DE112016000264T5 - Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems - Google Patents

Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems Download PDF

Info

Publication number
DE112016000264T5
DE112016000264T5 DE112016000264.5T DE112016000264T DE112016000264T5 DE 112016000264 T5 DE112016000264 T5 DE 112016000264T5 DE 112016000264 T DE112016000264 T DE 112016000264T DE 112016000264 T5 DE112016000264 T5 DE 112016000264T5
Authority
DE
Germany
Prior art keywords
safety
productivity
security
machine
control logic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112016000264.5T
Other languages
English (en)
Inventor
Fan Dai
Björn Matthias
Hao Ding
Christoph Byner
Yauheni Veryha
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB AG Germany
Original Assignee
ABB AG Germany
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB AG Germany filed Critical ABB AG Germany
Publication of DE112016000264T5 publication Critical patent/DE112016000264T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B25HAND TOOLS; PORTABLE POWER-DRIVEN TOOLS; MANIPULATORS
    • B25JMANIPULATORS; CHAMBERS PROVIDED WITH MANIPULATION DEVICES
    • B25J9/00Programme-controlled manipulators
    • B25J9/16Programme controls
    • B25J9/1674Programme controls characterised by safety, monitoring, diagnostic
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/12Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
    • F16P3/14Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/12Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
    • F16P3/14Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
    • F16P3/142Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact using image capturing devices
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/12Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine
    • F16P3/14Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact
    • F16P3/144Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body with means, e.g. feelers, which in case of the presence of a body part of a person in or near the danger zone influence the control or operation of the machine the means being photocells or other devices sensitive without mechanical contact using light grids
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/406Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0259Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
    • G05B23/0286Modifications to the monitored process, e.g. stopping operation or adapting control
    • G05B23/0291Switching into safety or degraded mode, e.g. protection and supervision after failure
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/50Machine tool, machine tool null till machine tool work handling
    • G05B2219/50198Emergency stop

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Robotics (AREA)
  • Human Computer Interaction (AREA)
  • Manufacturing & Machinery (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Ein Sicherheitssteuersystem (1), das eine Steuereinheit (3), eine Sicherheitssensoranordnung (4) und eine Maschinenanordnung (5) beinhaltet, die in verschiedenen Betriebsmodi (F0, FN, F1, F2) betreibbar sind, wobei jeder eine andere Produktivität (P0, PN, P1, P2) der Maschinenanordnung (5) aufweist, wobei die Steuereinheit (3) einen Betriebsmodus (F0, FN, F1, F2) der Maschinenanordnung (5) aktiviert, wobei die mindestens eine Sicherheitssensoranordnung (4) zwei funktionell redundante Untersysteme (6, 7) aufweist, eine Eingabe in die Steuereinheit (3) Informationen (8) beinhaltet, die eine Verfügbarkeit der Untersysteme (6, 7) angeben, die Steuerlogik (3) einen normalen Betriebsmodus (FN) mit normaler Produktivität (PN) aktivieren kann, falls alle Untersysteme (6, 7) verfügbar sind, einen Ausfall-Stopp-Betriebsmodus (F0) mit einer Null-Produktivität (P0) bei einer Nichtverfügbarkeit aller Untersysteme (6, 7) aktivieren kann und einen Ausfall-Funktionieren-Betriebsmodus (F1, F2) mit einer Produktivität, die von Null verschieden und niedriger als normal ist, bei einer Nichtverfügbarkeit von mindestens einem und einer Verfügbarkeit von mindestens einem anderen Untersystem (6, 7) aktivieren kann.

