜBERBLICK
  • In dem Fertigungssystem, das ein Sicherheitssteuerungssystem vorsieht, welches durch Verbinden eines Sicherheits-Masters (Sicherheits-Steuerung C0) und einer Mehrzahl an Sicherheits-Slaves (Sicherheits-Steuerung oder entlegenen Sicherheits-I/O-Endgeräten („Remote Terminal” C1 bis Cn) durch ein Sicherheitsfeldnetzwerk gebildet wird, befindet sich, wie oben beschrieben, das gesamte Fertigungssystem in einem Halt-Zustand, in dem eine Stromversorgung abgeschirmt wird, wenn eines der Geräte D1 bis Dn in einem „unsicheren Zustand” vorliegt, wenn eines der Geräte D1 bis Dn, welche das Fertigungssystem konfigurieren, fehlt („abwesend ist”), oder wenn z. B. ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt, d. h., in einem Zustand „nicht an der Kommunikation teilnehmend”, in dem der relevante Sicherheits-Slave nicht an der Kommunikation teilnimmt.
  • Der Zustand, in dem eines der Geräte D1 bis Dn, welche das Fertigungssystem konfigurieren, fehlt („abwesend ist”) tritt beispielsweise bei einer Neueinstellung/Inbetriebnahme eines Fertigungssystems oder bei der Instandhaltung auf. Insbesondere im Fall eines Fertigungssystems, wie beispielsweise für ein Automobil oder einen Halbleiter, sind im Normalfall der Lieferant und der Einrichter der Geräte, welche das Fertigungssystem konfigurieren, nicht die gleichen; dadurch tritt ein Problem bei dem Betriebstest der jeweiligen Geräte auf, wobei es äußerst unbequem ist, dass der Betrieb des gesamten Fertigungssystems erst durchgeführt werden kann, wenn sämtliche Geräte fertiggestellt sind.
  • Um den Nachteil zu beheben, dass der Betrieb der Geräte, die das Fertigungssystem konfigurieren, erst durchgeführt werden kann, wenn sämtliche Geräte fertig gestellt sind, wurden einige (erste bis dritte) Maßnahmen zur Verknüpfungs-Invalidierung aus dem Stand der Technik durchgeführt (siehe 13A bis 13C).
  • Als erste Maßnahme wurde eine relevante Stelle in dem Anwenderprogramm zur Realisierung der Verknüpfungsfunktion temporär umgeschrieben.
  • Anders ausgedrückt wird, wie durch Vergleich eines in 13A dargestellten Beispiels für ein Original-Programm mit einem in 13B dargestellten Beispiel für ein Programm nach einer Änderung deutlich wird, ein Überschreibungsprozess des Anwenderprogramms in einer Sicherheits-Steuerung C0, welcher die Verknüpfungsfunktion durchführt, unter Anwendung eines vorbestimmten Programmierwerkzeugs („Tool”) in einer ersten Maßnahme zur Verknüpfungs-Invalidierung durchgeführt, wobei das Programm derart umgeschrieben wird, dass anstelle des Statussignals, welches dem abwesenden Gerät (in diesem Beispiel Gerät D2) entspricht, konstant ON („1”) eingegeben wird, wodurch temporär der Einfluss des Statussignals OFF („0”), welches dem Gerät D2 entspricht, eliminiert wird.
  • Als zweite Maßnahme wird das Statussignal, das an die relevante Stelle in dem Anwenderprogramm der Sicherheits-Steuerung C0, welche die Verknüpfungs-Funktion ausführt, eingegeben wird, oder das Operationsbefehlssignal, das an die relevante Stelle ausgegeben wird, durch eine erzwungene Setzfunktion oder eine erzwungene Rücksetzfunktion, die in dem Programmierwerkzeug („Tool”) enthalten ist, vorübergehend bei ON („1”) fixiert.
  • Anders ausgedrückt, wird, wie aus einem Vergleich des in 13A dargestellten Beispiels für ein Originalprogramm mit dem in 13C dargestellten Programmbeispiel nach einer Änderung deutlich wird, das Statussignal (in diesem Beispiel das Statussignal, welches dem Gerät D2 entspricht), welches an der relevanten Stelle in dem Anwenderprogramm zur Durchführung der Verknüpfungsfunktion eingegeben wird, oder das Operationsbefehlssignal (in diesem Beispiel das von der Logikprodukt-UND-Schaltung ausgegebene Operationsbefehlssignal, welches an die relevante Stelle auszugeben ist, durch eine erzwungene Setzfunktion oder Rücksetzfunktion, mit der das Programmierwerkzeug ausgestattet ist, unter Verwendung eines vorbestimmten Programmierwerkzeugs in einer zweiten Maßnahme zur Verknüpfungs-Invalidierung temporär fixiert, um den Einfluss des Statussignals, welches dem Gerät D2 entspricht, temporär zu eliminieren.
  • Als dritte Maßnahme wird eine „Off-Line-Simulation” der Sicherheits-Steuerung zur Durchführung einer Steuerung zur Realisierung der Verknüpfungsfunktion durchgeführt, wobei eine Überprüfung des Systembetriebs durch die wirkliche Maschine nicht erfolgt.
  • Da das Anwenderprogramm selbst, welches mit der Realisierung der Verknüpfungsfunktion in Beziehung steht, verändert wird, treten bei der ersten Maßnahme jedoch Probleme auf, derart, dass die Möglichkeit eines Programmierfehlers bei der Änderungsoperation besteht, und es vergessen werden kann, die veränderte Stelle wieder in ihren Originalzustand zu versetzen. Insbesondere kann, wenn es vergessen wird, die veränderte Stelle in dem Anwenderprogramm in ihren Originalzustand zu versetzen, der extrem gefährliche Fall eintreten, dass das Fertigungssystem nicht stoppt, auch wenn eine Sicherheitsvorrichtung (z. B. Notaus-Schalter), welche der veränderten Stelle entspricht, betätigt wird.
  • Bei der zweiten Maßnahme kann, da das Statussignal, welches an der relevanten Stelle in dem Anwenderprogramm der Sicherheits-Steuerung C0 zur Realisierung der Verknüpfungs-Funktion eingegeben wird, und das Operationsbefehlssignal, welches an die relevante Stelle auszugeben ist, durch die erzwungene Setzfunktion oder die erzwungene Rücksetzfunktion, welche in dem Programmierwerkzeug enthalten sind, temporär fixiert sind, beim Versuch, das Statussignal oder das Operationsbefehlssignal zwangsweise auszugeben, durch einen Fehler ein anderes Signal zwangsweise ausgegeben werden, was zu einer unerwarteten Gefahr führen kann.
  • Bei der dritten Maßnahme kann das Programm „debugged” werden; da jedoch die Überprüfung des Systembetriebs durch die wirkliche Maschine, welche eine extern verbundene Vorrichtung, wie beispielsweise einen Sensor oder einen Motor, umfasst, nicht erfolgt, wird in dem tatsächlichen Maschinensystem eine unbeabsichtigte Operation angenommen, wodurch die Sicherheit kann nicht ausreichend gewährleistet werden kann.
  • Es wird angenommen, dass die Probleme der ersten bis dritten Maßnahme zu Verknüpfungs-Invalidierung gleichermaßen auftreten, wenn eine Sicherheits-Steuerung vom Baugruppentyp allein verwendet wird und eine jede lokale Sicherheits-I/O-Einheit zu jedem Gerät des Fertigungssystems zugeordnet wird.
  • In Anbetracht der Probleme aus dem Stand der Technik ist es eine Aufgabe der vorliegenden Erfindung, eine Sicherheits-Steuerung bereitzustellen, bei der die Verknüpfung mit einer einfachen Operation in einen ungültigen (invaliden) Zustand gebracht werden kann, ohne das Anwenderprogramm selbst zu verändern oder die spezifischen Eingabesignale oder Ausgabesignale zwangsweise einzustellen oder zurückzusetzen, wenn eines der Geräte, welche das Fertigungssystem bilden, „abwesend” ist oder ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt.
  • Eine andere Aufgabe der vorliegenden Erfindung ist, eine Sicherheits-Steuerung bereitzustellen, bei der die Verknüpfung wieder in einen gültigen Zustand gebracht werden kann, ohne dass eine spezielle Wiederherstellungsoperation notwendig ist, wenn das Gerät, welches „nicht an der Kommunikation teilnimmt” wieder „an der Kommunikation teilnimmt”.
