DE102018109316A1 - Antriebssystem, vorzugsweise Roboter - Google Patents

Antriebssystem, vorzugsweise Roboter Download PDF

Info

Publication number
DE102018109316A1
DE102018109316A1 DE102018109316.0A DE102018109316A DE102018109316A1 DE 102018109316 A1 DE102018109316 A1 DE 102018109316A1 DE 102018109316 A DE102018109316 A DE 102018109316A DE 102018109316 A1 DE102018109316 A1 DE 102018109316A1
Authority
DE
Germany
Prior art keywords
drive
unit
control
drive unit
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018109316.0A
Other languages
English (en)
Inventor
Nico Angerstein
Julian Öltjen
Andreas Schoob
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agile Robots AG
Original Assignee
Yuanda Robotics GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yuanda Robotics GmbH filed Critical Yuanda Robotics GmbH
Priority to DE102018109316.0A priority Critical patent/DE102018109316A1/de
Publication of DE102018109316A1 publication Critical patent/DE102018109316A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C17/00Arrangements for transmitting signals characterised by the use of a wireless electrical link
    • G08C17/02Arrangements for transmitting signals characterised by the use of a wireless electrical link using a radio link

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Antriebssystem (1), vorzugsweise einen Roboter (1), mit wenigstens einer ersten Antriebseinheit (11), mit wenigstens einem Steuerungssystem (3), welches ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit (11) zu erzeugen, und mit wenigstens einer Datenleitung (2), welche das Steuerungssystem (3) signalübertragend mit wenigstens der ersten Antriebseinheit (11) verbindet. Das Antriebssystem (1) ist dadurch gekennzeichnet, dass das Antriebssystem (1), vorzugsweise das Steuerungssystem (3), ausgebildet ist, einen unzulässigen Zustand des Antriebssystems (1) zu erkennen, dass das Antriebssystem (1), vorzugsweise das Steuerungssystem (3), ausgebildet ist, in Reaktion auf einen erkannten unzulässigen Zustand des Antriebssystems (1) die Signalübertragung über die Datenleitung (2) an wenigstens die erste Antriebseinheit (11) zu trennen, dass die erste Antriebseinheit (11) ausgebildet ist, das Trennen (200) der Signalübertragung über die Datenleitung (2) zu erkennen, und dass die erste Antriebseinheit (11) ausgebildet ist, in Reaktion auf das erkannte Trennen (200) der Signalübertragung wenigstens einen Motor der ersten Antriebseinheit (11) vorbestimmt zu betreiben, vorzugsweise anzuhalten und/oder zu stoppen.