Description

  • Die vorliegende Erfindung behandelt gemäß einer Präambel von Anspruch 1 ein Sicherheitssteuersystem, wobei das System eine Steuereinheit, die Sicherheitssteuerlogik enthält, beinhaltet, ferner mindestens eine Sicherheitssensoranordnung beinhaltet, ferner mindestens eine Maschinenanordnung, die in verschiedenen Betriebsmodi betreibbar ist, beinhaltet, wobei jeder Betriebsmodus durch eine andere Produktivität der Maschinenanordnung charakterisiert ist, wobei die Steuereinheit eine Eingabe von der mindestens einen Sicherheitssensoranordnung empfängt und evaluiert und als Reaktion auf das Ergebnis der Evaluierung einen Betriebsmodus der Maschinenanordnung, wie durch die Sicherheitssteuerlogik bestimmt, aktiviert.
  • Die vorliegende Erfindung behandelt auch ein Verfahren zum Betrieb eines Sicherheitssteuersystems, wobei das System eine Steuereinheit, die Sicherheitssteuerlogik enthält, beinhaltet, ferner mindestens eine Sicherheitssensoranordnung beinhaltet, ferner mindestens eine Maschinenanordnung, die in verschiedenen Betriebsmodi betreibbar ist, beinhaltet, wobei jeder Betriebsmodus durch eine andere Produktivität der Maschinenanordnung charakterisiert ist, wobei die Steuereinheit eine Eingabe von der mindestens einen Sicherheitssensoranordnung empfängt und evaluiert und als Reaktion auf das Ergebnis der Evaluierung einen Betriebsmodus der Maschinenanordnung, wie durch die Sicherheitssteuerlogik bestimmt, aktiviert.
  • Allgemein gesagt, behandelt die Erfindung eine Sicherheitssteuerung in einer diskreten Fertigungsumgebung oder einem Fertigungsstandort. Der Ausdruck „Maschine” soll eine beliebige individuelle Maschine oder ein beliebiges individuelles Untersystem eines Fertigungsstandorts umfassen, zum Beispiel einen Roboter, eine Montageanlage, eine Fertigungszelle oder sogar ein automatisiertes geführtes Fahrzeug (AGV), das in Fertigungsstandorten verwendet wird, um sich automatisch zwischen verschiedenen Fertigungszellen oder Untersystemen zu bewegen.
  • Die Sicherheitssteuerung bei der diskreten Fertigung weist das vorrangige Ziel auf, Menschen vor Gefahren zu schützen, wenn sie bei Fertigungsstandorten arbeiten oder diese betreten. Grundsätzlich werden Sensoren oder Schalter verwendet, um einer Sicherheitssteuereinrichtung das Vorhandensein von Menschen in spezifischen Zonen oder deren Versuch, derartige Zonen zu betreten, zu melden. Basierend auf dem tatsächlichen Status des automatisierten Fertigungsprozesses, wird bzw. werden die Fertigungslinie oder individuelle Einrichtungen in einen Zustand versetzt, der potentielle Gefahren auf einen spezifizierten akzeptablen Umfang verringert oder begrenzt. Dies wird sehr häufig durch Stoppen der Maschinen erzielt, aber manchmal reicht es auch aus, die Bewegungsgeschwindigkeit zu reduzieren oder den Bewegungsraum von bestimmten Mechanismen, z. B. Industrierobotern oder Maschinenwerkzeugen, zu begrenzen.
  • In den wichtigsten Fällen wird das Stoppen der Maschine implementiert, während Antriebe mit sicherer Stoppfunktion (STO) verwendet werden. Im Fall von Industrierobotern führt die Robotersteuerung auch die Sicherheitssteuerung des Roboters aus, wo die Überwachung der Roboterwerkzeugposition und -geschwindigkeit üblicherweise implementiert wird. Es ist auch bekannt, dass Antriebe, die eine Sicherheitsgeschwindigkeits- oder Positionssteuerung anbieten, verwendet werden.
  • Im Fall von (potentiellen) schwerwiegenden Gefahren wird ein Notstopp erteilt, z. B. über eine Notstopptaste oder entsprechende Sensoreinrichtungen. Dies versetzt die Maschine in einen sicheren Stopp-Zustand, der eine dedizierte Bestätigung zum Neustarten der Maschine benötigt.
  • Die Sicherheitssteuerung zum Erzielen des vorrangigen Ziels des Schützens von Menschen vor Gefahren ist auf die Verfügbarkeit des richtigen Funktionierens von Sensoren und Schaltern angewiesen.
  • Aber Sensoren und Schalter könnten ausfallen, zum Beispiel falls eine interne Diagnosefunktion einen Stromausfall detektiert. Oder die Kommunikation zwischen den Sensoren oder Schaltern und der Steuerlogik kann fehlerhaft sein. Wenn die Sicherheitssteuerung implementiert wird, muss daher die Steuerlogik ein Sicherheitskonzept zum Behandeln von Situationen aufweisen, wenn die Sensoren oder Schalter nicht verfügbar sind, zum Beispiel im Falle eines internen Stopps, der auch Passivierung genannt werden kann.
  • Ein weiterer Grund kann darin bestehen, dass die Kommunikation zwischen den Sensoren und Schaltern und der Steuerlogik fehlerhaft ist. Eine Passivierung, oder mit anderen Worten die Nichtverfügbarkeit von Sensoren oder Schaltern oder eine gestörte Kommunikation zwischen Sensoren oder Schaltern und der Steuerlogik, wird mit dem Ausdruck „Ausfallsituation” zusammengefasst, so dass sie sich von der zuvor erläuterten „Gefahrensituation” unterscheidet.
  • Die Steuerlogik umfasst auch bei einer derartigen Ausfallsituation eine vordefinierte Reaktion.
  • Beim bekannten Stand der Technik ist die Reaktion auf eine Ausfallsituation die gleiche wie die Reaktion auf eine Gefahrensituation. Falls demnach eine fehlerhafte Kommunikation zu einem Sicherheitssensor oder ein Ausfall in der Sensoreinrichtung selbst detektiert wird, wird ein entsprechender Notfunktionsmodus aktiviert, selbst wenn keine Gefahrensituation detektiert worden ist. Dies ist ein Maschinen-Stopp gemäß einer Stopp-Kategorie 0 oder 1 kombiniert mit einem manuellen Zurücksetzen/Neustart der Maschine. Die Produktivität der Maschine wird reduziert.
  • Aber häufig ist eine Ausfallsituation, zum Beispiel die Nichtverfügbarkeit des Sensors, nur temporär und wird mehr oder weniger automatisch innerhalb einer bestimmten Zeit geklärt. Beim Stand der Technik wird die Maschine nichtsdestotrotz gestoppt, was unnötige Produktionsausfälle verursacht.
  • Demnach ist es die Aufgabe der vorliegenden Erfindung, ein Sicherheitssteuersystem und ein Verfahren zum Betreiben eines Sicherheitssteuersystems zum Steuern einer Maschine auf eine derartige Weise zu verbessern, dass im Falle einer wie oben beschriebenen Ausfallsituation Produktionsausfälle verringert werden.
  • Die Aufgabe bezüglich der Verbesserung des Sicherheitssteuersystems wird gemäß der Erfindung durch ein Sicherheitssteuersystem mit den Merkmalen von Anspruch 1 erzielt. Demnach weist die mindestens eine Sicherheitssensoranordnung gemäß der Erfindung mindestens zwei funktionell redundante Untersysteme auf und eine Eingabe in die Steuereinheit beinhaltet Informationen, die eine Verfügbarkeit der mindestens zwei funktionell redundanten Untersysteme angeben, wobei die Steuerlogik zum Aktivieren eines normalen Betriebsmodus, der durch eine normale Produktivität charakterisiert ist, konfiguriert ist, falls die Eingabe eine Verfügbarkeit aller funktionell redundanter Untersysteme angibt, und zum Aktivieren eines Ausfall-Stopp-Betriebsmodus, der durch eine Null-Produktivität charakterisiert ist, konfiguriert ist, falls die Eingabe eine Nichtverfügbarkeit aller funktionell redundanter Untersysteme angibt, und zum Aktivieren eines Ausfall-Funktionieren-Betriebsmodus mit einer Produktivität, die geringer als normal ist, aber über Null liegt, konfiguriert ist, falls die Eingabe eine zumindest temporäre Nichtverfügbarkeit von mindestens einem und die Verfügbarkeit von mindestens einem anderen der funktionell redundanten Untersysteme angibt.
  • Hier in dieser Anmeldung wird zusätzlich auch der Ausdruck erste und zweite Sicherheitseinrichtung für die funktionell redundanten Untersysteme der Sicherheitssensoranordnung verwendet. Dies kann zwei oder mehr Sicherheitssensoreinrichtungen beinhalten, zum Beispiel einen Annäherungssensor, der eine erste Sicherheitszone überwacht, die eine kritischere Sicherheitszone ist, und eine Kamera, die eine zweite oder zweite oder dritte oder N-te Sicherheitszone überwacht, die weniger kritisch sind, wobei die erste Sicherheitszone eine Teilmenge der zweiten oder dritten oder N-ten Sicherheitszone ist. Dies kann auch eine Sensoreinheit mit zwei oder mehr verschiedenen Überwachungszonen sein, zum Beispiel ein Laserscanner oder eine Kamera, der bzw. die zum Überwachen einer ersten Sicherheitszone nahe der Maschinenanordnung mit einer hohen Auflösung und einer zweiten oder dritten oder N-ten Sicherheitszone, die weiter weg von der Maschinenanordnung hinausreicht, mit einer geringeren Auflösung oder dergleichen konfiguriert ist. Demnach wird der Ausdruck erste und zweite Sicherheitseinrichtung verwendet, um entweder einen Sensor oder ein Sensorsystem oder eine funktionelle Untereinheit eines komplexeren Sensors oder Sensorsystems zu beschreiben. Der Ausdruck „zweite Sicherheitseinrichtung” soll eine funktionelle Art bezeichnen, demnach soll eine zweite Sicherheitseinrichtung einen oder zwei oder drei oder N Sensoren oder Sensorfunktionen zusätzlich zur ersten Sensoreinrichtung bezeichnen.
  • Für den Ausdruck „erster oder zweiter Ausfall-Funktionieren-Modus” im Zusammenhang dieser Anmeldung wird zusätzlich auch der Ausdruck „erster oder zweiter Sicherheitsfunktionsmodus” verwendet.
  • Mit anderen Worten stellt die Erfindung ein Sicherheitssteuersystem bereit, das eine zweite Sicherheitseinrichtung zum Detektieren einer zweiten Gefahrensituation in einer zweiten Sicherheitszone aufweist oder alternativ dazu in der Lage ist, einen temporären sicheren Zustand, zum Beispiel mit sicherheitsbegrenzter Geschwindigkeit, zu erzielen, aus dem gewöhnlicherweise nach einer bestimmten vordefinierten Zeit ausgetreten werden muss. Im Falle einer zweiten Sicherheitseinrichtung interagiert die Steuerlogik mit der ersten und der zweiten Sicherheitseinrichtung, um eine Ausfallsituation in einer der Sicherheitseinrichtungen zu detektieren und als Reaktion auf eine Ausfallsituation in einer der Sicherheitseinrichtungen zu der anderen Sicherheitseinrichtung umzuschalten oder einen der Ausfallfunktionsmodi anzuwenden. Im zweiten Fall vesetzt die Steuerlogik das System in einen temporären sicheren Zustand, aus dem gewöhnlicherweise nach einer bestimmten vordefinierten Zeit ausgetreten werden muss.
  • Gemäß einer bevorzugten Ausführungsform beinhaltet das Sicherheitssteuersystem eine Maschine oder Maschinenanordnung mit einer Nennproduktivität, beinhaltet ferner eine erste Sicherheitszone und eine zweite Sicherheitszone, wobei die erste Sicherheitszone eine Teilmenge der zweiten Sicherheitszone ist, beinhaltet ferner ein erstes funktionell redundantes Untersystem, das zum Detektieren eines ersten Gefahrenereignisses in der ersten Sicherheitszone konfiguriert ist, beinhaltet ferner ein zweites funktionell redundantes Untersystem, das zum Detektieren eines zweiten Gefahrenereignisses in der zweiten Sicherheitszone konfiguriert ist, wobei ein erster Ausfall-Funktionieren-Modus zu einer ersten reduzierten Maschinenproduktivität führt, die größer als Null aber kleiner als die normale Produktivität ist, und ein zweiter Ausfall-Funktionieren-Modus zu einer zweiten reduzierten Maschinenproduktivität führt, die größer als Null aber kleiner als die Nennproduktivität und höher als die erste reduzierte Maschinenproduktivität ist, wobei die Steuerlogik den zweiten Ausfall-Funktionieren-Modus aktiviert, falls die Eingabe in die Steuerlogik eine Verfügbarkeit beider funktionell redundanter Untersysteme und ein zweites Gefahrenereignis in der zweiten Sicherheitszone aber kein Gefahrenereignis in der ersten Sicherheitszone angibt, und wobei die Steuerlogik den ersten Ausfall-Funktionieren-Modus aktiviert, falls die Eingabe in die Steuerlogik eine temporäre Nichtverfügbarkeit des ersten funktionell redundanten Untersystems aber eine Verfügbarkeit des zweiten funktionell redundanten Untersystems und ein zweites Gefahrenereignis in der zweiten Sicherheitszone angibt.
  • Gemäß einer weiteren bevorzugten Ausführungsform aktiviert die Steuerlogik den zweiten Ausfall-Funktionieren-Modus, falls die Eingabe in die Steuerlogik eine Verfügbarkeit des ersten funktionell redundanten Untersystems und eine zumindest temporäre Nichtverfügbarkeit des zweiten redundanten Untersystems und kein erstes Gefahrenereignis in der ersten Sicherheitszone angibt.