  • Eine weitere Aufgabe der vorliegenden Erfindung ist, eine Sicherheits-Steuerung bereitzustellen, durch die verhindert wird, dass, wenn ein Gerät, welches „nicht an der Kommunikation teilnimmt” wieder „an der Kommunikation teilnimmt”, die Verknüpfung nachfolgend nicht fälschlicherweise ungültig gemacht (invalidiert) wird.
  • Weitere Aufgaben und Vorteile der vorliegenden Erfindung können durch einen einschlägigen Fachmann anhand der folgenden Beschreibung leicht verstanden werden.
  • Die oben genannten Probleme werden durch einen Sicherheits-Master gemäß Anspruch 1 gelöst.
  • Der Sicherheits-Master ist derart konfiguriert, dass er über ein Sicherheitsfeldnetzwerk mit einer Mehrzahl an Sicherheits-Slaves oder mit einer Mehrzahl an lokalen Sicherheits-I/O-Einheiten, die durch einen Sicherheits-Rückwand-Bus des Sicherheits-Masters kommunizieren, wobei jeder aus der Mehrzahl an Sicherheits-Slaves und jede der lokalen Sicherheits-I/O-Einheiten die Verbindung mit Sicherheits-I/O-Geräten in einer Mehrzahl an Gerätezellen („cell equipment”) ermöglicht, kommuniziert.
  • Der Sicherheits-Master empfängt von jedem Sicherheits-Slave oder jeder lokalen Sicherheits-I/O-Einheit ein Statussignal, welches in Bezug auf die Gerätezelle einen „sicheren Zustand” oder einen „unsicheren Zustand” anzeigt, und steuert den In-Betrieb/Halt der Geräte durch Ausführen eines Verknüpfungsoperationsprogramms, welches durch den Anwender geschaffen wurde, wobei das empfangene Statussignal als Eingabe (Input) dient, um ein Operationsbefehlssignal auszugeben, wobei das Operationsbefehlssignal an das Sicherheits-I/O-Gerät jeder Gerätezelle über die Sicherheits-Slaves oder die lokalen Sicherheits-I/O-Einheiten übermittelt wird, um eine Sicherheitssteuerung in Bezug auf jede Gerätezelle und eine Sicherheitssteuerung für die gesamte Gerätezellen-Reihe (Anlage) durchzuführen.
  • Bei der vorliegenden Erfindung umfasst ein derartiger Sicherheits-Master eine Einheit zur Erzeugung einer Invalidierungs-Anforderung, die eine Statussignal-Invalidierungs-Anforderung, welche die Bezeichnung irgendeiner Gerätezelle enthält, erzeugt; und eine Einheit zur Invalidierung des Statussignals, welche für jedes Statussignal aus der Mehrzahl an Gerätezellen, welches die Eingabe (Input) des Verknüpfungs-Operations-Programms wird, vorgesehen ist, um das Statussignals in Bezug auf die Gerätezelle, welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn die Statussignal-Invalidierungs-Anforderung erzeugt wird, zu invalidieren, so dass, wenn der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit, welche(r) einer der Gerätezellen entspricht, „abwesend” ist oder dort z. B. ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt, eine Invalidierungs-Anforderung für eine derartige Gerätezelle erzeugt wird, um das Statussignal „unsicherer Zustand” der relevanten Gerätezelle zu invalidieren, so dass der Einfluss des „abwesenden” Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheit auf die gesamte Anlage durch die Ausführung des Verknüpfungsoperationsprogramms verhindert werden kann.
  • Gemäß einer derartigen Konfiguration wird, wenn eines der Geräte, welche das Fertigungssystem konfigurieren, „abwesend” ist, oder z. B. ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftritt, die Verknüpfung mit einer einfachen Operation zu einem ungültigen Zustand gemacht, ohne das Anwenderprogramm selbst zu verändern und ohne ein spezifisches Eingabesignal oder Ausgabesignal zwangsweise einzustellen oder zurückzusetzen; es wird verhindert, dass die Verknüpfung aufgrund der Abwesenheit eines Teils der Anlage derart betätigt wird, dass sich das gesamte Fertigungssystem im Halt-Zustand befindet; des Weiteren wird das Auftreten einer unerwarteten abnormalen Operation (abnormalen Betriebs) aufgrund der fehlerhaften Operation bei der Invalidierung der Verknüpfung verhindert, wodurch ein z. B. Betriebstest jedes Geräts zum Zeitpunkt der Installation oder Instandhaltung dieses Fertigungssystem-Typs ohne Weiteres durchgeführt werden kann.
  • In einer bevorzugten Ausführungsform der vorliegenden Erfindung ist ferner eine Determinationseinheit vorgesehen, die bestimmt, ob ein einer Gerätezelle entsprechender Sicherheits-Slave oder eine einer Gerätezelle entsprechende lokale Sicherheits-I/O-Einheit „an der Kommunikation teilnimmt” oder „nicht an der Kommunikation teilnimmt”, wobei die Einheit zur Invalidierung des Statussignals dazu eingerichtet ist, das Statussignal einer Gerätezelle „nimmt nicht an der Kommunikation teil” nur dann zu invalidieren, wenn die Bestimmung als „nimmt nicht an der Kommunikation teil” durch die Determinationseinheit erfolgt, und eingerichtet ist, die Invalidierung des Statussignals zu löschen, wenn der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit, welcher/welche der Gerätezelle „nimmt nicht an der Kommunikation teil” entspricht, nachfolgend als „nimmt an der Kommunikation teil” bestimmt wird.
  • Gemäß einer derartigen Konfiguration wird, wenn das Gerät, welches bisher „nicht an der Kommunikation teilnimmt” wieder „an der Kommunikation teilnimmt” die Verknüpfung automatisch wieder hergestellt, ohne dass eine spezielle Wiederherstellungsoperation erforderlich ist; somit kann ein Zustand, in dem die Verknüpfung nicht betätigt wird, auch nachdem das Gerät teilnimmt, weil die Wiederherstellungsoperation aus dem ungültigen Verknüpfungszustand vergessen wurde, soweit wie möglich verhindert werden.
  • In einer bevorzugten Ausführungsform der vorliegenden Erfindung wird, nachdem die Statussignal-Invalidierungs-Einheit die Invalidierung des Statussignals gelöscht hat, das Statussignal der Gerätezelle „nicht an der Kommunikation teilnehmend” nicht noch einmal invalidiert, auch wenn der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit durch die Determinationseinheit wieder als „nicht an der Kommunikation teilnehmend” bestimmt wird.
  • Gemäß einer derartigen Konfiguration kann, auch wenn versucht wird, die Verknüpfung fälschlich zu invalidieren, nachdem eine der Gerätezellen an dem System teilnimmt, eine derartige Anforderung nicht akzeptiert werden, wodurch das Auftreten eines abnormalen Betriebs durch eine derartige fehlerhafte Operation verhindert werden kann.
  • In dem erfindungsgemäßen Sicherheits-Master ist gemäß einer Ausgestaltung die „Einheit zur Erzeugung der Invalidierungs-Anforderung” derart ausgebildet, dass sie (1) wenn einer aus einer Mehrzahl an Schaltern („Switch”), die den jeweiligen Gerätezellen entsprechen, die an einen Eingangsschaltkreis des Sicherheits-Masters angeschlossen sind, betätigt wird, eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die dem Schalter entspricht, erzeugt; (2) wenn eine Adresse, die dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit entspricht, welche „nicht an der Kommunikation teilnimmt” durch eine vorbestimmte Operation an einem programmierbaren Terminal gemeldet wird, eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die der Adresse entspricht, erzeugt; (3) wenn durch eine Registrierungstabelle als interne Kommunikationseinheit gemeldet wird, dass irgendeine der Sicherheits-Slaves und der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation teilnimmt”, eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, welche der Meldung entspricht, erzeugt; gleichzeitig zwei oder mehrere aus (1) bis (3) anwendet.
