-
Die Erfindung betrifft ein Verfahren zum Betreiben eines Sicherheitscontrollers gemäß dem Oberbegriff des Anspruchs 1.
-
Zum Schutz von Personen und Maschinen werden in der Automatisierungstechnik zur Überwachung von Anwendungen und Prozessen Sicherheitscontroller - sogenannte Safety-Controller - eingesetzt. Automatisierungstechnik kommt in Arbeitsmaschinen z.B. für die Agrar-, Bau, Bergbau, der Kommunalbranche sowie für das Transportwesen, in der Holz- und Forstwirtschaft, in der Fördertechnik, in Sonderfahrzeugen- und Sonderaufbauten, sowie an Flughäfen, Häfen, Distributions- und Logistikzenten sowie auch in Freizeitparks immer mehr zum Einsatz. Bestanden herkömmliche Sicherheitssysteme zunächst aus mechanischen Lösungen, lassen sich die heutigen Anforderungen im Bereich mobiler und nicht mobiler Maschinen und Anlagen mit rein mechanischen Ansätzen nicht mehr umsetzen. Nicht nur im (Normal-) Betrieb, sondern auch während der Einrichtung, der Inbetriebnahme, bei Änderung, beim Komponententausch oder bei der Wartung. Überall dort, wo Gefahr - für den Menschen (Bediener, Wartungspersonal, Unbeteiligter) wie auch für die Maschine und die Maschinenfunktion - ausgehen kann, werden Sicherheitscontroller zur Steuerung und zur Regelung von Sicherheitsfunktionen einer Maschine, einer Anlage oder eines Prozesses eingesetzt.
-
Eine wesentliche Anforderung ist die Sicherheit. Damit Sicherheitscontroller von Maschinen oder Anlagen sicher arbeiten, müssen sie gewissen Anforderungen entsprechen. Sicherheitssysteme können ein-, zwei- oder mehrkanalig aufgebaut sein. Während einkanalige Systeme in der Regel auf Fehler mit einem Versagen reagieren, können zwei- oder mehrkanalige Systeme sich gegenseitig prüfen und eventuelle Fehler erkennen. Dieses redundante Prinzip - Absicherung durch Mehrfachausführung sowie gegenseitige Kontrolle - gilt insbesondere für sicherheitsgerichtete Prozessoren und/oder PLCs. Dadurch, dass zwei oder mehrere, meist parallel ablaufende Programme sich gegenseitig kontrollieren wird die Ausfallwahrscheinlichkeit von kritischen Vorgängen minimieren.
-
Bei der Ausführung von automatisch ablaufenden Steuerungsvorgängen muss sichergestellt sein, dass vom Safety-Controller, wenn eine Sicherheitsfunktion angefordert wird z.B. wenn eine Funktion ausfällt oder ein Fehler auftritt, keine Gefahr für den Menschen und die Umgebung ausgeht, sowie wichtige Maschinenfunktionen erhalten bleiben. Um die Gefährdung und das Potential einer Gefährdung einstufen zu können, ist es für den Hersteller einer Maschine Vorschrift, eine Gefahrenanalyse im Sinne der Maschinenrichtlinie 2006/42/EG vorzunehmen, um das notwendige Level für die Sicherheitsfunktion zu bestimmen. Zur Beurteilung und Bewertung der Sicherheit von Steuerungen an Maschinen bietet die DIN EN ISO 13849 Hilfestellung.
-
Die
DE 102012012521 A1 beschreibt eine geteilte Steuerung mit einer Safety-PLC und einer Standard-PLC in einem Gerät. Das Dokument zeigt ein Verfahren mit zwei getrennten PLC-Programmen um durch die Trennung Vorteile bei der Ausführung der Sicherheitsfunktion zu erlangen, z.B. wenn im Standard-Code etwas geändert wird. Eine flexible Zuordnung von Ein- und Ausgängen für beide PLCs wird jedoch nicht gezeigt. Insbesondere die Verwendung der Eingänge und der Ausgänge in der Standard-PLC und eine sichere Abschaltung der Gruppe durch die Safety-PLC ist nicht vorgesehen.
-
Die
EP 2353051 A1 beschreibt die Erstellung eines Anwenderprogramms für eine Sicherheitssteuerung bei der eine Vielzahl von Hardware Komponenten und Software Komponenten in der Sicherheitssteuerung verknüpft werden können. Es ist eine Kapselung der Hardware Komponenten durch vordefinierte Software-Komponenten beschrieben, die untereinander verknüpft werden können. Die Schrift zeigt zwar die erleichtere Programmierung und Verknüpfung, lässt aber außer Acht, dass viele der Aufgaben keine Safe Funktion erfüllen und daher gar nicht im sichern Software-Programm der Steuerung realisiert werden. Weiterhin wird bei dieser Herangehensweise ein sehr hoher Zertifizierungsanteil gesehen.
