DE102022115488A1 - Steuerungssystem mit betriebssicherer Eingabe - Google Patents

Steuerungssystem mit betriebssicherer Eingabe Download PDF

Info

Publication number
DE102022115488A1
DE102022115488A1 DE102022115488.2A DE102022115488A DE102022115488A1 DE 102022115488 A1 DE102022115488 A1 DE 102022115488A1 DE 102022115488 A DE102022115488 A DE 102022115488A DE 102022115488 A1 DE102022115488 A1 DE 102022115488A1
Authority
DE
Germany
Prior art keywords
symbol
safe
hmi
safety
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022115488.2A
Other languages
English (en)
Inventor
Thomas Ewald
Peter Gehring
Andreas Buening
Benjamin Maier
Yauheni Veryha
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Schweiz AG
Original Assignee
ABB Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Schweiz AG filed Critical ABB Schweiz AG
Publication of DE102022115488A1 publication Critical patent/DE102022115488A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/4155Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by programme execution, i.e. part programme or machine function execution, e.g. selection of a programme
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36133MMI, HMI: man machine interface, communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

Die Erfindung betrifft ein Steuerungssystem mit einer betriebssicheren Mensch-maschine-Schnittstelle. Das Steuerungssystem (10) weist auf:ein Anzeigegerät (20) zur Anzeige mindestens eines Symbols (60);ein optisches Eingabegerät (30), eingerichtet zur Erfassung, von dem Anzeigegerät (20), mindestens eines Teils des Symbols (60);ein redundantes Kommunikationssystem (40), eingerichtet zum Versenden des Symbols (60); undein Steuergerät (50), eingerichtet zumSenden des Symbols (60) und einer Prüfsequenz (70) an das Anzeigegerät (20),Empfangen des Symbols (60) und der Prüfsequenz (70) von dem Anzeigegerät (20),Prüfen mindestens der Prüfsequenz (70), und,wenn die Prüfsequenz (70) korrekt empfangen ist, Generieren einer redundanten Kodierung des Symbols (60) und Versenden des redundant kodierten Symbols (60) über ein redundantes Netzwerk (45).