  • Gemäß einer weiteren bevorzugten Ausführungsform aktiviert die Steuerlogik den ersten Ausfall-Funktionieren-Modus, falls die Eingabe in die Steuerlogik eine zumindest temporäre Nichtverfügbarkeit des zweiten redundanten Untersystems und ein erstes Gefahrenereignis in der ersten Sicherheitszone angibt.
  • Gemäß einer weiteren bevorzugten Ausführungsform aktiviert die Steuerlogik den ersten Ausfall-Funktionieren-Modus, falls die Eingabe in die Steuerlogik eine Verfügbarkeit von sowohl dem ersten als auch dem zweiten redundanten Untersystem und ein erstes und ein zweites Gefahrenereignis in sowohl der ersten als such der zweiten Sicherheitszone angibt.
  • Gemäß einer weiteren bevorzugten Ausführungsform aktiviert die Steuerlogik den normalen Betriebsmodus, falls die Eingabe in die Steuerlogik eine Verfügbarkeit des zweiten redundanten Untersystems und eine temporäre Nichtverfügbarkeit des ersten redundanten Untersystems und kein Gefahrenereignis in der zweiten Sicherheitszone angibt.
  • Gemäß einer weiteren bevorzugten Ausführungsform ist die Maschine oder die Maschinenanordnung ein Roboter oder ein autonomes geführtes Fahrzeug (AGV) oder ein diskretes Fertigungssystem oder eine Fertigungszelle.
  • Gemäß einer weiteren bevorzugten Ausführungsform ist die Produktivität der Maschine oder der Maschinenanordnung die Geschwindigkeit von sich bewegenden Teilen der Maschine oder der Maschinenanordnung.
  • Gemäß einer weiteren bevorzugten Ausführungsform ist das erste oder das zweite redundante Untersystem ein Annäherungssensor oder eine Lichtschranke oder ein Laserscanner oder eine Kamera.
  • Gemäß einer weiteren bevorzugten Ausführungsform wird die temporäre Nichtverfügbarkeit eines funktionell redundanten Untersystems durch einen temporären Kommunikationsfehler wie einen zyklischen Redundanzfehler (CRC-Fehler) oder einen Watchdog-Fehler verursacht.
  • Demnach wird die Aufgabe gemäß der Erfindung erzielt, indem ein Failover-Konzept zur Sicherheitssteuerung eingeführt wird, was unnötige Maschinenstopps in Fällen vermeidet, bei denen eine Ausfallsituation in einer Sicherheitseinrichtung auftritt.
  • Failover bezeichnet ein Umschalten zu einer redundanten Einrichtung oder Funktion, wenn eine dedizierte Einrichtung oder Funktion ausfällt.
  • Im hierarchischen Sicherheitssteuersystem gemäß der Erfindung ist die Hierarchie mit zunehmender Kritikalität durch die Sequenz gegeben, dass die eine oder die mehreren zweiten oder dritten oder in einem allgemeinen Fall N-ten weniger kritischen Sicherheitszonen, die durch die zweite Sicherheitseinrichtung beaufsichtigt wird bzw. werden, die eine oder mehrere zweite oder dritte oder in einem allgemeinen Fall N-te Gefahrensituationen in der einen oder den mehreren zweiten oder dritten oder in einem allgemeinen Fall N-ten Sicherheitszonen detektiert bzw. detektieren, einen oder mehrere zweite oder dritte oder in einem allgemeinen Fall N-te Sicherheitsfunktionsmodi auslöst, der bzw. die die Maschine nicht stoppt, und die anschließende erste, kritische Sicherheitszone, die durch die erste Sicherheitseinrichtung beaufsichtigt wird, die eine erste Gefahrensituation in der ersten, kritischen Sicherheitszone detektiert, einen ersten Sicherheitsfunktionsmodus auslöst, der die Maschine vorzugsweise stoppt. Demnach werden die hierarchisch angeordnete erste und zweite Sicherheitseinrichtung gemäß der Erfindung so verwendet, als ob sie redundante Einrichtungen wären.
  • Hinsichtlich der Reaktion des Sicherheitssteuersystems bezüglich eines Ausfallmodus in einer der Sicherheitseinrichtungen, d. h. Sensoren oder Schalter oder dergleichen, liegt der Vorteil des Sicherheitssteuersystems gemäß der vorliegenden Erfindung darin, dass die Steuerlogik in einem derartigen Ausfallmodus nicht den Notfunktionsmodus auslöst, sondern zu der anderen Sicherheitseinrichtung umschaltet und einen Ausfallfunktionsmodus (anstatt des schwerwiegenden Notfunktionsmodus) anwendet, indem sie den weniger kritischen Ausfallfunktionsmodus, der immer noch die Sicherheitsanforderungen erfüllt, aus zwei Ausfallfunktionsmodi auswählt. Dies wird aus der Erfindung ersehen, indem die erste Sicherheitseinrichtung, falls sich die zweite Sicherheitseinrichtung in einer Ausfallsituation befindet, anstatt der zweiten Sicherheitseinrichtung verwendet wird, aber der weniger kritische zweite Sicherheitsfunktionsmodus angewendet wird. Dies ist eine überraschende Feststellung, da die normale Weise darin bestehen würde, die kritischere erste Sicherheitsfunktion zusammen mit der ersten Sicherheitseinrichtung anzuwenden. Ein Vorteil der Erfindung besteht darin, dass die Produktivität der Maschine durch das Verwenden der weniger kritischen zweiten Sicherheitsfunktion im Vergleich zum Anwenden der kritischen ersten Sicherheitsfunktion weniger reduziert wird, aber weiterhin ein hohes und angemessenes Sicherheitsniveau aufrechterhalten wird.
  • Mit anderen Worten ist ein typisches Gefahrenereignis, dass ein Mensch in eine definierte Zone, wo eine sich in Betrieb befindliche Maschine den Menschen schwer verletzen kann, eintritt. Herkömmlicherweise wird die Maschine gestoppt, falls ein derartiges Ereignis detektiert wird.
  • Das Konzept der hierarchischen Sicherheitssteuerung berücksichtigt, dass die Schwere einer derartigen Gefahr unterschiedlich sein kann, so dass die Maschine manchmal mit einer sicher reduzierten Geschwindigkeit laufen kann, anstatt gestoppt zu werden, so dass die Gesamtproduktivität der Maschine verbessert werden kann.
  • Beispielsweise kann eine „Zone 1” um einen Industrieroboter herum definiert werden, wo die Verletzung dieser Zone zum unmittelbaren Stoppen des Roboters führt, aber falls sich der Mensch in der Nähe außerhalb dieser Zone befindet, kann der Roboter mit einer reduzierten Geschwindigkeit laufen, so dass der Roboter in der Lage ist, zu stoppen, wenn der Mensch in die „Zone 1” eintritt. Dies ist ein Beispiel für eine hierarchische Steuerstruktur gemäß der Erfindung.
  • Ein anderes Beispiel könnte ein AGV sein, das mit reduzierter Geschwindigkeit laufen könnte, falls sich Hindernisse oder ein menschlicher Arbeiter innerhalb eines bestimmten aber größeren Bereichs befinden bzw. befindet, und stoppt, wenn der Abstand kritisch wird, wie „Zone 1” im obigen Beispiel.
  • Auf eine allgemeinere Weise kann die Sicherheitsreaktion auch vom genaueren Erfassen der Position, der Größe und der Geschwindigkeit des Menschen oder der Hindernisse abhängen. Und die Sicherheitsreaktion kann auch bestimmte Teile einer Fertigungslinie stoppen, wobei Teile der Linie mit variabler Geschwindigkeit laufen usw.
  • Die erste oder die zweite Sicherheitseinrichtung kann erste oder zweite Sicherheitsgefahrendetektionsmittel aufweisen, die zum Beispiel Sensoren oder Schalter sein können, die zum Melden des Vorhandenseins eines Menschen in spezifischen Zonen oder deren Versuch, in derartige Zonen einzutreten, an eine Sicherheitslogik, auch Sicherheitssteuereinrichtung genannt, verwendet werden. Beispielsweise kann eine nahe Umgebung um eine Maschine, zum Beispiel einen Roboter oder ein AGV, herum als eine erste, kritische Sicherheitszone definiert sein, da eine kritische Gefährdung vorhanden ist, dass ein Mensch durch die Maschine schwer verletzt wird, wenn er in diese erste Zone eintritt. Demnach ist das Vorhandensein eines Menschen in einer derartigen ersten, kritischen Zone ein Beispiel für ein Gefahrenereignis gemäß der vorliegenden Erfindung.
  • Eine weitreichendere Umgebung um die Maschine, zum Beispiel den Roboter oder das AGV, herum würde als eine zweite, weniger kritische Sicherheitszone definiert sein. Hier besteht weiterhin ein Risiko, dass ein Mensch verletzt wird, wenn er sich innerhalb dieser Zone befindet, aber es ist weniger wahrscheinlich, und es ist ein größerer Sicherheitsabstand zu den gefährlichen Teilen der Maschine mit mehr Reaktionszeit vorhanden. Demnach wird das Vorhandensein eines Menschen in einer derartigen zweiten Sicherheitszone auch als ein Gefahrenereignis gemäß der vorliegenden Erfindung angesehen, aber es wird weniger schwerwiegende Konsequenzen haben.
  • Die erste Sicherheitszone ist gewöhnlicherweise eine Teilmenge der zweiten Sicherheitszone.
  • Basierend auf dem tatsächlichen Status des automatisierten Fertigungsprozesses wird ausgelöst, dass die Fertigungslinie oder die individuellen Einrichtungen bei der Detektion eines Gefahrenereignisses eine erste oder zweite Sicherheitsfunktion ausführt bzw. ausführen. Dies bedeutet, dass sie zum Beispiel in einen Zustand versetzt werden, der potentielle Gefahren zu einem spezifizierten akzeptablen Umfang verringert oder begrenzt. Dies wird sehr häufig durch ein Stoppen der Maschinen erzielt, aber manchmal reicht es auch aus, die Bewegungsgeschwindigkeit zu verringern oder den Bewegungsraum von bestimmten Mechanismen, z. B. Industrierobotern oder Maschinenwerkzeugen, zu begrenzen.
  • Eine erste Sicherheitsfunktion würde zum Beispiel eine recht drastische Reduzierung der Bewegungsgeschwindigkeit oder Begrenzung des Bewegungsraums bedeuten und würde ausgelöst werden, falls detektiert wird, dass sich ein Mensch innerhalb der ersten Sicherheitszone befindet.
  • Eine zweite Sicherheitsfunktion würde zum Beispiel eine weniger drastische Reduzierung der Bewegungsgeschwindigkeit oder Begrenzung des Bewegungsraums bedeuten und würde ausgelöst werden, falls detektiert wird, dass sich ein Mensch innerhalb der zweiten, weniger kritischen Sicherheitszone befindet.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung interagiert die Sicherheitssteuerlogik mit der Maschinenanordnung, um die Maschinenanordnung zum normalen Funktionsmodus im Falle des Auftretens eines Ausfalls in der ersten Sicherheitseinrichtung und des Nichtvorhandenseins einer durch die zweite Sicherheitseinrichtung detektierten Gefahrensituation anzusteuern.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung interagiert die Sicherheitssteuerlogik mit der Maschine, um die Maschine zum ersten Funktionsmodus im Falle des Auftretens einer Ausfallsituation in der ersten Sicherheitseinrichtung und der Detektion einer Gefahrensituation durch die zweite Sicherheitseinrichtung anzusteuern.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung interagiert die Steuerlogik mit der Maschine, um die Maschine zum ersten Sicherheitsfunktionsmodus im Falle des Auftretens einer Ausfallsituation in der zweiten Sicherheitseinrichtung und der Detektion einer Gefahrensituation durch die erste Sicherheitseinrichtung anzusteuern.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung interagiert die Steuerlogik mit der Maschine, um die Maschine zum Notsicherheitsfunktionsmodus im Falle des Auftretens einer Ausfallsituation in der ersten und der zweiten Sicherheitseinrichtung anzusteuern.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung interagiert die Steuerlogik mit der ersten und der zweiten Sicherheitseinrichtung, um Kommunikationsfehler in der ersten und der zweiten Sicherheitseinrichtung zu detektieren, wobei die Ausfallsituation in einer der Sicherheitseinrichtungen der Kommunikationsfehler ist, zum Beispiel ein CRC- oder zyklischer Redundanzprüffehler oder Watchdog-Fehler.
  • Gemäß der Erfindung ist ein Verfahren des Betriebs eines Sicherheitssteuersystems, wobei das System eine Steuereinheit beinhaltet, die Sicherheitssteuerlogik enthält, ferner mindestens eine Sicherheitssensoranordnung beinhaltet, ferner mindestens eine Maschinenanordnung beinhaltet, die in verschiedenen Betriebsmodi betreibbar ist, wobei jeder Betriebsmodus durch eine andere Produktivität der Maschinenanordnung charakterisiert ist, wobei die Steuereinheit eine Eingabe von der mindestens einen Sicherheitssensoranordnung empfängt und evaluiert und als Reaktion auf das Ergebnis der Evaluierung einen Betriebsmodus der Maschinenanordnung, wie durch die Sicherheitssteuerlogik bestimmt, aktiviert, wobei die mindestens eine Sicherheitssensoranordnung mindestens zwei funktionell redundante Untersysteme aufweist, wobei die Eingabe in die Steuereinheit Informationen, die eine Verfügbarkeit der mindestens zwei funktionell redundanten Untersysteme angeben, beinhaltet, durch die Schritte der Aktivierung eines normalen Betriebsmodus, der durch eine normale Produktivität charakterisiert ist, falls die Eingabe eine Verfügbarkeit aller funktionell redundanter Untersysteme angibt, und der Aktivierung eines Ausfall-Stopp-Betriebsmodus, der durch eine Null-Produktivität charakterisiert ist, falls die Eingabe eine Nichtverfügbarkeit aller funktionell redundanter Untersysteme angibt, und der Aktivierung eines Ausfall-Funktionieren-Betriebsmodus mit einer Produktivität, die geringer als normal ist, aber über Null liegt, falls die Eingabe eine zumindest temporäre Nichtverfügbarkeit von mindestens einem und eine Verfügbarkeit von mindestens einem anderen der funktionell redundanten Untersysteme angibt, charakterisiert ist.