-
Weiter aus dem Stand der Technik bekannt sind Non-Safe-Controller mit Safety Relais. Non-Safe-Controller sind nicht programmierbar. Prinzipiell können zwar mit zwei Not-Aus-Schaltern Sicherheitsfunktionen realisiert werden, aufgrund der Verdrahtung ist diese Art jedoch aufwändig, platzintensiv (es wird ein Schaltschrank benötigt) und mit hohem Energieverbrauch (jeder Schalter muss versorgt werden) verbunden.
-
Eine andere Möglichkeit ist alles in eine Safety-Steuerung (in eine sicherheitsgerichtete PLC) zu integrieren. Für den Anwender bedeutet dieser Schritt allerdings in erster Linie immer ein hoher individueller Zertifizierungsaufwand, komplexe Algorithmen und eine aufwändige Regeltechnik.
-
Der Anwender möchte z.B. mehrere Not-Aus-Schalter, bzw. ein Lichtgitter oder eine 2-Hand-Bedienung mit komplexeren Algorithmen in ein System integrieren. Mit der herkömmlichen Methode ist die Programmierung einer Safety-Steuerung mit einem hohen zeitlichen Aufwand verbunden. Insbesondere bei Änderungen, z.B. bei einer Erweiterung der Anlage durch einen weiteren Prozess mit weiteren sicherheitsrelevanten Bauteilen, oder bei Austausch bzw. bei Erneuerung von Bauteilen, muss dieser Aufwand erneut betrieben werden.
-
Aufgabe der Erfindung ist es, die oben genannten Nachteile zu überwinden und dem Anwender ein Verfahren zum Betreiben eines Sicherheitscontrollers anzugeben, mit dem eine extrem einfache und sichere Safety-Steuerung für mobile wie auch für nicht mobile Maschinen und Anlagen aufgebaut werden kann. Die Safety-Steuerung kann dabei als Modul entweder in eine bereits vorhandene oder in eine neue Struktur integriert werden. Durch einfaches verknüpfen und gruppieren von Ein- und Ausgängen wird die Komplexität und der Aufwand für eine Safety-Programmierung auf ein Minimum reduziert.
-
Gelöst wird diese Aufgabe durch die im Anspruch 1 angegebenen Merkmale. Vorteilhafte Weiterentwicklungen der Erfindung sind in den Unteransprüchen angegeben.
-
Nachfolgend wird die Erfindung anhand von Ausführungsbeispielen unter Bezugnahme auf die Zeichnungen näher erläutert.
-
Bei der nachfolgenden Beschreibung der bevorzugten Ausführungsformen bezeichnen gleiche Bezugszeichen gleiche oder vergleichbare Komponenten.
-
Es zeigen:
- 1a exemplarisch einen Sicherheitcontroller 1 (Safety-Controller, ecomatController) wie sie die Anmelderin herstellt und vertreibt, CR710S, CR711S.
- 1b exemplarisch den Sicherheitscontroller 1 aus 1a in isometrischer Ansicht.
- 2 die Sicherheitssteuerung 1 aus 1 a als technische Zeichnung mit Maßangaben, sowie eine weitere Produkt-Variante mit mehr Anschlussmöglichkeiten, CR720S, CR721S.
- 3 zeigt ein schematisches Blockschaltbild, welches ein erfindungsgemäßes Verfahren zum Betreiben eines Sicherheitscontrollers 1 zeigt.
-
1a zeigt einen Sicherheitscontroller 1 - einen sogenannten Safety-Controller - mit der Produktbezeichnung ecomatController, wie sie die Anmelderin herstellt und vertreibt. Der gezeigte Safety-Controller 1 des Typs CR710S bzw. des Typs CR711S besitzt zwei unabhängig voneinander arbeitende PLCs (programmable logic controller). Eine davon ist als Safety-Steuerung (SIL2/PLd) für sicherheitsrelevante Applikationen ausgelegt und unterstützt mit CAN-open-Safety eine sichere Kommunikation. Die andere PLC-Steuerung ist eine Standard-PLC-Steuerung für Standard-Applikationen. Für Sicherheitsfunktionen gilt das Prinzip: energieloser Zustand = sicherer Zustand. Sensoren und Aktoren können entweder 1-kanalig oder 2-kanalig angeschlossen und sicher verwendet werden.
-
1b zeigt den Sicherheitscontroller 1 aus 1a in isometrisch räumlicher Darstellung.