  • In der erfindungsgemäßen Sicherheits-Steuerung ist gemäß einer Ausgestaltung die „Determinationseinheit” derart ausgebildet, dass sie (1) eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” als Ergebnis der Wiederherstellung der Kommunikation mit dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit auf der Gerätezellen-Seite bestimmt; (2) eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” als Ergebnis des Empfangs valider I/O-Daten von dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit auf der Gerätezellen-Seite bestimmt; (3) eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” bestimmt, wenn eine Verknüpfungsbedingung erfüllt ist.
  • In einer bevorzugten Ausführungsform kann eine Anzeige-Steuereinheit zur Darstellung einer Meldung, dass eine Verknüpfung im Wesentlichen invalidiert ist, auf einer vorbestimmten Anzeige-Einheit in der erfindungsgemäßen Sicherheits-Steuerung angeordnet sein.
  • Gemäß einer derartigen Konfiguration können Tests und Überprüfungen zum Zeitpunkt des Hochfahrens und der Wartung des Systems sicher durchgeführt werden, wobei Gerätezellen, die in einem Zustand „nicht an der Kommunikation teilnehmend” verbleiben, auf der Anzeige angezeigt werden.
  • Des Weiteren kann in einer bevorzugten Ausführungsform eine Anzeige-Steuereinheit in der erfindungsgemäßen Sicherheits-Steuerung eingerichtet sein, um eine Meldung bezüglich einer Kommunikationsabnormalität auf einer vorbestimmten Anzeige-Einheit lediglich dann darzustellen, wenn eine Verknüpfung im Wesentlichen nicht invalidiert ist, und wenn irgendeiner der Sicherheits-Slaves oder irgendeine der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation teilnimmt”.
  • Gemäß einer derartigen Konfiguration können Schwierigkeiten aus der Anzeige von Meldungen einer Kommunikationsabnormalität zum Zeitpunkt der Durchführung beispielsweise eines Test-Tasks oder eines Überprüfungs-Tasks, wobei eine der Gerätezellen in dem Zustand „nicht an der Kommunikation teilnehmend” verbleibt, und die Verknüpfung invalidiert ist, vermieden werden.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1A bis 1D sind beispielhafte Ansichten, welche Konfigurationsbeispiele für ein System, in dem die vorliegende Erfindung angewendet wird, zeigen;
  • 2 zeigt ein Diagramm der Hardware-Konfiguration einer Sicherheits-Steuerung (Sicherheits-Masters);
  • 3 ist ein allgemeines Flussdiagramm, welches einen Gesamtprozess der Sicherheits-Steuerung (Sicherheits-Masters) zeigt;
  • 4 zeigt eine Konfigurationsansicht eines gesamten Sicherheitssteuerungssystems, welches die Sicherheits-Steuerung (Sicherheits-Master) umfasst;
  • 5 zeigt den beispielhaften Betrieb in Bezug auf das Gerät Dn einer Sicherheits-Steuerung (Sicherheits-Masters) C0 gemäß einer Ausführungsform der vorliegenden Erfindung;
  • 6 ist ein Zeitdiagramm, welches den Betrieb der Sicherheits-Steuerung (Sicherheits-Masters) C0 gemäß einer Ausführungsform der vorliegenden Erfindung zeigt;
  • die 7A bis 7C zeigen erläuternde Darstellungen einer Einheit (Nr. 1) zur Invalidierung des Statussignals gemäß einer Ausführungsform der vorliegenden Erfindung;
  • die 8A und 8B zeigen erläuternde Darstellungen einer Einheit (Nr. 2) zur Invalidierung des Statussignals gemäß einer Ausführungsform der vorliegenden Erfindung;
  • die 9A und 9B zeigen erläuternde Darstellungen einer Einheit (Nr. 3) zur Invalidierung des Statussignals gemäß einer Ausführungsform der vorliegenden Erfindung;
  • 10 zeigt eine erläuternde Darstellung einer Einheit (Nr. 4) zur Invalidierung des Statussignals gemäß einer Ausführungsform der vorliegenden Erfindung;
  • die 11A bis 11D zeigen detaillierte erläuternde Darstellungen des Schaltkreises zur Invalidierung des Statussignals;
  • die 12A und 12B zeigen erläuternde Darstellungen einer Sicherheitsmaßnahme jedes Geräts und einer Sicherheitsmaßnahme für das gesamte Fertigungssystem; und
  • die 13A bis 13C zeigen erläuternde Darstellungen konventioneller Maßnahmen zur Verknüpfungs-Invalidierung.
  • DETAILLIERTE BESCHREIBUNG
  • Im Folgenden wird eine bevorzugte Ausführungsform eines Sicherheits-Masters gemäß der vorliegenden Erfindung detailliert mit Bezug auf die begleitenden Zeichnungen beschrieben.
  • In den 1A bis 1D sind erläuternde Darstellungen gezeigt, welche jeweils ein Konfigurationsbeispiel für ein System, in dem ein erfindungsgemäßer Sicherheits-Master angewendet wird, zeigen. Ein erfindungsgemäßer Sicherheits-Master C0 ist mittels einer Mehrzahl an Sicherheits-Slaves C1 bis Cn, die durch ein Sicherheitsfeldnetzwerk (NET) verbunden sind, mit einem Sicherheits-I/O-Gerät in einer Mehrzahl an Gerätezellen, welche ein Gerätesystem bilden, wie in den 1A bis 1C dargestellt, oder mittels einer Mehrzahl an lokalen I/O-Einheiten, die durch einen Sicherheits-Rückwand-Bus (BUS) verbunden sind, wie in 1D dargestellt, verbunden.
  • Insbesondere zeigt 1A ein Beispiel, in dem eine Sicherheits-Steuerung (rechteckiges Symbol in der Fig.) bei sämtlichen Sicherheits-Slaves C1, C2, ..., Cn angewendet wird. 1B zeigt ein Beispiel, in dem die Sicherheits-Steuerung (rechteckiges Symbol in der Fig.) und das entlegene Sicherheits-I/O-Endgerät (kreisförmiges Symbol in der Figur) koexistieren; und 1C zeigt ein Bespiel, in dem das entlegene Sicherheits-I/O-Endgerät (kreisförmiges Symbol in der Figur) für sämtliche Sicherheits-Slaves C1, C2, ..., Cn übernommen wird.
  • Ein Statussignal, welches anzeigt, ob sich ein Sicherheits-Eingabe/Ausgabe-Gerät in der Gerätezelle unter der Zuständigkeit des Slaves in einem „sicheren Zustand” oder einem „unsicheren Zustand” befindet, wird von jedem Sicherheits-Slave C1, C2, ..., Cn erzeugt, und ein derartiges Statussignal wird durch das Sicherheitsfeldnetzwerk zu dem Sicherheits-Master C0 übermittelt.
  • In dem in 1D dargestellten Beispiel ist ein Rückwand-Bus (BUS) auf einer starren Platte, die als Rückwand bezeichnet wird, angeordnet und ein Einheitsanschlussstecker ist in einem angemessenen Abstand auf dem Rückwand-Bus (BUS) angeordnet, welcher mit einer CPU-Einheit und einer Mehrzahl an lokalen Sicherheits-I/O-Einheiten verbunden wird, wodurch eine Sicherheits-Steuerung vom Baugruppentyp gebildet wird, wobei jede aus der Mehrzahl der lokalen Sicherheits-I/O-Einheiten mit einem Sicherheits-Eingabe/Ausgabe-Gerät in jeder Gerätezelle, welche das Fertigungssystem bilden, verbunden ist.
  • Ein Statussignal, welches anzeigt, ob sich ein Sicherheits-Eingabe/Ausgabe-Gerät in der Gerätezelle unter Zuständigkeit des Slaves in einem „sicheren Zustand” oder einem „unsicheren Zustand” befindet, wird von jeder der lokalen Sicherheits-I/O-Einheiten erzeugt, und ein derartiges Statussignal wird der CPU-Einheit, welche als Sicherheits-Master fungiert, durch den Rückwand-Bus (BUS) übermittelt.
  • Das entlegene Sicherheits-I/O-Endgerät („Remote Terminal”) führt Operationen durch, wie beispielsweise Übermittlung der Ausgabedaten, die von dem Sicherheits-Master durch Kommunikation empfangen wurden, zu einem Sicherheits-Ausgabe-Gerät über einen Ausgangsschaltkreis (nicht dargestellt), und Übermittlung von Eingabedaten die von einem Sicherheits-Eingangsschaltkreis gewonnen wurden, an einen Sicherheits-Master durch Kommunikation.
  • In 2 ist ein Diagramm der Hardware-Konfiguration dargestellt, welches die schematische Konfiguration der Sicherheits-Steuerung C0, welcher als Sicherheits-Master fungiert, zeigt. Wie in der Figur dargestellt, ist die Sicherheits-Steuerung C0 mittels einer Kommunikationsschaltung 13 mit dem Sicherheitsfeldnetzwerk (NET) verbunden; ebenso ist sie mittels einer Eingangsschaltung 11 mit den Eingabegeräten IN1 bis INn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, und mittels einer Ausgangsschaltung 12 mit den Ausgabegeräten OUT1 bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, verbunden.