  • Demnach lehrt die Erfindung bezüglich eines Verfahrens des Betriebs eines Sicherheitssteuersystems zum Steuern einer Maschine, wobei das System eine hierarchische Sicherheitssteuerstruktur mit einer Steuerlogik, eine erste Sicherheitseinrichtung zum Detektieren einer ersten Gefahrensituation in einer ersten Sicherheitszone und, als Reaktion darauf, zum Auslösen eines ersten Sicherheitsfunktionsmodus, eine zweite Sicherheitseinrichtung zum Detektieren einer zweiten Gefahrensituation in einer zweiten Sicherheitszone und, als Reaktion darauf, zum Auslösen eines zweiten Sicherheitsfunktionsmodus, aufweist, dass das Verfahren die folgenden Schritte umfasst:
    • – die Steuerlogik detektiert, ob eine Ausfallsituation in einer der Sicherheitseinrichtungen vorhanden ist;
    • – falls eine Ausfallsituation in einer der Sicherheitseinrichtungen vorhanden ist, schaltet die Steuerlogik zu der anderen Sicherheitseinrichtung um oder wendet einen der Ausfallfunktionsmodi an.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung ist die Maschine zumindest in einem normalen Funktionsmodus und in einem Notfunktionsmodus betreibbar, wobei das Sicherheitssteuersystem eine Steuerlogik, die kommunikativ mit der Maschine gekoppelt ist, eine erste Sicherheitseinrichtung, die kommunikativ mit der Steuerlogik gekoppelt ist, wobei die Steuerlogik die erste Sicherheitseinrichtung zum Detektieren einer ersten Gefahrensituation in einer ersten, kritischen Sicherheitszone verwendet, und eine zweite Sicherheitseinrichtung, die kommunikativ mit der Steuerlogik gekoppelt ist, aufweist, wobei die Steuerlogik mit der Maschine auf eine Weise interagiert, so dass sie beim Nichtvorhandensein einer Gefahrensituation im normalen Funktionsmodus arbeitet, mit den weiteren folgenden Schritten:
    • – die Steuerlogik verwendet die zweite Sicherheitseinrichtung anstatt der ersten Sicherheitseinrichtung, falls eine Ausfallsituation in der ersten Sicherheitseinrichtung detektiert worden ist, und die Steuerlogik löst den zweiten Sicherheitsfunktionsmodus aus, falls eine Ausfallsituation in der zweiten Sicherheitseinrichtung detektiert worden ist und keine Gefahrensituation durch die erste Sicherheitseinrichtung detektiert worden ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung umfasst das Verfahren den weiteren Schritt, dass die Sicherheitssteuerlogik den normalen Funktionsmodus im Falle auslöst, dass eine Ausfallsituation in der ersten Sicherheitseinrichtung detektiert worden ist und keine Gefahrensituation durch die zweite Sicherheitseinrichtung detektiert worden ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung umfasst das Verfahren den weiteren Schritt, dass die Steuerlogik den ersten Funktionsmodus im Falle auslöst, dass eine Ausfallsituation in der ersten Sicherheitseinrichtung detektiert worden ist und eine Gefahrensituation durch die zweite Sicherheitseinrichtung detektiert worden ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung umfasst das Verfahren den weiteren Schritt, dass die Steuerlogik den ersten Sicherheitsfunktionsmodus im Falle auslöst, dass eine Ausfallsituation in der zweiten Sicherheitseinrichtung detektiert worden ist und eine Gefahrensituation durch die erste Sicherheitseinrichtung detektiert worden ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung umfasst das Verfahren den weiteren Schritt, dass die Steuerlogik den Notsicherheitsfunktionsmodus im Falle auslöst, dass eine Ausfallsituation in der ersten und der zweiten Sicherheitseinrichtung detektiert worden ist.
  • Die Erfindung wird durch die Beschreibung von drei Ausführungsformen unter Bezugnahme auf die begleitenden Zeichnungen ausführlicher beschrieben, wobei
  • 1 eine beispielhafte und schematische Repräsentation eines Sicherheitssteuersystems gemäß der Erfindung ist,
  • 2 eine beispielhafte und schematische Repräsentation einer weiteren Ausführungsform eines Sicherheitssteuersystems gemäß der Erfindung ist,
  • 3 ein Beispiel einer hierarchischen Sicherheitszone für eine Roboterzelle darstellt,
  • 4 ein Beispiel mit einer hierarchischen Sicherheitszone für ein AGV darstellt,
  • 5 das verallgemeinerte Szenario eines Sicherheitssteuersystems mit elementarer Sicherheitslogik schematisch darstellt,
  • 6 ein Schema von Failover und Wiederherstellung für CRC-Fehler darstellt,
  • 7a–c eine schematische Repräsentation einer Ausführungsform der Erfindung bei verschiedenen Ausfallsituationen darstellen.
  • 1 stellt eine beispielhafte und schematische Repräsentation eines Sicherheitssteuersystems gemäß der Erfindung dar. Das Sicherheitssteuersystem 1 beinhaltet eine Steuereinheit 3, die Sicherheitssteuerlogik beinhaltet. Die Steuereinheit 3 empfängt eine Eingabe von einem Prozess über eine Prozesssensoranordnung 4. Der Prozess kann ein beliebiger technischer Prozess sein, zum Beispiel eine Fertigungszelle, ein Roboter oder ein Robotersystem mit mehreren Robotern oder ein autonomes geführtes Fahrzeug (AGV) oder eine chemische Verarbeitungsanlage oder ein Untersystem einer chemischen Verarbeitungsanlage oder dergleichen. Der Ausdruck Prozess wird hier im Zusammenhang dieser Erfindung somit auch zum Beschreiben einer Maschine verwendet.
  • Der Prozess oder die Maschine weist bestimmte sicherheitskritische Zonen auf, die durch die Sicherheitssensoranordnung 4 erfasst werden. Dies wird im Folgenden im Zusammenhang der 2, 3, 4 und 7a–c ausführlicher erläutert.
  • Die Steuereinheit 3 empfängt Signale, die Informationen von der Sicherheitssensoranordnung 4 enthalten, und evaluiert die empfangene Eingabe. Für diesen Zweck beinhaltet die Steuereinheit 3 mindestens eine Eingabe-/Ausgabe-Einheit (E/A-Einheit). Die Sicherheitssteuerlogik veranlasst die Evaluierung der am Eingang empfangenen Informationen und die Erzeugung von jeweiligen Ausgangssignalen, die jeweilige Ausgangsinformationen enthalten, für den Prozess oder die Maschine, hier in 1 schematisch als Maschinenanordnung 5 repräsentiert. Die Maschinenanordnung 5 oder die Maschine oder der Prozess ist in verschiedenen Betriebsmodi betreibbar. Falls die Maschinenanordnung zum Beispiel ein AGV ist, können die verschiedenen Betriebsmodi verschiedene Geschwindigkeiten sein, von Null oder Stopp, langsamer Geschwindigkeit, etwas schnellerer Geschwindigkeit bis zu normaler Geschwindigkeit. Das gleiche trifft zu, wenn die Maschinenanordnung ein Roboter mit mindestens einem Roboterarm ist. Hier können die verschiedenen Betriebsmodi auch die Bewegungsgeschwindigkeit des Roboterarms oder der Roboterarme oder sogar das Gebiet, das durch den Roboterarm oder die Roboterarme abgedeckt wird, sein, von Stillstand über nur ein kleines Segment, ein größeres Segment bis zur vollständigen Betriebszone. Jeder Betriebsmodus ist mit einer bestimmten Produktivität der Maschine oder der Maschinenanordnung oder des Prozesses assoziiert. Falls der Roboter zum Beispiel stillsteht, ist die Produktivität Null. Falls er sich nur langsam bewegt, ist die Produktivität gering. Falls er sich mit normaler Geschwindigkeit bewegt, ist die Produktivität normal.
  • Die oben gegebenen Beispiele mit dem Roboter oder dem AGV sind nur ein beispielhaftes Beispiel. Es versteht sich, dass für alle Prozessarten, einschließlich unter anderem Fertigungsprozesse mit verschiedenen anderen Arten von Maschinen oder chemischen Herstellungsprozessen, auf eine äquivalente Weise verschiedene Betriebsmodi mit zugewiesenen verschiedenen Produktivitäten definiert werden können.
  • In 1 ist das oben Erläuterte auf eine abstrakte Weise als eine Maschinenanordnung 5 veranschaulicht, die Betriebsmodi sind schematisch als Funktionsblöcke oder Untersysteme F0 mit Bezugszahl 11, FN mit Bezugszahl 12, F1 mit Bezugszahl 13, F2 mit Bezugszahl 14 angegeben. Jedem Funktionsblock oder Untersystem ist eine spezifische Produktivität zugewiesen. Der Funktionsblock oder das Untersystem F0 ist durch eine Produktivität P0 charakterisiert, der Funktionsblock oder das Untersystem FN ist durch eine Produktivität PN charakterisiert, der Funktionsblock oder das Untersystem F1 ist durch eine Produktivität P1 charakterisiert, der Funktionsblock oder das Untersystem F2 ist durch eine Produktivität P2 charakterisiert. Die Produktivität PN ist die normale Produktivität. Die Produktivität P0 ist die Null-Produktivität, die äquivalent zu einem Systemstopp ist. Die Produktivität P1 ist geringer als die normale Produktivität PN, aber größer als Null.
  • Die Produktivität P2 ist größer als P1, aber kleiner als die normale Produktivität PN.
  • Die Sicherheitssensoranordnung 4 weist zwei funktionell redundante Untersysteme 6, 7 auf. Es könnten sogar mehr als zwei sein. Die Funktion der Sicherheitssensoranordnung 4 ist die Überwachung von Sicherheitszonen im Prozess oder in der Nähe einer Maschine oder Maschinenanordnung 5. Überwachung bedeutet, dass die Sicherheitssensoranordnung 4 mit den funktionell redundanten Untersystemen 6, 7 potentiell gefahrvolle Ereignisse H1, H2 in den Sicherheitszonen detektiert. Ein Gefahrenereignis kann zum Beispiel ein Hindernis im Weg eines AGV oder eine menschliche Person innerhalb der Betriebszone eines Roboters oder Robotersystems in Reichweite des Roboterarms oder der Roboterarme sein. Funktionell redundant bedeutet, dass beide Untersysteme 6, 7 für die Sicherheitsüberwachung oder die Detektion derartiger Gefahrenereignisse redundant verwendet werden können. Dies kann zum Beispiel bedeuten, dass zwei Sicherheitszonen um die Maschine 5 herum vorhanden sind, eine kritische und eine weniger kritische. Die kritische Sicherheitszone ist zum Beispiel darin charakterisiert, dass eine hohe potentielle Gefahr für die Maschine vorhanden ist, falls sich ein Hindernis innerhalb dieser Zone befindet, oder ein hohes potentielles Sicherheitsrisiko für eine menschliche Person vorhanden ist, die sich potentiell innerhalb dieser Zone aufhält.
  • Demnach können funktionell redundante Untersysteme zum Beispiel zwei Untersysteme sein, die jeweils verschiedene Sicherheitszonen erfassen. Dies kann durch einen Sensor, der zwei oder mehr Überwachungsmodi für verschiedene Zonen aufweist, oder durch zwei verschiedene Sensoren, einen für die erste Zone und einen für die andere Zone, realisiert werden.
  • Jedes der funktionell redundanten Untersysteme 6, 7 übermittelt Informationen bezüglich eines Vorhandenseins oder Nichtvorhandenseins eines Gefahrenereignisses innerhalb seines Überwachungsgebiets unter Verwendung von ersten Signaleingangsleitungen 15, 16 zur Steuereinheit 3. Außerdem übermittelt jedes der funktionell redundanten Untersysteme 6, 7 zusätzlich dazu Informationen bezüglich seiner Verfügbarkeit unter Verwendung von verfügbarkeitsangebenden Eingangsleitungen 8, 8' zur Steuereinheit 3. Die Verfügbarkeit eines funktionellen redundanten Untersystems der Sensoranordnung 4 kann entweder aufgrund einer Fehlfunktion des Untersystems 6, 7 selbst oder aufgrund einer gestörten Kommunikation zwischen dem Untersystem 6, 7 und der Steuereinheit 3 begrenzt oder lückenhaft sein.
  • Das Fehlen der Verfügbarkeit eines Sicherheitssensoruntersystems ist ein potentielles Sicherheitsrisiko. Daher wird der betreffende Funktionsblock oder das betreffende Untersystem in der Maschinenanordnung bei herkömmlichen Sicherheitssteuersystemen auf Notstopp, das heißt, Null-Produktivität, gesetzt, sobald eine Verfügbarkeit einer Sicherheitssensoranordnung oder eines Sicherheitssensoruntersystems nicht mehr gegeben ist. Bei einer wesentlichen Anzahl von Fällen würde dies nicht notwendig sein, da die Verfügbarkeit des jeweiligen Sicherheitssensors oder Sicherheitssensoruntersystems automatisch nach einer kurzen Zeit wiederhergestellt wird.