-
2 zeigt die Sicherheitssteuerung 1 aus 1a als technische Zeichnung mit Maßangaben in Millimeter, sowie eine weitere Variante mit mehr Anschlussmöglichkeiten des Typs CR720S bzw. CR721S. Technisch sind die zwei gezeigten Sicherheitscontroller 1 identisch aufgebaut. Beide beinhalten zwei unabhängig voneinander arbeitende PLCs, eine davon ist als Safety-Controller ausgeführt, die andere als Standard-PLC. Beide Steuerungen besitzen frei konfektionierbare Ein- und Ausgänge (Safe- und Standard-Eingänge, sowie Safe- und Standard Ausgänge), so dass eine Zuordnung für Standard- und Sicherheitsfunktionen erfolgen kann. Safe- und Non-Safe-Controller (Standard-PLC-Steuerung) können miteinander kommunizieren. Alle Eingänge E1-En und Ausgänge A1-Am bzw. B1-Bmsind bei Bedarf auch als sichere Kanäle konfigurierbar.
-
3 zeigt ein schematisches Blockschaltbild, welches ein erfindungsgemäßes Verfahren zum Betreiben eines Sicherheitscontrollers 1, beispielsweise eines Safety-Controllers wie in 1a dargestellt, zeigt. Weiterhin ist das Verfahren für alle Safety-Controller dieser Art geeignet, und nicht auf die in 1a gezeigte Ausführung beschränkt. Daher kann das Verfahren beispielsweise auch auf die als BasicController bezeichnete Kleinsteuerung, wie sie von der Anmelderin hergestellt und vertrieben wird, angewandt werden. Der Safety-Controller 1 umfasst zwei PLC-Steuerungen, eine Standard-PLC-Steuerung für Standardfunktionen und eine Safety-PLC-Steuerung für sicherheitsrelevante Funktionen. Auf beiden Steuerungen laufen Programme ab. Auf der Standard-PLC-Steuerung läuft ein Standard-PLC-Programm 20; auf der Safety-PLC-Steuerung läuft ein Safety-PLC-Programm 10. Über die Eingangs- bzw. Ausgangs-Konfiguration 30 können die vorhandenen Eingänge sowie die vorhandenen Ausgänge den beiden PLC-Programmen eindeutig zugewiesen werden. Die dem Safety-PLC-Programm 10 zugeordneten Eingänge können über das Safety-PLC-Programm 10 mit einer entsprechenden Ausgangsgruppe (Gn, G1-Gn+1) zu einer Sicherheitsfunktion verknüpft und über das IO-System 40 angesteuert werden. Genauso können die dem Standard-PLC-Programm 20 zugeordneten Eingänge über das Standard-PLC-Programm 20 mit einer entsprechenden Ausgangsgruppe Gn, G1-Gn+1 oder Ausgang A1-Am zu einem nicht Safety-Ausgang verknüpft werden. Um das Blockschaltbild übersichtlich zu halten, zeigt 3 nur eine Safety-Ausgangsgruppe G1. Selbstverständlich kann es analog zu den Safe-Eingängen (hier E1-E2) und zu den Standard-Eingängen (hier E3-En) entsprechend weitere Safety- wie auch Standard-Ausgänge (hier A1-Am) bzw. Ausgangsgruppen Gn geben. Weitere nicht dargestellte n-fache Safety- wie auch Standard-Ausgangsgruppen Gn+1 sind hier zum Zwecke der Vereinfachung nicht explizit gezeigt. Für die Ausgänge wird nur die Ausgangsgruppe G1 dem Safety-PLC-Programm 10 zugeordnet. Die restlichen Ausgänge bzw. Ausgangsgruppen Gn+1 können dem Standard-PLC-Programm zugeordnet werden.
-
Bei Anforderung der Sicherheitsfunktion über das Safety-PLC-Programm 10 werden der Gruppenschalter GS1 sowie die entsprechenden Halbleiterausgänge A1-Am synchron durch das sichere IO-System 40 abgeschaltet. Dies geschieht unabhängig von der Ansteuerung der Ausgänge A1-Am über die Standard-PLC. Wird die Sicherheitsfunktion über das Safety-PLC-Programm 10 angefordert, schalten alle Ausgänge der jeweiligen Ausgangsgruppe (Gn, G1-Gn+1) sicher ab, da jeweils die beiden Schalter - Gruppenschalter GS1 und Halbleiterausgang A1-Am - in Reihe synchron abgeschaltet werden. Das sichere IO-System 40 gibt der Abschaltung eine höhere Priorität gegenüber der Standard-PLC.