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft ein Steuerungssystem mit einer betriebssicheren Mensch-maschine-Schnittstelle (safe Human Machine Interface, safe HMI), insbesondere mit einer betriebssicheren Eingabe, insbesondere für Steuerungssysteme der funktionalen Sicherheit in der Fabrik- und Prozessautomatisierung, und weiterhin auf eine Verwendung.
  • Hintergrund
  • Steuerungssysteme dienen zum Steuern von Prozessen und/oder Anlagenkomponenten, beispielsweise dazu, um eine Maschine zu steuern. Steuerungssysteme umfassen wenigstens ein Steuergerät und wenigstens eine Mensch-Maschine-Schnittstelle (Human-Machine-Interface, HMI). Für zumindest einige Typen von Maschinen, Prozessen oder Anlagenkomponenten kann ein Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen und/oder Anlagenkomponenten erforderlich sein. Steuergeräte zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen und/oder Anlagenkomponenten sind bekannt. Beispielsweise zeigt die EP 2 504 739 B1 ein solches Steuergerät zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen und/oder Anlagenkomponenten. Für zumindest einige Typen von Maschinen, Prozessen oder Anlagenkomponenten kann weiterhin eine betriebssichere Mensch-Maschine-Schnittstelle (safe Human Machine Interface, safe HMI), insbesondere eine betriebssichere Eingabe, nützlich und/oder erforderlich sein.
  • Zusammenfassung
  • Es ist Aufgabe der Erfindung, ein Steuerungssystem zum Steuern von Prozessen und/oder Anlagenkomponenten mit betriebssicherer Mensch-maschine-Schnittstelle (safe Human Machine Interface, safe HMI), insbesondere betriebssicherer Eingabe, zur Verfügung zu stellen. Insbesondere ist es eine Aufgabe der Erfindung, ein Steuerungssystem zum Steuern von sicherheitskritischen und nichtsicherheitskritischen Prozessen und/oder Anlagenkomponenten mit betriebssicherer Mensch-maschine-Schnittstelle (safe Human Machine Interface, safe HMI), insbesondere betriebssicherer Eingabe, zur Verfügung zu stellen. Diese Aufgabe wird durch den Gegenstand der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen und der folgenden Beschreibung.
  • Ein Aspekt betrifft ein Steuerungssystem, das zu einer betriebssicheren (fail-safe) Eingabe, Visualisierung und/oder Kommunikation zur Steuerung einer Maschine eingerichtet ist. Das Steuerungssystem umfasst eine Mensch-Maschine-Schnittstelle (HMI). Die HMI weist ein Anzeigegerät zur Anzeige mindestens eines Symbols auf; das Symbol, welches von dem Anzeigegerät dargestellt oder angezeigt wird, kann z.B. Buchstaben, Zahlen, Graphiken, Buttons, usw. umfassen. Weiterhin weist die HMI ein optisches Eingabegerät auf, eingerichtet zur Erfassung, von dem Anzeigegerät, mindestens eines Teils des Symbols. Ferner weist das Steuerungssystem ein redundantes Kommunikationssystem auf, eingerichtet zum Versenden des Symbols; ferner weist das Steuerungssystem ein Steuergerät auf. Das Steuergerät ist eingerichtet zum Steuern von Prozessen und/oder Anlagenkomponenten, und zum Senden des Symbols und einer Prüfsequenz an die HMI, insbesondere das Anzeigegerät, zum Empfangen des Symbols und der Prüfsequenz von der HMI, dem Anzeigegerät, Prüfen mindestens der Prüfsequenz, und, wenn die Prüfsequenz korrekt empfangen ist, Generieren einer redundanten Kodierung des Symbols und Versenden des redundant kodierten Symbols über ein redundantes Netzwerk.
  • Alternativ oder zusätzlich umfasst das Steuerungssystem mit sicherer HMI ein Steuergerät, welches eine erste, nicht sicherheitsrelevante Steuereinheit zur Steuerung nicht sicherheitsrelevanter Prozesse mit oder ohne Feldbusanschluss aufweist, kein oder mindestens ein Kommunikationsmodul mit einem Feldbusanschluss, sowie eine zweite, sicherheitsrelevante Steuereinheit zur Steuerung sicherheitsrelevanter Prozesse (Sicherheitssteuerung mit sicherer Kommunikation, als separates Modul oder als Teil einer nicht sicherheitsgerichteten Steuerung), einen internen Eingangs-/Ausgangsbus für den Anschluss von Eingangs-/ Ausgangsmodulen (sichere und nicht-sichere Module), einen internen Kopplerbus zur Verbindung von Kommunikationsmodulen und anderen Modulen wie Sicherheitssteuerung mit sicherer Kommunikation, mindestens eine sichere HMI, und/oder keine oder mindestens eine Standard-HMI.