  • Daher ist die Steuerlogik 3 im Sicherheitssteuersystem 1 gemäß der Erfindung, wie in 1 dargestellt, zum Aktivieren eines normalen Betriebsmodus FN, der durch eine normale Produktivität PN charakterisiert ist, konfiguriert, falls die Eingabe eine Verfügbarkeit aller funktionell redundanter Untersysteme 6, 7 angibt, und ist zum Aktivieren eines Ausfall-Stopp-Betriebsmodus F0, der durch eine Null-Produktivität P0 charakterisiert ist, konfiguriert, falls die Eingabe 8 eine Nichtverfügbarkeit aller funktionell redundanter Untersysteme 6, 7 angibt, und ist ferner zum Aktivieren eines Ausfall-Funktionieren-Betriebsmodus F1, F2 mit einer Produktivität, die geringer als normal ist, aber über Null liegt, konfiguriert, falls die Eingabe 8 eine temporäre Nichtverfügbarkeit von mindestens einem und eine Verfügbarkeit von mindestens einem anderen der funktionell redundanten Untersystemene 6, 7 angibt. Demnach wird der Ausfall-Stopp-Modus mit Null-Produktivität nur aktiviert, falls alle Untersysteme nicht verfügbar sind. Im Falle einer temporären Nichtverfügbarkeit von einem der Untersysteme, so lange wie mindestens eines der redundanten Untersysteme verfügbar ist, wird die Maschinenanordnung in einen Zustand mit lediglich reduzierter Produktivität, nicht Null-Produktivität, versetzt, was die Gesamtverfügbarkeit der sicherheitsgesteuerten Maschinenanordnung 5 in hohem Maße erhöht.
  • Jetzt 2 betrachtend, stellt diese eine beispielhafte und schematische Repräsentation einer weiteren Ausführungsform eines Sicherheitssteuersystems 11 gemäß der Erfindung dar. 2 stellt ein Sicherheitssteuersystem 1' zum Steuern einer Maschine 2 schematisch dar. Die Maschine 2 kann ein Roboter, ein AGV oder eine beliebige andere Maschine, die in einem diskreten Fertigungssystem oder einer Fertigungszelle verwendet wird, sein. Bezüglich der Maschine 2 sind eine erste, kritische Sicherheitszone Z1 und eine zweite, weniger kritische Sicherheitszone Z2 definiert. Die erste Sicherheitszone Z1 befindet sich näher an der Maschine 2 als die zweite Sicherheitszone Z2. Die erste, kritische Sicherheitszone Z1 ist eine Teilmenge der zweiten, weniger kritischen Sicherheitszone Z2.
  • Das Sicherheitssteuersystem 1 umfasst ferner eine Steuereinheit 3, die eine Sicherheitslogik beinhaltet und kommunikativ mit der Maschine 2 verknüpft ist. Ferner ist eine erste Sicherheitseinrichtung D1, Bezugszahl 6, vorhanden, die kommunikativ mit der Sicherheitslogik 3 verknüpft ist. Sie weist ein erstes Gefahrendetektionsmittel auf, das zum Detektieren eines Gefahrenereignisses H1 in der ersten Sicherheitszone Z1 konfiguriert ist. Ferner ist eine zweite Sicherheitseinrichtung D2, Bezugszahl 7, vorhanden, die kommunikativ mit der Sicherheitslogik 3 verknüpft ist. Sie weist ein zweites Gefahrendetektionsmittel auf, das zum Detektieren eines Gefahrenereignisses H2 in der zweiten Sicherheitszone Z2 konfiguriert ist. Die Sicherheitseinrichtungen 6, 7 mit den Gefahrendetektionsmitteln können eine beliebige Art von Sensoren sein, die dafür bekannt sind, für diesen Zweck verwendet zu werden, zum Beispiel Annäherungssensoren, eine Lichtschranke, ein Laserscanner oder dergleichen. Die Sicherheitseinrichtungen 6, 7 sind Beispiele dafür, was der allgemeinere und abstrakte Ausdruck „funktionell redundante Sensoruntersysteme 6, 7 einer Sicherheitssensoranordnung 4” bezeichnet. Hier in 2 bilden das erste und das zweite Gefahrendetektionsmittel 6, 7 zusammen eine Art von virtueller Sicherheitssensoranordnung 4.
  • Die Maschine 2 beinhaltet ferner ein erstes Aktorsystem mit einem ersten Sicherheitsfunktionsmittel, das dazu konfiguriert ist, ausgelöst zu werden, um eine erste Sicherheitsfunktion durch die Sicherheitslogik 3 auszuführen.
  • Die Maschine 2 beinhaltet ferner ein zweites Aktorsystem mit einem zweiten Sicherheitsfunktionsmittel, das dazu konfiguriert ist, ausgelöst zu werden, um eine zweite Sicherheitsfunktion durch die Sicherheitslogik 3 auszuführen.
  • Das erste und das zweite Aktorsystem können zum Beispiel die Antriebe für die Roboterachsen oder die Antriebe zum Fahren des AGV oder dergleichen sein. Die Sicherheitsfunktionen in diesem Beispiel würden dann zum Beispiel verschiedene Antriebsdrehzahlen sein, die Notfunktion würde in diesem Beispiel der Stopp der Antriebe sein.
  • Die Steuereinheit 3 weist ferner ein Eingabeevaluierungsmittel 10 auf, das zum Bestimmen des Funktionsstatus und/oder der Verfügbarkeit der ersten und der zweiten Sicherheitseinrichtung 6, 7 konfiguriert ist. Die Steuereinheit 3 weist ferner ein Aktivierungsmittel 9 auf, das zum Auslösen oder Aktivieren des ersten Aktorsystems, um die erste Sicherheitsfunktion beim Detektieren eines Gefahrenereignisses in der ersten Sicherheitszone Z1 auszuführen, und zum Auslösen oder Aktivieren des zweiten Aktorsystems, um die zweite Sicherheitsfunktion beim Detektieren eines Gefahrenereignisses in der zweiten Sicherheitszone Z2 auszuführen, konfiguriert ist, falls die erste und die zweite Sicherheitseinrichtung 6, 7 funktionieren und zur Verfügung stehen. Das Eingabeevaluierungsmittel 10 und das Aktivierungsmittel 9 können zum Beispiel als E/A-Einrichtungen und assoziierte Programmroutinen als Teil eines Steuerbetriebsprogramms, das in Speichern in einem Mikrocomputer als Teil der Steuereinheit 3 und ihrer Steuerlogik gespeichert wird und durch diesen ausgeführt wird, implementiert werden.
  • Das Aktivierungsmittel 9 ist zum Auslösen oder Aktivieren des ersten Aktorsystems konfiguriert, um die erste Sicherheitsfunktion F1 bei der Bestimmung einer Fehlfunktion und/oder Nichtverfügbarkeit der ersten Sicherheitseinrichtung 6 und des Funktionierens und der Verfügbarkeit der zweiten Sicherheitseinrichtung 7 und beim Detektieren eines Gefahrenereignisses in der zweiten Sicherheitszone Z2 auszuführen.
  • Das Aktivierungsmittel 9 ist ferner zum Auslösen oder Aktivieren des zweiten Aktorsystems konfiguriert, um die zweite Sicherheitsfunktion F2 auszuführen, falls das Eingabeevaluierungsmittel 10 eine Fehlfunktion und/oder Nichtverfügbarkeit der zweiten Sicherheitseinrichtung 7 bestimmt und das Funktionieren und die Verfügbarkeit der ersten Sicherheitseinrichtung 6 bestimmt, so lange wie das erste Sicherheitsmittel oder das Gefahrendetektionsmittel 6 keine Gefahr in der ersten Sicherheitszone Z1 detektiert.
  • Das Aktivierungsmittel 9 ist ferner zum Auslösen oder Aktivieren des zweiten Aktorsystems konfiguriert, um die zweite Sicherheitsfunktion F2 auszuführen, falls das Eingabeevaluierungsmittel 10 eine Fehlfunktion und/oder Nichtverfügbarkeit der zweiten Sicherheitseinrichtung 7 und das Funktionieren und die Verfügbarkeit der ersten Sicherheitseinrichtung 6 bestimmt, falls das erste Gefahrendetektionsmittel oder die erste Sicherheitseinrichtung 6 eine Gefahr in der ersten Sicherheitszone Z1 detektiert.
  • Das Aktivierungsmittel 9 ist ferner zum logischen Auslösen der Maschine 2 für einen Übergang in einen sicheren Zustand, d. h. zum Beispiel ein Notstopp, konfiguriert, falls das Eingangsevaluierungsmittel 10 eine Fehlfunktion und/oder Nichtverfügbarkeit der ersten und der zweiten Sicherheitseinrichtung 6, 7 bestimmt.
  • Im Folgenden wird das Konzept einer hierarchischen Sicherheitssteuerung, wie es im Sicherheitssteuersystem gemäß der Erfindung angewendet wird, erläutert.
  • Ein typisches Gefahrenereignis besteht darin, dass ein Mensch in eine definierte Zone, wo eine sich in Betrieb befindliche Maschine den Menschen schwer verletzen kann, eintritt. Herkömmlicherweise wird die Maschine gestoppt, falls ein derartiges Ereignis detektiert wird. Die Schwere einer derartigen Gefahr kann jedoch unterschiedlich sein, so dass die Maschine manchmal mit einer reduzierten Geschwindigkeit laufen kann, anstatt gestoppt zu werden, so dass die Gesamtproduktivität der Maschine erheblich verbessert werden kann.
  • Beispielsweise, siehe 2 oder 3, kann eine erste, kritische Sicherheitszone Z1 um eine Maschine 2 oder eine Maschinenanordnung 5, zum Beispiel einen Industrieroboter, herum definiert werden, wo die Verletzung dieser Zone zum unmittelbaren Stoppen des Roboters führt, aber falls sich der Mensch in der Nähe außerhalb dieser Zone Z1 befindet, kann der Roboter mit einer reduzierten Geschwindigkeit laufen, so dass der Roboter in der Lage ist, zu stoppen, wenn der Mensch in die Zone Z1 eintritt.
  • Ein anderes Beispiel könnte ein AGV sein, siehe 4, das mit reduzierter Geschwindigkeit laufen könnte, falls sich Hindernisse oder ein menschlicher Arbeiter innerhalb eines bestimmten aber größeren Bereichs Z2 befinden bzw. befindet, und stoppt, wenn der Abstand kritisch wird, wie Zone Z1 im obigen Beispiel, wie in 4 dargestellt.
  • Auf eine allgemeinere Weise kann die Sicherheitsreaktion auch vom genaueren Erfassen der Position, der Größe und der Geschwindigkeit des Menschen oder der Hindernisse abhängen. Und die Sicherheitsreaktion kann auch bestimmte Teile einer Fertigungslinie stoppen, wobei Teile der Linie mit variabler Geschwindigkeit laufen usw.
  • All diese führen zu einem hierarchischen Sicherheitssteuerungsschema, das hinsichtlich verbesserter Produktivität vorteilhaft ist, während das gleiche Sicherheitsniveau gewährleistet wird.
  • Auf eine vereinfachte und verallgemeinerte Weise wird das folgende Szenario angenommen:
    D1 := Sicherheitseinrichtung 1
    H1 := Lokalisiertes Gefahrenereignis, das durch D1 detektiert werden soll
    F1 := (Sicherheits-)Funktion 1 (z. B. sicherer Stopp)
    P1 := Produktivität, wenn mit F1 gearbeitet wird
    D2 := Sicherheitseinrichtung 2
    H2 := Weniger lokalisiertes Gefahrenereignis, das durch D2 detektiert werden soll
    F2 := (Sicherheits-)Funktion 2 (z. B. reduzierte Geschwindigkeit)
    P2 := Produktivität, wenn mit F2 gearbeitet wird
    mit 100% = PN > P2 > P1 ≥ P0 = 0 und
    H1 ist eine Teilmenge von H2,
    was bedeutet, dass H1 die gleiche Art wie H2 ist und durch H2 abgedeckt wird, aber lokalisierter und detaillierter ist.
  • Im Roboter-Beispiel, 3 oder 2, würde D1 ein lokaler Sensor sein, der den Arbeitsraum des Roboters schützt, und würde D2 ein Sensor sein, der die Umgebung überwacht. Und beim AGV-Beispiel könnte D1 ein lokaler Sensor (z. B. Laserscanner) sein, der den Vorderbereich nach vorne erfasst, und könnte D2 eine Fernkamera sein, die die Arbeitszelle überwacht.
  • Die Sicherheitssteuerlogik würde Folgendes sein:
    Figure DE112016000264T5_0002
  • 5 veranschaulicht dieses verallgemeinerte Szenario mit entsprechender elementarer Sicherheitslogik, wo jegliche detektierten oder implizierten Sicherheitseinrichtungsfehler zu einem Notstopp führen. Die entsprechende Sicherheitssteuerimplementierung kann den folgenden Regeln folgen:
    D1-Status H1 detektiert D2-Status H2 detektiert Fx Px Bemerkung
    OK falsch OK falsch - PN Keine Sicherheitshandlung
    OK falsch OK wahr F2 P2 z. B. reduzierte Geschwindigkeit
    OK wahr OK wahr F1 P1 z. B. niedrigere Geschwindigkeit oder Stopp
    OK wahr OK falsch FE P0 Notstopp, nicht übereinstimmend mit „H1 ist eine Teilmenge von H2
    NOK beliebige OK beliebige FE P0 Notstopp
    OK beliebige NOK beliebige FE P0 Notstopp
    NOK beliebige NOK beliebige FE P0 Notstopp
  • NOK bedeutet entweder eine Fehlfunktion oder Nichtverfügbarkeit der Sicherheitseinrichtung aufgrund eines beliebigen Grundes, einschließlich eines temporären Kommunikationsfehlers.
  • Im Folgenden wird das Konzept eines Failovers, wie es im Sicherheitssteuersystem gemäß der Erfindung angewendet wird, erläutert.
  • Allgemein gesagt, bezeichnet Failover ein Umschalten zu einer redundanten Einrichtung oder Funktion, wenn eine dedizierte Einrichtung oder Funktion ausfällt.
  • Wie oben beschrieben, würde es, falls H1 aufgrund einer Fehlfunktion von D1 oder anderer Gründe, z. B. eines Kommunikationsfehlers, nicht detektiert werden kann, die Aktivierung des Notstopps Fe bewirken, wodurch die Maschine mit P0 läuft.
  • Nach Fe muss das System Fehlerdiagnosen und eine Wiederherstellung durchlaufen und muss neu gestartet werden. Der durchschnittliche Zeitraum für diesen Prozess würde Te sein.