  • Die Sicherheits-Steuerung C0 umfasst intern eine CPU 10 zur kollektiven Steuerung von Eingangsschaltung 11, Ausgangsschaltung 12, Kommunikationsschaltung 13, Anzeige-Schaltung 14 und Einstell-(Setup-)Schaltung 15. Die Anzeige-Schaltung 14 wird hier bereitgestellt, um verschiedene Anzeige-Typen in Bezug auf den Betrieb der Sicherheits-Steuerung auszuführen; sie wird beispielsweise von einer Flüssigkristall-Anzeige geeigneter Größe oder einer Betriebsanzeigelampe gebildet. Die Einstell-Schaltung 15 wird bereitgestellt, um verschiedene Einstellungen (Setups) in Bezug auf den Betrieb der Sicherheits-Steuerung durchzuführen; sie wird z. B. von einer Zehnertaste, einer Funktionstaste, einem Schlüsselschalter oder Ähnlichem gebildet.
  • Die CPU 10 umfasst einen Mikroprozessor (MPU) 10a, einen RAM-Speicher 10b und einen ROM-Speicher 10c. Wie nachfolgend beschrieben, sind der Mikroprozessor (MPU) 10a, der RAM-Speicher 10b und der ROM-Speicher 10c doppelt vorhanden, um die Zuverlässigkeit während des Betriebs zu gewährleisten.
  • In 3 ist ein allgemeines Flussdiagramm dargestellt, welches den Gesamtprozess der CPU in der Sicherheits-Steuerung, welche als Sicherheits-Master fungiert, zeigt. Wie in der Figur dargestellt, wird die gesamte CPU durch zwei CPUs (CPU A, CPU B) gebildet, wobei die CPUs konfiguriert sind, parallel unter Synchronisation zu arbeiten und gleichzeitig parallel, unmittelbar nach Anschalten (ON) der Stromversorgung einen Initialisierungsprozess, einen Selbstdiagnoseprozess (Schritte 101a, 101b) und nachfolgend einen Synchronisationsprozess (Schritte 102a, 102b), einen Selbstdiagnoseprozess (Schritte 103a, 103b), einen Peripherie-Prozess (Schritte 104a, 104b), einen I/O-Auffrisch-(„Refresh”-)Prozess (Schritte 105a, 105b) und einen Betriebsprozess (Schritte 106a, 106b) durchzuführen.
  • Bei dem „Initialisierungsprozess” handelt es sich hierbei beispielsweise um einem Prozess der Initialisierung eines Geräts und von Daten oder des Auslesens von gespeicherten Daten; bei dem „Selbstdiagnoseprozess” handelt es sich um einen Prozess, in dem eine Hardware-Diagnose durchgeführt wird (Schritte 101a, 101b). Der „Synchronisationsprozess” (Schritte 102a, 102b) ist ein Prozess, in dem z. B. ein temporärer Synchronisationsprozess (einschließlich eines Warteprozesses, um die Zykluszeit konstant zu machen) oder ein Überprüfungsprozess der Datenübereinstimmung zwischen den beiden CPUs durchgeführt wird. Der Selbstdiagnoseprozess (Schritte 103a, 103b) ist ein Prozess, in dem beispielsweise eine Hardware-Diagnose durchgeführt wird. Der Peripherie-Prozess (Schritte 104a, 104b) ist ein Prozess, in dem ein Zugriffsprozess auf ein externes Medium (Speicherkarte, RTC usw.), ein Kommunikationsprozess z. B. mit einer externen Vorrichtung oder einem Werkzeug („tool”) durchgeführt wird. Der I/O-Auffrisch-Prozess (Schritte 105a, 105b) ist ein Prozess, in dem z. B ein Update-Prozess einer lokalen Eingabe/Ausgabe (einschließlich Eingabe-/Ausgabe-Einheit) oder ein Daten-Update einer entlegenen (Remote-)I/O-Eingabe/Ausgabe durchgeführt wird. Der Betriebsprozess (Schritte 106a, 106b) ist ein Prozess, in dem ein Anwenderprogramm (einschließlich des Anwenderprogramms zur Realisierung der Verknüpfungsfunktion), welches durch den Anwender frei generiert wurde, durchgeführt wird.
  • Eine detaillierte Ansicht der Konfiguration des gesamten Sicherheitssteuerungssystems, welches die erfindungsgemäße Sicherheits-Steuerung C0, welche als Sicherheits-Master fungiert, enthält, ist in 4 dargestellt. Wie aus der Figur hervorgeht, umfasst das Sicherheitssteuerungssystem eine Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung und eine Mehrzahl an Sicherheits-Slaves C1 bis Cn.
  • Das Fertigungssystem, welches die Kontrolle über das Sicherheitssteuerungssystem ausübt, ist derart konfiguriert, dass es n Gerätezellen umfasst. Jede der n Sicherheits-Slaves C1 bis Cn ist konfiguriert, die Kontrolle über jede der n Gerätezellen D1 bis Dn auszuüben.
  • Insbesondere umfasst jede der n Gerätezellen D1 bis Dn den Sicherheits-Slave C1 bis Cn, und ein derartiger Sicherheits-Slave C1 bis Cn ist konfiguriert, die Eingabegeräte IN1 bis INn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, und die Ausgabegeräte OUT1 bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, handzuhaben.
  • In jeder der Gerätezellen D1 bis Dn wird, wenn durch die Eingabegeräte IN1 bis INn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, und die Ausgabegeräte OUT1 bis OUTn, die an einen vorbestimmten Sicherheitsstandard angepasst sind, ein „unsicherer Zustand” in Bezug auf das relevante Gerät bestimmt wird, das Statussignal einer derartigen Meldung an die Sicherheits-Steuerung C0 übermittelt, welche die Verknüpfungssteuerung durch das Sicherheitsfeldnetzwerk (NET) durchführt.
  • Die Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung ist in einem Anwenderprogramm zur Durchführung der Verknüpfungsfunktion, welche im Folgenden durch die Mehreingangs-Logikprodukt-UND-Schaltung dargestellt wird, enthalten. Das Anwenderprogramm wird auf der Grundlage des von jeder aus der Mehrzahl an Geräten D1 bis Dn übermittelten Statussignals ausgeführt und ist derart ausgelegt, dass es ein Operationsbefehlssignal, welches entweder den Betriebsbefehl oder den Halt-Befehl ausgibt, erzeugt.
  • Die Sicherheits-Steuerung C0 zur Durchführung der Verknüpfungssteuerung ist intern mit einer Einheit zur Erzeugung der Invalidierungs-Anforderung zur Erzeugung einer Statussignal-Invalidierungs-Anforderung, welche die Bezeichnung der Gerätezellen D1 bis Dn enthält, und einer Einheit zur Invalidierung des Statussignals, die für jedes Statussignal jeder Gerätezelle D1 bis Dn eingerichtet ist, welches die Eingabe des Verrieglungsausführungsprogramms wird, eingerichtet, um das Statussignal in Bezug auf die Gerätezelle, welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn die Statussignal-Invalidierungs-Anforderung erzeugt wird, zu invalidieren.
  • Die „Einheit zur Erzeugung der Invalidierungs-Anforderung” kann geeigneterweise derart ausgebildet sein, dass (1) wenn einer aus der Mehrzahl an Schaltern 401, welche den mit der Eingangsschaltung verbundenen Gerätezellen entsprechen, betätigt wird, die Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die dem Schalter 401 entspricht, erzeugt wird; (2) wenn eine Adresse, die dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit entspricht, „nicht an der Kommunikation teilnimmt”, z. B. aufgrund von „Abwesenheit” oder eines Kommunikationsfehlers, durch eine vorbestimmte Operation am Touch-Panel 402 eines programmierbaren Terminals zur Kenntnis genommen wird, die Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die der Adresse entspricht, erzeugt wird; (3) wenn durch eine interne Registrierungstabelle der Kommunikationseinheit die Meldung erfolgt, dass irgendeiner der Sicherheits-Slaves C1 bis Cn (oder der lokalen Sicherheits-I/O-Einheiten) „nicht an der Kommunikation teilnimmt”, die Invalidierungs-Anforderung in Bezug auf das Statussignal der entsprechenden Gerätezelle erzeugt wird; oder zwei oder mehr aus (1) bis (3) durchgeführt werden.
  • Es können verschiedene in den 7 bis 11 dargestellte Konfigurationen für die „Einheit zur Invalidierung des Statussignals” angewendet werden. Anders ausgedrückt, ist die Einheit zur Invalidierung des Statussignals für jedes Statussignal jeder Gerätezelle D1 bis Dn, welches die Eingabe des Verknüpfungsoperationsprogramms wird, eingerichtet, und invalidiert das Statussignal in Bezug auf die Gerätezelle, welche durch die Invalidierungs-Anforderung bezeichnet wird, wenn die Statussignal-Invalidierungs-Anforderung erzeugt wird.