Description

  • Die vorliegende Erfindung betrifft ein Antriebssystem, vorzugsweise einen Roboter, gemäß des Oberbegriffs des Patentanspruchs 1 sowie ein Verfahren zum Betrieb eines Antriebssystems gemäß des Patentanspruchs 14.
  • Auf vielen technischen Gebieten werden heutzutage Antriebe und insbesondere elektrische Antriebe eingesetzt, um Bewegungen zu erzeugen. Insbesondere in der Automatisierungstechnik sowie in der Robotik finden elektrische Antriebe vielfach Anwendung. Ein Antrieb kann einen elektrischen Motor, ob rotatorisch oder linear, eine Motorsteuerung, auch Motor-Controller genannt, eine elektrische Energieversorgung des Motors sowie vorzugsweise wenigstens einen Sensor wie z.B. einen Positionssensor aufweisen und auch als Antriebseinheit bezeichnet werden. Durch die Kombination mehrerer angetriebener Achsen können z.B. Werkzeuge wie z.B. ein Greifer oder dergleichen bis zu dreidimensional bewegt und bzw. oder orientiert werden, um Aufgaben in der Produktion, in der Montage, in der Lagerhaltung, beim Verpacken und Kommissionieren, beim Transport und dergleichen wahrnehmen zu können.
  • Das Zusammenspiel mehrerer Antriebe eines Antriebssystems wie z.B. einer Automatisierungsanlage oder eines Roboters kann durch eine Steuerung koordiniert werden, welche aufgrund verschiedener zusammenwirkender Einzelkomponenten bzw. Einheiten sowie Funktionen auch als Steuerungssystem der Automatisierungsanlage bzw. des Roboters bezeichnet werden kann. Das Steuerungssystem kann üblicherweise Sensordaten wie z.B. Positionen, Geschwindigkeiten, Beschleunigungen, Drücke bzw. Kräfte, Drehmomente und bzw. oder deren Änderungen sowie die Signale von z.B. Lichtschranken, Tastern und dergleichen erhalten und verarbeiten. Ferner können Daten von Sensorscannern, Bilderfassungseinheiten wie z.B. Kameras und dergleichen erhalten und verarbeitet werden. Diese Sensordaten können sowohl zum Betrieb des Antriebssystems an sich verwendet werden als auch der Überwachung und Einhaltung der Sicherheit des Antriebssystems bzw. dessen Umgebung dienen, z.B. als Lichtschranken, Lichtgitter, Laserscanner und dergleichen zur Überwachung, ob z.B. eine Person in den Arbeitsraum des Antriebssystems gelangt.
  • Als Ergebnis der Datenverarbeitung kann das Steuerungssystem des Antriebssystems Anweisungen in Form von Steuerungsbefehlen an die Antriebe des Antriebssystems erzeugen und ausgeben, so dass die gewünschten Bewegungen sowie sonstigen Handlungen wie z.B. das Öffnen bzw. das Schließen eines Greifers und dergleichen ausgeführt werden können. Auch kann in Reaktion auf erkannte Sicherheitsgefährdungen einer Person, welche z.B. in den Arbeitsraum des Antriebssystems gelangt ist, das Antriebssystem gestoppt werden, um die Sicherheit der Person zu gewährleisten.
  • Zur Übertragung der Sensordaten von den Sensoren zum Steuerungssystem sowie zur Übertragung von Anweisungen vom Steuerungssystem an die Antriebe wird heutzutage bei industriellen Anwendungen üblicherweise eine interne Datenleitung in Form eines Kommunikationsbusses wie z.B. eines Feldbusses verwendet, welcher die Sensoren, die Antriebe bzw. dessen Motorsteuerungen (Motor-Controller) sowie das Steuerungssystem als Busteilnehmer signalübertragend miteinander verbindet. Ein Feldbus ist ein Bussystem, welches in einer Anlage wie z.B. in einem Antriebssystem die Feldgeräte wie z.B. Messfühler, d.h. Sensoren, und Stellglieder, d.h. Aktoren oder Antriebe bzw. dessen Motorsteuerungen, zwecks Kommunikation z.B. mit dem Steuerungssystem des Antriebssystems verbinden kann. Dabei muss der Feldbus in der Lage sein, eine sichere Signalübertragung zu gewährleisten, damit insbesondere im Fall einer Störung wie z.B. dadurch, dass eine Person in den Arbeitsraum des Antriebssystems gelangt, die Antriebe vollständig und unverzüglich gestoppt und Verletzungen der Person sicher ausgeschlossen werden können. Somit muss der Feldbus nicht nur in der Lage sein, Sensordaten etc. deterministisch zu erhalten sowie Steuerungsdaten deterministisch an die Antriebe zu übertragen, sondern es müssen sicherheitsrelevante Informationen wie z.B. Stopp-Anweisungen an die Antriebe ebenfalls über denselben Feldbus sicher übertragen und von den Antrieben sicher empfangen werden können.
  • Mit anderen Worten erfordert die verlässliche Umsetzung einer Nothalt-Funktion eines Antriebssystems wie z.B. einer Automatisierungsanlage oder eines Roboters üblicherweise eine sichere Datenleitungskommunikation. Hiermit gehen die Nachteile einher, dass ein entsprechend sicheres Kommunikationsprotokoll zu verwenden ist, welches hierdurch jedoch auch vergleichsweise komplex werden und üblicherweise einen redundanten Aufbau von Software und Hardware erfordern kann. Dies kann zu entsprechenden Kosten führen, welche sich sowohl in teureren und aufwendigeren Hardware-Komponenten an sich sowie in einem erhöhten Entwicklungsaufwand für die Hardware und insbesondere für die Software widerspiegeln können. Ferner muss die Datenleitungskommunikation darauf ausgelegt sein, dass bei Ausfall der (sicheren) Datenleitungskommunikation das Auftreten eines Fehlers dennoch von dem Antrieb erkannt werden kann, um dann einen sicheren Zustand einnehmen zu können.
  • Ein Beispiel für eine derartige Datenleitungskommunikation in Form einer Feldbuskommunikation stellt z.B. das Protokoll Safety-over-EtherCAT dar, welches einen sicheren Kommunikationslayer bezeichnet, mit dem sichere Prozessdaten zwischen Safety-over-EtherCAT-Geräten übertragen werden können. Dabei wird ein einkanaliges Standard-Kommunikationssystem in Form eines EtherCAT-Feldbusses verwendet. In den Busteilnehmern wie z.B. in den Sensoren, in den Antrieben und in dem Steuerungssystem werden jedoch die Hardware-Komponenten für die sicherheitsrelevante Applikation und das Sicherheitsprotokoll redundant, d.h. doppelt, ausgeführt. Somit können über den einen Kanal des Feldbusses sowohl Standard-Daten als auch sicherheitsrelevante Informationen übertragen werden, so dass ein separater Kanal nur für sicherheitsrelevante Informationen vermieden werden kann. Die geforderte Sicherheit wird dadurch erreicht, dass alle Busteilnehmer redundante Sicherheitseinheiten aufweisen, welche aufgrund der Telegrammstruktur der Nachrichten gemäß Safety-over-EtherCAT-Protokoll über den einen Feldbus parallel zu den Standard-Daten sicher miteinander kommunizieren können.
  • Wie zuvor bereits beschrieben ist hierbei nachteilig, dass alle Busteilnehmer eine Hardware-Komponente für die sicherheitsrelevante Applikation und das Sicherheitsprotokoll aufweisen müssen. Diese Hardware-Komponente muss ferner redundant vorgesehen sein. Dies kann die Anschaffungskosten für die Busteilnehmer eines derartigen Antriebssystems deutlich erhöhen. Auch kann dies zu einem zusätzlichen Stromverbrauch zum Betrieb der Sicherheits-Hardware-Komponenten führen, insbesondere aufgrund von deren Redundanz.
  • Nachteilig ist auch, dass bei einem Ausfall der (sicheren) Feldbuskommunikation das Auftreten eines Fehlers nicht mehr von den Antrieben erkannt werden kann. Somit kann das Protokoll Safety-over-EtherCAT nicht gewährleisten, dass in diesem Fall ein sicherer Zustand eingenommen werden kann.
  • Zu beachten ist hierbei, dass der Sicherheit von derartigen Antriebssystemen und insbesondere von Robotern heutzutage eine besondere Bedeutung zukommt, da Roboter als kollaborative Roboter oder kurz Cobots (aus dem Englischen: collaborative robot) zunehmend z.B. bei der Montage unmittelbar mit Personen zusammenarbeiten. Dabei wird sowohl auf mechanische Abgrenzungen wie z.B. auf Gitterwände verzichtet, welche bisher üblich waren, um den Arbeitsraum des Roboters von der Umgebung zu trennen, in der sich Personen sicher aufhalten können, als auch auf Lichtschranken, Lichtgitter und dergleichen, welche zumindest ein Betreten des Arbeitsraums des Roboters durch eine Person erkennen können. Vielmehr können sich Personen frei gegenüber dem Roboter bewegen. Dies erfordert aus Sicherheitsgründen zugunsten der Personen, dass der Roboter einen Kontakt mit einer Person oder auch mit einem anderen Objekt wie z.B. mit einem anderen Antriebssystem, mit einem Werkstück, mit einem Werkzeug und dergleichen erkennen und ggfs. durch ein Stoppen seiner Antriebe hierauf reagieren kann, um die Sicherheit der Personen bzw. des Objekts sowie die eigene Sicherheit zu gewährleisten. Dies bedingt insbesondere ein sicheres Erkennen einer Stopp-Anweisung, welche seitens des Steuerungssystems an die jeweiligen Antriebe des Roboters gesendet wurde.
  • Eine Aufgabe der vorliegenden Erfindung ist es, ein Antriebssystem, vorzugsweise einen Roboter, der eingangs beschriebenen Art bereitzustellen, so dass ein sicheres Anhalten und bzw. oder ein sicheres Stoppen des Antriebssystems gewährleistet werden kann. Dies soll möglichst einfach und bzw. oder kostengünstig und insbesondere ohne zusätzliche Komponenten des Antriebssystems erreicht werden. Zumindest soll eine Alternative zu bekannten Lösungen bereitgestellt werden.
  • Die Aufgabe wird erfindungsgemäß durch ein Antriebssystem mit den Merkmalen des Patentanspruchs 1 sowie durch ein Verfahren mit den Merkmalen des Patentanspruchs 14 gelöst. Vorteilhafte Weiterbildungen sind in den Unteransprüchen beschrieben.
  • Somit betrifft die vorliegende Erfindung ein Antriebssystem. Unter einem Antriebssystem ist ein mechanisches System zu verstehen, welches wenigstens einen Antrieb und vorzugsweise mehrere Antriebe sowie wenigstens zwei und vorzugsweise mehrere gegeneinander bewegliche Komponenten aufweist, so dass die Komponenten durch den Antrieb bzw. durch die Antriebe bewegt werden können. Derartige Antriebssysteme können auch als aktuierte Kinematiken bezeichnet werden. Ein derartiges Antriebssystem kann z.B. eine Automatisierungsanlage und vorzugsweise ein Roboter sein. Als Roboter können vorzugsweise mehrgliedrige Roboter mit mehreren Freiheitsgraden wie insbesondere Knickarmroboter betrachtet werden.
  • Das Antriebssystem weist wenigstens eine erste Antriebseinheit auf. Unter einer Antriebseinheit oder auch unter einem Antrieb ist ein Motor selbst zu verstehen, welcher eine rotatorische oder lineare Bewegung ausführen kann. Der Motor ist vorzugsweise als elektrischer Motor ausgebildet. Neben dem Motor selbst können auch dessen Motorsteuerung, auch Motor-Controller genannt, eine elektrische Energieversorgung des Motors sowie vorzugsweise wenigstens ein Sensor wie z.B. ein Positionssensor zu dem Antrieb gehören. Der Antrieb kann, wie zuvor beschrieben, zwei Komponenten des Antriebssystems gegeneinander bewegen. Vorzugsweise weist das Antriebssystem mehrere Antriebe auf, welche entsprechend mehrere Komponenten des Antriebssystems gegeneinander bewegen können, so dass das Antriebssystem umfangreichere Bewegungsmöglichkeiten aufweisen kann.
  • Das Antriebssystem weist wenigstens ein Steuerungssystem auf, welches ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit zu erzeugen. Mit derartigen Steuerungssignalen kann wenigstens die erste Antriebseinheit gesteuert und bzw. oder geregelt betrieben werden, so dass aktuierte Bewegungen ausgeführt werden können. Mittels des Steuerungssystems kann somit wenigstens die erste Antriebseinheit gezielt und vorbestimmt beeinflusst werden.
  • Das Antriebssystem weist ferner wenigstens eine Datenleitung auf, welche das Steuerungssystem signalübertragend mit wenigstens der ersten Antriebseinheit verbindet. Sind mehrere Antriebseinheiten vorhanden, so können mehrere und vorzugsweise alle Antriebseinheiten über die Datenleitung mit dem Steuerungssystem gemeinsam verbunden sein. Dies kann den Aufwand der Kabelführung reduzieren. Die Datenleitung kann vorzugsweise ein Kommunikationsbus und besonders vorzugsweise ein Feldbus sein, welcher z.B. als EtherCAT, als Modbus oder dergleichen realisiert sein kann. Die Datenleitung kann ggfs. über jeweils ein Gateway-Modul mit der ersten Antriebseinheit bzw. mit dem Steuerungssystem verbunden sein.
  • Das erfindungsgemäße Antriebssystem ist dadurch gekennzeichnet, dass das Antriebssystem, vorzugsweise das Steuerungssystem, ausgebildet ist, einen unzulässigen Zustand des Antriebssystems zu erkennen. Dies können jegliche Zustände des Antriebssystems als Ganzes, einer einzelnen Antriebseinheit sowie sonstige Informationen sein, welche in das Antriebssystem einfließen und als unzulässig eingestuft werden können. Beispielsweise kann wenigstens eine Geschwindigkeit der ersten Antriebseinheit als unzulässig hoch erkannt werden. Dies kann ebenso für ein Drehmoment der ersten Antriebseinheit gelten. Auch kann z.B. ein Not-Aus-Schalter oder dergleichen von einer Person betätigt werden, wie weiter unten noch näher beschrieben werden wird, was ebenfalls als ein unzulässiger Zustand des Antriebssystems gewertet und erkannt werden kann.