-
Die Ausgänge der Ausgangsgruppe Gn, G1-Gn+1 können über die Standard-PLC individuell angesteuert werden, sofern das Safety-PLC-Programm 10 die Ausgangsgruppe Gn, G1-Gn+1 frei gegeben hat. An den Ausgängen A1-Am können beliebige Sicherheitsfunktionen der Gesamtapplikation (Bagger, Kran, Drehleiter etc.) bis SIL2 / PLd realisiert werden, deren sicherer Zustand der energielose Zustand ist.
-
Nachfolgend werden die Funktion der Erfindung sowie weitere Ausführungsformen näher erläutert.
-
Es wird ein Verfahren zum Betreiben eines Sicherheitscontrollers 1 mit mehreren Eingängen E1-En für z.B. Schalter, Sensoren, Bus etc. und mehreren Ausgangsgruppen Gn angegeben, denen jeweils mehrere abschaltbare Ausgänge A1-Am zugeordnet sind. Der Sicherheitscontroller 1 (Safety-Controller) verfügt dabei über zwei Steuerungen, eine erste Safety-PLC und eine zweite Standard-PLC, mit jeweils einem ersten Safety-PLC-Programm 10 wobei ein zweites Standard-PLC-Programm 20 auf der zweiten Standard-PLC parallel ausgeführt wird.
-
In einer weiteren Ausführungsform sind die Eingänge E1-En bei der IO-Konfiguration 30 den beiden PLC-Programmen 10, 20 eindeutig kundenspezifisch zuordenbar, wobei die dem Safety-PLC-Programm 10 zugeordneten Eingänge sicherheitsgerichtet und die verbleibenden dem Standard-PLC-Programm 20 zugeordneten Eingänge nicht sicherheitsgerichtet sind, wobei ein IO-System 40 vorgesehen ist, das von den beiden PLC-Programmen 10, 20 angesteuert wird.
-
In einer weiteren Ausführungsform weisen die Ausgangsgruppen Gn Gruppenschalter GSn auf, die bei der Konfiguration den beiden PLC-Programmen 10, 20 eindeutig kundenspezifisch zuordenbar sind, wobei das Safety-PLC-Programm 10 bei einer Anforderung der Sicherheitsfunktion das IO-System 40 auffordert, die entsprechende Ausgangsgruppe Gn abzuschalten und das IO-System 40 diese Aufforderung unbedingt ausführt und dabei den Gruppenschalter GSn und die dem Gruppenschalter GSn zugeordneten Ausgänge A1-Am, B1-Bm synchron abschaltet.
-
Das hat den Vorteil, dass komplexe Programmieraufgaben im Standard-PLC-Programm 20 realisiert werden können und dort die Ausgänge A1-Am angesteuert werden können. Der entscheidende Vorteil gegenüber herkömmlichen Systemen ist, dass die Outputs, die Ausgänge A1-Am bzw. weitere, wie z.B. B1-Bm in der Standard-PLC verwendet werden können, ohne einen erhöhten Aufwand für Programmierung, Zertifizierung und Qualifizierung zu haben. Weitere Vorteile sind, dass insbesondere auf externe Sicherheitsrelais komplett verzichtet werden kann. Das reduziert die Komplexität und den Arbeitsaufwand drastisch. Der Zertifizierungsaufwand des Safety-PLC-reduziert sich auf ein Minimum, da nur die jeweils notwendigen Eingänge und nur die jeweilige Ausgangsgruppe in dem Safety-PLC-Programm programmiert werden müssen.
-
Bezugszeichenliste
-
- 1
- Sicherheitscontroller, Safety Controller (ecomatController), Sicherheitssteuerung
- 10
- Safety-PLC-Programm
- 20
- Standard-PLC-Programm
- 30
- IO-Konfiguration (kundenspezifisch), Eingangs-/Ausgangs-Konfiguration
- 40
- IO-System
- E1
- Eingang 1
- E2
- Eingang 2
- E3
- Eingang 3
- En
- Eingang n
- A1
- Ausgang A1, Halbleiterausgang A1
- Am
- Ausgang Am, Halbleiterausgang Am
- Gn
- Ausgangsgruppe Gn
- G1
- Ausgangsgruppe G1
- Gn+1
- Ausgangsgruppe Gn+1
- GSn
- Gruppenschalter GSn
- GS1
- Gruppenschalter GS1
- GSn+1
- Gruppenschalter GSn+1
- LEDs
- LED-Anzeige, Anzeigeelemente (Status-, Ethernet-, Application-LED)
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102012012521 A1 [0005]
- EP 2353051 A1 [0006]
-
Zitierte Nicht-Patentliteratur
-