  • Aber im Falle einer temporären Nichtverfügbarkeit der Einrichtung, das heißt, falls die Funktion der Einrichtung nach einem akzeptablen Zeitraum wiederhergestellt wird, ohne das System manuell reparieren und neu starten zu müssen, kann versucht werden, diesen Zeitraum durch die Verwendung redundanter Einrichtungen oder Funktionen zu überbrücken.
  • Angenommen, dass H1 indirekt durch H2 abgedeckt wird, somit ist H1 eine Teilmenge von H2. Es ist dann möglich, die Logik unter Verwendung von D2 als Failover-Einrichtung von D1 zu ändern, wie folgt:
    Figure DE112016000264T5_0003
  • In diesem Fall würde die Maschine mit 100% laufen, falls keine Sicherheitszonenverletzung detektiert wird. Falls somit D1 nicht funktioniert, bleibt die Sicherheitssteuerung mit dem Umschalten von (H2 impliziert F2) zu (H2 impliziert F1) intakt und läuft mit 100%, falls keine Sicherheitszonenverletzung vorliegt, oder zumindest mit P1, wenn H2. Die Produktivität ist geringer, wie wenn D1 funktioniert, aber höher im Vergleich zum ständigen Stoppen der Maschine, falls D1 nicht funktioniert.
  • Falls D2 zumindest temporär nicht verfügbar ist, ist die Situation leicht anders. H2 wird nur teilweise durch H1 abgedeckt und D1 kann nicht als Failover-Einrichtung zum Detektieren von H2 verwendet werden. Wir können jedoch F2 als Failover-Funktion für (D2 ist NOK) in Verbindung mit H1 dann F1 verwenden, somit F2, sobald D2 NOK ist, aktivieren und F1 aktivieren, wenn H1 durch D1 detektiert wird. Da H1 eine Teilmenge von H2 ist, wird H2 mit dieser Failover-Strategie ausreichend in Betracht gezogen.
  • Die resultierende Sicherheitssteuerimplementierung folgt den folgenden Regeln:
    D1-Status H1 detektiert D2-Status H2 detektiert Fx Px Bemerkung
    OK falsch OK falsch - PN Keine Sicherheitshandlung
    OK falsch OK wahr F2 P2 z. B. reduzierte Geschwindigkeit
    OK wahr OK wahr F1 P1 z. B. niedrigere Geschwindigkeit oder Stopp
    OK wahr OK falsch FE P0 Nicht übereinstimmend mit H1 ist eine Teilmenge von H2
    NOK beliebige OK falsch - Pn Failover zu (D2, H2->F1)
    NOK beliebige OK wahr F1 P1 Failover zu (D2, H2->F1)
    OK falsch NOK beliebige F2 P2 Failover zu (D2 NOK)->F2
    OK wahr NOK beliebige F1 P1 H2 in Betracht gezogen mit H1 ist eine Teilmenge von H2
    NOK beliebige NOK beliebige FE P0 Notstopp
  • Im Folgenden wird ein Beispielszenario beschrieben, bei dem die Ausfallsituation ein CRC-Fehler (zyklischer Redundanzprüffehler) ist.
  • Im Beispielszenario wird angenommen, dass sie Sicherheitseinrichtung D1 entfernt über PROFINET (mit PROFIsafe-Protokoll) verbunden ist und temporäre Kommunikationsfehler wie CRC- oder Watchdog-Fehler auftreten können, die in der gegenwärtigen Praxis zu einem Notstopp des Systems führen. Im Folgenden wird beschrieben, wie das Failover-Konzept bei derartigen Szenarios angewendet werden kann.
  • Tatsächlich ist ein Failover nur eine temporäre Lösung, um die Maschine am Laufen zu halten, bis eine Wiederherstellung vom partiellen Ausfall durchgeführt wird.
  • Typischerweise, falls eine Sicherheitseinrichtung ausfällt, wird ein manueller Eingriff benötigt, um eine Wiederherstellung vom Ausfall durchzuführen, z. B. Austauschen der Einrichtung und Neustarten der Sicherheitssteuerung. Aber in manchen Fällen ist der Ausfall nur temporär.
  • In diesem Szenario werden CRC-Fehler näher betrachtet, die typische Beispiele für temporäre Ausfälle der Kommunikation zur Sicherheitseinrichtung sind. CRC-Fehler können durch die Sicherheitssteuerung detektiert werden. Gemäß dem Stand der Technik vor der vorliegenden Erfindung würde ein gelegentlicher einzelner CRC-Fehler ein Notstopp verursachen, falls keine zusätzliche Maßnahme implementiert wird, um diese Situation in der Sicherheitsprotokollimplementierung abzudecken.
  • Aber in den meisten Fällen verschwinden CRC-Fehler nach einem kurzen Zeitraum und eine stabile Kommunikation mit der Einrichtung wird wieder hergestellt. In einer derartigen Situation, wenn das oben beschriebene Failover-Konzept angewendet wird, muss das System nicht bei einem einzelnen CRC-Fehler gestoppt werden, da eine redundante Sicherheitseinrichtung vorhanden ist, und kann sich selbst automatisch wiederherstellen, indem es zu den normalen Sicherheitsfunktionen zurückschaltet, wenn das nächste Telegramm gültig wird, siehe 6.
  • Mehrere CRC-Fehler innerhalb eines definierten Zeitintervalls werden als ein ernsthafter Ausfall interpretiert, wobei in diesem Fall die Maschine gestoppt werden muss, siehe auch 6. Das üblicherweise angewendete Zeitintervall zur Detektion einer CRC-Fehleransammlung beträgt gegenwärtig 100 Stunden.
  • Ein CRC-Fehler kann durch eine Beweisführung der Prüfsumme detektiert werden. Daher registriert die Sicherheitssteuerung den Kommunikationsausfall und interpretiert ihn als eine Fehlfunktion der entsprechenden Sicherheitseinrichtung, falls CRC-Fehler wiederholt auftreten.
  • Im Falle eines Ausfalls der Sicherheitseinrichtung selbst ist eine automatische Wiederherstellung leider nicht möglich. Die Sicherheitssteuerung muss neu gestartet werden.
  • Im Folgenden wird ein Beispielszenario beschrieben, bei dem die Ausfallsituation ein Watchdog-Fehler ist.
  • Ein anderes typisches Beispiel für einen temporären Kommunikationsfehler sind Watchdog-Fehler. Diese Fehler können in Abhängigkeit von den verwendeten Parametern jede Minute oder sogar noch häufiger erfolgen. Die Watchdog-Zeit definiert den Kompromiss zwischen der Sicherheitsfunktionsreaktionszeit und der Verfügbarkeit. Je kleiner die Watchdog-Zeit eingestellt ist, was näher an die Black-Channel-Leistungsfähigkeit herankommt, desto höher ist die Wahrscheinlichkeit, dass die Maschine aufgrund einer plötzlichen Black-Channel-Leistungsfähigkeit-Unzulänglichkeit gestoppt werden muss.
  • Beim gegenwärtigen Stand der Technik, der ausgeübt wurde, bevor die Erfindung hergestellt wurde, gibt es keine Beschränkung an der Häufigkeit des Auftretens eines Watchdog-Fehlers. Aber jedes Mal würde gestoppt werden, ähnlich zu einem CRC-Fehler, falls nichts geschieht, um dies auf der Anwendungsebene zu bearbeiten.
  • Ein Failover-Konzept für den Watchdog-Fehler gemäß der vorliegenden Erfindung ist insbesondere für automatische geführte Fahrzeuge (AGV) in automatischen Lagerabwicklungssystemen vorteilhaft. Derartige AGVs sind sehr häufig über drahtlose Netzwerke verbunden und werden von der Zentralstelle gesteuert.
  • Im Falle, dass die drahtlose Verbindung plötzlich zu langsam ist, durch eine Störung oder eine blockierende Wand, die den Datentransfer beeinträchtigt, usw., dann verliert das AGV-Steuersystem die Kommunikation zur Zentralstelle und zeigt einen Watchdog-Fehler an, da die Kommunikation über die drahtlose Verbindung zu langsam ist. Anstatt das AGV zu stoppen, könnte im Falle eines Watchdog-Fehlers ein Timer gestartet werden. Falls die Kommunikation nicht innerhalb von z. B. 3 Sekunden wieder einsatzfähig ist, wird das AGV gestoppt. Ansonsten verwendet es die lokalen Sicherheitssensoren, z. B. einen Laserscanner, als Failover-Einrichtungen.
  • In diesem Szenario ist der lokale Sensor D1, äquivalent zur ersten Sicherheitseinrichtung 6, der das Vorhandensein von Hindernissen oder Menschen an der unmittelbaren Vorderseite des Fahrzeugs detektiert und einen kontrollierten Stopp auslöst. Des Weiteren überwacht D2, äquivalent zur zweiten Sicherheitseinrichtung 7, das größere Gebiet und ist über eine drahtlose Kommunikation mit der lokalen AGV-Steuerung verbunden. Falls D2 temporär nicht verfügbar ist, kann das lokale AGV zu einer reduzierten Geschwindigkeit umschalten und für einen akzeptablen Zeitraum auf den lokalen Sensor angewiesen sein.
  • Natürlich muss die konkrete Implementierung einer Sicherheitssteuerung mit Failover von Einrichtungen oder Funktionen alle Aspekte in Betracht ziehen, die einen Einfluss auf die erreichbare Sicherheitseinstufung haben.
  • 7a–c stellen eine schematische Repräsentation einer Ausführungsform der Erfindung in verschiedenen Ausfallsituationen als ein Beispiel für eine bevorzugte Ausführungsform des Steuersystems gemäß der vorliegenden Erfindung dar.
  • 7a stellt auf eine schematische und beispielhafte Weise ein Sicherheitssteuersystem 1, das dem in 1 dargestellten ähnelt, dar. Die 7a–c veranschaulichen das Verfahren zum Betreiben eines Sicherheitssteuersystems gemäß der Erfindung. 7a stellt die Situation dar, bei der beide Sicherheitssensoruntersysteme 6, 7 verfügbar sind und funktionieren.
  • Falls das erste Sicherheitssensoruntersystem 6, D1, eine Gefahrensituation, H1, in Zone Z1, die sicherheitskritischere Zone, detektiert, dann aktiviert die Sicherheitslogik in der Steuereinheit 3 die Maschinenanordnung 5, den jeweiligen Aktor, in den ersten Betriebsmodus F1 mit stark reduzierter Produktivität P1, wobei F1 und P1 wie oben definiert und erläutert sind.
  • Falls das zweite Sicherheitssensoruntersystem 7, D2, eine Gefahrensituation, H2, in Zone Z2, die nebenbei Z1 beinhaltet, da Z1 eine Untereinheit von Z2 ist, die weniger sicherheitskritische Zone, detektiert, dann aktiviert die Sicherheitslogik in der Steuereinheit 3 die Maschinenanordnung 5, den jeweiligen Aktor, in den zweiten Betriebsmodus F2 mit weniger stark reduzierter Produktivität P2, wobei F2 und P1 wie oben definiert und erläutert sind.
  • 7b stellt die Situation dar, bei der das Sicherheitssensoruntersystem 6 nicht verfügbar ist, was durch die gestrichelten Linien symbolisiert ist, aber das Sicherheitssensoruntersystem 7 verfügbar ist. In diesem Szenario wird ein Failover von D1 zu D2 mit einem Failover von F2 zu F1 angewendet. Dies bedeutet, falls das zweite Sicherheitssensoruntersystem 7, D2, ein Gefahrenereignis detektiert, aktiviert die Sicherheitslogik in der Steuereinheit 3 die Maschinenanordnung 5, den jeweiligen Aktor, in den ersten Betriebsmodus F1 mit stark reduzierter Produktivität P1. Dies ist in dem Sinne ein Failover, dass die restriktivere Sicherheitsfunktion F1 aus Sicherheitsgründen für eine Gefahrensituation, die durch das die weniger kritische Sicherheitszone Z2 überwachende Untersystem D2 detektiert wird, angewendet wird. Da aber Z2 Z1 enthält, könnte es sein, dass die durch D2 detektierte Gefahrensituation in der Sicherheitszone Z1 aufgetreten ist, und demnach ist es im Sinne der Sicherheitssteuerung sinnvoll, die restriktivere Sicherheitsfunktion F1 zu aktivieren. Demnach wird das Kombinationsuntersystem 1.2–2, 3.1 oder 7-F1 als ein Failover bereitgestellt.
  • 7c stellt die Situation dar, bei der das Sicherheitssensoruntersystem 7, D2, nicht verfügbar ist, was durch die gestrichelten Linien symbolisiert ist, aber das Sicherheitssensoruntersystem 6, D1, verfügbar ist. Im Falle der Nichtverfügbarkeit von D2 gibt es kein explizites Failover der Einrichtungsfunktion. Stattdessen wird die Sicherheitsfunktion für H2 als eine allgemeine Failover-Funktion angenommen, d. h. F2 wird ausgelöst, falls (D2 NOK) ist. Mit anderen Worten, falls D2 NOK ist, dann wird F2 aus Sicherheitsgründen und Vorsichtsmaßnahmen ausgelöst, was die Geschwindigkeit und die Produktivität von P0 zu P2 reduziert, selbst wenn D1 keine Gefahrensituation detektiert. Falls dann D1 zusätzlich eine Gefahrensituation in Zone Z1 detektiert, wird F1 ausgelöst, was die Geschwindigkeit und Produktivität weiter zu P1 reduziert.
  • Bezugszeichenliste
    • 1
    Sicherheitssteuersystem
    1'
    Sicherheitssteuersystem
    3
    Steuereinheit
    4
    Sicherheitssensoranordnung
    5
    Maschinenanordnung
    6
    erstes Sicherheitssensoruntersystem D1
    7
    zweites Sicherheitssensoruntersystem D2
    8
    Informationen, die die Verfügbarkeit des Untersystems angeben
    8'
    Informationen, die die Verfügbarkeit des Untersystems angeben
    9
    Aktivierungsmittel
    10
    Eingabeevaluierungsmittel
    11
    Funktionsblock/Funktionsuntersystem
    12
    Funktionsblock/Funktionsuntersystem
    13
    Funktionsblock/Funktionsuntersystem
    14
    Funktionsblock/Funktionsuntersystem
    15
    erste Signaleingangsleitung
    16
    zweite Signaleingangsleitung
    Z1
    erste, kritische Sicherheitszone
    Z2
    zweite, weniger kritische Sicherheitszone