  • Diese Auswertung der entsprechenden Informationen sowie die Schlussfolgerung als unzulässigen Zustand kann an beliebiger Stelle innerhalb des Antriebssystems durchgeführt werden. Vorzugsweise erfolgt dies jedoch in dem Steuerungssystem als zentrales Element der Informationsverarbeitung, in dem die entsprechenden Informationen zusammenlaufen und von dem aus entsprechende Reaktionen initialisiert werden können.
  • Das Antriebssystem, vorzugsweise das Steuerungssystem, ist ausgebildet, in Reaktion auf einen erkannten unzulässigen Zustand des Antriebssystems die Signalübertragung über die Datenleitung an wenigstens die erste Antriebseinheit zu trennen. Unter einem Trennen ist zu verstehen, dass die Signalübertragung über die Datenleitung in Reaktion auf einen erkannten unzulässigen Zustand ausbleibt. Mit anderen Worten kann eine Abkopplung der Datenleitung erfolgen. Dies kann für unterschiedlich lange Zeiträume erfolgen, je nach Anwendungsfall und ggfs. auch je nach Art des als unzulässig erkannten Zustands des Antriebssystems. Somit kann unter einem Trennen auch ein Unterbrechen oder ein Beenden der Signalübertragung über die Datenleitung verstanden werden.
  • Die erste Antriebseinheit ist ausgebildet, das Trennen der Signalübertragung über die Datenleitung zu erkennen. Dies kann beispielsweise dadurch geschehen, dass ein regelmäßiges Signal ausbleibt, welches fortlaufend über die Datenleitung an wenigstens die erste Antriebseinheit z.B. zu Kontrollzwecken übertragen wird. Auch kann eine Signalübertragung seitens der ersten Antriebseinheit über die Datenleitung unbeantwortet bleiben. In jedem Fall kann das Trennen der Signalübertragung über die Datenleitung seitens des Antriebssystems und insbesondere seitens des Steuerungssystems zu einem Zustand bzw. zu einem Verhalten führen, so dass seitens der ersten Antriebseinheit die Signalübertragung als getrennt, beendet, unterbrochen oder dergleichen erkannt werden kann.
  • Die erste Antriebseinheit ist ausgebildet, in Reaktion auf das erkannte Trennen der Signalübertragung wenigstens einen Motor der ersten Antriebseinheit vorbestimmt zu betreiben, vorzugsweise anzuhalten und bzw. oder zu stoppen. Unter einem vorbestimmten Betreiben ist zu verstehen, dass eine Betriebsart vorbestimmt ist, welche im Fall eines erkannten Trennens der Signalübertragung anzuwenden ist. Dies kann z.B. die Begrenzung der maximalen Geschwindigkeit und bzw. oder des maximalen Drehmoments des Motors der ersten Antriebseinheit sein. Auch kann der Bewegungsraum, welcher durch die erste Antriebseinheit bzw. welcher durch die erste Antriebseinheit erreicht werden kann, eingeschränkt werden. Vorzugsweise wird jedoch davon ausgegangen, dass das Antriebssystem in diesem Fall in einen sicheren Zustand versetzt werden soll. Dies kann durch ein Anhalten erfolgen, welches möglichst zügig zu einem Stillstand des Motors der ersten Antriebseinheit führen kann, ohne jedoch diesen abrupt zu stoppen. Dies kann den Motor und auch weitere Komponenten des Antriebssystems schonen. Es ist jedoch auch möglich, dass der vorbestimmte Betrieb ein Stoppen darstellt, so dass schnellstmöglich ein Stillstand des Motors der ersten Antriebseinheit erreicht werden soll. Dies kann je nach Anwendungsfall umzusetzen sein.
  • Diese Maßnahmen können bis auf weiteres ergriffen werden, z.B. bis dieser vorbestimmte Betrieb von einem Benutzer aufgehoben bzw. geändert wird. Auch kann der vorbestimmte Betrieb lediglich für einen vorbestimmten Zeitraum oder bis zur Erfüllung einer vorbestimmten anderen Bedingung eingenommen und dann von dem Antriebssystem selbsttätig wieder verlassen werden.
  • Der vorliegenden Erfindung liegt dabei die Erkenntnis zugrunde, dass das Trennen der Signalübertragung über die Datenleitung ebenfalls ein Signal an wenigstens die erste Antriebseinheit und ggfs. auch an weitere bis alle Antriebseinheiten des Antriebssystems, welche signalübertragend mit der Datenleitung verbunden sind, darstellen kann. Wird somit auf das Trennen der Signalübertragung eine Reaktion für die erste Antriebseinheit bzw. alle beteiligten Antriebseinheiten vorbestimmt, so kann diese Reaktion bzw. können diese Reaktionen, die für alle Antriebseinheiten gleich oder teilweise bis vollständig unterschiedlich sein können, definiert von dem Antriebssystem bzw. dessen Steuerungssystem ausgelöst werden. Dies kann insbesondere für sicherheitsrelevante Reaktionen wie z.B. ein Anhalten oder ein Stoppen der wenigstens ersten Antriebseinheit gelten.
  • Erfindungsgemäß kann auf diese Art und Weise eine einfache, kostengünstige und bzw. oder sichere Möglichkeit geschaffen werden, zumindest ein vorbestimmtes Betriebsverhalten wie z.B. ein Anhalten oder ein Stoppen wenigstens einer ersten Antriebseinheit auszulösen. Dies kann umgesetzt werden, ohne hierfür ein sicheres Bussystem oder dergleichen als Datenleitung verwenden zu müssen, was den Aufwand zur Umsetzung einer sicherheitsrelevanten Funktion wie z.B. für das Anhalten oder für das Stoppen mit vergleichsweise einfachen Mitteln ermöglichen kann. Insbesondere kann auf die Implementierung eines komplexen Kommunikationsprotokolls für die Datenleitung wie z.B. für einen Feldbus innerhalb des Antriebssystems wie z.B. innerhalb eines Roboters verzichtet werden, was zu Vereinfachungen hinsichtlich der Hardware- und bzw. oder Software-Komponenten des Antriebssystems führen kann. Dies kann die Kosten des Antriebssystems deutlich reduzieren. Auch kann die Umsetzung der vorliegenden Erfindung in der ersten Antriebseinheit mittels einer einfachen elektronischen Schaltung sehr einfach, kostengünstig und dennoch verlässlich erfolgen.
  • Auch kann hierdurch im Fehlerfall, d.h. im Falle eines erkannten unzulässigen Zustands, eine minimale Latenz bei dem Trennen der Signalübertragung über die Datenleitung realisiert werden, welche von der ersten Antriebseinheit spätestens im nächsten Takt erkannt werden kann, so dass eine schnelle Reaktion hierauf ermöglicht werden kann.
  • Vorteilhaft ist weiterhin, dass die Anzahl der Komponenten innerhalb der steuerungstechnisch realisierten Sicherheitsfunktion des Steuerungssystems auf ein Minimum reduziert werden kann. Hierdurch kann der Aufwand der sicherheitskritischen Betrachtung einzelner Hardwarekomponenten des gesamten Antriebssystems reduziert werden.
  • Gemäß einem Aspekt der vorliegenden Erfindung erfolgt das Trennen der Signalübertragung softwareseitig, vorzugsweise durch ein Deaktivieren der Datenleitung. Mit anderen Worten kann die Datenleitung z.B. dadurch getrennt werden, dass in der Software zum Betrieb der Datenleitung die Kommunikation über die Datenleitung deaktiviert wird. Dies kann von der ersten Antriebseinheit als ein Trennen bzw. als ein Ausbleiben von Kommunikation über die Datenleitung erkannt und hierauf wie zuvor beschrieben reagiert werden. Die softwareseitige Umsetzung dieser Funktion kann einfach, schnell und bzw. oder kostengünstig erfolgen, beispielsweise durch ein Abschalten der Kommunikation über die Datenleitung bzw. durch ein Deaktivieren der Datenleitung, wie zuvor bereits beschrieben. Insbesondere kann auf den Einsatz von Hardware-Komponenten verzichtet werden, was zu großen Kostenersparnissen für die Anschaffung der Komponenten sowie deren Verwendung führen kann. Auch kann eine softwareseitige Umsetzung dieser Funktion ggfs. auf bestehende geeignete Antriebssysteme angewendet und somit einfach, schnell und bzw. oder bequem nachgerüstet werden.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung erfolgt das Trennen der Signalübertragung hardwareseitig, vorzugsweise durch das Betätigen wenigstens eines ersten Datenleitungstrenners. Beispielsweise kann dies mittels eines MosFET (Metall-Oxid-Halbleiter-Feldeffekttransistor; Englisch: metal oxide semiconductor field-effect transistor) umgesetzt werden, welcher die Datenleitung auf ein definiertes Potential wie z.B. Masse ziehen kann. Auch kann ein Relais zur Abschaltung der Datenleitung z.B. durch Abschalten eines Feldbus-Gateways oder eines Feldbus-Controllers verwendet werden. Hierdurch kann eine sichere Umsetzung dieser Funktion erfolgen. Insbesondere können Fehlfunktionen, welche aus Unzulänglichkeiten einer Software resultieren können, bei der Nutzung der erfindungsgemäßen Funktion vermieden werden. Dennoch kann der Aufwand und damit die Kosten einer hardwareseitigen Umsetzung dieser Funktion vergleichsweise gering gehalten werden, so dass sowohl das Trennen der Signalübertragung über die Datenleitung, wie im Folgenden noch näher erläutert werden wird, als auch das Erkennen des Trennens seitens der ersten Antriebseinheit, wie zuvor bereits erwähnt, mit vergleichsweise einfachen Schaltungen erfolgen kann. Dies kann die Umsetzung dieser Funktion als Hardware-Lösung begünstigen. Hierzu kann beispielsweise ein Datenleitungstrenner verwendet werden, welcher bei seiner Betätigung die Datenleitung z.B. in Form eines Schalters physisch zwischen dem Steuerungssystem und der ersten Antriebseinheit unterbrechen und damit auch die Signalübertragung unterbinden kann.
  • Dabei können die softwareseitige Umsetzung dieser Funktion und die hardwareseitige Umsetzung dieser Funktion auch parallel erfolgen. Dies kann die Ausfallsicherheit erhöhen, da die Ausführung des Trennens der Signalübertragung über die Datenleitung durch eine der beiden Umsetzungen ausreichend ist, um dies für die erste Antriebseinheit erkennbar zu machen. Hierdurch kann eine redundante Umsetzung durch zwei unterschiedliche Ausführungen erfolgen, so dass mit sehr hoher Sicherheit davon ausgegangen werden kann, dass im Bedarfsfall die erfindungsgemäße Funktion umgesetzt werden kann.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist das Antriebssystem, vorzugsweise das Steuerungssystem, ferner ausgebildet, in Reaktion auf den erkannten unzulässigen Zustand des Antriebssystems eine elektrische Energieversorgung des Motors der ersten Antriebseinheit zu trennen. Hierdurch kann eine zusätzliche Möglichkeit geschaffen werden, den Betrieb der ersten Antriebseinheit bei Bedarf durch Anhalten oder durch Stoppen zu beenden. Dies über einen Mangel an Antriebsenergie zu erreichen kann sehr wirkungsvoll sein. Insbesondere können Fehlfunktionen der ersten Antriebseinheit hierdurch reduziert werden. Dabei kann das Trennen des Motors der ersten Antriebseinheit von dessen elektrischer Energieversorgung z.B. durch die Steuerung der ersten Antriebseinheit wie z.B. durch den Motor-Controller der ersten Antriebseinheit erfolgen, indem die elektrische Energieversorgung auf einen entsprechend niedrigen Wert eingestellt wird. Dies kann ein sehr einfacher, schneller und bzw. oder kostengünstiger Weg sein, diese Funktion bei einem Antriebssystem umzusetzen. Dies kann auch nachträglich erfolgen. Alternativ oder zusätzlich kann auch ein physisches Trennen der elektrischen Energieversorgung erfolgen, z.B. durch das Trennen eines entsprechenden Schalters oder dergleichen. Dies kann zwar den Aufwand für die Umsetzung dieser Funktion aufgrund der zusätzlichen Komponenten sowie deren Verkabelung und dergleichen erhöhen, jedoch andererseits für eine unabhängige und sichere Umsetzung dieser Funktion sorgen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung erfolgt das Trennen der elektrischen Energieversorgung des Motors der ersten Antriebseinheit um eine vorbestimmte Zeitdauer versetzt, wobei innerhalb der vorbestimmten Zeitdauer eine Verringerung der Geschwindigkeit des Motors der ersten Antriebseinheit erfolgt, wobei vorzugsweise nach Ablauf der vorbestimmten Zeitdauer, vorzugsweise vor dem Trennen der elektrischen Energieversorgung, ein Aktivieren wenigstens einer Bremse des Motors der ersten Antriebseinheit erfolgt. Auf diese Art und Weise kann der Motor der ersten Antriebseinheit zunächst in der Geschwindigkeit reduziert werden, bevor er vollständig gestoppt wird. Dies kann die Bauteile des Motors schonen und damit seine Lebensdauer erhöhen. Um jedoch der Notwendigkeit eines zeitnahen Stillstands z.B. im Falle einer Notsituation gerecht werden zu können, kann die vorbestimmte Zeitdauer entsprechend kurz gewählt werden. Beispielsweise kann diese 500 ms betragen, so dass die Geschwindigkeit des Motors z.B. durch die Anwendung einer Bremsrampe als Sollsignal zumindest etwas reduziert werden kann, bevor nach Ablauf der vorbestimmten Zeitdauer ein Stoppen des Motors der ersten Antriebseinheit erfolgt. Dies kann je nach aktueller Geschwindigkeit des Motors bei Eintreten des Trennens der Signalübertragung über die Datenleitung zu einem vollständigen Anhalten des Motors führen oder zumindest zu einer Reduzierung von dessen Geschwindigkeit, so dass das anschließende Stoppen bei bereits reduzierter Geschwindigkeit erfolgen kann.