  • Dabei unterstützt die sichere HMI (Human Machine Interface, Mensch-Maschine-Schnittstelle) die sichere Kommunikation und kann dazu eingerichtet sein, verschiedene grafische Objekte sicher zu visualisieren und die Statusinformationen dieser Objekte an die Sicherheitssteuerung des Steuerungssystems unter Verwendung der sicheren Kommunikation über einen Feldbus zu liefern. Darüber hinaus können sichere Befehle, z.B. über den Touchscreen und zugehörige grafische Elemente, von der sicheren HMI sicher überwacht werden. Die ausgewählten Befehle, die über den Touchscreen oder andere Mittel ausgelöst werden, können über die sichere Kommunikation sicher an die Sicherheitssteuerung übertragen werden. Die grafische Darstellung auf dem Bildschirm der sicheren Mensch-Maschine-Schnittstelle, die den Bedienern angezeigt werden muss, kann vom Steuerungssystem in ähnlicher Weise bereitgestellt werden, wie dies bei nicht sicheren Mensch-Maschine-Schnittstellen der Fall ist, z.B. durch Ethernet-basierte Kommunikation über den Feldbus. Die sichere Mensch-Maschine-Schnittstelle ist in der Lage, den visualisierten grafischen Inhalt, der den Bedienern angezeigt werden soll, mit ihren internen Mitteln sicher zu überwachen, z.B. durch eine sichere, vorab gespeicherte grafische Objektdarstellung im Flash-Speicher der sicheren Mensch-Maschine-Schnittstelle.
  • Ein Aspekt betrifft eine Verwendung eines Steuerungssystems wie oben und/oder nachfolgend beschrieben zur sicheren Auswahl einer Maschine oder Station, zur sicheren Parameteränderung der Maschine oder Station, zum Senden von sicheren Steuerbefehlen, insbesondere zur Aktivierung von Sicherheitsfunktionen, und/oder zur sicheren Visualisierung von eingeschränkten Sicherheitsbereichen.
  • Die Erfindung beschreibt eine sichere HMI, insbesondere ein funktionales Sicherheits-HMI für ein Steuerungssystem. Eine sichere Mensch-Maschine-Schnittstelle (HMI) ist z.B. ein Bedienfeld mit einem Touchscreen, ein beliebiges Bedienfeld oder ein HMI-Gerät, wie ein Mobiltelefon, PC, usw., das in der Lage ist, Anforderungen an die funktionale Sicherheit gemäß den einschlägigen Normen für die funktionale Sicherheit zu erfüllen, indem es geeignete sicherheitsbezogene Grundsätze anwendet, wie z.B. eine interne 1oo2-Architektur (1oo2: 1 out of 2), interne Speicher- und Mikroprozessortests, usw. Die sichere Mensch-Maschine-Schnittstelle kann mindestens drei Schlüsselfunktionen umfassen; andere Funktionen der Mensch-Maschine-Schnittstelle, wie z.B. eine Visualisierung nicht-sicherer Daten und/oder eine Auswahl nicht-sicherer Daten können auf solchen Mensch-Maschine-Schnittstellen ebenfalls verfügbar sein, beispielsweise mittels einer ausfallsicheren Dateneingabe über Eingabemittel des HMI, z.B. Touchscreen, Drucktasten usw., und/oder eine ausfallsichere Datenvisualisierung mit Visualisierungsmitteln des HMI, z.B. LED-Anzeige, etc.; und/oder eine sichere Kommunikation mit einem Kontrollsystem.
  • Die sichere HMI kann über einen Feldbus mit dem Steuerungssystem verbunden sein, und kann seinerseits nicht-sichere und sichere Steuerungsteile, sowohl als modulare als auch als kompakte Lösung, und/oder Kommunikationsmittel - z.B. separat mit einem speziellen Kommunikationsmodul oder auf der nicht-sicheren Steuerung - umfassen. Zentrale und dezentrale Sicherheits- und Nicht-Sicherheits-E/As (Ein-/ Ausgaben) können sowohl als modulare als auch als kompakte Lösung, z.B. on-board von Nicht-Sicherheits- und/oder Sicherheits-Steuerungen, verwendet werden. Der Feldbus, der für den Anschluss der sicheren HMI an das Steuerungssystem verwendet wird, kann nicht nur für die Standard-, sondern auch für die sichere Kommunikation verwendet werden, z.B. zertifiziert nach den Normen der funktionalen Sicherheit IEC 61784-3 und/oder weiteren Normen. Sicherheitsprofile wie PROFIsafe, openSAFETY und/oder FSoE (Functional Safety over EtherCAT), etc. können auf solchen Feldbussen nach dem Prinzip des „Schwarzen Kanals“ oder „Black-Channel“-Prinzip eingesetzt werden. Mit Hilfe der sicheren Kommunikation zwischen der sicheren HMI und der Sicherheitssteuerung im Steuerungssystem kann der Status von Bedienelementen der grafischen Benutzeroberfläche, wie Drucktasten, Wahlschalter usw., die auf dem Bildschirm der sicheren HMI visualisiert werden, sicher auf der Sicherheitssteuerung gelesen werden. Dies kann erforderlich sein, um z.B. Benutzeraktionen, sicherheitsrelevante Ereignisse usw. sicher zu überwachen. Darüber hinaus kann über eine sichere Kommunikation zwischen der sicheren HMI und der Sicherheitssteuerung im Steuerungssystem der Status von Visualisierungselementen auf der sicheren HMI ausgelesen werden, z.B. um sicher entscheiden zu können, ob dem Endbenutzer derzeit das richtige grafische Element angezeigt wird oder nicht, beispielsweise korrekte Werte von Geschwindigkeits- oder Positionswerten, ein aktivierter Maschinenmodus, ein ausgewählter Offset-Wert, usw.
