-
Die Erfindung betrifft ein Verfahren zum Betreiben einer Steuerung insbesondere für mobile Arbeitsmaschinen gemäß dem Oberbegriff des Anspruchs 1.
-
Bei mobilen Arbeitsmaschinen werden häufig Steuerungen eingesetzt um komplexe Funktionen der Arbeitsmaschine zu steuern und zu regeln. Wenn durch die Funktionen z. B. einer Fahrzeughebebühne, eine Gefährdung von Material oder Personen nicht ausgeschlossen werden können, muss die Steuerung erhöhten Sicherheitsanforderungen genügen. Eine solche Steuerung wird von der Anmelderin unter der Bezeichnung R360 Safety Controller 16 Bit Fa. ifm electronic hergestellt und vertrieben.
-
Diese Steuerung (Controller) hat 16 sichere Eingänge und 16 sichere Ausgänge, an die Aktoren bzw. Sensoren angeschlossen werden können. Sicher bedeutet hier sicher im Sinne der Norm IEC61508. Diese Norm erfordert z. B. eine Prüfung der Anschlussleitungen zu den Sensoren/Aktoren auf Leitungsbruch, außerdem müssen Querschlüsse in den Anschlussleitungen erkannt werden.
-
Wenn ein Fehler z. B. ein Leitungsbruch vom Controller festgestellt wird, werden sicherheitshalber alle Ausgänge des Controllers und damit alle Maschinenfunktionen abgeschaltet, um die gesamte Arbeitsmaschine in den sicheren Zustand zu überführen.
-
Stand der Technik ist, dass Sicherheitssysteme fest konfigurierte Sicherheitsfunktionen haben, die beim Ansprechen unabhängig von der Schwere, Bedeutung und Auswirkungen des Fehlers alle Maschinenfunktionen automatisch ausschalten.
-
Das Abschalten aller Maschinenfunktionen ist für den Anwender bei bestimmten Fehlersituationen störend, weil dieser Zustand nicht immer den für den Anwender wünschenswerten Zustand darstellt.
-
Aufgabe der Erfindung ist es ein Verfahren zum Betreiben einer Steuereinheit insbesondere für mobile Arbeitsmaschinen bei dem abhängig vom Fehlerfall nicht alle Maschinenfunktionen abgeschaltet werden sondern gewisse Maschinenfunktionen weiterhin noch ausgeführt werden können.
-
Gelöst wird diese Aufgabe durch die im Anspruch 1 angegebenen Merkmale.
-
Die wesentliche Idee der Erfindung ist es, nicht alle Maschinenfunktionen im Fehlerfall abzuschalten sondern nur die, die mit dem betroffenen Anschluss sicherheitsfunktionsmäßig verknüpft sind.
-
Dazu werden die verschiedenen Ein-/Ausgänge der Steuerung in Gruppen zusammengefasst, die sicherheitsfunktionsgemäß miteinander verknüpft sind.
-
Die Verknüpfungen von sicherheitsgerichteten Ein- und Ausgängen und die Abschaltung der sicherheitsgerichteten Ausgänge im Fehlerfall kann vom Anwender frei im Rahmen der Sicherheitsanforderung programmiert werden.
-
Nachfolgend ist die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert.
-
Es zeigen:
-
1 schematische Darstellung eines CAN-Bus-Systems mit zwei Steuerungen
-
2 schematische Darstellung zweier Sicherheitsfunktionen in einer Steuerung mit entsprechenden Verknüpfungen
-
In 1 ist eine herkömmliche Steuerung insbesondere für mobile Arbeitsmaschinen schematisch als Teilnehmer eines CAN-Bus-Systems, das bei mobilen Arbeitsmaschinen vielfach eingesetzt wird, dargestellt. Die Steuerung z. B. ein R360 Safety Controller 16 Bit fungiert einmal als CAN.Master und einmal als CAN-Slave. Mit dem CAN-Master ist ein Not-Aus-Taster verbunden.
-
Weitere nicht sichere Ein-/Ausgänge des CAN-Masters sind mit verschiedenen Aktoren verbunden. Die als CAN-Slave fungierende Steuerung ist mit einem Sicherheitsschalter z. B. einem induktiven Sensor und einem Aktor verbunden. Die sicheren Verbindungen sind mit dem Wort „safe” gekennzeichnet.
-
Die erfindungsgemäße Steuerung weist gegenüber der gerade beschriebenen Steuerung zusätzliche Funktionalitäten auf. Insbesondere können die Sicherheitsfunktionen variable konfiguriert werden.
-
Als Eingänge für Sensoren weist die Steuerung z. B. Stromeingänge 20 mA, Spannungseingänge 10 V, Spannungseingänge 32 V, Binäreingänge (Low bzw. High) sowie Frequenz- und Zählereingänge auf. Als Ausgänge für Aktoren sind Binärausgänge (Low bzw. High), PWM-Ausgänge, stromgeregelte Ausgänge bzw. H-Brücken vorgesehen.
-
In der Steuerung sind Hardware- und Softwarefunktionen integriert, so dass mit dieser Steuerung Applikationen gemäß der neuen Maschinenrichtlinie bis zur Kat. 3/PL d nach EN ISO 13849 gesteuert und überwacht werden können. Eine permanente Überwachungen der CPU, des Speichers und der übrigen Hardware durch das Betriebssystem und die erweiterten Diagnosefunktionen der Ein-/Ausgänge gewährleisten einen sicheren Betrieb des Steuerungsprozesses.