  • Dabei vorzugsweise zusätzlich eine Bremse des Motors der ersten Antriebseinheit zu nutzen kann vorteilhaft sein, um zum einen das Stoppen zu beschleunigen und zum anderen die gestoppte Stellung des Motors beizubehalten. Die Bremse des Motors kann vorzugsweise als mechanische Bremse umgesetzt sein, was zu einer verlässlichen Bremsfunktion führen kann. Auch hierbei gilt, dass eine vorangehende Reduzierung der Geschwindigkeit des Motors der ersten Antriebseinheit auch für die Bremse schonend wirken kann. Da dabei das Stoppen mittels Bremse wirkungsvoller als das Trennen von der elektrischen Energieversorgung sein kann, kann es zu bevorzugen sein, zuerst die Bremse zu betätigen und anschließend das Trennen der elektrischen Energieversorgung vorzunehmen.
  • Vorzugsweise kann die Bremse durch Bestromen gelüftet und damit geöffnet werden bzw. beim Ausbleiben des Belüftens einfallen und ihre Bremswirkung entfalten. Das Belüften der Bremse kann dabei aktiv, d.h. durch eine entsprechende Bestätigung der Bremse, ausbleiben, um die Bremse einfallen zu lassen. Anschließend kann zusätzlich ein Trennen der elektrischen Energieversorgung erfolgen. Alternativ kann das Trennen der elektrischen Energieversorgung auch das Betätigen der Bremse auflösen, da mangels Stromversorgung das Belüften der Bremse ausbleibt und diese somit von alleine einfällt. Letztes kann einfacher sein, um dieselbe Wirkung wie zuvor beschrieben zu erreichen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist das Steuerungssystem wenigstens eine erste Steuerungseinheit auf, welche ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit zu erzeugen, und das Steuerungssystem weist wenigstens eine zweite Steuerungseinheit auf, welche ausgebildet ist, den unzulässigen Zustand des Antriebssystems zu erkennen und in Reaktion hierauf das Trennen der Signalübertragung und bzw. oder das Trennen der elektrischen Energieversorgung zu veranlassen. Die erste Steuerungseinheit kann eine Antriebssteuerung und insbesondere eine zentrale Antriebssteuerung des Antriebssystems darstellen, welche bei einem Roboter als Antriebssystem auch als (zentrale) Robotersteuerung bezeichnet werden kann. Die Antriebssteuerung kann z.B. durch einen Industrie-PC oder durch eine SPS (speicherprogrammierbare Steuerung) realisiert sein. Dort können alle Informationen und insbesondere Sensordaten z.B. von der ersten Antriebseinheit zusammenfließen und zumindest teilweise genutzt werden, um die Steuerungssignale zu erzeugen, welche dann über die Datenleitung z.B. an wenigstens die erste Antriebseinheit übertragen werden, um diese zu steuern und bzw. oder zu regeln. Eine derartige erste Steuerungseinheit ist üblicherweise bei derartigen Antriebssystemen bereits zu diesem Zweck vorhanden, so dass sie zur Umsetzung der vorliegenden Erfindung genutzt werden kann, was zusätzlichen Aufwand und zusätzliche Kosten sparen kann.
  • Die zweite Steuerungseinheit kann auch als Sicherheitssteuerung oder als Sicherheitsebene bezeichnet und zur Umsetzung der vorliegenden Erfindung zusätzlich vorgesehen werden. Dort können einige bis alle zuvor beschriebenen Funktionen umgesetzt oder zumindest ausgelöst werden, welche sich auf das Erkennen eines unzulässigen Zustands des Antriebssystems und dem hieraus resultierenden Trennen der Signalübertragung und bzw. oder auf das Trennen der elektrischen Energieversorgung beziehen. Das Erkennen eines unzulässigen Zustands des Antriebssystems kann auch als Fehlerdetektion des Antriebssystems bezeichnet werden. Dies kann durch die Auswertung von kritischen Eingangsgrößen wie z.B. Geschwindigkeiten, Drehmomenten und dergleichen aber auch zusätzlichen Komponenten wie z.B. eines Not-Aus-Schalters oder einer Totmanneinrichtung erfolgen.
  • Vorteilhaft ist bei diesem Aspekt der vorliegenden Erfindung, dass die erfindungsgemäßen Funktionen als zweite Steuerungseinheit zusätzlich zu einer üblicherweise bereits vorhandenen ersten Steuerungseinheit ergänzt werden können, so dass diese unverändert genutzt werden kann. Dies kann zum einen das Nachrüsten der erfindungsgemäßen Funktionen bei bestehenden Antriebssystemen ermöglichen bzw. begünstigen. Zum anderen kann die erste Steuerungseinheit unabhängig von der zweiten Steuerungseinheit entwickelt, verbessert und bzw. oder umgesetzt werden, was den Aufwand und die Komplexität der Umsetzung der vorliegenden Erfindung reduzieren bzw. gering halten kann. Insbesondere muss die zweite Steuerungseinheit nicht als zusätzlicher Teilnehmer der Datenleitung realisiert werden, wodurch eine Integration der zweiten Steuerungseinheit in die bestehende Hardware-Architektur der Datenleitung bzw. des Steuerungssystems entfallen kann. Mit anderen Worten können die erfindungsgemäßen Funktionen als zusätzliche aber unabhängige Maßnahmen eigenständig entwickelt und umgesetzt werden, um bei Bedarf bei einem Antriebssystem genutzt zu werden. Die zweite Steuerungseinheit kann dabei sowohl auf sichere Datenleitungen als auch auf nicht sichere Datenleitungen angewendet werden, da sie unabhängig, sozusagen als Add-On-Layer, ergänzt werden kann.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist die zweite Steuerungseinheit wenigstens eine erste Recheneinheit und wenigstens eine zweite Recheneinheit auf, welche jeweils ausgebildet sind, den unzulässigen Zustand des Antriebssystems zu erkennen und in Reaktion hierauf das Trennen der Signalübertragung und bzw. oder das Trennen der elektrischen Energieversorgung zu veranlassen. Die Recheneinheiten können jeweils als Prozessor oder als Prozessorkerne realisiert sein, z.B. als Mikrocontroller. Auf diese Art und Weise kann innerhalb der zweiten Steuerungseinheit eine Redundanz derjenigen Bauteile vorgesehen werden, welche die o.g. Funktionen umsetzen können. Dies kann die Ausfallsicherheit dieser Funktionen erhöhen. Sollte dies z.B. zur Erfüllung eines Sicherheitsstandards erforderlich sein, kann die Anforderung erfüllt und dem Standard genügt werden. Dies kann z.B. bei den Normen für funktionale Sicherheit DIN EN ISO 13849 und DIN EN ISO 10218-1 der Fall sein, welche eine Redundanz der Sicherheitsfunktion erfordern.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist die Datenleitung wenigstens einen ersten Datenleitungstrenner auf, welcher ausgebildet ist, von dem Steuerungssystem, vorzugsweise von einer zweiten Steuerungseinheit des Steuerungssystems, besonders vorzugsweise von einer ersten Recheneinheit der zweiten Steuerungseinheit, zum Trennen der Signalübertragung veranlasst zu werden, wobei die Datenleitung vorzugsweise ferner wenigstens einen zweiten Datenleitungstrenner aufweist, welcher ausgebildet ist, von dem Steuerungssystem, vorzugsweise von einer zweiten Steuerungseinheit des Steuerungssystems, besonders vorzugsweise von einer zweiten Recheneinheit der zweiten Steuerungseinheit, zum Trennen der Signalübertragung veranlasst zu werden. Die Anwendung eines Datenleitungstrenners kann eine verlässliche hardwareseitige Umsetzung dieser Funktion ermöglichen, wie bereits zuvor beschrieben. Dies vorzugsweise zweifach umzusetzen, kann die Ausfallsicherheit dieser Funktion erhöhen. Dies kann insbesondere dann gelten, wenn die beiden redundant vorgesehenen Datenleitungstrenner über zwei redundant vorgesehene Recheneinheiten der zweiten Steuerungseinheit betrieben bzw. ausgelöst werden können. Mit anderen Worten können die beiden Recheneinheiten das Ergebnis ihrer Berechnungen bzw. Auswertungen kreuzweise überprüfen, wobei vorzugsweise ein durch lediglich eine Recheneinheit erkannter unzulässiger Zustand ausreichend sein kann, um das Trennen der Signalleitung zu veranlassen. Auch kann eine Abweichung zwischen den beiden Berechnungen bzw. Auswertungen der kreuzweisen Überprüfung dazu führen, dass das Trennen der Signalleitung veranlasst wird.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist das Antriebssystem eine elektrische Energieversorgungsleitung auf, welche ausgebildet ist, wenigstens die erste Antriebseinheit, vorzugsweise den Motor der ersten Antriebseinheit, elektrisch zu versorgen, wobei die elektrische Energieversorgungsleitung wenigstens einen Versorgungsspannungstrenner aufweist, welcher ausgebildet ist, von dem Steuerungssystem, vorzugsweise von einer zweiten Steuerungseinheit des Steuerungssystems, besonders vorzugsweise von einer ersten Recheneinheit der zweiten Steuerungseinheit und bzw. oder von einer zweiten Recheneinheit der zweiten Steuerungseinheit, zum Trennen der elektrischen Energieversorgung veranlasst zu werden. Auf diese Art und Weise kann ein hardwareseitiges Trennen der elektrischen Energieversorgungsleitung erfolgen, was eine verlässliche Umsetzung dieser Funktion sein kann, wie bereits zuvor hinsichtlich des hardwareseitigen Trennens der Datenleitung vergleichbar beschrieben.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung erfolgt das Veranlassen des Versorgungsspannungstrenners zum Trennen der elektrischen Energieversorgung mittels eines Sicherheitsschalters, vorzugsweise mittels eines Sicherheitsrelais, wobei der Sicherheitsschalter dazu ausgebildet ist, von dem Steuerungssystem, vorzugsweise von einer zweiten Steuerungseinheit des Steuerungssystems, besonders vorzugsweise von einer ersten Recheneinheit der zweiten Steuerungseinheit und bzw. oder von einer zweiten Recheneinheit der zweiten Steuerungseinheit, zum Trennen der elektrischen Energieversorgung veranlasst zu werden. Dies kann eine einfache, verlässliche und bzw. oder kostengünstige Umsetzung dieser Funktion mit bekannten Komponenten ermöglichen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist die erste Antriebseinheit ausgebildet, Datensignale, vorzugsweise über die Datenleitung, an das Steuerungssystem, vorzugsweise an eine erste Steuerungseinheit des Steuerungssystems, zu übertragen, und das Steuerungssystem, vorzugsweise eine zweite Steuerungseinheit des Steuerungssystems, ist ausgebildet, einen unzulässigen Zustand des Antriebssystems, vorzugsweise der ersten Antriebseinheit, unter Berücksichtigung der Datensignale der ersten Antriebseinheit zu erkennen. Auf diese Art und Weise können Informationen in Form von Datensignalen von der ersten Antriebseinheit dazu verwendet werden, einen unzulässigen Zustand des Antriebssystems zu erkennen. Die Übertragung der Daten kann dabei vorzugsweise über die Datenleitung selbst erfolgen, um diese auch hierfür zu nutzen und weiteren Aufwand zu vermeiden. Die Übertragung der Daten kann jedoch auch über einen separaten Weg wie z.B. drahtlos, z.B. über WLAN, über Bluetooth, über Wifi, über Funk oder dergleichen erfolgen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist das Steuerungssystem, vorzugsweise eine erste Steuerungseinheit des Steuerungssystems, wenigstens eine Datenschnittstelle auf, welche ausgebildet ist, Datensignale von der ersten Antriebseinheit, vorzugsweise über die Datenleitung, zu erhalten, wobei die Datenschnittstelle vorzugsweise ferner ausgebildet ist, die erhaltenen Datensignale der ersten Antriebseinheit einer zweiten Steuerungseinheit des Steuerungssystems, vorzugsweise einer ersten Recheneinheit der zweiten Steuerungseinheit und bzw. oder einer zweiten Recheneinheit der zweiten Steuerungseinheit, zur Verfügung zu stellen. Auf diese Art und Weise können Informationen von der ersten Antriebseinheit seitens des Steuerungssystems erhalten und verarbeitet werden, um z.B. einen unzulässigen Zustand der ersten Antriebseinheit zu erkennen. Die Datenschnittstelle kann vorzugsweise als einfache Kommunikationsschnittstelle wie z.B. als Ethernet, EtherCAT, seriell und dergleichen ausgebildet sein.
  • Werden dabei diese Informationen über die Datenschnittstelle einer ersten Steuerungseinheit des Steuerungssystems erhalten, welche eine bekannte und bereits vorhandene (zentrale) Antriebssteuerung z.B. in Form einer (zentralen) Robotersteuerung sein kann, so kann auf zusätzlichen Aufwand für die Umsetzung dieser Funktion verzichtet werden. Die Datenschnittstelle kann jedoch auch unabhängig von der ersten Steuerungseinheit und vorzugsweise zur zweiten Steuerungseinheit gehörend ausgebildet sein, so dass die Datensignal unter Umgebung der ersten Steuerungseinheit der zweiten Steuerungseinheit zur Verfügung gestellt werden können. Auch kann die zweite Steuerungseinheit bei einer Übertragung von Datensignalen einfach mithören, um die Datensignale zu erhalten, so dass keine aktive und gerichtete Übertragung der Datensignale zu der zweiten Steuerungseinheit erfolgen muss. Dies kann den Aufwand reduzieren und es insbesondere begünstigen, die zweite Steuerungseinheit bei einer bestehenden ersten Steuerungseinheit nachzurüsten.