  • Folgenden beispielhafte Maschinen- oder Prozesssicherheitsfunktionen können mit einer betriebssicheren Eingabe (safe HMI) realisiert werden:
    • • Sichere Auswahl von Maschinen oder Stationen für die Fernsteuerung
    • • Sichere Parameteränderung, wie z.B. Seilversatz oder sicher begrenzte Geschwindigkeitswerte, etc.
    • • Sichere Steuerbefehle zur Aktivierung von Sicherheitsfunktionen wie sicher begrenzte Geschwindigkeit usw.
    • • Sichere Visualisierung von eingeschränkten Sicherheitsbereichen für mobile Plattformen, Kräne usw.
  • Beispielsweise können folgende Prinzipien und Methoden verwendet werden, um eine sichere Visualisierung auf der sicheren HMI zu realisieren und die Anforderungen von Normen für funktionale Sicherheit zu erfüllen:
    • • Verwendung einer sicheren Kamera zur Überwachung eines sichtbaren grafischen Inhalts auf der sicheren HMI. Wenn der sichtbare grafische Inhalt nicht dem erwarteten Inhalt entspricht, kann eine Sicherheitsreaktion für die sichere HMI ausgelöst werden.
    • • Verwendung der Visualisierung mit polarisierten Bildschirmen, z.B. zwei oder mehr Bildschirme. Nur wenn zwei oder mehr polarisierte Bildschirme korrekt visualisiert werden, ist der endgültige visuelle Inhalt für die Bediener richtig sichtbar und kann für Zwecke der funktionalen Sicherheit verwendet werden.
    • • Verwendung dynamischer Muster auf sicheren HMI-Bildschirmen für grafische Objekte, um statische Objekte mit eingeschränkten Diagnosemöglichkeiten zu vermeiden.
    • • Verwendung eines Testbildmodus für sichere HMIs in regelmäßigen Abständen, z.B. zur Visualisierung regelmäßiger Testbilder für Endbenutzer als Diagnosemaßnahme.
    • • Verwendung von zwei oder mehr HMI-Bildschirmen als separate Objekte oder als ein aggregiertes sicheres HMI-Objekt zur Visualisierung von Informationen zur funktionalen Sicherheit. Die Bediener müssen die Informationen von der sicheren HMI als Zusammensetzung von den zwei oder mehr Bildschirmen lesen.
  • Folgenden Prinzipien und Methoden können beispielsweise verwendet werden, um sichere Eingaben von der sicheren HMI zu realisieren und die Anforderungen von Normen für funktionale Sicherheit zu erfüllen:
    • • Verwendung eines elektronischen Stifts mit z.B. Lichtsensor und Rückmeldung von der sicheren HMI-Oberfläche.
    • • Verwendung eines licht-, laser- oder ultraschallbasierten Gitters, das vor der sicheren HMI-Oberfläche platziert wird, um Berührungsereignisse des Benutzers sicher zu erkennen.
    • • Verwendung eines ungeschützten menschlichen Fingers, oder eines Fingers, an dem elektronische Komponenten angeordnet sind, z.B. unter Verwendung von speziellen Handschuhen und darin eingebauten Komponenten, um Berührungsereignisse des Benutzers auf dem sicheren HMI-Bildschirm sicher zu erkennen.
    • • Verwendung von optischen Sicherheitskameras, die in der Nähe der sicheren HMI-Oberfläche angebracht sind, um Berührungsereignisse zu erkennen. So könnten beispielsweise kleine 2D-Codes (zweidimensionale Codes) auf dem Bildschirm der sicheren Mensch-Maschine-Schnittstelle angezeigt werden, und ihre Abdeckung durch menschliche Finger oder andere zusätzliche Objekte kann mit Hilfe der optischen Sicherheitskameras überwacht werden.
    • • Verwendung von Sicherheits-Touch-Overlays (Berührungsereignisse auf Sicherheits-Overlays werden von Steuerungen für funktionale Sicherheit überwacht) auf der HMI zur Realisierung von Funktionen der funktionalen Sicherheit. Die Touch-Overlays können dabei alle bekannten Technologien verwenden, wie z.B. temperaturbasiert oder druckbasiert, usw.
    • • Verwendung dynamischer Elemente, die auf der sicheren HMI visualisiert werden, z.B. grafische Objekte, die Multi-Touch-Aktivitäten der Bediener erfordern, um Sicherheitsfunktionen auszulösen, usw.
    • • Kombination von Berührungsereignissen und akustischen Signalen mit weiteren 1oo2 Auswertungen unter Verwendung von Berührungsereignissen und akustischen Signalen, usw.