  • Wie oben beschrieben, umfasst die Sicherheits-Steuerung (d. h., der „Sicherheits-Master”) C0 zur Durchführung der Verknüpfungssteuerung die „Einheit zur Erzeugung der Invalidierungs-Anforderung” und die „Einheit zur Invalidierung des Statussignals” mit der obigen Funktion; somit wird, wenn eine der Gerätezellen D1 bis Dn „nicht an der Kommunikation teilnimmt”, z. B. aufgrund der Abwesenheit zu Beginn der Neuerstellung des Systems, die Statussignal-Invalidierungs-Anforderung, welche die entsprechende Gerätezelle bezeichnet, erzeugt, so dass das Statussignal in Bezug auf die bezeichnete Gerätezelle, wie im Folgenden beschrieben, invalidiert wird. Im Ergebnis wirkt die Verknüpfung im Wesentlichen nicht auf die relevante Gerätezelle, wodurch keine Probleme beim Betrieb der anderen Gerätezellen auftreten, und z. B. eine Überprüfung vor der Inbetriebnahme durchgeführt werden kann, ohne dass irgendein Problem auftritt, auch wenn die relevante Gerätezelle aufgrund von beispielsweise Abwesenheit oder eines Kommunikationsfehlers/-ausfalls „nicht an der Kommunikation teilnimmt”.
  • Eine erläuternde Darstellung des Betriebs der erfindungsgemäßen Sicherheits-Steuerung (Sicherheits-Masters) C0 in Bezug auf das Gerät Dn ist in 5 dargestellt. Wie aus der Figur hervorgeht, wird der in dem Flussdiagramm von 5 dargestellte Prozess aktiviert, wenn sich der Sicherheits-Slave Cn in Bezug auf das Gerät Dn, beispielsweise aufgrund der Inbetriebnahme des Systems, in einem „abwesenden” Zustand befindet, die Anlage Dn wird als „nicht teilnehmend” (NEIN in Schritt 501) bestimmt, und es wird das Vorliegen der Anforderung bezüglich der Invalidierung der Verknüpfung bestimmt (Schritt 502). Wenn entschieden wird, dass die Anforderung bezüglich der Invalidierung der Verknüpfung (Statussignal-Invalidierungs-Anforderung) „nicht vorliegt” (NEIN in Schritt 502), wird die Verknüpfung validiert (Schritt 504), wodurch die Verknüpfungsfunktion (z. B. im Fall einer logischen Multi-Input-UND-Schaltung) aktiviert wird und sich sämtliche Teile der Anlage D1 bis Dn im Halt-Zustand befinden.
  • Wenn sich das Gerät im „nicht teilnehmenden” Zustand (NEIN in Schritt 501) befindet und die Bestimmung erfolgt, dass die Anforderung bezüglich der Invalidierung der Verknüpfung vorliegt (JA in Schritt 502), wird die Verknüpfung invalidiert (Schritt 503), wodurch sich sämtliche Teile der Anlage D1 bis Dn im Betriebszustand befinden.
  • Ein Zeitdiagramm, welches den Betrieb der Sicherheits-Steuerung (Sicherheits-Masters) C0 gemäß der vorliegenden Erfindung zeigt, ist in 6 dargestellt. Wie 6 zu entnehmen ist, befindet sich im Zeitraum von Zeitpunkt 0 bis Zeitpunkt t1 der Sicherheits-Slave Cn im „nicht an der Kommunikation teilnehmenden” Zustand (z. B. „Abwesenheit” oder „Kommunikationsfehler/-ausfall”); somit wird das Statussignal des Geräts Dn auf OFF gestellt („0”), was einen „unsicheren Zustand” anzeigt, das Operationsbefehlssignal jedes Geräts wird durch die Ausführung des Verknüpfungsprogramms „0”, was einen „Halt-Befehl” anzeigt, und sämtliche Teile der Anlage befinden sich im Halt-Zustand.
  • Wenn die Anforderung bezüglich der Invalidierung der Verknüpfung zum Zeitpunkt t1 erfolgt, wird das Statussignal des Geräts Dn („0”) invalidiert und wird „1”, das Operationsbefehlssignal jedes Geräts wird durch die Ausführung des Verknüpfungsprogramms „1”, was den „Betriebsbefehl” anzeigt, und sämtliche Teile der Anlage befinden sich im Betriebszustand.
  • Wenn sich das Gerät Dn im „an der Kommunikation teilnehmenden” Zustand befindet (z. B. „Anwesenheit” oder „Behebung des Kommunikationsfehlers/-ausfalls”) und die Anforderung bezüglich der Invalidierung der Verknüpfung zum Zeitpunkt t2 nicht vorliegt, wird das Operationsbefehlssignal jedes Geräts „0”, was den „Halt-Befehl” angibt, wenn der Inhalt des Statussignals des Geräts Dn ein „unsicherer Zustand” (t2 bis t3) ist, und das Operationsbefehlssignal jedes Geräts wird „1”, was den „Betriebsbefehl” angibt, wenn der Inhalt des Statussignals des Geräts Dn ein „sicherer Zustand” (t3 bis t4) ist.
  • Ähnlich zu einer Situation, in der die Anforderung bezüglich der Invalidierung der Verknüpfung nicht vorliegt, wird, wenn die Anforderung bezüglich der Invalidierung der Verknüpfung zum Zeitpunkt t4 erzeugt wird, das Operationsbefehlssignal jedes Geräts „0”, was den „Halt-Befehl” angibt, wenn der Inhalt des Statussignals des Geräts Dn ein „unsicherer Zustand” (t4 bis t5) ist, und das Operationsbefehlssignal jedes Geräts wird „1”, was den „Betriebsbefehl” angibt, wenn der Inhalt des Statussignals des Geräts Dn ein „sicherer Zustand” ist (t5 -).
  • Erläuternde Darstellungen einer Einheit (Nr. 1) zur Invalidierung des Statussignals gemäß der vorliegenden Erfindung sind in den 7A bis 7C dargestellt. Die dargestellte „Einheit zur Invalidierung des Statussignals” enthält das Anwenderprogramm selbst, ähnlich zu dem normalen Verknüpfungsschaltkreis, ungeachtet dessen, ob die Verknüpfung invalidiert wird oder nicht, und die Sicherheits-Steuerung enthält eine zweckbestimmte Einheit zur Invalidierung (Bestimmung) der Verknüpfung getrennt von der Einheit zur Ausführung des Anwenderprogramms. In der Beschreibung der 7 bis 11 wird der „Sicherheits-Slave” als „Kommunikations-Gegenüber” beschrieben, das Gebilde ist jedoch das gleiche.
  • In den 7A bis 7C besitzt eine Operationseinheit 701 die Funktion, das Anwenderprogramm auszuführen; sie umfasst einen Grundbefehl („basic command”) und einen Anwendungsbefehl („application command„) zur Ausführung. Im Anwenderprogrammspeicher 702 ist ein durch den Anwender erzeugtes Anwenderprogramm gespeichert. In dem I/O-Speicher 703 sind Eingabedaten und Ausgabedaten des Anwenderprogramms gespeichert. Eine Operationseinheit 704 zur Invalidierung der Verknüpfung ist als Funktionseinbau in Hardware oder Software enthalten. In einem Invalidierungszielknotenpunktspeicher 705 ist Information (z. B. Knotenpunkt-Adresse usw.) gespeichert, um das Kommunikations-Gegenüber zur Invalidierung der Verknüpfung zu spezifizieren. Es wird automatisch bestimmt, dass eine manuelle Einstellung oder Kommunikation durch den Anwender nicht erfolgt, und die Sicherheits-Steuerung ist im Setup-Betrieb.
  • Erläuternde Darstellungen einer Einheit (Nr. 2) zur Invalidierung des Statussignals gemäß der vorliegenden Erfindung sind in den 8A und 8B dargestellt. Die hierin dargestellte „Einheit zur Invalidierung des Statussignals” ist natürlich mit einem Anwendungsbefehl und einem Anwendungsfunktionsblock in dem Bereich der Invalidierung der Verknüpfung auf dem Anwenderprogramm eingerichtet, und die Sicherheits-Steuerung besitzt die Funktion, einen derartigen Anwendungsbefehl und Anwendungsfunktionsblock auszuführen.
  • In den 8A und 8B hat eine Operationseinheit 801 die Funktion, das Anwenderprogramm auszuführen; sie umfasst Grundbefehle und Anwendungsbefehle zur Ausführung. Ein zweckbestimmter Anwendungsbefehl zur Invalidierung der Verknüpfung 801a enthält einen zweckbestimmten Anwendungsbefehl und einem Anwendungs-FB zur Invalidierung der Verknüpfung. Das Programmierwerkzeug kann einen derartigen zweckbestimmten Anwendungsbefel und Anwendungs-FB verwenden.