  • Werden die erhaltenen Datensignale der ersten Antriebseinheit dann einer zweiten Steuerungseinheit des Steuerungssystems zur Verfügung gestellt, kann mittels der zweiten Steuerungseinheit eine zusätzliche Sicherheitssteuerung realisiert werden, welche unabhängig von der eigentlichen Antriebssteuerung realisiert und zu dieser ergänzt werden kann. Dort können die Informationen der Datensignale dann auf unerwünschte Zustände überprüft und ggfs. hierauf reagiert werden. Dies vorzugsweise über zwei redundante Recheneinheiten der Sicherheitssteuerung auszuführen kann die Ausfallsicherheit dieser Funktion erhöhen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung weist das Antriebssystem wenigstens eine Not-Aus-Einrichtung und bzw. oder wenigstens eine Totmanneinrichtung auf, welche ausgebildet ist, bei Betätigung dem Antriebssystem, vorzugsweise dem Steuerungssystem, besonders vorzugsweise einer zweiten Steuerungseinheit des Steuerungssystems, ganz besonders vorzugsweise einer ersten Recheneinheit der zweiten Steuerungseinheit und bzw. oder einer zweiten Recheneinheit der zweiten Steuerungseinheit, einen unzulässigen Zustand des Antriebssystems anzuzeigen. Unter einer Not-Aus-Einrichtung wie z.B. einem Not-Aus-Schalter wird eine Komponente des Antriebssystems verstanden, welche möglichst einfach, schnell und bzw. oder intuitiv zu bedienen sein kann, um dem Antriebssystem einen Notfall anzuzeigen und das Antriebssystem in einen sicheren Zustand zu versetzen. Eine Totmanneinrichtung, welche auch als Totmann, Totmannwarner, Totmannschalter, Totmannpedal, Totmannknopf oder Totmannmelder bezeichnet bzw. realisiert werden kann, überprüft, ob ein Mensch anwesend und handlungsfähig oder abwesend bzw. gefährdet ist, und löst andernfalls ein Signal oder eine Schalthandlung aus. In jedem Fall kann hierdurch dem Antriebssystem ein unzulässiger Zustand angezeigt werden, um in Reaktion hierauf z.B. das erfindungsgemäße Trennen der Signalübertragung über die Datenleitung auszulösen. Die Signalübertragung von der Not-Aus-Einrichtung und bzw. oder von der Totmanneinrichtung zu der signalempfangenden Einheit kann direkt oder auch indirekt, z.B. über eine dazwischengeschaltete Einheit wie z.B. über einen Sicherheitsschalter bzw. über ein Sicherheitsrelais erfolgen. Hierdurch können z.B. bestehenden Signalübertragungswege wie z.B. bestehende Datenleitungen ausgenutzt werden, um den Aufwand zusätzlicher Signalübertragungswege zu reduzieren bzw. zu vermeiden.
  • Die vorliegende Erfindung betrifft auch ein Verfahren zum Betrieb eines Antriebssystems, vorzugsweise wie zuvor beschrieben, mit wenigstens einer ersten Antriebseinheit, mit wenigstens einem Steuerungssystem, welches ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit zu erzeugen, und mit wenigstens einer Datenleitung, welche das Steuerungssystem signalübertragend mit wenigstens der ersten Antriebseinheit verbindet, mit wenigstens den Schritten:
    • • Erkennen eines unzulässigen Zustands des Antriebssystems,
    • • Trennen der Signalübertragung über die Datenleitung an wenigstens die erste Antriebseinheit,
    • • Erkennen des Trennens der Signalübertragung über die Datenleitung durch die erste Antriebseinheit, und
    • • vorbestimmtes Betreiben, vorzugsweise Anhalten und bzw. oder Stoppen, wenigstens eines Motors der ersten Antriebseinheit durch die erste Antriebseinheit.
  • Die durch diese Verfahrensschritte erreichten Eigenschaften und Vorteile wurden bereits zuvor mit Bezug auf ein Antriebssystem erläutert und sollen daher hier nicht wiederholt werden.
  • Gemäß einem Aspekt der vorliegenden Erfindung weist das Betreiben als Anhalten wenigstens die Teilschritte auf:
    • • Verringern der Geschwindigkeit des Motors der ersten Antriebseinheit ,
    • • nach Ablauf einer vorbestimmten Zeitdauer,
      • ◯ Aktivieren wenigstens einer Bremse des Motors der ersten Antriebseinheit, und bzw. oder
      • ◯ Trennen der elektrischen Energieversorgung des Motors der ersten Antriebseinheit.
  • Die durch diese Verfahrensschritte erreichten Eigenschaften und Vorteile wurden bereits zuvor mit Bezug auf ein Antriebssystem erläutert und sollen daher hier nicht wiederholt werden.
  • Ein Ausführungsbeispiel und weitere Vorteile der Erfindung werden nachstehend im Zusammenhang mit den folgenden Figuren erläutert. Darin zeigt:
    • 1 eine schematische Darstellung eines erfindungsgemäßen Antriebssystems;
    • 2 ein schematisches Diagramm einer Bremsrampe zum Anhalten des erfindungsgemäßen Antriebssystems; und
    • 3 ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens.
  • 1 zeigt eine schematische Darstellung eines erfindungsgemäßen Antriebssystems 1. Das Antriebssystem 1 kann eine Automatisierungsanlage 1 oder ein Roboter 1 sein, wobei im vorliegenden Fall ein Roboter 1 betrachtet werden soll, welcher vorzugsweise ein Knickarmroboter 1 sein kann. Dabei sind lediglich die Antriebseinheiten 11, 12 des Roboters 1 dargestellt, da sich die vorliegende Erfindung auf deren Betrieb bzw. auf deren Anhalten oder Stoppen bezieht, wie im Folgenden beschrieben werden wird. Somit weist der Roboter 1 mehrere Antriebseinheiten 11, 12 auf, welche jeweils einen elektrischen Motor besitzen (nicht dargestellt), welcher jeweils ein Gelenk des Roboters 1 antreiben kann (nicht dargestellt). Die Antriebseinheiten 11, 12 weisen jeweils eine Antriebssteuerung in Form eines Motor-Controllers auf (nicht dargestellt), welcher jeweils den Motor steuern, regeln sowie elektrisch versorgen kann. Alle Antriebseinheiten 11, 12 sind mit einer gemeinsamen elektrischen Energieversorgungsleitung 13 verbunden, welche im vorliegenden Fall eine Versorgungsspannung von 48 V bereitstellen kann. Die elektrische Energieversorgungsleitung 13 weist einen Versorgungsspannungstrenner 14 als Unterbrechungsschalter 14 der elektrischen Energieversorgung auf, über dessen Betätigung alle Antriebe 11, 12 stromlos geschaltet werden können; dies soll weiter unten noch näher erläutert werden.
  • Es ist ein Steuerungssystem 3 vorgesehen, welches eine erste Steuerungseinheit 30 in Form einer Antriebssteuerung 30 bzw. einer Robotersteuerung 30 aufweist. Die Robotersteuerung 30 führt die Koordination der Bewegungen der einzelnen Antriebseinheiten 11, 12 zueinander aus, weshalb die Robotersteuerung 30 auch als zentrale Robotersteuerung 30 bezeichnet werden kann. Die Robotersteuerung 30 erhält hierzu im Betrieb Informationen von den Antriebseinheiten 11, 12 wie z.B. deren Positionen bzw. Winkellagen, deren Geschwindigkeiten, deren Drehmomente und dergleichen und berechnet unter Berücksichtigung der kinematischen Zusammenhänge der einzelnen Glieder des Roboters 1 die erforderlichen Bewegungen der einzelnen Antriebe 11, 12, um durch deren Kombination eine gewünschte Bewegung des Roboters 1 bzw. dessen Endeffektors zu bewirken. Hierzu werden von der Robotersteuerung 30 Steuerungsanweisungen für jede Antriebseinheit 11, 12 erzeugt und dieser mitgeteilt.
  • Diese Kommunikation zwischen den Antriebseinheiten 11, 12 und der Robotersteuerung 30 des Steuerungssystems 3 verläuft über eine gemeinsame Datenleitung 2, welche auch als Kommunikationsbus 2 oder als Feldbus 2 bezeichnet werden kann. An dem Feldbus 2 sind alle Antriebseinheiten 11, 12 sowie die Robotersteuerung 30 als Teilnehmer angeschlossen, so dass jeweils eine bidirektionale Kommunikation erfolgen kann, um die zuvor beschriebenen Informationen untereinander auszutauschen. Seitens der Robotersteuerung 30 ist dabei eine Datenschnittstelle 31 vorgesehen, um die Ankopplung zwischen dem Feldbus 2 und den Komponenten der Robotersteuerung 30 umzusetzen, welche die empfangenen Daten verarbeiten und bzw. oder die auszusendenden Daten erzeugen können. Die Datenschnittstelle 31 kann auch als Kommunikationsbus-Schnittstelle 31, als Feldbus-Schnittstelle 31 oder als Feldbus-Controller 31 bezeichnet werden.
  • Erfindungsgemäß ist in dem Steuerungssystem 3 ferner eine zweite Steuerungseinheit 32 vorgesehen, welche auch als Sicherheitssteuerung 32 bezeichnet werden kann. Die Sicherheitssteuerung 32 weist eine erste Recheneinheit 33 und eine zweite Recheneinheit 34 auf, welche die gleichen Funktionen durchführen und somit als redundant bezeichnet werden können. Die beiden Recheneinheiten 33, 34 sind vorzugsweise jeweils als ein separater Prozessor 33, 34 oder als separate Prozessorkerne 33, 34 realisiert und jeweils mit dem Feldbus-Controller 31 der Robotersteuerung 30 signalübertragend verbunden. Beide Prozessoren 33, 34 können somit die Informationen von dem Feldbus-Controller 31 der Robotersteuerung 30 abgreifen, welche dort als Datensignale über die Datenleitung 2 von den Antriebseinheiten 11, 12 erhalten werden. Auch sind die beiden Prozessoren 33, 34 untereinander signalübertragend verbunden, um diese Informationen sowie die jeweils hierauf basierenden Berechnungen als Kreuzvergleich untereinander auszutauschen. Hierdurch kann eine Redundanz der beiden Prozessoren 33, 34 und dabei eine höhere Ausfallsicherzeit dieser Funktionen erreicht werden.
  • Auf diese Art und Weise können die Informationen der Antriebseinheiten 11, 12 durch die beiden Prozessoren 33, 34 der Sicherheitssteuerung 32 redundant auf unzulässige Zustände wie z.B. auf zu hohe Geschwindigkeiten oder Drehmomente der einzelnen Antriebseinheiten 11, 12 überwacht werden. Wird ein derartiger unzulässiger Zustand von wenigstens einem Prozessor 33, 34 der Sicherheitssteuerung 32 erkannt, kann dies dazu führen, dass wenigstens die entsprechende Antriebseinheit 11, 12 oder vorzugsweise alle Antriebseinheiten 11, 12 und damit der gesamte Roboter 1 in einen sicheren Zustand überführt wird. Dies kann dadurch geschehen, dass ein Anhalten 400 oder ein Stoppen 400 der Antriebseinheiten 11, 12 von der Sicherheitssteuerung 32 eingeleitet wird, wie im Folgenden anhand des erfindungsgemäßen Verfahrensablaufs der 3 noch schrittweise erklärt werden wird.
  • Erfindungsgemäß wird dabei im Vergleich zu herkömmlichen Sicherheitsfunktionen derartiger Antriebssysteme 1 und insbesondere derartiger Roboter 1 darauf verzichtet, über den Feldbus 2 eine Anhalt- oder Stopp-Anweisung zu versenden, da hierzu der Feldbus 2 sowie dessen Teilnehmer wie die Antriebseinheiten 11, 12 und die Robotersteuerung 30 sicher ausgelegt sein müssten. Mit anderen Worten müsste aufgrund der Hardware- und Software-Struktur des Feldbusses 2 sowie dessen Teilnehmer des Roboters 1 gewährleistet werden, dass im Notfall eines als unzulässig erkannten Zustands des Antriebssystems 1 hierauf deterministisch und innerhalb eines vorbestimmten geringen Zeitabstands z.B. durch ein Anhalten 400 oder ein Stoppen 400 der Antriebseinheiten 11, 12 reagiert werden kann. Andernfalls kann das Antriebssystem 1 als unsicher eingestuft und z.B. als Roboter 1 nicht für die Zusammenarbeit mit Personen freigegeben sein.
  • Die geforderte Sicherheit kann erfindungsgemäß jedoch auch dadurch erreicht werden, indem im Fall eines als unzulässig erkannten Zustands die Signalübertragung über den Feldbus 2 von wenigstens einem der Prozessoren 33, 34 der Sicherheitssteuerung 32 getrennt und dies von den Antriebseinheiten 11, 12 erkannt sowie dahingehend interpretiert wird, ein Anhalten 400 oder ein Stoppen 400 der Antriebseinheit 11, 12 durchzuführen. Dies kann softwareseitig z.B. dadurch umgesetzt werden, dass wenigstens einer der Prozessoren 33, 34 der Sicherheitssteuerung 32 eine Anweisung an den Feldbus-Controller 31 ausgibt, die Funktion der Signalübertragung des Feldbusses 2 zu beenden bzw. auszusetzen. Dies kann beispielsweise dadurch einfach umgesetzt werden, indem z.B. mittels eines MosFET die Leitung des Feldbusses 2 auf ein definiertes Potential wie z.B. auf Masse gezogen wird, so dass eine Signalübertragung über den Feldbus 2 verhindert werden kann.
  • Da dies jedoch einen Eingriff in die Robotersteuerung 30 bedeuten kann und eine Signalübertragung von der Sicherheitssteuerung 32 an die Robotersteuerung 30 erforderlich wäre, wird diese Funktion vorzugsweise hardwareseitig dadurch umgesetzt, dass in dem Feldbus 2 jeweils ein Datenleitungstrenner 21, 22 in Form von Busabkopplern 21, 22 angeordnet ist, welche bei Betätigung jeweils die Signalübertragung zwischen den Antriebseinheiten 11, 12 und der Robotersteuerung 30 unterbrechen können. Die beiden Busabkoppler 21, 22 sind hierzu in Serie hintereinander angeordnet, so dass das Betätigen eines der beiden Busabkoppler 21, 22 ausreichend ist, um die Signalübertragung über den Feldbus 2 zu trennen. Der erste Busabkoppler 21 ist mit dem ersten Prozessor 33 der Sicherheitssteuerung 32 und der zweite Busabkoppler 22 mit dem zweiten Prozessor 34 der Sicherheitssteuerung 32 verbunden, so dass der erste Busabkoppler 21 von dem ersten Prozessor 33 der Sicherheitssteuerung 32 betätigt werden kann, falls der erste Prozessor 33 der Sicherheitssteuerung 32 einen unzulässigen Zustand erkannt hat; dies gilt entsprechend für den zweiten Prozessor 34 der Sicherheitssteuerung 32 und den zweiten Busabkoppler 22.