-
Mit dem einfachen und übersichtlichen Programmiersystem CoDeSys stehen dem Anwender alle wichtigen Systeminformationen für das zu erstellende Applikationsprogramm zur Verfügung. Hierzu wird ein Laptop-Rechner mit einer an der Steuerung vorgesehenen USB-Schnittstelle verbunden.
-
Über die CAN Schnittstelle können die Steuerungen über das CANsafety oder CANopen-Protokoll mit weiteren sicheren und nicht sicherheitsgerichteten Steuerungen oder Ein-/Ausgangsmodulen verbunden werden.
-
In 2 ist eine schematische Darstellung zweier Sicherheitsfunktionen in einer Steuerung mit den entsprechenden Verknüpfungen dargestellt. Erstellt wurde das entsprechende Applikationsprogramm mit dem Programmiersystem CoDeSys.
-
Mit der Sicherheitsfunktion 1 sind die Ausgänge 1, 3, 6 und die Eingange 1, 2, 4 verknüpft.
-
Mit der Sicherheitsfunktion 2 sind die Ausgänge 2, 4, 5 und die Eingange 3, 5, 6 verknüpft.
-
Meldet die Diagnosefunktion einen Fehler am Eingang 2 so werden nur die Ausgänge 1, 3, 6 abgeschaltet. Die Funktionalität der Ausgänge 2, 4, 5 bleibt erhalten.
-
Nachfolgend ist die Funktion der Erfindung nochmals näher erläutert.
-
Bei nahezu allen mobilen Arbeitsmaschinen findet man Funktionen, die zu einer Gefährdung von Personen und Material führen können. In immer mehr Applikationsbereichen (z. B. Fahrzeug-Hebebühnen, Müllfahrzeuge) gibt es seit einiger Zeit klar festgelegte Produktnormen. Auch durch die überarbeitete Maschinenrichtlinie werden vielfach neue Anforderungen an Maschinenhersteller gestellt. Aus diesem Grund steigt der Bedarf an zertifizierten elektronischen Baugruppen in mobilen Arbeitsmaschinen. Die erfindungsgemäße Steuerung kann in Applikationen bis Kategorie 3/PL d nach EN ISO 13849-1 und SIL 2 nach EN 62061 eingesetzt werden.
-
Wenn z. B. bei einem Kran die Diagnosefunktion der Steuerung feststellt, dass am Eingang 1 für einen Endschalter für den Ausleger des Krans ein Kabelbruch vorliegt, bleibt das Einfahren des Auslegers über die entsprechenden Ausgänge 2, 4, 5 noch möglich, weil nicht alle Ausgänge und damit alle Funktionen der Steuerung abgeschaltet werden.
-
In diesem Fall wird bei einem Fehler am Eingang 1 „Endschalter für Ausleger”, nur die Gruppe der Ausgänge 1, 3 und 6 abgeschaltet, weil der Sicherheitsfunktion 1 nur diese Ausgänge zugeordnet sind.
-
Neu bei dem erfindungsgemäßen Verfahren zum Betreiben einer Steuerung ist, dass vom Anwender jeder Ausgang, der an einer Sicherheitsfunktion teilnimmt, über den Modus „Funktionsfähig halten” konfiguriert werden kann. Somit ist jeder Ausgang als Ausnahme von der Sicherheitsregel, im Fehlerfall alle Ausgänge abschalten, definierbar und wird beim Ansprechen einer Sicherheitsfunktion nicht abgeschaltet, oder sogar umgesteuert, sofern die Applikation dies bezüglich des Gefährdungspotentials zulässt.
-
Weiterhin ist sichergestellt, dass auch ein Ausgang, der im „Funktionsfähig halten” Modus konfiguriert ist, abschaltet, wenn die Steuerung einen schweren oder fatalen Fehler feststellt. Somit ist garantiert, dass alle Ausgänge, die an einer Sicherheitsfunktion teilnehmen, immer abschalten, sofern ein anliegendes Ereignis (z. B. Fataler Fehler) dies erzwingt.
-
Einen wesentlichen Vorteil den die Erfindung besteht darin, dass der Anwender seine Applikation in der Verfügbarkeit verbessern kann und die Applikation über eine höheren Service gegenüber rein abschaltenden bzw. fest teilabschaltenden Systemen aufweist.
-
Die Sicherheitsfunktion kann somit optimal an die zu betreibende Applikation angepasst werden.
-
In der Avionik wird eine vollständige andere Philosophie eines Sicherheitskonzeptes/einer Sicherheitsfunktion verfolgt. Dort wird versucht beim Ansprechen einer Sicherheitsfunktion zuerst die Plausibilität zu prüfen, um anschließend entweder das System komplett zu wechseln und die Funktion wieder vollständig ohne Fehler zu nutzen bzw. mit Teilabschaltungen einen Notflugbetrieb sicher zu realisieren.
-
Die erfindungsgemäße Funktionalität der Steuerung verfolgt für die Sicherheitstechnik in der Automation einen anders gearteten Ansatz. Die erfindungsgemäße Steuerung kann für die betreffende Applikation jeden Kanal, der an der Sicherheitsfunktion teilnimmt, invers oder voll betreiben, sofern vom Anwender bei der Gefährdungsanalyse kein Sicherheitsrisiko identifiziert wird.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm IEC61508 [0003]
- EN ISO 13849 [0020]
- EN ISO 13849-1 [0028]
- EN 62061 [0028]