Claims (11)

  1. Sicherheitssteuersystem (1), wobei das System Folgendes beinhaltet: a) eine Steuereinheit (3), die Sicherheitssteuerlogik beinhaltet, b) mindestens eine Sicherheitssensoranordnung (4), c) mindestens eine Maschinenanordnung (5), die in verschiedenen Betriebsmodi (F0, FN, F1, F2) betreibbar ist, wobei jeder Betriebsmodus durch eine andere Produktivität (P0, PN, P1, P2) der Maschinenanordnung (5) charakterisiert ist, wobei d) die Steuereinheit (3) eine Eingabe von der mindestens einen Sicherheitssensoranordnung (4) empfängt und evaluiert und e) als Reaktion auf das Ergebnis der Evaluierung einen Betriebsmodus (F0, FN, F1, F2) der Maschinenanordnung (5), wie durch die Sicherheitssteuerlogik (3) bestimmt, aktiviert, dadurch gekennzeichnet, dass (1) die mindestens eine Sicherheitssensoranordnung (4) mindestens zwei funktionell redundante Untersysteme (6, 7) aufweist, (2) die Eingabe in die Steuereinheit (3) Informationen (8) beinhaltet, die eine Verfügbarkeit der mindestens zwei funktionell redundanten Untersysteme (6, 7) angeben, (3) die Steuerlogik (3) zu Folgendem konfiguriert ist: i. Aktivieren eines normalen Betriebsmodus (FN), der durch eine normale Produktivität (PN) charakterisiert ist, falls die Eingabe eine Verfügbarkeit aller funktionell redundanter Untersysteme (6, 7) angibt, ii. Aktivieren eines Ausfall-Stopp-Betriebsmodus (F0), der durch eine Null-Produktivität (P0) charakterisiert ist, falls die Eingabe (8) eine Nichtverfügbarkeit aller funktionell redundanter Untersysteme (6, 7) angibt, iii. Aktivieren eines Ausfall-Funktionieren-Betriebsmodus (F1, F2) mit einer Produktivität, die niedriger als normal ist, aber über Null liegt, falls die Eingabe (8) eine zumindest temporäre Nichtverfügbarkeit von mindestens einem und eine Verfügbarkeit von mindestens einem anderen der funktionell redundanten Untersysteme (6, 7) angibt.
  2. Sicherheitssteuersystem (1) nach Anspruch 1, wobei das System Folgendes beinhaltet: – eine Maschine (2) oder Maschinenanordnung (5), die eine Nennproduktivität (PN) aufweist, – eine erste Sicherheitszone (Z1) und eine zweite Sicherheitszone (Z2), wobei die erste Sicherheitszone (Z1) eine Teilmenge der zweiten Sicherheitszone (Z2) ist, – ein erstes funktionell redundantes Untersystem (D1, 6), das zum Detektieren eines ersten Gefahrenereignisses (H1) in der ersten Sicherheitszone (Z1) konfiguriert ist, – ein zweites funktionell redundantes Untersystem (D2, 7), das zum Detektieren eines zweiten Gefahrenereignisses (H2) in der zweiten Sicherheitszone (Z2) konfiguriert ist, wobei ein erster Ausfall-Funktionieren-Modus (F1) zu einer ersten reduzierten Maschinenproduktivität (P1) führt, die größer als Null aber kleiner als die normale Produktivität (PN) ist, und ein zweiter Ausfall-Funktionieren-Modus (F2) zu einer zweiten reduzierten Maschinenproduktivität (P2) führt, die größer als Null aber kleiner als die Nennproduktivität (PN) und höher als die erste reduzierte Maschinenproduktivität (P1) ist, wobei die Steuerlogik den zweiten Ausfall-Funktionieren-Modus (F2) aktiviert, falls die Eingabe in die Steuerlogik eine Verfügbarkeit beider funktionell redundanter Untersysteme (D1, 6; D2, 7) und ein zweites Gefahrenereignis (H2) in der zweiten Sicherheitszone (Z2) aber kein erstes Gefahrenereignis in der ersten Sicherheitszone (Z1) angibt, und wobei die Steuerlogik den ersten Ausfall-Funktionieren-Modus (F1) aktiviert, falls die Eingabe in die Steuerlogik eine temporäre Nichtverfügbarkeit des ersten funktionell redundanten Untersystems (D1, 6) aber eine Verfügbarkeit des zweiten funktionell redundanten Untersystems (D2, 7) und ein zweites Gefahrenereignis (H2) in der zweiten Sicherheitszone (Z2) angibt.
  3. Sicherheitssteuersystem (1) nach Anspruch 1, wobei die Steuerlogik den zweiten Ausfall-Funktionieren-Modus (F2) aktiviert, falls die Eingabe in die Steuerlogik eine Verfügbarkeit des ersten funktionell redundanten Untersystems (D1, 6) und eine zumindest temporäre Nichtverfügbarkeit des zweiten redundanten Untersystems (D2, 7) und kein erstes Gefahrenereignis (H1) in der ersten Sicherheitszone (Z1) angibt.
  4. Sicherheitssteuersystem (1) nach Anspruch 1, wobei die Steuerlogik den ersten Ausfall-Funktionieren-Modus (F1) aktiviert, falls die Eingabe in die Steuerlogik eine zumindest temporäre Nichtverfügbarkeit des zweiten redundanten Untersystems (D2, 7) und ein erstes Gefahrenereignis (H1) in der ersten Sicherheitszone (Z1) angibt.
  5. Sicherheitssteuersystem (1) nach Anspruch 1, wobei die Steuerlogik den ersten Ausfall-Funktionieren-Modus (F1) aktiviert, falls die Eingabe in die Steuerlogik eine Verfügbarkeit von sowohl dem ersten als auch dem zweiten redundanten Untersystem (D1, 6; D2, 7) und ein erstes und ein zweites Gefahrenereignis (H1, H2) in sowohl der ersten als auch der zweiten Sicherheitszone (Z1, Z2) angibt.
  6. Sicherheitssteuersystem (1) nach Anspruch 1, wobei die Steuerlogik den normalen Betriebsmodus (FN) aktiviert, falls die Eingabe in die Steuerlogik eine Verfügbarkeit des zweiten redundanten Untersystems (D2, 7) und eine temporäre Nichtverfügbarkeit des ersten redundanten Untersystems (D1, 6) und kein erstes Gefahrenereignis in der zweiten Sicherheitszone (Z2) angibt.
  7. Sicherheitssteuersystem (1) nach einem der vorangegangenen Ansprüche, wobei die Maschine (2) oder die Maschinenanordnung (5) ein Roboter oder ein autonomes geführtes Fahrzeug oder ein diskretes Fertigungssystem oder eine Fertigungszelle ist.
  8. Sicherheitssteuersystem (1) nach einem der vorangegangenen Ansprüche, wobei die Produktivität der Maschine (2) oder der Maschinenanordnung (5) die Geschwindigkeit von sich bewegenden Teilen der Maschine (2) oder der Maschinenanordnung (5) ist.
  9. Sicherheitssteuersystem (1) nach einem der vorangegangenen Ansprüche, wobei das erste oder das zweite redundante Untersystem (D1, 6; D2, 7) ein Annäherungssensor oder eine Lichtschranke oder ein Laserscanner oder eine Kamera ist.
  10. Sicherheitssteuersystem (1) nach einem der vorangegangenen Ansprüche, wobei die temporäre Nichtverfügbarkeit eines funktionell redundanten Untersystems durch einen temporären Kommunikationsfehler wie einen zyklischen Redundanzfehler (CRC-Fehler) oder einen Watchdog-Fehler verursacht wird.
  11. Verfahren zum Betrieb eines Sicherheitssteuersystems (1), wobei das System Folgendes beinhaltet: – eine Steuereinheit (3), die Sicherheitssteuerlogik beinhaltet, – mindestens eine Sicherheitssensoranordnung (4), – mindestens eine Maschinenanordnung (5), die in verschiedenen Betriebsmodi (F0, FN, F1, F2) betreibbar ist, wobei jeder Betriebsmodus durch eine andere Produktivität (P0, PN, P1, P2) der Maschinenanordnung (5) charakterisiert ist, wobei – die Steuereinheit (3) eine Eingabe von der mindestens einen Sicherheitssensoranordnung (4) empfängt und evaluiert und – als Reaktion auf das Ergebnis der Evaluierung einen Betriebsmodus (F0, FN, F1, F2) der Maschinenanordnung (5), wie durch die Sicherheitssteuerlogik (3) bestimmt, aktiviert, – die mindestens eine Sicherheitssensoranordnung (4) mindestens zwei funktionell redundante Untersysteme (6, 7) aufweist, – die Eingabe in die Steuereinheit (3) Informationen (8) beinhaltet, die eine Verfügbarkeit der mindestens zwei funktionell redundanten Untersysteme (6, 7) angeben, durch die folgenden Schritte gekennzeichnet: – Aktivierung eines normalen Betriebsmodus (FN), der durch eine normale Produktivität (PN) charakterisiert ist, falls die Eingabe eine Verfügbarkeit aller funktionell redundanter Untersysteme (6, 7) angibt, – Aktivierung eines Ausfall-Stopp-Betriebsmodus (F0), der durch eine Null-Produktivität (P0) charakterisiert ist, falls die Eingabe (8) eine Nichtverfügbarkeit aller funktionell redundanter Untersysteme (6, 7) angibt, – Aktivierung eines Ausfall-Funktionieren-Betriebsmodus (F1, F2) mit einer Produktivität, die niedriger als normal ist, aber über Null liegt, falls die Eingabe (8) eine zumindest temporäre Nichtverfügbarkeit von mindestens einem und eine Verfügbarkeit von mindestens einem anderen der funktionell redundanten Untersysteme (6, 7) angibt.
DE112016000264.5T 2015-03-04 2016-02-26 Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems Pending DE112016000264T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15157511 2015-03-04
EP15157511.5 2015-03-04
PCT/EP2016/054097 WO2016139147A1 (en) 2015-03-04 2016-02-26 Safety control system and method of operation of a safety control system