  • In jedem Fall, d.h. ob softwareseitig und bzw. oder ob hardwareseitig ein Trennen 200 der Signalübertragung des Feldbusses 2 erfolgt, kann dies von den Antriebseinheiten 11, 12 erkannt und entsprechend vorbestimmt durch ein Anhalten 400 oder ein Stoppen 400 der jeweiligen Antriebseinheit 11, 12 hierauf reagiert werden. Dies kann insbesondere von dem jeweiligen Motor-Controller der Antriebseinheit 11, 12 erkannt und umgesetzt werden.
  • Ein Stoppen 400 kann dabei direkt dadurch ausgeführt werden, indem eine Bremse der jeweiligen Antriebseinheit 11, 12 betätigt wird, so dass der Motor der Antriebseinheit 11, 12 schnellstmöglich in den Stillstand versetzt werden kann. Dies kann als ein Schritt in möglichst geringer Zeit erfolgen, so dass entsprechend unverzüglich der Stillstand des Motors erreicht und damit die Sicherheit hergestellt werden kann. Nachteilig ist hierbei jedoch, dass dieses abrupte Bremsen eine starke Belastung für die Bauteile des Motors der jeweiligen Antriebseinheit 11, 12 darstellen kann, was sich negativ auf deren Lebensdauer auswirken kann.
  • Vorzugsweise wird das Betreiben 400 der jeweiligen Antriebseinheit 11, 12 in Reaktion auf eine getrennte Signalübertragung des Feldbusses 2 daher als ein Anhalten 400 ausgeführt, bei dem nicht sofort abrupt gestoppt wird, wie zuvor beschrieben, sondern zuerst die Geschwindigkeit des Motors reduziert wird, bevor es zu einem Eingreifen der Bremse des Motors kommt. 2 zeigt ein schematisches Diagramm einer Bremsrampe zum Anhalten des erfindungsgemäßen Antriebssystems 1 mit der Zeit t in Sekunden auf der Abszissenachse und der Geschwindigkeit v in Meter pro Sekunde auf der Ordinatenachse. Zu einem Halt-Zeitpunkt tHalt bei einer Geschwindigkeit vHalt des Motors der jeweiligen Antriebseinheit 11, 12 wird von der jeweiligen Antriebseinheit 11, 12 ein Anhalten 400 eingeleitet, indem der dargestellte Verlauf A einer Geschwindigkeitsrampe vorgegeben wird, welche durch den Verlauf B der Ist-Geschwindigkeit unterschritten werden soll. Der Verlauf A der Geschwindigkeitsrampe kann daher auch als Verlauf A der maximalen Geschwindigkeit angesehen werden. Der Verlauf B der Ist-Geschwindigkeit bleibt in der Darstellung der 2 unterhalb des Verlaufs A der Geschwindigkeitsrampe, welche zu einem Stopp-Zeitpunkt tStopp auf die Geschwindigkeit vStopp von Null zurückgegangen ist, so dass idealerweise ein zügiger aber dennoch ruckbegrenzter Übergang des Motors der jeweiligen Antriebseinheit 11, 12 aus der Bewegung in den Stillstand erreicht werden kann. Dann kann zum Stopp-Zeitpunkt tStopp ein Eingreifen bzw. ein Einfallen der Bremse erfolgen, um diesen Zustand zu fixieren und die Sicherheit herzustellen. Der zeitliche Abstand zwischen dem Stopp-Zeitpunkt tStopp und dem Halt-Zeitpunkt tHalt als vorbestimmte Zeitdauer kann beispielsweise 500 ms betragen, um zum einen eine Umsetzung dieser Funktion zu ermöglichen und gleichzeitig die Sicherheit möglichst schnell herzustellen.
  • Dabei hängt es von der Geschwindigkeit des Motors der jeweiligen Antriebseinheit 11, 12 ab, ob wie zuvor beschrieben ein Abbremsen des Motors in den Stillstand innerhalb der vorbestimmten Zeitdauer möglich ist. Ist dies nicht der Fall, so kann das Einfallen der Bremse dennoch in der Bewegung des Motors erfolgen, wobei die Geschwindigkeit noch schonend reduziert werden kann, so dass die Belastung durch das verbleibende abrupte Bremsen des Motors geringer ausfallen kann als bei einem Stoppen 400 der jeweiligen Antriebseinheit 11, 12 zum Stopp-Zeitpunkt tStopp . Dabei können je nach Bewegungssituation des Roboters 1 die Motoren der jeweiligen Antriebseinheiten 11, 12 auch derart unterschiedliche Geschwindigkeiten vHaltz zum Halt-Zeitpunkt tHalt aufweisen, dass die langsam betriebenen Motoren innerhalb der vorbestimmten Zeitdauer vollständig angehalten werden können während die schneller betriebenen Motoren zum Stopp-Zeitpunkt tStopp aus der Bewegung gebremst werden müssen.
  • Neben dem Anhalten 400 oder dem Stoppen 400 des jeweiligen Motors der Antriebseinheiten 11, 12 durch dessen Motor-Controller besteht auch die Möglichkeit, dies mittels eines Trennens der elektrischen Energieversorgung zusätzlich zu unterstützen. Beispielsweise kann der Motor-Controller zusammen mit einer Stopp-Anweisung und dem Betätigen der Bremse die elektrische Energieversorgung seines Motors unterbrechen, um das Stoppen 400 zu beschleunigen und Sicherheit des gestoppten Zustands zu erhöhen. Auch kann dies nach Ablauf der vorbestimmten Zeitdauer im Rahmen eines Anhaltens 400 erfolgen, um dann das Stoppen zu beschleunigen und die Sicherheit des gestoppten Zustands zu erhöhen.
  • Auch ist es zu diesem Zweck alternativ oder zusätzlich möglich, den zuvor bereits erwähnten Unterbrechungsschalter 14 der elektrischen Energieversorgung zu betätigen. Dies kann über einen Sicherheitsschalter 5 wie z.B. über ein Sicherheitsrelais 5 erfolgen, welches unabhängig von dem Steuerungssystem 3 angeordnet und signalübertragend sowohl mit dem Steuerungssystem 3 bzw. mit den beiden Prozessoren 33, 34 der Sicherheitssteuerung 32 sowie mit dem Unterbrechungsschalter 14 verbunden sein kann. Wird somit ein unzulässiger Zustand des Roboters 1 von wenigstens einem der beiden Prozessoren 33, 34 der Sicherheitssteuerung 32 erkannt, kann dieser Prozessor 33, 34 zusätzlich zum Trennen der Signalübertragung des Feldbusses 2 das Sicherheitsrelais 5 aktivieren, welches dann den Unterbrechungsschalter 14 der elektrischen Energieversorgung betätigen kann. Hierdurch kann die elektrische Energieversorgung zu den Antriebseinheiten 11, 12 an sich getrennt werden, so dass auch bei Fehlfunktionen bei der Umsetzung der erkannten getrennten Signalübertragung über den Feldbus 2 die Sicherheit zeitnah durch eine mangelnde elektrische Energieversorgung der Motoren der Antriebseinheiten 11, 12 hergestellt werden kann. Ferner kann die Sicherheit des gestoppten Zustands durch die mangelnde elektrische Energieversorgung der Motoren der Antriebseinheiten 11, 12 erhöht werden. Dabei wird das Betätigen des Unterbrechungsschalters 14 der elektrischen Energieversorgung durch das Sicherheitsrelais 5 vorzugsweise um die vorbestimmte Zeitdauer verzögert, um die zuvor beschriebene Funktion des Anhaltens 400 ausführen zu können.
  • Ferner kann eine Not-Aus-Einrichtung 4 in Form eines Not-Aus-Schalters 4 vorgesehen sein, welche wenigstens mit dem Sicherheitsrelais 5 signalführend verbunden ist. Wird der Not-Aus-Schalter 4 durch Drücken von einer Person betätigt, kann dies in dem Sicherheitsrelais 5 direkt das Betätigen des Unterbrechungsschalters 14 der elektrischen Energieversorgung auslösen. Auch in diesem Fall kann dies vorzugsweise um die vorbestimmte Zeitdauer verzögert erfolgen, um die zuvor beschriebene Funktion des Anhaltens 400 ausführen zu können. Ferner kann die Information, dass der Not-Aus-Schalter 4 betätigt wurde, von dem Sicherheitsrelais 5 z.B. über dessen digitalen Ausgang an die beiden Prozessoren 33, 34 der Sicherheitssteuerung 32 mitgeteilt werden, so dass dort ein unzulässiger Zustand des Roboters 1 auch aufgrund der Betätigung des Not-Aus-Schalters 4 erkannt und wie zuvor beschrieben hierauf reagiert werden kann.
  • Einige der zuvor beschriebenen Aspekte lassen sich auch anhand eines erfindungsgemäßen Verfahrens wie folgt beschreiben, siehe auch 3, welches z.B. auf ein Antriebssystem 1 wie zuvor beschrieben angewendet werden kann:
  • Es erfolgt zunächst ein Erkennen 100 eines unzulässigen Zustands des Antriebssystems 1 wie z.B. eines Roboters 1 und insbesondere eines Knickarmroboters 1, wie zuvor beschrieben. Wird ein derartiger Zustand erkannt, erfolgt ein Trennen 200 der Signalübertragung über die Datenleitung 2 an die erste Antriebseinheit 11. Seitens der ersten Antriebseinheit 11 kann ein Erkennen 300 des Trennens 200 der Signalübertragung über die Datenleitung 2 erfolgen, so dass in Reaktion hierauf ein vorbestimmtes Betreiben 400 wenigstens eines Motors der ersten Antriebseinheit 11 durch die erste Antriebseinheit 11 erfolgen kann. Dieses vorbestimmte Betreiben 400 kann vorzugsweise ein Anhalten 400 und bzw. oder ein Stoppen 400 sein, wobei vorzugsweise ein Anhalten 400 eingeleitet wird, welches den Motor der ersten Antriebseinheit 11 entweder vollständig in den Stillstand bringen kann oder dies nach einer vorbestimmten Zeitdauer durch ein Stoppen 400 erfolgt.
  • Hierzu kann das vorbestimmte Betreiben 400 als Anhalten 400 wenigstens die Teilschritte aufweisen, dass zunächst ein Verringern 410 der Geschwindigkeit des Motors der ersten Antriebseinheit 11 erfolgt. Nach Ablauf einer vorbestimmten Zeitdauer erfolgt ein Aktivieren 430 wenigstens einer Bremse des Motors der ersten Antriebseinheit 11, so dass ein Stoppen 400 bewirkt wird. Die Bremse befindet sich grundsätzlich im geöffneten Zustand, welcher durch ein Belüften der Bremse durch Bestromung eingenommen wird. Soll nun die Bremse eingreifen bzw. einfallen und ihre Bremswirkung entfalten, so kann das Belüften der Bremse ausbleiben bzw. die Bremse entlüftet werden, wobei in diesem Fall das Entlüften der Bremse bewusst z.B. mittels einer entsprechenden Steuerungsanweisung erfolgt. Ferner erfolgt ein Trennen 450 der elektrischen Energieversorgung des Motors der ersten Antriebseinheit 11.
  • Alternativ kann das Trennen 450 der elektrischen Energieversorgung des Motors der ersten Antriebseinheit 11 auch direkt zu einem Einfallen der Bremse führen, weil die Bremsen zum Lüften aktiv bestromt werden müssen. Hierdurch kann der Schritt des Aktivierens 430 wenigstens einer Bremse des Motors der ersten Antriebseinheit 11 entfallen und das Entlüften der Bremse und damit durch ein mangelndes Belüften der Bremse durch mangelnde Bestromung umgesetzt werden, ohne dass hierzu eine entsprechende Steuerungsanweisung erteilt werden muss.
  • Würde das vorbestimmte Betreiben 400 als Stoppen 400 ausgeführt werden, so würde direkt und ohne zeitliche Verzögerung das Aktivieren 430 der Bremse sowie das Trennen 450 der elektrischen Energieversorgung erfolgen.
  • Auf diese Art und Weise kann erfindungsgemäß durch ein entsprechendes Antriebssystem 1 wie vorzugsweise durch einen Roboter 1 und besonders vorzugsweise durch einen Knickarmroboter 1 sowie durch ein entsprechendes Verfahren, welches auf den erfindungsgemäßen Roboter 1 aber auch auf andere Antriebssysteme 1 angewendet werden kann, ein sicheres Anhalten, Stoppen bzw. Abschalten des Antriebssystems 1 erreicht werden. Dies kann gleichzeitig einfach und bzw. oder kostengünstig umgesetzt werden, insbesondere ohne die Notwendigkeit einer sicheren Datenleitung 2, welche zu einem vergleichsweise hohen Aufwand an Hardware und bzw. oder Software führen kann.
  • Bezugszeichenliste
    • A
    Verlauf Geschwindigkeitsrampe; Verlauf maximale Geschwindigkeit
    B
    Verlauf Ist-Geschwindigkeit
    t
    Zeit
    tHalt
    Halt-Zeitpunkt
    tStopp
    Stopp-Zeitpunkt
    v
    Geschwindigkeit
    vHalt
    Geschwindigkeit zum Halt-Zeitpunkt tHalt
    vStopp
    Geschwindigkeit zum Stopp-Zeitpunkt tStopp
    1
    Antriebssystem; Automatisierungsanlage; Roboter; Knickarmroboter
    11
    erste Antriebseinheit
    12
    n-te Antriebseinheit
    13
    elektrische Energieversorgungsleitung der Antriebseinheiten 11, 12
    14
    Versorgungsspannungstrenner; Unterbrechungsschalter der elektrischen Energieversorgung
    2
    Datenleitung; Kommunikationsbus; Feldbus
    21
    erster Datenleitungstrenner; erster Busabkoppler
    22
    zweiter Datenleitungstrenner; zweiter Busabkoppler
    3
    Steuerungssystem
    30
    erste Steuerungseinheit; (zentrale) Antriebssteuerung; Robotersteuerung
    31
    Datenschnittstelle; Kommunikationsbus-Schnittstelle; Feldbus-Schnittstelle; Feldbus-Controller
    32
    zweite Steuerungseinheit; Sicherheitssteuerung
    33
    erste Recheneinheit der zweiten Steuerungseinheit 32; erster Prozessor der zweiten Steuerungseinheit 32; erster Prozessorkern der zweiten Steuerungseinheit 32
    34
    zweite Recheneinheit der zweiten Steuerungseinheit 32; zweiter Prozessor der zweiten Steuerungseinheit 32; zweiter Prozessorkern der zweiten Steuerungseinheit 32
    4
    Not-Aus-Einrichtung; Not-Aus-Schalter; Totmanneinrichtung
    5
    Sicherheitsschalter; Sicherheitsrelais
    100
    Erkennen unzulässiger Zustand des Antriebssystems 1
    200
    Trennen Signalübertragung; Deaktivieren Datenleitung 2; Betätigen ersten Datenleitungstrenner 21
    300
    Erkennen des Trennens 200 der Signalübertragung durch erste Antriebseinheit 11
    400
    vorbestimmtes Betreiben/Anhalten/Stoppen eines Antriebs der ersten Antriebseinheit 11
    410
    Verringern Geschwindigkeit des Motors der ersten Antriebseinheit 11
    430
    nach Ablauf vorbestimmte Zeitdauer, Aktivieren Bremse des Motors der ersten Antriebseinheit 11
    450
    Trennen elektrische Energieversorgung des Motors der ersten Antriebseinheit 11
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • DIN EN ISO 13849 [0037]
    • DIN EN ISO 10218-1 [0037]