  • Erläuternde Darstellungen einer Einheit (Nr. 3) zur Invalidierung des Statussignals gemäß der vorliegenden Erfindung sind in den 9A und 9B gezeigt. In der dargestellten „Einheit zur Invalidierung des Statussignals” besitzt die Sicherheits-Steuerung keinen zweckbestimmten Anwendungsbefehl und keinen zweckbestimmten Anwendungs-FB zur Invalidierung der Verknüpfung. Diese Sicherheits-Steuerung ist von dem gleichzeitig verwendeten Programmierwerkzeug abhängig. Das bedeutet, in den Beispielen der 9A und 9B benutzt der Anwender das Programmierwerkzeug, welches den zweckbestimmten Anwendungsbefehl und den Anwendungs-FB zur Invalidierung der Verknüpfung anwenden kann, um das Invalidierungsprogramm zu erstellen.
  • In den 9A und 9B besitzt eine Operationseinheit 901 die Funktion, das Anwenderprogramm auszuführen; sie umfasst einen Grundbefehl und einen Anwendungsbefehl zur Ausführung. In einem Anwenderprogrammspeicher 902 ist ein Anwenderprogramm gespeichert. In einem I/O-Speicher 903 sind Eingabedaten und Ausgabedaten des Anwenderprogramms gespeichert.
  • Eine erläuternde Darstellung einer Einheit (Nr. 4) zur Invalidierung des Statussignals gemäß der vorliegenden Erfindung ist in 10 gezeigt. In der dargestellten „Einheit zur Invalidierung des Statussignals” besitzt die Sicherheits-Steuerung keinen zweckbestimmten Anwendungsbefehl und keinen zweckbestimmten Anwendungs-FB zur Invalidierung der Verknüpfung. Diese Sicherheits-Steuerung ist abhängig von dem gleichzeitig zu diesem Zweck eingesetzten Programmierwerkzeug („Tool”). Das heißt, in dem Beispiel von 10 verwendet der Anwender das Programmierwerkzeug, welches keinen zweckbestimmten Anwendungsbefehl und Anwendungs-FB zur Invalidierung der Verknüpfung aufweist, um das Invalidierungsprogramm zu erstellen.
  • Detaillierte erläuternde Darstellungen des Schaltkreises zur Invalidierung des Statussignals sind in den 11A bis 11D gezeigt. Wie in 11A dargestellt, kann der Schaltkreis zur Invalidierung des Statussignals leicht unter Verwendung eines logischen Summenoperators erstellt werden; im Fall eines Schaltkreises zur Invalidierung des Statussignals, welcher lediglich den logischen Summenoperator verwendet, könnte die Verknüpfung jedoch invalidiert werden, wenn die „Anforderung bezüglich der Invalidierung des Kommuniktaions-Gegenüber n” fälschlicherweise eingeschaltet („ON”) wird, auch wenn das Kommunkations-Gegenüber n normal teilnimmt und Kommunikation mit der Sicherheits-Steuerung durchführt. Die „Anforderung zur Invalidierung des Kommunikations-Gegenübers n” kann fälschlicherweise, z. B. durch einen Bedienfehler des Bedieners, ein Störsignal in dem Kommunikationsweg usw., eingeschaltet („ON”) werden.
  • Gemäß dem in 11B dargestellten Schaltkreis (Nr. 1) zur Invalidierung des Statussignals wird ein Verfahren der Eingabe der Anforderung zur Invalidierung des Kommunikations-Gegenübers n an einen der beiden Eingänge des Logikproduktoperators und Einsetzen einer Verriegelungsschaltung und eines Umkehroperators in Reihe zu dem anderen Eingang vorgesehen; somit wird, sobald das Kommunikations-Gegenüber n teilnimmt, die Invalidierung der Verknüpfung nachfolgend unmöglich gemacht, wodurch eine Sicherheit aufrecht erhalten werden kann, ähnlich derjenigen, wenn keine Invalidierung durchgeführt wird.
  • Die Verriegelungsschaltung in 11B kann unter Verwendung einer in 11C dargestellten RS-Flip-Flop-Schaltung aufgebaut sein. In diesem Fall wird „0” bevorzugt konstant an einen Besetz-Eingabe-Terminal ausgegeben, so dass nicht versehentlich zurückgesetzt wird.
  • Der Bereich „Verriegelungsschaltung auf UND” in dem Schaltkreis der 11B kann unter Verwendung z. B. eines Komparators, wie in 11D dargestellt, realisiert werden.
  • Das Signal „Kommunikations-Gegenüber n nimmt teil” wird durch eines der folgenden Signale oder eine Kombination daraus erzeugt:
    • – Die Sicherheits-Steuerung startet die Kommunikation mit dem Kommunikations-Gegenüber n
  • Dies kann beispielsweise durch konstanten Empfang des ON-Signals von dem Kommunikations-Gegenüber realisiert werden. Das Signal scheint vor dem Beginn der Kommunikation ausgeschaltet (OFF) zu werden, ist jedoch konstant ein ON-Signal bei der Herstellung der Kommunikation.
    • – Empfang valider I/O-Daten
  • Dies kann durch Empfangen eines Merkers („flag”), welcher angibt, ob die I/O-Daten gültig oder ungültig sind, von der Kommunikations-Opponente realisiert werden.
    • – Verknüpfungsbedingung erfüllt
  • Dies kann beispielsweise durch Bestimmen, ob das „Sicherheitssignal des Kommunikations-Gegenübers” eingeschaltet (ON) ist, realisiert werden.
  • Die „Anforderung zur Invalidierung des Kommunikations-Gegenübers n” kann durch eines der folgenden Signale oder eine Kombination derselben erzeugt werden:
    • – Meldung der Invalidierung der Verknüpfung mit ON/OFF des Schalters, der mit dem Eingangsschaltkreis der Sicherheits-Steuerung verbunden ist, zur Durchführung der Verknüpfungssteuerung
    • – Spezifizierung einer Adresse des nicht-teilnehmenden Kommunikations-Gegenübers mit einer programmierbaren Anzeige-Einheit (auch als programmierbarer Terminal bezeichnet) und Meldung an die Sicherheits-Steuerung, welche die Verknüpfungssteuerung durchführt, durch das Netzwerk
    • – Automatische Beurteilung des Kommunikations-Gegenübers zur Invalidierung durch die Registrierungstabelle der Kommunikationseinheit in der Sicherheits-Steuerung
  • In der obigen Ausführungsform wird die Meldung, dass die Verknüpfung im Wesentlichen invalid ist, auf der vorbestimmten Anzeige-Einheit dargestellt, so dass Tests und Überprüfungen zum Zeitpunkt der Inbetriebnahme und Wartung des Systems auf der Grundlage einer derartigen Anzeige sicher durchgeführt werden können, wobei irgendeine Gerätezelle nicht an der Kommunikation teilnimmt.
  • Des Weiteren kann eine Anzeige-Steuereinheit zur Darstellung einer Meldung einer Kommunikations-Abnormalität auf einer vorbestimmten Anzeige-Einheit, wenn die Verknüpfung im Wesentlichen nicht invalidiert ist und irgendeine der Sicherheits-Slaves und der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation teilnimmt”, vorgesehen sein. Gemäß einer derartigen Konfiguration können Schwierigkeiten aus der Anzeige von Meldungen einer Kommunikationsabnormalität zum Zeitpunkt der Durchführung beispielsweise des Test-Tasks oder des Überprüfungs-Tasks, wobei eine der Gerätezellen in dem Zustand „nicht an der Kommunikation teilnehmend” verbleibt und die Verknüpfung invalidiert ist, vermieden werden.
  • Gemäß dem Sicherheits-Master der vorliegenden Erfindung wird, wenn eines der Geräte, welche das Fertigungssystem bilden, abwesend ist oder ein Kommunikationsfehler/-ausfall oder eine Stromunterbrechung auftreten, verhindert, dass das Fertigungssystem mit der Verknüpfung im invaliden Zustand in den Halt-Zustand gebracht wird, ohne das Anwenderprogramm in Bezug auf das relevante Gerät selbst zu verändern oder das spezifische Eingabesignal oder Ausgabesignal zwangsweise einzustellen oder zurückzusetzen; wenn das Gerät, das abwesend war, wieder teilnimmt, kehrt zudem die Verknüpfung wieder in einen validen Zustand zurück, ohne dass eine spezielle Rückstelloperation erforderlich ist; dadurch wird ein Zustand, in dem aufgrund einer unerwarteten Abnormalität durch eine fehlerhafte Operation bei der Invalidierung der Verknüpfung und/oder des Vergessens der Wiederherstellung aus dem invaliden Verrieglungszustand, auch nachdem das Gerät wieder teilnimmt, nicht betätigt wird, soweit möglich verhindert.