    • • Nutzung der „virtuellen“ Gestensteuerung mit Virtual-Reality-Ausrüstungen und sichere Überwachung von Bedieneraktivitäten oder Nutzung der sicheren Augenverfolgung zur Auslösung von Sicherheitsfunktionen.
    • • Verwendung einer optischen Tastatur zur sicheren Überwachung von Berührungsereignissen für sichere HMI anstelle von Berührungsereignissen auf der sicheren HMI selbst.
    • • Verwendung einer sicheren HMI mit zwei oder mehr Betriebssystemen, die gleichzeitig auf der sicheren HMI laufen, z.B. unter Verwendung des Prinzips der Hardwarevirtualisierung, und sichere Überwachung von Berührungsereignissen unter Verwendung einer 1 oo2-Struktur mit zwei verschiedenen Betriebssystemen.
    • • Verwendung von zwei oder mehr HMI-Bildschirmen als separate Objekte oder als ein aggregiertes sicheres HMI-Objekt zur Auslösung von Ereignissen der funktionalen Sicherheit. Es kann vorgesehen sein, dass Bediener mehr als einen Touchscreen berühren müssen, um Sicherheitsfunktionen auszulösen.
    • • Verwendung spezieller hardwarebasierter Geräte wie Quittierungstasten, Schalter usw. zur sicheren Bestätigung von Sicherheitsaktionen auf der sicheren HMI.
  • Dies kann vorteilhafterweise zu einer Verringerung der Kontrollkosten beitragen. Weiterhin können auf dem Bedienfeld mehr Bedien- und Visualisierungselemente untergebracht werden als auf hardwarebasierten Bedienfeldern, um die Sicherheit der Anwendung insgesamt zu erhöhen. Darüber hinaus bietet diese Lösung eine einfache Aktualisierung des Layouts des sicheren HMI-Bildschirms.
  • Figurenliste
  • Dabei zeigt:
    • 1 schematisch ein Steuerungssystem gemäß einer Ausführungsform;
    • 2 schematisch ein Steuerungssystem gemäß einer weiteren Ausführungsform.
  • Detaillierte Beschreibung der Ausführungsformen
  • 1 zeigt schematisch ein Steuerungssystem 10-1, umfassend mindestens eine sichere HMI 20-1, die über einen Feldbus mit einem Steuergerät 50-1 verbunden ist; der Feldbus kann auch für die sichere Kommunikation verwendet werden, z.B. unter Verwendung eines Sicherheitsprofils nach dem „Black-Channel“-Prinzip (z.B. unter Verwendung von PROFIsafe) auf dem jeweiligen Feldbus. Eine nicht-sichere Standard-Bedieneinheit 20-2 kann auch in dem Steuerungssystem 10-1 vorhanden und über den Feldbus angeschlossen sein. Das Steuergerät 50-1 umfasst ein nicht-sichere Steuereinheit 51 und eine sichere Steuereinheit 52. Die nicht-sichere Steuereinheit 51 ist für die Steuerung eines nicht-sicherheitskritischen Prozesses oder nicht-sicherheitskritischer Anlagenkomponenten vorgesehen und führt die nicht-sichere Programmlogik aus. Die sichere Steuereinheit 52 ist für die Steuerung eines sicherheitskritischen Prozesses oder sicherheitskritischer Anlagenkomponenten vorgesehen und führt die sichere Programmlogik aus und kann über sichere Kommunikationsfunktionen verfügen. Ein Austausch von Programmen und/oder Daten zwischen der sicheren Steuereinheit 52 und der nicht-sicheren Steuereinheit 51 kann durch eine vordefinierte Schnittstelle unterstützt werden, z.B. durch ein Dual-Port-RAM (Random Access Memory). Die Nicht-sichere Steuereinheit 51 kann dazu eingerichtet sein, Sicherheitstelegramme von der sicheren Steuereinheit 52 mit sicherer Kommunikation, z.B. über einen internen Kopplerbus und einen internen Ein-/Ausgangsbus an Kommunikationsmodule, sofern diese im gegebenen Systemaufbau angeschlossen sind, bzw. an Sicherheits-Ein-/ Ausgangsmodule unter Verwendung des „Schwarzkanal“-Kommunikationsprinzips weiterzuleiten (siehe z.B. PROFI safe). Die sichere HMI unterstützt die sichere Kommunikation und kann dazu eingerichtet sein, verschiedene grafische Objekte sicher zu visualisieren und die Statusinformationen dieser Objekte an das Steuergerät 50-1, und hier insbesondere an die sichere Steuereinheit 52 (Sicherheitssteuerung des Steuerungssystems) unter Verwendung der sicheren Kommunikation über den Feldbus zu liefern. Darüber hinaus können sichere Befehle, z.B. über den Touchscreen und zugehörige grafische Elemente, von der sicheren HMI sicher überwacht werden. Die über den Touchscreen ausgewählten Befehle können über die sichere Kommunikation sicher an das Steuergerät 50-1, und hier insbesondere an die sichere Steuereinheit 52 (Sicherheitssteuerung des Steuerungssystems) übertragen