Claims (15)

  1. Antriebssystem (1), vorzugsweise Roboter (1), mit wenigstens einer ersten Antriebseinheit (11), mit wenigstens einem Steuerungssystem (3), welches ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit (11) zu erzeugen, und mit wenigstens einer Datenleitung (2), welche das Steuerungssystem (3) signalübertragend mit wenigstens der ersten Antriebseinheit (11) verbindet, dadurch gekennzeichnet, dass das Antriebssystem (1), vorzugsweise das Steuerungssystem (3), ausgebildet ist, einen unzulässigen Zustand des Antriebssystems (1) zu erkennen, dass das Antriebssystem (1), vorzugsweise das Steuerungssystem (3), ausgebildet ist, in Reaktion auf einen erkannten unzulässigen Zustand des Antriebssystems (1) die Signalübertragung über die Datenleitung (2) an wenigstens die erste Antriebseinheit (11) zu trennen, dass die erste Antriebseinheit (11) ausgebildet ist, das Trennen (200) der Signalübertragung über die Datenleitung (2) zu erkennen, und dass die erste Antriebseinheit (11) ausgebildet ist, in Reaktion auf das erkannte Trennen (200) der Signalübertragung wenigstens einen Motor der ersten Antriebseinheit (11) vorbestimmt zu betreiben, vorzugsweise anzuhalten und/oder zu stoppen.
  2. Antriebssystem (1) nach Anspruch 1, dadurch gekennzeichnet, dass das Trennen (200) der Signalübertragung softwareseitig, vorzugsweise durch ein Deaktivieren (200) der Datenleitung (2), erfolgt.
  3. Antriebssystem (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Trennen (200) der Signalübertragung hardwareseitig, vorzugsweise durch das Betätigen (200) wenigstens eines ersten Datenleitungstrenners (21), erfolgt.
  4. Antriebssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Antriebssystem (1), vorzugsweise das Steuerungssystem (3), ferner ausgebildet ist, in Reaktion auf den erkannten unzulässigen Zustand des Antriebssystems (1) eine elektrische Energieversorgung des Motors der ersten Antriebseinheit (11) zu trennen.
  5. Antriebssystem (1) nach Anspruch 4, dadurch gekennzeichnet, dass das Trennen (450) der elektrischen Energieversorgung des Motors der ersten Antriebseinheit (11) um eine vorbestimmte Zeitdauer versetzt erfolgt, wobei innerhalb der vorbestimmten Zeitdauer eine Verringerung der Geschwindigkeit des Motors der ersten Antriebseinheit (11) erfolgt, wobei vorzugsweise nach Ablauf der vorbestimmten Zeitdauer, vorzugsweise vor dem Trennen (450) der elektrischen Energieversorgung, ein Aktivieren (430) wenigstens einer Bremse des Motors der ersten Antriebseinheit (11) erfolgt.
  6. Antriebssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Steuerungssystem (3) wenigstens eine erste Steuerungseinheit (30) aufweist, welche ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit (11) zu erzeugen, und dass das Steuerungssystem (3) wenigstens eine zweite Steuerungseinheit (32) aufweist, welche ausgebildet ist, den unzulässigen Zustand des Antriebssystems (1) zu erkennen und in Reaktion hierauf das Trennen (200) der Signalübertragung und/oder das Trennen (450) der elektrischen Energieversorgung zu veranlassen.
  7. Antriebssystem (1) nach Anspruch 6, dadurch gekennzeichnet, dass die zweite Steuerungseinheit (32) wenigstens eine erste Recheneinheit (33) und wenigstens eine zweite Recheneinheit (34) aufweist, welche jeweils ausgebildet sind, den unzulässigen Zustand des Antriebssystems (1) zu erkennen und in Reaktion hierauf das Trennen (200) der Signalübertragung und/oder das Trennen (450) der elektrischen Energieversorgung zu veranlassen.
  8. Antriebssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Datenleitung (2) wenigstens einen ersten Datenleitungstrenner (21) aufweist, welcher ausgebildet ist, von dem Steuerungssystem (3), vorzugsweise von einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), besonders vorzugsweise von einer ersten Recheneinheit (33) der zweiten Steuerungseinheit (32), zum Trennen (200) der Signalübertragung veranlasst zu werden, wobei die Datenleitung (2) vorzugsweise ferner wenigstens einen zweiten Datenleitungstrenner (22) aufweist, welcher ausgebildet ist, von dem Steuerungssystem (3), vorzugsweise von einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), besonders vorzugsweise von einer zweiten Recheneinheit (34) der zweiten Steuerungseinheit (32), zum Trennen (200) der Signalübertragung veranlasst zu werden.
  9. Antriebssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass das Antriebssystem (1) eine elektrische Energieversorgungsleitung (13) aufweist, welche ausgebildet ist, wenigstens die erste Antriebseinheit (11), vorzugsweise den Motor der ersten Antriebseinheit (11), elektrisch zu versorgen, wobei die elektrische Energieversorgungsleitung (13) wenigstens einen Versorgungsspannungstrenner (14) aufweist, welcher ausgebildet ist, von dem Steuerungssystem (3), vorzugsweise von einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), besonders vorzugsweise von einer ersten Recheneinheit (33) der zweiten Steuerungseinheit (32) und/oder von einer zweiten Recheneinheit (34) der zweiten Steuerungseinheit (32), zum Trennen (450) der elektrischen Energieversorgung veranlasst zu werden.
  10. Antriebssystem (1) nach Anspruch 9, dadurch gekennzeichnet, dass das Veranlassen des Versorgungsspannungstrenners (14) zum Trennen (450) der elektrischen Energieversorgung mittels eines Sicherheitsschalters (5), vorzugsweise mittels eines Sicherheitsrelais (5), erfolgt, wobei der Sicherheitsschalter (5) dazu ausgebildet ist, von dem Steuerungssystem (3), vorzugsweise von einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), besonders vorzugsweise von einer ersten Recheneinheit (33) der zweiten Steuerungseinheit (32) und/oder von einer zweiten Recheneinheit (34) der zweiten Steuerungseinheit (32), zum Trennen (450) der elektrischen Energieversorgung veranlasst zu werden.
  11. Antriebssystem (1) nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die erste Antriebseinheit (11) ausgebildet ist, Datensignale, vorzugsweise über die Datenleitung (2), an das Steuerungssystem (3), vorzugsweise an eine erste Steuerungseinheit (30) des Steuerungssystems (3), zu übertragen, und dass das Steuerungssystem (3), vorzugsweise eine zweite Steuerungseinheit (32) des Steuerungssystems (3), ausgebildet ist, einen unzulässigen Zustand des Antriebssystems (1), vorzugsweise der ersten Antriebseinheit (11), unter Berücksichtigung der Datensignale der ersten Antriebseinheit (11) zu erkennen.
  12. Antriebssystem (1) nach Anspruch 11, dadurch gekennzeichnet, dass das Steuerungssystem (3), vorzugsweise eine erste Steuerungseinheit (30) des Steuerungssystems (3), wenigstens eine Datenschnittstelle (31) aufweist, welche ausgebildet ist, Datensignale von der ersten Antriebseinheit (11), vorzugsweise über die Datenleitung (2), zu erhalten, wobei die Datenschnittstelle (31) vorzugsweise ferner ausgebildet ist, die erhaltenen Datensignale der ersten Antriebseinheit (11) einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), vorzugsweise einer ersten Recheneinheit (33) der zweiten Steuerungseinheit (32) und/oder einer zweiten Recheneinheit (34) der zweiten Steuerungseinheit (32), zur Verfügung zu stellen.
  13. Antriebssystem (1) nach einem der vorangehenden Ansprüche, gekennzeichnet durch wenigstens eine Not-Aus-Einrichtung (4) und/oder wenigstens eine Totmanneinrichtung (4), welche ausgebildet ist, bei Betätigung dem Antriebssystem (1), vorzugsweise dem Steuerungssystem (3), besonders vorzugsweise einer zweiten Steuerungseinheit (32) des Steuerungssystems (3), ganz besonders vorzugsweise einer ersten Recheneinheit (33) der zweiten Steuerungseinheit (32) und/oder einer zweiten Recheneinheit (34) der zweiten Steuerungseinheit (32), einen unzulässigen Zustand des Antriebssystems (1) anzuzeigen.
  14. Verfahren zum Betrieb eines Antriebssystems (1), vorzugsweise nach einem der vorangehenden Ansprüche, mit wenigstens einer ersten Antriebseinheit (11), mit wenigstens einem Steuerungssystem (3), welches ausgebildet ist, Steuerungssignale für wenigstens die erste Antriebseinheit (11) zu erzeugen, und mit wenigstens einer Datenleitung (2), welche das Steuerungssystem (3) signalübertragend mit wenigstens der ersten Antriebseinheit (11) verbindet, mit wenigstens den Schritten: Erkennen (100) eines unzulässigen Zustands des Antriebssystems (1), Trennen (200) der Signalübertragung über die Datenleitung (2) an wenigstens die erste Antriebseinheit (11), Erkennen (300) des Trennens (200) der Signalübertragung über die Datenleitung (2) durch die erste Antriebseinheit (11), und vorbestimmtes Betreiben (400), vorzugsweise Anhalten (400) und/oder Stoppen (400), wenigstens eines Motors der ersten Antriebseinheit (11) durch die erste Antriebseinheit (11).
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass das Betreiben (400) als Anhalten (400) wenigstens die Teilschritte aufweist: Verringern (410) der Geschwindigkeit des Motors der ersten Antriebseinheit (11), nach Ablauf einer vorbestimmten Zeitdauer, Aktivieren (430) wenigstens einer Bremse des Motors der ersten Antriebseinheit (11), und/oder Trennen (450) der elektrischen Energieversorgung des Motors der ersten Antriebseinheit (11).
DE102018109316.0A 2018-04-19 2018-04-19 Antriebssystem, vorzugsweise Roboter Pending DE102018109316A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018109316.0A DE102018109316A1 (de) 2018-04-19 2018-04-19 Antriebssystem, vorzugsweise Roboter