Claims (11)

  1. Sicherheits-Master, welcher zur Kommunikation mit einer Mehrzahl an Sicherheits-Slaves über ein Sicherheitsfeldnetzwerk oder mit einer Mehrzahl an lokalen Sicherheits-I/O-Einheiten, die durch einen Sicherheits-Rückwand-Bus des Sicherheits-Masters miteinander verbunden sind, konfiguriert ist, wobei jeder/jede aus der Mehrzahl an Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten eine Verbindung mit Sicherheits-I/O-Geräten in einer Mehrzahl an Gerätezellen ermöglicht, und wobei der Sicherheits-Master von jedem/jeder aus der Mehrzahl an entsprechenden Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten ein Statussignal empfängt, welches einen „sicheren Zustand” oder einen „unsicheren Zustand” in Bezug auf die Gerätezelle kennzeichnet, und den Betriebszustand In-Betrieb/Halt der Gerätezelle durch Ausführen eines Verknüpfungsoperationsprogramms mit dem empfangenen Statussignal als Eingabe zur Ausgabe eines Operationsbefehlssignals steuert, und das Operationsbefehlssignal an die Sicherheits-Slaves oder lokalen Sicherheits-I/O-Einheiten übermittelt, um eine Sicherheitssteuerung in Bezug auf jede aus der Mehrzahl an Gerätezellen und die gesamte Zellenanlage zu realisieren, wobei der Sicherheits-Master umfasst: eine Einheit zur Erzeugung einer Invalidierungs-Anforderung, die dazu eingerichtet ist, eine Statussignal-Invalidierungs-Anforderung, welche die Bezeichnung irgendeiner der Gerätezellen enthält, zu erzeugen; und eine Einheit zur Invalidierung des Statussignals, die dazu eingerichtet ist, für jedes Statussignal aus der Mehrzahl an Gerätezellen, welches die Eingabe des Verknüpfungsoperationsprogramms wird, das Statussignal in Bezug auf die Gerätezelle, die durch die Invalidierungs-Anforderung bezeichnet wird, zu invalidieren, wenn die Statussignal-Invalidierungs-Anforderung erzeugt wird; wobei durch die Invalidierung eines einen „unsicheren Zustand” einer Gerätezelle kennzeichnenden Statussignals deren Einfluss auf die gesamte Anlage durch die Ausführung des Verknüpfungsoperationsprogramms verhindert wird.
  2. Sicherheits-Master gemäß Anspruch 1, weiterhin umfassend eine Determinationseinheit zur Bestimmung, ob ein einer Gerätezelle entsprechender Sicherheits-Slave oder eine einer Gerätezelle entsprechende lokale Sicherheits-I/O-Einheit „an der Kommunikation teilnimmt” oder „nicht an der Kommunikation teilnimmt”, wobei die Einheit zur Invalidierung des Statussignals dazu eingerichtet ist, das Statussignal einer Gerätezelle „nimmt nicht an der Kommunikation teil” nur dann zu invalidieren, wenn die Bestimmung als „nimmt nicht an der Kommunikation teil” durch die Determinationseinheit erfolgt, und eingerichtet ist, die Invalidierung des Statussignals zu löschen, wenn der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit, welcher/welche der Gerätezelle „nimmt nicht an der Kommunikation teil” entspricht, nachfolgend als „nimmt an der Kommunikation teil” bestimmt wird.
  3. Sicherheits-Master gemäß Anspruch 2, wobei, nachdem die Statussignal-Invalidierungs-Einheit die Invalidierung des Statussignals einmal gelöscht hat, das Statussignal der Gerätezelle „nicht an der Kommunikation teilnehmend” nicht nochmals invalidiert wird, auch wenn durch die Determinationseinheit der Sicherheits-Slave oder die lokale Sicherheits-I/O-Einheit erneut als „nicht an der Kommunikation teilnehmend” bestimmt wird.
  4. Sicherheits-Master gemäß irgendeinem der Ansprüche 1 bis 3, wobei, wenn einer aus einer Mehrzahl an Schaltern, welche den Gerätezellen entsprechen, die mit einer Eingangsschaltung des Sicherheits-Masters verbunden sind, betätigt wird, die Einheit zur Erzeugung der Invalidierungs-Anforderung eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die dem Schalter entspricht, erzeugt.
  5. Sicherheits-Master gemäß irgendeinem der Ansprüche 1 bis 3, wobei, wenn eine Adresse, welche dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit entspricht, der/die „nicht an der Kommunikation teilnimmt”, durch eine vorbestimmte Operation an einem programmierbaren, mit dem Netzwerk verbundenen Terminal gemeldet wird, die Einheit zur Erzeugung einer Invalidierungs-Anforderung eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die der Adresse entspricht, erzeugt.
  6. Sicherheits-Master gemäß irgendeinem der Ansprüche 1 bis 3, wobei, wenn der Einheit zur Erzeugung einer Invalidierungs-Anforderung durch eine Registrierungstabelle einer Kommunikationseinheit in dem Sicherheits-Master in Bezug auf irgendeinen der Sicherheits-Slaves und irgendeinen der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation teilnehmend” gemeldet wird, die Einheit zur Erzeugung einer Invalidierungs-Anforderung eine Invalidierungs-Anforderung in Bezug auf das Statussignal der Gerätezelle, die der Meldung entspricht, erzeugt.
  7. Sicherheits-Master gemäß Anspruch 2 oder 3, wobei die Determinationseinheit eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” als Ergebnis der Wiederherstellung der Kommunikation mit dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit bestimmt.
  8. Sicherheits-Master gemäß Anspruch 2 oder 3, wobei die Determinationseinheit eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” als Ergebnis des Empfangs valider I/O-Daten von dem Sicherheits-Slave oder der lokalen Sicherheits-I/O-Einheit bestimmt.
  9. Sicherheits-Master gemäß Anspruch 2 oder 3, wobei die Determinationseinheit eine Änderung von „nicht an der Kommunikation teilnehmend” zu „an der Kommunikation teilnehmend” bestimmt, wenn eine Verknüpfungsbedingung erfüllt ist.
  10. Sicherheits-Master gemäß irgendeinem der Ansprüche 1 bis 3, weiterhin umfassend eine Anzeige-Steuereinheit zur Darstellung einer Meldung, dass eine Verknüpfung invandiert ist, auf einer vorbestimmten Anzeige-Einheit.
  11. Sicherheits-Master gemäß irgendeinem der Ansprüche 1 bis 3, weiterhin umfassend eine Display-Kontrolleinheit zur Darstellung einer Meldung bezüglich einer Kommunikations-Abnormalität auf einer vorbestimmten Anzeige-Einheit nur dann, wenn eine Verknüpfung nicht invalidiert wurde und wenn irgendeiner der Sicherheits-Slaves oder irgendeine der lokalen Sicherheits-I/O-Einheiten „nicht an der Kommunikation teilnimmt”.
DE102008044318.2A 2007-12-28 2008-12-03 Sicherheits-Master Active DE102008044318B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2007340548 2007-12-28
JP2007-340548 2007-12-28