werden. Die grafische Darstellung auf dem Bildschirm der sicheren Mensch-Maschine-Schnittstelle, die den Bedienern angezeigt werden muss, kann im Steuerungssystem in ähnlicher Weise bereitgestellt werden, wie dies bei nicht-sicheren Mensch-Maschine-Schnittstellen der Fall ist, z.B. durch Ethernet-basierte Kommunikation über den Feldbus. Die sichere Mensch-Maschine-Schnittstelle kann dazu eingerichtet sein, den visualisierten grafischen Inhalt, der den Bedienern angezeigt werden soll, mit ihren internen Mitteln sicher zu überwachen, z.B. durch eine sichere, vorab gespeicherte grafische Objektdarstellung im Flash-Speicher der sicheren Mensch-Maschine-Schnittstelle.
  • 2 zeigt schematisch ein Steuerungssystem 10 gemäß einer weiteren Ausführungsform. Das Steuerungssystem 10 weist ein Anzeigegerät 20 auf, zur Anzeige mindestens eines Symbols 60. Das Symbol 60 kann dabei ein Text, ein (z.B. graphisches) Symbol, ein „Button“ (z.B. „OK“) und/oder ein anderes dargestelltes Zeichen sein. Das Steuerungssystem 10 weist weiterhin ein optisches Eingabegerät 30 auf, das als ein elektronischer Stift dargestellt ist. Das optische Eingabegerät 30 ist eingerichtet zur Erfassung mindestens eines Teils des Symbols 60, das von oder auf dem Anzeigegerät 20 dargestellt wird. Beispielsweise kann, z.B. als Teil des Symbols 60 und/oder an einer anderen Stelle, auf dem Anzeigegerät 20 eine Prüfsequenz 70 dargestellt werden. Die Prüfsequenz 70 kann mindestens einen Pixel 75 umfassen. Der (oder die) Pixel 75 kann dabei, wenn er mit der Prüfsequenz 70 beaufschlagt wird, nicht-zyklisch blinken. Beispiel für eine nicht-zyklische Prüfsequenz kann z.B. eine Sequenz < 1011, Pause, 1100, ... > sein. Dabei kann „nicht-zyklisch“ bedeuten, dass ein Zyklus eine Mindestlänge von 10, 100, 1000 oder mehr Sequenzen aufweist. Die Länge der Prüfsequenz zwischen den Pausen kann z.B. 4, 8, 16 Bit oder eine andere Länge betragen. Die Pausen können z.B. 10, 100, 1000 ms, mehrere Sekunden oder Minuten betragen.
  • Das Steuerungssystem 10 weist ferner ein weiteres Eingabegerät 32 auf, z.B. eine Tastatur. Das weitere Eingabegerät 32 ist redundant mit einem Steuergerät 50 verbunden. Das Steuergerät 50 weist ein redundantes internes Kommunikationssystem 42 auf. Dies kann beispielsweise ein interner Kopplerbus sein, z.B. zur Verbindung von Kommunikationsmodulen und anderen Modulen wie Sicherheitssteuerung mit sicherer Kommunikation. Darüber hinaus weist das Steuergerät 50 einen Speicher 55 auf. Ein Teil des Speicher 55 kann eine Binärdarstellung einer oder mehrerer irrationalen Konstante(n) umfassen, z.B. eine Binärdarstellung von π, e, und/oder weiteren Konstanten, die z.B. als Basis zur Erzeugung der Prüfsequenz 70 verwendet werden kann.
  • Das Steuergerät 50 steuert das Anzeigegerät 20 über ein Interface 25, das den Inhalt der Anzeige auf dem Anzeigegerät 20 und die Prüfsequenz 70 übermittelt. Das Steuergerät 50 empfängt über ein Interface 35 Signale von dem Eingabegerät 30. Dies können optische Signale sein, aber auch weitere Signale, wie z.B. ein „Klick“, mit dem eine Schaltfläche - wie z.B. „OK“ - betätigt werden kann. Die Interfaces 25 und 35 sind unidirektional dargestellt; diese können aber auch bidirektional ausgelegt sein. Das Steuergerät 50 kann dabei die verschiedenen Komponenten des Steuerungssystems 10 in einer Weise verbinden, dass die Ausgabe des Steuerungssystems 10 betriebssicher (fail-safe) sein kann. Dazu kann das ein Steuergerät 50 eingerichtet sein zum Senden des Symbols 60 und einer Prüfsequenz 70 an das Anzeigegerät 20, zum Empfangen des Symbols 60 und der Prüfsequenz 70 von dem Anzeigegerät 20, zum Prüfen mindestens der Prüfsequenz 70, und, wenn die Prüfsequenz 70 korrekt empfangen ist, zum Generieren einer redundanten Kodierung des Symbols 60 und Versenden des redundant kodierten Symbols 60 über ein redundantes Netzwerk 45.
  • Die Ausgabe des Steuerungssystems 10 erfolgt über das redundante Netzwerk oder Kommunikationssystem 40, das zum Versenden des Symbols 60 eingerichtet ist. Dabei kann das Symbol 60 auch eine Sequenz von Symbolen, bestimmte Daten und/oder Kommandos (z.B. von der Schaltfläche „OK“) und/oder weitere Informationen enthalten. Die Daten, die über das Kommunikationssystem 40 gesandt werden, können kryptographisch kodiert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 2504739 B1 [0002]