Publications (1)

Publication Number Publication Date
DE112016000264T5 true DE112016000264T5 (de) 2017-09-28

Family

ID=52598639

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016000264.5T Pending DE112016000264T5 (de) 2015-03-04 2016-02-26 Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems

Country Status (4)

Country Link
US (1) US10599137B2 (de)
CN (1) CN107407919B (de)
DE (1) DE112016000264T5 (de)
WO (1) WO2016139147A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019103643A1 (de) * 2019-02-13 2020-08-13 Telegärtner Elektronik GmbH Arbeitsmaschine zum Durchführen wenigstens eines Arbeitsvorgangs
WO2021008721A1 (de) 2019-07-15 2021-01-21 Sew-Eurodrive Gmbh & Co. Kg Verfahren zum betreiben eines mobilen systems und eines alarm-gateways als teilnehmer in einem drahtlosen netzwerk
DE102021133582A1 (de) 2021-12-17 2023-06-22 Kuka Deutschland Gmbh Verfahren zum Zuordnen einer Not-Halt-Funktionalität und Automatisierungsanlage

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016107564A1 (de) * 2016-04-22 2017-10-26 Kuka Systems Gmbh Sicherheitseinrichtung und Sicherheitsverfahren
EP3485112B1 (de) 2016-07-15 2021-08-25 Fastbrick IP Pty Ltd Fahrzeug mit eingebauter ziegelsteinlegemaschine
DK201700203A1 (en) * 2017-03-23 2018-11-27 Mrr Safety system for collaborative robot
CN109291935B (zh) * 2017-07-25 2020-07-03 大陆泰密克汽车系统(上海)有限公司 用于分析车辆的电子控制系统中的信号链的安全性的方法
JP6687573B2 (ja) * 2017-09-07 2020-04-22 ファナック株式会社 ロボットシステム
DE102018206109B4 (de) * 2018-04-20 2021-01-07 Lenze Automation Gmbh Elektrisches Steuergerät und Steuergerätesystem
CN208673079U (zh) * 2018-06-14 2019-03-29 西门子股份公司 工业机器人的安全控制系统以及工业机器人
EP3823797A4 (de) * 2018-07-16 2022-04-06 Fastbrick IP Pty Ltd Sicherungsverfolgung für ein interaktionssystem
EP3640522B1 (de) * 2018-10-17 2023-01-04 Leuze electronic GmbH + Co. KG Überwachungsvorrichtung
US11726018B2 (en) * 2018-11-30 2023-08-15 Illinois Tool Works Inc. Safety system interfaces and material testing systems including safety system interfaces
US11592376B2 (en) 2018-11-30 2023-02-28 Illinois Tool Works Inc. Safety systems and material testing systems including safety systems
US11879871B2 (en) * 2018-11-30 2024-01-23 Illinois Tool Works Inc. Safety systems requiring intentional function activation and material testing systems including safety systems requiring intentional function activation
DE102019114854B4 (de) * 2019-06-03 2021-06-24 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zur energieeffizienten Ausführung einer Sicherheitsfunktion
DE102019117972B4 (de) * 2019-07-03 2023-05-25 Kriwan Industrie-Elektronik Gmbh Verfahren und Vorrichtung zur Überwachung einer Anlage
DE102019123581A1 (de) * 2019-09-03 2021-03-04 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zur Ausführung einer Sicherheitsfunktion
JP2021070124A (ja) * 2019-11-01 2021-05-06 株式会社Ihi 分散制御システム
CN113119098B (zh) * 2019-12-30 2022-12-02 深圳市优必选科技股份有限公司 机械臂控制方法、机械臂控制装置及终端设备
CN112078630B (zh) * 2020-08-25 2022-10-18 通号城市轨道交通技术有限公司 一种列车控制系统
US20220171396A1 (en) 2020-11-30 2022-06-02 Yandex Self Driving Group Llc Systems and methods for controlling a robotic vehicle
EP4070920A1 (de) * 2021-04-08 2022-10-12 Siemens Aktiengesellschaft Autonomes mobiles robotersystem und verfahren zum betrieb
CN115529830A (zh) * 2021-04-27 2022-12-27 华为技术有限公司 智能驾驶控制方法、装置以及智能驾驶控制系统
CN113655705B (zh) * 2021-07-21 2024-07-19 上海外高桥造船有限公司 一种安全装置及其配置方法、配置系统

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7367244B2 (en) * 2003-10-29 2008-05-06 Calsonic Kansei Corporation Operating position select device for automatic transmission
DE102005003827B4 (de) * 2005-01-26 2007-01-04 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Vorrichtung und Verfahren zur Interaktion zwischen einem Menschen und einer Robotereinheit an einem Roboterarbeitsplatz
JP4137932B2 (ja) * 2005-10-28 2008-08-20 ファナック株式会社 ロボット制御装置
JP5035768B2 (ja) * 2006-04-18 2012-09-26 独立行政法人産業技術総合研究所 人間ロボット共存作業用安全装置
JP2007293450A (ja) * 2006-04-21 2007-11-08 Fujikura Ltd センサケーブル敷設部材
DE102006032955A1 (de) * 2006-07-17 2008-02-07 Siemens Ag Industrieanlage mit einem sicherheitsrelevanten Bereich
DE102007046706A1 (de) * 2007-09-28 2009-04-16 Autoliv Development Ab Steuervorrichtung für Fahrzeuge
WO2010049161A2 (de) * 2008-10-29 2010-05-06 Sms Siemag Ag Roboterisierte hüttenmännische anlage
DE102010063214A1 (de) * 2010-12-16 2012-06-21 Robert Bosch Gmbh Sicherungseinrichtung für eine Handhabungsvorrichtung, insbesondere einen Industrieroboter, sowie Verfahren zum Betreiben der Sicherungseinrichtung
DE102010063208A1 (de) * 2010-12-16 2012-06-21 Robert Bosch Gmbh Verfahren zum Betreiben einer Sicherungseinrichtung für eine Handhabungsvorrichtung, Sicherungseinrichtung für eine Handhabungsvorrichtung und Handhabungsvorrichtung
EP2637068A1 (de) * 2012-03-06 2013-09-11 Siemens Aktiengesellschaft System zur Verwaltung der Förderbandsicherheit und entsprechendes Verfahren
DE102012102236A1 (de) * 2012-03-16 2013-09-19 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Absichern eines gefährlichen Arbeitsbereichs einer automatisiert arbeitenden Maschine
JP5768828B2 (ja) * 2013-03-15 2015-08-26 株式会社安川電機 ロボットシステム、及び、ロボットシステムの制御方法
DE102013104265A1 (de) * 2013-04-26 2014-10-30 Pilz Gmbh & Co. Kg Vorrichtung und Verfahren zum Absichern einer automatisiert arbeitenden Maschine

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019103643A1 (de) * 2019-02-13 2020-08-13 Telegärtner Elektronik GmbH Arbeitsmaschine zum Durchführen wenigstens eines Arbeitsvorgangs
WO2021008721A1 (de) 2019-07-15 2021-01-21 Sew-Eurodrive Gmbh & Co. Kg Verfahren zum betreiben eines mobilen systems und eines alarm-gateways als teilnehmer in einem drahtlosen netzwerk
DE102021133582A1 (de) 2021-12-17 2023-06-22 Kuka Deutschland Gmbh Verfahren zum Zuordnen einer Not-Halt-Funktionalität und Automatisierungsanlage

Also Published As

Publication number Publication date
US20170329321A1 (en) 2017-11-16
WO2016139147A1 (en) 2016-09-09
CN107407919B (zh) 2020-08-25
US10599137B2 (en) 2020-03-24
CN107407919A (zh) 2017-11-28

Similar Documents

Publication Publication Date Title
DE112016000264T5 (de) Sicherheitssteuersystem und Verfahren zum Betrieb eines Sicherheitssteuersystems
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP2972601B1 (de) Verfahren zur risikoabgrenzung von fehlern in einem redundanten sicherheitsrelevanten steuerungssystem für ein kraftfahrzeug
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE102008021671A1 (de) Verfahren und Vorrichtung zur Überwachung eines Manipulators
DE102010048369A1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung eines Manipulators
EP3415286A1 (de) Überwachung eines roboters
DE19919504A1 (de) Triebwerksregler, Triebwerk und Verfahren zum Regeln eines Triebwerks
DE69916772T2 (de) Steuervorrichtung eine automatischen Maschine
EP0264350A1 (de) Prozessgesteuerte Anlage sowie Ueberwachungsschaltung insbesondere für solche Anlagen
EP2671690B1 (de) Auswerteeinheit für ein Sicherheitsschaltgerät und Sicherheitsschaltgerät
EP0924585B1 (de) Überwachungsvorrichtung für Garagentorantriebe
DE112019005910T5 (de) Steuervorrichtung einer elektromagnetischenbremse und steuervorrichtung
DE112018005815T5 (de) Steuereinrichtung und elektronisches Steuersystem für Fahrzeuge
DE19913279B4 (de) Steuerungseinrichtung mit Überwachungseinheit zur Fehlererkennung und Fehlerunterdrückung
DE112015005972B4 (de) Aufzugsicherheits-steuervorrichtung und aufzugsicherheits-sicherheits-steuerverfahren
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102008008449B4 (de) Elektrische Presse
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102019218074B4 (de) Steuerung eines Fahrerassistenzsystems eines Kraftfahrzeugs
EP4116620A1 (de) Überwachungseinrichtung und verfahren zum betrieb einer überwachungseinrichtung
EP3565751B1 (de) Umschaltung zwischen element-controllern im bahnbetrieb
EP3779619A1 (de) Emergente risiken eines technischen systems
WO2018050491A1 (de) Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit
DE102018116264B4 (de) Lichtgitter

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: MAIWALD PATENTANWALTS- UND RECHTSANWALTSGESELL, DE

R083 Amendment of/additions to inventor(s)
R082 Change of representative

Representative=s name: MAIWALD GMBH, DE

Representative=s name: MAIWALD PATENTANWALTS- UND RECHTSANWALTSGESELL, DE

R016 Response to examination communication