Publications (2)

Publication Number Publication Date
DE102008044318A1 DE102008044318A1 (de) 2009-08-13
DE102008044318B4 true DE102008044318B4 (de) 2015-05-28

Family

ID=40799457

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008044318.2A Active DE102008044318B4 (de) 2007-12-28 2008-12-03 Sicherheits-Master

Country Status (4)

Country Link
US (1) US7933663B2 (de)
JP (1) JP5141905B2 (de)
CN (1) CN101471555B (de)
DE (1) DE102008044318B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016211016A1 (de) * 2016-06-21 2017-12-21 Robert Bosch Gmbh Verfahren zu einem Betrieb einer Bearbeitungsmaschine

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2375636A1 (de) * 2010-03-29 2011-10-12 Sick Ag Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
FR3001297B1 (fr) * 2013-01-23 2015-03-20 Schneider Electric Ind Sas Procede et dispositifs pour l'autodiagnostic d'equipements electriques
US9584532B2 (en) * 2014-10-31 2017-02-28 Ncr Corporation Enterprise intrusion detection and remediation
JP6356736B2 (ja) * 2016-06-29 2018-07-11 ファナック株式会社 コントローラシステムおよび制御方法
JP6819359B2 (ja) * 2017-03-01 2021-01-27 株式会社ノーリツ 給湯システム
DE102017208836A1 (de) 2017-05-24 2018-11-29 Wago Verwaltungsgesellschaft Mbh Statussignalausgabe
DE102017208830A1 (de) 2017-05-24 2018-11-29 Wago Verwaltungsgesellschaft Mbh Bestimmung von Datenbusteilnehmern eines Lokalbusses
JP7444787B2 (ja) * 2018-05-07 2024-03-06 ラム リサーチ コーポレーション 構成可能な分散インターロック-システム
WO2020214616A1 (en) 2019-04-15 2020-10-22 Lam Research Corporation Modular-component system for gas delivery
JP7256091B2 (ja) * 2019-07-25 2023-04-11 ナブテスコ株式会社 自動ドア装置の検査システム、自動ドア装置の検査装置、自動ドア装置の検査方法
US11586573B2 (en) * 2020-11-18 2023-02-21 Applied Materials, Inc. Distributed input/output (IO) control and interlock ring architecture
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060030951A1 (en) * 2000-10-05 2006-02-09 Davlin Karl A Distributed input/output control systems and methods

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970700877A (ko) * 1994-12-28 1997-02-12 다떼이시 요시오 계층적 모델을 사용하는 추론 시스템과 방법 및 제어 시스템과 방법(Method and system for inference using hierarchy model, and method and system for control)
JPH11242507A (ja) 1998-02-25 1999-09-07 Toshiba Corp プラント制御システム
US6711445B1 (en) * 1998-12-17 2004-03-23 Kysor/Warren Refrigeration control apparatus and method
US7634320B2 (en) * 2006-02-24 2009-12-15 Tokyo Electron Limited Interlock control apparatus

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060030951A1 (en) * 2000-10-05 2006-02-09 Davlin Karl A Distributed input/output control systems and methods

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016211016A1 (de) * 2016-06-21 2017-12-21 Robert Bosch Gmbh Verfahren zu einem Betrieb einer Bearbeitungsmaschine

Also Published As

Publication number Publication date
CN101471555B (zh) 2012-05-23
CN101471555A (zh) 2009-07-01
DE102008044318A1 (de) 2009-08-13
JP5141905B2 (ja) 2013-02-13
US20090171472A1 (en) 2009-07-02
JP2009176275A (ja) 2009-08-06
US7933663B2 (en) 2011-04-26

Similar Documents

Publication Publication Date Title
DE102008044318B4 (de) Sicherheits-Master
DE102009054157B3 (de) Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen
EP3622357B1 (de) Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen mit master-slave-funktionalität
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
WO1998044399A2 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
DE102005054932A1 (de) Sichere Datenschreibvorrichtung und Verfahren zur Anwendung in Prozesssteuersystemen mit Sicherheitsmaßnahmen
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP3098673B1 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
DE102019203251B3 (de) Verfahren und System zur sicheren Signalmanipulation für den Test integrierter Sicherheitsfunktionalitäten
DE19904893B4 (de) Verfahren zur Fehlerunterdrückung bei Steuerungseinrichtungen durch eine intelligente Überwachungseinheit
EP2375636A1 (de) Vorrichtung und Verfahren zum Konfigurieren eines Bussystems
DE102016102282B4 (de) Verfahren und Vorrichtung zum Überwachen einer Datenverarbeitung und -übertragung in einer Sicherheitskette eines Sicherheitssystems
DE102017205832A1 (de) Verfahren zum Parametrieren eines Feldgeräts sowie parametrierbares Feldgerät
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP1683016B1 (de) Sichere erfassung von eingabewerten
DE19860358A1 (de) Verfahren zur Fehlerunterdrückung bei Ausgabeeinheiten in Steuerungseinrichtungen
DE10119151A1 (de) Diagnose-Einrichtung für einen Feldbus mit steuerungsunabhängiger Informationsübermittlung
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
WO2003079122A2 (de) Sensor-maschinen-interface und verfahren zu dessen betrieb
DE10214356B4 (de) Messsteuerungsvorrichtung
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
DE102012023182B3 (de) Verfahren zum Betreiben mindestens einer Maschine
EP1921525B1 (de) Verfahren zum Betrieb einer sicherheitsgerichteten Anlage
WO2001031443A2 (de) Integrierter elektronischer baustein mit dublizierter kernlogik und hardware-fehlereinspeisung für prüfzwecke

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R082 Change of representative

Representative=s name: KILIAN KILIAN & PARTNER, DE

Representative=s name: KILIAN KILIAN & PARTNER MBB PATENTANWAELTE, DE

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final