Claims (2)

  1. Steuerungssystem (10), das zu einer betriebssicheren Eingabe, Visualisierung und/oder Kommunikation zur Steuerung einer Maschine eingerichtet ist, das Steuerungssystem (10) aufweisend: ein Anzeigegerät (20) zur Anzeige mindestens eines Symbols (60); ein optisches Eingabegerät (30), eingerichtet zur Erfassung, von dem Anzeigegerät (20), mindestens eines Teils des Symbols (60); ein redundantes Kommunikationssystem (40), eingerichtet zum Versenden des Symbols (60); und ein Steuergerät (50), eingerichtet zum Senden des Symbols (60) und einer Prüfsequenz (70) an das Anzeigegerät (20), Empfangen des Symbols (60) und der Prüfsequenz (70) von dem Anzeigegerät (20), Prüfen mindestens der Prüfsequenz (70), und, wenn die Prüfsequenz (70) korrekt empfangen ist, Generieren einer redundanten Kodierung des Symbols (60) und Versenden des redundant kodierten Symbols (60) über ein redundantes Netzwerk (45).
  2. Verwendung eines Systems nach Anspruch 1 zur sicheren Auswahl einer Maschine oder Station, zur sicheren Parameteränderung der Maschine oder Station, zum Senden von sicheren Steuerbefehlen, insbesondere zur Aktivierung von Sicherheitsfunktionen, und/oder zur sicheren Visualisierung von eingeschränkten Sicherheitsbereichen.
DE102022115488.2A 2021-09-20 2022-06-22 Steuerungssystem mit betriebssicherer Eingabe Pending DE102022115488A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE202021105053.5 2021-09-20
DE202021105053.5U DE202021105053U1 (de) 2021-09-20 2021-09-20 Steuerungssystem mit betriebssicherer Eingabe