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018109316.0A DE102018109316A1 (de) 2018-04-19 2018-04-19 Antriebssystem, vorzugsweise Roboter

Publications (1)

Publication Number Publication Date
DE102018109316A1 true DE102018109316A1 (de) 2019-10-24

Family

ID=68104914

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018109316.0A Pending DE102018109316A1 (de) 2018-04-19 2018-04-19 Antriebssystem, vorzugsweise Roboter

Country Status (1)

Country Link
DE (1) DE102018109316A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19716457A1 (de) * 1997-04-21 1998-10-29 Baumueller Nuernberg Gmbh Elektrisches Antriebssystem mit Lagekorrekturantrieben zur Kollisionsvermeidung
US20120259475A1 (en) * 2011-04-06 2012-10-11 Michael Scharnick Lock-Out, Tag-Out System Using Safety Programmable Logic Controller

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19716457A1 (de) * 1997-04-21 1998-10-29 Baumueller Nuernberg Gmbh Elektrisches Antriebssystem mit Lagekorrekturantrieben zur Kollisionsvermeidung
US20120259475A1 (en) * 2011-04-06 2012-10-11 Michael Scharnick Lock-Out, Tag-Out System Using Safety Programmable Logic Controller

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DIN EN ISO 10218-1
DIN EN ISO 13849

Similar Documents

Publication Publication Date Title
EP1239354B1 (de) Verfahren zur Überwachung einer Bremseinrichtung, insbesondere eines Handhabungsgerätes, sowie Überwachungs- und Steuergerät
DE3706325C2 (de)
DE19939567B4 (de) Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE3614979C2 (de) Sicherheitssystem für eine Druckmaschine
EP1642179B1 (de) Vorrichtung zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage
EP3455681B1 (de) Feldbusmodul und verfahren zum betreiben eines feldbussystems
DE102015001094B4 (de) Servomotorsteuerung und Produktionssystem damit
EP2907626A2 (de) Verfahren und Vorrichtung zum Festlegen einer Manipulatorachse
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP1055159A1 (de) Fehlersichere prozesseingabe und prozessausgabe
EP1380533B1 (de) Steuereinrichtung für flurfreie Förderer
EP2154587B1 (de) System zum Stellen eines Stellorgans
EP2985190B1 (de) Fahrzeugsteuerung für eine mobile arbeitsmaschine
DE102014100970A1 (de) Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
DE102008038131B4 (de) Redundantes Steuerungssystem und Verfahren zur sicherheitsgerichteten Ansteuerung von Aktoren
EP1619565A2 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
DE102018109316A1 (de) Antriebssystem, vorzugsweise Roboter
EP2433184B1 (de) Steuerungssystem zum steuern eines prozesses
EP2778811A1 (de) Vorrichtung für ein AS-Interface System
EP3475966B1 (de) Sicherheitsgerichtetes schaltgerät
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
EP2767877B1 (de) Steuerungs- und Datenübertragungssystem zum Übertragen von sicherheitsbezogenen Daten über einen Feldbus
DE102004061013A1 (de) Sichere Eingabe-/Ausgabe-Baugruppe für eine Steuerung
DE102012012047A1 (de) Antriebsregler und Verfahren zur Stillsetzung einer Achse
EP3720791A1 (de) Steuervorrichtung für eine fördervorrichtung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: AGILE ROBOTS AG, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30171 HANNOVER, DE

Owner name: AGILE ROBOTS HANOVER GMBH, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30171 HANNOVER, DE

Owner name: ROBCORE GMBH, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30171 HANNOVER, DE

R082 Change of representative

Representative=s name: HOLZ, CHRISTIAN, DIPL.-ING. DR.-ING., DE

R016 Response to examination communication
R081 Change of applicant/patentee

Owner name: AGILE ROBOTS AG, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30455 HANNOVER, DE

Owner name: AGILE ROBOTS HANOVER GMBH, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30455 HANNOVER, DE

Owner name: ROBCORE GMBH, DE

Free format text: FORMER OWNER: YUANDA ROBOTICS GMBH, 30455 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: AGILE ROBOTS AG, DE

Free format text: FORMER OWNER: ROBCORE GMBH, 30455 HANNOVER, DE

Owner name: AGILE ROBOTS HANOVER GMBH, DE

Free format text: FORMER OWNER: ROBCORE GMBH, 30455 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: AGILE ROBOTS AG, DE

Free format text: FORMER OWNER: AGILE ROBOTS HANOVER GMBH, 81477 MUENCHEN, DE

R082 Change of representative

Representative=s name: KEILITZ HAINES & PARTNER PATENTANWAELTE PARTGM, DE