Publications (1)

Publication Number Publication Date
DE102022115488A1 true DE102022115488A1 (de) 2023-03-23

Family

ID=78267872

Family Applications (2)

Application Number Title Priority Date Filing Date
DE202021105053.5U Active DE202021105053U1 (de) 2021-09-20 2021-09-20 Steuerungssystem mit betriebssicherer Eingabe
DE102022115488.2A Pending DE102022115488A1 (de) 2021-09-20 2022-06-22 Steuerungssystem mit betriebssicherer Eingabe

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE202021105053.5U Active DE202021105053U1 (de) 2021-09-20 2021-09-20 Steuerungssystem mit betriebssicherer Eingabe

Country Status (3)

Country Link
US (1) US20230088423A1 (de)
CN (1) CN115840381A (de)
DE (2) DE202021105053U1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2504739B1 (de) 2009-11-23 2015-07-22 Abb Ag Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2504739B1 (de) 2009-11-23 2015-07-22 Abb Ag Steuerungssystem zum steuern von sicherheitskritischen und nichtsicherheitskritischen prozessen

Also Published As

Publication number Publication date
CN115840381A (zh) 2023-03-24
DE202021105053U1 (de) 2021-09-28
US20230088423A1 (en) 2023-03-23

Similar Documents

Publication Publication Date Title
EP2551787B1 (de) Vorrichtung und Verfahren für eine sicherheitsrelevante Eingabe über ein Anzeigegerät mit Berührungseingabe
WO2015055530A1 (de) Verfahren und system zum fernbedienen einer werkzeugmaschine mittels eines mobilen kommunikationsgeräts
EP2399174A1 (de) Verfahren und vorrichtung zum erstellen eines anwenderprogrammes für eine sicherheitssteuerung
EP3383598B1 (de) Manipulatorsystem und verfahren zur identifikation von bedienvorrichtungen
EP2726357B1 (de) Bedieneinrichtung
DE102008026409A1 (de) Bedienungstrainingsystem und Bedienungstrainingverfahren
EP2845185A1 (de) Verfahren zur darstellung sicherheitskritischer daten durch eine anzeigeneinheit; anzeigeneinheit
WO2011128210A1 (de) Verfahren und vorrichtung zur bestätigung eines betriebssicheren zustandes eines sicherheitskritischen systems
EP3139354B1 (de) Verfahren zur einstellung einer betriebsart eines sicherheitssystems
EP3904984B1 (de) Verfahren für eine immersive mensch-maschine-interaktion
DE102022115488A1 (de) Steuerungssystem mit betriebssicherer Eingabe
EP3712770B1 (de) Überwachungseinheit für sicherheitsrelevante grafische benutzeroberflächen
DE10161924A1 (de) Verfahren zur Zweihandbedienung einer flächigen Anzeige- und Bedieneinheit, mit berührungssensitivem Display, HMI Gerät, Automatisierungssystem und Computerprogrammprodukt zur Durchführung des Verfahrens
DE102007041902A1 (de) Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
DE102010026392B4 (de) Verfahren zur sicheren Parametrierung eines Sicherheitsgeräts
WO2003032141A2 (de) Verfahren zur zweihandbedienung einer flächigen anzeige- und bedieneinheit, mit berührungssensitivem display, hmi gerät, automatisierungssystem und computerprogrammprodukt zur durchführung des verfahrens
DE202019104521U1 (de) Gerät zur Auswahl einer Betriebsart eines Sicherheitssystems
DE202015104887U1 (de) Multifunktionsterminal mit Softkey-Tastenanordnung zur sicherheitsrelevanten Bedienung
EP3374924B1 (de) Verfahren zum auslösen einer sicherheitsrelevanten funktion eines systems und system
DE102017216677A1 (de) Verfahren und Anordnung zum Bereitstellen eines Zugriffs auf mindestens ein Feldgerät einer technischen Anlage
WO2023186666A1 (de) Verfahren zur durchführung einer sicherheitsüberprüfung einer modularen sicherheitssteuerung
EP2929399B1 (de) Verfahren und anordnung zur gesicherten bedienung einer sicherheitskritischen einrichtung
DE102019103584A1 (de) Verfahren zur Steuerung einer berührungsempfindlichen Anzeige- und Eingabevorrichtung und Vorrichtung zur Ausführung des Verfahrens
DE10238255B4 (de) Vorrichtung zum Fernsteuern sowie Bewirken des Warmstarts eines Computers
DE102012215959A1 (de) Durchführung einer Bedienung in einem Signalsystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G05B0019048000

Ipc: G05B0023020000